Datenschutzerklärung
Mit den folgenden Hinweisen informieren wir Sie gemäß Art. 13, 14 der Datenschutz-Grundverordnung (DSGVO) über die Art, den Umfang und die Zwecke der Verarbeitung personenbezogener Daten bei der Nutzung der Software „Finbuch“ (www.finbuch.com, nachfolgend „Dienst“) sowie über die Ihnen zustehenden Rechte. Stand: Juli 2026.
1. Verantwortlicher
Urbanlead UG (haftungsbeschränkt), Kolonnenstraße 8, 10827 Berlin, Deutschland, vertreten durch den Geschäftsführer Martin Rehbock.
E-Mail: support@finbuch.com· Telefon: +49 173 9213585
Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen des Art. 37 DSGVO i. V. m. § 38 BDSG nicht vorliegen.
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten der folgenden Kategorien:
- Bestandsdaten — Name, E-Mail-Adresse, Passwort (ausschließlich als kryptographischer Hash) bei der Registrierung; Firmenstammdaten (Firmierung, Anschrift, Steuernummer, USt-IdNr., Bankverbindung, Logo) beim Anlegen der Organisation.
- Geschäfts- und Inhaltsdaten — Kontakte, Angebote, Rechnungen, Artikel, Projekte, Leistungsverzeichnisse und Belege, die Sie im Dienst anlegen oder importieren, einschließlich der darin enthaltenen personenbezogenen Daten Ihrer eigenen Kundinnen, Kunden und Lieferanten.
- Zahlungs- und Vertragsdaten — Tarif, Abrechnungs- und Rechnungsdaten Ihres Finbuch-Abonnements. Vollständige Kredit- oder Debitkartendaten werden ausschließlich durch unseren Zahlungsdienstleister verarbeitet und erreichen unsere Systeme zu keinem Zeitpunkt.
- Nutzungs- und Metadaten — Server-Logdaten (IP-Adresse, Zeitstempel, aufgerufene Ressource, Referrer, User-Agent) zur Gewährleistung von Stabilität und Sicherheit.
3. Zwecke und Rechtsgrundlagen
Die Verarbeitung erfolgt zu folgenden Zwecken auf folgenden Rechtsgrundlagen:
- Bereitstellung des Dienstes und Vertragserfüllung einschließlich Registrierung, Authentifizierung, Funktionsumfang und Support — Art. 6 Abs. 1 lit. b DSGVO;
- Abrechnung des Abonnements — Art. 6 Abs. 1 lit. b DSGVO;
- Erfüllung rechtlicher Pflichten, insbesondere handels- und steuerrechtlicher Aufbewahrungs- und Nachweispflichten (§ 147 AO, § 257 HGB, GoBD) — Art. 6 Abs. 1 lit. c DSGVO;
- Betriebssicherheit, Missbrauchs- und Betrugsprävention (Server-Logs, Rate-Limiting, Absicherung der Authentifizierung) — Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt im sicheren, stabilen Betrieb des Dienstes;
- Empfehlungsprogramm (Zuordnung eines Empfehlungscodes über ein Cookie) — Art. 6 Abs. 1 lit. b und f DSGVO.
4. Sicherheit der Verarbeitung
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, die dem Stand der Technik entsprechen: Transportverschlüsselung (TLS) für sämtliche Verbindungen, Verschlüsselung der Datenbanken im Ruhezustand, Zugriffsbeschränkung nach dem Need-to-know-Prinzip, mandantengetrennte Datenhaltung mit Zugriffskontrolle auf Zeilenebene (Row Level Security), Protokollierung sicherheitsrelevanter Ereignisse sowie regelmäßige Sicherungen.
5. Hosting und Server-Logdaten
Der Dienst wird bei Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, betrieben. Beim Aufruf des Dienstes verarbeitet Vercel technisch notwendige Verbindungsdaten (insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL, User-Agent), um die Auslieferung der Anwendung zu ermöglichen und Angriffe abzuwehren (Art. 6 Abs. 1 lit. f DSGVO). Logdaten werden nach spätestens 30 Tagen gelöscht, soweit keine sicherheitsrelevante Auswertung erforderlich ist.
6. Registrierung, Konto und Authentifizierung
Datenbank und Authentifizierung werden durch Supabase Inc. bereitgestellt. Passwörter werden ausschließlich als Hash gespeichert. Wählen Sie die Anmeldung über Google („Sign in with Google“), erhält Google Ireland Ltd. Kenntnis von Ihrer Anmeldung; wir erhalten von Google Ihren Namen und Ihre E-Mail-Adresse. Die Nutzung des Google-Logins ist freiwillig; alternativ steht die Anmeldung mit E-Mail und Passwort zur Verfügung.
7. Zahlungsabwicklung
Die Abrechnung des Abonnements erfolgt über Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Stripe verarbeitet Ihre Zahlungsdaten (Karten- bzw. Kontodaten, Rechnungsanschrift, USt-IdNr.) als eigenständiger Verantwortlicher bzw. teilweise als unser Auftragsverarbeiter. Weitere Informationen: stripe.com/de/privacy.
8. E-Mail-Versand
System-E-Mails sowie der von Ihnen veranlasste Versand von Angeboten und Rechnungen an Ihre Kunden erfolgen über den Zustelldienst Postmark (ActiveCampaign, LLC, USA). Verarbeitet werden Empfängeradresse, Betreff, Inhalt und Anhänge der jeweiligen Nachricht sowie Zustellmetadaten.
9. KI-Funktionen
Für die KI-Entwurfsfunktionen und den Assistenten setzen wir Anthropic, PBC (USA) als Auftragsverarbeiter ein. Verarbeitet werden ausschließlich die Inhalte, die Sie der jeweiligen Funktion übergeben (z. B. die Beschreibung eines Auftrags oder Kennzahlen Ihrer Buchhaltung zur Beantwortung einer Frage). Eine Nutzung Ihrer Daten zum Training von KI-Modellen findet nicht statt. Die Nutzung der KI-Funktionen ist optional; sämtliche Kernfunktionen des Dienstes stehen auch ohne sie zur Verfügung.
10. Cookies und Empfehlungsprogramm
Der Dienst verwendet ausschließlich technisch notwendige Cookies im Sinne von § 25 Abs. 2 Nr. 2 TDDDG: Session-Cookies zur Aufrechterhaltung Ihrer Anmeldung sowie — sofern Sie den Dienst über einen Empfehlungslink aufrufen — ein Zuordnungs-Cookie mit dem Empfehlungscode (Speicherdauer: 30 Tage). Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt; ein Cookie-Banner ist daher nicht erforderlich.
11. Auftragsverarbeitung für unsere Kunden
Für die Geschäftsdaten, die Sie über Ihre eigenen Kundinnen, Kunden und Lieferanten im Dienst speichern, sind Sie Verantwortlicher im Sinne der DSGVO; wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag und nach Ihren Weisungen als Auftragsverarbeiter (Art. 28 DSGVO). Der Abschluss eines Vertrags zur Auftragsverarbeitung einschließlich der Liste der eingesetzten Subunternehmer ist Bestandteil der Nutzungsbedingungen; ein gesondertes Exemplar stellen wir auf Anfrage in Textform bereit.
12. Übermittlung in Drittländer
Soweit Daten in Ländern außerhalb der EU bzw. des EWR verarbeitet werden (insbesondere USA: Vercel, Postmark, Anthropic), erfolgt dies auf Grundlage von Angemessenheitsbeschlüssen der Europäischen Kommission (EU-US Data Privacy Framework, Art. 45 DSGVO), hilfsweise auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) einschließlich ergänzender Schutzmaßnahmen.
13. Speicherdauer und Löschung
Kontodaten speichern wir für die Dauer des Vertragsverhältnisses und löschen sie nach Kontolöschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Buchhaltungsrelevante Daten (insbesondere Rechnungen und Belege) unterliegen gesetzlichen Aufbewahrungsfristen von bis zu zehn Jahren (§ 147 AO, § 257 HGB) und werden nach deren Ablauf gelöscht. Nach Vertragsende können Sie Ihre Daten innerhalb von 30 Tagen exportieren; danach werden sie — vorbehaltlich der genannten Fristen — gelöscht.
14. Ihre Rechte als betroffene Person
Ihnen stehen nach der DSGVO folgende Rechte zu:
- Auskunft über die verarbeiteten Daten (Art. 15 DSGVO);
- Berichtigung unrichtiger Daten (Art. 16 DSGVO);
- Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO);
- Einschränkung der Verarbeitung (Art. 18 DSGVO);
- Datenübertragbarkeit — Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO);
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an support@finbuch.com.
15. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Für uns zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin.
16. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. KI-generierte Entwürfe sind unverbindliche Vorschläge, die stets Ihrer Prüfung und Freigabe unterliegen.
17. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald Änderungen des Dienstes oder der Rechtslage dies erforderlich machen. Die jeweils aktuelle Fassung ist unter www.finbuch.com/datenschutz abrufbar; über wesentliche Änderungen informieren wir registrierte Nutzer per E-Mail.