Datenschutzerklärung

Stand: 14.03.2026

Diese Datenschutzerklärung gliedert sich in eine allgemeine Datenschutzerklärung für alle Dienste sowie spezifische Datenschutzbestimmungen für die Rechnungsverarbeitung. Am Ende finden Sie den Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Allgemeine Datenschutzerklärung

1. Verantwortliche Stelle

RechnungsMagier UG (haftungsbeschränkt)
Geschäftsführer: Josua Krämer
Mühlenstraße 8a
14167 Berlin
Deutschland

E-Mail: support@rechnungsmagier.de
Website: www.rechnungsmagier.de

Handelsregister: Amtsgericht Charlottenburg, HRB 263428 B
USt-IdNr.: DE369431295

2. Verarbeitete Daten

Wir verarbeiten nur die Daten, die zur Erbringung unserer Dienste notwendig sind:

Bestandsdaten

Name, Firmenname, Anschrift (für Rechnungsstellung und Nutzerkonto)

Kontaktdaten

E-Mail-Adresse (für Kontozugang, Benachrichtigungen, Support)

Technische Nutzungsdaten

IP-Adresse, Browser-Typ, Zugriffszeiten, Session-IDs (für Betrieb und Sicherheit der App)

Zahlungsdaten

Stripe-Kunden-ID, Abrechnungsinformationen, Transaktionshistorie (werden direkt durch Stripe verarbeitet)

Geschäftsdaten

Hochgeladene Rechnungen und Belege, extrahierte Rechnungsdaten, Buchungsdaten, API-Schlüssel für Drittanbieter-Integrationen

3. Zweck und Rechtsgrundlage der Verarbeitung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Bereitstellung unserer Dienste, Verwaltung Ihres Nutzerkontos, Abwicklung von Zahlungen, Kundensupport.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Aufbewahrung von Rechnungen und Buchungsdaten gemäß steuerrechtlichen Vorschriften (§ 147 AO, § 257 HGB).

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Analyse der Website-Nutzung via Google Analytics, Schaltung von Google Ads, Verbesserung unserer KI-Modelle durch gespeicherte Rechnungsdaten, Betrugsprävention und IT-Sicherheit.

4. Drittanbieter

Zur Bereitstellung unserer Dienste arbeiten wir mit folgenden Dienstleistern zusammen. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge oder geeignete Schutzgarantien gemäß DSGVO.

Hetzner Online GmbH (Deutschland)

Hosting der Web-App. Daten verbleiben in Deutschland.

Stripe, Inc.

Zahlungsabwicklung und Rechnungsstellung. Datenverarbeitung innerhalb der EU gemäß DSGVO.

Amazon Web Services EMEA SARL (Frankfurt, Deutschland)

Temporäre Speicherung hochgeladener Rechnungen (S3), Versand transaktionaler E-Mails (SES: Registrierungsbestätigung, Passwort-Reset) sowie Hosting von ERPNext-Instanzen (EC2, EFS, RDS). Alle Daten verbleiben in der EU.

RunPod, Inc.

GPU-Cloud-Computing für unser Amazon-KI-Modell. Verarbeitung erfolgt verschlüsselt; keine dauerhafte Speicherung von Rechnungsdaten auf RunPod-Servern.

Google LLC (EU-Rechenzentren)

Google Document AI: KI-gestützte Analyse von Nicht-Amazon-Rechnungen.
Google Analytics: Analyse der Website-Nutzung (aktivierbar/deaktivierbar über Cookie-Einstellungen).
Google Ads: Werbemaßnahmen (aktivierbar/deaktivierbar über Cookie-Einstellungen).
Datenverarbeitung mit geeigneten Schutzgarantien gemäß Art. 46 DSGVO.

5. Cookies

Wir verwenden zwei Kategorien von Cookies:

Notwendige Cookies (keine Einwilligung erforderlich)

Session-Cookies für den Login-Status und die korrekte Verarbeitung Ihrer Anfragen. Diese sind für den Betrieb der App zwingend erforderlich.

Analyse- und Marketing-Cookies (nur mit Einwilligung)

Google Analytics und Google Ads. Sie können Ihre Cookie-Einstellungen jederzeit anpassen.

6. Speicherdauer

Rechnungen (Datei): Temporäre Speicherung für die Dauer der Verarbeitung und Übertragung; danach Löschung aus dem temporären S3-Speicher.

Extrahierte Rechnungsdaten (Text/Felder): Unbefristete Speicherung zur kontinuierlichen Verbesserung unserer KI-Modelle (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Einzelheiten im AVV unten).

Vertragsdaten: Für die Dauer der Geschäftsbeziehung plus gesetzliche Aufbewahrungsfristen.

Rechnungs- und Buchungsdaten: 10 Jahre gemäß § 147 AO.

Geschäftskorrespondenz: 6 Jahre gemäß § 257 HGB.

Logdaten: Maximal 30 Tage, sofern nicht für Sicherheitszwecke länger erforderlich.

7. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere: SSL/TLS-Verschlüsselung für alle Datenübertragungen, AES-256-Verschlüsselung gespeicherter Daten, Zwei-Faktor-Authentifizierung für administrative Zugänge, Zugriffskontrolle nach dem Prinzip der minimalen Berechtigung sowie regelmäßige automatisierte Backups.

8. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu. Zur Ausübung wenden Sie sich an support@rechnungsmagier.de:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)

Sie haben zudem das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
E-Mail: mailbox@datenschutz-berlin.de

9. Internationale Datenübermittlung

RunPod, Inc. hat seinen Sitz in den USA. Die Datenübertragung erfolgt ausschließlich verschlüsselt. Wir stellen durch geeignete Schutzgarantien (EU-Standardvertragsklauseln gemäß Art. 46 DSGVO) sicher, dass ein dem EU-Niveau entsprechendes Datenschutzniveau gewährleistet ist. Google LLC verarbeitet Daten in EU-Rechenzentren.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Rechtslage oder unserer Dienste anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail. Die jeweils aktuelle Version ist stets auf unserer Website abrufbar.

Datenschutzbestimmungen: ERPNext-Hosting

1. Verarbeitung von ERPNext-Instanzdaten

Für das Hosting von ERPNext-Instanzen werden die vom Nutzer in seiner ERPNext-Instanz gespeicherten Daten ausschließlich zur Bereitstellung und zum Betrieb der Instanz verarbeitet. Art und Inhalt dieser Daten liegen allein im Verantwortungsbereich des Nutzers.

2. Infrastruktur und Datenisolierung

Jede ERPNext-Instanz wird auf dedizierter AWS-Infrastruktur betrieben:

  • Dedizierte EC2-Instanz pro Nutzer (Anwendungsserver)
  • Dediziertes EFS-Dateisystem pro Nutzer (Datenspeicher)
  • Separate Datenbanktabelle in einer gemeinsam genutzten RDS-Instanz, logisch isoliert pro Nutzer

Instanzen können vom Nutzer eigenständig gestartet und gestoppt werden. Im gestoppten Zustand werden EC2 und EFS angehalten; die Datenbankdaten bleiben erhalten. Eine Datenweitergabe zwischen verschiedenen Nutzerinstanzen ist technisch ausgeschlossen.

3. Drittanbieter

Amazon Web Services EMEA SARL (Frankfurt, Deutschland)

EC2 (Anwendungsserver), EFS (Dateispeicher), RDS (Datenbank). Alle Daten werden ausschließlich in der AWS-Region EU (Frankfurt) gespeichert und verarbeitet. Es besteht ein Auftragsverarbeitungsvertrag mit AWS gemäß Art. 28 DSGVO.

4. Löschung

Das Löschen einer ERPNext-Instanz durch den Nutzer führt zur unwiederbringlichen Löschung aller zugehörigen Daten (EC2, EFS, Datenbankeinträge). Der Nutzer ist für die Sicherung seiner Daten vor der Löschung eigenverantwortlich. Nach Vertragsbeendigung werden alle Instanzdaten spätestens 30 Tage nach Vertragsende gelöscht.

Datenschutzbestimmungen: Rechnungsverarbeitung

1. Verarbeitung von Rechnungsdaten

Hochgeladene Rechnungen werden ausschließlich zu folgenden Zwecken verarbeitet:

  • Automatisierte Extraktion relevanter Rechnungsdaten
  • Übertragung der extrahierten Daten und der Rechnungsdatei an Ihre Buchhaltungssoftware via API
  • Verbesserung unserer KI-Modelle durch Analyse gespeicherter Rechnungsdaten (Einzelheiten im AVV)

2. KI-Verarbeitung im Detail

Amazon-KI-Modell

Verarbeitung auf RunPod GPU-Servern. Verschlüsselte Übertragung, nur temporäre Verarbeitung im Arbeitsspeicher, sofortige Löschung nach Verarbeitung auf RunPod-Infrastruktur.

Universal-KI (Google Document AI)

Verarbeitung in Google Cloud EU-Rechenzentren. Verschlüsselte Übertragung, automatische Löschung nach Verarbeitung gemäß Google Cloud-Richtlinien.

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag wird gemäß Art. 28 DSGVO zwischen dem Nutzer als Verantwortlichem und der RechnungsMagier UG (haftungsbeschränkt) als Auftragsverarbeiter geschlossen. Er gilt automatisch mit Abschluss eines Abonnements für den Rechnungsverarbeitungsdienst (Amazon-KI oder Universal-KI) und endet mit dessen Kündigung.

1. Parteien

Auftragsverarbeiter

RechnungsMagier UG (haftungsbeschränkt)
Mühlenstraße 8a, 14167 Berlin
support@rechnungsmagier.de

Verantwortlicher

Der jeweilige Nutzer des RechnungsMagier-Dienstes für Rechnungsverarbeitung, der durch Nutzung des Dienstes diesem Vertrag zustimmt.

2. Gegenstand und Zweck der Verarbeitung

Gegenstand: Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen PDF-Rechnungen mittels spezialisierter KI-Modelle (Amazon-KI und/oder Google Document AI). Dies umfasst die Extraktion relevanter Rechnungsdaten und deren Übertragung an das Buchhaltungssystem des Verantwortlichen.

Primärer Zweck: Automatisierung der Buchhaltungsprozesse des Verantwortlichen – Vereinfachung der Rechnungsverarbeitung, Reduktion manueller Eingaben, Vermeidung von Übertragungsfehlern.

Sekundärer Zweck – Modellverbesserung: Der Verantwortliche beauftragt den Auftragsverarbeiter ausdrücklich, extrahierte Rechnungsdaten (Textinhalte und Felder, nicht jedoch die Original-PDF-Dateien) zur kontinuierlichen Verbesserung der KI-Modelle dauerhaft zu speichern und zu analysieren. Rechtsgrundlage ist das berechtigte Interesse des Verantwortlichen an präziserer Rechnungserkennung gemäß Art. 6 Abs. 1 lit. f DSGVO. Die gespeicherten Daten werden ausschließlich für diesen Zweck verwendet; eine Weitergabe an Dritte erfolgt nicht.

3. Kategorien verarbeiteter Daten und betroffener Personen

Daten: Personenstammdaten (Name, Anschrift), Vertragsdaten (Bestellnummer), Abrechnungsdaten (Rechnungsbeträge, Steuersätze, Zahlungsarten), Bestelldaten (Artikel, Preise, Mengen), zeitliche Daten (Rechnungs- und Lieferdaten).

Betroffene Personen: Kunden und Geschäftspartner des Verantwortlichen, deren Daten auf Rechnungen enthalten sind.

4. Pflichten des Auftragsverarbeiters

  • Weisungsgebundenheit: Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen.
  • Vertraulichkeit: Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet.
  • Technisch-organisatorische Maßnahmen: Umsetzung der in Ziffer 6 beschriebenen Maßnahmen.
  • Unterstützung bei Betroffenenrechten: Unterstützung des Verantwortlichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Einschränkungs- und Löschungsanfragen gemäß Art. 12–23 DSGVO.
  • Meldepflicht: Unverzügliche Meldung von Datenschutzverletzungen und Unterstützung bei der Meldung an Aufsichtsbehörden gemäß Art. 33 DSGVO.
  • Löschung nach Vertragsende: Nach Beendigung des Vertrags werden alle personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

5. Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter sind genehmigt:

  • Amazon Web Services EMEA SARL – Dokumentenspeicherung (EU, Frankfurt)
  • RunPod, Inc. – GPU-Computing für Amazon-KI-Modell (verschlüsselt, keine Dauerspeicherung)
  • Google LLC – Document AI für Universal-KI (EU-Rechenzentren)
  • Hetzner Online GmbH – Hosting der Anwendung (Deutschland)

Änderungen im Unterauftragsverhältnis werden dem Verantwortlichen mitgeteilt. Der Verantwortliche hat das Recht, innerhalb von 4 Wochen nach Mitteilung Einspruch zu erheben.

6. Technisch-organisatorische Maßnahmen (TOM)

Zutrittskontrolle: Physischer Zugang zu Systemen durch Sicherheitssysteme und Zugangsprotokolle geschützt.

Zugangskontrolle: Zwei-Faktor-Authentifizierung und verschlüsselte Verbindungen für alle Systemzugänge.

Zugriffskontrolle: Berechtigungen nach dem Prinzip der minimalen Rechte, regelmäßige Überprüfung.

Weitergabekontrolle: SSL/TLS-Verschlüsselung aller Datenübertragungen; AES-256-Verschlüsselung gespeicherter Daten.

Eingabekontrolle: Protokollierung aller Datenzugriffe und -änderungen.

Auftragskontrolle: Sorgfältige Auswahl von Unterauftragsverarbeitern, vertragliche Verpflichtung zur Einhaltung der DSGVO.

Verfügbarkeitskontrolle: Regelmäßige Backups und Disaster-Recovery-Pläne.

Trennungskontrolle: Logische Trennung der Daten verschiedener Kunden.

7. Haftung und Schlussbestimmungen

Der Auftragsverarbeiter haftet gegenüber betroffenen Personen entsprechend Art. 82 DSGVO. Änderungen dieses AVV bedürfen der Textform.

Dieser AVV wird automatisch mit Nutzung des Dienstes geschlossen und ist rechtlich bindend gemäß Art. 28 DSGVO. Stand: 14.03.2026.