Datenschutzrichtlinie — Clever Invoice App

1. Geltungsbereich

Diese Datenschutzrichtlinie gilt ausschließlich für die mobile Anwendung „Clever Invoice" (iOS und Android). Für die Nutzung unserer Website verweisen wir auf unsere allgemeine Datenschutzerklärung.

2. Verantwortliche Stelle

dieBestenderStadt Media GmbH
Kleiner Sand 2
76829 Landau
Deutschland

Telefon: +49 157 87685218
E-Mail: datenschutz@clever-invoice.com

3. Welche Daten erhebt die App?

3.1 Kontoinformationen

Bei der Registrierung erfassen wir Ihre E-Mail-Adresse und Ihren Namen. Alternativ können Sie sich über Google OAuth oder Apple Sign-In anmelden, wobei wir die von diesen Diensten bereitgestellten Profildaten (Name, E-Mail) erhalten. Passwörter werden ausschließlich als kryptografischer Hash gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Geschäftsdaten

Zur Erstellung von Rechnungen und Angeboten speichern wir Ihre Unternehmensdaten: Firmenname, Adresse, Telefonnummer, E-Mail, USt-IdNr., Steuernummer sowie Bankverbindung (IBAN, BIC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3 Rechnungs- und Finanzdaten

Die App speichert Ihre erstellten Rechnungen, Angebote, Positionen, wiederkehrende Rechnungen, Kundendaten (Firmenname, Ansprechpartner, E-Mail, Telefon, Adresse, Steuernummer) sowie Ihren Produkt- und Dienstleistungskatalog.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.4 Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe (PCI-DSS Level 1 zertifiziert). Kreditkartendaten werden weder in der App noch auf unseren Servern gespeichert. Wir speichern lediglich die Stripe Kunden-ID und den Abonnementstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.5 Gerätekennungen

Wir speichern Ihre Benutzer-ID (UUID) und, sofern Sie Push-Benachrichtigungen aktivieren, Ihr Firebase-Gerätetoken. Es werden keine Werbe-IDs (IDFA/GAID) erfasst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dienstbereitstellung)

4. Geräteberechtigungen

Alle Berechtigungen sind optional. Die App funktioniert auch ohne diese, jedoch mit eingeschränktem Funktionsumfang.

4.1 Mikrofon

Zweck: Sprache-zu-Rechnung (Voice-to-Invoice). Ihre Sprachaufnahme wird zur Transkription an OpenAI Whisper gesendet und nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

4.2 Kontakte

Zweck: Import von Kundendaten aus Ihren Gerätekontakten. Kontakte werden nur bei expliziter Auslösung durch Sie ausgelesen und nicht an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

4.3 Kamera und Fotobibliothek

Zweck: Hinzufügen von Bildern zu Rechnungen und Produkten sowie Dokumentenscanning. Bilder werden in Supabase Storage (EU-Server) hochgeladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

4.4 Push-Benachrichtigungen

Zweck: Zahlungserinnerungen, Statusupdates zu Rechnungen und wichtige Benachrichtigungen. Zugestellt über Firebase Cloud Messaging (Google). Es wird nur das Gerätetoken gespeichert, kein Tracking.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Drittanbieter und Auftragsverarbeiter

5.1 Supabase (Datenbank und Authentifizierung)

Zweck: Backend-Infrastruktur, Datenbank, Authentifizierung, Dateispeicher
Serverstandort: EU (Frankfurt)
Verarbeitete Daten: Alle Konto- und Geschäftsdaten

5.2 Stripe (Zahlungsabwicklung)

Zweck: Zahlungsverarbeitung, Abonnementverwaltung
Zertifizierung: PCI-DSS Level 1
Verarbeitete Daten: Zahlungsmethode, Rechnungsdaten

5.3 Firebase Cloud Messaging (Push-Benachrichtigungen)

Zweck: Zustellung von Push-Benachrichtigungen
Verarbeitete Daten: Gerätetoken, Benachrichtigungsinhalt

5.4 Anthropic Claude (KI-Funktionen)

Zweck: KI-Chat zur Rechnungserstellung, intelligentes Parsing, Vorschläge
Verarbeitete Daten: Chat-Nachrichten, Rechnungskontext (pro Anfrage verarbeitet, nicht dauerhaft von Anthropic gespeichert)

5.5 OpenAI Whisper (Spracherkennung)

Zweck: Sprache-zu-Text-Transkription
Verarbeitete Daten: Audioaufnahmen (zur Transkription gesendet, nicht dauerhaft gespeichert)

5.6 Sentry (Fehlerverfolgung)

Zweck: Fehlertracking und Absturzberichte
Verarbeitete Daten: Fehlerprotokolle, Gerätetyp, Betriebssystemversion (keine personenbezogenen Daten)

6. Datenspeicherung auf dem Gerät

  • Secure Storage (iOS Keychain / Android EncryptedSharedPreferences): Sitzungstoken und Authentifizierungsdaten — verschlüsselt durch das Betriebssystem
  • AsyncStorage: Benutzereinstellungen, UI-Präferenzen, zwischengespeicherte Daten — lokal gespeichert, nicht übertragen

Es werden keine Daten unverschlüsselt auf dem Gerätedateisystem abgelegt.

7. Datensicherheit

  • TLS/SSL-Verschlüsselung für alle Daten während der Übertragung
  • AES-256-GCM-Verschlüsselung für sensible Tokens im Ruhezustand
  • Supabase Row-Level Security (RLS) für strikte Datenisolierung
  • Zwei-Faktor-Authentifizierung (2FA) verfügbar

8. Speicherdauer

  • Kontodaten: Für die Dauer des Vertragsverhältnisses zuzüglich gesetzlicher Aufbewahrungsfristen
  • Rechnungs- und Finanzdaten: 10 Jahre gemäß steuerrechtlicher Aufbewahrungspflicht (AO, HGB)
  • Protokolldaten: 6 Monate
  • Nach Kontolöschung: Daten werden innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht

9. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde

Zur Wahrnehmung Ihrer Rechte kontaktieren Sie uns unter: datenschutz@clever-invoice.com

Ihre Datenschutzoptionen können Sie direkt über unsere Seite für Datenschutzoptionen verwalten.

10. Keine Analyse-Tools und kein Tracking

Die App verwendet keine Analyse-Bibliotheken (kein Google Analytics, kein Facebook SDK, kein Ad-Tracking). Es werden keine Werbe-Identifikatoren erfasst und kein Nutzerprofiling betrieben.

11. Internationale Datenübertragung

Der primäre Datenspeicherort befindet sich in der EU (Supabase, Frankfurt). Einige Drittanbieter (Stripe, Firebase, Anthropic, OpenAI, Sentry) können Daten in den USA verarbeiten. Alle Übertragungen in die USA sind durch das EU-US Data Privacy Framework oder Standardvertragsklauseln (SCCs) abgesichert.

12. Änderungen dieser Datenschutzrichtlinie

Aktualisierungen werden auf dieser Seite veröffentlicht und bei wesentlichen Änderungen per In-App-Benachrichtigung oder E-Mail mitgeteilt.

Stand: Februar 2026