Datenschutzerklärung

gemäß Art. 13 und 14 DSGVO · Stand: März 2026

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:

Alexander Herdt
Lippesee IT
Klausheider Straße 47
33106 Paderborn
Deutschland

E-Mail: info@rechnung3000.de

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für einen bestimmten Zweck erforderlich ist und eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Personenbezogene Daten werden nach Wegfall des Verarbeitungszwecks gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Es werden keine Daten für Werbezwecke verarbeitet oder an Dritte zu Werbezwecken weitergegeben. Soweit Analyse-Dienste eingesetzt werden (Google Analytics), erfolgt dies ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG) und ist jederzeit widerrufbar.

3. Datenerfassung beim Besuch der Website

3.1 Server-Logfiles

Bei jedem Zugriff auf diese Website erfasst der Webserver automatisch folgende Daten in sogenannten Server-Logfiles:

– IP-Adresse des zugreifenden Geräts
– Datum und Uhrzeit des Zugriffs
– Aufgerufene URL und HTTP-Methode
– HTTP-Statuscode
– Übertragene Datenmenge
– Browser und Betriebssystem (User-Agent-String)
– Referrer-URL (zuvor besuchte Seite)

Zweck: Betrieb, Sicherheit und Fehlerbehebung der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).
Speicherdauer: Logfiles werden nach spätestens 30 Tagen automatisch gelöscht, sofern keine konkreten Sicherheitsvorfälle eine längere Speicherung erfordern.

3.2 Cookies und lokale Speicherung

Diese Website setzt technisch notwendige Cookies ein sowie — sofern Sie eingewilligt haben — Analyse-Cookies von Google Analytics. Technisch notwendige Cookies bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TTDSG); Analyse-Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt (§ 25 Abs. 1 TTDSG).

Session-Cookie (PHPSESSID):
Zweck: Sitzungsverwaltung zur Speicherung temporärer Verarbeitungsdaten (hochgeladene Datei, extrahierte Rechnungsdaten, Verarbeitungsstatus).
Laufzeit: Sitzungsdauer (wird beim Schließen des Browsers oder nach Ablauf der Session gelöscht).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig).

Consent-Cookie (cookie_consent):
Zweck: Speicherung Ihrer Einwilligungsentscheidung zum Cookie-Banner.
Laufzeit: 1 Jahr.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig zur Umsetzung der Einwilligung).

Gast-Limit-Cookie (zugferd_guest_used):
Zweck: Technische Durchsetzung des Nutzungslimits für nicht registrierte Gäste (1 kostenlose Konvertierung pro Tag).
Laufzeit: 1 Jahr.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TTDSG (berechtigtes Interesse an Missbrauchsverhinderung; technisch notwendig).

Lokale Speicherung (localStorage):
Zweck: Speicherung der vom Nutzer gewählten Farbschema-Einstellung (Hell/Dunkel-Modus) unter dem Schlüssel rechnung3000-theme.
Diese Daten verbleiben ausschließlich auf Ihrem Gerät und werden nicht an den Server übertragen. Es handelt sich nicht um ein Cookie im Sinne des TTDSG.

3.3 Rate-Limiting-Fingerabdruck

Zur Missbrauchsverhinderung und technischen Durchsetzung des Nutzungslimits für Gäste wird aus Ihrer IP-Adresse ein kryptographischer Hashwert (SHA-256 mit einem serverseitig gespeicherten Zufallswert) berechnet. Dieser Hashwert wird in unserer Datenbank gespeichert.

Wichtig: Die originale IP-Adresse wird dabei nicht gespeichert. Der Hashwert ist unter normalen Umständen nicht auf Ihre IP-Adresse zurückführbar. Eine Verknüpfung mit anderen Daten findet nicht statt.

Zweck: Durchsetzung des Gast-Nutzungslimits, Schutz vor automatisierten Missbrauchsversuchen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsverhinderung und Systemsicherheit).
Speicherdauer: Der Datenbankdatensatz wird automatisch nach 24 Stunden gelöscht.

3.4 Google Analytics

Mit Ihrer Einwilligung setzt diese Website Google Analytics ein, einen Webanalysedienst der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (innerhalb der EU/des EWR betrieben durch Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland).

Google Analytics verwendet Cookies, die eine Analyse Ihrer Nutzung der Website ermöglichen. Die durch die Cookies erzeugten Informationen über Ihre Nutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Wir haben die IP-Anonymisierung aktiviert (anonymize_ip: true), sodass Ihre IP-Adresse von Google innerhalb der EU/des EWR zuvor gekürzt wird.

Eingesetzte Cookies:
_ga: Unterscheidung von Websitebesuchern, Laufzeit 2 Jahre
_ga_G-PBQHT6WG41: Sitzungsstatus, Laufzeit 2 Jahre
_gid: Unterscheidung von Websitebesuchern, Laufzeit 24 Stunden

Rechtsgrundlage: § 25 Abs. 1 TTDSG (Cookie-Setzung) und Art. 6 Abs. 1 lit. a DSGVO (Datenverarbeitung) — jeweils auf Grundlage Ihrer Einwilligung.

Drittlandübermittlung: Die Übermittlung von Daten in die USA erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: policies.google.com/privacy.

Einwilligung widerrufen / Opt-out: Sie können Ihre Einwilligung jederzeit für die Zukunft widerrufen, indem Sie auf dieser Website im Cookie-Banner „Nur notwendige" wählen oder Ihren Browser-Cookie cookie_consent löschen. Darüber hinaus können Sie die Speicherung von Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern oder das Browser-Add-on zur Deaktivierung von Google Analytics installieren: tools.google.com/dlpage/gaoptout.

4. Verarbeitung von hochgeladenen Dokumenten

4.1 Nicht eingeloggte Gäste

Hochgeladene PDF-Dokumente werden ausschließlich zur Durchführung der angeforderten Konvertierung verarbeitet. Sie werden nach spätestens 1 Stunde automatisch und vollständig vom Server gelöscht. Eine dauerhafte Speicherung oder Auswertung der Dokumenteninhalte findet nicht statt.

Die Verarbeitungsergebnisse (extrahierte Rechnungsdaten, erzeugte ZUGFeRD-PDF) werden ebenfalls nach spätestens 1 Stunde automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erbringung des angefragten Dienstes).

4.2 Eingeloggte Nutzer

Für Nutzer mit registriertem Konto werden Rechnungsdaten und erzeugte ZUGFeRD-Dokumente persistiert, um den Dienst (Rechnungshistorie, erneuter Download) zu ermöglichen.

Gespeicherte Daten: Originale Rechnungs-PDF, extrahierter Text, extrahierte Rechnungsdaten (JSON), erzeugte ZUGFeRD-PDF, Verarbeitungsmetadaten (Zeitstempel, Erkennungsstatus).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Erzeugte ZUGFeRD-Dokumente und Rechnungsdaten werden für die Dauer des Nutzungsvertrags gespeichert, jedoch maximal für den tarifabhängigen Aufbewahrungszeitraum: Free-Tarif: 48 Stunden; Starter-Tarif: 30 Tage; Pro-Tarif: 90 Tage; Enterprise-Tarif: unbegrenzt bis zur Kontolöschung. Nach Ablauf dieser Fristen werden die Rechnungsdaten und zugehörigen Dateien automatisch gelöscht. Der Nutzer ist verpflichtet, benötigte Dokumente rechtzeitig herunterzuladen und in einem eigenen System zu archivieren. Nach Kontoauflösung werden alle noch vorhandenen Rechnungsdaten innerhalb von 14 Tagen vollständig gelöscht.

Hinweis: Hochgeladene Dokumente können Daten Dritter (z. B. Kundendaten des Rechnungsempfängers) enthalten. Der Nutzer ist für die rechtmäßige Verarbeitung dieser Daten verantwortlich und versichert, die erforderlichen Rechtsgrundlagen für die Übermittlung an diesen Dienst zu besitzen.

5. Registrierung und Nutzerkonto

Bei der Registrierung erheben wir folgende personenbezogene Daten:

– Name (Vor- und Nachname oder Anzeigename)
– E-Mail-Adresse
– Passwort (wird ausschließlich als bcrypt-Hash gespeichert, nicht im Klartext)
– Zeitstempel der Registrierung und der Datenschutzeinwilligung
– Firmenname (optional)

Zweck: Einrichtung und Verwaltung des Nutzerkontos, Bereitstellung des Dienstes, E-Mail-Verifizierung, Passwort-Reset.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei der Datenschutzbestätigung).
Speicherdauer: Bis zur Kündigung des Nutzerkontos. Nach Kontoauflösung werden personenbezogene Daten innerhalb von 14 Tagen vollständig gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. E-Mail-Kommunikation

Wir versenden transaktionale E-Mails für folgende Zwecke:

– E-Mail-Verifizierung nach Registrierung
– Passwort-Reset auf ausdrücklichen Nutzerenwunsch

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (zur Erfüllung des Nutzungsvertrags erforderlich).
E-Mail-Versanddienstleister: [Name des Versanddienstleisters, z. B. SMTP-Server, Postmark, Mailgun etc.] — [Angaben zur Datenverarbeitung und AVV des Anbieters].
Ihre E-Mail-Adresse wird ausschließlich für die genannten Zwecke verwendet und nicht für Werbezwecke genutzt oder an Dritte weitergegeben.

7. KI-gestützte Datenextraktion

Zur automatischen Erkennung von Rechnungsdaten setzt der Dienst KI-gestützte Analysen ein. Dabei werden Inhalte der hochgeladenen PDF-Dokumente an einen externen KI-Anbieter übermittelt:

OpenAI API — GPT-4o
Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA
Übermittelte Daten: Extrahierter Rechnungstext sowie bei bildbasierten PDFs das vollständige Dokument als base64-kodierte Datei. Die übermittelten Daten können personenbezogene Angaben enthalten (Name, Adresse, IBAN, Steuernummer).
API-Endpunkt: api.openai.com — direkter Aufruf, kein Zwischenanbieter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (zur Erbringung des vertraglich vereinbarten Dienstes).
Drittlandübermittlung (USA): Die Übermittlung erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. OpenAI LLC ist zudem nach dem EU-US Data Privacy Framework zertifiziert.
Datenspeicherung: OpenAI verarbeitet übermittelte Daten ausschließlich zur Erbringung der API-Leistung und verwendet sie nicht für das Training von KI-Modellen (OpenAI API Data Processing Addendum).
Mit OpenAI besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

8. Drittanbieter und Auftragsverarbeitung

8.1 Datenbankhosting (Hetzner)

Für die Speicherung von Nutzerkonto- und Rechnungsdaten (eingeloggte Nutzer) nutzen wir eine MySQL-Datenbank auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Serverstandort: Deutschland (Hetzner Rechenzentren Nürnberg/Falkenstein)

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Alle Daten verbleiben innerhalb der EU. Weitere Informationen zur Datenverarbeitung durch Hetzner: hetzner.com/legal/privacy-policy.

8.2 Webhosting (Hetzner)

Der Webserver des Dienstes wird ebenfalls bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland betrieben.

Serverstandort: Deutschland (Hetzner Rechenzentren Nürnberg/Falkenstein)

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Alle Daten verbleiben innerhalb der EU. Weitere Informationen zur Datenverarbeitung durch Hetzner: hetzner.com/legal/privacy-policy.

8.3 Google Analytics (Google LLC / Google Ireland Limited)

Für die Nutzungsanalyse setzen wir (nur nach Einwilligung) Google Analytics der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ein. Mit Google Ireland Limited besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Drittlandübermittlung (USA): Google Analytics überträgt Nutzungsdaten auf Server in den USA. Die Übermittlung erfolgt auf Grundlage der von der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO genehmigten Standardvertragsklauseln (SCCs). Google LLC ist zudem nach dem EU-US Data Privacy Framework (Adequacy Decision vom 10.07.2023) zertifiziert, was eine zusätzliche Rechtsgrundlage für den Datentransfer bietet. IP-Anonymisierung ist aktiviert (anonymize_ip: true). Weitere Informationen: business.safety.google/adsprocessorterms.

8.4 KI-Verarbeitung (OpenAI)

Für die KI-gestützte Erkennung bildbasierter Rechnungs-PDFs nutzen wir die API von OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.

Verarbeitete Daten: Hochgeladene PDF-Dokumente (base64-kodiert), die Rechnungsdaten mit ggf. personenbezogenen Angaben (Name, Adresse, IBAN, Steuernummer) enthalten können.
Zweck: Automatische Extraktion strukturierter Rechnungsdaten aus bildbasierten PDFs zur Erbringung des ZUGFeRD-Konvertierungsdienstes.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandübermittlung (USA): Die Übermittlung erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission (SCCs, Art. 46 Abs. 2 lit. c DSGVO). OpenAI LLC ist zudem nach dem EU-US Data Privacy Framework zertifiziert.
Mit OpenAI besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) gemäß Art. 28 DSGVO. OpenAI verwendet über die API übermittelte Daten nicht zum Training von KI-Modellen. Weitere Informationen: openai.com/policies/privacy-policy.

8.5 Zahlungsabwicklung (Stripe)

Für die Abwicklung von kostenpflichtigen Abonnements nutzen wir den Zahlungsdienstleister Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland (nachfolgend „Stripe").

Bei Abschluss eines kostenpflichtigen Abonnements werden folgende Daten an Stripe übermittelt:
– E-Mail-Adresse des Nutzers
– Zahlungsdaten (Kreditkarten- oder SEPA-Daten — werden direkt bei Stripe eingegeben und nicht auf unseren Servern gespeichert)
– Rechnungsadresse (sofern angegeben)
– Transaktionsdaten (Betrag, Währung, Zeitstempel)

Zweck: Verarbeitung von Zahlungen, Verwaltung von Abonnements, Betrugsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Serverstandort: Primär EU (Irland). Stripe kann Daten auch in die USA übermitteln; dies erfolgt auf Grundlage der Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-US Data Privacy Frameworks.
Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen zur Datenverarbeitung durch Stripe: stripe.com/de/privacy.

9. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte gegenüber dem Verantwortlichen:

Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten sowie eine Kopie dieser Daten verlangen.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen. Eingeloggte Nutzer können ihr Konto und alle gespeicherten Daten jederzeit selbst über die Kontoeinstellungen löschen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, wenn eine der Voraussetzungen des Art. 18 DSGVO erfüllt ist.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format herunterladen. Eingeloggte Nutzer können ihre Daten jederzeit über die Kontoeinstellungen exportieren.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, jederzeit widersprechen.

Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@rechnung3000.de

10. Beschwerderecht

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für den Anbieter zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf

Eine Liste aller deutschen Datenschutz-Aufsichtsbehörden finden Sie unter: bfdi.bund.de

11. Keine Verkaufspflicht von Daten

Personenbezogene Daten der Nutzer werden nicht verkauft, vermietet oder anderweitig zu kommerziellen Zwecken an Dritte übermittelt. Eine Weitergabe erfolgt ausschließlich an die in dieser Erklärung genannten Auftragsverarbeiter und nur im für die Diensterbringung erforderlichen Umfang.

12. Aktualität und Änderungen dieser Erklärung

Diese Datenschutzerklärung hat den Stand März 2026. Durch die Weiterentwicklung des Dienstes oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu aktualisieren. Die jeweils aktuelle Fassung ist stets unter rechnung3000.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.