Datenschutzerklärung für InvoPlanner

Web-App für Rechnungen, Angebote und Kundenverwaltung

Version 1.0

App-Name InvoPlanner
Plattform Web (invoplanner.de)
Anbieter Digital-e UG (haftungsbeschränkt)
Sprache Deutsch

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Website invoplanner.de, der InvoPlanner-Web-App, der zugehörigen API sowie der Abonnement- und Zahlungsfunktionen. Sie richtet sich an Website-Besucher, registrierte Nutzer, Teammitglieder, eingeladene Personen, Rechnungskunden/Ansprechpartner, soweit deren Daten in InvoPlanner verarbeitet werden, sowie SaaS-Abrechnungskunden.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Digital-e UG (haftungsbeschränkt)
Geschäftsführer: Kurt Laabs
Norderstraße 47
25436 Tornesch, Deutschland

E-Mail: anfrage@digital-e.org

Datenschutzanfragen können jederzeit an die oben genannte E-Mail-Adresse gerichtet werden.

Einen Datenschutzbeauftragten haben wir nicht bestellt, da die gesetzlichen Voraussetzungen hierfür, insbesondere nach § 38 BDSG, derzeit nicht vorliegen. Datenschutzanfragen richten Sie bitte an die oben genannte E-Mail-Adresse.

2. Rollen bei der Verarbeitung

Wir sind Verantwortlicher für Datenverarbeitungen, die wir zu eigenen Zwecken vornehmen, insbesondere für:

  • Betrieb der Website, App, API und Sicherheitsinfrastruktur.
  • Registrierung, Login, Account- und Teamverwaltung.
  • Vertragsdurchführung, SaaS-Abonnements, Zahlungsabwicklung und eigene Rechnungsstellung.
  • Missbrauchsschutz, technische Logs, Audit- und Sicherheitsnachweise.
  • Bearbeitung von Anfragen und Betroffenenrechten.

Soweit Nutzer in InvoPlanner Daten ihrer eigenen Kunden, Ansprechpartner, Leistungsempfänger, Rechnungsempfänger oder sonstiger Dritter eingeben und diese Daten ausschließlich zur Nutzung der App verarbeiten lassen, handeln wir grundsätzlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Verantwortlich für Rechtmäßigkeit, Informationspflichten und Berechtigungen gegenüber diesen Dritten bleibt dann der jeweilige Nutzer bzw. Mandant. Hierfür ist ein Vertrag zur Auftragsverarbeitung abzuschließen, soweit personenbezogene Daten Dritter in InvoPlanner verarbeitet werden.

3. Allgemeine Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage besteht:

  • Art. 6 Abs. 1 lit. b DSGVO: Erfüllung eines Vertrags oder vorvertragliche Maßnahmen, insbesondere Account, App-Nutzung, Dokumentenerstellung, E-Mail-Versand, Abonnement und Abrechnung.
  • Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Pflichten, insbesondere handels- und steuerrechtliche Aufbewahrungspflichten sowie Nachweis- und Mitwirkungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen, insbesondere sicherer technischer Betrieb, Schutz vor Missbrauch, Bot-Abwehr, Fehleranalyse, Rate Limiting, Audit-Trail, Integritätsnachweise, Durchsetzung von Ansprüchen und Verbesserung der Stabilität.
  • Art. 6 Abs. 1 lit. a DSGVO: Einwilligung, soweit eine Verarbeitung ausdrücklich auf eine Einwilligung gestützt wird. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Soweit Cookies, Local Storage, IndexedDB oder vergleichbare Technologien auf einem Endgerät eingesetzt oder ausgelesen werden, beachten wir zusätzlich § 25 TDDDG. Für technisch unbedingt erforderliche Speicherungen stützen wir uns auf § 25 Abs. 2 Nr. 2 TDDDG. Für nicht erforderliche Speicherungen wird eine Einwilligung eingeholt, sofern solche Funktionen eingesetzt werden.

4. Bereitstellung von Website, App und API

Beim Aufruf von invoplanner.de, der App und der API werden technisch erforderliche Daten verarbeitet:

  • IP-Adresse.
  • Datum und Uhrzeit des Zugriffs.
  • angeforderte URL, HTTP-Methode, Statuscode und übertragene Datenmenge.
  • Browsertyp, Betriebssystem, Spracheinstellungen, User-Agent.
  • Referrer, Header, TLS- und Sicherheitsinformationen.
  • Request-IDs und technische Fehlerdaten.

Zwecke sind die Auslieferung der Website und App, Lastverteilung, Sicherheit, Fehlerdiagnose, Missbrauchserkennung und Nachweis der Systemstabilität. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Bei eingeloggten Nutzern ist zusätzlich Art. 6 Abs. 1 lit. b DSGVO einschlägig, soweit die Verarbeitung für die Bereitstellung des Vertragsdienstes erforderlich ist.

Cloudflare

Wir nutzen hierfür Dienste von Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA, insbesondere Cloudflare Pages, Cloudflare Workers, Cloudflare D1, Cloudflare Durable Objects, Cloudflare Cron/Worker-Trigger und Cloudflare Observability/Workers Logs. Cloudflare kann hierbei als Auftragsverarbeiter oder Unterauftragsverarbeiter eingesetzt werden.

Cloudflare verarbeitet Daten als globaler Anbieter auch außerhalb der EU bzw. des EWR. Soweit Daten in die USA übermittelt werden, stützt sich die Übermittlung je nach Dienst und Vertragslage auf den EU-US Data Privacy Framework-Angemessenheitsbeschluss, Standardvertragsklauseln und ergänzende Schutzmaßnahmen. Die Cloudflare-D1-Datenbank und der für Versandplanung genutzte Cloudflare-Durable-Object-Namespace sind nach aktueller Produktivangabe mit EU-Jurisdiktion konfiguriert. Diese Jurisdiktion bezieht sich auf die jeweilige D1-Datenbank bzw. das Durable Object selbst; andere Cloudflare-Verarbeitungen wie Pages, Worker-Ausführung, Turnstile, Observability/Logs, Cron-Trigger und ausgehende Subrequests können eigenen Speicherort-, Routing- und Transferregeln unterliegen.

Cloudflare Workers Logs/Observability können technische Requestdaten, Fehlermeldungen und von uns ausgegebene Logeinträge enthalten. In der aktuellen Worker-Konfiguration ist Observability aktiviert; ohne abweichende Sampling-Konfiguration werden Logs nach Cloudflare-Default mit einem head_sampling_rate von 1, also 100 %, erfasst. Die Aufbewahrung richtet sich nach dem gebuchten Cloudflare-Plan; nach aktuellem Cloudflare-Default sind Workers Logs im Free-Plan 3 Tage und im Paid-Plan 7 Tage verfügbar. In der App werden Logs möglichst PII-arm ausgestaltet; technisch notwendige Fehlerdaten können gleichwohl personenbezogen sein.

5. Registrierung, Login und Konto

Für Registrierung, Login, E-Mail-Verifikation, Passwort-Reset und Authentifizierung nutzen wir Firebase Authentication sowie bei optionaler Nutzung Google Sign-In. Anbieter ist Google; für Firebase-Dienste gelten die einschlägigen Firebase- und Google-Bedingungen.

Verarbeitet werden insbesondere:

  • E-Mail-Adresse.
  • Passwort bei Registrierung/Login/Reset gegenüber Firebase; wir speichern das Passwort nicht in unserer eigenen Datenbank.
  • Firebase UID bzw. OIDC-Subject.
  • ID-Token, Refresh-/Sessiondaten und Verifikationsstatus.
  • Anzeigename und optional Profilbild-URL, sofern über Google/Firebase bereitgestellt.
  • Zeitpunkte von Registrierung, Login, Verifikation und letztem Login.
  • technische Daten wie IP-Adresse, User-Agent und Sicherheitsmetadaten.

Bei Google Sign-In werden Nutzer aktiv zu Google geleitet bzw. ein Google-Authentifizierungsfluss gestartet. Dabei verarbeitet Google eigene Account-, Sicherheits- und Protokolldaten. Google Sign-In ist optional; alternativ kann E-Mail/Passwort genutzt werden, soweit diese Loginart angeboten wird.

Die App speichert in unserer D1-Datenbank eigene Nutzerdaten wie interne Nutzer-ID, Firebase/OIDC-Subject, E-Mail-Adresse, Anzeigename, optional Avatar-URL, Status, Mitgliedschaften und Zeitstempel. Beim ersten Login kann automatisch ein persönlicher Workspace/Tenant angelegt werden; dessen Name oder Slug kann aus Anzeigename oder E-Mail-Adresse abgeleitet sein.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Account und Login sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Tokenprüfung, Missbrauchsschutz und Integrität der Authentifizierung. Bei internationalen Übermittlungen durch Google/Firebase kommen je nach Dienst der EU-US Data Privacy Framework-Angemessenheitsbeschluss, Standardvertragsklauseln und ergänzende Schutzmaßnahmen in Betracht.

Die Firebase-Auth-Hilfsroute /__/auth/* wird über unsere Domain bereitgestellt und technisch an das Firebase-Hosting-Projekt weitergeleitet, damit Authentifizierungsabläufe auf invoplanner.de funktionieren.

6. Cloudflare Turnstile

Auf der Registrierungsseite kann Cloudflare Turnstile eingesetzt werden, sofern ein Sitekey konfiguriert ist. Turnstile dient dem Schutz vor automatisierten Registrierungen, Spam, Missbrauch und Angriffen.

Dabei werden insbesondere verarbeitet:

  • IP-Adresse.
  • Turnstile-Token.
  • Browser-, Geräte-, TLS-, User-Agent-, Sitekey- und Interaktionssignale.
  • Ergebnis der Prüfung und technische Fehlercodes.

Der Browser lädt hierzu https://challenges.cloudflare.com/turnstile/v0/api.js. Unser Worker sendet das Turnstile-Token und, soweit verfügbar, die IP-Adresse an die Cloudflare-Siteverify-Schnittstelle.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Absicherung der Registrierung und des Dienstes gegen Missbrauch. Soweit Turnstile auf Endgeräteinformationen zugreift oder Informationen speichert, stützen wir dies auf § 25 Abs. 2 Nr. 2 TDDDG, soweit der Einsatz für die sichere Bereitstellung des ausdrücklich gewünschten Registrierungsdienstes unbedingt erforderlich ist. Ist dies im konkreten Einsatz nicht gegeben, wäre eine Einwilligung einzuholen oder Turnstile entsprechend anzupassen.

7. Nutzung der App und Workspace-Daten

Bei Nutzung von InvoPlanner verarbeiten wir Daten, die Nutzer selbst eingeben, erzeugen oder importieren. Dazu gehören insbesondere:

  • Account-, Nutzer-, Rollen-, Mitgliedschafts- und Einladungsdaten.
  • Workspace-/Tenant-Daten, Plan, Status, Limits und Zeitstempel.
  • Unternehmens- und Absenderdaten des Mandanten, zum Beispiel Name, Adresse, E-Mail, Telefon, Website, Rechtsform, Registerangaben, USt-ID, Steuernummer, Kleinunternehmerstatus, Bankdaten, Logo, Sprache, PDF- und E-Mail-Präferenzen.
  • Kunden- und Ansprechpartnerdaten, zum Beispiel Name, Anschrift, E-Mail, Telefon, Rolle/Funktion, USt-ID, Zahlungsbedingungen, Tags, Standardsprache und E-Mail-Vorlagen.
  • Dokumentdaten zu Rechnungen, Angeboten, Aufträgen, Auftragsbestätigungen, Lieferscheinen, Mahnungen, Stornos und Gutschriften.
  • Positionen, Leistungsbeschreibungen, Preise, Mengen, Steuerdaten, Leistungszeiträume, Fälligkeiten, Zahlungsstatus und Freitexte.
  • Zahlungsdaten wie Betrag, Datum, Methode, Referenz und Notizen.
  • Versandjobs, Wiederholungen, Fehlerstatus und Retry-Informationen.
  • Auswertungen, Steuerreports, CSV-/PDF-Exporte und Audit-Exporte.
Hinweis zu Freitextfeldern: Freitextfelder können beliebige personenbezogene Daten enthalten, wenn Nutzer diese eingeben. Nutzer sollten daher keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO oder sonstige nicht erforderliche sensible Informationen in Freitexten, Notizen, Betreffzeilen, Positionsbeschreibungen, Zahlungsreferenzen oder Audit-Kommentaren speichern.

Rechtsgrundlage gegenüber registrierten Nutzern ist Art. 6 Abs. 1 lit. b DSGVO. Für Daten Dritter, die Nutzer in der App verwalten, erfolgt die Verarbeitung regelmäßig im Auftrag des jeweiligen Nutzers/Mandanten nach Art. 28 DSGVO. Soweit wir Daten für eigene Sicherheits-, Abrechnungs- oder Nachweiszwecke verarbeiten, gelten Art. 6 Abs. 1 lit. f bzw. Art. 6 Abs. 1 lit. c DSGVO.

8. Teammitglieder und Einladungen

Owner oder Administratoren können weitere Personen in einen Workspace einladen. Dabei verarbeiten wir:

  • E-Mail-Adresse der eingeladenen Person.
  • Rolle, Status, Token, Ablaufdatum und Annahmezeitpunkt.
  • einladenden Nutzer, Tenant-Name und Invite-Link.
  • Audit- und Versandinformationen.

Die Einladung wird per E-Mail versendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Teamfunktion und Art. 6 Abs. 1 lit. f DSGVO für Nachweis, Sicherheit und Missbrauchsschutz.

9. PDF-Erzeugung, Downloads und externe Logo-URLs

Für PDF-Vorschau, PDF-Download, Rechnungs-PDFs und SaaS-Rechnungen werden Dokument-, Kunden-, Absender-, Steuer-, Zahlungs- und Layoutdaten an einen von uns auf einem eigenen Server betriebenen Node-/PDF-Backenddienst übermittelt. Der Dienst erzeugt PDFs mit React-PDF im Arbeitsspeicher. Nach dem aktuellen technischen Konzept wird kein dauerhafter PDF-Cache im Backend gespeichert.

Der Backenddienst verarbeitet je nach Vorgang:

  • Dokumentdaten und Dokumentpositionen.
  • Kunden- und Ansprechpartnerdaten.
  • Unternehmens-, Steuer- und Bankdaten des Mandanten.
  • SaaS-Rechnungsdaten.
  • PDF-Template, Sprache, Layout- und Farbeinstellungen.
  • technische Request- und Fehlerdaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für die Vertragserfüllung und Art. 6 Abs. 1 lit. f DSGVO für Fehlerdiagnose und Betriebssicherheit.

Wenn ein Nutzer eine externe HTTPS-Logo-URL hinterlegt, ruft das Backend diese URL serverseitig ab, um das Logo in PDFs einzubinden. Dabei werden technische Requestdaten des Backendservers an den externen Logo-Host übermittelt. Die URL selbst kann personenbezogene oder vertrauliche Informationen enthalten, wenn der Nutzer sie entsprechend wählt. Wir empfehlen, Logos direkt einzubetten oder hochzuladen und keine externen Logo-URLs zu verwenden, die personenbezogene Daten enthalten.

Backend-Logs des Node-/PDF-/Mail-Dienstes dienen Fehlerdiagnose, Sicherheit, Rate Limiting und Fraud-/Missbrauchsprävention. Sie sind PII-arm ausgestaltet; Empfängeradressen, Betreffzeilen, vollständige externe Logo-URLs oder sprechende Attachment-Namen werden nicht dauerhaft in Klartext geloggt.

10. E-Mail-Versand über IONOS und Empfänger-Mailserver

Für den Versand transaktionaler E-Mails, insbesondere Rechnungen, Angebote, Auftragsbestätigungen, Lieferscheine, Mahnungen, Stornos, Gutschriften, Team-Einladungen und Systemmails, nutzen wir einen Node-Maildienst und SMTP über IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. Mit IONOS ist eine Vereinbarung zur Auftragsverarbeitung abgeschlossen.

Dabei werden verarbeitet:

  • Empfängeradressen in An, CC und BCC.
  • Absender-Anzeigename und Reply-To-Adresse.
  • Betreff, Text- und HTML-Inhalt.
  • PDF-Anhänge und sonstige erlaubte Anhänge.
  • Dokument-, Kunden-, Ansprechpartner-, Unternehmens-, Steuer- und Zahlungsdaten in E-Mail-Inhalten oder Anhängen.
  • Message-ID, SMTP-Status, Fehlercodes, Versandzeitpunkte und technische Versandmetadaten.

E-Mails werden über IONOS an die jeweiligen Empfänger-Mailserver übermittelt. Ab diesem Zeitpunkt verarbeiten auch die Mailserver der Empfänger und deren Anbieter die E-Mail einschließlich Anhängen nach deren eigenen Regeln. Nutzer sind dafür verantwortlich, nur berechtigte Empfängeradressen einzutragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit der Versand Teil der App-Nutzung oder Vertragsleistung ist. Für Nachweis, Fehlerdiagnose und Missbrauchsschutz, insbesondere Fraud- und Spam-Prävention im SMTP-Betrieb, gilt Art. 6 Abs. 1 lit. f DSGVO. Für handels- und steuerrechtlich relevante E-Mail- und Rechnungsdaten gilt Art. 6 Abs. 1 lit. c DSGVO.

11. SaaS-Abonnements, Billing und PayPal

Für kostenpflichtige InvoPlanner-Abonnements verarbeiten wir Billing- und Zahlungsdaten. Hierzu gehören:

  • Billing-Profil mit Firmenname, Adresse, Land, USt-ID und Zeitstempeln.
  • Subscription-Daten wie Plan, Intervall, Status, Zeitraum, nächstes Abrechnungsdatum, Betrag, Währung, Kündigung und Planwechsel.
  • PayPal- bzw. PSP-IDs wie Subscription-ID, Customer-/Payer-ID und Webhook-Event-ID.
  • redaktierte Billing-Events und Statusereignisse.
  • SaaS-Rechnungen mit Leistungszeitraum, Beträgen, Steuerdaten, Buyer-/Vendor-Snapshot und PDF.

PayPal

Für PayPal-Abonnements wird das PayPal JavaScript SDK auf der Billing-Seite geladen und es erfolgen serverseitige Anfragen an PayPal-REST-APIs sowie Webhook-Verifikationen. Anbieter für EU-Nutzer ist PayPal (Europe) S.a r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg.

Bei Nutzung von PayPal werden Nutzer mit PayPal interagieren oder zu PayPal weitergeleitet. PayPal verarbeitet Zahlungs-, Konto-, Geräte-, Transaktions-, Risiko- und Betrugsbekämpfungsdaten als eigenständiger Verantwortlicher. Wir speichern keine Kreditkarten- oder vollständigen Zahlungsmitteldaten in unserer eigenen Datenbank.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Abonnement und Zahlung, Art. 6 Abs. 1 lit. c DSGVO für steuer- und handelsrechtliche Pflichten sowie Art. 6 Abs. 1 lit. f DSGVO für Betrugsbekämpfung, Webhook-Verifikation, Fehlerdiagnose und Durchsetzung von Ansprüchen.

12. Audit-Trail, Integritätsnachweise und Sicherheitslogs

InvoPlanner führt einen Audit-Trail, um relevante Aktionen nachvollziehbar zu machen und die Integrität von Geschäftsvorgängen nachzuweisen. Der Audit-Trail kann insbesondere enthalten:

  • Tenant-ID, Entity-Typ und Entity-ID.
  • Event-Typ, Kategorie, Quelle und Zeitstempel.
  • Actor-User-ID, Actor-E-Mail, Anzeigename und Rolle.
  • IP-Hash, Request-ID und technische Kontextdaten.
  • Kommentare, kuratierte Payloads, Änderungen und Hashwerte.
  • prev_hash, event_hash und Audit-Chain-State.

Der Audit-Trail dient Nachvollziehbarkeit, Sicherheit, Rollen- und Berechtigungsprüfung, Missbrauchserkennung, Fehleranalyse, Integritätsnachweis und, soweit einschlägig, handels- und steuerrechtlicher Dokumentation. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. f DSGVO und, soweit gesetzliche Aufbewahrungspflichten bestehen, Art. 6 Abs. 1 lit. c DSGVO.

Audit-Daten sind personenbeziehbar. Zugriff erhalten nur berechtigte Nutzer innerhalb des jeweiligen Workspaces sowie von uns autorisierte Personen, soweit dies für Betrieb, Support, Sicherheit oder rechtliche Pflichten erforderlich ist.

13. Reports, Exporte und Downloads

Die App kann Umsatz-, Kunden-, Steuer-, Zahlungs- und Audit-Auswertungen erzeugen. Exporte können personenbezogene Daten enthalten, insbesondere Kundennamen, USt-IDs, Rechnungsnummern, Beträge, Leistungszeiträume, Zahlungen, Actor-E-Mails, Kommentare, Payloads, Changes und Hashwerte.

PDF-, CSV- und Audit-Exporte werden den jeweils berechtigten Nutzern im Browser bereitgestellt. Nach dem Download ist der Nutzer für die weitere Speicherung, Weitergabe und Absicherung des exportierten Dokuments verantwortlich.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für die App-Funktion und Art. 6 Abs. 1 lit. c bzw. lit. f DSGVO für steuerliche, buchhalterische, Nachweis- und Sicherheitszwecke.

14. Browser-Speicher, Cookies und ähnliche Technologien

Wir setzen keine eigene Tracking- oder Marketing-Analytics-Integration wie Google Analytics, Matomo, PostHog oder Sentry ein, soweit dies dem aktuellen technischen Stand entspricht.

Die App nutzt technisch erforderliche Browser-Speicherungen:

  • invoplanner_theme Local Storage, für die Theme-Auswahl
  • invoplanner_language Local Storage, für die Spracheinstellung
  • invoplanner_tenant_id Local Storage, für den ausgewählten Workspace
  • invoplanner_tenant_reloaded Session Storage, für eine einmalige Tenant-/Reload-Initialisierung
  • Firebase-Auth-Persistenz insbesondere Local Storage und IndexedDB, für Loginstatus, Auth-Token und Sessionverwaltung

Diese Speicherungen sind für die vom Nutzer gewünschte App-Nutzung, Authentifizierung, Sicherheit und Bedienbarkeit erforderlich. Rechtsgrundlage für die personenbezogene Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO und für Sicherheitsaspekte Art. 6 Abs. 1 lit. f DSGVO. Der Zugriff auf das Endgerät ist nach § 25 Abs. 2 Nr. 2 TDDDG erforderlich, soweit die App ohne diese Speicherung nicht oder nicht sicher bereitgestellt werden kann.

Google/Firebase, Cloudflare Turnstile und PayPal können bei Nutzung der jeweiligen Funktionen eigene Cookies, Local Storage, IndexedDB, Frames oder vergleichbare Technologien einsetzen. Für nicht zwingend erforderliche Drittanbieter- oder Trackingtechnologien ist eine Einwilligung erforderlich. Wenn im Produkt künftig Marketing-Analytics, Retargeting, externe Medien oder nicht erforderliche Drittdienste eingebunden werden, muss diese Erklärung angepasst und ein Consent-Mechanismus eingerichtet werden.

15. Schriftarten

Die Website verwendet nach aktuellem Stand selbst gehostete Schriftarten. Dabei findet beim Laden der Schriftart keine Verbindung zu Google Fonts oder anderen externen Schriftanbietern statt. Sollte eine externe Schriftquelle aktiviert werden, wird diese Erklärung entsprechend angepasst.

16. Empfänger und Kategorien von Empfängern

Je nach Nutzung können personenbezogene Daten an folgende Empfänger oder Empfängerkategorien übermittelt werden:

  • Cloudflare, Inc. für Hosting, CDN, Workers, D1, Durable Objects, Turnstile und Observability.
  • Google/Firebase für Authentifizierung, E-Mail-Verifikation, Passwort-Reset, Google Sign-In und Tokenprüfung.
  • IONOS SE für SMTP- und E-Mail-Transport.
  • PayPal (Europe) S.a r.l. et Cie, S.C.A. für Zahlungs- und Abonnementabwicklung.
  • der eigene Server für den Node-/PDF-/Mail-Backenddienst.
  • Empfänger-Mailserver und Mailanbieter der vom Nutzer eingetragenen E-Mail-Empfänger.
  • Externe Logo-Hosts, wenn Nutzer eine externe Logo-URL hinterlegen.
  • Steuerberater, Rechtsberater, Behörden, Gerichte oder sonstige Stellen, soweit dies zur Erfüllung gesetzlicher Pflichten, zur Durchsetzung von Rechten oder zur Verteidigung gegen Ansprüche erforderlich ist.
  • Workspace-Mitglieder, soweit sie aufgrund ihrer Rolle Zugriff auf Daten im jeweiligen Tenant haben.

Mit Auftragsverarbeitern werden Verträge nach Art. 28 DSGVO geschlossen, soweit dies erforderlich ist. Bei eigenständig Verantwortlichen, insbesondere PayPal und ggf. Google bei eigenen Accountdiensten, gelten zusätzlich deren Datenschutzhinweise.

17. Drittlandübermittlungen

Einige Anbieter haben Sitz oder Konzernstrukturen außerhalb der EU bzw. des EWR, insbesondere in den USA. Personenbezogene Daten können daher in Drittländer übermittelt oder von dort aus verarbeitet werden.

Soweit Daten in ein Drittland übermittelt werden, erfolgt dies nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO vorliegen, insbesondere:

  • Angemessenheitsbeschluss der EU-Kommission, insbesondere für nach dem EU-US Data Privacy Framework zertifizierte US-Unternehmen.
  • Standardvertragsklauseln der EU-Kommission.
  • ergänzende technische und organisatorische Schutzmaßnahmen.
  • gesetzlich zugelassene Ausnahmen, soweit einschlägig.

Der EU-US Data Privacy Framework-Angemessenheitsbeschluss gilt nur für US-Organisationen, die in der Data Privacy Framework List aktiv zertifiziert sind und für die jeweils übermittelten Datenkategorien erfasst sind. Die Zertifizierung und der konkrete Leistungsumfang sollten regelmäßig geprüft werden.

18. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Regelfristen:

Website- und technische Sicherheitslogs
So kurz wie für Sicherheit, Fehlerdiagnose, Fraud- und Missbrauchsschutz erforderlich. Cloudflare Workers Logs werden in der aktuellen Konfiguration mit Cloudflare-Default-Sampling erfasst und sind nach aktuellem Cloudflare-Default je nach Plan 3 Tage (Workers Free) bzw. 7 Tage (Workers Paid) verfügbar. Eigene Node-/Backend-Logs auf dem eigenen Server sind PII-arm ausgestaltet und werden grundsätzlich 7 Tage aufbewahrt, sofern im Einzelfall keine längere Aufbewahrung zur Aufklärung von Missbrauch, Angriffen oder Rechtsansprüchen erforderlich ist.
Account- und Authentifizierungsdaten
Für die Dauer des Nutzerkontos; danach Löschung oder Sperrung, soweit keine gesetzlichen Pflichten oder berechtigten Interessen entgegenstehen.
Workspace-, Kunden-, Kontakt-, Dokument- und Zahlungsdaten
Für die Dauer der Nutzung und danach entsprechend Löschanfrage, Vertragsbeendigung und gesetzlichen Pflichten.
Handels- und steuerrechtliche Unterlagen
Je nach Dokumentart sechs, acht oder zehn Jahre. Buchungsbelege und Rechnungen sind grundsätzlich acht Jahre aufzubewahren; Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte und Organisationsunterlagen können zehn Jahre aufzubewahren sein; sonstige aufbewahrungspflichtige Unterlagen, insbesondere bestimmte Handels- und Geschäftsbriefe, können sechs Jahre aufzubewahren sein.
Billing-Profile, Subscription-Daten und Zahlungsereignisse
Für die Dauer des Abonnements und danach entsprechend handels-, steuer-, zahlungs- und nachweisrechtlicher Pflichten.
Audit-Trail und Integritätsnachweise
Solange sie für Sicherheit, Nachweis, Compliance, GoBD-nahe Integritätszwecke, Streitklärung oder gesetzliche Pflichten erforderlich sind.
Einladungen und Invite-Tokens
Bis zur Annahme, zum Ablauf oder zur Löschung, soweit keine Nachweiszwecke entgegenstehen.
Versandjobs und Fehlerdaten
Bis zur Ausführung, Stornierung, Fehlerbehebung oder Ablauf erforderlicher Nachweisfristen.
PayPal-/Webhook-Fehlerdaten
PayPal kann fehlgeschlagene Webhooks nach aktuellem Default bis zu 25 Mal über 3 Tage erneut zustellen; lokal werden redaktierte Billing-Events und Fehlerstatus für Idempotenz, Fraud Prevention, Nachweis und Abrechnung verarbeitet. PayPal stellt Webhook-Eventdaten im Dashboard nur zeitlich begrenzt bereit; nach aktueller PayPal-Dokumentation kann die Eventliste für Zeiträume innerhalb der letzten 30 Tage gefiltert werden.

Nach Ablauf der jeweiligen Fristen werden Daten gelöscht, anonymisiert oder gesperrt. Löschanfragen werden geprüft; eine Löschung kann eingeschränkt sein, wenn gesetzliche Aufbewahrungspflichten, Nachweispflichten, Sicherheitsinteressen oder Rechte Dritter entgegenstehen.

Technische Umsetzung der Löschung: Die Tenant-/Account-Löschung entfernt tenantbezogene App-Daten einschließlich der Billing-Stammdaten und, wenn es die letzte Mitgliedschaft der betreffenden Person war, den zugehörigen Nutzerdatensatz; die Firebase-Löschung erfolgt in diesem Fall clientseitig. Steuer- und handelsrechtlich aufbewahrungspflichtige SaaS-Buchungsdaten (unsere Ausgangsrechnungen, Zahlungsereignisse und die zugehörige Abonnementhistorie) werden nicht gelöscht, sondern für die Dauer der gesetzlichen Fristen aufbewahrt; der zugehörige Tenant wird hierfür anonymisiert und als gelöscht markiert statt physisch entfernt.

19. Account- und Workspace-Löschung

Nutzer können die Löschung ihres Accounts oder Workspaces verlangen. Dabei werden, soweit technisch und rechtlich möglich, Mandanten-, Mitgliedschafts-, Einladungs-, Kunden-, Kontakt-, Dokument-, Zahlungs-, Versand-, Einstellungs- und Auditdaten gelöscht oder gesperrt.

Eine vollständige Sofortlöschung ist nicht immer möglich. Insbesondere Rechnungen, Buchungsbelege, SaaS-Rechnungen, Zahlungsdaten, steuerlich relevante Daten und bestimmte Audit- oder Sicherheitsnachweise können gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen unterliegen. In diesem Fall werden die Daten für andere Zwecke gesperrt und nach Ablauf der Fristen gelöscht.

Firebase-Accountdaten werden separat bei Firebase/Google verwaltet. Die technische Löschung eines Firebase-Nutzers kann eine erneute Authentifizierung erfordern.

20. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung und Offenlegung zu schützen. Dazu gehören nach aktuellem technischen Stand insbesondere:

  • HTTPS/TLS für Website, App und API.
  • serverseitige Validierung von Firebase ID Tokens.
  • Rollen- und Mitgliedschaftsprüfungen für Tenants.
  • CORS- und Security-Header.
  • Rate Limiting und Missbrauchsschutz.
  • Cloudflare Turnstile für Registrierung, sofern aktiviert.
  • IP-Hashing im Audit-Trail statt Speicherung der Klar-IP.
  • hash-verkettete Audit-Events.
  • Validierung und Begrenzung von E-Mail-Empfängern und Anhängen.
  • Größen-, MIME- und Sicherheitsprüfungen bei Anhängen.
  • Schutzmaßnahmen beim externen Logo-Fetch, insbesondere HTTPS-only, Redirect-Verbot, private-IP-Schutz, Größen- und Content-Type-Grenzen.
  • Pinned From-Adresse im Mail-Backend.
  • Zugriffsbeschränkungen für Produktionssysteme.

Kein System ist absolut sicher. Nutzer sind verpflichtet, Zugangsdaten geheim zu halten, starke Passwörter zu verwenden und Empfänger, Inhalte und Berechtigungen sorgfältig zu prüfen.

21. Keine bewusste Verarbeitung besonderer Kategorien

Wir beabsichtigen nicht, besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO zu verarbeiten. Die App ist nicht für Gesundheitsdaten, politische Meinungen, Gewerkschaftszugehörigkeit, biometrische Daten, Religionsdaten, Sexualleben oder vergleichbar sensible Daten bestimmt.

Da Nutzer Freitextfelder selbst befüllen können, kann eine unbeabsichtigte Eingabe solcher Daten nicht ausgeschlossen werden. Nutzer dürfen solche Daten nur eingeben, wenn sie hierfür eine eigene tragfähige Rechtsgrundlage haben und die Verarbeitung für den konkreten Zweck erforderlich ist.

22. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

Auskunft

Art. 15 DSGVO

Berichtigung

Art. 16 DSGVO

Löschung

Art. 17 DSGVO

Einschränkung der Verarbeitung

Art. 18 DSGVO

Datenübertragbarkeit

Art. 20 DSGVO

Widerspruch

Art. 21 DSGVO

Widerruf einer Einwilligung

Art. 7 Abs. 3 DSGVO

Keine automatisierte Einzelentscheidung

Art. 22 DSGVO, soweit einschlägig

Zur Ausübung dieser Rechte genügt eine Nachricht an anfrage@digital-e.org. Wir müssen die Identität der anfragenden Person prüfen, bevor wir Daten herausgeben oder ändern. Soweit wir Daten nur als Auftragsverarbeiter für einen Nutzer/Mandanten verarbeiten, leiten wir Anfragen grundsätzlich an den jeweils verantwortlichen Mandanten weiter oder unterstützen diesen bei der Bearbeitung.

23. Widerspruchsrecht nach Art. 21 DSGVO

Wenn wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, kann die betroffene Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einlegen. Wir verarbeiten die betreffenden Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

24. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt.

Für uns zuständig ist voraussichtlich:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel

Website: www.datenschutzzentrum.de

Betroffene können sich auch an jede andere zuständige Datenschutzaufsichtsbehörde wenden.

25. Keine automatisierte Entscheidungsfindung im Einzelfall

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO findet nicht statt. Eingesetzte Sicherheits- und Missbrauchsschutzmechanismen wie Rate Limiting, Bot-Abwehr durch Cloudflare Turnstile oder Betrugs- und Risikoprüfungen von PayPal dienen ausschließlich dem Schutz des Dienstes und ersetzen keine ausschließlich automatisierte Entscheidung über die betroffene Person mit den vorgenannten Wirkungen. Sollte künftig eine solche automatisierte Entscheidungsfindung eingeführt werden, wird diese Erklärung angepasst und über Logik, Tragweite und Rechte informiert.

26. Minderjährige

InvoPlanner ist ein Werkzeug für die geschäftliche Nutzung durch Unternehmen, Unternehmer und deren Beschäftigte und richtet sich nicht an Kinder oder Minderjährige. Wir verarbeiten nicht wissentlich personenbezogene Daten von Personen unter 16 Jahren zur Begründung eines eigenen Nutzerkontos. Sollte uns bekannt werden, dass ein Konto ohne wirksame Rechtsgrundlage von einer minderjährigen Person angelegt wurde, löschen oder sperren wir die zugehörigen Daten im Rahmen der gesetzlichen Vorgaben.

27. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die App, eingesetzte Dienste, Datenflüsse, Rechtslage oder Anbietervereinbarungen ändern. Es gilt die jeweils auf digital-e.org veröffentlichte Fassung, auf die von invoplanner.de aus verwiesen wird.

Stand: 03.07.2026