Datenschutzerklärung

Information gemäß Art. 13 und 14 DSGVO · Stand: 02.07.2026

1. Verantwortlicher

— nicht hinterlegt, bitte in den Einstellungen ergänzen —
Deutschland

2. Datenarten und Verarbeitungszwecke

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer im Rahmen der nachfolgend beschriebenen Verarbeitungstätigkeiten. „Verarbeitung" und „personenbezogene Daten" werden im Sinne der Art. 4 Nr. 1 und Nr. 2 DSGVO verwendet.

2.1 Rechnungsstellung, Buchführung, DATEV-Export

Datenkategorien: Firmenname, Anschrift, USt-IdNr., Bankverbindung, Rechnungspositionen, Zahlungsstatus, Belegnummern, Zeiträume.
Zweck: Erfüllung steuerrechtlicher Pflichten (§§ 14, 14a UStG, §§ 140 ff. AO, GoBD) und vertraglicher Abrechnungspflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
Speicherdauer: 10 Jahre ab Ende des Kalenderjahres der Rechnungsstellung (§ 147 Abs. 3 AO).

2.2 Kundenstammdaten (CRM)

Datenkategorien: Name, Firma, Anschrift, Telefonnummern, E-Mail-Adressen, Ansprechpartner, Notizen zur Geschäftsbeziehung.
Zweck: Anbahnung, Pflege und Abwicklung der Geschäftsbeziehung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an effizienter Kundenpflege).
Speicherdauer: Dauer der Geschäftsbeziehung zzgl. handels- und steuerrechtlicher Aufbewahrungsfristen (6 bzw. 10 Jahre).

2.3 Authentifizierung, Zwei-Faktor-Authentifizierung, Session-Management

Datenkategorien: E-Mail-Adresse, Passwort-Hash, TOTP-Geheimnis (verschlüsselt), Backup-Codes (verschlüsselt), Session-IP, User-Agent, Login-Zeitstempel, fehlgeschlagene Login-Versuche.
Zweck: Zugriffskontrolle, Schutz vor unbefugten Zugriffen, Brute-Force-Erkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Verarbeitung gemäß Art. 32 DSGVO).
Speicherdauer: Sitzungsdaten bis zum Sitzungsende; Login-Logs 90 Tage; Konto-Stammdaten bis zur Konto-Löschung.

2.4 Online-Zahlungsabwicklung

Datenkategorien: Rechnungs-ID, Kunden-ID, Betrag, Währung, Zahlungsstatus, Stripe-Session-IDs (keine Kartendaten — die Eingabe erfolgt direkt bei Stripe).
Zweck: Abwicklung von Online-Zahlungen über den Stripe-Checkout.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 10 Jahre (§ 147 AO) gemeinsam mit dem Rechnungsbeleg.

2.5 Transaktionale E-Mail-Kommunikation

Datenkategorien: Empfänger-E-Mail, Name, Mail-Inhalt (Rechnungsnummer, Beträge, Vertrags-Codes), Versand-Zeitstempel, Zustellstatus.
Zweck: Versand von Rechnungen, Mahnungen, Vertrags-Codes, Passwort-Reset-Links und sonstigen für die Geschäftsbeziehung erforderlichen Nachrichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an verlässlicher Kommunikation).
Speicherdauer: Versand-Logs 90 Tage; Mail-Anhänge (PDFs) gemäß Aufbewahrungspflichten des zugrundeliegenden Belegs.

2.6 Audit-Log (Sicherheits- und GoBD-Protokoll)

Datenkategorien: User-ID, IP-Adresse, User-Agent, durchgeführte Aktion, Zeitstempel, betroffene Datensätze (vorher/nachher).
Zweck: Nachweisbarkeit nach GoBD, Erkennung und Aufklärung von Missbrauchsversuchen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — GoBD/AO), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Verarbeitung).
Speicherdauer: 10 Jahre für GoBD-relevante Einträge, 12 Monate für reine Sicherheits-Events.

3. Empfänger und Auftragsverarbeiter

Wir setzen die folgenden Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 Abs. 3 DSGVO. Drittland-Transfers sind durch das EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln (SCC 2021/914) abgesichert.

Anbieter Sitz Zweck Drittland
Mittwald CM Service GmbH & Co. KG Deutschland Hosting der Anwendung und der Datenbanken nein
Stripe Payments Europe Ltd. / Stripe, Inc. Irland / USA Online-Zahlungsabwicklung (Checkout, SEPA, Webhooks) ja — DPF + SCC
Postmark (Wildbit, LLC) — optional, bei Aktivierung USA Versand transaktionaler E-Mails ja — DPF + SCC
Druck- und Versanddienstleister für Briefpost Deutschland Postalischer Versand von Rechnungen und Pflichtinformationen nein
WhatsApp Ireland Ltd. / Meta Platforms, Inc. Irland / USA Versand von Vertrags-Signatur-Codes via WhatsApp Cloud API ja — DPF + SCC

4. Cookies und Tracking

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Anwendung erforderlich sind (verschlüsselter Session-Cookie inklusive CSRF-Schutz sowie ein kurzlebiger Hinweis-Cookie, der die Erinnerung zur Zwei-Faktor-Aktivierung für 24 Stunden ausblendet). Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies und binden keine Drittanbieter-Skripte oder -Schriften (z. B. Google Fonts) per CDN ein.

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweils verfolgten Zwecke erforderlich ist oder wir gesetzlich (z. B. § 147 AO, § 257 HGB) dazu verpflichtet sind. Konkrete Fristen sind in Abschnitt 2 pro Verarbeitung benannt.

6. Betroffenenrechte (Art. 15–22 DSGVO)

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an — nicht hinterlegt, bitte in den Einstellungen ergänzen — .

7. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

Für uns zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

8. Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, insbesondere TLS-Transportverschlüsselung, verschlüsselte Speicherung sensibler Felder (z. B. TOTP-Secrets, Backup-Codes, Bankdaten), rollenbasierte Zugriffskontrolle, Audit-Logging und Multi-Tenancy mit logischer und physischer Datentrennung pro Mandant.

9. Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist teils gesetzlich (z. B. steuerrechtlich), teils vertraglich erforderlich. Ohne die Bereitstellung dieser Daten ist eine Vertragsanbahnung oder -durchführung nicht möglich.

10. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Ein etwaiger Einsatz KI-gestützter Assistenzfunktionen erfolgt ausschließlich intern und ohne Personenbezug in den Prompts.

Diese Datenschutzerklärung wurde zuletzt aktualisiert am 02.07.2026. Sie spiegelt das aktuelle Verarbeitungs- verzeichnis nach Art. 30 DSGVO wider. Impressum