Datenschutzerklärung
Informationen gemäß Art. 13 DSGVO
1. Verantwortlicher und Kontakt
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten der Nutzer dieser Anwendung ist:
flstr (Stefan Behrendt) Mendelssohnstr 30 25524 Itzehoe
E-Mail: support@flstr.de · Hilfe/Support: https://flstr.de/hilfe
Ein Datenschutzbeauftragter ist nicht bestellt; eine Bestellpflicht nach Art. 37 DSGVO besteht für den Betreiber nicht.
2. Geltungsbereich und die zwei Datenschutz-Rollen
Diese Datenschutzerklärung gilt für die Nutzung der Web-Anwendung unter e-rechnung.flstr.de, mit der Nutzer elektronische Rechnungen (insbesondere XRechnung und ZUGFeRD) erstellen, prüfen und versenden.
Wir verarbeiten personenbezogene Daten in zwei unterschiedlichen Rollen:
- Als Verantwortlicher – für die Daten, die bei Registrierung, Kontoführung, Abrechnung und Nutzung anfallen (Ihre Nutzerdaten). Diese Datenschutzerklärung regelt diese Verarbeitung.
- Als Auftragsverarbeiter – für die Daten, die Sie als Nutzer in die Anwendung eingeben, um Ihre Rechnungen zu erstellen (insbesondere die Stammdaten und Rechnungsangaben Ihrer Kunden bzw. Rechnungsempfänger). Insoweit sind Sie der Verantwortliche, und wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag und nach Ihrer Weisung. Grundlage ist der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, den Sie in Ihrem Konto einsehen und annehmen; er ist für die Daten Ihrer Kunden maßgeblich.
3. Verarbeitete Datenkategorien, Zwecke und Rechtsgrundlagen (Rolle 1 – Nutzerdaten)
Wir verarbeiten die folgenden Kategorien personenbezogener Daten:
| Datenkategorie | Konkrete Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Registrierungs-/Kontodaten | Name, E-Mail-Adresse, Status der E-Mail-Bestätigung, optionales Profilbild, Kontorolle | Bereitstellung des Nutzerkontos und des Zugangs | Art. 6 Abs. 1 lit. b (Vertrag) |
| Authentifizierungsdaten | Passwort (ausschließlich als kryptographischer Hash), Anmelde-Sitzungen, Verifizierungs-/Zurücksetzungs-Token (E-Mail-Bestätigung, Passwort-Reset) | Anmeldung, Kontosicherheit, Missbrauchsschutz | Art. 6 Abs. 1 lit. b (Vertrag) und lit. f (Sicherheit) |
| Sitzungs-/technische Zugriffsdaten | IP-Adresse und User-Agent der jeweiligen Anmeldesitzung, Ablaufzeit | Sitzungsverwaltung, Sicherheit, Erkennung missbräuchlicher Anmeldungen | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
| Unternehmensprofil (eigene Angaben des Nutzers für seine Rechnungen) | Firmen-/Name, Anschrift, USt-IdNr., Steuernummer, Verkäuferkennung, Kontakt (E-Mail/Telefon), Bankverbindung (IBAN, BIC, Kontoinhaber), Kleinunternehmer-Kennzeichen, Standard-Zahlungsziel | Erstellung rechtskonformer Rechnungen mit den Pflichtangaben des Nutzers | Art. 6 Abs. 1 lit. b (Vertrag), lit. c (steuerliche Pflichten des Nutzers) |
| Abrechnungs-/Zahlungsdaten | Abo-Stufe, Abo-Status/-Zeiträume, Stripe-Kunden- und Abo-Kennung; keine Kartendaten (liegen ausschließlich bei Stripe) | Abwicklung kostenpflichtiger Tarife | Art. 6 Abs. 1 lit. b (Vertrag) |
| Protokolldaten (Audit-Log) | Zeitpunkt, Aktionstyp (z. B. Erstellen/Festschreiben/Versenden/Login), Nutzer- und Organisationskennung, Bezugsobjekt; keine IP-Adresse, keine Rechnungsinhalte, keine Empfänger | Nachvollziehbarkeit und Integrität der erzeugten Belege (GoBD-konforme Erstellung), Sicherheit | Art. 6 Abs. 1 lit. c und lit. f |
| Kommunikations-/Supportdaten | Inhalt von E-Mails an info@flstr.de und Ähnliches | Bearbeitung von Anfragen | Art. 6 Abs. 1 lit. b / lit. f |
4. Empfänger und Auftragsverarbeiter (Subprozessoren)
Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen jeweils die datenschutzrechtlich erforderlichen Verträge – insbesondere zur Auftragsverarbeitung nach Art. 28 DSGVO – bestehen:
| Dienstleister | Zweck | Sitz / Verarbeitungsort | Hinweise |
|---|---|---|---|
| netcup GmbH (Karlsruhe) | Hosting / Serverinfrastruktur (einschließlich des Support-Postfachs) | Rechenzentren Nürnberg (DE) / Wien (AT), EU/EWR | ISO 9001/27001/27701 (netcup/Anexia); AVV liegt vor. Gehört zur Anexia-Gruppe (weitere Infrastruktur-Erbringer innerhalb der EU/des EWR). |
| Mailtrap (Railsware Products Studio LLC, Delaware/USA; Pasadena, CA) | Transaktionaler E-Mail-Versand (Rechnungs- und System-E-Mails über das Plattform-Relay) + Zustell-/Bounce-Status | USA (Hosting über AWS/Google); Übermittlung aus der EU/dem EWR in die USA | Kein Öffnungs-/Klick-Tracking. ISO 27001 / SOC 2 Type II, AES-256; DPA liegt vor. Drittland (EU → USA) primär über das EU-US Data Privacy Framework, ersatzweise EU-Standardvertragsklauseln/UK-Addendum. Provider-neutral (alternativ Mailjet/Scaleway) konfigurierbar. |
| Stripe Payments Europe, Ltd. | Zahlungs-/Aboabwicklung (nur bei kostenpflichtigen Tarifen); erhält E-Mail-Adresse, abo-/zahlungsbezogene Daten, Kundenkennung | Irland (EU); mögliche Übermittlung in die USA | Siehe § 5 (Drittland). Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln). |
Kein Auftragsverarbeiter, aber Datenübermittlung an einen Dritten: Zur Prüfung der Umsatzsteuer-Identifikationsnummer des Rechnungsempfängers werden Länderkennung und USt-IdNr. des Empfängers an den Dienst der Europäischen Kommission (VIES) übermittelt; dies erfolgt auf Veranlassung des Nutzers (Verantwortlicher) und betrifft AVV-Daten. VIES ist Empfänger im Sinne des Art. 4 Nr. 9 DSGVO.
Wir setzen keine Analyse-, Tracking- oder Werbedienste ein – keine Web-Analyse, kein Error-Tracking/Monitoring-Dienst, keine externen Schriftarten, keine externen Skripte, kein CDN mit Nutzerdaten.
5. Drittlandübermittlung (USA)
Der E-Mail-Versand Ihrer Belege erfolgt über Mailtrap (Railsware Products Studio LLC, USA). Dabei werden die E-Mail-Adressen und -Inhalte der Empfänger sowie Zustell-Metadaten in der Infrastruktur von Amazon Web Services und Google in den USA verarbeitet und dazu aus der EU/dem EWR in die USA übermittelt. Grundlage ist primär das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss nach Art. 45 DSGVO; Mailtrap ist zertifiziert); als vertraglich vereinbarter Fallback gelten die EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. das UK-Addendum.
Eine weitere Übermittlung in die USA findet im Rahmen der Zahlungsabwicklung über Stripe statt, und nur, wenn Sie einen kostenpflichtigen Tarif nutzen. Vertragspartner ist Stripe Payments Europe, Ltd. (Irland); eine Verarbeitung durch die US-Konzernmutter kann nicht ausgeschlossen werden. Auch hierfür bestehen geeignete Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln).
Die übrigen Verarbeitungen (Hosting, Datenbank, Objektspeicher, VIES-Prüfung) finden innerhalb der EU/des EWR statt.
6. Speicherdauer und Löschung
flstr ist ein Werkzeug zum Erstellen und Versenden von Rechnungen, kein Langzeit-Archiv. Die gesetzliche Pflicht, Rechnungen aufzubewahren, trifft Sie als Nutzer und ist in Ihrem eigenen System zu erfüllen. Wir stellen Ihnen dafür jederzeit einen vollständigen, integritätsgeprüften Export Ihrer Belege bereit. Wir geben keine eigene Vorhalte- oder Aufbewahrungszusage über eine bestimmte Dauer ab; über Inhalt, Umfang und Dauer Ihrer Aufbewahrungspflichten trifft diese Erklärung keine Aussage.
Wir speichern personenbezogene Daten so lange, wie es für den jeweiligen Zweck bzw. aufgrund gesetzlicher Pflichten erforderlich ist. Insbesondere:
- Konto- und Profildaten: für die Dauer des Nutzungsverhältnisses; bei Kontolöschung siehe unten.
- Anmelde-Sitzungen / Token: bis zum Ablauf bzw. zur Abmeldung.
- Abrechnungsdaten: für die Dauer des Abonnements und darüber hinaus, soweit gesetzlich geboten.
- Festgeschriebene Rechnungen und zugehörige Belege: werden nicht automatisch gelöscht, sondern nur kontrolliert (siehe unten).
Kontrollierte Löschung festgeschriebener Belege. Eine festgeschriebene Rechnung wird niemals still gelöscht. Eine Löschung ist nur möglich, nachdem Sie die betreffenden Belege exportiert und bestätigt haben, sie in eigener Verantwortung abgelegt zu haben – oder im Zuge einer Kontolöschung nach Ablauf der unten genannten Fristen. Jede Löschung wird menschlich ausgelöst und protokolliert; es gibt keine automatische Löschroutine.
Kontolöschung / Anonymisierung. Löschen Sie Ihr Konto, werden Ihre personenbezogenen Kontodaten anonymisiert (Name und E-Mail werden durch neutrale Platzhalter ersetzt) und Ihre Zugangsdaten und Sitzungen gelöscht. Bereits festgeschriebene Rechnungen Ihrer Organisation bleiben zunächst bestehen, weil sie gegebenenfalls gesetzlichen Aufbewahrungspflichten (in Ihrer Verantwortung) unterliegen und unveränderlich sind; ihre endgültige Löschung erfolgt anschließend über den kontrollierten Löschpfad.
Löschung nach Kontolöschung (Fristen). Nach einer Kontolöschung werden die verbliebenen Belege eines so verwaisten Kontos gelöscht: nach ausreichender Frist (Größenordnung 30 Tage, wenn Export und Ablage bestätigt wurden; andernfalls als Rückfall nach etwa 180 Tagen, nachdem eine Aushändigung der Belege ermöglicht wurde).
7. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies, die für die Anmeldung und den sicheren Betrieb erforderlich sind (insbesondere ein Sitzungs-Cookie). Diese Cookies sind zum Betrieb des Dienstes unerlässlich; für sie ist keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG). Wir setzen keine Analyse-, Marketing- oder Tracking-Cookies. Ein Cookie-Banner ist daher nicht erforderlich.
Eine dauerhafte Speicherung im Browser (localStorage/sessionStorage) findet nicht statt.
8. Rechte der betroffenen Personen
Sie haben nach der DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Zwei Besonderheiten unseres Dienstes:
- Berichtigung (Art. 16): Eine festgeschriebene Rechnung wird aus steuer- und handelsrechtlichen Gründen nicht nachträglich verändert. Erforderliche Korrekturen erfolgen über eine Storno- oder Korrekturrechnung. Ihre Konto- und Profildaten (Rolle 1) können Sie jederzeit selbst berichtigen.
- Löschung (Art. 17): siehe § 6 – für festgeschriebene Belege gilt der kontrollierte Löschpfad; einer sofortigen Löschung können Ihre eigenen gesetzlichen Aufbewahrungspflichten entgegenstehen.
Für die Wahrnehmung Ihrer Rechte genügt eine formlose Nachricht an support@flstr.de. Für die Daten Ihrer Kunden (Rolle 2) richtet sich die Rechtewahrnehmung nach dem AVV; dort erhalten Sie als Verantwortlicher die nötigen Werkzeuge (Export und Anonymisierung je Kunde).
9. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, unter anderem: Transportverschlüsselung (TLS) für die gesamte Kommunikation; Verschlüsselung sensibler Daten at rest (z. B. hinterlegte SMTP-Zugangsdaten); unveränderliche Ablage festgeschriebener Belege mit SHA-256-Prüfsummen und lückenlosem Audit-Log; strenge, rollenbasierte Zugriffsbeschränkungen auf Datenbank- und Speicherebene; verschlüsselte Backups. Der interne Rechnungsgenerierungs-Dienst ist nicht öffentlich erreichbar.
10. Aufsichtsbehörde und Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für den Betreiber zuständig ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel (Postanschrift: Postfach 71 16, 24171 Kiel), Telefon 0431/988-1200, E-Mail mail@datenschutzzentrum.de.
Unabhängig davon können Sie sich an die Aufsichtsbehörde Ihres Aufenthaltsorts wenden.
11. Aktualität und Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand 1. Juni 2026. Durch die Weiterentwicklung der Anwendung oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung ist unter e-rechnung.flstr.de abrufbar.