← Zurück

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Paulibytes UG (haftungsbeschränkt)
Paulsenplatz 2, 22767 Hamburg, Deutschland
Vertreten durch den Geschäftsführer Michael Wilke
Handelsregister: HRB 157347, Amtsgericht Hamburg
USt-IdNr.: DE325821677
E-Mail: erechnung@paulibytes.de

2. Zweck der Verarbeitung

Dieser Dienst wandelt hochgeladene PDF-Rechnungen in elektronische Rechnungen im ZUGFeRD-Format (EN 16931) um. Dazu werden die hochgeladene Datei und die daraus ermittelten Rechnungsdaten verarbeitet.

Optional können Sie ein Nutzerkonto anlegen und kostenpflichtige Funktionen nutzen (Einzelkauf ohne Wasserzeichen, monatliches Abonnement). Die dafür zusätzlich notwendigen Verarbeitungen sind in den Abschnitten 6 und 7 beschrieben.

3. Verarbeitete Daten

Im Rahmen der Nutzung werden insbesondere verarbeitet:

  • die von Ihnen hochgeladene PDF-Datei;
  • die daraus extrahierten Rechnungsdaten (z. B. Rechnungsnummer, Datum, Name und Anschrift von Verkäufer und Käufer, USt-IdNr., Positionen, Beträge, Steuersätze, IBAN/BIC);
  • technische Daten zur Bereitstellung und Absicherung des Dienstes (z. B. IP-Adresse, Zeitpunkt der Anfrage), siehe Abschnitt 7.

Die hochgeladenen Rechnungen können personenbezogene Daten Dritter enthalten. Sie sind für die Rechtmäßigkeit der Verarbeitung der von Ihnen hochgeladenen Inhalte verantwortlich.

4. Rechtsgrundlage

Die Verarbeitung erfolgt zur Durchführung der von Ihnen angeforderten Umwandlung (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Gewährleistung der Sicherheit und Funktionsfähigkeit des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

5. Speicherdauer und Anonymisierung

Die hochgeladene PDF-Datei sowie die erzeugte ZUGFeRD-Datei werden spätestens 5 Minuten nach der letzten Aktivität automatisch von unseren Servern gelöscht. Wird ein Bezahlvorgang für die wasserzeichenfreie Datei gestartet, verlängert sich die Aufbewahrung einmalig auf bis zu 15 Minuten, damit die Datei nach Abschluss der Zahlung (etwa bei Zahlarten mit Weiterleitung wie Amazon Pay) noch bereitsteht. Zusätzlich können Sie die Frist im Prüfschritt über die Schaltfläche „Aufbewahrung verlängern" selbst um jeweils 15 Minuten verlängern, etwa während Sie erkannte Rechnungsdaten in Ruhe korrigieren. Nach Ablauf der jeweiligen Frist werden die Dateien ebenfalls automatisch gelöscht.

Zu keinem Zeitpunkt werden Namen, Anschriften, USt-IdNr., Rechnungsnummern, IBAN, BIC oder Kontaktdaten von Rechnungssender oder -empfänger in unserer Datenbank gespeichert. Diese Angaben existieren während der Verarbeitung ausschließlich in flüchtigen Dateien neben der hochgeladenen PDF und werden gemeinsam mit dieser automatisch und unwiderruflich gelöscht.

Weitere Rechnungs- und Metadaten werden nur in anonymisierter Form gespeichert, etwa Datums- und Summenangaben sowie die Städte von Rechnungssender und -empfänger. Diese Daten dienen der statistischen Auswertung und der Verbesserung des Dienstes.

6. Nutzerkonto und Login

Für kostenpflichtige Funktionen können Sie ein Nutzerkonto anlegen. Der Login erfolgt passwortlos über einen Anmeldelink (Magic Link), der an Ihre E-Mail-Adresse gesendet wird. Dabei verarbeiten wir:

  • Ihre E-Mail-Adresse (als Konto-Kennung);
  • ein einmalig verwendbares Login-Token (gespeichert wird nur ein Prüfwert/Hash; das Token verfällt nach 15 Minuten);
  • eine Sitzungskennung in einem technisch notwendigen Cookie (siehe Abschnitt 10), gültig für 30 Tage, serverseitig ebenfalls nur als Hash gespeichert.

Die Login-E-Mail versenden wir über unseren Auftragsverarbeiter Mailjet (siehe Abschnitt 8). Öffnungs- und Klick-Tracking ist für diese E-Mails deaktiviert.

Rechtsgrundlage ist die Durchführung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Kontodaten speichern wir bis zur Löschung des Kontos. Sie können Ihr Konto jederzeit selbst im Konto-Bereich löschen oder die Löschung per E-Mail an die in Abschnitt 1 genannte Adresse verlangen.

Bei der Konto-Löschung werden Zugang, Anmeldedaten und die Abrechnungsdaten bei Stripe gelöscht. Ihre E-Mail-Adresse sowie nicht-personenbezogene Nutzungs- und Abrechnungsmetadaten bewahren wir anschließend für bis zu 12 Monate getrennt auf, um unser Angebot auszuwerten und Sie gegebenenfalls über Neuerungen zu unseren Diensten zu informieren (Art. 6 Abs. 1 lit. f DSGVO, § 7 Abs. 3 UWG). Sie können dieser Verwendung jederzeit widersprechen und die sofortige vollständige Löschung der Adresse verlangen; danach wird sie umgehend entfernt.

7. Bezahlung und Abonnement (Stripe)

Für den Einzelkauf und das Abonnement setzen wir den Zahlungsdienstleister Stripe ein (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Ihre Zahlungsdaten (z. B. Kartennummer) geben Sie direkt in die Eingabefelder von Stripe ein; sie werden von Stripe erhoben und verarbeitet und erreichen unsere Server nicht. Wir übermitteln an Stripe die für die Abwicklung nötigen Angaben (bei Kontonutzung Ihre E-Mail-Adresse, Betrag, Produkt) und speichern unsererseits die Stripe-Kundenkennung, den Status des Abonnements, das Laufzeitende sowie freiwillige Angaben bei einer Kündigung.

Stripe verarbeitet Daten teilweise in eigener Verantwortung (etwa zur Betrugsprävention und zur Erfüllung eigener gesetzlicher Pflichten). Dabei kann eine Übermittlung an die Stripe, Inc. in die USA erfolgen; Stripe ist unter dem EU-US Data Privacy Framework zertifiziert, ergänzend gelten EU-Standardvertragsklauseln. Beim Laden der Bezahlfelder setzt Stripe technisch notwendige Cookies zur Betrugsprävention (siehe Abschnitt 10).

Rechtsgrundlagen sind die Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) und unser berechtigtes Interesse an einer sicheren, missbrauchsfreien Zahlungsabwicklung (Art. 6 Abs. 1 lit. f DSGVO). Datenschutzhinweise von Stripe: https://stripe.com/de/privacy

8. Empfänger / Auftragsverarbeiter

Zur Erbringung des Dienstes setzen wir folgende Dienstleister ein:

a) KI-gestützte Datenextraktion (OpenAI)

Zur Auslesung der Rechnungsdaten wird der Textinhalt der hochgeladenen PDF an die OpenAI, L.L.C. (3180 18th Street, San Francisco, CA 94110, USA) übermittelt und dort verarbeitet. Dabei erfolgt eine Übermittlung in ein Drittland (USA); diese wird durch den Auftragsverarbeitungsvertrag und die darin enthaltenen EU-Standardvertragsklauseln abgesichert. Über die API übermittelte Inhalte werden von OpenAI nicht zum Training von KI-Modellen verwendet.

Auftragsverarbeitungsvertrag (Data Processing Addendum) von OpenAI: https://openai.com/policies/data-processing-addendum/

b) Hosting und ZUGFeRD-Erzeugung

Die Anwendung selbst sowie alle weiteren Verarbeitungsschritte (XML-Erzeugung nach EN 16931, Einbettung der strukturierten Daten in die PDF/A-3, Datenbank, Speicherung der Dateien während der Aufbewahrungsfrist) finden auf Servern in Deutschland statt, die in einem nach ISO/IEC 27001 zertifizierten Rechenzentrum betrieben werden. Für diese Verarbeitungsschritte werden keine Daten an externe Dienstleister übermittelt. Quell-PDF und erzeugte ZUGFeRD-Datei werden automatisch gelöscht (siehe Abschnitt 5: 5 Minuten nach der letzten Aktivität, bei laufendem Bezahlvorgang bis zu 15 Minuten).

c) E-Mail-Versand (Mailjet)

Login-E-Mails versenden wir über Mailjet (Mailjet SAS, 4 Rue Jules Lefebvre, 75009 Paris, Frankreich, Teil der Sinch-Gruppe) als Auftragsverarbeiter. Übermittelt werden Ihre E-Mail-Adresse und der Inhalt der Login-E-Mail. Öffnungs- und Klick-Tracking ist deaktiviert. Datenschutzhinweise des Anbieters: https://www.mailjet.com/de/rechtliches/datenschutzrichtlinie/

d) Bezahlungsabwicklung (Stripe)

Siehe Abschnitt 7.

9. Server-Protokolle

Zur Absicherung des Dienstes (u. a. Schutz vor Missbrauch und zur Begrenzung der Anfragehäufigkeit) werden technische Zugriffsdaten wie die IP-Adresse kurzzeitig verarbeitet. Es findet keine zusammenführende Profilbildung statt.

10. Cookies und Webanalyse

Dieser Dienst setzt keine Tracking- oder Marketing-Cookies ein. Es kommen ausschließlich technisch notwendige Cookies zum Einsatz, für die nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich ist:

  • Sitzungs-Cookie (sid): hält Sie nach dem Login angemeldet; Gültigkeit 30 Tage, HttpOnly, wird beim Abmelden gelöscht. Nur gesetzt, wenn Sie sich anmelden.
  • Stripe-Cookies (u. a. __stripe_mid, __stripe_sid): dienen der Betrugsprävention bei der Zahlungsabwicklung. Nur gesetzt, wenn die Bezahlfelder geladen werden (siehe Abschnitt 7).

Zur statistischen Auswertung der Nutzung setzen wir den cookielosen Webanalyse-Dienst Umami (Umami Software, Inc., USA, betrieben über cloud.umami.is) ein. Es werden ausschließlich aggregierte Kennzahlen wie aufgerufene Seiten, Referrer-URL, ungefähre Region (Land) sowie Browser- und Geräteklasse erfasst. IP-Adressen werden ausschließlich kurzzeitig zur Berechnung eines anonymen Tagesschlüssels verwendet und nicht gespeichert. Es findet keine seitenübergreifende Wiedererkennung und keine Profilbildung statt.

Rechtsgrundlage ist unser berechtigtes Interesse an einer datensparsamen Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO). Die Verarbeitung umfasst eine Übermittlung in ein Drittland (USA); diese wird durch die EU-Standardvertragsklauseln des Anbieters abgesichert. Da keine Cookies oder vergleichbaren Technologien zum Zugriff auf Endgeräteinformationen eingesetzt werden, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.

Datenschutzhinweise des Anbieters: https://umami.is/privacy

Sie können der Erfassung jederzeit durch Aktivierung einer Do-Not-Track-Einstellung in Ihrem Browser oder mittels eines gängigen Werbeblockers widersprechen.

11. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Zur Ausübung genügt eine Nachricht an die in Abschnitt 1 genannte E-Mail-Adresse.

Ihnen steht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichts­behörde zu, etwa beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.