Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir erheben, zu welchen Zwecken wir diese verarbeiten und welche Rechte Ihnen zustehen.

Inhaltsübersicht

1. Verantwortlicher und Kontakt
2. Allgemeine Hinweise zur Datenverarbeitung
3. Bereitstellung der Website und Logfiles
4. Registrierung und Nutzerkonto
5. Verarbeitung von Rechnungsdaten
6. Cookies und ähnliche Technologien
7. Einsatz von WordPress
8. Zahlungsabwicklung
9. Kontaktaufnahme
10. Weitergabe an Drittanbieter
11. Speicherdauer
12. Ihre Rechte als betroffene Person
13. Datensicherheit
14. Änderungen dieser Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Bei Fragen zum Datenschutz können Sie sich jederzeit an uns unter der oben genannten E-Mail-Adresse wenden.

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Dienste und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

2.2 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen:

• a) Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung auf Grundlage Ihrer Einwilligung
• b) Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen
• c) Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z. B. steuerliche Aufbewahrungspflichten)
• d) Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung zur Wahrung berechtigter Interessen, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten überwiegen

2.3 Datenverarbeitung außerhalb der EU/EWR

Ihre personenbezogenen Daten werden ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet. Die genutzten Server befinden sich entsprechend in Europa.

Eine Übermittlung Ihrer Daten in Drittländer (Länder außerhalb der EU/EWR) erfolgt nicht.

3. Bereitstellung der Website und Logfiles

3.1 Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden unter anderem erhoben:

• IP-Adresse des Nutzers
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seiten und Funktionen
• Website, von der der Zugriff erfolgt (Referrer)
• Browser-Typ und -Version
• Verwendetes Betriebssystem
• Hostname des zugreifenden Rechners

Diese Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

3.2 Rechtsgrundlage und Zweck

Die Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 lit. f DSGVO.

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Website sicherzustellen und die Sicherheit unserer informationstechnischen Systeme zu gewährleisten. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

3.3 Speicherdauer

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Die Logfiles werden nach spätestens 90 Tagen gelöscht.

3.4 Fehleranalyse-Logs

Zur Fehleranalyse und Verbesserung unserer Software erfassen wir innerhalb der Anwendung technische Logdaten (Benutzer-ID, Zeitstempel, ausgeführte Aktionen, Fehlermeldungen, Session-Informationen). Diese enthalten keine Rechnungsinhalte oder sensible Geschäftsdaten. Diese werden zum Zwecke des Bugfixing, der Systemstabilität und des Supports genutzt. Die Rechtsgrundlage beruht auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die automatische Löschung findet nach maximal 30 Tagen statt und der Zugriff begrenzt sich auf autorisierte Entwickler und Support-Mitarbeiter.

4. Registrierung und Nutzerkonto

4.1 Beschreibung und Umfang

Auf unserer Website bieten wir Nutzern die Möglichkeit, sich unter Angabe personenbezogener Daten zu registrieren. Dabei werden folgende Daten an uns übermittelt:

• Vor- und Nachname bzw. Firmenname
• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Unternehmensadresse
• Steuernummer / USt-IdNr. (mindestens eines von beiden)
• Telefonnummer (optional)

Zum Zeitpunkt der Registrierung werden zudem gespeichert: Zeitpunkt der Registrierung und IP-Adresse.

4.2 Rechtsgrundlage

Rechtsgrundlage für die Verarbeitung der Daten ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DSGVO. Dient die Registrierung der Erfüllung eines Vertrages, dessen Vertragspartei der Nutzer ist oder der Durchführung vorvertraglicher Maßnahmen, so ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.

4.3 Zweck

Eine Registrierung ist für die Bereitstellung unserer Dienste (cloudbasiertes Rechnungsmanagement) erforderlich. Ohne Registrierung können Sie unsere Software nicht nutzen.

4.4 Speicherdauer

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Dies ist für die während des Registrierungsvorgangs erhobenen Daten der Fall, wenn die Registrierung auf unserer Website aufgehoben oder abgeändert wird oder das Nutzerkonto gelöscht wird.

Gesetzliche Aufbewahrungspflichten (z. B. für Rechnungsdaten) bleiben hiervon unberührt.

5. Verarbeitung von Rechnungsdaten

5.1 Beschreibung

Im Rahmen der Nutzung unserer Software verarbeiten Sie als Verantwortlicher Rechnungsdaten Ihrer Kunden und Geschäftspartner. Wir verarbeiten diese Daten als Auftragnehmer gemäß Art. 28 DSGVO ausschließlich nach Ihren Weisungen. Die Einzelheiten sind in unserem Auftragsverarbeitungsvertrag (AVV) geregelt, der Bestandteil Ihres Nutzungsvertrages ist.

Im Rahmen der Auftragsverarbeitung können folgende Datenarten verarbeitet werden:

• Kundenstammdaten (Name, Adresse, Kontaktdaten, Steuernummer, USt-IdNr.)
• Rechnungsdaten (Rechnungsnummer, Betrag, Leistungsbeschreibung, Datum)
• Zahlungsinformationen (Zahlungsstatus, Bankverbindung)
• Lieferantendaten
• Hochgeladene Rechnungsdokumente (PDF, Bilder)

5.2 Auftragsverarbeitung

Sie bleiben Verantwortlicher für diese Daten. Wir verarbeiten diese Daten ausschließlich zur Erbringung unserer vertraglich vereinbarten Leistungen und nach Ihren dokumentierten Weisungen. Details zur Auftragsverarbeitung finden Sie in unserem Auftragsverarbeitungsvertrag (AVV), der auf unserer Website unter www.faturabox.com/avv abrufbar ist.

6. Cookies und ähnliche Technologien

6.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Computer gespeichert werden und die Ihr Browser speichert. Cookies richten auf Ihrem Computer keinen Schaden an und enthalten keine Viren.

6.2 Welche Cookies verwenden wir?

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website unbedingt erforderlich sind. Dabei handelt es sich um:

• Session-Cookies (zur Aufrechterhaltung der Anmeldung)
• Sicherheits-Cookies (zum Schutz vor CSRF-Angriffen)
• Cookie-Einstellungs-Cookie (speichert Ihre Cookie-Präferenzen)

Diese technisch notwendigen Cookies werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO gesetzt. Unser berechtigtes Interesse liegt in der Bereitstellung einer funktionsfähigen Website.

6.3 Tracking und Analyse

Wir verwenden derzeit keine Tracking- oder Analyse-Tools wie Google Analytics oder Facebook Pixel. Sollten wir solche Tools zukünftig einsetzen wollen, werden wir Sie vorab um Ihre Einwilligung bitten. Hinweis: reCAPTCHA (siehe Abschnitt 6.5) dient ausschließlich dem Spam-Schutz und nicht der Analyse Ihres Nutzungsverhaltens zu Marketingzwecken.

6.4 Verwaltung von Cookies

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

6.5 reCAPTCHA

Zum Schutz vor Spam und Missbrauch setzen wir auf unserer Website reCAPTCHA-Technologien ein. Mit reCAPTCHA soll überprüft werden, ob die Dateneingabe auf unserer Website (z. B. bei Registrierung, Login, Checkout) durch einen Menschen oder durch ein automatisiertes Programm (Bot) erfolgt. Hierzu analysiert reCAPTCHA das Verhalten des Websitebesuchers anhand verschiedener Merkmale. Bei der Nutzung von reCAPTCHA werden folgende Daten übermittelt:

• IP-Adresse
• Referrer-URL (zuvor besuchte Seite)
• Datum und Uhrzeit des Besuchs
• Browser- und Geräteinformationen
• Cookie-ID (_GRECAPTCHA)
• Mausbewegungen und Klickverhalten

Die Analyse beginnt automatisch, sobald Sie die entsprechende Seite (Registrierung, Login, Checkout) betreten.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Einwilligung ist jederzeit widerrufbar.

7. Einsatz von WordPress

Unsere Website wird unter Verwendung von WordPress betrieben. WordPress verarbeitet im Rahmen der technischen Bereitstellung der Website insbesondere die Daten, die beim Seitenaufruf, bei Administrationszugriffen und bei technisch erforderlichen Funktionen anfallen. Soweit auf der Website zusätzliche WordPress-Plugins, Themes, Formulare, Sicherheits- oder Statistikfunktionen eingesetzt werden, kann dies zu weiteren Datenverarbeitungen führen. Maßgeblich ist die jeweils konkret eingesetzte Konfiguration unserer Website. Soweit einzelne Funktionen personenbezogene Daten verarbeiten, erfolgt dies auf Grundlage der einschlägigen Rechtsgrundlagen nach dieser Datenschutzerklärung und gegebenenfalls auf Grundlage gesondert eingeholter Einwilligungen.

8. Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Wenn Sie sich für eine Zahlungsart von Stripe entscheiden, werden die im Rahmen des Zahlungsvorgangs eingegebenen Zahlungsdaten (Name, Adresse, Bankverbindung, Kreditkartendaten) an Stripe übermittelt.

Die Rechtsgrundlage für die Weitergabe Ihrer Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Weitergabe erfolgt ausschließlich zum Zweck der Zahlungsabwicklung und nur insoweit, als dies hierfür erforderlich ist.

Nähere Informationen zum Datenschutz von Stripe finden Sie unter: stripe.com/de/privacy

9. Kontaktaufnahme

Wenn Sie uns per E-Mail, über das Kontaktformular oder auf sonstigem Weg kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage.

Hierzu können insbesondere Name, Kontaktdaten, Kommunikationsinhalte, Unternehmensbezug und sonstige vom Nutzer bereitgestellte Informationen gehören. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

Die Verarbeitung erfolgt:

• auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. b DSGVO, soweit die Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist
• im Übrigen auf Grundlage von Art. 6 Abs. 1 Satz 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der sachgerechten Bearbeitung von Anfragen

10. Weitergabe an Drittanbieter

Zur Erbringung unserer Dienste setzen wir folgende Drittanbieter ein:

Dienstleister	Zweck	Standort
Google Cloud Platform (Google Ireland Limited)	Hosting, Server-Infrastruktur, Datenspeicherung	EU (Belgien)
Mistral AI	OCR-Erkennung (Texterkennung aus Dokumenten)	EU (Frankreich)
Stripe Payments Europe Ltd.	Zahlungsabwicklung	EU (Irland)

Mit allen Dienstleistern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen, die sicherstellen, dass die Datenverarbeitung ausschließlich nach unseren Weisungen und unter Einhaltung der DSGVO erfolgt.

Eine aktuelle Liste aller Subunternehmer finden Sie in Anlage 3 unseres Auftragsverarbeitungsvertrages unter www.faturabox.com/avv.

11. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen vorsehen.

12. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

12.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen gemäß Art. 15 DSGVO.

12.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

12.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist.

12.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.

12.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln.

12.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Legen Sie Widerspruch ein, werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Es ist zu beachten, dass unter diesen Umständen die Nutzung der FaturaBox-App nicht mehr gewährleistet werden kann.

12.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt.

12.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde für Baden-Württemberg:

13. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre durch uns verwalteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

Insbesondere setzen wir folgende Maßnahmen ein:

• Verschlüsselte Datenübertragung für die Passwörter
• Verschlüsselte Datenspeicherung für die Passwörter
• Zugriffskontrolle und Authentifizierung (Passwort, OAuth2, optionale 2-Faktor-Authentifizierung)
• Regelmäßige Sicherheits-Audits
• Tägliche Backups
• Hosting in ISO 27001-zertifizierten Rechenzentren

Details zu unseren technischen und organisatorischen Maßnahmen finden Sie in Anlage 2 unseres Auftragsverarbeitungsvertrages unter www.faturabox.com/avv.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.