Rechtliches
Datenschutzerklärung
Diese Erklärung informiert gemäß Art. 13 DSGVO darüber, welche personenbezogenen Daten wir bei der Nutzung von normbill verarbeiten, auf welcher Rechtsgrundlage — und welche Daten wir bewusst nicht speichern.
Stand: 2026-07-17
1. Verantwortlicher
VIBOA UG (haftungsbeschränkt)
Kopernikusstr. 14
30167 Hannover
E-Mail: support@normbill.com
2. Grundsatz: Rechnungsinhalte werden nicht gespeichert
normbill ist bewusst so gebaut, dass die Inhalte der über die API übermittelten Rechnungen (Namen, Adressen, Beträge, Bankverbindungen Ihrer Kunden und Lieferanten) nicht gespeichert werden. Rechnungsdaten werden ausschließlich flüchtig im Arbeitsspeicher verarbeitet, um das angeforderte Dokument zu erzeugen bzw. zu validieren, und mit der Antwort verworfen. Request- und Response-Inhalte sowie der Authorization-Header werden aus den Server-Logs ausgeschlossen (Log-Redaktion). Gespeichert werden lediglich Konto-, Schlüssel- und Nutzungsmetadaten (z. B. Zählerstände pro Monat).
3. Kontodaten (Registrierung und Login)
Bei der Registrierung verarbeiten wir Ihre E-Mail-Adresse und Ihr Passwort (ausschließlich als kryptographischer Hash) sowie den Namen Ihrer Organisation. Die Authentifizierung erfolgt über eine selbst betriebene Login-Lösung (Better Auth) in unserer eigenen Datenbank; es findet keine Weitergabe an Login-Drittanbieter statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4. Cookies
Wir setzen ausschließlich technisch notwendige Session-Cookies ein, die für den Login und die Sicherheit des Kontos erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG). Es kommen keine Tracking- oder Analyse-Cookies und keine Werbenetzwerke zum Einsatz; ein Cookie-Banner ist daher nicht erforderlich.
5. API-Nutzung und Server-Logs
API-Schlüssel werden nur als SHA-256-Hash gespeichert; der Klartext-Schlüssel ist uns nach der Erstellung nicht mehr bekannt. Zur Betriebssicherheit und Abrechnung verarbeiten wir technische Metadaten (Zeitpunkt, Endpunkt, HTTP-Status, Antwortzeit, monatliche Nutzungszähler je Organisation). Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung und Abrechnung des Dienstes) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsvermeidung).
6. Auftragsverarbeiter und Empfänger
Wir setzen folgende Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) bzw. Empfänger ein:
| Dienstleister | Zweck | Ort der Verarbeitung |
|---|---|---|
| Hetzner Online GmbH | Hosting der API-Infrastruktur (Falkenstein) sowie offsite-Backup der Konto-/Nutzungsmetadaten (Storage Box, EU-Central) | Deutschland / EU |
| Neon Inc. | Datenbank-Hosting (Konto-, Schlüssel- und Nutzungsmetadaten; PITR) | EU-Region Frankfurt; US-Muttergesellschaft (SCCs/DPF) |
| Vercel Inc. | Hosting der Website und des Dashboards | EU/USA (EU-Region konfiguriert; SCCs/DPF) |
| Stripe Payments Europe Ltd. / Stripe Inc. | Zahlungsabwicklung und Abonnement-Verwaltung (nur Abrechnungsdaten, keine Rechnungsinhalte) | EU/USA (SCCs/DPF) |
| Resend Inc. | Transaktionale E-Mails (Verifikation, Passwort-Reset; nur Kontodaten) | EU/USA (SCCs/DPF) |
Rechnungsinhalte aus API-Aufrufen erreichen ausschließlich die API-Infrastruktur bei Hetzner in Deutschland und werden dort — wie in Ziffer 2 beschrieben — nicht gespeichert. Offsite- Backups (Hetzner Storage Box) enthalten ausschließlich Konto-, Schlüssel- und Nutzungsmetadaten sowie Abrechnungsdaten — niemals Rechnungsinhalte. An Stripe werden nur Abrechnungsdaten übermittelt.
7. Speicherdauer
- Rechnungsinhalte: keine Speicherung (nur flüchtige Verarbeitung pro Anfrage).
- Kontodaten: bis zur Löschung des Kontos; anschließend Löschung, soweit keine gesetzlichen Aufbewahrungspflichten (z. B. § 147 AO für Abrechnungsunterlagen) entgegenstehen.
- Nutzungszähler und Abrechnungsdaten: für die Dauer gesetzlicher Aufbewahrungsfristen.
- Technische Server-Logs (ohne Rechnungsinhalte): kurzfristig, zu Sicherheitszwecken.
8. Ihre Rechte
Ihnen stehen als betroffene Person folgende Rechte zu:
- Auskunft über die verarbeiteten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f (Art. 21 DSGVO),
- Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).
Ihr Konto können Sie jederzeit selbst in den Einstellungen des Dashboards löschen; damit werden Ihre Kontodaten entfernt, soweit keine gesetzlichen Aufbewahrungspflichten bestehen. Für alle Anliegen erreichen Sie uns unter support@normbill.com.
9. Auftragsverarbeitung für Geschäftskunden
Soweit Sie als Kunde über die API personenbezogene Daten Dritter (z. B. Ihrer Kunden) verarbeiten lassen, handeln wir als Ihr Auftragsverarbeiter. Es gilt unser Auftragsverarbeitungsvertrag (AVV), der mit Vertragsschluss als vereinbart gilt.
10. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich der Dienst oder die Rechtslage ändert. Es gilt die jeweils hier veröffentlichte Fassung.