Datenschutzerklärung

Informationen gemäß Art. 13 DSGVO

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten der Nutzer dieser Anwendung ist:

flstr (Stefan Behrendt) Mendelssohnstr 30 25524 Itzehoe

E-Mail: support@flstr.de · Hilfe/Support: https://flstr.de/hilfe

Ein Datenschutzbeauftragter ist nicht bestellt; eine Bestellpflicht nach Art. 37 DSGVO besteht für den Betreiber nicht.

2. Geltungsbereich und die zwei Datenschutz-Rollen

Diese Datenschutzerklärung gilt für die Nutzung der Web-Anwendung unter e-rechnung.flstr.de, mit der Nutzer elektronische Rechnungen (insbesondere XRechnung und ZUGFeRD) erstellen, prüfen und versenden.

Wir verarbeiten personenbezogene Daten in zwei unterschiedlichen Rollen:

  1. Als Verantwortlicher – für die Daten, die bei Registrierung, Kontoführung, Abrechnung und Nutzung anfallen (Ihre Nutzerdaten). Diese Datenschutzerklärung regelt diese Verarbeitung.
  2. Als Auftragsverarbeiter – für die Daten, die Sie als Nutzer in die Anwendung eingeben, um Ihre Rechnungen zu erstellen (insbesondere die Stammdaten und Rechnungsangaben Ihrer Kunden bzw. Rechnungsempfänger). Insoweit sind Sie der Verantwortliche, und wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag und nach Ihrer Weisung. Grundlage ist der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, den Sie in Ihrem Konto einsehen und annehmen; er ist für die Daten Ihrer Kunden maßgeblich.

3. Verarbeitete Datenkategorien, Zwecke und Rechtsgrundlagen (Rolle 1 – Nutzerdaten)

Wir verarbeiten die folgenden Kategorien personenbezogener Daten:

DatenkategorieKonkrete DatenZweckRechtsgrundlage
Registrierungs-/KontodatenName, E-Mail-Adresse, Status der E-Mail-Bestätigung, optionales Profilbild, KontorolleBereitstellung des Nutzerkontos und des ZugangsArt. 6 Abs. 1 lit. b (Vertrag)
AuthentifizierungsdatenPasswort (ausschließlich als kryptographischer Hash), Anmelde-Sitzungen, Verifizierungs-/Zurücksetzungs-Token (E-Mail-Bestätigung, Passwort-Reset)Anmeldung, Kontosicherheit, MissbrauchsschutzArt. 6 Abs. 1 lit. b (Vertrag) und lit. f (Sicherheit)
Sitzungs-/technische ZugriffsdatenIP-Adresse und User-Agent der jeweiligen Anmeldesitzung, AblaufzeitSitzungsverwaltung, Sicherheit, Erkennung missbräuchlicher AnmeldungenArt. 6 Abs. 1 lit. f (berechtigtes Interesse)
Unternehmensprofil (eigene Angaben des Nutzers für seine Rechnungen)Firmen-/Name, Anschrift, USt-IdNr., Steuernummer, Verkäuferkennung, Kontakt (E-Mail/Telefon), Bankverbindung (IBAN, BIC, Kontoinhaber), Kleinunternehmer-Kennzeichen, Standard-ZahlungszielErstellung rechtskonformer Rechnungen mit den Pflichtangaben des NutzersArt. 6 Abs. 1 lit. b (Vertrag), lit. c (steuerliche Pflichten des Nutzers)
Abrechnungs-/ZahlungsdatenAbo-Stufe, Abo-Status/-Zeiträume, Stripe-Kunden- und Abo-Kennung; keine Kartendaten (liegen ausschließlich bei Stripe)Abwicklung kostenpflichtiger TarifeArt. 6 Abs. 1 lit. b (Vertrag)
Protokolldaten (Audit-Log)Zeitpunkt, Aktionstyp (z. B. Erstellen/Festschreiben/Versenden/Login), Nutzer- und Organisationskennung, Bezugsobjekt; keine IP-Adresse, keine Rechnungsinhalte, keine EmpfängerNachvollziehbarkeit und Integrität der erzeugten Belege (GoBD-konforme Erstellung), SicherheitArt. 6 Abs. 1 lit. c und lit. f
Kommunikations-/SupportdatenInhalt von E-Mails an info@flstr.de und ÄhnlichesBearbeitung von AnfragenArt. 6 Abs. 1 lit. b / lit. f

4. Empfänger und Auftragsverarbeiter (Subprozessoren)

Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen jeweils die datenschutzrechtlich erforderlichen Verträge – insbesondere zur Auftragsverarbeitung nach Art. 28 DSGVO – bestehen:

DienstleisterZweckSitz / VerarbeitungsortHinweise
netcup GmbH (Karlsruhe)Hosting / Serverinfrastruktur (einschließlich des Support-Postfachs)Rechenzentren Nürnberg (DE) / Wien (AT), EU/EWRISO 9001/27001/27701 (netcup/Anexia); AVV liegt vor. Gehört zur Anexia-Gruppe (weitere Infrastruktur-Erbringer innerhalb der EU/des EWR).
Mailtrap (Railsware Products Studio LLC, Delaware/USA; Pasadena, CA)Transaktionaler E-Mail-Versand (Rechnungs- und System-E-Mails über das Plattform-Relay) + Zustell-/Bounce-StatusUSA (Hosting über AWS/Google); Übermittlung aus der EU/dem EWR in die USAKein Öffnungs-/Klick-Tracking. ISO 27001 / SOC 2 Type II, AES-256; DPA liegt vor. Drittland (EU → USA) primär über das EU-US Data Privacy Framework, ersatzweise EU-Standardvertragsklauseln/UK-Addendum. Provider-neutral (alternativ Mailjet/Scaleway) konfigurierbar.
Stripe Payments Europe, Ltd.Zahlungs-/Aboabwicklung (nur bei kostenpflichtigen Tarifen); erhält E-Mail-Adresse, abo-/zahlungsbezogene Daten, KundenkennungIrland (EU); mögliche Übermittlung in die USASiehe § 5 (Drittland). Garantien nach Art. 46 DSGVO (EU-Standardvertragsklauseln).

Kein Auftragsverarbeiter, aber Datenübermittlung an einen Dritten: Zur Prüfung der Umsatzsteuer-Identifikationsnummer des Rechnungsempfängers werden Länderkennung und USt-IdNr. des Empfängers an den Dienst der Europäischen Kommission (VIES) übermittelt; dies erfolgt auf Veranlassung des Nutzers (Verantwortlicher) und betrifft AVV-Daten. VIES ist Empfänger im Sinne des Art. 4 Nr. 9 DSGVO.

Wir setzen keine fremden Analyse-, Tracking- oder Werbedienste ein – kein Google Analytics o. Ä., kein Error-Tracking/Monitoring-Dienst, keine externen Schriftarten, keine externen Skripte, kein CDN mit Nutzerdaten. Für eine einwilligungsfreie, cookielose Reichweitenmessung auf den öffentlichen Seiten (Startseite, Rechtsseiten, Anmelde-/Registrierungsseiten) setzen wir ausschließlich unsere eigene, selbst gehostete Matomo-Instanz ein; Einzelheiten in § 8. Innerhalb des angemeldeten Bereichs (Ihre Rechnungen, Kunden, Einstellungen) findet keinerlei Reichweitenmessung statt.

5. Drittlandübermittlung (USA)

Der E-Mail-Versand Ihrer Belege erfolgt über Mailtrap (Railsware Products Studio LLC, USA). Dabei werden die E-Mail-Adressen und -Inhalte der Empfänger sowie Zustell-Metadaten in der Infrastruktur von Amazon Web Services und Google in den USA verarbeitet und dazu aus der EU/dem EWR in die USA übermittelt. Grundlage ist primär das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss nach Art. 45 DSGVO; Mailtrap ist zertifiziert); als vertraglich vereinbarter Fallback gelten die EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. das UK-Addendum.

Eine weitere Übermittlung in die USA findet im Rahmen der Zahlungsabwicklung über Stripe statt, und nur, wenn Sie einen kostenpflichtigen Tarif nutzen. Vertragspartner ist Stripe Payments Europe, Ltd. (Irland); eine Verarbeitung durch die US-Konzernmutter kann nicht ausgeschlossen werden. Auch hierfür bestehen geeignete Garantien nach Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln).

Die übrigen Verarbeitungen (Hosting, Datenbank, Objektspeicher, VIES-Prüfung) finden innerhalb der EU/des EWR statt.

6. Speicherdauer und Löschung

flstr ist ein Werkzeug zum Erstellen und Versenden von Rechnungen, kein Langzeit-Archiv. Die gesetzliche Pflicht, Rechnungen aufzubewahren, trifft Sie als Nutzer und ist in Ihrem eigenen System zu erfüllen. Wir stellen Ihnen dafür jederzeit einen vollständigen, integritätsgeprüften Export Ihrer Belege bereit. Wir geben keine eigene Vorhalte- oder Aufbewahrungszusage über eine bestimmte Dauer ab; über Inhalt, Umfang und Dauer Ihrer Aufbewahrungspflichten trifft diese Erklärung keine Aussage.

Wir speichern personenbezogene Daten so lange, wie es für den jeweiligen Zweck bzw. aufgrund gesetzlicher Pflichten erforderlich ist. Insbesondere:

  • Konto- und Profildaten: für die Dauer des Nutzungsverhältnisses; bei Kontolöschung siehe unten.
  • Anmelde-Sitzungen / Token: bis zum Ablauf bzw. zur Abmeldung.
  • Abrechnungsdaten: für die Dauer des Abonnements und darüber hinaus, soweit gesetzlich geboten.
  • Festgeschriebene Rechnungen und zugehörige Belege: werden nicht automatisch gelöscht, sondern nur kontrolliert (siehe unten).

Kontrollierte Löschung festgeschriebener Belege. Eine festgeschriebene Rechnung wird niemals still gelöscht. Eine Löschung ist nur möglich, nachdem Sie die betreffenden Belege exportiert und bestätigt haben, sie in eigener Verantwortung abgelegt zu haben – oder im Zuge einer Kontolöschung nach Ablauf der unten genannten Fristen. Jede Löschung wird menschlich ausgelöst und protokolliert; es gibt keine automatische Löschroutine.

Kontolöschung / Anonymisierung. Löschen Sie Ihr Konto, werden Ihre personenbezogenen Kontodaten anonymisiert (Name und E-Mail werden durch neutrale Platzhalter ersetzt) und Ihre Zugangsdaten und Sitzungen gelöscht. Bereits festgeschriebene Rechnungen Ihrer Organisation bleiben zunächst bestehen, weil sie gegebenenfalls gesetzlichen Aufbewahrungspflichten (in Ihrer Verantwortung) unterliegen und unveränderlich sind; ihre endgültige Löschung erfolgt anschließend über den kontrollierten Löschpfad.

Löschung nach Kontolöschung (Fristen). Nach einer Kontolöschung werden die verbliebenen Belege eines so verwaisten Kontos gelöscht: nach ausreichender Frist (Größenordnung 30 Tage, wenn Export und Ablage bestätigt wurden; andernfalls als Rückfall nach etwa 180 Tagen, nachdem eine Aushändigung der Belege ermöglicht wurde).

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies, die für die Anmeldung und den sicheren Betrieb erforderlich sind (insbesondere ein Sitzungs-Cookie). Diese Cookies sind zum Betrieb des Dienstes unerlässlich; für sie ist keine Einwilligung erforderlich (§ 25 Abs. 2 TDDDG). Wir setzen keine Analyse-, Marketing- oder Tracking-Cookies. Auch unsere Reichweitenmessung arbeitet cookielos (§ 8) – für die Messung selbst wird kein Cookie gesetzt. Ein Cookie-Banner ist daher nicht erforderlich.

Eine Ausnahme betrifft nur den Widerspruch: Wenn Sie der Reichweitenmessung widersprechen (§ 8), speichern wir Ihren Widerspruch in einem Cookie, damit er bei weiteren Besuchen beachtet wird. Dieses Cookie dient allein Ihrem ausdrücklich geäußerten Wunsch, nicht gemessen zu werden (§ 25 Abs. 2 TDDDG), und enthält keine Kennung zu Ihrer Person.

Eine sonstige dauerhafte Speicherung im Browser (localStorage/sessionStorage) findet nicht statt.

8. Reichweitenmessung mit Matomo (cookielos, selbst gehostet)

Um zu verstehen, wie unser Angebot gefunden und genutzt wird, führen wir eine anonyme, cookielose Reichweitenmessung durch. Zweck ist die statistische Auswertung der Nutzung (z. B. wie viele Seiten aufgerufen werden und über welche Quelle Besucher zu uns gelangen), um Inhalte und Angebot zu verbessern. Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten Gestaltung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO).

Die Messung ist bewusst datensparsam ausgestaltet:

  • Selbst gehostet auf eigenem Server: Wir nutzen die Open-Source-Software Matomo auf einem eigenen Server (stats.j5b.de). Die Messdaten werden nicht an Dritte weitergegeben; es liegt insoweit kein Auftragsverarbeiter und keine Übermittlung an einen externen Analysedienst vor.
  • Keine Cookies und keine sonstige Speicherung auf Ihrem Gerät für die Messung.
  • IP-Anonymisierung: Ihre IP-Adresse wird gekürzt/anonymisiert und nicht im Klartext gespeichert.
  • Kein seitenübergreifendes Tracking und keine Zusammenführung mit anderen Daten; es werden keine Profile über Ihre Person gebildet und die „Do Not Track"-Einstellung Ihres Browsers wird respektiert.
  • Nur auf den öffentlichen Seiten: Die Messung läuft ausschließlich auf der Startseite, den Rechtsseiten und den Anmelde-/Registrierungsseiten. Im angemeldeten Bereich (Ihre Rechnungen, Kunden, Einstellungen) findet keine Messung statt; zu diesen Seiten werden keine Aufruf-Daten erhoben.

Speicherdauer: Die aggregierten, anonymisierten Statistikdaten werden nur so lange gespeichert, wie es für die Auswertung erforderlich ist.

Widerspruchsrecht (Art. 21 DSGVO). Sie können der Reichweitenmessung jederzeit mit Wirkung für die Zukunft widersprechen. Nutzen Sie dazu die folgende Schaltfläche. Damit wir Ihren Widerspruch bei weiteren Besuchen beachten können, wird dabei ein technisches Cookie gesetzt, das allein diesen Zweck erfüllt (§ 7). Der Widerspruch gilt für diese Website; für unser Dokumentationsportal (docs.flstr.de) üben Sie ihn dort gesondert aus.

Die anonyme Reichweitenmessung ist aktiv.

9. Rechte der betroffenen Personen

Sie haben nach der DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zwei Besonderheiten unseres Dienstes:

  • Berichtigung (Art. 16): Eine festgeschriebene Rechnung wird aus steuer- und handelsrechtlichen Gründen nicht nachträglich verändert. Erforderliche Korrekturen erfolgen über eine Storno- oder Korrekturrechnung. Ihre Konto- und Profildaten (Rolle 1) können Sie jederzeit selbst berichtigen.
  • Löschung (Art. 17): siehe § 6 – für festgeschriebene Belege gilt der kontrollierte Löschpfad; einer sofortigen Löschung können Ihre eigenen gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für die Wahrnehmung Ihrer Rechte genügt eine formlose Nachricht an support@flstr.de. Für die Daten Ihrer Kunden (Rolle 2) richtet sich die Rechtewahrnehmung nach dem AVV; dort erhalten Sie als Verantwortlicher die nötigen Werkzeuge (Export und Anonymisierung je Kunde).

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, unter anderem: Transportverschlüsselung (TLS) für die gesamte Kommunikation; Verschlüsselung sensibler Daten at rest (z. B. hinterlegte SMTP-Zugangsdaten); unveränderliche Ablage festgeschriebener Belege mit SHA-256-Prüfsummen und lückenlosem Audit-Log; strenge, rollenbasierte Zugriffsbeschränkungen auf Datenbank- und Speicherebene; verschlüsselte Backups. Der interne Rechnungsgenerierungs-Dienst ist nicht öffentlich erreichbar.

11. Aufsichtsbehörde und Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für den Betreiber zuständig ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstraße 98, 24103 Kiel (Postanschrift: Postfach 71 16, 24171 Kiel), Telefon 0431/988-1200, E-Mail mail@datenschutzzentrum.de.

Unabhängig davon können Sie sich an die Aufsichtsbehörde Ihres Aufenthaltsorts wenden.

12. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand 11. Juli 2026. Durch die Weiterentwicklung der Anwendung oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung ist unter e-rechnung.flstr.de abrufbar.