1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten ist:

Frank Schulz
Galgenbusch 4
32839 Steinheim
Deutschland
E-Mail: info@fluvy.de

1.1 Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nach derzeitigem Stand nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO und § 38 BDSG (mind. 20 ständig mit der automatisierten Verarbeitung beschäftigte Personen) nicht erfüllt sind. Für Datenschutzanfragen wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

2. Geltungsbereich und Begriffe

Diese Datenschutzerklärung gilt für die Webanwendung der Fluvy Business Suite, die zugehörige Mobile-App für iOS und Android (geplante Veröffentlichung — derzeit nur in interner Testverteilung verfügbar) sowie unsere öffentliche Webpräsenz unter https://fluvy.de.

Begriffe wie „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter", „Empfänger" und „Einwilligung" werden im Sinne der Definitionen des Art. 4 DSGVO verwendet.

2.1 Zwei Rollen — wichtig zu unterscheiden

Bei der Nutzung von Fluvy treten zwei Verarbeitungsrollen auf:

• Verantwortlicher sind wir für Daten, die Sie uns für den Vertragsabschluss und die Nutzung der Software bereitstellen (Konto, Abrechnung, Logs, Support).
• Auftragsverarbeiter im Sinne von Art. 28 DSGVO sind wir für sämtliche personenbezogenen Daten, die Sie in der Software über Ihre eigenen Kunden, Lieferanten, Geschäftspartner oder Mitarbeiter erfassen. Für diese Daten sind Sie der Verantwortliche gegenüber Ihren betroffenen Personen. Auf Anforderung stellen wir Ihnen einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Abs. 3 DSGVO zur Verfügung. Schreiben Sie uns dazu an info@fluvy.de.

3. Zugriff auf unsere Website und Web-Anwendung

Beim Aufruf unserer Webseiten und der Web-Anwendung werden vom Webserver automatisch Verbindungsdaten in sogenannten Server-Logfiles erfasst:

• IP-Adresse des zugreifenden Geräts
• Datum und Uhrzeit der Anfrage
• Aufgerufene URL und HTTP-Methode
• HTTP-Statuscode der Antwort
• Übertragene Datenmenge
• Referrer (zuvor besuchte Seite, sofern übermittelt)
• User-Agent (Browser-, OS- und Geräteinformationen)

Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nicht.

Zweck: Sicherstellung eines reibungslosen Verbindungsaufbaus, Fehlerdiagnose, IT-Sicherheit (Abwehr und Aufklärung von Angriffen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht im sicheren und stabilen Betrieb des Dienstes.

Speicherdauer: Webserver-Zugriffsprotokolle und Applikations-Logs werden spätestens nach 30 Tagen rotiert und automatisch gelöscht. Bei konkretem Verdacht auf Angriffe können einzelne Datensätze zur Beweissicherung länger aufbewahrt werden.

4. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies im Sinne von § 25 Abs. 2 Nr. 2 TTDSG ein. Eine Einwilligung Ihrerseits ist hierfür nicht erforderlich.

Cookie	Zweck	Lebensdauer
fluvy-session	Sitzungsverwaltung nach Login	Sitzungsbezogen / 120 Min. Inaktivität
XSRF-TOKEN	Schutz vor Cross-Site-Request-Forgery (CSRF)	Sitzungsbezogen
remember_web_*	Automatisches Wiedereinloggen, nur wenn von Ihnen aktiviert	Bis zu 5 Jahre

Wir setzen keine Tracking-, Analyse- oder Marketing-Cookies ein. Es kommen keine Drittanbieter-Tools wie Google Analytics, Matomo, Plausible, Hotjar oder ähnliche zum Einsatz. Aus diesem Grund verzichten wir auch auf ein Cookie-Banner.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.

5. Registrierung und Nutzerkonto

Zur Nutzung der Software ist eine Registrierung erforderlich. Im Rahmen der Registrierung erheben wir:

• Unternehmensname (für die Abrechnung und den Briefkopf Ihrer Belege)
• Vor- und Nachname der registrierenden Person
• E-Mail-Adresse
• Passwort (wird ausschließlich als bcrypt-Hash mit Cost-Factor 12 gespeichert, niemals im Klartext)
• Zeitstempel und IP-Adresse der Zustimmung zu AGB und Datenschutzerklärung (als Nachweis nach Art. 7 Abs. 1 DSGVO bzw. § 309 Nr. 12 lit. b BGB)

Im weiteren Verlauf können von Ihnen ergänzt werden: Telefonnummer, Avatar-Bild, Sprachpräferenz, Unternehmens-Stammdaten (Adresse, Steuernummer, USt-ID, Bankverbindung, Logo) sowie Konfigurationen wie BCC-Adressen je Belegart oder Nummernkreis-Präfixe.

Für die Mobile-App-Nutzung wird zusätzlich auf Ihren Wunsch hin ein Expo-Push-Token (Geräte-Kennung für Push-Benachrichtigungen) sowie ein Kalender-Token (zufälliger 64-Zeichen-Schlüssel zum Abruf Ihres Kalender-Feeds in Drittanwendungen) gespeichert.

Zweck: Vertragsabschluss und -durchführung, Authentifizierung, Benachrichtigung über relevante Ereignisse, Wiederherstellung des Zugangs bei Passwort-Vergessen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), für IP-Adresse der AGB-Zustimmung ergänzend Art. 6 Abs. 1 lit. f DSGVO (Beweissicherung).

5.1 E-Mail-Verifizierung

Nach der Registrierung versenden wir an die angegebene E-Mail-Adresse eine Verifizierungsmail mit einem Bestätigungs-Link. Erst nach Bestätigung steht der volle Funktionsumfang zur Verfügung. Dies dient dem Schutz vor missbräuchlichen Registrierungen und der Sicherstellung einer erreichbaren Kommunikationsadresse.

6. Vertragsdurchführung und Zahlungsabwicklung

Die kostenfreie Testphase beträgt 14 Tage. Im Anschluss ist ein Abonnement abzuschließen. Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) sowie deren US-Mutterkonzern Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA).

An Stripe übermittelt werden: Name des Unternehmens, E-Mail-Adresse, gewählter Tarif sowie die Anzahl der Nutzer (zur Mengensteuerung). Die von Ihnen eingegebenen Zahlungsdaten (Kreditkarten-, SEPA- oder PayPal-Daten) werden ausschließlich durch Stripe verarbeitet und sind für uns zu keinem Zeitpunkt einsehbar. Wir erhalten von Stripe lediglich einen Zahlungsmethoden-Token (z.B. die letzten vier Stellen der Karte) sowie den Zahlungsstatus.

Stripe ist nach dem EU-US Data Privacy Framework zertifiziert; ein angemessenes Datenschutzniveau im Sinne von Art. 45 DSGVO ist somit gewährleistet. Weitere Informationen zur Datenverarbeitung durch Stripe: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

7. Verarbeitung Ihrer Geschäftsdaten (Auftragsverarbeitung)

Die mit Fluvy verarbeiteten Geschäftsdaten verbleiben ausschließlich in Ihrer Verfügung. Dazu zählen insbesondere:

• Geschäftspartner (Kunden, Lieferanten): Firmenname, Anrede, Vor- und Nachname, Adresse, E-Mail, Telefon, Mobil, Fax, Website, Steuer- und USt-ID, Leitweg-ID (für E-Rechnung), IBAN/BIC, Bankname, Kreditlimit, Notizen
• Angebote, Aufträge, Lieferscheine, Auftragsbestätigungen, Mahnungen inkl. aller Positionen, Beträge, Datumsangaben, Freitexte und PDF-Anhänge
• Ausgangs- und Eingangsrechnungen mit Positionen, MwSt.-Sätzen, Zahlungsstatus, Belegnummern und archivierten PDFs (mit kryptografischem SHA-256-Integritätshash)
• Inventar / Artikel: Artikelnummer, EAN, Bezeichnung, Beschreibung, Preise, Lagerbestände, Lieferantenzuordnung
• Mitarbeiterzuweisungen zu Aufträgen inkl. geplanter Zeiten und protokollierter Arbeitsstunden
• Hochgeladene Dokumente (PDF, Bilder) und automatisch erzeugte Beleg-PDFs
• Kalendertermine mit Bezug zu Aufträgen
• Support-Tickets innerhalb Ihres Mandanten (siehe Ziff. 11)

Rolle und Rechtsgrundlage: Für diese Daten sind Sie Verantwortlicher gegenüber den betroffenen Personen, wir handeln als Auftragsverarbeiter nach Art. 28 DSGVO. Rechtsgrundlage für unsere Verarbeitung ist Art. 28 DSGVO in Verbindung mit dem (auf Anforderung abzuschließenden) Auftragsverarbeitungsvertrag und Art. 6 Abs. 1 lit. b DSGVO (Vertrag zwischen uns und Ihnen).

Mandantentrennung: Eine technische Isolierung sämtlicher Geschäftsdaten zwischen den verschiedenen Mandanten ist mehrstufig sichergestellt (Globale Query-Filter auf Modellebene, explizite Datenbankspalten je Mandant, Validierung jeder fremden ID-Referenz). Zugriff auf Ihre Daten durch andere Mandanten ist ausgeschlossen.

7.1 OCR-Erkennung von Eingangsrechnungen (Google Gemini API)

Beim Hochladen einer Eingangsrechnung bieten wir eine automatische Erkennung von Rechnungsdaten (Lieferant, Beträge, Positionen, Daten) an. Hierzu wird die hochgeladene PDF-Datei base64-kodiert an die Gemini API von Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) übertragen. Google verwendet die übermittelten Inhalte nach eigenen Angaben nicht zum Modelltraining (für API-Zugriffe der „Gemini API Paid"-Stufe).

Datenkategorien: der vollständige Inhalt der jeweiligen Eingangsrechnungs-PDF, einschließlich darin enthaltener personenbezogener Daten (Lieferantenname, Adresse, Kontaktdaten, ggf. Bankverbindung, Rechnungsbeträge).

Zweck: Automatisierte Datenextraktion zur Reduzierung manueller Eingabearbeit beim Erfassen einer Eingangsrechnung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse — und das Interesse unserer Kunden — besteht in der effizienten Erfassung von Eingangsrechnungen.

Drittlandgarantie: Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO). Ergänzend kommen die EU-Standardvertragsklauseln zur Anwendung.

Weitere Informationen: policies.google.com/privacy sowie ai.google.dev/gemini-api/terms.

8. Empfänger und Auftragsverarbeiter

Eine Übermittlung Ihrer Daten findet nur an folgende Empfänger statt:

Dienst / Anbieter	Sitz	Zweck	Datenkategorien	Garantie
Hetzner Online GmbH	Gunzenhausen, DE	Server-Hosting der Anwendung und Datenbank	Alle in Fluvy gespeicherten Daten	AVV nach Art. 28 DSGVO; ausschließlich Rechenzentren in Deutschland
Hetzner Object Storage	Nürnberg, DE	Speicherung von Dokumenten und PDFs (privater S3-Speicher, signierte URLs)	Hochgeladene Dateien, generierte Beleg-PDFs, Eingangsrechnungs-PDFs	AVV nach Art. 28 DSGVO; Region Deutschland
Stripe Payments Europe, Ltd. / Stripe, Inc.	Dublin, IE / San Francisco, US	Zahlungsabwicklung des Abonnements	E-Mail, Firmenname, Zahlungsmethoden-Token, Nutzungs­zahl	EU-US Data Privacy Framework; Standardvertragsklauseln
Google LLC (Gemini API)	Mountain View, US	OCR-Erkennung beim Upload von Eingangsrechnungen (Ziff. 7.1)	Inhalt der jeweiligen Eingangsrechnungs-PDF	EU-US Data Privacy Framework; Standardvertragsklauseln
Expo (650 Industries, Inc.)	Palo Alto, US	Push-Benachrichtigungen an die Mobile-App (Vermittler zwischen unserem Server und Apple/Google)	Expo-Push-Token des Geräts, Push-Inhalt (Titel, Kurztext, Bezug)	EU-US Data Privacy Framework; Standardvertragsklauseln
Apple Inc. (APNs)	Cupertino, US	Zustellung von iOS-Push-Benachrichtigungen	Apple-Push-Token, Push-Inhalt	EU-US Data Privacy Framework
Google LLC (Firebase Cloud Messaging)	Mountain View, US	Zustellung von Android-Push-Benachrichtigungen	FCM-Token, Push-Inhalt	EU-US Data Privacy Framework
Hetzner Online GmbH (E-Mail-Hosting)	Gunzenhausen, Deutschland (Server in Falkenstein/Nürnberg)	Versand und Empfang sämtlicher Transaktions- und Geschäfts-E-Mails (Verifizierungs-Mails, Angebots- und Rechnungs-Mails, Mahnungen, Benachrichtigungen, Antworten Ihrer Empfänger an unser Kontakt-Postfach). Der E-Mail-Versand erfolgt über das von uns betriebene Postfach info@fluvy.de auf den Hetzner-Mailservern (gleicher Anbieter wie unser Web-Hosting).	Empfänger-E-Mail-Adresse, Absenderadresse, Betreff und Inhalt der E-Mail, ggf. Beleg-PDF als Anhang, technische Verbindungsdaten (IP, TLS-Zertifikat)	Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; Server ausschließlich in Deutschland — kein Drittlandtransfer
Cloudflare, Inc. (Turnstile)	San Francisco, US	Bot-Schutz beim Registrierungs-Formular (Captcha-Alternative). Erst aktiv, wenn Sie das Registrierungs-Formular aufrufen.	IP-Adresse, Browser-Merkmale (User-Agent, Cookie-Test), kein Tracking-Cookie	EU-US Data Privacy Framework; Standardvertragsklauseln
jsDelivr (Cachefly / Fastly)	verschiedene Regionen weltweit (Hauptsitz Cachefly: Iowa, US)	Auslieferung statischer Frontend-Bibliotheken (Sprach-Flaggen, Emoji-Auswahl)	IP-Adresse, Browser-Merkmale (User-Agent, Referer)	EU-US Data Privacy Framework; Standardvertragsklauseln
Cloudflare, Inc. (cdnjs)	San Francisco, US	Auslieferung der PDF-Vorschau-Bibliothek (pdf.js) für die Dokumentenanzeige	IP-Adresse, Browser-Merkmale (User-Agent, Referer)	EU-US Data Privacy Framework; Standardvertragsklauseln
unpkg (Cloudflare)	San Francisco, US	Auslieferung der Karten-Bibliothek (Leaflet) für die Auftragsplanung	IP-Adresse, Browser-Merkmale (User-Agent, Referer)	EU-US Data Privacy Framework; Standardvertragsklauseln
OpenStreetMap Foundation	Cambridge, UK	Karten-Kacheln für die Auftragsplanung (Adresse anzeigen)	IP-Adresse, angezeigte Karten-Region	UK gilt nach Angemessenheitsbeschluss der EU-Kommission als sicheres Drittland (Art. 45 DSGVO)

Eine darüber hinausgehende Weitergabe Ihrer Daten an Dritte erfolgt nur, wenn Sie ausdrücklich eingewilligt haben oder eine rechtliche Verpflichtung besteht (z.B. Auskunft an Strafverfolgungsbehörden).

9. Übermittlung in Drittländer

Mit den oben unter Ziff. 8 genannten Empfängern aus den USA besteht ein Drittlandtransfer im Sinne von Art. 44 ff. DSGVO. Folgende Garantien stellen ein angemessenes Datenschutzniveau sicher:

• EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10.07.2023 nach Art. 45 DSGVO) für die Empfänger Stripe, Google, Expo, Apple, Google FCM, Cloudflare, jsDelivr und unpkg.
• EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission) als ergänzende Garantie nach Art. 46 DSGVO.

Eine Kopie der angewendeten Garantien können Sie unter info@fluvy.de anfordern.

10. Mobile-App

Die Fluvy Mobile-App für iOS und Android befindet sich derzeit in einer internen Testverteilung; die Veröffentlichung über den Apple App Store und den Google Play Store ist geplant.

10.1 Lokale Speicherung auf Ihrem Gerät

• Verschlüsselter Schlüsselbund (iOS Keychain / Android Keystore über expo-secure-store): Sanctum-Bearer-Token für die Authentifizierung
• Lokaler Speicher (AsyncStorage): Anzeigeeinstellungen (Theme), zuletzt verwendete Filter, ggf. lokale Eingabe-Entwürfe
• Cache-Verzeichnis: heruntergeladene Beleg-PDFs zur Ansicht (löschen sich beim System-Cache-Cleanup automatisch)

10.2 Geräte-Berechtigungen

• Kamera (optional): zum Fotografieren von Belegen, Inventar-Bildern oder Ticket-Anhängen
• Fotomediathek (optional): zum Hochladen vorhandener Bilder
• Push-Benachrichtigungen (optional): siehe Ziff. 8 — Versand über Expo und APNs/FCM

Sie können jede dieser Berechtigungen in den Systemeinstellungen Ihres Geräts jederzeit widerrufen.

10.3 App-Store-Statistiken

Nach Veröffentlichung im Apple App Store und Google Play Store erheben Apple und Google jeweils eigene Statistiken zum Download und zur Nutzung der App (Crash-Reports, anonymisierte Nutzungszahlen). Hierfür sind Apple bzw. Google selbst Verantwortliche im Sinne der DSGVO. Diese Datenverarbeitung entzieht sich unserer Kontrolle.

11. Support-Tickets

Über das integrierte Ticketsystem können Sie Anfragen, Fehlermeldungen oder Verbesserungsvorschläge an uns übermitteln. Verarbeitet werden:

• Ihr Name und Ihre E-Mail-Adresse
• Inhalt des Tickets und aller Folgenachrichten
• Optional von Ihnen beigefügte Bildanhänge (Screenshots)

Diese Daten werden zur Bearbeitung Ihrer Anfrage und gegebenenfalls zur Fehleranalyse verwendet. Im Rahmen der Bearbeitung haben wir als Anbieter Einsicht in den Ticket-Inhalt — bitte übermitteln Sie keine Passwörter, Karten-PINs oder andere sensible Zugangsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (Produktverbesserung).

12. Audit-Log und Beweissicherung

Zur Erfüllung unserer Pflichten aus der Abgabenordnung (§ 147 AO) und den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD, BMF-Schreiben vom 28.11.2019) führen wir ein revisionssicheres Änderungsprotokoll:

• Jede Änderung an steuerrelevanten Belegen (Angeboten, Aufträgen, Rechnungen) wird mit Zeitstempel, ausführendem Benutzer, geänderten Feldern (Alt- und Neuwert), IP-Adresse und User-Agent protokolliert.
• Bei der Online-Annahme eines Angebots durch Ihren Kunden werden zusätzlich Annahme-Zeitpunkt, IP-Adresse und User-Agent des Kunden gespeichert. Dies dient der Beweissicherung im Streitfall.
• Bei der Registrierung wird der Zeitpunkt sowie die IP-Adresse der Zustimmung zu AGB und Datenschutzerklärung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — §§ 145 ff. AO, § 257 HGB) für das steuerrelevante Audit-Log; Art. 6 Abs. 1 lit. f DSGVO (Beweissicherung) für die IP- und User-Agent-Erfassung bei der Annahme und der AGB-Zustimmung.

Aufbewahrung: 10 Jahre (siehe Ziff. 13).

13. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind.

Datenkategorie	Aufbewahrung
Aktives Nutzerkonto und Stammdaten	Für die Dauer des Vertragsverhältnisses
Nach Kündigung (Account, Stammdaten ohne Aufbewahrungspflicht)	30 Tage, dann vollständige Löschung — auf ausdrücklichen Wunsch sofort
Buchungs- und Rechnungsdaten (Belege, Positionen, archivierte PDFs)	10 Jahre gemäß § 257 HGB, § 147 AO
Geschäftsbriefe und Angebote	6 Jahre gemäß § 257 HGB
Änderungsprotokoll der Geschäftsdaten (Audit-Log)	10 Jahre (Bestandteil der Buchführung)
Webserver-Zugriffsprotokolle und Applikations-Logs	30 Tage
Zustimmungs-Nachweise zu AGB / Datenschutzerklärung	Vertragsdauer + 3 Jahre Verjährungsfrist
Stripe-Zahlungs-Zuordnungen	10 Jahre (steuerlich)
Support-Tickets	Bis zur Schließung + 12 Monate
Push-Token (Geräte-Kennungen)	Bis zum Widerruf oder Logout vom jeweiligen Gerät

13.1 Konflikt zwischen Löschanspruch und Aufbewahrungspflicht

Im Konfliktfall zwischen Ihrem Löschanspruch nach Art. 17 DSGVO und unseren gesetzlichen Aufbewahrungspflichten (§§ 257 HGB, 147 AO) greift Art. 17 Abs. 3 lit. b DSGVO: Daten, die einer Aufbewahrungspflicht unterliegen, werden nicht gelöscht, sondern in der Verarbeitung eingeschränkt (gesperrt), bis die jeweilige Aufbewahrungsfrist abgelaufen ist. Anschließend erfolgt die vollständige Löschung.

Auch finalisierte Belege (z.B. eine versendete Rechnung) sind aus diesem Grund nach Finalisierung inhaltlich nicht mehr veränderbar. Korrekturen erfolgen ausschließlich über das Storno-Verfahren — sowohl das Original als auch der Storno-Beleg bleiben dauerhaft erhalten.

14. Datensicherheit (technische und organisatorische Maßnahmen)

• Transportverschlüsselung: Sämtliche Kommunikation zwischen Browser/App und Server erfolgt über TLS 1.2 / 1.3.
• Passwort-Speicherung: Bcrypt-Hashing mit Cost-Factor 12; keine Klartext-Passwörter.
• API-Authentifizierung: Laravel-Sanctum-Bearer-Token, auf Mobile-Geräten im verschlüsselten Schlüsselbund (Keychain / Keystore) abgelegt.
• Mandantentrennung: Mehrschichtige technische Isolation aller Mandantendaten (siehe Ziff. 7).
• Audit-Log: Nachvollziehbarkeit jeder Datenänderung mit Zeitstempel, Benutzer, IP und User-Agent.
• Privates Dokumenten-Storage: Hochgeladene Dateien und generierte PDFs liegen in einem nicht öffentlich zugänglichen Speicher (Hetzner Object Storage) und sind ausschließlich über zeitlich begrenzte signierte URLs (60 Minuten) abrufbar.
• Aktive Sitzungs-Timeouts: Sessions laufen nach 120 Minuten Inaktivität automatisch ab.
• GoBD-Schutzmechanismen: Finalisierte Belege sind durch Model-Hooks gegen nachträgliche inhaltliche Änderung und gegen Löschung gesperrt. PDF-Integritätshashes (SHA-256) erlauben Manipulationsnachweis.

Eine ausführliche Beschreibung der technischen und organisatorischen Maßnahmen (TOM) stellen wir auf Anforderung bereit (z.B. als Anlage zum Auftragsverarbeitungsvertrag).

15. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO)
• Berichtigungsrecht (Art. 16 DSGVO)
• Löschungsrecht (Art. 17 DSGVO) — unter Berücksichtigung der Aufbewahrungspflichten nach Ziff. 13.1
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format anfordern
• Widerspruchsrecht (Art. 21 DSGVO) gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an: info@fluvy.de. Anfragen beantworten wir innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

Für Ihr Recht auf Datenübertragbarkeit (Art. 20 DSGVO) stellen wir eine Self-Service-Funktion bereit: Im Bereich Profil können Sie jederzeit per Knopfdruck ein ZIP-Archiv mit allen Ihren in Fluvy gespeicherten Daten herunterladen (strukturierte JSON-Dateien plus alle hochgeladenen Dokumente). Die vollständige Konto-Löschung erfolgt aktuell auf E-Mail-Anfrage; Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen, werden gemäß Ziff. 13.1 in der Verarbeitung eingeschränkt statt gelöscht.

15.1 Beschwerderecht bei einer Aufsichtsbehörde

Sie haben unbeschadet anderer Rechtsbehelfe das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), insbesondere bei der für Ihren gewöhnlichen Aufenthaltsort, Arbeitsplatz oder den Ort des mutmaßlichen Verstoßes zuständigen Behörde. Eine Liste der Aufsichtsbehörden in Deutschland finden Sie unter: bfdi.bund.de.

16. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet nicht statt. Die in Ziff. 7.1 beschriebene OCR-Erkennung von Eingangsrechnungen erzeugt lediglich einen Vorschlag, den Sie eigenverantwortlich prüfen und übernehmen oder ändern; eine automatisierte Entscheidung mit rechtlicher Wirkung Ihnen gegenüber ist damit nicht verbunden.

17. Bereitstellungspflicht

Die Angabe Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, uns Ihre Daten bereitzustellen. Ohne die Angabe ist allerdings ein Vertragsabschluss und die Nutzung der Software nicht möglich.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie aktuellen rechtlichen Anforderungen oder Änderungen unserer Dienste anzupassen. Wesentliche Änderungen kommunizieren wir vorab per E-Mail oder direkt in der Anwendung. Die jeweils aktuelle Fassung finden Sie stets unter https://fluvy.de/datenschutz.

19. Kontakt

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Frank Schulz
E-Mail: info@fluvy.de