Datenschutzerklärung

Stand: 27. April 2026

1. Verantwortlicher

David Oczachowski
Speicherstr. 20
60327 Frankfurt am Main
Deutschland
E-Mail: info@flotax.io
Telefon: 0170 – 88 55 808

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit es für die Bereitstellung dieser Website und die Beantwortung Ihrer Anfragen erforderlich ist, oder soweit wir hierzu gesetzlich verpflichtet sind. Rechtsgrundlagen sind in der Regel Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag/vorvertragliche Maßnahmen) und lit. f (berechtigtes Interesse) DSGVO.

3. Bereitstellung der Website / Server-Logs

Beim Aufruf unserer Website werden vom Hosting-Anbieter automatisch technische Informationen in Logdateien gespeichert: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite, übertragene Datenmenge, Referrer, User-Agent. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zum Zweck der technischen Bereitstellung und zur Abwehr von Missbrauch. Logs werden nach spätestens 14 Tagen gelöscht, sofern keine sicherheitsrelevanten Ereignisse eine längere Speicherung erforderlich machen.

4. Hosting

Unsere Website wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, gehostet. Mit dem Anbieter wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Server-Standort ist ausschließlich Deutschland.

5. Kontaktaufnahme

Nehmen Sie per E-Mail, Telefon oder Kontaktformular Kontakt mit uns auf, werden Ihre Angaben zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen verarbeitet (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO). Die Daten werden gelöscht, sobald sie nicht mehr erforderlich sind, spätestens nach Ablauf gesetzlicher Aufbewahrungsfristen.

6. Beta-Registrierung

Wenn Sie sich für unsere geschlossene Beta anmelden, verarbeiten wir die von Ihnen angegebenen Daten (insbesondere Name, E-Mail-Adresse und ggf. Unternehmensangaben) zum Zweck der Verwaltung der Warteliste und der späteren Einladung zur Beta. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. lit. b DSGVO (vorvertragliche Maßnahme). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per E-Mail an info@flotax.io.

7. Nutzerkonto / Login

Sofern Sie als bestehender Kunde ein Nutzerkonto verwenden, verarbeiten wir die für den Login und den Betrieb des Kontos erforderlichen Daten (E-Mail, bcrypt-gehashtes Passwort, Session-Token, ggf. 2FA-TOTP-Geheimnis). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Zur Abwehr von Brute-Force-Angriffen und zur Forensik bei Sicherheitsvorfällen führen wir ein strukturiertes Login-Audit-Log. Protokolliert werden Anmeldeversuche (erfolgreich und fehlgeschlagen), Passwort-Reset-Anfragen und 2FA-Vorgänge — jeweils mit Zeitstempel, Quell-IP-Adresse, der versuchten E-Mail-Adresse sowie dem Ereignis-Typ. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes). Die Speicherdauer beträgt 12 Monate.

Wenn ein Mitarbeiter des FloTax-Supports auf Ihren Account zugreifen muss (z.B. zur Fehleranalyse), wird dieser Vorgang in einem Admin-Zugriffs-Protokoll mit Zeitstempel, Grund, Quell-IP-Adresse und Sitzungsdauer dokumentiert. Sie können die Sessions gegen Ihren Tenant in Ihrem Dashboard unter „Einstellungen → Admin-Zugriffe" einsehen.

Aufbewahrung gestaffelt: 12 Monate aktiv abrufbar im Dashboard, weitere 5 Jahre archiviert zur Erfüllung von Nachweispflichten gemäß GoBD (BMF-Schreiben vom 11.07.2019, Rn. 100 ff. — Verfahrensdokumentation und Zugriffsschutz auf steuerlich relevante Systeme); Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherung gegen Manipulationen). Anschließend automatische Löschung.

8. Cookies

Wir setzen nur technisch notwendige Cookies ein (insbesondere Session- und Authentifizierungs-Cookies für den Login). Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG bzw. Art. 6 Abs. 1 lit. f DSGVO. Tracking- oder Marketing-Cookies werden nicht verwendet.

9. Weitergabe an Dritte und Drittlandsübermittlung

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte findet nur statt, soweit dies zur Erfüllung des Vertrags erforderlich ist, Sie ausdrücklich eingewilligt haben oder eine gesetzliche Verpflichtung besteht.

Eigenständig Verantwortliche: Folgende Empfänger sind keine Auftragsverarbeiter, sondern eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung):

Stripe Payments Europe, Limited (Irland) — Zahlungsabwicklung und Rechnungsstellung für die Nutzung des Dienstes (Stripe ist als Zahlungsdienstleister i.S.d. ZAG nach EDPB-Leitlinien 07/2020 eigenständig Verantwortlicher);
Versanddienstleister(DPD Deutschland GmbH, GLS Germany GmbH & Co. OHG, Deutsche Post DHL Group, UPS Deutschland S.à r.l. & Co. OHG, Deutsche Post AG / Internetmarke) — als Frachtführer für die Zustellung von Sendungen.

Eine vollständige Liste aller Sub-Auftragsverarbeiter und eigenständig Verantwortlichen finden Sie in unserem Auftragsverarbeitungsvertrag (AVV) § 6.

Drittlandsübermittlung: Eine Datenübermittlung in Drittländer außerhalb der EU/des EWR findet ausschließlich an unseren E-Mail-Versand-Dienstleister Resend Inc. (USA) statt — bei transaktionalen E-Mails wie Account-Bestätigungen, Passwort-Reset und Rechnungsversand. Resend Inc. ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023); ergänzend bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Sollte die Angemessenheitsentscheidung der EU-Kommission für die USA wegfallen oder die Zertifizierung von Resend Inc. enden, stützen wir die Übermittlung auf Standardvertragsklauseln in Verbindung mit ergänzenden Schutzmaßnahmen (insbesondere TLS-Verschlüsselung in Transit, Pseudonymisierung, Beschränkung auf transaktionale Inhalte). Eine Transfer Impact Assessment (TIA) liegt vor und wird auf Anfrage zur Verfügung gestellt.

10. Ihre Rechte

Sie haben uns gegenüber jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist in der Regel die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder unser Sitz: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 31 63, 65021 Wiesbaden.

12. Verarbeitung bei Nutzung der Amazon-Integration (SP-API)

Sofern Sie als Nutzer einen Amazon-Seller-Central-Account mit FloTax verbinden, verarbeiten wir personenbezogene Daten, die wir über die Amazon Selling Partner API (SP-API) im Auftrag Ihres Verkäuferkontos abrufen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für steuerlich relevante Aufbewahrungspflichten Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO und § 14b UStG.

Beantragte Zugriffsrollen (Restricted Roles):

Direct-To-Consumer Shipping — zur Erstellung von Versandetiketten (DHL, DPD, GLS, UPS, Internetmarke der Deutschen Post AG) für an Endkunden adressierte Amazon-Bestellungen.
Tax Invoicing — zur Erzeugung GoBD-konformer deutscher Rechnungen (§ 14 UStG) inklusive ZUGFeRD-/XRechnung-Format, Differenzbesteuerung (§ 25a UStG) und OSS-Meldung (§ 18j UStG).

Kategorien verarbeiteter personenbezogener Daten: Name, Liefer- und Rechnungsadresse, Telefonnummer, E-Mail-Adresse, ggf. USt-ID, Bestellpositionen, Bestell- und Versanddatum, Zahlungs- und Erstattungsbeträge.

Zwecke: Erzeugung von Versandetiketten und Tracking-Rückmeldung an Amazon, Erstellung gesetzlich vorgeschriebener Rechnungen, Eingang in die Buchhaltung (Journal, DATEV-/Lexoffice-Export, OSS-Meldung). Eine Verarbeitung der Daten zu Werbe-, Profiling- oder Analysezwecken findet nicht statt. Eine Weitergabe an Dritte erfolgt nur an die für den Versand erforderlichen Carrier-APIs (DHL, DPD, GLS, UPS, Internetmarke der Deutschen Post AG), an die vom Nutzer gewählte Buchhaltungs-Schnittstelle (DATEV, Lexoffice) sowie an das BZSt im Rahmen der OSS-Meldepflicht.

Speicherort und Verschlüsselung: Die Daten werden ausschließlich in einem Rechenzentrum der Hetzner Online GmbH in Deutschland gespeichert. Sensible Zugangsdaten (OAuth-Tokens, API-Schlüssel, 2FA-Geheimnisse) werden mit Fernet (AES-128-CBC + HMAC-SHA256) verschlüsselt at-Rest abgelegt. Die Übertragung erfolgt ausschließlich über TLS 1.2+.

Aufbewahrungsdauer: Personenbezogene Daten aus der SP-API, die nicht für die Erfüllung gesetzlicher Aufbewahrungspflichten (§ 147 AO, § 14b UStG, § 257 HGB) benötigt werden — insbesondere E-Mail-Adresse und Telefonnummer der Endkunden — werden 30 Tage nach Bestellabschluss gelöscht, sofern keine offene Reklamation oder Retoure besteht. Buchhalterisch und steuerlich relevante Daten (Name, Anschrift, Bestellpositionen, Beträge) werden für die gesetzlich vorgeschriebenen 10 Jahre aufbewahrt; nach Ablauf dieser Frist werden auch diese Daten gelöscht oder anonymisiert.

Löschwünsche von Endkunden: Wenn ein Endkunde gegenüber Amazon ein Löschverlangen stellt, wird FloTax über den Amazon-Account-Deletion-Webhook benachrichtigt und löscht E-Mail-Adresse und Telefonnummer der betroffenen Bestellungen unverzüglich. Steuerrechtlich aufbewahrungspflichtige Daten werden mit einem Lösch-Vormerk-Flag versehen und nach Ablauf der gesetzlichen Frist automatisiert anonymisiert.

Auftragsverarbeitung: Mit Nutzern, die FloTax gewerblich einsetzen, schließen wir einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Liste der Sub-Auftragsverarbeiter (Hetzner, Resend, Google) und der eigenständig Verantwortlichen (Stripe, Carrier) wird im Rahmen dieses Vertrags bereitgestellt.

Die Verarbeitung der über die Amazon SP-API erhobenen Daten erfolgt unter Beachtung der Amazon Data Protection Policy für die Selling Partner API (SP-API DPP) sowie der Amazon Acceptable Use Policy.

13. Verarbeitung bei Nutzung der eBay-Integration

Sofern Sie als Nutzer ein eBay-Verkäuferkonto mit FloTax verbinden, verarbeiten wir personenbezogene Daten, die wir über die eBay-APIs (insbesondere Fulfillment API, Trading API, Inventory API) im Auftrag Ihres Verkäuferkontos abrufen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie für steuerlich relevante Aufbewahrungspflichten Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO und § 14b UStG.

Kategorien verarbeiteter personenbezogener Daten: Käufername, Liefer- und Rechnungsadresse, Telefonnummer, E-Mail-Adresse (soweit von eBay übermittelt), eBay-Username bzw. -ID, ggf. USt-ID, Bestellpositionen, Bestell- und Versanddatum, Zahlungs- und Erstattungsbeträge, optional Käufer-Hinweise (Buyer Notes) im Bestellprozess.

Zwecke: Erzeugung von Versandetiketten und Tracking-Rückmeldung an eBay, Erstellung gesetzlich vorgeschriebener Rechnungen, Eingang in die Buchhaltung (Journal, DATEV-/Lexoffice-Export, OSS-Meldung), GPSR-konforme Listing-Erstellung. Eine Verarbeitung der Daten zu Werbe-, Profiling- oder Analysezwecken findet nicht statt.

Löschwünsche von Endkunden (eBay Marketplace Account Deletion / Closure Notification): Wenn ein eBay-Käufer gegenüber eBay ein Löschverlangen stellt, wird FloTax über den eBay-Account-Deletion-Webhook benachrichtigt und löscht unverzüglich die E-Mail-Adresse und Telefonnummer der betroffenen Bestellungen. Buchhalterisch und steuerlich aufbewahrungspflichtige Daten (Name, Anschrift, Bestellpositionen, Beträge) werden gemäß § 147 AO und § 14b UStG für zehn (10) Jahre ab Ende des Kalenderjahres der Rechnungserstellung aufbewahrt. Diese Datensätze werden mit einem Lösch-Vormerk-Flag versehen und nach Ablauf der gesetzlichen Aufbewahrungsfrist automatisiert anonymisiert.

Quell-IP-Whitelist: Der eBay-Account-Deletion- Webhook akzeptiert ausschließlich Anfragen aus den von eBay offiziell veröffentlichten IP-Adressbereichen (AS10780). Anfragen aus anderen Quellen werden abgewiesen.

14. Verarbeitung bei Nutzung weiterer Plattform-Integrationen

Für die Anbindung weiterer Plattformen (Shopify, Etsy, WooCommerce, Mirakl-basierte Marktplätze, Refurbed, PayPal, Stripe, Billbee, JTL-Wawi) gelten sinngemäß die in Ziffer 12 und 13 dargestellten Grundsätze: Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. steuerliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO, § 14b UStG); ausschließliche Speicherung bei der Hetzner Online GmbH in Deutschland; Verschlüsselung sensibler Zugangsdaten at-Rest. Konkrete Datenkategorien richten sich nach der jeweiligen API der Plattform.

15. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

FloTax setzt automatisierte Verfahren zur Klassifizierung von Transaktionsdaten ein (z.B. Zuordnung von Steuersätzen, OSS-Erkennung, §13b-Zuordnung, SKR-Mapping, OCR-Belegerkennung mit Auto-Confirm). Diese Klassifizierungen sind Vorschläge und entfalten keine unmittelbaren rechtlichen Wirkungen gegenüber den betroffenen Personen im Sinne von Art. 22 Abs. 1 DSGVO. Eine ausschließlich automatisierte Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt; sämtliche Klassifizierungen können vom Verantwortlichen manuell überprüft und korrigiert werden.

16. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.