Datenschutzerklärung

1. Verantwortlicher

Jürgen Lichtenauer
Am Hasel 11b
85139 Wettstetten
E-Mail: info@fakturacloud.de
Telefon: +49 (0)176 343 991 73

2. Übersicht der Verarbeitungen

Im Rahmen der Nutzung von FakturaCloud verarbeiten wir folgende personenbezogene Daten:

  • Bestandsdaten (Name, Adresse, E-Mail-Adresse)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer)
  • Vertragsdaten (Abo-Plan, Zahlungsinformationen)
  • Nutzungsdaten (erstellte Dokumente, Firmenprofile/Brands)
  • Inhaltsdaten (in Dokumenten eingegebene Kunden- und Rechnungsdaten)
  • Technische Daten (IP-Adresse, Browser-Typ, Zugriffszeiten)

3. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. bei optionalen Funktionen oder Cookies)
  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung der SaaS-Plattform, Account-Verwaltung)
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (steuerliche Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Missbrauchsprävention, Verbesserung des Dienstes)

4. Hosting

Diese Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Besuch der Website werden automatisch technische Daten (IP-Adresse, Zeitpunkt des Zugriffs, Browser-Informationen) in Server-Logfiles gespeichert. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer sicheren und effizienten Bereitstellung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO).

Ein Auftragsverarbeitungsvertrag (DPA) mit Vercel wurde abgeschlossen. Die Datenübermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln.

Schriftarten

Alle in FakturaCloud verwendeten Schriftarten werden lokal auf unseren Servern gehostet und direkt von dort ausgeliefert. Es werden keine Anfragen an Google Fonts oder andere externe Schriftarten-Dienste gesendet. Somit findet keine Übertragung Ihrer IP-Adresse an Drittanbieter statt.

5. Nutzung der Plattform

Account-Erstellung

Für die Nutzung von FakturaCloud ist ein Benutzerkonto erforderlich. Bei der Registrierung erheben wir Ihre E-Mail-Adresse und optional Ihren Namen. Die Authentifizierung erfolgt über Supabase Auth (Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992). Supabase speichert Ihre Anmeldedaten verschlüsselt.

Anmeldung mit Google (OAuth)

Sie können sich alternativ mit Ihrem Google-Konto bei FakturaCloud anmelden. Bei der Anmeldung über Google erhalten wir folgende Daten von Google: E-Mail-Adresse, Name und Profilbild (sofern in Ihrem Google-Konto hinterlegt). Diese Daten werden ausschließlich zur Erstellung und Verwaltung Ihres FakturaCloud-Kontos verwendet.

Die Datenübertragung erfolgt über den OAuth 2.0-Standard. Google erhält dabei die Information, dass Sie sich bei FakturaCloud anmelden. Es gelten zusätzlich die Datenschutzerklärung von Google und die Nutzungsbedingungen von Google. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl der Google-Anmeldung). Sie können die Verknüpfung jederzeit in Ihren Google-Kontoeinstellungen unter Drittanbieter-Zugriff widerrufen.

Dokumentenerstellung

Wenn Sie Angebote oder Rechnungen erstellen, werden die von Ihnen eingegebenen Daten (Firmendaten, Kundendaten, Positionen, Beträge) in unserer Datenbank bei Supabase gespeichert. Diese Daten werden ausschließlich zur Bereitstellung des Dienstes verwendet. Der Zugriff ist durch Row Level Security (RLS) auf Ihren Account beschränkt.

Dateispeicherung

Hochgeladene Dateien (z. B. Firmenlogos) werden im Supabase Storage in benutzerspezifischen Ordnern gespeichert und sind nur für den jeweiligen Account zugänglich.

6. Marktplatz-Anbindungen (Amazon & eBay)

Wenn Sie FakturaCloud nutzen, um Bestellungen von Marktplätzen wie Amazon oder eBay zu importieren und zu verarbeiten, gelten besondere Bestimmungen zum Schutz der personenbezogenen Daten Ihrer Käufer (Bestelldaten, Namen, Adressen).

Amazon SP-API

FakturaCloud nutzt die Amazon Selling Partner API (SP-API), um Händlern die automatisierte Verarbeitung ihrer Amazon-Bestellungen zu ermöglichen. Jeder Händler autorisiert den Zugriff auf sein Amazon-Verkäuferkonto über den offiziellen Amazon-OAuth-Workflow. Diese Autorisierung kann jederzeit im Amazon Seller Central widerrufen werden.

Verarbeitete Datenkategorien

Über die Amazon SP-API werden folgende personenbezogene Daten (PII) verarbeitet:

  • Käufer-Lieferadressen (Name, Straße, PLZ, Ort, Land) — für die Erstellung von Versandlabels
  • Bestelldaten (Bestellnummer, Artikel, Mengen, Beträge) — für Rechnungserstellung und Bestandsführung
  • Tracking-Nummern — zur automatischen Versandbestätigung an Amazon

Zweckbindung

Amazon-Daten werden ausschließlich für folgende Zwecke verwendet: Bestellabwicklung, Versandlabel-Erstellung, Versandbestätigung an Amazon, Lagerbestandssynchronisation und steuerlich konforme Rechnungserstellung (§ 14 UStG). Amazon-Daten werden niemals für Werbung, Marketing oder sonstige Zwecke verwendet und niemals an Dritte verkauft.

Verschlüsselung

Alle Amazon-Daten werden mit AES-256-GCM verschlüsselt gespeichert (Data at Rest). Die Übertragung erfolgt ausschließlich über TLS 1.2+ (Data in Transit). OAuth-Tokens werden serverseitig verschlüsselt gespeichert und sind zu keinem Zeitpunkt im Browser zugänglich.

Aufbewahrungsfristen

  • PII-Daten (Käuferadressen): Werden spätestens 90 Tage nach Bestellzustellung gelöscht oder anonymisiert.
  • Transaktionsdaten (Bestellnummern, Beträge, Steuerdaten): Werden gemäß den gesetzlichen Aufbewahrungspflichten 10 Jahre aufbewahrt (§ 147 AO, § 257 HGB). Diese Daten enthalten keine Käufer-PII und sind steuerlich zwingend erforderlich.
  • Rechnungsdokumente: Ebenfalls 10 Jahre Aufbewahrung gemäß § 14b UStG. Die auf Rechnungen enthaltenen Angaben (Name, Adresse) dienen der Erfüllung gesetzlicher Pflichten und werden sicher verschlüsselt aufbewahrt.

Weitergabe an Dritte

Amazon-Käuferadressen werden ausschließlich an die Deutsche Post DHL Group übermittelt — und zwar nur zum Zweck der Versandlabel-Erstellung über die sichere DHL Business API. Darüber hinaus werden Amazon-Daten an keine weiteren Dritten weitergegeben. Infrastruktur-Dienstleister (Vercel, Supabase) verarbeiten Daten als technische Unterauftragsverarbeiter unter DSGVO-konformen Auftragsverarbeitungsverträgen (siehe AVV).

Zugriffskontrolle

Jeder Händler kann über Row Level Security (RLS) auf Datenbankebene ausschließlich seine eigenen Amazon-Daten zugreifen. Ein Zugriff auf Daten anderer Händler ist technisch ausgeschlossen. Der Zugriff auf Produktionssysteme und Amazon-API-Credentials ist auf den Betreiber beschränkt und durch Multi-Faktor-Authentifizierung (MFA) geschützt.

eBay API

Bei der Anbindung der eBay API agieren wir in Bezug auf die importierten Käuferdaten als unabhängiger Verantwortlicher (Independent Controller) im Rahmen der Bereitstellung unseres Dienstes für Sie. Wir verarbeiten die Daten der "Other Users" (Ihrer Käufer) streng zweckgebunden und nur soweit es für die Transaktion und Belegerstellung zwingend erforderlich ist. Wir speichern unter keinen Umständen eBay-Passwörter.

6a. E-Mail-Versand

FakturaCloud ermöglicht den Versand von Geschäftsdokumenten (Angebote, Rechnungen) per E-Mail direkt aus der Anwendung. Der Versand erfolgt über SMTP.

Platform-SMTP

Standardmäßig werden E-Mails über unseren E-Mail-Dienstleister Zoho Corporation B.V. (ZeptoMail) (Hoogoorddreef 15, 1101 BA Amsterdam, Niederlande) versendet. Dabei werden folgende Daten an ZeptoMail übermittelt: Empfänger-E-Mail-Adresse, Betreff, E-Mail-Inhalt und Anhänge (PDF-Dokumente). ZeptoMail hat seinen Sitz in der EU und verarbeitet die Daten DSGVO-konform.

Eigener SMTP-Server

Alternativ können Sie einen eigenen SMTP-Server pro Brand konfigurieren. In diesem Fall werden E-Mails direkt über Ihren eigenen Mailserver versendet — es findet keine Datenübermittlung an ZeptoMail statt. Die SMTP-Zugangsdaten werden mit AES-256-GCM verschlüsselt in unserer Datenbank gespeichert.

6b. Versanddienstleister (DHL)

Wenn Sie über Faktura Trade Versandlabels erstellen, werden Empfängeradressen (Name, Straße, PLZ, Ort, Land) an die Deutsche Post DHL Group (Charles-de-Gaulle-Str. 20, 53113 Bonn) übermittelt. Dies ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Für die Sendungsverfolgung werden Tracking-Nummern bei DHL abgefragt.

DHL verarbeitet diese Daten als eigenständiger Verantwortlicher gemäß der DHL Datenschutzerklärung.

6c. Faktura Trade (Bestellverwaltung)

Im Rahmen von Faktura Trade verarbeiten wir Bestelldaten (Käufernamen, Lieferadressen), Produktdaten (Artikelbezeichnungen, SKU, EAN), Lagerbestände und Versandinformationen. Diese Daten werden ausschließlich zur Bereitstellung des Dienstes verwendet und sind durch Row Level Security auf Ihren Account beschränkt.

6d. Faktura Books (Buchhaltung)

In Faktura Books verarbeiten wir Buchungsdaten (Beträge, Konten, Steuersätze), hochgeladene Belege und EÜR-Berechnungen. Steuerlich relevante Daten unterliegen den gesetzlichen Aufbewahrungspflichten (§ 147 AO, § 257 HGB, 10 Jahre).

7. Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir Stripe Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei einem Abo-Abschluss werden Ihre Zahlungsdaten (Kreditkartennummer, IBAN etc.) direkt von Stripe verarbeitet. Wir erhalten von Stripe lediglich eine Kunden-ID, den Abo-Status und Rechnungsinformationen – keine vollständigen Zahlungsdaten.

Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/de/privacy

8. Cookies und Tracking

FakturaCloud verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung und Session-Verwaltung. Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden.

Wir setzen derzeit keine Analyse- oder Tracking-Tools ein. Sollte sich dies ändern, werden wir Sie vorab informieren und ggf. eine Einwilligung einholen.

9. KI-gestützte Datenverarbeitung (Faktura Books)

Im Rahmen der automatischen Belegerkennung in Faktura Books werden hochgeladene Belege (PDF, Bilder) an den KI-Dienst Anthropic Claude zur Datenextraktion übermittelt.

  • Verarbeitete Daten: Beleg-Bilder und -PDFs zur Extraktion von Rechnungsdaten (Lieferant, Betrag, Datum, Steuersatz, Rechnungsnummer).
  • Anbieter und Verarbeitungskette: Die Verarbeitung erfolgt über Amazon Web Services (AWS Bedrock) in europäischen Rechenzentren (Irland, Frankfurt, Paris, Stockholm). Das KI-Modell (Anthropic Claude) wird dabei innerhalb der AWS EU-Infrastruktur ausgeführt — die Daten verlassen die EU nicht. Beide Anbieter verfügen über eigene Auftragsverarbeitungsverträge (DPAs) mit EU-Standardvertragsklauseln: AWS DPA ist automatisch Teil der AWS-Nutzungsbedingungen, Anthropic DPA ist in den Commercial Terms enthalten.
  • EU-Datenresidenz: Durch den Einsatz von AWS Bedrock EU Cross-Region Inference Profiles werden Belege ausschließlich in europäischen Rechenzentren verarbeitet. Es findet kein Logging der Beleg-Inhalte statt (CloudWatch-Logging ist deaktiviert).
  • Speicherdauer beim Anbieter: Übermittelte Daten werden von Anthropic maximal 30 Tage für Sicherheitszwecke (Trust & Safety) gespeichert und danach automatisch gelöscht. AWS speichert keine Prompt- oder Antwortdaten über die Verarbeitung hinaus.
  • Kein Training: Über die kommerzielle API übermittelte Daten werden weder von AWS noch von Anthropic für das Training von KI-Modellen verwendet.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – der Nutzer lädt Belege hoch, damit diese in seiner Buchhaltung erfasst werden) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Buchführung).
  • Opt-Out: Sie können Belege auch ohne KI-Analyse hochladen und die Buchungsdaten manuell erfassen.

10. Betroffenenrechte

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. f DSGVO basiert.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@fakturacloud.de

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

11. Datenlöschung und Aufbewahrung

Ihre personenbezogenen Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten bestehen. Nach Löschung Ihres Accounts werden Ihre Daten innerhalb von 30 Tagen vollständig aus unseren Systemen entfernt.

Steuerlich relevante Daten (Rechnungen) unterliegen den gesetzlichen Aufbewahrungsfristen (§ 147 AO, § 257 HGB) und werden für 10 Jahre aufbewahrt, auch wenn das Konto gelöscht wird.

12. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.

Stand: 17.03.2026

← Zurück zur Startseite