InvoiceFlow

Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sascha Wohlert
Staffelstr. 3A
94051 Hauzenberg
Deutschland

E-Mail: info@invoice-flow.app

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

4. Rechte der betroffenen Personen

Als betroffene Person haben Sie folgende Rechte gegenüber uns in Bezug auf Ihre personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre uns bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.
  • Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

5. Hosting und Content Delivery

5.1 Vercel

Unsere Website wird auf Servern der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Beim Besuch unserer Website werden automatisch technische Zugriffsdaten (Server-Logfiles) erhoben:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit der Serveranfrage
  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer-URL
  • Hostname des zugreifenden Rechners

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO im berechtigten Interesse an einer sicheren und effizienten Bereitstellung unserer Website. Vercel verarbeitet Daten auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO und dem EU-US Data Privacy Framework.

Weitere Informationen: Vercel Privacy Policy

6. Benutzerkonto und Authentifizierung

6.1 Registrierung und Anmeldung

Für die Nutzung von InvoiceFlow ist die Erstellung eines Benutzerkontos erforderlich. Bei der Registrierung erheben wir:

  • Name
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert mittels bcrypt)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Nutzungsvertrags. Ihre Daten werden gespeichert, solange Ihr Konto besteht, und nach Löschung des Kontos gemäß gesetzlichen Aufbewahrungspflichten aufbewahrt.

6.2 Anmeldung über Google (OAuth)

Sie haben die Möglichkeit, sich mit Ihrem Google-Konto anzumelden. Dabei werden folgende Daten von Google an uns übermittelt:

  • Name
  • E-Mail-Adresse
  • Profilbild-URL

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie bei der Anmeldung über Google erteilen. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Weitere Informationen: Google Datenschutzerklärung

7. Datenspeicherung

7.1 MongoDB Atlas

Zur Speicherung Ihrer Daten nutzen wir MongoDB Atlas, einen Cloud-Datenbankdienst der MongoDB, Inc., 1633 Broadway, 38th Floor, New York, NY 10019, USA. Die Daten werden auf Servern innerhalb der Europäischen Union gespeichert.

Gespeichert werden unter anderem: Kontoinformationen, Firmendaten, Kundendaten, Rechnungsdaten, Bankverbindungen und Einstellungen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Nutzungsvertrags.

7.2 Cloudflare R2 (Dateispeicher)

Für die Speicherung generierter PDF-Rechnungen nutzen wir Cloudflare R2, einen Objektspeicherdienst der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Die Daten werden gemäß den Datenschutzbestimmungen von Cloudflare verarbeitet.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Bereitstellung der Rechnungsfunktionalität.

Weitere Informationen: Cloudflare Privacy Policy

8. E-Mail-Versand

8.1 Resend

Für den Versand von Rechnungen und Benachrichtigungen per E-Mail nutzen wir den Dienst Resend (Resend, Inc.). Dabei werden folgende Daten verarbeitet:

  • Empfänger-E-Mail-Adresse
  • E-Mail-Inhalt (Rechnungsbenachrichtigung)
  • Absenderdaten
  • PDF-Anhänge (Rechnungen)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des Nutzungsvertrags (Versand der vom Nutzer erstellten Rechnungen).

Weitere Informationen: Resend Privacy Policy

9. Zahlungsabwicklung

9.1 Stripe

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienst Stripe (Stripe, Inc., 510 Townsend St, San Francisco, CA 94103, USA, bzw. Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland). Bei einer Zahlungsabwicklung werden folgende Daten an Stripe übermittelt:

  • E-Mail-Adresse
  • Zahlungsinformationen (Kreditkartendaten, SEPA-Mandate)
  • Name und Rechnungsadresse
  • Transaktionsbetrag

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Durchführung des Zahlungsvorgangs. Stripe ist als eigenständiger Verantwortlicher für die Verarbeitung der Zahlungsdaten zuständig.

Weitere Informationen: Stripe Datenschutzerklärung

10. Bot-Schutz

10.1 Cloudflare Turnstile

Zum Schutz vor automatisiertem Missbrauch (Bots, Spam) setzen wir Cloudflare Turnstile ein, einen Dienst der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.

Cloudflare Turnstile analysiert verschiedene Merkmale des Zugriffs, um zwischen menschlichen Nutzern und Bots zu unterscheiden. Dabei können folgende Daten verarbeitet werden:

  • IP-Adresse
  • Browsertyp und -einstellungen
  • Verweildauer auf der Seite
  • Maus- und Tastaturverhalten
  • Bildschirmauflösung und Zeitzone

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO im berechtigten Interesse am Schutz unserer Website vor missbräuchlicher automatisierter Nutzung. Auf Apple-Geräten mit aktuellen Betriebssystemen (macOS/iOS) können Private Access Tokens genutzt werden, wodurch keine personenbezogenen Daten an Cloudflare übermittelt werden.

Weitere Informationen: Cloudflare Privacy Policy

11. Cookies und lokale Speicherung

11.1 Technisch notwendige Cookies

Unsere Website verwendet technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Dazu gehören insbesondere:

  • Session-Cookie (authjs.session-token): Wird für die Authentifizierung und das Aufrechterhalten Ihrer Sitzung verwendet. Dieser Cookie enthält ein verschlüsseltes JWT-Token und wird nach dem Schließen des Browsers bzw. nach Ablauf der Session-Dauer gelöscht.
  • CSRF-Cookie (authjs.csrf-token): Schützt vor Cross-Site-Request-Forgery-Angriffen.
  • Callback-Cookie (authjs.callback-url): Speichert die Ziel-URL für Weiterleitungen nach der Anmeldung.
  • Theme-Präferenz: Speichert Ihre Auswahl zwischen hellem und dunklem Design (localStorage).

Diese Cookies sind für den Betrieb der Website zwingend erforderlich. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Speicherung).

11.2 Cookie-Einwilligung

Beim ersten Besuch unserer Website wird ein Cookie-Banner angezeigt, über das Sie Ihre Einwilligung erteilen oder ablehnen können. Ihre Auswahl wird im lokalen Speicher (localStorage) Ihres Browsers gespeichert und bei jedem Folgebesuch berücksichtigt. Sie können Ihre Einstellungen jederzeit ändern, indem Sie die entsprechenden Daten in Ihrem Browser löschen.

12. Webanalyse

12.1 Vercel Analytics

Wir nutzen Vercel Analytics und Vercel Speed Insights, Dienste der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, zur Analyse der Website-Nutzung und Performance-Überwachung.

Vercel Analytics ist ein datenschutzfreundlicher Analysedienst, der keine Cookies verwendet und keine personenbezogenen Daten speichert. Besucher werden anhand eines anonymisierten Hashs identifiziert, der nur 24 Stunden gültig ist und danach automatisch verworfen wird. Es ist nicht möglich, einzelne Nutzer zu identifizieren oder über verschiedene Tage oder Websites hinweg zu verfolgen.

Erfasst werden ausschließlich aggregierte, anonymisierte Daten wie Seitenaufrufe, Verweildauer und Performance-Metriken (Core Web Vitals). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO im berechtigten Interesse an der Verbesserung unseres Angebots.

Weitere Informationen: Vercel Analytics Privacy Policy

13. Schriftarten

Wir verwenden die Schriftart „Inter" von Google Fonts. Die Schriftarten werden beim Erstellen der Website heruntergeladen und lokal von unseren eigenen Servern ausgeliefert (Self-Hosting). Dabei findet keine Verbindung zu Google-Servern statt, und es werden keine personenbezogenen Daten an Google übermittelt.

14. Datenverarbeitung im Rahmen des Dienstes InvoiceFlow

Bei der Nutzung von InvoiceFlow verarbeiten wir die von Ihnen eingegebenen Daten, um Ihnen unsere Dienstleistung zur Verfügung zu stellen. Dazu gehören insbesondere:

  • Firmendaten: Firmenname, Adresse, Steuernummern, Bankverbindungen, Logo
  • Kundendaten: Name/Firma, Adresse, E-Mail-Adresse, Steuernummern der Kunden
  • Rechnungsdaten: Rechnungsnummern, Positionen, Beträge, Steuersätze, Zahlungsinformationen
  • Wiederkehrende Rechnungen: Intervall-Konfiguration, nächstes Ausführungsdatum

Diese Datenverarbeitung erfolgt ausschließlich im Auftrag des Nutzers und auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Sie sind als Nutzer selbst verantwortlich für die Rechtmäßigkeit der in InvoiceFlow eingegebenen personenbezogenen Daten Ihrer Kunden.

15. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen umfassen insbesondere:

  • Verschlüsselte Datenübertragung mittels TLS/SSL
  • Verschlüsselte Speicherung von Passwörtern (bcrypt)
  • JWT-basierte Authentifizierung
  • Regelmäßige Sicherheitsupdates
  • Zugangsbeschränkungen und Berechtigungskonzepte

16. Datenübermittlung in Drittstaaten

Einige der von uns eingesetzten Dienste haben ihren Sitz in den USA (Vercel, Cloudflare, Stripe, MongoDB, Resend). Die Datenübermittlung in die USA erfolgt auf Grundlage von:

  • EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO)
  • Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO

Wir stellen sicher, dass mit allen Auftragsverarbeitern entsprechende Verträge geschlossen sind, die den Anforderungen der DSGVO genügen.

17. Speicherdauer und Löschung

Ihre personenbezogenen Daten werden nur so lange gespeichert, wie es für die Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist. Nach Löschung Ihres Benutzerkontos werden Ihre Daten unverzüglich gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten von bis zu 10 Jahren gemäß § 147 AO, § 257 HGB) stehen der Löschung entgegen.

Rechnungsdaten unterliegen einer gesetzlichen Aufbewahrungspflicht von 10 Jahren und werden nach Ablauf dieser Frist gelöscht.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: Februar 2026