Beta-Vorschau

Einige Compliance-Funktionen befinden sich in aktiver Entwicklung. Mehr erfahren →

Datenschutzerklärung

Version 2.0

Gültig ab: 6. Januar 2026

Bei EncryptInvoice setzen wir uns für den Schutz Ihrer Privatsphäre und die Einhaltung der DSGVO und internationaler Datenschutzstandards ein. Diese Datenschutzerklärung erklärt, wie wir Ihre Daten erfassen, nutzen, schützen und weitergeben, wenn Sie unsere E-Rechnungsplattform nutzen.

Privacy at a Glance

  • We encrypt your invoices with AES-256 and store them securely in EU datacenters
  • We never sell your data to third parties or use it for advertising
  • You can export or delete your data anytime (we honor GDPR deletion rights with user acknowledgment for retention guidance)
  • We use privacy-respecting analytics (self-hosted) and essential cookies only
  • Soatdev IT Consulting SRL (Belgium) is the data controller

Data Controller

Name: Soatdev IT Consulting SRL

Address: Leopold de Waelplaats 28, 2000, Antwerpen, Belgium

VAT: BE1014.369.580

Contact: privacy@encryptinvoice.com

Data Protection Officer: dpo@encryptinvoice.com

Why We Process Your Data (Legal Basis)

  • To provide invoicing and E-Invoicing services (Legal Basis: Contract)
  • To secure your data with AES-256 encryption (Legal Basis: Contract)
  • To process subscription payments and manage your account (Legal Basis: Contract)
  • To comply with tax, invoicing, and record-keeping laws (Legal Basis: Legal Obligation)
  • For security monitoring, fraud prevention, and audit logging (Legal Basis: Legitimate Interest)

How Long We Keep Your Data

  • Recommended: 7-10 years (common tax law requirement in most jurisdictions - your responsibility)
  • Guaranteed: 10 years (Archive-Vault on Business/Enterprise plans)
  • 1 year (security monitoring and compliance)
  • 30-day export window before permanent erasure (Free/Pro plans)
  • 90-day export window for Business/Enterprise plans
  • GDPR deletion requests: Honored even during recommended retention periods with user acknowledgment of responsibility

Third-Party Processors (GDPR Art. 28)

  • Stripe Inc. (USA) - Payment processing | Protected by Standard Contractual Clauses (SCC)
  • Storecove BV (Netherlands, EU) - PEPPOL E-Invoicing network access point
  • Amazon Web Services (EU) - Cloud hosting in EU datacenters
  • Additional processors - May be added based on your plan (all protected by SCC or EU adequacy decisions)

Your GDPR Rights

  • Right to Access: Request a copy of all your personal data (export available in profile)
  • Right to Erasure: Request deletion anytime (we fully honor GDPR Article 17; deletion during recommended retention requires acknowledgment of your responsibility)
  • Right to Data Portability: Export your data in JSON, CSV, PDF, UBL XML formats
  • Right to Rectification: Correct inaccurate data (edit in settings)
  • Right to Restriction: Limit how we process your data
  • Right to Object: Object to processing based on legitimate interests
  • Right to Withdraw Consent: For optional features
  • Right to Lodge a Complaint: Contact your local data protection authority

Um Ihre Rechte auszuüben: Email privacy@encryptinvoice.com / dpo@encryptinvoice.com. Wir werden innerhalb von 30 Tagen wie von der DSGVO gefordert antworten.

Cookie Policy

This section explains how we use cookies and similar technologies.

Essential Cookies (Always Active)

  • Session Cookie: Used for authentication and keeping you logged in (deleted when you close your browser)
  • CSRF Token: Security cookie to prevent cross-site request forgery attacks
  • Language Preference: Remembers your chosen language
  • Dark Mode Preference: Remembers your theme preference
  • Cookie Consent: Remembers your cookie consent choice

Privacy-Respecting Analytics: We use self-hosted analytics to understand how our platform is used and improve user experience. Our analytics respect "Do Not Track" headers and do not track personal user IDs.

We do NOT use: Advertising cookies, tracking pixels, or third-party commercial analytics (Google Analytics, Facebook Pixel, etc.).

1. Welche Daten Wir Erfassen und Warum

Konto- und Kontaktdaten

  • E-Mail, Name, Telefon: Für Kontoerstellung, Authentifizierung und Servicekommunikation
  • Zahlungsinformationen: Sicher verarbeitet durch Stripe (unser Zahlungsabwickler); wir speichern keine vollständigen Kartendaten
  • Organisationsdetails: Firmenname, Adresse, USt-IdNr./Steuernummern für Rechnungserstellung und Compliance

Rechnungs- und Geschäftsdaten

  • Rechnungen, Angebote, Ausgaben: Alle Daten, die Sie erstellen, einschließlich Positionen, Beträge, Kundeninformationen
  • Anhänge: Dateien, die Sie hochladen (Quittungen, Verträge, Belege)
  • E-Rechnungs-Metadaten: Zustellstatus, Zeitstempel, Netzwerk-Routing-Informationen

Nutzungs- und Technische Daten

  • Protokolle: IP-Adressen, Browsertyp, Zugriffszeiten, Funktionsnutzung
  • Leistungsdaten: Fehlerberichte, Diagnostik, API-Nutzungsstatistiken
  • Sicherheitsereignisse: Anmeldeversuche, Authentifizierungsereignisse, Berechtigungsänderungen

Rechtsgrundlage (DSGVO):

  • Vertrag: Verarbeitung zur Bereitstellung des Rechnungsservice, für den Sie sich angemeldet haben
  • Rechtliche Verpflichtung: Einhaltung von Steuer-, Rechnungs- und Aufzeichnungsgesetzen
  • Berechtigte Interessen: Service-Verbesserung, Sicherheitsüberwachung, Betrugsbekämpfung (abgewogen gegen Ihre Rechte)
  • Einwilligung: Optionale Funktionen und Kommunikation, für die Sie sich ausdrücklich entscheiden

2. Wie Wir Ihre Daten Schützen

Verschlüsselung und Sicherheit

  • TLS 1.3: Alle Daten während der Übertragung werden mit den neuesten TLS-Standards verschlüsselt
  • AES-256: Alle gespeicherten Daten werden mit banküblicher AES-256-Verschlüsselung verschlüsselt
  • KMS (Key Management Service): Für hochsensible Daten ist clientseitige Verschlüsselung mit hardware-gestützter Schlüsselspeicherung verfügbar
  • Zwei-Faktor-Authentifizierung: App-basierte (TOTP) und E-Mail-basierte 2FA-Optionen
  • Rollenbasierte Zugriffskontrolle: Granulare Berechtigungen pro Benutzer und Organisation
  • Audit-Protokolle: Vollständige Aktivitätsverfolgung für Compliance und Sicherheitsüberwachung

Hosting und Infrastruktur

  • EU-basiertes Hosting: Alle Daten werden in Rechenzentren der Europäischen Union mit strengen Zugriffskontrollen gespeichert
  • Automatisierte Backups: Tägliche verschlüsselte Backups mit 30-Tage-Aufbewahrung (Kostenlos/Pro) oder 90-Tage+-Aufbewahrung (Business/Enterprise)
  • Regelmäßige Sicherheitsaudits: Penetrationstests durch Dritte und Schwachstellenbewertungen
  • SOC 2 Type II: Zertifizierung in Arbeit (erwartet Q3 2026)

Multi-Organisations-Isolation

Jede Datenbankabfrage ist auf Ihre Organisation beschränkt. Benutzer in einer Organisation können nicht auf Daten einer anderen Organisation zugreifen, selbst wenn sie dieselbe E-Mail-Domain teilen.

3. Mit Wem Wir Daten Teilen

Wir verkaufen Ihre Daten NICHT. Wir teilen Daten nur mit vertrauenswürdigen Dienstleistern, die zur Bereitstellung unseres Service erforderlich sind:

Wesentliche Dienstanbieter

  • Storecove (E-Rechnungsnetzwerke): Wenn Sie E-Rechnungen über PEPPOL, Singapore InvoiceNow, France Chorus Pro oder andere Netzwerke senden oder empfangen, werden Ihre Rechnungsdaten über die Infrastruktur von Storecove übertragen. Storecove fungiert als unser E-Rechnungsnetzwerk-Zugangsanbieter. Lesen Sie deren Datenschutzerklärung auf storecove.com/privacy
  • Stripe (Zahlungsabwicklung): Zahlungsinformationen (Karten, Bankdaten) werden von Stripe verarbeitet. Wir erhalten nur tokenisierte Referenzen; wir speichern keine vollständigen Kartennummern. Lesen Sie die Datenschutzerklärung von Stripe auf stripe.com/privacy
  • Cloud-Infrastruktur: Verschlüsseltes Hosting und Speicherung mit EU-basierten Anbietern unter strengen Datenverarbeitungsverträgen (DPAs) und DSGVO-konformen Standardvertragsklauseln (SCCs)
  • E-Mail-Service: Transaktions-E-Mails (Quittungen, Benachrichtigungen, Passwortrücksetzungen) werden über E-Mail-Infrastrukturanbieter unter DPAs versendet

Gesetzliche Offenlegungen

Wir können Daten offenlegen, wenn dies gesetzlich vorgeschrieben ist (Gerichtsbeschluss, Vorladung, Anfrage der Steuerbehörde) mit entsprechender rechtlicher Genehmigung. Wir werden Sie benachrichtigen, sofern dies nicht gesetzlich verboten ist.

Internationale Übermittlungen

Daten werden standardmäßig in EU-Rechenzentren gehostet. Wenn Daten außerhalb des Europäischen Wirtschaftsraums übertragen werden (z.B. an Unterauftragsverarbeiter oder Support-Dienste), verwenden wir von der DSGVO genehmigte Garantien: Standardvertragsklauseln (SCCs), Angemessenheitsbeschlüsse oder gleichwertige Schutzmaßnahmen. Der Zugriff ist auf das strikt Notwendige beschränkt.

4. Datenspeicherung und Ihre Kontrolle

Speicherung nach Plan

  • Kostenlos & Pro Pläne: Nur operative Speicherung. Keine Langzeitarchivierungsgarantie. Bei Kontoauflösung oder Downgrade haben Sie eine 30-Tage-Schonfrist zum Exportieren Ihrer Daten. Nach 30 Tagen können Daten dauerhaft gelöscht werden.
  • Business & Enterprise Pläne: Beinhalten Archive-Vault mit garantierter 10-jähriger Aufbewahrung, fälschungssicherer Speicherung und audit-bereiten Exporten. Bei Kündigung haben Sie ein 90-Tage-Exportfenster. Erweiterte Archivierung auf Anfrage verfügbar.
  • Gesetzliche Aufbewahrung: Wenn Sie gesetzlichen Aufbewahrungspflichten unterliegen (z.B. 7-10 Jahre für Rechnungen), bleiben Sie bei Kostenlos/Pro-Plänen für die Compliance verantwortlich. Archive-Vault (Business/Enterprise) bietet compliance-grade Archivierung.

Ihre Rechte (DSGVO)

Sie haben das Recht auf:

  • Zugang: Eine Kopie aller personenbezogenen Daten anzufordern, die wir über Sie haben
  • Berichtigung: Unrichtige oder unvollständige Daten zu korrigieren
  • Löschung: Die Löschung Ihrer Daten zu verlangen (vorbehaltlich gesetzlicher Aufbewahrungspflichten)
  • Datenübertragbarkeit: Ihre Daten in Standardformaten zu exportieren (JSON, CSV, PDF, UBL XML)
  • Einschränkung: Zu beschränken, wie wir Ihre Daten in bestimmten Umständen verarbeiten
  • Widerspruch: Der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen
  • Einwilligungswiderruf: Die Einwilligung für optionale Funktionen jederzeit zu widerrufen
  • Beschwerde: Eine Beschwerde bei Ihrer örtlichen Datenschutzbehörde einzureichen

Um Ihre Rechte auszuüben: E-Mail an privacy@encryptinvoice.com oder dpo@encryptinvoice.com. Wir werden innerhalb von 30 Tagen antworten und können Ihre Identität aus Sicherheitsgründen überprüfen.

Benachrichtigung bei Datenschutzverletzungen

Wenn eine Datenschutzverletzung auftritt, die Ihre personenbezogenen Daten betrifft, werden wir Sie unverzüglich und, sofern gesetzlich vorgeschrieben, innerhalb von 72 Stunden nach Kenntnisnahme benachrichtigen. Wir werden die Art der Verletzung, wahrscheinliche Folgen und ergriffene Abhilfemaßnahmen erläutern.

5. Cookies, Tracking und Marketing

Nur Wesentliche Cookies

Wir verwenden wesentliche Cookies für:

  • Authentifizierung und Sitzungsverwaltung
  • Sicherheit und Betrugsprävention (CSRF-Token)
  • Speicherung Ihrer Einstellungen (Sprache, dunkler Modus, Zeitzone)

Wir verwenden KEINE: Werbe-Cookies, Tracking-Pixel oder Analysen von Drittanbietern derzeit. Sollten wir in Zukunft nicht wesentliche Cookies einführen, werden wir ein Einwilligungsbanner bereitstellen und diese Richtlinie aktualisieren.

Marketing-Kommunikation

Wir können Ihnen Produktupdates, Funktionsankündigungen und Bildungsinhalte senden, wenn Sie sich anmelden. Sie können sich jederzeit über den Link in jeder E-Mail abmelden oder den Support kontaktieren.

6. Zusätzliche Informationen

Datenschutz für Kinder

EncryptInvoice ist ein Geschäftstool, das nicht für Benutzer unter 18 Jahren bestimmt ist. Wir erfassen wissentlich keine Daten von Kindern.

Änderungen an Dieser Richtlinie

Wir können diese Datenschutzerklärung aktualisieren, um Änderungen in unseren Praktiken oder gesetzlichen Anforderungen widerzuspiegeln. Wesentliche Änderungen werden per E-Mail kommuniziert und prominent auf unserer Plattform angezeigt. Die fortgesetzte Nutzung nach Änderungen stellt Akzeptanz dar.

Kontakt und Verantwortlicher

Verantwortlicher: EncryptInvoice SAS

Datenschutzbeauftragter: dpo@encryptinvoice.com

Datenschutzanfragen: privacy@encryptinvoice.com

Allgemeiner Support: support@encryptinvoice.com

EU-Vertreter: [Falls erforderlich zu benennen]
Aufsichtsbehörde: Sie können Beschwerden bei Ihrer örtlichen Datenschutzbehörde oder der Behörde in unserer Rechtsordnung einreichen.

Fragen zu Ihrem Datenschutz?

Unser Datenschutzbeauftragter hilft Ihnen gerne, Ihre Rechte und unseren Datenschutz zu verstehen.

Datenschutzteam kontaktieren Allgemeiner Support

Wir verwenden Cookies und datenschutzfreundliche Analysen

Wir verwenden essentielle Cookies für die Authentifizierung und datenschutzfreundliche Analysen (selbst gehostet, respektiert Do Not Track). Keine Werbe- oder Drittanbieter-Verfolgung. Mehr erfahren