InvoiceFlow

Datenschutzerklärung

Stand: 18.04.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:
InvoiceFlow GmbH i. Gr., Musterstraße 1, 20095 Hamburg, Deutschland.
E-Mail: datenschutz@invoiceflow.stickymicky.com

2. Hosting

Unsere Website und der Service werden bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen in Falkenstein (Sachsen) gehostet. Alle Daten verbleiben in der EU. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

3. Erfassung von Zugriffsdaten

Beim Aufruf unserer Website werden technisch notwendige Daten erhoben (IP-Adresse, Zeitstempel, User-Agent, aufgerufene URL). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabilem Betrieb und Sicherheit). Speicherdauer: 14 Tage.

4. Authentifizierung

Für die Nutzung unseres Dashboards erstellen wir ein Nutzerkonto. Verarbeitete Daten: E-Mail, Passwort-Hash, Login-Zeitstempel, IP beim Login. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Authentifizierung läuft über Supabase (EU-Region).

5. Rechnungsdaten unserer Kunden (Auftragsverarbeitung)

Als Kanzlei laden Sie Eingangs- und Ausgangsrechnungen Ihrer Mandanten hoch. Wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag (Art. 28 DSGVO). Ein Auftragsverarbeitungsvertrag wird bei Abschluss eines kostenpflichtigen Plans abgeschlossen und ist als Muster unter /av-vertrag einsehbar.

Datenkategorien: Lieferanten- und Empfängerdaten, USt-IDs, Rechnungsbeträge, Bankdaten, Positionen.

Aufbewahrung: 10 Jahre gemäß § 147 AO (handels- und steuerrechtliche Aufbewahrungspflicht).

Drittländer: keine. Daten werden in der EU (Falkenstein, Deutschland) gehostet.

6. KI-gestützte Klassifizierung

Für die AI-Klassifizierung setzen wir das Large-Language-Model von Anthropic ein (Anthropic PBC, USA). Übermittelt werden anonymisierte Rechnungs-Metadaten (Lieferantenname, USt-ID, Beträge, Datum, Kontenrahmen). Rechnungs-PDFs und Original-XML werden nicht an Drittanbieter übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Anthropic ist nach EU-Standardvertragsklauseln zum Schutz personenbezogener Daten verpflichtet. Anthropic trainiert keine Modelle auf API-Daten.

7. E-Mail-Versand

Für transaktionale E-Mails (Einladungen, Benachrichtigungen) nutzen wir Resend (Resend Inc., USA). Versand erfolgt über EU-Infrastruktur mit Standardvertragsklauseln. Verarbeitet werden: E-Mail-Adresse, Zeitstempel, Zustellstatus.

8. Zahlungen

Zahlungen werden über Stripe Payments Europe, Ltd. (Irland) abgewickelt. Wir erhalten keine vollständigen Kreditkartendaten, lediglich eine Transaktions-ID und Abrechnungsstatus.

9. Cookies

Wir setzen nur technisch notwendige Cookies ein (Session, Region-Auswahl, CSRF). Kein Tracking, kein Remarketing. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG.

10. Ihre Rechte

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO), sofern keine Aufbewahrungspflicht entgegensteht
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export als JSON im Dashboard verfügbar
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

11. Zuständige Aufsichtsbehörde

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.

Datenschutz — InvoiceFlow — InvoiceFlow