Datenschutzerklärung

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für diese Website und die SaaS-Plattform ist:

Florian Berwald, Kleppingstraße 10, 44135 Dortmund, Deutschland

E-Mail:

2. Geltungsbereich und Zwecke der Verarbeitung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Besuch unserer Website, Nutzung unserer Plattform zur automatisierten Rechnungserstellung sowie Nutzung unserer kostenlosen und kostenpflichtigen Tarife.

Unsere Plattform wird genutzt, um Rechnungen zu erstellen, zu versenden und zu verwalten. Dabei verarbeiten wir Daten unserer Nutzer (z. B. Kontodaten, Vertrags- und Abrechnungsdaten) und in deren Auftrag Daten von deren Kunden/Rechnungsempfängern.

3. Rollen im Sinne der DSGVO

  • Für die Verarbeitung personenbezogener Daten unserer Nutzer (Registrierung, Kontoführung, Abrechnung, Kommunikation) sind wir Verantwortlicher nach Art. 4 Nr. 7 DSGVO.
  • Für die Verarbeitung personenbezogener Daten der Kunden unserer Nutzer im Rahmen der Rechnungserstellung handeln wir in der Regel als Auftragsverarbeiter gem. Art. 28 DSGVO. Hierzu wird ein separater Auftragsverarbeitungsvertrag (AVV) abgeschlossen.

4. Verarbeitungstätigkeiten

Nachfolgend sind die zentralen Verarbeitungstätigkeiten unserer Plattform mit Zweck, Datenkategorien, Rechtsgrundlagen, Empfängern, Aufbewahrungsfristen und technischen und organisatorischen Maßnahmen dargestellt.

Kundenverwaltung

  • Zweck: Verwaltung von Kundendaten zur Identifizierung des Rechnungsempfängers
  • Betroffene Personen: Kunden
  • Datenkategorien: Name, Unternehmen, E-Mail, Telefonnummer, Kundennummer
  • Rechtsgrundlage(n): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten)
  • Empfänger: Interne Mitarbeiter, MongoDB Atlas (Hosting-Provider)
  • Auftragsverarbeiter: MongoDB Atlas (Frankfurt)
  • Drittlandübermittlung: Nein
  • Aufbewahrungsfrist: 10 Jahre nach Vertragsende (Handels- und Steuerrecht)
  • Technische und organisatorische Maßnahmen:
    • Zugriffskontrolle
    • TLS-Verschlüsselung
    • Rollen- und Rechtesystem
    • Passwort-Hashing
    • Backups und Wiederherstellungspläne

Rechnungsstellung

  • Zweck: Erstellung und Archivierung von Kundenrechnungen
  • Betroffene Personen: Kunden
  • Datenkategorien: Kundennummer, Rechnungsnummer, Name, Beschreibung, Betrag, Rechnungsdatum, Währung, Zahlungsstatus, Rechnungspositionen
  • Rechtsgrundlage(n): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Pflichten)
  • Empfänger: Stripe Payments Europe Ltd., Google Cloud Storage, MongoDB Atlas (Hosting-Provider)
  • Auftragsverarbeiter: MongoDB Atlas (Frankfurt), Stripe Payments Europe Ltd., Google Cloud Storage (mit DPA)
  • Drittlandübermittlung: Ja – USA (Stripe Inc.) – geeignete Garantien (Standardvertragsklauseln / Angemessenheitsbeschluss)
  • Aufbewahrungsfrist: 10 Jahre gemäß § 147 AO / § 257 HGB
  • Technische und organisatorische Maßnahmen:
    • TLS-Verschlüsselung
    • Protokollierung von Änderungen
    • Zugriffsrechte nach Rolle
    • Verschlüsselung der Daten im Google Cloud Storage (SSE)

Nutzerverwaltung und Authentifizierung

  • Zweck: Bereitstellung von Benutzerkonten und Authentifizierung für Systemzugänge
  • Betroffene Personen: Kunden
  • Datenkategorien: E-Mail, Passwort-Hash, Rollenrechte
  • Rechtsgrundlage(n): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Sicherung der Konten und Systeme)
  • Empfänger: MongoDB Atlas (Hosting-Provider)
  • Auftragsverarbeiter: MongoDB Atlas (Frankfurt)
  • Drittlandübermittlung: Nein
  • Aufbewahrungsfrist: Solange das Benutzerkonto aktiv ist; danach Löschung/Anonymisierung, soweit keine gesetzlichen Pflichten entgegenstehen
  • Technische und organisatorische Maßnahmen:
    • Passwort-Hashing
    • Zugriffsbeschränkung auf Daten des jeweiligen Users

System- und Sicherheitsprotokollierung

  • Zweck: Nachvollziehbarkeit von Systemereignissen, Logins und Änderungen zur Sicherstellung der Integrität und Sicherheit
  • Betroffene Personen: Systemnutzer, Administratoren
  • Datenkategorien: Benutzerkennung, Zeitstempel, Datenbankoperation, Systemkomponente
  • Rechtsgrundlage(n): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsprävention)
  • Empfänger: MongoDB Atlas (Hosting-Provider)
  • Auftragsverarbeiter: MongoDB Atlas (Frankfurt)
  • Drittlandübermittlung: Nein
  • Aufbewahrungsfrist: 6 Monate (Sicherheitskonzept), sofern keine längere Speicherung zur Aufklärung von Sicherheitsvorfällen erforderlich ist
  • Technische und organisatorische Maßnahmen:
    • Eindeutige Zuordnung von Log-Einträgen
    • Eingeschränkter Zugriff auf Logs
    • Manipulationsschutz (z. B. Prüfsummen)

Zahlungsabwicklung

  • Zweck: Abwicklung von Zahlungen über Stripe (z. B. für den Gold-Tarif oder Endkundenzahlungen)
  • Betroffene Personen: Kunden, Zahlende Personen
  • Datenkategorien: Name, E-Mail, Transaktions-ID, Stripe-Customer-ID, Zahlungsbetrag, Zahlungsmittel (in Stripe verarbeitet)
  • Rechtsgrundlage(n): Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Zahlungs-/Nutzungsvertrags), Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten), Art. 6 Abs. 1 lit. f DSGVO (Interesse an sicherer Zahlungsabwicklung)
  • Empfänger: Stripe Payments Europe Ltd.
  • Auftragsverarbeiter: Stripe Payments Europe Ltd., MongoDB Atlas (Frankfurt)
  • Drittlandübermittlung: Ja – USA (Stripe Inc.) – geeignete Garantien (Standardvertragsklauseln / Angemessenheitsbeschluss)
  • Aufbewahrungsfrist: 10 Jahre (steuerliche Aufbewahrungspflichten)
  • Technische und organisatorische Maßnahmen:
    • TLS-Verschlüsselung
    • API-Zugriffsschutz
    • Keine Speicherung von vollständigen Kreditkartendaten im eigenen System

Newsletter und E-Mail-Kommunikation (optional)

  • Zweck: Versand von Newslettern, Produktupdates und Angeboten nach ausdrücklicher Einwilligung (Double-Opt-in)
  • Betroffene Personen: Interessenten, Kunden
  • Datenkategorien: E-Mail-Adresse, Name (optional), Zeitpunkt und IP des Opt-ins (Nachweis), E-Mail-Interaktionen (Öffnungs-/Klickraten, optional)
  • Rechtsgrundlage(n): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 7 UWG (soweit anwendbar)
  • Empfänger: E-Mail-Versanddienstleister
  • Auftragsverarbeiter: E-Mail-Versanddienstleister (Auftragsverarbeitung, Art. 28 DSGVO)
  • Drittlandübermittlung: Je nach Anbieter; Übermittlung nur mit geeigneten Garantien (Art. 44 ff. DSGVO: z. B. EU-Standardvertragsklauseln / Angemessenheitsbeschluss)
  • Aufbewahrungsfrist: Bis zum Widerruf der Einwilligung; Opt-in-Nachweis bis zum Ablauf der Verjährungsfristen
  • Technische und organisatorische Maßnahmen:
    • Double-Opt-in und Protokollierung
    • Abmeldelink in jeder E-Mail
    • TLS-Verschlüsselung beim Versand
    • Datenschutzkonformer Vertrag mit Versanddienstleister

5. Registrierung und Nutzung der Plattform

Zur Nutzung unserer Plattform ist ein Benutzerkonto erforderlich. Wir verarbeiten hierzu insbesondere Stamm- und Kontaktdaten, Zugangsdaten, Rollen und Nutzungsdaten. Die Verarbeitung dient der Bereitstellung und Verwaltung des Kontos sowie der Durchführung des Nutzungsvertrags (inkl. Free- und Gold-Tarif).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit der Konten und Systeme).

6. Daten der Rechnungsempfänger (Auftragsverarbeitung)

Die im Rahmen der automatisierten Rechnungserstellung verarbeiteten Daten Ihrer Kunden (Rechnungsempfänger) verarbeiten wir ausschließlich nach Ihrer Weisung. Sie bleiben für diese Daten Verantwortlicher. Bitte informieren Sie Ihre Kunden in Ihrer eigenen Datenschutzerklärung über den Einsatz unserer Plattform als Dienstleister.

7. Newsletter und E-Mail-Kommunikation (optional)

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse und – falls angegeben – Ihren Namen, um Ihnen regelmäßig Informationen zu Produkten, Funktionen und Angeboten zuzusenden. Der Versand erfolgt erst nach Ihrer ausdrücklichen Einwilligung im Double-Opt-in-Verfahren. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, z. B. über den Abmeldelink in jeder E-Mail oder per E-Mail an .

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und – soweit einschlägig – § 7 UWG. Zum Nachweis des Opt-ins speichern wir Zeitpunkt, IP-Adresse und den Inhalt der Einwilligung.

Für den Versand setzen wir einen E-Mail-Versanddienstleister ein (Auftragsverarbeitung, Art. 28 DSGVO). Eine Übermittlung in Drittländer erfolgt nur unter den Voraussetzungen der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln / Angemessenheitsbeschluss).

Zur Optimierung unseres Newsletters können wir statistisch auswerten, ob E-Mails geöffnet und welche Links angeklickt werden (Öffnungs- und Klickraten). Diese Auswertungen sind optional und dienen der Verbesserung unseres Angebots. Sie können dem Tracking jederzeit widersprechen, indem Sie sich vom Newsletter abmelden.

Wir speichern Ihre Newsletter-Daten bis zum Widerruf der Einwilligung. Den Nachweis des Opt-ins bewahren wir bis zum Ablauf der gesetzlichen Verjährungsfristen auf.

8. Einsatz von Google Analytics

Wir setzen auf unserer Website den Webanalysedienst Google Analytics ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Google Analytics ermöglicht uns, das Nutzungsverhalten auf unserer Website auszuwerten, um unser Angebot technisch zu optimieren und nutzerfreundlicher zu gestalten.

Google Analytics wird nur nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-/Consent-Banner aktiviert (Opt-in). Ohne Ihre Einwilligung erfolgt keine Analyse durch Google Analytics. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Google verarbeitet in unserem Auftrag Informationen darüber, wie Sie unsere Website nutzen, z. B.: aufgerufene Seiten, Zeitstempel, ungefähre Standortinformationen (auf Basis der IP-Adresse), technische Informationen zu verwendeten Endgeräten und Browsern sowie Interaktionen (z. B. Klicks, Scrollverhalten). Die durch Google Analytics erhobenen Daten werden in der Regel auf Servern von Google verarbeitet.

Wir verwenden Google Analytics in der aktuell von Google bereitgestellten Version Google Analytics 4 (GA4). Nach Angaben von Google werden IP-Adressen bei der Nutzung von GA4 nicht dauerhaft gespeichert, sondern nur kurzzeitig zur Ableitung grober Standortdaten genutzt und anschließend gelöscht bzw. anonymisiert. Uns liegen keine IP-Adressen im Klartext vor.

Es kann nicht ausgeschlossen werden, dass Daten von Google auch an Konzerngesellschaften in Drittstaaten (insbesondere die USA) übermittelt werden. In diesen Fällen stützt sich Google nach eigenen Angaben auf geeignete Garantien im Sinne der Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln und ggf. Angemessenheitsbeschlüsse).

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen über unseren Consent-Banner anpassen (z. B. durch erneutes Öffnen des Banners oder die entsprechende Funktion in der Fußzeile, sofern vorhanden). Darüber hinaus können Sie die Erfassung und Verarbeitung Ihrer Daten durch Google Analytics auch über ein von Google angebotenes Browser-Add-on verhindern: https://tools.google.com/dlpage/gaoptout .

Weitere Informationen zur Datenverarbeitung durch Google finden Sie in der Datenschutzerklärung von Google unter: https://policies.google.com/privacy .

9. Zahlungsabwicklung über Stripe

Für digitale Zahlungen (z. B. Transaktionsabwicklung, Tarife wie „Gold“) nutzen wir den Zahlungsdienstleister Stripe. Die Verarbeitung umfasst u. a. Zahlungsbeträge, Transaktionskennungen und die Zuordnung zu Ihrem Konto.

Stripe verarbeitet Zahlungsdaten eigenverantwortlich nach den dort geltenden Bedingungen. Wir speichern keine vollständigen Kreditkartendaten in unserem System.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Zahlung), Art. 6 Abs. 1 lit. c DSGVO (steuerliche Pflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (Interesse an sicherer Zahlungsabwicklung).

10. Empfänger von personenbezogenen Daten

Daten werden nur an Dritte übermittelt, soweit dies für die genannten Zwecke erforderlich ist, eine gesetzliche Pflicht besteht, eine Einwilligung vorliegt oder ein berechtigtes Interesse überwiegt.

  • Hosting- und Infrastrukturprovider (z. B. MongoDB Atlas, Cloud-Hosting)
  • Zahlungsdienstleister (insbesondere Stripe)
  • E-Mail-Versanddienstleister für Newsletter/Transaktionsmails
  • Kommunikations- und Supportdienstleister
  • Steuerberater, Rechtsanwälte, Behörden im Rahmen gesetzlicher Pflichten

11. Datenübermittlung in Drittländer

Eine Übermittlung in Staaten außerhalb der EU/des EWR erfolgt nur, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt oder geeignete Garantien (z. B. EU-Standardvertragsklauseln) bestehen oder eine gesetzliche Ausnahme greift.

12. Speicherdauer

Wir speichern personenbezogene Daten nur solange, wie es für die jeweiligen Zwecke erforderlich ist. Darüber hinaus richten sich Aufbewahrungsfristen nach handels- und steuerrechtlichen Vorgaben (in der Regel 6 bis 10 Jahre) sowie nach gesetzlichen Verjährungsfristen.

13. Technische und organisatorische Maßnahmen

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten angemessen zu schützen, darunter Zugriffsbeschränkungen, Verschlüsselung, regelmäßige Updates und interne Richtlinien. Konkrete Maßnahmen ergeben sich ergänzend aus den oben beschriebenen Verarbeitungstätigkeiten.

14. Rechte der betroffenen Personen

Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen.

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Anfragen richten Sie bitte an .

Zudem besteht das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

16. Letzte Aktualisierung

09.11.2025