IFInvoiceFlow

Datenschutzerklärung

Last updated: 9. Juli 2026

Diese Datenschutzerklärung klärt Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten (nachfolgend kurz „Daten") im Rahmen unseres Onlineangebots InvoiceFlow auf. In Bezug auf die verwendeten Begrifflichkeiten verweisen wir auf Art. 4 DSGVO.

1. Verantwortlicher

No Basic Shick
Karl-Fürstenberg-Strasse 39
79618 Rheinfelden, Deutschland
E-Mail: invoiceflowz@n-b-s.pro
Vertretungsberechtigt: Okan Odabas

2. Datenschutzbeauftragter

Wir sind gesetzlich nicht zur Bestellung eines Datenschutz­beauftragten verpflichtet (Art. 37 DSGVO, § 38 BDSG) und haben daher keinen Datenschutz­beauftragten bestellt. Für alle Anliegen rund um den Datenschutz wenden Sie sich bitte an den unter Ziffer 1 genannten Verantwortlichen (Okan Odabas, invoiceflowz@n-b-s.pro).

3. Verarbeitete Datenarten und Zwecke

DatenartZweckRechtsgrundlageSpeicherdauer
Account-Stammdaten (Name, E-Mail, Tenant-Zuordnung)Bereitstellung des DienstesArt. 6(1)(b) DSGVO – VertragVertragsdauer + 30 Tage Reaktivierung
Rechnungsdokumente und extrahierte Beleg­inhalte (Lieferanten, Beträge, IBAN, Verwendungs­zwecke)Kreditoren­workflow / VorkontierungArt. 6(1)(b) DSGVO – Vertrag10 Jahre gem. §147 AO / §132 BAO (handels- u. steuerrechtl. Aufbewahrungspflichten)
Inbound-E-Mails (.eml im Bucket inbound-raw)Nachvollziehbarkeit der QuelleArt. 6(1)(c) + Art. 6(1)(f) DSGVO10 Jahre
Audit-Log (wer hat was wann freigegeben)Compliance, GoBDArt. 6(1)(c) DSGVO10 Jahre
Volltext-Suchindex (Rechnungsnummer, Lieferantenname, Textinhalt der Belege — nur bei aktiviertem Zusatzpaket „Volltextsuche im Archiv")Durchsuchbarkeit des Belegarchivs nach DokumentinhaltArt. 6(1)(b) DSGVO – Vertrag (optionales Zusatzpaket)Solange der zugehörige Beleg besteht (10 Jahre, siehe oben)
Zahlungsdaten (Mollie Customer-/Subscription-IDs, Belege)Abrechnung des AbonnementsArt. 6(1)(b) DSGVO10 Jahre (Rechnungslegung)
Technische Logs (IP-Adresse, Zeitstempel)Sicherheit, Missbrauchs­erkennungArt. 6(1)(f) DSGVO – berechtigtes Interesse14 Tage

4. Empfänger und Auftragsverarbeiter

Wir setzen folgende Auftrags­verarbeiter ein (jeweils auf Basis eines Vertrags gem. Art. 28 DSGVO):

  • Supabase Inc. (USA / EU-Region Frankfurt) — Datenbank, Authentifizierung und Datei-Storage. Standardvertragsklauseln gem. Art. 46 DSGVO.
  • Netlify Inc. (USA / EU-Edge) — Hosting der Web-Anwendung und serverlosen Funktionen. SCC vorhanden.
  • Mollie B.V. (Niederlande, EU) — Zahlungs­abwicklung der Abos.
  • Anthropic PBC (USA) — LLM-gestützte Beleg-Extraktion (Claude). Die Verarbeitung erfolgt entweder unter unserem App-API-Key oder, falls vom Tenant hinterlegt, unter dem tenant­eigenen API-Key. SCC vorhanden. Daten werden NICHT zum Modelltraining verwendet (lt. Anbieter-AGB).
  • OpenAI oder selbst gehostete LLMs — optional, nur falls vom Tenant in den Einstellungen aktiviert.
  • Mailgun Technologies, Inc. (USA, EU-Region) — transaktionaler E-Mail-Versand.
  • [Hosting-Anbieter der Meilisearch-Instanz einsetzen, z. B. Hetzner Online GmbH] (Deutschland/EU) — Server-Infrastruktur für die von uns selbst betriebene Volltextsuch-Komponente (Meilisearch) im Rechnungsarchiv, nur bei aktiviertem Zusatzpaket „Volltextsuche im Archiv". Gespeichert werden Rechnungsnummer, Lieferantenname und der durchsuchbare Textinhalt der Belege (keine Bankdaten, keine Beträge, kein Originaldokument). Verarbeitung ausschliesslich in der EU.

Eine aktuelle Übersicht über alle Auftrags­verarbeiter und die jeweiligen Verarbeitungs­bereiche stellen wir Geschäftskunden auf Anfrage als Annex zum Auftragsverarbeitungs­vertrag (siehe AVV) zur Verfügung.

5. Drittland-Übermittlung

Bei Verarbeitung durch Anbieter mit Sitz in den USA stützen wir uns auf die EU-Standardvertrags­klauseln (SCC, Art. 46 DSGVO) sowie ggf. auf das EU-US Data Privacy Framework (Art. 45 DSGVO), soweit der jeweilige Anbieter zertifiziert ist.

6. Cookies und Local Storage

Wir verwenden nur technisch notwendige Cookies und Local-Storage- Einträge (Auth-Token, Sprach­auswahl, Cookie-Consent-Stand). Eine Einwilligung gem. § 25 TTDSG ist hierfür nicht erforderlich. Es gibt kein Marketing-, Analyse- oder Drittanbieter-Tracking.

7. Ihre Rechte

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) – beachten Sie gesetzliche Aufbewahrungspflichten
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – z.B. die für unseren Sitz zuständige Datenschutzbehörde

Anfragen richten Sie bitte an invoiceflowz@n-b-s.pro. Wir antworten innerhalb der in Art. 12(3) DSGVO vorgesehenen Frist (regelmäßig binnen eines Monats).

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, darunter TLS-Verschlüsselung im Transport, mandantenbezogene Row-Level- Security in der Datenbank, getrennte Storage-Buckets pro Tenant und einen audit-pflichtigen Zugriff für administrative Operationen.

9. Änderungen

Wir können diese Datenschutzerklärung anpassen, wenn sich die rechtliche Lage oder unsere Verarbeitung ändert. Den jeweils aktuellen Stand finden Sie auf dieser Seite (siehe Datum oben).