XRechnungs
FunktionenKonformitätVorteilePreise
AnmeldenJetzt kostenlos starten
Zurück zur Startseite

Datenschutzerklärung

XRechnungs

Diese Erklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von XRechnungs.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Geury Roustand

Einzelunternehmer

handelnd unter der Bezeichnung „XRechnungs“

Bahnhofstraße 24

73033 Göppingen

Deutschland

E-Mail: info@xrechnungs.de

Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Verpflichtung besteht.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der DSGVO und den geltenden nationalen Datenschutzbestimmungen (insbesondere BDSG).

Die Verarbeitung erfolgt zur:

  • Bereitstellung unserer SaaS-Dienste
  • Vertragserfüllung
  • Gewährleistung der IT-Sicherheit
  • Verbesserung unseres Angebots

3. Art der verarbeiteten Daten

3.1 Registrierungs- und Accountdaten

  • Name
  • E-Mail-Adresse
  • Passwort (gehasht gespeichert)
  • Unternehmensdaten (z. B. Firmenname, Anschrift, USt-IdNr.)

Zweck: Accountverwaltung und Nutzung der Anwendung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.2 Rechnungs- und Geschäftsdaten

  • Namen und Anschriften von Kunden, Lieferanten und Geschäftspartnern
  • E-Mail-Adressen und Telefonnummern
  • Umsatzsteuer-Identifikationsnummern
  • Rechnungsdaten, insbesondere Beträge, Rechnungspositionen, Bankverbindungen, Zahlungsbedingungen und Zahlungsstatus, soweit diese in der Anwendung gespeichert oder auf Rechnungen angegeben werden
  • Abonnement- und Zahlungsstatusdaten; vollständige Kreditkarten- oder SEPA-Zahlungsdaten für Abonnements werden durch Stripe verarbeitet und nicht durch XRechnungs gespeichert
  • Leistungsbeschreibungen und Rechnungsnummern
  • Mitarbeiterdaten (soweit auf Rechnungen oder Dokumenten angegeben)

Zweck: Erstellung, Validierung und Bereitstellung elektronischer Rechnungen (XRechnung, ZUGFeRD)

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Nutzer)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der SaaS-Plattform)

3.3 Technische Nutzungsdaten

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browser- und Geräteinformationen
  • Login-Zeitpunkte und Aktivitätsprotokolle
  • Logfiles

Zweck: Betriebssicherheit, Fehleranalyse, Missbrauchserkennung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

3.4 Fehleranalyse und Stabilitätsüberwachung

Wir verwenden den Dienst Sentry, Functional Software, Inc., San Francisco, USA („Sentry“), um die technische Stabilität unserer Anwendung durch Überwachung der Systemstabilität und Ermittlung von Codefehlern zu verbessern.

Sentry dient ausschließlich diesen Zwecken und wird nicht zu Werbezwecken eingesetzt. Die Erfassung erfolgt datensparsam.

Personenbezogene Daten wie Name, E-Mail-Adresse, Zahlungsdaten, Rechnungsdokumente, XML-Dateien, PDF-Dateien oder Anhänge werden von uns nicht bewusst an Sentry übermittelt. Soweit möglich, werden personenbezogene Daten vor der Übermittlung entfernt oder gekürzt.

Die übermittelten Fehlerdaten werden nur so lange gespeichert, wie dies zur Analyse und Behebung technischer Fehler erforderlich ist.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherheit, Stabilität und Fehlerbehebung unserer Anwendung gemäß Art. 6 Abs. 1 lit. f DSGVO.

4. Hosting und Auftragsverarbeiter

Die Kernverarbeitung der Produktivdaten, insbesondere Produktivdatenbank, Rechnungsdaten, Kundendaten, Rechnungsdokumente, XML-Dateien, PDF-Dateien und Anhänge, erfolgt ausschließlich auf Servern innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR). Backend, Produktivdatenbank und Dokumentenspeicher werden derzeit innerhalb der EU auf Infrastruktur von Hetzner betrieben. Zur technischen Bereitstellung setzen wir folgende Dienstleister ein:

DienstleisterSitz / AusführungZweckRechtsgrundlage / TransfermechanismusNachweis / Zertifizierung
Hetzner Online GmbHDeutschland (EU)Hosting der Serverinfrastruktur, Backend-Betrieb und ProduktivdatenbankVertrag gem. Art. 28 DSGVOAVV / Datenschutzunterlagen des Anbieters
Hetzner Online GmbH / Object StorageDeutschland (EU)Speicherung von Rechnungsdokumenten, XML-Dateien, PDF-Dateien und AnhängenVertrag gem. Art. 28 DSGVOAVV / Datenschutzunterlagen des Anbieters
Vercel Inc.USA, technische Ausführung in EU-Regionen soweit konfiguriertBereitstellung des Web-Frontends, CDN, Deployment und technische Zugriffs- und Protokolldaten; keine Speicherung der Produktivdatenbank, Rechnungsdokumente, XML-Dateien, PDF-Dateien oder Anhänge. Konfigurierte EU-Regionen: cdg1 (Paris), arn1 (Stockholm), dub1 (Dublin) und fra1 (Frankfurt)EU-US Data Privacy Framework, sofern aktuell zertifiziert; ergänzend SCCs gem. Art. 46 Abs. 2 lit. c DSGVODPF-Listeneintrag / Datenschutzhinweise des Anbieters
Stripe Payments Europe, LimitedIrland (EU)Zahlungsabwicklung und Abonnementverwaltung; Verarbeitung von Zahlungsdaten im Rahmen des Checkout- und AbonnementprozessesVertrag gem. Art. 28 DSGVO; soweit Drittlandtransfers erfolgen, gemäß den Datenschutzunterlagen des AnbietersDPA / Datenschutzunterlagen des Anbieters
Resend Inc.USA, Serverstandort Irland (EU) soweit konfiguriertVersand transaktionaler System-E-MailsEU-US Data Privacy Framework, sofern aktuell zertifiziert; ergänzend SCCs gem. Art. 46 Abs. 2 lit. c DSGVODPF-Listeneintrag / DPA des Anbieters
Sentry / Functional Software, Inc.USAFehleranalyse, technische Stabilitätsüberwachung und Ermittlung von Codefehlern; keine bewusste Übermittlung von Rechnungsdokumenten, XML-Dateien, PDF-Dateien oder AnhängenEU-US Data Privacy Framework, sofern aktuell zertifiziert; ergänzend SCCs gem. Art. 46 Abs. 2 lit. c DSGVODPA / Datenschutzunterlagen des Anbieters
OpenAI, Inc.USAKI-gestützte Texterkennung/OCR nur bei aktiver Nutzung der PDF-zu-XRechnung/ZUGFeRD-KonvertierungsfunktionSCCs gem. Art. 46 Abs. 2 lit. c DSGVO bzw. Angemessenheitsbeschluss gem. Art. 45 DSGVO, soweit anwendbarDPA / Datenschutzunterlagen des Anbieters

Für Anbieter innerhalb der EU/des EWR besteht ein Vertrag gemäß Art. 28 DSGVO. Soweit Anbieter mit Sitz in den USA eingesetzt werden, erfolgt eine Übermittlung personenbezogener Daten vorrangig auf Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO, insbesondere des EU-US Data Privacy Frameworks, sofern der jeweilige Empfänger aktuell zertifiziert ist. Ergänzend oder soweit erforderlich werden EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Der aktuelle Zertifizierungsstatus wird für jeden betroffenen Anbieter regelmäßig überprüft und dokumentiert.

5. KI-gestützte Texterkennung (OCR)

Bei Nutzung der PDF-zu-XRechnung/ZUGFeRD-Konvertierungsfunktion werden hochgeladene Rechnungsdokumente (PDF oder Bilddateien) zur automatischen Extraktion von Rechnungsdaten an die API von OpenAI, Inc., USA übermittelt.

Dabei können personenbezogene Daten übertragen werden, die im Dokument enthalten sind (z. B. Namen, Anschriften, USt-IdNr., Bankverbindungen oder Zahlungsbedingungen).

OpenAI verwendet API-Eingaben standardmäßig nicht zur Verbesserung oder zum Training von Modellen. API-Eingaben und -Ausgaben können nach Angaben von OpenAI grundsätzlich bis zu 30 Tage zur Bereitstellung der Dienste und zur Missbrauchserkennung aufbewahrt werden, soweit keine abweichende Aufbewahrungseinstellung oder gesetzliche Pflicht gilt.

Die Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO, soweit anwendbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: openai.com/policies/privacy-policy

6. Rechnungsvalidierung

Zur technischen Validierung von Rechnungsdokumenten (XRechnung, ZUGFeRD) setzen wir den KoSIT-Validator und den Mustang Validator ein. Die Validierung erfolgt serverseitig. Dabei werden die in den Rechnungsdokumenten enthaltenen Daten technisch geprüft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Zahlungsabwicklung

Zur Abwicklung von Abonnements und Zahlungen verwenden wir Stripe Payments Europe, Limited, Irland.

Zahlungsdaten im Rahmen des Checkout- und Abonnementprozesses, insbesondere vollständige Kreditkarten- oder SEPA-Zahlungsdaten, werden direkt durch Stripe verarbeitet. XRechnungs speichert keine vollständigen Zahlungsinstrumentdaten, sondern lediglich die für die Vertrags- und Accountverwaltung erforderlichen Abonnement- und Zahlungsstatusdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Weitere Informationen: stripe.com/de/privacy

8. Webanalyse – Google Analytics

Sofern Sie eingewilligt haben, nutzen wir Google Analytics, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Website ermöglichen. Wir haben die IP-Anonymisierung aktiviert, sodass Ihre IP-Adresse innerhalb der EU gekürzt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung).

Eine Datenübermittlung an Google-Server in den USA kann nicht ausgeschlossen werden. Diese erfolgt auf Grundlage von SCCs gemäß Art. 46 DSGVO. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Weitere Informationen: policies.google.com/privacy

9. Cookies

Wir verwenden:

  • Technisch notwendige Cookies (Login, Session, Sicherheit)
  • Analyse- oder Statistik-Cookies (nur nach Einwilligung)

Technisch notwendige Cookies: § 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Analyse-/Statistik-Cookies: § 25 Abs. 1 TDDDG; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

10. Speicherdauer und Datenlöschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Vertragserfüllung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Rechnungs- und Accountdaten bleiben gespeichert, solange ein aktiver Account besteht.

Datenlöschung nach Kündigung

Nach Beendigung des Nutzungsvertrags oder Kündigung des Nutzerkontos können Sie nach Ihrer Wahl die Rückgabe oder Löschung der im Auftrag verarbeiteten personenbezogenen Daten verlangen.

  • Zur Rückgabe stellen wir Ihnen die gespeicherten Dokumente und Daten für einen Zeitraum von 30 Kalendertagen in einem gängigen elektronischen Format zum Download bereit.
  • Verlangen Sie die Löschung oder erfolgt innerhalb der 30-tägigen Frist keine Rückgabeanforderung bzw. kein Download, werden die gespeicherten Daten und Dokumente nach Ablauf der Frist gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Die Löschung wird in geeigneter Weise intern dokumentiert. Eine Wiederherstellung der Daten nach erfolgter Löschung ist technisch nicht möglich.

Bitte beachten Sie: XRechnungs speichert Ihre Dokumente für die Dauer der aktiven Kontonutzung. Sie bleiben für die Erfüllung Ihrer eigenen steuer- und handelsrechtlichen Aufbewahrungspflichten (§§ 147 AO, 257 HGB) verantwortlich. Wir empfehlen, regelmäßig eigene Sicherungskopien außerhalb der Plattform anzufertigen.

Soweit gesetzliche Aufbewahrungspflichten auf unserer Seite einer sofortigen Löschung entgegenstehen, werden betreffende Daten bis zum Ablauf dieser Pflicht gespeichert und anschließend unverzüglich gelöscht.

11. Auftragsverarbeitung (AVV)

Im Rahmen der Nutzung von XRechnungs verarbeiten wir personenbezogene Daten im Auftrag unserer Kunden (Art. 28 DSGVO). Die entsprechende Auftragsverarbeitungsvereinbarung (AVV) ist Bestandteil des Nutzungsvertrags.

Mit der Registrierung und Nutzung der Plattform stimmen Sie der AVV elektronisch zu. Die AVV (XRechnungs – Auftragsverarbeitungsvereinbarung (AVV)) ist nach der Registrierung im Nutzerbereich der Plattform abrufbar.

Die AVV regelt insbesondere Art, Umfang und Zweck der Verarbeitung, die eingesetzten Unterauftragsverarbeiter sowie die technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO.

12. Ihre Rechte gemäß DSGVO

Sie haben folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@xrechnungs.de

13. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

www.baden-wuerttemberg.datenschutz.de

14. Sicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere:

  • TLS/HTTPS-Verschlüsselung aller Datenübertragungen
  • Rollenbasierte Zugriffskontrolle
  • Logische Mandantentrennung der Nutzerdaten
  • Verschlüsselte Datensicherungen
  • Monitoring und Protokollierung sicherheitsrelevanter Ereignisse
  • Regelmäßige Sicherheitsupdates

Die vollständige Beschreibung unserer technischen und organisatorischen Maßnahmen (TOM) ist in Anlage 3 der AVV abrufbar.

Trotz aller technischen und organisatorischen Maßnahmen kann ein absoluter Schutz der Daten vor Zugriffen Dritter nicht vollständig garantiert werden.

15. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

16. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei Bedarf angepasst werden. Die jeweils aktuelle Version ist jederzeit auf dieser Seite abrufbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.

Stand: Juli 2026 | Version 1.2 | XRechnungs – Geury Roustand, Bahnhofstraße 24, 73033 Göppingen