Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer im Rahmen der nachfolgend beschriebenen Verarbeitungstätigkeiten. „Verarbeitung" und „personenbezogene Daten" werden im Sinne der Art. 4 Nr. 1 und Nr. 2 DSGVO verwendet.
Datenkategorien: Firmenname, Anschrift, USt-IdNr., Bankverbindung,
Rechnungspositionen, Zahlungsstatus, Belegnummern, Zeiträume.
Zweck: Erfüllung steuerrechtlicher Pflichten (§§ 14, 14a UStG,
§§ 140 ff. AO, GoBD) und vertraglicher Abrechnungspflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung),
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
Speicherdauer: 10 Jahre ab Ende des Kalenderjahres der
Rechnungsstellung (§ 147 Abs. 3 AO).
Datenkategorien: Name, Firma, Anschrift, Telefonnummern,
E-Mail-Adressen, Ansprechpartner, Notizen zur Geschäftsbeziehung.
Zweck: Anbahnung, Pflege und Abwicklung der Geschäftsbeziehung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung
und vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an
effizienter Kundenpflege).
Speicherdauer: Dauer der Geschäftsbeziehung zzgl. handels- und
steuerrechtlicher Aufbewahrungsfristen (6 bzw. 10 Jahre).
Datenkategorien: E-Mail-Adresse, Passwort-Hash, TOTP-Geheimnis
(verschlüsselt), Backup-Codes (verschlüsselt), Session-IP, User-Agent,
Login-Zeitstempel, fehlgeschlagene Login-Versuche.
Zweck: Zugriffskontrolle, Schutz vor unbefugten Zugriffen,
Brute-Force-Erkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung),
Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Verarbeitung gemäß Art. 32 DSGVO).
Speicherdauer: Sitzungsdaten bis zum Sitzungsende; Login-Logs
90 Tage; Konto-Stammdaten bis zur Konto-Löschung.
Datenkategorien: Rechnungs-ID, Kunden-ID, Betrag, Währung,
Zahlungsstatus, Stripe-Session-IDs (keine Kartendaten — die Eingabe erfolgt
direkt bei Stripe).
Zweck: Abwicklung von Online-Zahlungen über den Stripe-Checkout.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: 10 Jahre (§ 147 AO) gemeinsam mit dem Rechnungsbeleg.
Datenkategorien: Empfänger-E-Mail, Name, Mail-Inhalt
(Rechnungsnummer, Beträge, Vertrags-Codes), Versand-Zeitstempel, Zustellstatus.
Zweck: Versand von Rechnungen, Mahnungen, Vertrags-Codes,
Passwort-Reset-Links und sonstigen für die Geschäftsbeziehung erforderlichen
Nachrichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung),
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an verlässlicher Kommunikation).
Speicherdauer: Versand-Logs 90 Tage; Mail-Anhänge (PDFs) gemäß
Aufbewahrungspflichten des zugrundeliegenden Belegs.
Datenkategorien: User-ID, IP-Adresse, User-Agent, durchgeführte
Aktion, Zeitstempel, betroffene Datensätze (vorher/nachher).
Zweck: Nachweisbarkeit nach GoBD, Erkennung und Aufklärung von
Missbrauchsversuchen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche
Verpflichtung — GoBD/AO), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Verarbeitung).
Speicherdauer: 10 Jahre für GoBD-relevante Einträge,
12 Monate für reine Sicherheits-Events.
Wir setzen die folgenden Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. Mit allen Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 Abs. 3 DSGVO. Drittland-Transfers sind durch das EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln (SCC 2021/914) abgesichert.
| Anbieter | Sitz | Zweck | Drittland |
|---|---|---|---|
| Mittwald CM Service GmbH & Co. KG | Deutschland | Hosting der Anwendung und der Datenbanken | nein |
| Stripe Payments Europe Ltd. / Stripe, Inc. | Irland / USA | Online-Zahlungsabwicklung (Checkout, SEPA, Webhooks) | ja — DPF + SCC |
| Postmark (Wildbit, LLC) — optional, bei Aktivierung | USA | Versand transaktionaler E-Mails | ja — DPF + SCC |
| Druck- und Versanddienstleister für Briefpost | Deutschland | Postalischer Versand von Rechnungen und Pflichtinformationen | nein |
| WhatsApp Ireland Ltd. / Meta Platforms, Inc. | Irland / USA | Versand von Vertrags-Signatur-Codes via WhatsApp Cloud API | ja — DPF + SCC |
Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Anwendung erforderlich sind (verschlüsselter Session-Cookie inklusive CSRF-Schutz sowie ein kurzlebiger Hinweis-Cookie, der die Erinnerung zur Zwei-Faktor-Aktivierung für 24 Stunden ausblendet). Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies und binden keine Drittanbieter-Skripte oder -Schriften (z. B. Google Fonts) per CDN ein.
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweils verfolgten Zwecke erforderlich ist oder wir gesetzlich (z. B. § 147 AO, § 257 HGB) dazu verpflichtet sind. Konkrete Fristen sind in Abschnitt 2 pro Verarbeitung benannt.
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an — nicht hinterlegt, bitte in den Einstellungen ergänzen — .
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
Für uns zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.
Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, insbesondere TLS-Transportverschlüsselung, verschlüsselte Speicherung sensibler Felder (z. B. TOTP-Secrets, Backup-Codes, Bankdaten), rollenbasierte Zugriffskontrolle, Audit-Logging und Multi-Tenancy mit logischer und physischer Datentrennung pro Mandant.
Die Bereitstellung personenbezogener Daten ist teils gesetzlich (z. B. steuerrechtlich), teils vertraglich erforderlich. Ohne die Bereitstellung dieser Daten ist eine Vertragsanbahnung oder -durchführung nicht möglich.
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Ein etwaiger Einsatz KI-gestützter Assistenzfunktionen erfolgt ausschließlich intern und ohne Personenbezug in den Prompts.