Datenschutzerklärung
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung der Geschäftsanwendung Ofira.app. Unser Angebot richtet sich ausschließlich an Unternehmer, Gewerbetreibende und Freiberufler im Sinne des § 14 BGB.
1. Verantwortlicher
Verantwortlicher für die auf dieser Plattform von uns bestimmte Datenverarbeitung ist:
PIXEL+MORE – Lars Gruhl
Seidelbastweg 143, 12357 Berlin
E-Mail: info@pixelandmore.de · Telefon: +49 30 67804908
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht benannt.
2. Unsere Rolle (Verantwortlicher und Auftragsverarbeiter)
Als B2B-SaaS-Anbieter nehmen wir datenschutzrechtlich eine Doppelrolle ein:
- Plattformbetrieb (Verantwortlicher): Für Ihre eigenen Nutzer-, Vertrags- und Abrechnungsdaten, den Anmelde-/Plattformbetrieb und die IT-Sicherheit sind wir Verantwortlicher im Sinne der DSGVO.
- Ihre Geschäftsdaten (Auftragsverarbeiter): Für die Daten, die Sie in die Anwendung eingeben (Geschäftspartner, Belege, CRM, Notizen), sind wir ausschließlich Ihr weisungsgebundener Auftragsverarbeiter nach Art. 28 DSGVO. Verantwortlicher bleiben insoweit Sie; Grundlage ist ein separat abzuschließender Auftragsverarbeitungs-Vertrag (AVV).
3. Bereitstellung der Anwendung und Logfiles
Zum sicheren Betrieb verarbeiten wir technische Metadaten: IP-Adresse, User-Agent, Zeitstempel des Zugriffs und Art der Anfrage. Zweck ist der Schutz vor Missbrauch (Brute-Force-Schutz), die Funktionsfähigkeit und die IT-Sicherheit der Plattform. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren, störungsfreien Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: Anmelde- und Zugriffsprotokolle werden im Regelfall nach 30 Tagen gelöscht. Bestehen konkrete Anhaltspunkte für einen Sicherheitsvorfall oder eine missbräuchliche Nutzung, werden die betroffenen Log-Daten bis zur abschließenden Klärung aufbewahrt und anschließend gelöscht. Sicherheitsrelevante Einträge im revisionssicheren Audit-Log und im Belegarchiv unterliegen der gesetzlichen Aufbewahrung (GoBD) und werden nicht vorzeitig gelöscht.
4. E-Mail-Kommunikation
Wir trennen strikt zwischen systemseitigen Benachrichtigungen und Ihren Geschäfts-E-Mails:
- System-/Auth-Mails (Anmeldung, 2FA, Passwort-Reset, Benachrichtigungen) versenden wir über unseren Dienstleister STRATO GmbH. Zur Sicherstellung der Zustellbarkeit protokollieren wir Empfängeradresse und Status für höchstens 30 Tage (Art. 6 Abs. 1 lit. f DSGVO); der Betreff wird nicht gespeichert.
- Ihre Geschäfts-E-Mails (Belege, Mahnungen) versenden Sie über Ihren eigenen, von Ihnen hinterlegten SMTP-Server. Ihr SMTP-Anbieter ist kein Sub-Auftragsverarbeiter von uns. Wir speichern hierzu nur Metadaten (Beleg-Bezug, Status, Zeitpunkt), keine Empfängeradressen, Betreffe oder Inhalte. Ihre SMTP-Zugangsdaten werden verschlüsselt gespeichert.
5. Registrierung und Vertragsdurchführung
Für Ihr Kundenkonto verarbeiten wir Ihre Vertrags- und Abrechnungsdaten (Name, Firma, Anschrift, E-Mail, Telefon) zur Begründung und Durchführung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Die Bereitstellung dieser Daten ist für den Vertragsschluss erforderlich; ohne sie kann der Vertrag nicht durchgeführt werden. Unsere eigenen Ausgangsrechnungen bewahren wir darüber hinaus zur Erfüllung gesetzlicher Aufbewahrungspflichten auf (Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO, § 257 HGB).
6. Datensicherheit und Kryptografie (Art. 32 DSGVO)
- Stammdaten-Verschlüsselung: Ihre personenbezogenen Stammdaten und hinterlegten Zugangsdaten werden in der Datenbank feldweise verschlüsselt (libsodium/AEAD, Schlüssel je Datensatz; Suche über nicht umkehrbare Blind-Indizes).
- Belege und Archiv: Erstellte Belege (Rechnungen, Lieferscheine usw.), Archiv-Dateien (ZUGFeRD/XRechnung-XML) und das Audit-Log werden zur Erfüllung der gesetzlichen Aufbewahrungs- und Unveränderbarkeitspflichten (§ 147 AO, GoBD) über die gesetzliche Frist in unveränderbarer, jederzeit lesbarer und maschinell auswertbarer Form vorgehalten (im System als Klartext, nicht feldverschlüsselt); die Unveränderbarkeit wird durch kryptografische Hash-Ketten gesichert, der Schutz zusätzlich durch Zugriffskontrolle, Transportverschlüsselung und strikte Mandanten-Isolation.
- Verschlüsselte Übertragung (HTTPS / TLS 1.2+); Passwort-Hashing (bcrypt) und Argon2id für Zwei-Faktor-Codes; optionale Zwei-Faktor-Anmeldung; tägliche verschlüsselte Backups; strikte Mandanten-Isolation (eigene Datenbank pro Kunde).
- Kein Werbe-Tracking, keine Analyse, keine externen Skripte oder Schriftarten.
7. Cookies und TDDDG
Ofira.app setzt ausschließlich technisch notwendige Session-Cookies (zur sicheren Authentifizierung und Abwehr von CSRF-Angriffen) sowie lokalen Browser-Speicher für Ihre Oberflächeneinstellungen (z. B. Listensortierung) ein. Diese Speichertechnologien sind für die Zurverfügungstellung des Dienstes unbedingt erforderlich und erfolgen ohne Einwilligung nach § 25 Abs. 2 Nr. 2 TDDDG. Die anknüpfende Verarbeitung stützen wir auf Art. 6 Abs. 1 lit. b und f DSGVO.
8. Speicherdauer und Aufbewahrungsfristen
| Datenart | Frist |
|---|---|
| Kontodaten | Dauer des Vertragsverhältnisses; danach Pseudonymisierung / Krypto-Shredding, soweit keine Aufbewahrungspflicht entgegensteht |
| Anmelde-/Zugriffsprotokolle | 30 Tage (Ausnahme: Sicherheitsvorfall bis zur Klärung) |
| System-Mail-Protokoll (Empfänger, Status) | 30 Tage |
| Rechnungen / Buchungsbelege | 8 Jahre (§ 147 AO, Viertes Bürokratieentlastungsgesetz) |
| Handelsbriefe | 6 Jahre |
| Bücher, Inventare, Bilanzen | 10 Jahre |
| Audit-Log / Belegarchiv | revisionssicher (append-only), gesetzliche Aufbewahrung (GoBD) |
9. Empfänger und Sub-Auftragsverarbeiter
- STRATO GmbH (Server-Hosting und System-E-Mail-Versand, Deutschland)
- Hetzner Online GmbH (verschlüsselter Backup-Speicher, Deutschland/Finnland)
- Behörden, soweit gesetzlich vorgeschrieben
Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt.
10. Ihre Rechte
Hinsichtlich der Daten, für die wir Verantwortlicher sind, haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Die für uns zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin.
Betreffen Ihre Rechte Geschäftsdaten, die wir lediglich in Ihrem Auftrag verarbeiten, wenden Sie sich bitte an den Administrator Ihres Unternehmens (den insoweit Verantwortlichen); wir unterstützen ihn dabei nach Art. 28 Abs. 3 lit. e DSGVO.
11. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.
12. Stand
Diese Datenschutzerklärung gilt ab: 1. Juli 2026