Datenschutzerklärung

Stand: April 2026 (zuletzt aktualisiert am 28.04.2026)

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Mark Sitko
Heeresstraße 47
56218 Mülheim-Kärlich
E-Mail: hey@zack-rechnung.de

2. Übersicht der Verarbeitungen

Zack ist eine webbasierte B2B-Plattform zur Erstellung und Verwaltung elektronischer Rechnungen im Sinne des § 14 BGB. Die Plattform richtet sich ausschließlich an Unternehmer und verarbeitet folgende Datenkategorien:

• Kontodaten (Registrierung und Authentifizierung)
• Geschäftsprofildaten (Stammdaten des Nutzers)
• Kundenstammdaten (Rechnungsempfänger des Nutzers)
• Rechnungsdaten (Rechnungen, Positionen, archivierte Dokumente)
• Abonnementdaten (Vertragsstatus und Abrechnungszeiträume)
• Technische Daten (Session-Cookies, IP-Adressen im Rahmen von Rate-Limiting)
• Reichweitenmessung (anonyme Pageview-Statistiken zur Optimierung der Website)

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Verarbeitung von Kontodaten, Geschäftsprofil, Kundenstammdaten, Rechnungsdaten und Abonnementdaten zur Erbringung des Dienstes.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — Erfüllung handels- und steuerrechtlicher Dokumentationspflichten des Betreibers (z. B. § 14b UStG).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) — Verarbeitung technischer Daten zur Gewährleistung der Systemsicherheit und Systemstabilität (Schutz vor Brute-Force-Angriffen durch Login-Rate-Limiting, Application Monitoring zur Fehlererkennung und Performance-Überwachung) sowie Reichweitenmessung zur Optimierung der Website. Die berechtigten Interessen überwiegen, da ausschließlich technische Betriebsdaten und anonyme, cookieless erhobene Reichweitenstatistiken ohne Profiling und ohne Drittanbieter-Übermittlung verarbeitet werden.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Versand optionaler Produkt-E-Mails (Neuheiten, Zufriedenheitsumfragen) bei ausdrücklicher Einwilligung des Nutzers. Die Einwilligung kann jederzeit in den Kontoeinstellungen widerrufen werden.

4. Erhobene Daten im Detail

Kontodaten
Bei der Registrierung werden Vorname, Nachname und E-Mail-Adresse erhoben. Das Passwort wird ausschließlich als kryptografischer Hash gespeichert. Optional kann eine Zwei-Faktor-Authentifizierung (2FA) per TOTP aktiviert werden. Sowie optional der Zeitpunkt der Einwilligung für Produkt-Updates.

Geschäftsprofil
Zur Rechnungserstellung werden Geschäftsdaten des Nutzers erfasst: Firmenname bzw. vollständiger Name, Anschrift, Steuernummer, USt-IdNr., IBAN und BIC. Sensible Finanzdaten (IBAN, BIC, Steuernummer, USt-IdNr., Bankname, Telefonnummer) werden verschlüsselt auf Datenbankebene gespeichert.

Kundenstammdaten
Der Nutzer kann Stammdaten seiner Rechnungsempfänger hinterlegen (Name, Firma, Anschrift, Kontaktdaten). Diese Daten werden ausschließlich im Auftrag des Nutzers verarbeitet (siehe Abschnitt 11).

Rechnungsdaten
Erstellte Rechnungen umfassen Rechnungsdetails, Einzelpositionen, Beträge und Steuersätze. Bei Finalisierung werden ZUGFeRD-PDFs und XRechnung-XMLs erzeugt und im Archiv gespeichert. Zur Integritätssicherung wird für jedes archivierte Dokument ein SHA-256-Hashwert berechnet und gespeichert.

Abonnementdaten
Gespeichert werden Plantyp, Abonnementstatus, Beginn und Ende der Testphase sowie Abrechnungszeiträume.

Technische Daten
IP-Adressen werden ausschließlich im Rahmen des Login-Rate-Limitings temporär verarbeitet sowie für die Reichweitenmessung zur Ableitung des Landes verwendet (siehe Abschnitt 8); eine Speicherung der IP-Adresse erfolgt in beiden Fällen nicht. Darüber hinaus werden technisch notwendige Session-Cookies verwendet (siehe Abschnitt 7).

Application Monitoring
Zur Sicherstellung der Systemstabilität, Fehlererkennung und Performance-Überwachung werden folgende technische Betriebsdaten erfasst: HTTP-Requests (URL, Methode, Statuscode, Antwortzeit), Datenbankabfragen (Laufzeit, anonymisierte Queries), Exceptions und Fehlermeldungen, Job- und Queue-Verarbeitung sowie Cache-Operationen. Es werden keine Rechnungsinhalte oder Kundenstammdaten des Nutzers erfasst. Sensible Daten werden vor der Übermittlung serverseitig durch Filterung und Redaction entfernt. Diese Daten werden für 90 Tage gespeichert und anschließend automatisch gelöscht.

Reichweitenmessung
Zur Optimierung der Website wird eine selbst-gehostete, cookieless arbeitende Reichweitenmessung eingesetzt. Erfasst werden ausschließlich anonyme Nutzungsdaten: aufgerufene Seite, Verweis-URL (Referrer), Seitentitel, Bildschirmauflösung, Browser-Sprache sowie eine Klassifizierung von Browser, Betriebssystem und Gerätetyp (z. B. „Chrome 134, macOS, Desktop"). Aus der IP-Adresse wird ausschließlich das Land (z. B. „DE") abgeleitet; die IP-Adresse selbst wird nicht gespeichert. Es werden keine Cookies und keine Einträge im Browser-Speicher gesetzt. Eine Wiedererkennung erfolgt ausschließlich serverseitig über einen pseudonymisierten Tagesschlüssel, der täglich rotiert — eine Verfolgung über mehrere Tage oder Websites hinweg ist technisch ausgeschlossen. Es findet kein Profiling statt.

5. Hosting und Infrastruktur

Anwendungsserver
Der Dienst wird in einem Rechenzentrum in Deutschland betrieben.

Archiv-Speicher
Archivierte Rechnungsdokumente werden in einem europäischen Rechenzentrum eines ISO 27001-zertifizierten Anbieters gespeichert. Soweit der Anbieter seinen Sitz außerhalb des Europäischen Wirtschaftsraums hat, ist die Übermittlung durch Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie die Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework abgesichert.

Application Monitoring
Zur Fehlererkennung und Performance-Überwachung wird ein Application-Monitoring-Dienst eines US-amerikanischen Anbieters eingesetzt. Die Datenverarbeitung erfolgt in einem europäischen Rechenzentrum. Die Übermittlung ist durch die Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework sowie einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgesichert. Informationen zu den eingesetzten Subprozessoren sind der Subprozessor-Liste des Anbieters zu entnehmen.

Reichweitenmessung
Die Reichweitenmessung wird selbst gehostet auf demselben Anwendungsserver in Deutschland betrieben. Es werden keine Daten an Drittanbieter übermittelt. Es findet kein Drittlandtransfer statt.

Mit allen Infrastrukturanbietern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

6. E-Mail-Versand

Der Versand transaktionaler E-Mails erfolgt über den SMTP-Dienst des Domain-Anbieters mit Servern in Deutschland. Es werden ausschließlich systembedingte E-Mails versendet:

• E-Mail-Verifizierung bei Registrierung
• Passwort-Zurücksetzung
• Abonnement-Benachrichtigungen (Bestätigung, Kündigung, Ablauf der Testphase)

Darüber hinaus können Nutzer optional einwilligen, gelegentlich per E-Mail über Produktneuheiten und Zufriedenheitsumfragen informiert zu werden. Diese Einwilligung kann jederzeit in den Kontoeinstellungen widerrufen werden (Art. 7 Abs. 3 DSGVO). Ohne Einwilligung erfolgt kein Versand solcher E-Mails.

7. Cookies und Session-Verwaltung

Zack verwendet ausschließlich technisch notwendige Session-Cookies, die für den Betrieb der Anwendung unbedingt erforderlich sind. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 TDDDG nicht erforderlich.

• Lebensdauer: 120 Minuten
• Attribute: HttpOnly, SameSite=Lax, Secure
• Zweck: Authentifizierung und CSRF-Schutz

Es werden keine Tracking-, Analyse- oder Drittanbieter-Cookies eingesetzt.

8. Reichweitenmessung

Zur Optimierung der Website setzt Zack eine selbst-gehostete, cookieless arbeitende Reichweitenmessung ein. Es findet kein Marketing-Tracking, kein Werbe-Tracking, kein websiteübergreifendes Tracking und kein Profiling statt. Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO erfolgt nicht.

Eingesetztes Werkzeug: Umami (Open Source), selbst gehostet auf demselben Anwendungsserver in Deutschland. Es werden keine Daten an Dritte übermittelt.

Erhobene Daten: aufgerufene Seite, Verweis-URL, Seitentitel, Bildschirmauflösung, Browser-Sprache, Klassifizierung von Browser/Betriebssystem/Gerätetyp, Land (aus der IP-Adresse abgeleitet, die IP selbst wird nicht gespeichert).

Keine Endgeräte-Speicherung: Es werden keine Cookies, kein Local Storage und keine vergleichbaren Mechanismen auf dem Endgerät verwendet. § 25 TDDDG ist daher nicht einschlägig — eine Einwilligung ist gesetzlich nicht erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung der Website). Die Interessen des Verantwortlichen überwiegen, weil ausschließlich anonyme Daten verarbeitet werden, die Datenverarbeitung selbst gehostet erfolgt und kein Profiling stattfindet.

Widerspruchsrecht: Sie können der Verarbeitung jederzeit widersprechen (Art. 21 DSGVO), indem Sie in Ihrem Browser die „Do Not Track"-Einstellung aktivieren — Zack respektiert dieses Signal und führt in diesem Fall keine Reichweitenmessung durch.

9. Speicherdauer und Löschung

Die Speicherdauer richtet sich nach dem jeweiligen Verarbeitungszweck:

• Testphase: Nach Ablauf der 14-tägigen Testphase ohne Abonnement werden die Daten gelöscht.
• Aktives Abonnement: Daten werden für die Dauer des Vertragsverhältnisses gespeichert.
• Nach Kündigung: Der Nutzer hat 30 Tage Zeit, seine Daten über die im Dienst bereitgestellte Exportfunktion zu exportieren. Anschließend werden sämtliche Daten unwiderruflich gelöscht.
• Rechnungen und Archiv: Archivierte Rechnungsdokumente werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Kündigung greift die 30-Tage-Exportfrist gemäß den AGB; anschließend werden auch archivierte Dokumente unwiderruflich gelöscht. Die gesetzliche Aufbewahrungspflicht (§ 147 AO) obliegt dem Nutzer — Zack stellt die Exportfunktion bereit, übernimmt jedoch keine Aufbewahrung über das Vertragsende hinaus.
• Sessions: Session-Daten werden automatisch nach 120 Minuten gelöscht.
• Reichweitenmessung: Anonyme Reichweitenmessungsdaten werden für maximal 12 Monate gespeichert und anschließend automatisiert gelöscht.

10. Datensicherheit (Art. 32 DSGVO)

Zum Schutz personenbezogener Daten setzt Zack folgende technische und organisatorische Maßnahmen ein:

• Verschlüsselte Datenübertragung über HTTPS/TLS
• Kryptografisches Passwort-Hashing (bcrypt)
• Optionale Zwei-Faktor-Authentifizierung (TOTP)
• SHA-256-Integritätsprüfung aller archivierten Rechnungsdokumente
• Verschlüsselung sensibler Finanzdaten (IBAN, BIC, Steuernummer, USt-IdNr., Bankname, Telefonnummer sowie ausgewählte Kundendaten) auf Datenbankebene mittels AES-256-CBC

11. Auftragsverarbeitung

Nutzer speichern im Rahmen der Rechnungserstellung personenbezogene Daten Dritter (Kundenstammdaten, Rechnungsempfänger) in Zack. Der Betreiber verarbeitet diese Daten ausschließlich im Auftrag und auf Weisung des Nutzers gemäß Art. 28 DSGVO.

Die Einzelheiten der Auftragsverarbeitung sind im Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geregelt, der Bestandteil der AGB ist.

12. Datenübermittlung an Dritte und Drittlandtransfer

Personenbezogene Daten werden nicht an Dritte verkauft oder zu Marketingzwecken weitergegeben. Eine Weitergabe erfolgt ausschließlich an Infrastrukturanbieter, mit denen Auftragsverarbeitungsverträge geschlossen wurden:

• Anwendungsserver und E-Mail-Versand: Ausschließlich in Deutschland.
• Archiv-Speicher: Europäisches Rechenzentrum. Soweit der Anbieter seinen Sitz in einem Drittland hat, ist die Übermittlung über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie das EU-US Data Privacy Framework abgesichert.
• Application Monitoring: Europäisches Rechenzentrum. Der Anbieter hat seinen Sitz in den USA; die Übermittlung ist durch das EU-US Data Privacy Framework sowie einen AVV gemäß Art. 28 DSGVO abgesichert.
• Reichweitenmessung: Selbst gehostet auf dem Anwendungsserver in Deutschland. Keine Datenübermittlung an Dritte, kein Drittlandtransfer.

13. Rechte der Betroffenen

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Bitte beachten Sie, dass das Recht auf Löschung während eines aktiven Vertragsverhältnisses durch die Vertragserfüllung eingeschränkt sein kann. Nach Vertragsende und Ablauf der 30-Tage-Exportfrist werden sämtliche Daten unwiderruflich gelöscht.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an den Verantwortlichen. Wir beantworten Ihre Anfrage innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

14. Beschwerderecht

Sie haben das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist die Landesdatenschutzbehörde des Bundeslandes, in dem Sie Ihren Wohnsitz haben oder in dem der Verantwortliche seinen Sitz hat.

15. Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei Bedarf aktualisiert, um Änderungen an der Datenverarbeitung oder gesetzlichen Anforderungen zu berücksichtigen. Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar. Über wesentliche Änderungen informieren wir per E-Mail an die im Benutzerkonto hinterlegte E-Mail-Adresse.

Stand: April 2026 (zuletzt aktualisiert am 28.04.2026)