← Zurück zur Anmeldung
Datenschutzerklärung
Gültig ab: Januar 2024 | Letzte Aktualisierung: Dezember 2024
1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher für die Datenverarbeitung im Sinne von Artikel 4 Absatz 7 der Datenschutz-Grundverordnung (DSGVO) ist:
2. Umfang der Datenverarbeitung
Invoice Processor ist eine Software-as-a-Service (SaaS)-Anwendung zur intelligenten Verarbeitung und Verwaltung von Rechnungen.
Wir verarbeiten verschiedene Kategorien personenbezogener Daten, um unsere Dienste bereitzustellen.
Kategorien verarbeiteter Daten:
- Kontodaten: Name, E-Mail-Adresse, Passwort (verschlüsselt), Firmenname, Rolle
- Rechnungsdaten: Inhalte von Rechnungen, Lieferanten- und Kundeninformationen, Zahlungsdaten
- Nutzungsdaten: Login-Informationen, Zugriffszeiten, durchgeführte Aktionen, IP-Adressen
- Kommunikationsdaten: Support-Anfragen, Feedback, Korrespondenz mit dem Kundensupport
- Technische Daten: Browser-Typ, Betriebssystem, Geräte-Informationen
3. Registrierung und Benutzerkonto
Zur Nutzung von Invoice Processor ist eine Registrierung erforderlich. Bei der Registrierung erheben wir folgende Daten:
- Vorname und Nachname
- E-Mail-Adresse
- Passwort (wird verschlüsselt gespeichert)
- Firmenname (falls Neugründung eines Unternehmens)
- Einladungscode (falls vorhanden)
Rechtsgrundlage:
Die Verarbeitung personenbezogener Daten bei der Registrierung erfolgt auf Grundlage von:
- Artikel 6 Absatz 1 Buchstabe b) DSGVO: Verarbeitung ist erforderlich zur Erfüllung eines Vertrages
- Artikel 6 Absatz 1 Buchstabe a) DSGVO: Ausdrückliche Einwilligung des Nutzers
Einwilligung bei Registrierung:
Mit der Registrierung erklären Sie sich einverstanden mit:
- Verarbeitung Ihrer personenbezogenen Daten nach dieser Datenschutzerklärung
- Akzeptanz unserer Allgemeinen Geschäftsbedingungen (AGB)
- Ggf. Marketing-Kommunikation (optional, mit separater Einwilligung)
4. Zugriff durch Administratoren (Support-Modus) – WICHTIG
Transparenzhinweis: Invoice Processor kann im Rahmen des Kundensupports unter bestimmten Bedingungen
auf Ihre Rechnungsdaten zugreifen. Diese Sektion erklärt genau, wie wir Ihre Daten schützen und welche Rechte Sie haben.
4.1 Technische Schutzmaßnahmen
Der Administrator-Zugriff im Support-Modus ist durch mehrschichtige Sicherheitsmaßnahmen geschützt:
- Authentifizierung: Nur autorisierte Support-Mitarbeiter mit gültigen Anmeldedaten können zugreifen
- Verschlüsselte Verbindung: Alle Zugriffe erfolgen über TLS/SSL-verschlüsselte Verbindungen
- Audit-Logging: Jeder Administrator-Zugriff wird zeitgestempelt und protokolliert
- Session-Timeouts: Automatische Abmeldung nach Inaktivität
- IP-Einschränkungen: Zugriff nur von autorisierten Netzwerk-Adressen möglich
- Zwei-Faktor-Authentifizierung: Admin-Konten sind mit 2FA geschützt
4.2 Protokollierte Informationen bei Administrator-Zugriff
Folgende Informationen werden bei jedem Administrator-Zugriff protokolliert:
| Protokollierte Information |
Zweck |
Aufbewahrung |
| Administrations-ID des Zugriffs |
Identifikation des Support-Mitarbeiters |
24 Monate |
| Zeitstempel (Datum und Uhrzeit) |
Dokumentation wann der Zugriff erfolgte |
24 Monate |
| Betroffenes Benutzerkonto |
Zuordnung zu welchem Kunden |
24 Monate |
| Durchgeführte Aktionen |
Art des Zugriffs (Ansicht, Änderung, Löschen) |
24 Monate |
| IP-Adresse des Administrators |
Nachverfolgung unbefugter Zugriffe |
12 Monate |
| Zugriffsresultat (erfolgreich/fehlgeschlagen) |
Sicherheitsüberwachung |
12 Monate |
4.3 Wann erfolgt Administrator-Zugriff?
Administratoren greifen auf Ihre Daten nur in folgenden Szenarien zu:
- Technischer Support: Behebung von technischen Problemen, die Sie gemeldet haben
- Fehlerbehandlung: Diagnostizierung und Behebung von Systemfehlern
- Sicherheitsvorfälle: Untersuchung und Mitigation von Sicherheitsverletzungen
- Benutzer-Anfrage: Nur wenn Sie explizit Support angefordert haben
- Compliance und Audits: Erfüllung gesetzlicher Verpflichtungen (mit Dokumentation)
- Datenrettung: Wiederherstellung von versehentlich gelöschten Daten (mit Ihrer Erlaubnis)
Wichtig: Administratoren haben Zugriff nur auf die Daten, die für die Bearbeitung Ihrer Support-Anfrage notwendig sind.
Ihr Passwort wird niemals angesehen oder verändert, außer wenn Sie das explizit anfordern.
4.4 Rechtsgrundlage für Administrator-Zugriff
Der Administrator-Zugriff erfolgt auf Grundlage von:
- Artikel 6 Absatz 1 Buchstabe b) DSGVO:
Verarbeitung zur Erfüllung des Vertrages (Kundensupport und Wartung)
- Artikel 6 Absatz 1 Buchstabe f) DSGVO:
Berechtigtes Interesse an Sicherheit, Fehlerbehebung und Systemintegrität
- Artikel 6 Absatz 1 Buchstabe c) DSGVO:
Erfüllung gesetzlicher Verpflichtungen (Audit, Compliance)
- Artikel 6 Absatz 1 Buchstabe a) DSGVO:
Ihre ausdrückliche Einwilligung (wenn separat erforderlich)
4.5 Ihre Rechte bei Administrator-Zugriff
Sie haben folgende Rechte bezüglich Administrator-Zugriff auf Ihre Daten:
- Zugriffslogs einsehen: Sie können alle Administrator-Zugriffe auf Ihre Daten einsehen (unter Datenschutz → Sicherheitsprotokoll)
- Zugriff untersagen: Sie können den Administrator-Zugriff durch Kontakt mit unserem Support-Team einschränken (mit Auswirkungen auf Service-Qualität)
- Auskunft erhalten: Wir können Ihnen Informationen geben, wer wann auf welche Daten zugegriffen hat
- Berichtigung: Falls Daten durch Admin-Zugriff fehlerhaft modifiziert wurden, können Sie Berichtigung fordern
- Beschwerde einreichen: Sie können bei der zuständigen Datenschutzbehörde Beschwerde einreichen
- Konto löschen: Sie können Ihr Konto und alle Daten jederzeit löschen (siehe Abschnitt 10)
4.6 Interne Zugriffsrichtlinien
Invoice Processor hat verbindliche interne Richtlinien für Administrator-Zugriff:
- Zugriffsantrag: Jeder Administrator-Zugriff muss dokumentiert und begründet werden
- Vier-Augen-Prinzip: Zugriff auf sensible Kundendaten erfordert Genehmigung durch Supervisor
- Minimale Berechtigung: Administratoren erhalten nur Zugriff auf Daten, die für ihre Aufgabe notwendig sind
- Regelmäßige Audits: Alle Admin-Aktivitäten werden monatlich auditiert
- Schulung: Alle Administratoren durchlaufen Datenschutz- und Sicherheitsschulung
- Vertraulichkeitsverpflichtung: Alle Support-Mitarbeiter unterzeichnen Vertraulichkeitserklärungen
- Konsequenzen: Missbrauch von Admin-Zugriff führt zu strafrechtlichen Konsequenzen
Sicherheit ernst genommen: Wir nehmen den Datenschutz Ihrer Rechnungsdaten äußerst ernst.
Jeder Verstoß gegen diese Richtlinien wird strafrechtlich verfolgt und führt zur sofortigen Beendigung des Arbeitsverhältnisses.
5. Verarbeitung von Rechnungsdaten
Rechnungsdaten sind der Kern unseres Dienstes. Wir verarbeiten diese mit höchsten Sicherheitsstandards:
5.1 Art der Rechnungsdaten
- Rechnungsnummern und Daten
- Beträge und Währungen
- Lieferanten- und Kundendaten
- Steuerinformationen
- Artikelbeschreibungen und Mengen
- SEPA- und Bankdaten (falls vorhanden)
5.2 Sicherheitsmaßnahmen
- Verschlüsselung im Transit (TLS)
- Verschlüsslung at rest (AES-256)
- Sichere Backups mit geografischer Redundanz
- Zugriffskontrolle und Authentifizierung
5.3 Weitergabe an Dritte
Rechnungsdaten werden nicht an Dritte weitergegeben, außer:
- Zum Datenschutzbeauftragten für Compliance-Überprüfungen
- An Hosting-Provider (nur verschlüsselt)
- An gesetzlich angeordnete Stellen (mit rechtlicher Basis)
6. KI-Dienste und automatische Verarbeitung
Invoice Processor nutzt KI-gestützte Funktionen zur Verbesserung der Verarbeitung:
6.1 KI-basierte Funktionen
- Optische Zeichenerkennung (OCR): Automatische Extraktion von Rechnungsdaten
- Intelligente Kategorisierung: Automatische Zuordnung zu Kostenstellen
- Anomalieerkennung: Erkennung verdächtiger Muster
- Automatische Zuordnung: Matching von Rechnungen zu Bestellungen
6.2 Datenverarbeitung durch KI-Dienste
KI-Verarbeitung erfolgt ausschließlich auf Servern innerhalb der EU. Wir nutzen folgende KI-Service-Provider:
- Lokale KI-Modelle: Primär auf EU-Servern gehostet
- Datenschutzkonformen APIs: Nur zertifizierte Anbieter mit EU-Sitz
- Keine Datenteilung: Trainingsdaten werden nicht für KI-Modelle verwendet
6.3 Ihre Kontrollmöglichkeiten
- Sie können KI-Features deaktivieren und manuelle Verarbeitung nutzen
- Sie können automatisch verarbeitete Rechnungen vor Speicherung überprüfen
- Sie können KI-Entscheidungen jederzeit überschreiben
7. E-Mail-Verarbeitung
Wir verarbeiten E-Mails in folgenden Kontexten:
7.1 Service-E-Mails
- Kontobestätigung und Passwort-Zurücksetzen
- Benachrichtigungen zu Verarbeitungsergebnissen
- Support-Antworten
- System-Warnungen
7.2 Newsletter und Marketing (nur mit Einwilligung)
Marketing-E-Mails werden nur versendet, wenn Sie sich ausdrücklich dafür angemeldet haben.
Sie können sich jederzeit abmelden.
7.3 Rechnungsverarbeitung per E-Mail
Rechnungen können automatisch von E-Mail-Konten erfasst werden:
- E-Mail-Anhänge werden automatisch extrahiert und verarbeitet
- E-Mail-Header werden nicht gespeichert
- E-Mails werden nach erfolgreicher Verarbeitung gelöscht
- Sie bestimmen, welche E-Mail-Konten verbunden werden
8. Cookies und ähnliche Technologien
8.1 Wesentliche Cookies
Folgende Cookies sind für den Betrieb erforderlich:
- Session-Token: Für Authentifizierung und Sitzungsverwaltung
- CSRF-Token: Für Sicherheit gegen Cross-Site-Request-Forgery-Attacken
- Theme-Einstellung: Zur Speicherung Ihrer Dark/Light-Mode-Präferenz
8.2 Analytik-Cookies (optional)
Mit Ihrer Zustimmung nutzen wir anonymisierte Analyse-Tools:
- Matomo Analytics (selbst gehostet, datenschutzkonform)
- Anonyme Nutzungsmuster zur Verbesserung des Services
- Keine Weitergabe an Dritte
8.3 Cookie-Verwaltung
Sie können Cookies in Ihren Browser-Einstellungen verwalten. Das Löschen wesentlicher Cookies
führt zu Funktionseinschränkungen.
9. Aufbewahrungsfristen
Wir speichern Ihre Daten nur so lange, wie notwendig:
| Datentyp |
Aufbewahrungsdauer |
Grund |
| Kontodaten (aktiv) |
Während des Konto-Bestandes |
Erfüllung des Vertrags |
| Rechnungsdaten |
7 Jahre (nach deutschem Recht) |
Handels- und Steueraufbewahrung |
| Admin-Zugriffslogs |
24 Monate |
Sicherheitsüberwachung |
| IP-Adressen und Log-Daten |
30 Tage |
Systemsicherheit |
| Gelöschte Konten (anonymisiert) |
30 Tage (bis vollständige Löschung) |
Wiederherstellung möglich |
| Support-Tickets |
2 Jahre nach Abschluss |
Nachverfolgung und Compliance |
9.1 Löschung nach Kontokündigung
Bei Kündigung Ihres Kontos:
- Rechnungsdaten werden für die gesetzlich vorgeschriebene Zeitspanne aufbewahrt
- Kontodaten (E-Mail, Passwort) werden nach 30 Tagen gelöscht
- Sie können sofortige Löschung aller nicht-erforderlichen Daten anfordern
10. Ihre Rechte nach der DSGVO
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
10.1 Recht auf Auskunft (Artikel 15 DSGVO)
Sie können jederzeit eine Auskunft erhalten, welche Daten wir über Sie speichern und wie wir diese verarbeiten.
10.2 Recht auf Berichtigung (Artikel 16 DSGVO)
Sie können unrichtige Daten berichtigen lassen. Die Funktion finden Sie unter Kontoeinstellungen.
10.3 Recht auf Löschung (Artikel 17 DSGVO)
Sie können das Löschen Ihrer Daten anfordern ("Recht auf Vergessenwerden"). Ausnahmen:
- Rechnungsdaten müssen 7 Jahre aufbewahrt werden (gesetzliche Verpflichtung)
- Erforderlich zur Erfüllung eines Vertrags
- Erforderlich für Rechtsansprüche
10.4 Recht auf Einschränkung (Artikel 18 DSGVO)
Sie können fordern, dass wir die Verarbeitung Ihrer Daten einschränken (z.B. während einer Beschwerde).
10.5 Recht auf Datenportabilität (Artikel 20 DSGVO)
Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten und an einen anderen Anbieter übertragen.
10.6 Recht auf Widerspruch (Artikel 21 DSGVO)
Sie können der Verarbeitung widersprechen, insbesondere für:
- Marketing-Kommunikation (jederzeit)
- Datenverarbeitung auf Basis berechtigter Interessen
10.7 Automatisierte Entscheidungsfindung (Artikel 22 DSGVO)
Sie haben das Recht, nicht vollständig automatisierten Entscheidungen unterworfen zu sein (z.B. KI-basierte Genehmigungen).
Sie können jederzeit eine manuelle Überprüfung anfordern.
10.8 Ausübung Ihrer Rechte
Um Ihre Rechte auszuüben, kontaktieren Sie bitte:
11. Datenschutzbeauftragter
Invoice Processor hat einen Datenschutzbeauftragten bestellt, der für Datenschutzfragen zur Verfügung steht:
12. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung ändern, wenn sich unsere Praktiken ändern oder aus anderen Gründen.
Wir werden Sie auf dieser Seite von Änderungen benachrichtigen und (bei wesentlichen Änderungen) eine Benachrichtigung per E-Mail senden.
Ihre fortgesetzte Nutzung des Services nach Veröffentlichung einer überarbeiteten Datenschutzerklärung
bedeutet Ihre Akzeptanz dieser Änderungen.
13. Kontakt und Beschwerden
13.1 Kontakt mit Invoice Processor
13.2 Beschwerde bei der Datenschutzbehörde
Wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzgesetze verstößt,
haben Sie das Recht, bei einer Datenschutzbehörde Beschwerde einzureichen:
Sie können auch bei Ihrer lokalen Datenschutzbehörde Beschwerde einreichen.
Vor Beschwerde bei Behörde: Wir empfehlen, zunächst direkt mit uns Kontakt aufzunehmen
(datenschutz@invoiceprocessor.de), damit wir Ihr Anliegen klären können.