Diese Datenschutzerklärung klärt Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten (nachfolgend kurz „Daten") im Rahmen unseres Onlineangebots InvoiceFlow auf. In Bezug auf die verwendeten Begrifflichkeiten verweisen wir auf Art. 4 DSGVO.
1. Verantwortlicher
No Basic Shick
Karl-Fürstenberg-Strasse 39
79618 Rheinfelden, Deutschland
E-Mail: invoiceflowz@n-b-s.pro
Vertretungsberechtigt: Okan Odabas
2. Datenschutzbeauftragter
Wir sind gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (Art. 37 DSGVO, § 38 BDSG) und haben daher keinen Datenschutzbeauftragten bestellt. Für alle Anliegen rund um den Datenschutz wenden Sie sich bitte an den unter Ziffer 1 genannten Verantwortlichen (Okan Odabas, invoiceflowz@n-b-s.pro).
3. Verarbeitete Datenarten und Zwecke
| Datenart | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Account-Stammdaten (Name, E-Mail, Tenant-Zuordnung) | Bereitstellung des Dienstes | Art. 6(1)(b) DSGVO – Vertrag | Vertragsdauer + 30 Tage Reaktivierung |
| Rechnungsdokumente und extrahierte Beleginhalte (Lieferanten, Beträge, IBAN, Verwendungszwecke) | Kreditorenworkflow / Vorkontierung | Art. 6(1)(b) DSGVO – Vertrag | 10 Jahre gem. §147 AO / §132 BAO (handels- u. steuerrechtl. Aufbewahrungspflichten) |
| Inbound-E-Mails (.eml im Bucket inbound-raw) | Nachvollziehbarkeit der Quelle | Art. 6(1)(c) + Art. 6(1)(f) DSGVO | 10 Jahre |
| Audit-Log (wer hat was wann freigegeben) | Compliance, GoBD | Art. 6(1)(c) DSGVO | 10 Jahre |
| Volltext-Suchindex (Rechnungsnummer, Lieferantenname, Textinhalt der Belege — nur bei aktiviertem Zusatzpaket „Volltextsuche im Archiv") | Durchsuchbarkeit des Belegarchivs nach Dokumentinhalt | Art. 6(1)(b) DSGVO – Vertrag (optionales Zusatzpaket) | Solange der zugehörige Beleg besteht (10 Jahre, siehe oben) |
| Zahlungsdaten (Mollie Customer-/Subscription-IDs, Belege) | Abrechnung des Abonnements | Art. 6(1)(b) DSGVO | 10 Jahre (Rechnungslegung) |
| Technische Logs (IP-Adresse, Zeitstempel) | Sicherheit, Missbrauchserkennung | Art. 6(1)(f) DSGVO – berechtigtes Interesse | 14 Tage |
4. Empfänger und Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein (jeweils auf Basis eines Vertrags gem. Art. 28 DSGVO):
- Supabase Inc. (USA / EU-Region Frankfurt) — Datenbank, Authentifizierung und Datei-Storage. Standardvertragsklauseln gem. Art. 46 DSGVO.
- Netlify Inc. (USA / EU-Edge) — Hosting der Web-Anwendung und serverlosen Funktionen. SCC vorhanden.
- Mollie B.V. (Niederlande, EU) — Zahlungsabwicklung der Abos.
- Anthropic PBC (USA) — LLM-gestützte Beleg-Extraktion (Claude). Die Verarbeitung erfolgt entweder unter unserem App-API-Key oder, falls vom Tenant hinterlegt, unter dem tenanteigenen API-Key. SCC vorhanden. Daten werden NICHT zum Modelltraining verwendet (lt. Anbieter-AGB).
- OpenAI oder selbst gehostete LLMs — optional, nur falls vom Tenant in den Einstellungen aktiviert.
- Mailgun Technologies, Inc. (USA, EU-Region) — transaktionaler E-Mail-Versand.
- [Hosting-Anbieter der Meilisearch-Instanz einsetzen, z. B. Hetzner Online GmbH] (Deutschland/EU) — Server-Infrastruktur für die von uns selbst betriebene Volltextsuch-Komponente (Meilisearch) im Rechnungsarchiv, nur bei aktiviertem Zusatzpaket „Volltextsuche im Archiv". Gespeichert werden Rechnungsnummer, Lieferantenname und der durchsuchbare Textinhalt der Belege (keine Bankdaten, keine Beträge, kein Originaldokument). Verarbeitung ausschliesslich in der EU.
Eine aktuelle Übersicht über alle Auftragsverarbeiter und die jeweiligen Verarbeitungsbereiche stellen wir Geschäftskunden auf Anfrage als Annex zum Auftragsverarbeitungsvertrag (siehe AVV) zur Verfügung.
5. Drittland-Übermittlung
Bei Verarbeitung durch Anbieter mit Sitz in den USA stützen wir uns auf die EU-Standardvertragsklauseln (SCC, Art. 46 DSGVO) sowie ggf. auf das EU-US Data Privacy Framework (Art. 45 DSGVO), soweit der jeweilige Anbieter zertifiziert ist.
6. Cookies und Local Storage
Wir verwenden nur technisch notwendige Cookies und Local-Storage- Einträge (Auth-Token, Sprachauswahl, Cookie-Consent-Stand). Eine Einwilligung gem. § 25 TTDSG ist hierfür nicht erforderlich. Es gibt kein Marketing-, Analyse- oder Drittanbieter-Tracking.
7. Ihre Rechte
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) – beachten Sie gesetzliche Aufbewahrungspflichten
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – z.B. die für unseren Sitz zuständige Datenschutzbehörde
Anfragen richten Sie bitte an invoiceflowz@n-b-s.pro. Wir antworten innerhalb der in Art. 12(3) DSGVO vorgesehenen Frist (regelmäßig binnen eines Monats).
8. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, darunter TLS-Verschlüsselung im Transport, mandantenbezogene Row-Level- Security in der Datenbank, getrennte Storage-Buckets pro Tenant und einen audit-pflichtigen Zugriff für administrative Operationen.
9. Änderungen
Wir können diese Datenschutzerklärung anpassen, wenn sich die rechtliche Lage oder unsere Verarbeitung ändert. Den jeweils aktuellen Stand finden Sie auf dieser Seite (siehe Datum oben).