RS RechnungsSafe

Rechtstexte

Datenschutzerklärung

Version v1

Zur Startseite Zum Login

Datenschutzerklärung für RechnungsSafe

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen der Bereitstellung, Vertragsverwaltung, Abrechnung und Kommunikation zu RechnungsSafe ist:

HOSTING-STATION55 Inhaber: Andreas Rainer Fritz Breslauer Str. 9, 65795 Hattersheim am Main, Deutschland E-Mail: info@hosting-station55.de Telefon: +49 (0) 6190 93 64 094

Soweit Kunden in RechnungsSafe eigene Kunden-, Lieferanten-, Rechnungs-, Angebots-, Beleg-, Bank-, Mahn-, Dokumenten- oder sonstige Geschäftsdaten verarbeiten, ist der jeweilige Kunde für diese Inhalte grundsätzlich selbst Verantwortlicher. HOSTING-STATION55 verarbeitet diese Daten im Rahmen der SaaS-Bereitstellung grundsätzlich als Auftragsverarbeiter nach Maßgabe des Auftragsverarbeitungsvertrags.

2. Zweck und Einordnung von RechnungsSafe

RechnungsSafe ist eine B2B-SaaS-Plattform für Unternehmer, Freiberufler und Firmen. Die Plattform dient insbesondere der Erstellung und Verwaltung von Rechnungen, Angeboten, Serienrechnungen, Eingangsrechnungen, Ausgaben, Kunden, Produkten und Leistungen, Dokumenten/Safe/Archiv, E-Mail-Versand, Zahlungsbedingungen, Mahnwesen, Auswertungen, Mitgliedschaften, Plänen und administrativer Verwaltung.

Die Plattform richtet sich nicht an Verbraucher. Nutzer müssen für eine Firma oder eine unternehmerische Tätigkeit handeln.

3. Hosting, Betrieb und Serverlogs

RechnungsSafe wird auf Serverinfrastruktur in Deutschland betrieben, nach aktuellem Plan mit Rechenzentrumsstandort Frankfurt am Main. Beim Aufruf der Plattform werden technisch erforderliche Server- und Sicherheitsdaten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit, aufgerufene URL, HTTP-Status, Referrer, User-Agent, Fehler- und Sicherheitsereignisse.

Die Verarbeitung erfolgt zur Bereitstellung der Plattform, zur IT-Sicherheit, zur Fehleranalyse, zur Missbrauchsverhinderung und zur Nachvollziehbarkeit technischer Vorgänge. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für vertragliche Leistungen und Art. 6 Abs. 1 lit. f DSGVO für den sicheren Betrieb der Plattform. Soweit gesetzliche Pflichten bestehen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

4. Nutzerkonto, Registrierung und Login

Bei Registrierung und Nutzung eines Kontos werden insbesondere Name, E-Mail-Adresse, Passwort-Hash, Rolle, Status, Firmenzuordnung, Verifizierungszeitpunkt, Login-/Sessiondaten, IP-Adresse, User-Agent und sicherheitsrelevante Ereignisse verarbeitet.

Die Registrierung kann eine E-Mail-Verifizierung beinhalten. Beim Login werden Sessiondaten verarbeitet. Bei Passwort-Reset werden E-Mail-Adresse, Token-Hash, Ablaufzeit und Versanddaten verarbeitet. Bei aktivierter Zwei-Faktor-Authentifizierung werden verschlüsselte TOTP-Secrets, Backup-Code-Hashes und temporäre Aktivierungsdaten verarbeitet.

5. Firmen, Mandanten und Rollen

RechnungsSafe arbeitet mandantenbezogen. Daten werden über Firmenzugehörigkeit und company_id getrennt. Globale Rollen können user, admin und super_admin sein. Firmenrollen können insbesondere owner, admin, user und accountant_readonly sein. Der Zugriff auf Firmen- und Dokumentdaten wird anhand der aktiven Firma, company_id und Rollen geprüft.

6. Geschäftsdaten der Kunden

Kunden können in RechnungsSafe insbesondere folgende Daten verarbeiten:

  • Firmenstammdaten, Nutzer- und Login-Daten;
  • Kundendaten, Lieferantendaten und Ansprechpartnerdaten;
  • Rechnungen, Angebote, Serienrechnungen, Positionen, Produkte und Leistungen;
  • Eingangsrechnungen, Ausgaben, Belege, Dokumente und Archivdaten;
  • Bankdaten, IBAN, BIC, SEPA-Mandate und Zahlungsbedingungen;
  • Mahndaten, Zahlungsstatus, Auswertungen und Reports;
  • SMTP-Konfigurationen, verschlüsselte SMTP-Passwörter und E-Mail-Logs;
  • Auditdaten, IP/User-Agent in Auditlogs und Nutzungszähler.

Der Kunde ist für Rechtmäßigkeit, Richtigkeit, Erforderlichkeit, Aufbewahrung, Löschung und steuerliche Einordnung der von ihm eingestellten Daten verantwortlich, soweit HOSTING-STATION55 diese Daten nur im Auftrag verarbeitet.

7. Rechnungen, Angebote, Belege, Archiv und Auswertungen

RechnungsSafe verarbeitet Rechnungs-, Angebots-, Eingangsrechnungs-, Beleg-, Produkt-, Kunden-, Zahlungs- und Reportdaten, um die vertraglich vereinbarten Funktionen bereitzustellen. Dazu gehören Erstellen, Bearbeiten, Speichern, Anzeigen, Exportieren, Herunterladen, Auswerten und Verwalten der jeweiligen Datensätze.

RechnungsSafe ersetzt keine steuerliche, rechtliche oder buchhalterische Beratung. Kunden bleiben für gesetzliche Rechnungsangaben, steuerliche Pflichten, GoBD-/Aufbewahrungspflichten, E-Rechnungspflichten und die Prüfung durch Steuerberater oder fachkundige Stellen verantwortlich.

8. Dokumente, Downloads und Safe/Archiv

Hochgeladene oder erzeugte Dokumente werden geschützt gespeichert. Dokumentzugriffe und Downloads prüfen die Firmenzugehörigkeit und Berechtigung. Nach der technischen Dokumentation soll die Speicherung außerhalb des öffentlichen Webverzeichnisses erfolgen.

Dokumentzugriffslogs können zur Sicherheit, Fehleranalyse und Nachvollziehbarkeit verarbeitet werden. Nach der Projektinventur werden Dokumentzugriffslogs ohne IP/User-Agent geführt.

9. E-Mail-Versand und SMTP

RechnungsSafe kann Systemmails, Authentifizierungs-E-Mails, Testmails und kundenbezogene E-Mails verarbeiten. Je nach Konfiguration kann der Versand über mandantenspezifische SMTP-Einstellungen oder einen technischen Fallback erfolgen. SMTP-Passwörter werden, soweit APP_KEY und OpenSSL verfügbar sind, mit AES-256-GCM verschlüsselt gespeichert. SMTP-Diagnosen sollen keine Secrets anzeigen.

Verarbeitet werden insbesondere Empfänger, Betreff, Versandstatus, Fehler, Template-Informationen und - soweit technisch erforderlich - Inhalte von E-Mails. Kunden sind für die Rechtmäßigkeit der von ihnen versendeten Inhalte und Empfängerlisten verantwortlich.

10. Adminbereich, Auditlogs und Sicherheit

Der Adminbereich ist über globale Rollen geschützt. Admins können Dashboard, Pläne, Bestellungen, Firmen, Plattform-Einstellungen, technische/metadatenbezogene Firmen-, Nutzungs-, Subscription- und SMTP-Konfigurationsinformationen sehen. Die Firmenprofilansicht soll überwiegend Metadaten und aggregierte Kennzahlen anzeigen und keine operativen Kundendatenlisten enthalten.

Auditlogs können Action, Entity, Entity-ID, Kontextdaten, User-ID, IP-Adresse und User-Agent enthalten. Sie dienen Sicherheit, Nachvollziehbarkeit, Missbrauchsabwehr, Support und interner Kontrolle.

11. Bestellungen, Pläne und Abrechnung

Planwechsel oder Buchungen werden als interne Bestellung oder Vormerkung gespeichert und können vor Aktivierung administrativ geprüft werden. Zum Launch ist Zahlung per Rechnung mit 14 Tagen Zahlungsziel vorgesehen. Eine Online-Zahlung ist technisch als Setting vorbereitet, aber standardmäßig deaktiviert; aktive Stripe-, PayPal- oder Payment-API-Verarbeitung wird in dieser Datenschutzerklärung nicht zugrunde gelegt.

Für Abrechnung und Vertragsverwaltung können Name/Firma, Anschrift, E-Mail-Adresse, Plan, Betrag, Währung, Zahlungsstatus, Rechnungsdaten, Nutzungszähler und Kommunikationsdaten verarbeitet werden.

12. Cookies und lokaler Speicher

RechnungsSafe verwendet technisch erforderliche Cookies und Speicherungen, insbesondere das Session-Cookie rechnungs_safe_session. Es dient Login, Session, Sicherheit und CSRF-Schutz. Der CSRF-Schutz liegt in der Session; ein separates CSRF-Cookie wurde nach Projektinventur nicht festgestellt.

LocalStorage wird aktuell nur für den Zustand der Sidebar verwendet: rechnungssafe_sidebar_groups_v1. Es wurden keine Google Analytics, kein gtag, keine Google Maps, kein YouTube, keine externen Fonts und keine CDN-Skripte festgestellt.

Weitere Informationen enthält der Cookie-Hinweis.

13. Rechtsgrundlagen

Die Verarbeitung erfolgt insbesondere auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllung, Konto, SaaS-Nutzung, Support, Bestellung und Abrechnung;
  • Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungs-, Steuer- und Nachweispflichten;
  • Art. 6 Abs. 1 lit. f DSGVO für IT-Sicherheit, Missbrauchsabwehr, Protokollierung, Fehleranalyse und Plattformadministration;
  • Art. 28 DSGVO für Verarbeitungen, die HOSTING-STATION55 im Auftrag des Kunden durchführt;
  • Art. 6 Abs. 1 lit. a DSGVO nur, soweit im Einzelfall eine Einwilligung eingeholt wird.

14. Empfänger und Dienstleister

Daten können verarbeitet oder zugänglich gemacht werden gegenüber:

  • internen berechtigten Personen bei HOSTING-STATION55;
  • Rechenzentrums-, Hosting- und Infrastruktur-Dienstleistern in Deutschland/EU;
  • technischen Wartungs- und Administrationsdienstleistern, soweit erforderlich und vertraglich abgesichert;
  • E-Mail-/SMTP-Infrastruktur, soweit für Versand und Betrieb erforderlich;
  • Steuerberater, Behörden, Gerichte, Banken oder sonstigen Stellen, soweit gesetzlich erforderlich oder zur Vertragsdurchführung notwendig.

Unterauftragnehmer im Rahmen der Auftragsverarbeitung werden in der AVV-Unterauftragnehmerliste dokumentiert.

15. Drittlandübermittlungen

Der laufende Betrieb ist auf Deutschland/EU ausgerichtet. Drittlandbezüge können nur entstehen, wenn bestimmte Softwareanbieter, Supportzugriffe oder optionale Dienste tatsächlich Daten erhalten. Solche Datenflüsse sind vor produktiver Nutzung zu prüfen und in den Rechtstexten sowie in der Unterauftragnehmer-/Empfängerliste zu dokumentieren.

16. Speicherdauer und Löschung

Personenbezogene Daten werden gelöscht, sobald der jeweilige Zweck entfällt und keine gesetzlichen Aufbewahrungs-, Vertrags-, Nachweis- oder Verjährungsfristen entgegenstehen.

Orientierungswerte:

  • Server-, Sicherheits- und Systemlogs grundsätzlich ca. 30 Tage, länger bei Sicherheitsvorfällen, Missbrauch oder Rechtsansprüchen;
  • Rechnungs- und Buchhaltungsdaten nach gesetzlichen Aufbewahrungsfristen;
  • vertragsrelevante Kommunikation entsprechend gesetzlicher Nachweis- und Aufbewahrungspflichten;
  • Kundendaten in RechnungsSafe nach Vertragsende oder Löschweisung, soweit keine Pflichten entgegenstehen;
  • Backups laufen nach dem Backup-/Rotationskonzept aus und können für einen begrenzten Zeitraum fortbestehen;
  • Audit- und AVV-Nachweise können für Vertragsdauer und Nachweisfristen aufbewahrt werden.

Eine vollständige Self-Service-Lösch- oder Exportstrecke ist nur zu nennen, wenn sie im Produktivsystem tatsächlich umgesetzt ist.

17. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Soweit Daten im Auftrag eines Kunden verarbeitet werden, kann HOSTING-STATION55 Anfragen betroffener Personen an den jeweiligen Kunden weiterleiten oder nur nach dessen Weisung bearbeiten.

18. Beschwerderecht

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig kann insbesondere die Datenschutzaufsichtsbehörde des Bundeslandes Hessen sein, soweit HOSTING-STATION55 dort niedergelassen ist.

19. Sicherheit

RechnungsSafe setzt insbesondere Rollen- und Rechtekonzepte, Mandantentrennung über company_id, CSRF-Schutz, HttpOnly-Session-Cookies, Passwort-Hashing, Login-Lockout, E-Mail-Verifizierung, 2FA, verschlüsselte Secrets, Auditlogs, geschützte Downloads und Speicherbereiche außerhalb des öffentlichen Webverzeichnisses ein.

20. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich Funktionen, Datenflüsse, Dienstleister oder rechtliche Anforderungen ändern.