E-Rechnung Gateway

Datenschutzerklärung

Hinweis: Diese Vorlage ersetzt keine Rechtsberatung. Passen Sie die Texte an Ihre Verarbeitung (Hosting, Supabase, E-Mail, Analytics) an und ergänzen Sie fehlende Pflichtangaben.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Webanwendung ist der im Impressum genannte Anbieter.

2. Hosting und Infrastruktur

Die Anwendung kann auf Infrastruktur von Diensten wie Vercel (Hosting), Supabase (Datenbank, Authentifizierung, Speicher) und weiteren Subprozessoren betrieben werden. Es gelten die jeweiligen Datenschutzhinweise und Auftragsverarbeitungsverträge dieser Anbieter.

3. Authentifizierung

Die Anmeldung erfolgt mit E-Mail-Adresse und Passwort (bzw. bei aktivierter Bestätigung per Bestätigungslink). Dabei werden E-Mail-Adresse und technische Metadaten (z. B. Zeitpunkt der Anmeldung) verarbeitet, soweit dies zur Bereitstellung des Dienstes erforderlich ist.

4. Verarbeitung von Eingangsrechnungen

Zur Erfüllung des Vertrags werden Rechnungsdateien (z. B. XML, PDF/ZUGFeRD), daraus abgeleitete strukturierte Daten und technische Metadaten (Status, Prüfergebnisse, Zeitstempel) verarbeitet und in der Datenbank sowie im Objektspeicher gespeichert. Die Verarbeitung erfolgt zweckgebunden für Annahme, Validierung und Weiterleitung im Rahmen des angebotenen Dienstes.

5. Auftragsverarbeitung und Subprozessoren

Mit Hosting-, Datenbank- und E-Mail-Dienstleistern können Auftragsverarbeitungsverträge (AV-Verträge) gemäß Art. 28 DSGVO geschlossen werden. Typische Kategorien: Hosting (z. B. Vercel), Datenbank und Auth (z. B. Supabase), E-Mail-Zustellung (z. B. Postmark), ggf. Warteschlangen/Cache (z. B. Redis). Eine aktuelle Liste der eingesetzten Dienstleister sollte in Ihren Vertragsunterlagen und ggf. im Auftragsverarbeitungsverzeichnis geführt werden.

6. Speicherfristen und Löschung

Speicherfristen richten sich nach gesetzlichen Aufbewahrungspflichten und dem jeweiligen Vertragszweck. Nach Ablauf werden Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Nutzer können zur Ausübung ihrer Rechte (z. B. Löschung) den im Impressum genannten Kontakt nutzen, sofern dem keine Pflichten entgegenstehen.

7. Technische und organisatorische Maßnahmen

Es kommen geeignete Maßnahmen zum Einsatz, etwa Verschlüsselung der Übertragung (HTTPS), Zugriffskontrollen in der Anwendung (Rollen, Mandantenfähigkeit), sowie eingeschränkte Protokollierung personenbezogener Inhalte in Server-Logs. Details sind betriebsspezifisch festzuhalten.

8. Ihre Rechte

Sie haben nach DSGVO insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren.