Datenschutzerklärung
Stand: Januar 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Rafik Halabi
Volksgartenstr. 27
40227 Düsseldorf
Deutschland
E-Mail: legal@flintery.com
2. Übersicht der Datenverarbeitung
FLINTERY ist ein Finanzplanungstool für Fotografen, Videografen und Videoproduzenten. Wir verarbeiten Ihre Daten zur Bereitstellung unserer Dienste, zur Vertragserfüllung und zur Verbesserung unserer Plattform.
Verarbeitete Datenkategorien
- Stammdaten (Name, E-Mail-Adresse, Adresse)
- Nutzungsdaten (Zugriffszeiten, genutzte Funktionen)
- Projektdaten (Kalkulationen, Kundendaten, Rechnungen)
- Finanzdaten (Einnahmen, Ausgaben, Bankdaten bei aktivierter Synchronisation)
- Zahlungsdaten (über Stripe verarbeitet)
3. Bereitstellung der Plattform
3.1 Nutzerkonten und Authentifizierung
Für die Registrierung und Anmeldung verarbeiten wir:
- E-Mail-Adresse
- Passwort (verschlüsselt gespeichert)
- Name (optional)
- Branche und Erfahrungsjahre (optional)
Für die Sitzungsverwaltung nutzen wir die Open-Source-Bibliothek Auth.js (vormals NextAuth.js). Authentifizierungsdaten werden in unserer PostgreSQL-Datenbank in Frankfurt/Deutschland gespeichert. Wir verwenden HTTP-only Session-Cookies zur Sitzungsverwaltung. Diese technisch notwendigen Cookies erfordern keine separate Einwilligung gemäß § 25 Abs. 2 TDDDG.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.2 Hosting (Vercel)
Unsere Anwendung wird auf der Plattform von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet.
Verarbeitete Daten: IP-Adresse, Zugriffszeiten, Browsertyp, Referrer-URL
Serverstandorte: Unsere Serverless Functions werden in der Region Frankfurt/Deutschland (fra1) ausgeführt. Das Edge-Netzwerk nutzt weltweit verteilte Caching-Server; der Cache ist temporär ohne permanente Datenspeicherung.
Drittlandtransfer: Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Durch Konfiguration der EU-Region Frankfurt minimieren wir den Drittlandtransfer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung)
Weitere Informationen: https://vercel.com/legal/privacy-policy
3.3 Datenbank (Neon.tech)
Für die Speicherung von Anwendungsdaten nutzen wir den serverless PostgreSQL-Dienst von Neon, LLC, USA.
Serverstandort: Unsere Datenbank wird in der Region Frankfurt/Deutschland (aws-eu-central-1) betrieben. Personenbezogene Daten verlassen somit nicht den Europäischen Wirtschaftsraum.
Sicherheitsmaßnahmen: Verschlüsselung at rest (AES-256) und in transit (TLS 1.2+)
Zertifizierungen: SOC 2 Type II, ISO 27001, ISO 27701
Drittlandtransfer: Durch den EU-Serverstandort erfolgt grundsätzlich kein Transfer. Für etwaige administrative Zugriffe aus den USA wurden EU-Standardvertragsklauseln vereinbart.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
4. Bankanbindung (finAPI)
Zur optionalen Anbindung Ihrer Bankkonten nutzen wir die Dienste der finAPI GmbH, Adams-Lehmann-Str. 44, 80797 München. finAPI ist ein von der BaFin lizenzierter Kontoinformations- und Zahlungsauslösedienst gemäß ZAG und PSD2-konform.
Verarbeitete Daten: Kontoinformationen, Transaktionsdaten, IBAN, Kontostände
Serverstandort: Deutschland
Datenspeicherung: Während der Vertragslaufzeit sowie anschließend bis zu 8 Jahre (gesetzliche Aufbewahrungspflichten für Buchungsbelege)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 59 Abs. 2 ZAG
Sie können die Bankverbindung jederzeit in den Einstellungen trennen. Bereits synchronisierte Transaktionen können auf Wunsch gelöscht werden.
Weitere Informationen: https://www.finapi.io/datenschutz/
5. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung und das Abonnement-Management nutzen wir Stripe. Für Kunden in der EU ist verantwortlich:
Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower
Grand Canal Dock
Dublin 2, Irland
Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsdaten (Kreditkartennummer, IBAN), Transaktionsdaten
Wir speichern selbst keine Kreditkartendaten. Diese werden direkt von Stripe verarbeitet.
Drittlandtransfer: Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen für regulatorische Pflichten wie Betrugsprävention)
Weitere Informationen: https://stripe.com/de/privacy
6. Buchhaltungsintegrationen
6.1 sevDesk
Sie können Ihr Konto optional mit sevDesk verbinden. Anbieter ist die sevDesk GmbH, Hauptstr. 115, 77652 Offenburg.
Übermittelte Daten an sevDesk: Kundendaten, Rechnungsdaten, Projektpositionen
Empfangene Daten von sevDesk: Rechnungsstatus, Kontaktdaten
Serverstandort: Deutschland (AWS Frankfurt)
Zertifizierungen: TÜV Saarland (DSGVO), ISO 27001, GoBD-konform
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Die Verbindung können Sie jederzeit in den Einstellungen trennen.
Weitere Informationen: https://sevdesk.de/datenschutz/
6.2 lexoffice
Alternativ können Sie Ihr Konto mit lexoffice verbinden. Anbieter ist die Haufe Service Center GmbH, Freiburg.
Übermittelte und empfangene Daten: Analog zu sevDesk
Serverstandort: Deutschland (Raum Frankfurt)
Zertifizierungen: ISO 27001, GoBD-geprüft
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Weitere Informationen: https://www.lexoffice.de/datenschutz/
7. E-Mail-Marketing und CRM (ActiveCampaign)
Für E-Mail-Kommunikation und Marketing nutzen wir ActiveCampaign:
ActiveCampaign, LLC
1 N Dearborn Street, 5th Floor
Chicago, IL 60602, USA
Verarbeitete Daten: E-Mail-Adresse, Name, Kontaktdaten, Nutzungsdaten (Öffnungsraten, Klickverhalten), IP-Adresse
Drittlandtransfer: Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework gemäß Art. 45 DSGVO. ActiveCampaign ist zertifiziert unter dataprivacyframework.gov. Ergänzend wurden EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
EU-Vertreter: EU-REP.Global GmbH, Hopfenstr. 1d, 24114 Kiel
Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für transaktionale E-Mails und Marketing an Bestandskunden
Sie können sich jederzeit vom Newsletter abmelden. Ein Abmeldelink befindet sich in jeder E-Mail.
Weitere Informationen: https://www.activecampaign.com/legal/privacy-policy
8. Benchmark-Funktion
FLINTERY bietet eine optionale Benchmark-Funktion, die anonymisierte Marktdaten zu Honoraren bereitstellt.
Funktionsweise: Wenn Sie die Benchmark-Funktion nutzen, werden Ihre Projektdaten (Projekttyp, Honorar, Region, Erfahrungslevel) anonymisiert in aggregierte Statistiken einbezogen. Eine Rückverfolgung auf einzelne Nutzer ist nicht möglich.
Verarbeitete Daten: Anonymisierte Projektdaten (keine personenbezogenen Daten)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sie können die Benchmark-Teilnahme jederzeit in den Einstellungen deaktivieren. Bereits anonymisierte Daten können naturgemäß nicht mehr zugeordnet oder entfernt werden.
9. Cookies und ähnliche Technologien
9.1 Technisch notwendige Cookies
Wir verwenden technisch notwendige Cookies, die für den Betrieb der Plattform erforderlich sind:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| Session-Cookie | Anmeldung und Sitzungsverwaltung | Sitzungsende |
| CSRF-Token | Schutz vor Cross-Site-Request-Forgery | Sitzungsende |
| Spracheinstellung | Speicherung der gewählten Sprache | 1 Jahr |
| Cookie-Consent | Speicherung Ihrer Cookie-Präferenzen | 1 Jahr |
Diese Cookies erfordern keine Einwilligung gemäß § 25 Abs. 2 TDDDG.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit)
9.2 Google Analytics 4
Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Plattform ermöglichen.
Verarbeitete Daten: IP-Adresse (anonymisiert), Geräte- und Browserinformationen, Nutzungsverhalten, Referrer-URL
IP-Anonymisierung: Wir haben die IP-Anonymisierung aktiviert. Ihre IP-Adresse wird von Google innerhalb von Mitgliedstaaten der EU gekürzt, bevor sie an Server von Google in den USA übertragen wird.
Drittlandtransfer: Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Opt-out: Sie können die Erfassung durch Google Analytics verhindern, indem Sie Ihre Einwilligung im Cookie-Banner verweigern oder nachträglich in den Cookie-Einstellungen widerrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Weitere Informationen: https://policies.google.com/privacy
9.3 Meta Pixel (Facebook/Instagram)
Wir nutzen das Meta Pixel der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Das Pixel ermöglicht es uns, die Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram zu messen und unsere Angebote zu optimieren.
Verarbeitete Daten: IP-Adresse, Browserinformationen, Referrer-URL, aufgerufene Seiten, Aktionen auf unserer Plattform (z.B. Registrierung, Kauf)
Drittlandtransfer: Meta ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
Opt-out: Sie können die Erfassung durch das Meta Pixel verhindern, indem Sie Ihre Einwilligung im Cookie-Banner verweigern oder nachträglich in den Cookie-Einstellungen widerrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Weitere Informationen: https://www.facebook.com/privacy/policy/
9.4 LinkedIn Insight Tag
Wir nutzen den LinkedIn Insight Tag der LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland. Der Insight Tag ermöglicht es uns, die Wirksamkeit unserer LinkedIn-Werbeanzeigen zu messen und Besuchern unserer Plattform relevante Werbung auf LinkedIn anzuzeigen.
Verarbeitete Daten: IP-Adresse, Geräte- und Browserinformationen, Referrer-URL, aufgerufene Seiten, Zeitstempel
Drittlandtransfer: LinkedIn ist unter dem EU-US Data Privacy Framework zertifiziert. Ergänzend wurden EU-Standardvertragsklauseln vereinbart.
Opt-out: Sie können die Erfassung durch den LinkedIn Insight Tag verhindern, indem Sie Ihre Einwilligung im Cookie-Banner verweigern oder nachträglich in den Cookie-Einstellungen widerrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Weitere Informationen: https://www.linkedin.com/legal/privacy-policy
9.5 Consent-Management
Für die Verwaltung Ihrer Cookie-Einstellungen setzen wir eine Consent-Management-Lösung ein. Diese speichert Ihre Präferenzen und stellt sicher, dass Tracking-Dienste nur nach Ihrer ausdrücklichen Einwilligung aktiviert werden.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer unserer Website widerrufen oder anpassen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), § 25 TDDDG
10. Speicherdauer und Löschfristen
Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Vertragsdaten
Ihre Kontodaten und Projektdaten werden während der Vertragslaufzeit gespeichert. Nach Vertragsende werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Gesetzliche Aufbewahrungsfristen
Gemäß den handels- und steuerrechtlichen Vorschriften gelten folgende Fristen:
| Dokumenttyp | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Rechnungen und Buchungsbelege | 8 Jahre | § 147 Abs. 3 AO, § 14b UStG |
| Jahresabschlüsse und Bilanzen | 10 Jahre | § 147 Abs. 1 Nr. 1 AO, § 257 HGB |
| Geschäftskorrespondenz | 6 Jahre | § 147 Abs. 1 Nr. 2, 3 AO |
Die Fristen beginnen jeweils am Ende des Kalenderjahres, in dem die letzte Buchung erfolgte oder das Dokument erstellt wurde.
Nach Kontolöschung
Nach Löschung Ihres Kontos werden Ihre personenbezogenen Daten innerhalb von 30 Tagen gelöscht. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden gesperrt und nach Ablauf der Frist gelöscht.
11. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
11.1 Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, von uns Auskunft über Ihre verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst: Verarbeitungszwecke, Datenkategorien, Empfänger, geplante Speicherdauer, Ihre Rechte, Herkunft der Daten sowie das Bestehen einer automatisierten Entscheidungsfindung.
11.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
11.3 Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht auf unverzügliche Löschung Ihrer Daten, wenn:
- die Daten für den Zweck nicht mehr notwendig sind
- Sie Ihre Einwilligung widerrufen
- Sie Widerspruch einlegen
- die Daten unrechtmäßig verarbeitet wurden
Das Recht besteht nicht, soweit die Verarbeitung zur Erfüllung rechtlicher Pflichten erforderlich ist.
11.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung verlangen, wenn:
- Sie die Richtigkeit bestreiten
- die Verarbeitung unrechtmäßig ist
- wir die Daten nicht mehr benötigen, Sie diese aber zur Geltendmachung von Rechtsansprüchen brauchen
- Sie Widerspruch eingelegt haben
11.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie können die Daten direkt an einen anderen Verantwortlichen übermitteln lassen, soweit dies technisch machbar ist.
In FLINTERY können Sie Ihre Daten jederzeit über die Einstellungen exportieren.
11.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen Ihrer besonderen Situation gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen.
Bei Direktwerbung: Sie können jederzeit ohne Angabe von Gründen der Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung widersprechen.
11.7 Widerruf von Einwilligungen
Soweit die Verarbeitung auf Ihrer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
11.8 Beschwerderecht
Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
https://www.ldi.nrw.de
12. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Transportverschlüsselung: TLS 1.3 für alle Datenübertragungen
- Speicherverschlüsselung: AES-256 für sensible Daten (at rest)
- Passwörter: Sichere Speicherung mit bcrypt-Hashing
- Zugriffskontrollen: Rollenbasiertes Berechtigungskonzept
- Hosting: Deutsche Rechenzentren mit ISO 27001-Zertifizierung
- Backups: Regelmäßige, verschlüsselte Sicherungen
- Updates: Regelmäßige Sicherheitsaktualisierungen
13. Übermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). Für diese Übermittlungen bestehen folgende Garantien:
| Dienst | Standort | Garantie |
|---|---|---|
| Vercel | USA (Server: DE) | EU-US Data Privacy Framework |
| Stripe | Irland/USA | EU-US Data Privacy Framework + SCCs |
| ActiveCampaign | USA | EU-US Data Privacy Framework + SCCs |
| Neon.tech | USA (Server: DE) | Standardvertragsklauseln (SCCs) |
„SCCs" bezeichnet die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
14. Auftragsverarbeitung
Mit allen Dienstleistern, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf unserer Website.
Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie per E-Mail informieren.
16. Kontakt
Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter:
E-Mail: legal@flintery.com
Wir werden Ihre Anfrage schnellstmöglich, spätestens jedoch innerhalb eines Monats, beantworten.