LoginKostenlos testen

Datenschutzerklärung

Stand: 12. Mai 2026 — Version 1.1

Version: 1.2  |  Stand: 24. Mai 2026

1. Einleitung und Kontaktdaten des Verantwortlichen

1.1 Wir freuen uns, dass du unsere Website mainledger.eu sowie die zugehörige SaaS-Anwendung besuchst. Im Folgenden informieren wir dich über den Umgang mit deinen personenbezogenen Daten. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.

1.2 Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Bastian Deppisch
MainLedger Inh. Bastian Deppisch
Am Schäfergarten 3
97753 Karlstadt
Deutschland
E-Mail: info@mainledger.eu

2. Datenerfassung beim Besuch unserer Website

2.1 Bei der bloß informatorischen Nutzung unserer Website, also wenn du dich nicht registrierst oder uns anderweitig Informationen übermittelst, erheben wir nur solche Daten, die dein Browser an den Seitenserver übermittelt (sog. „Server-Logfiles"). Wir erheben folgende Daten, die für uns technisch erforderlich sind:

  • Aufgerufene Seite
  • Datum und Uhrzeit zum Zeitpunkt des Zugriffs
  • Menge der gesendeten Daten in Byte
  • Quelle/Verweis, von welchem du auf die Seite gelangtest
  • Verwendeter Browser und Betriebssystem
  • IP-Adresse (anonymisiert nach 7 Tagen)

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Stabilität und Funktionalität unserer Website. Eine Weitergabe oder anderweitige Verwendung der Daten findet nicht statt. Wir behalten uns vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.

2.2 Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine TLS-Verschlüsselung. Du erkennst die verschlüsselte Verbindung am „https://" und am Schloss-Symbol in deiner Browser-Zeile.

3. Hosting

Für das Hosting unserer Website und der SaaS-Anwendung nutzen wir einen VPS bei Hostinger International Ltd. (Server-Standort: Frankfurt am Main, Deutschland; ausschließlich innerhalb der EU). Sämtliche auf unserer Website erhobenen Daten werden auf diesen Servern verarbeitet. Mit Hostinger besteht ein Auftragsverarbeitungsvertrag (AVV), der den Schutz der Daten unserer Seitenbesucher sicherstellt und eine unberechtigte Weitergabe an Dritte untersagt.

4. Cookies und Consent-Tool

Um den Besuch unserer Website attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir Cookies — kleine Textdateien, die auf deinem Endgerät abgelegt werden. Mit deiner Einwilligung nutzen wir Cookies für anonymisierte Statistik (PostHog, EU), Marketing-Conversion-Messung (Google Ads) und Session-Aufzeichnung zur UX-Verbesserung. Notwendige Cookies bleiben immer aktiv. Die Einwilligung erteilst du über unseren Cookie-Consent-Banner; die Verarbeitung beruht auf Art. 6 Abs. 1 lit. a DSGVO. Du kannst deine Einwilligung jederzeit über den Footer-Link „Cookie-Einstellungen" widerrufen.

  • NEXT_LOCALE — speichert die gewählte Sprache (DE/EN). Kategorie: notwendig. Ablauf: 1 Jahr.
  • mainledger.session_token — Session-Cookie für angemeldete Nutzer (HttpOnly, Secure, SameSite=Lax). Erforderlich für die Authentifizierung. Kategorie: notwendig. Ablauf: 30 Tage ab letzter Aktivität.
  • __Host-better-auth.csrf-token — CSRF-Schutz für Formulare in der SaaS-App. Kategorie: notwendig. Ablauf: Sitzung.
  • consent_state — speichert deine Cookie-Wahl, HMAC-signiert. Kategorie: notwendig. Ablauf: 12 Monate.
  • ph_<api_key>_posthog — anonyme Distinct-ID für Nutzungsstatistik (PostHog Inc., EU Cloud). Kategorie: Statistik (nur mit Einwilligung). Ablauf: 12 Monate.
  • ph_<api_key>_posthog_session — Session-Tracking für PostHog. Kategorie: Statistik (nur mit Einwilligung). Ablauf: Sitzung.
  • Session Replay (Memory) — anonymisierte Session-Aufzeichnung mit maskierten Eingaben (PostHog Inc.). Kategorie: Session-Aufzeichnung (nur mit Einwilligung). Speicherdauer: 30 Tage serverseitig.
  • _gcl_aw, _gcl_dc — Conversion-Messung Google Ads (Google Ireland Ltd.). Kategorie: Marketing (nur mit Einwilligung). Ablauf: bis zu 90 Tage.

Die als „notwendig" gekennzeichneten Cookies sind für den Betrieb der Website bzw. den Login zwingend erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Website) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für alle übrigen Cookies ist deine Einwilligung Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO).

Du kannst deinen Browser so einstellen, dass du über das Setzen von Cookies informiert wirst und einzeln über deren Annahme entscheiden oder die Annahme von Cookies generell ausschließen kannst. Bei Nichtannahme der notwendigen Cookies ist die Anmeldung in der SaaS-App nicht möglich.

5. Kontaktaufnahme

Im Rahmen der Kontaktaufnahme mit uns (z.B. per E-Mail an info@mainledger.eu) werden personenbezogene Daten erhoben. Welche Daten im Falle der Nutzung eines Kontaktformulars erhoben werden, ist aus dem jeweiligen Kontaktformular ersichtlich. Diese Daten werden ausschließlich zum Zweck der Beantwortung deines Anliegens gespeichert und verwendet. Rechtsgrundlage ist unser berechtigtes Interesse an der Beantwortung deines Anliegens gemäß Art. 6 Abs. 1 lit. f DSGVO. Zielt deine Kontaktierung auf den Abschluss eines Vertrages ab, ist zusätzliche Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Deine Daten werden nach abschließender Bearbeitung deiner Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Registrierung und Nutzung der SaaS-Plattform

6.1 Du kannst dich auf unserer SaaS-Plattform unter Angabe von personenbezogenen Daten registrieren. Welche Daten für die Registrierung verarbeitet werden, ergibt sich aus der Eingabemaske des Anmelde- und Onboarding-Prozesses. Die Authentifizierung erfolgt über better-auth (selbst gehostet auf unseren Servern in Frankfurt). Wir verwenden zur Bestätigung der E-Mail-Adresse das sog. Double-Opt-In-Verfahren. Falls die Bestätigung nicht binnen 24 Stunden erfolgt, wird der Anmelde-Token gelöscht.

6.2 Pflichtangaben: Im Onboarding erheben wir folgende Daten zur Vertragserfüllung (Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO):

  • E-Mail-Adresse, Name, Passwort-Hash (bei Email-Login)
  • Firmenname, Land, Rechnungs-Anschrift (Straße, PLZ, Ort), optional Umsatzsteuer-ID — für die Ausstellung von plattformseitigen Rechnungen über die Subscription-Gebühren
  • Zustimmung zu AGB und Datenschutzerklärung (Versions-ID und Zeitstempel) — DSGVO Art. 7 Nachweispflicht

6.3 Speicherung Vertragsdaten: Wir speichern deine zur Vertragserfüllung erforderlichen Daten bis zur Löschung deines Accounts. Nach Löschung gelten die in Ziffer 13 beschriebenen Aufbewahrungs- und Löschungsregeln. Du kannst alle Angaben jederzeit im geschützten Kundenbereich verwalten und ändern.

7. Anmeldung mit Google (Single Sign-On)

Auf unserer SaaS-Plattform kannst du dich alternativ über Single-Sign-On bei Google anmelden. Anbieter: Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google"). Beim Klick auf den „Mit Google anmelden"-Button wirst du auf die Google-Seite weitergeleitet. Dort übermittelt Google nach deiner ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO folgende Daten an uns: Google-Account-ID, Name, E-Mail Adresse, Profilbild (sofern öffentlich). Diese Daten verwenden wir zur Einrichtung deines Benutzerkontos. Wir übertragen umgekehrt keinerlei Daten an Google.

Daten können hierbei auch an Google LLC, USA übermittelt werden. Für Datenübermittlungen in die USA hat sich Google dem EU-US-Datenschutzrahmen (EU-US Data Privacy Framework) angeschlossen, das auf Basis eines Angemessenheitsbeschlusses der Europäischen Kommission die Einhaltung des europäischen Datenschutzniveaus sicherstellt.

Du kannst die Verbindung zu deinem Google-Account jederzeit in deinem Google-Account unter „Drittanbieter-Apps" trennen. Weitere Informationen: https://business.safety.google/intl/de/privacy/.

8. Transaktions- und Marketing-E-Mails (Resend)

8.1 Transaktionsmails (Anmelde-Bestätigung, Rechnungs-Mails, Sync-Reports) senden wir über den Anbieter Resend. Anbieter: Resend Inc., 2261 Market Street #4083, San Francisco, CA 94114, USA — Verarbeitung erfolgt jedoch über die EU-Region (Frankfurt). Mit Resend besteht ein Auftragsverarbeitungsvertrag. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für Datenübermittlungen in die USA beruft sich der Anbieter auf Standardvertragsklauseln der Europäischen Kommission sowie den EU-US-Datenschutzrahmen.

8.2 Marketing-Mails / Newsletter: Sofern du im Onboarding ausdrücklich einwilligst, senden wir dir Informationen zu neuen Funktionen und Angeboten von MainLedger. Wir verwenden hierfür das strenge Double-Opt-In-Verfahren: Erst nach Klick auf den Bestätigungslink in einer separaten Bestätigungs-E-Mail wird deine Einwilligung wirksam und wir senden Marketing-Inhalte. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Bei der Einwilligung speichern wir die Versions-ID der Datenschutzerklärung sowie den Zeitstempel zur Nachweispflicht (Art. 7 DSGVO). Du kannst die Einwilligung jederzeit per Klick auf den Abmelde-Link in jeder Marketing-Mail oder durch Nachricht an info@mainledger.eu mit Wirkung für die Zukunft widerrufen.

8.3 Warteliste: Wenn du dich auf unserer Marketing-Seite in die Warteliste einträgst, verarbeiten wir deine E-Mail-Adresse zum Zweck einer einmaligen Launch-Benachrichtigung sowie gelegentlicher Produkt-Updates. Die Anmeldung erfolgt strikt im Double-Opt-In-Verfahren: Nach Eingabe deiner E-Mail erhältst du eine Bestätigungs-Mail; erst nach Klick auf den darin enthaltenen Link wird deine Anmeldung wirksam. Bestätigst du innerhalb von 48 Stunden nicht, wird die Anmeldung automatisch gelöscht. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Zur Nachweispflicht (Art. 7 DSGVO) speichern wir IP-Adresse, User-Agent, Versions-ID der Datenschutzerklärung und Zeitstempel der Anmeldung. Du kannst dich jederzeit über den Abmelde-Link in jeder von uns versendeten Mail oder durch Nachricht an info@mainledger.eu abmelden — danach erhältst du keine weiteren Mails von uns. Speicherdauer: bis zur Abmeldung, danach Audit-Eintrag mit IP/User-Agent für maximal 12 Monate (Verteidigung gegen unberechtigte Spam-Vorwürfe).

8.4 Beta-Tester-Programm: Wenn du auf der Early-Access-Seite den Beta-Tester-Status annimmst, speichern wir den Zeitstempel deiner Einwilligung sowie deine WhatsApp-Mobilnummer (Pflichtangabe, weil die private Beta-WhatsApp-Gruppe das zentrale Feedback-Medium der Beta ist). Wir nutzen die Nummer ausschließlich, um dich zur privaten Beta-WhatsApp-Gruppe hinzuzufügen und dir Setup-Benachrichtigungen zu schicken — keine Werbung, keine Weitergabe an Dritte außer dem Betreiber WhatsApp Ireland Ltd. (Datenverarbeitung dort: Telefonnummer + Nachrichten-Inhalte; Drittlandtransfer auf Basis EU-Standardvertragsklauseln, siehe Meta-DPA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Beta-Sonderkonditionen gemäß Ziffer 4.7/4.8 unserer AGB). Speicherdauer: 90 Tage nach Beta-Ende oder bis zu deinem Widerruf, je nachdem was zuerst eintritt. Widerruf jederzeit per Mail an info@mainledger.eu — Widerruf beendet automatisch die Beta-Sonderkonditionen.

8.5 Vor- und Nachname (Tenant-Anlage): Beim Anlegen deiner Firma in der App verarbeiten wir deinen Vor- und Nachnamen zur Identifikation des Vertragspartners, zur Rechnungsstellung und zur GoBD-konformen Vertragsdokumentation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung). Speicherdauer wie bei den übrigen Tenant-Daten (siehe Abschnitt 12).

8.6 Marketing-Attribution (UTM/gclid): Wenn du über eine Google-Ads- Kampagne auf unsere Seite kommst, speichern wir die in der URL enthaltenen Parameter (z.B. gclid, utm_source, utm_campaign) für bis zu 7 Tage in einem HMAC-signierten Cookie (ml_ads_lead). Falls du in diesem Zeitraum einen Account anlegst, persistieren wir diese Parameter in deinem User-Record (Spaltesignup_attribution), um die Wirksamkeit unserer Werbung pro Kampagne und Landing-Variante zu messen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Marketing-Erfolgsmessung). Speicherdauer: gemeinsam mit deinen User-Daten, Löschung auf Anfrage.

8.7 Enhanced Conversions an Google Ads: Nach erfolgreicher E-Mail-Verifizierung und beim Annahmen des Beta-Tester-Status übermitteln wir an Google Ads — sofern du der Marketing-Cookie-Kategorie zugestimmt hast — den SHA-256-Hash deiner E-Mail-Adresse zusammen mit der oben genannten gclid, damit Google die Conversion deiner Kampagne korrekt zuordnen kann (Enhanced Conversions). Ohne Marketing- Consent wird ausschließlich ein anonymer Conversion-Event ohne personenbezogene Daten versendet. Empfänger: Google Ireland Ltd. (EU-Datenverantwortlicher); Drittlandtransfer in die USA erfolgt auf Basis der EU-US Data Privacy Framework-Zertifizierung von Google LLC sowie EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung via Cookie-Banner). Widerruf jederzeit über die Cookie-Einstellungen.

9. Bezahldienstleister Mollie (Plattform-Subscription)

Für die Abwicklung der Subscription-Gebühren (Plattform-Nutzung) setzen wir den Zahlungsdienstleister Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande ein. Beim Aufladen deiner Zahlungsmethode (SEPA-Lastschrift-Mandat oder Kreditkarte) werden deine Zahlungsdaten direkt an Mollie übermittelt — wir selbst speichern keine Kreditkarten-Daten oder IBANs auf unseren Servern. Mollie ist gemäß PCI-DSS Level 1 zertifiziert.

Wir erhalten von Mollie nur eine Mandate-ID, einen Customer-Identifier sowie Status Informationen zu Zahlungen (erfolgreich / fehlgeschlagen / chargeback). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Mollie besteht ein Auftragsverarbeitungsvertrag. Verarbeitung erfolgt ausschließlich innerhalb der EU/Niederlande.

Datenschutzerklärung von Mollie: https://www.mollie.com/privacy

10. Buchhaltungs-Integration Lexware Office

Die Kernfunktion der MainLedger-Plattform ist die automatisierte Synchronisation deiner Mollie-Zahlungsdaten in dein Lexware-Office-Buchhaltungssystem. Anbieter von Lexware Office ist die Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland. Wir haben mit Lexware keinen Auftragsverarbeitungsvertrag (Lexware ist nicht unser Auftragsverarbeiter, sondern ein eigenständiger Verantwortlicher für deine bei Lexware gespeicherten Buchhaltungsdaten).

Beim Verknüpfen deines Lexware-Accounts mit MainLedger erhalten wir über das OAuth-2.0 Verfahren einen Access-Token und Refresh-Token. Diese Tokens werden in unserer Datenbank AES-256-GCM-verschlüsselt abgelegt. Wir nutzen die Tokens ausschließlich, um in deinem Auftrag Rechnungen, Belege und Kontakte in Lexware Office anzulegen, zu lesen und zu synchronisieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim OAuth-Connect-Schritt).

Du kannst die Verbindung zu Lexware Office jederzeit in deinen MainLedger-Settings trennen — die Tokens werden dann sofort durch einen Token-Revoke-Aufruf an Lexware ungültig gemacht und in unserer Datenbank gelöscht.

11. Fehler-Tracking und Logging

11.1 Sentry (Functional Software, Inc., 132 Hawthorne Street, San Francisco, CA 94107, USA) — wir setzen Sentry zum Tracking technischer Fehler in unserer SaaS-Anwendung ein. Sentry erfasst bei Auftreten eines Fehlers technische Daten wie Browser-Typ, JavaScript-Stacktrace und URL. Personenbezogene Daten werden nur erhoben, wenn sie versehentlich Teil eines Fehler-Reports werden — wir filtern Tokens, Passwörter und E-Mail-Adressen aktiv heraus, bevor sie an Sentry übermittelt werden. Rechtsgrundlage ist unser berechtigtes Interesse an einer stabilen und sicheren Anwendung (Art. 6 Abs. 1 lit. f DSGVO). Sentry verarbeitet ausschließlich in der EU-Region. Mit Sentry besteht ein Auftragsverarbeitungsvertrag.

11.2 Better Stack (BetterStack s.r.o., Štefánikova 836/1, 150 00 Praha 5, Tschechien) — wir nutzen Better Stack für die strukturierte Aggregation von Server-Logs. Logs enthalten technische Daten zu Anfragen, Webhook-Events und internen Operationen. Personenbezogene Daten werden vor dem Versand an Better Stack ausgefiltert oder pseudonymisiert (z.B. wird statt der vollständigen E-Mail nur die Tenant-ID geloggt). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Verarbeitung erfolgt innerhalb der EU.

11.3 PostHog (PostHog Inc., 965 Mission Street #1003, San Francisco, CA 94103, USA — Verarbeitung erfolgt ausschließlich in der EU-Region Frankfurt) — wir setzen PostHog für anonyme Nutzungsstatistik, A/B-Tests und — mit deiner Einwilligung — Session-Aufzeichnung ein. PostHog erfasst Pageviews, Klicks, Verweildauer und (mit separater Einwilligung) anonymisierte Bildschirminhalte. Eingaben in Formulare, Passwörter, E-Mail-Adressen und sensible Bereiche werden vor der Übertragung an PostHog maskiert. IP-Adressen werden in PostHog anonymisiert. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (für Statistik und Session-Aufzeichnung). Mit PostHog besteht ein Auftragsverarbeitungsvertrag (AVV). Datenverarbeitung erfolgt ausschließlich in der EU-Region (Frankfurt am Main). Speicherdauer: Statistik-Events 12 Monate, Session-Aufzeichnungen 30 Tage. Datenschutzerklärung von PostHog: https://posthog.com/privacy

12. Rechte der betroffenen Person

12.1 Das geltende Datenschutzrecht gewährt dir gegenüber uns als Verantwortlichen die nachstehenden Betroffenenrechte:

  • Auskunftsrecht gemäß Art. 15 DSGVO
  • Recht auf Berichtigung gemäß Art. 16 DSGVO
  • Recht auf Löschung gemäß Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
  • Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO
  • Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO. Zuständige Behörde für uns: Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach

Anfragen zur Ausübung deiner Rechte richtest du bitte an info@mainledger.eu. In der SaaS-App sind zudem folgende Self-Service-Funktionen verfügbar:

  • Datenexport (Art. 15 / Art. 20 DSGVO) — alle deine Daten als ZIP, per E-Mail-Link zugesandt
  • Account-Löschung (Art. 17 DSGVO) — Soft-Delete mit 30-Tage-Karenz, danach unwiderrufliche Löschung

12.2 Widerspruchsrecht

Wenn wir im Rahmen einer Interessenabwägung deine personenbezogenen Daten aufgrund unseres überwiegenden berechtigten Interesses verarbeiten, hast du das jederzeitige Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, gegen diese Verarbeitung Widerspruch mit Wirkung für die Zukunft einzulegen. Machst du von deinem Widerspruchsrecht Gebrauch, beenden wir die Verarbeitung der betroffenen Daten. Eine Weiterverarbeitung bleibt vorbehalten, wenn wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die deine Interessen, Grundrechte und Grundfreiheiten überwiegen, oder wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Werden deine personenbezogenen Daten von uns verarbeitet, um Direktwerbung (Marketing-Mails) zu betreiben, hast du das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Den Widerspruch kannst du wie oben beschrieben ausüben.

13. Dauer der Speicherung personenbezogener Daten

Die Dauer der Speicherung von personenbezogenen Daten bemisst sich anhand der jeweiligen Rechtsgrundlage, am Verarbeitungszweck und – sofern einschlägig – zusätzlich anhand der jeweiligen gesetzlichen Aufbewahrungsfrist (handels- und steuerrechtliche Aufbewahrungsfristen, in der Regel 6–10 Jahre). Bei der Verarbeitung auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO werden die betroffenen Daten so lange gespeichert, bis du deine Einwilligung widerrufst. Bei der Verarbeitung personenbezogener Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO werden diese Daten so lange gespeichert, bis du dein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO ausübst, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen.

Konkret bei MainLedger:

  • Account-Daten: bis zur Löschung deines Accounts (Soft-Delete + 30 Tage Karenz)
  • Rechnungsdaten und Sync-Logs zu Buchhaltungs-Belegen: 10 Jahre nach §147 AO (gesetzliche Aufbewahrungspflicht)
  • OAuth-Tokens (Lexware): bis zur Trennung der Verbindung, dann sofortige Löschung
  • Server-Logs: 7 Tage (IP-Adressen werden danach anonymisiert)
  • Sentry-Fehler-Reports: 90 Tage
  • Marketing-Consent-Nachweise: 3 Jahre nach Widerruf (Verjährungsfrist nach §195 BGB für Nachweis der Einwilligung)
  • Consent-Audit-Log (Cookie-Banner-Wahl): 12 Monate ab Erteilung — analog zur Cookie-Laufzeit

14. Marketing-Conversion-Tracking (Google Ads)

Google Ireland Ltd., Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland — mit deiner Einwilligung setzen wir das Google-Ads-Conversion-Tracking ein, um die Wirksamkeit unserer Werbeanzeigen zu messen. Wenn du über eine unserer Werbeanzeigen auf unsere Website gelangst und eine Conversion ausführst (z.B. dich auf die Warteliste einträgst oder einen Trial startest), wird ein anonymes Conversion-Signal an Google übermittelt. Wir nutzen den Google Consent Mode v2 (Basic) — ohne deine Einwilligung werden keine Daten an Google gesendet. Eine Übermittlung in die USA an Google LLC kann erfolgen. Für Datenübermittlungen in die USA beruft sich Google auf den EU-US-Datenschutzrahmen (Data Privacy Framework, Angemessenheitsbeschluss Art. 45 DSGVO). Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Speicherdauer: bis zu 540 Tage. Datenschutzerklärung von Google: https://policies.google.com/privacy

15. Reverse Proxy / Bot-Defense (Cloudflare)

Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA — Verarbeitung erfolgt primär über das europäische Server-Netzwerk. Wir setzen Cloudflare als Reverse Proxy und Bot-Defense-Layer für unsere Marketing-Webseite ein. Cloudflare verarbeitet alle Anfragen an unsere Website, klassifiziert Bot- und Schadtraffic und filtert diesen heraus, bevor er unseren Server erreicht. Dabei werden IP-Adresse, User-Agent und Anfrage-Header temporär verarbeitet. Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit und Verfügbarkeit unserer Website gemäß Art. 6 Abs. 1 lit. f DSGVO. Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag, der Datenübermittlungen über Standardvertragsklauseln und den EU-US-Datenschutzrahmen absichert. Anfragen aus der EU werden in EU-Datenzentren bearbeitet; eine Übermittlung in die USA ist im Einzelfall nicht vollständig ausgeschlossen. Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/privacypolicy/