1. Verantwortlicher
Verantwortlicher für die im Zusammenhang mit der eleata Peppol-API (der "Dienst") verarbeiteten personenbezogenen Daten ist INVERSO HUB S.R.L., eine nach dem Recht Argentiniens gegründete Gesellschaft (CUIT 30-71936591-0) mit Sitz in Buenos Aires, Argentinien, handelnd unter dem Namen eleata. Die vollständigen Unternehmensangaben finden Sie in unserem Impressum.
- Datenschutzkontakt: privacy@eleata.io
- Sicherheitskontakt: security@eleata.io
- Postanschrift: wird auf schriftliche Anfrage für verifizierte Betroffenenanfragen, behördliche Anfragen oder vertragliche Zwecke mitgeteilt
Da der Verantwortliche außerhalb der Europäischen Union niedergelassen ist und seinen Dienst betroffenen Personen in der EU anbietet, hat er gemäß Artikel 27 DSGVO durch schriftlichen Auftrag die folgende natürliche Person als Vertreter in der Union benannt:
- Hernán Gabriel Inverso, italienischer Staatsbürger mit Wohnsitz in Italien (EU)
- Postanschrift: Via Paoluccio della Madonnina 17, 84060 Orria (SA), Italien
- Kontakt: privacy@eleata.io
Betroffene Personen in der EU und Aufsichtsbehörden können sich — zusätzlich zum oder anstelle des Verantwortlichen — an den Vertreter in allen Angelegenheiten der Verarbeitung ihrer personenbezogenen Daten wenden und Beschwerde bei der Aufsichtsbehörde ihres gewöhnlichen Aufenthaltsorts einlegen (Abschnitt 12). Der Vertreter handelt ausschließlich in dieser Eigenschaft auf der Grundlage eines schriftlichen Auftrags und stellt keine Niederlassung, Zweigstelle oder Geschäftsstelle des Verantwortlichen in der Europäischen Union dar. Vollständige Unternehmensangaben finden Sie im Impressum.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für Daten, die wir erheben, wenn Sie eleata.io besuchen, ein Konto anlegen, die API, die SDKs oder die GitHub Action nutzen.
3. Welche Daten wir erheben
3.1 Kontodaten
- E-Mail-Adresse (für die Magic-Link-Authentifizierung und die Abrechnung)
- GitHub-Benutzer-ID und primäre E-Mail-Adresse (bei Anmeldung über GitHub)
- Gehashte API-Keys und Key-Präfixe
- Zeitstempel der Kontoerstellung und der letzten Anmeldung
3.2 Validierungsdaten
Wenn Sie eine XML-Rechnung zur Validierung übermitteln, verarbeiten wir das Dokument vorübergehend, um Schematron-Regeln auszuführen. Wir speichern folgende Metadaten:
- SHA-256-Hash der Datei (für Caching und Deduplizierung)
- Dateigröße in Bytes
- Format (Peppol BIS 3, XRechnung, Factur-X oder UBL)
- Validierungsergebnis (gültig/ungültig + Fehlerliste)
- Dauer der Validierung
- Kennung des öffentlichen Berichts (12-stelliger Code)
- Zeitstempel
Wir speichern die XML-Payload zu keiner Zeit dauerhaft. Das von Ihnen übermittelte XML wird nur für die Dauer der Validierungsanfrage — in der Regel unter zwei Sekunden — im Speicher gehalten und verworfen, sobald die Antwort zurückgegeben wird. Nur die oben aufgeführten Metadaten werden für die Abrechnungsabstimmung und Nutzungsstatistiken aufbewahrt.
3.3 Abrechnungsdaten
Die Zahlungsabwicklung erfolgt über Stripe. Wir speichern keine Kreditkartendaten. Wir speichern:
- Stripe-Kunden-ID
- Stripe-Abonnement-ID
- Tarifstufe und Status
- Enddatum des aktuellen Abrechnungszeitraums
3.4 Technische Daten
- IP-Adresse (für Rate-Limiting, Missbrauchsabwehr und Sicherheitsprotokollierung)
- User-Agent-Kennung
- Anfrage-Zeitstempel und HTTP-Statuscodes (Audit-Logs)
4. Rechtsgrundlagen (DSGVO Art. 6)
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Dienstes (Konto, Validierung) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Abrechnung und steuerrechtliche Pflichten | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) |
| Rate-Limiting und Sicherheitsprotokollierung | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Marketing-E-Mails (nur bei Einwilligung) | Einwilligung (Art. 6 Abs. 1 lit. a) |
5. Wo Ihre Daten verarbeitet werden
- Edge / TLS-Terminierung: globales Cloudflare-Netzwerk, wobei für EU-Datenverkehr Edge-Knoten in der EU-Region bevorzugt werden (Frankfurt, Amsterdam). Ihre Anfrage wird entschlüsselt und an unseren Origin-Server weitergeleitet.
- Validierungsverarbeitung & Speicherung: Origin-Server in Argentinien. Für Argentinien besteht ein Angemessenheitsbeschluss der Europäischen Kommission (Entscheidung 2003/490/EG vom 30. Juni 2003, weiterhin in Kraft). Übermittlungen personenbezogener Daten aus der EU an unseren argentinischen Origin stützen sich auf diesen Angemessenheitsbeschluss; Standardvertragsklauseln sind für diese Übermittlung nicht erforderlich. Der Verantwortliche, INVERSO HUB S.R.L., unterliegt weiterhin den Verpflichtungen aus Art. 3 DSGVO (räumlicher Anwendungsbereich), da der Dienst betroffenen Personen in der EU angeboten wird.
- Einige Subprozessoren befinden sich in den Vereinigten Staaten.Übermittlungen an diese Stellen erfolgen auf Grundlage der EU-Standardvertragsklauseln und — soweit anwendbar — des EU-US Data Privacy Framework. Siehe /subprocessors/.
6. Subprozessoren
Wir setzen bestimmte dritte Auftragsverarbeiter ein, um den Dienst zu betreiben. Die aktuelle Liste und die vertraglichen Garantien sind unter /subprocessors/ veröffentlicht. Abonnenten erhalten 30 Tage im Voraus per Konto-E-Mail Mitteilung über jeden neuen Subprozessor. (Hinweis: Die Subprozessoren-Liste wird derzeit auf Englisch geführt.)
7. Speicherdauer
- XML-Payloads: nicht persistiert (nur während der Anfrage im Speicher)
- Validierungs-Metadaten: 24 Monate (Frist für Abrechnungsstreitigkeiten + Audit)
- Kontodaten: bis zur Kontolöschung + 30 Tage Backup-Vorhaltung
- Abrechnungsdaten: 10 Jahre (Steuerrecht)
- Audit-Logs (Authentifizierung, API-Key-Änderungen): 12 Monate
8. Ihre Rechte (DSGVO Art. 15–22)
- Recht auf Auskunft über Ihre Daten
- Recht auf Berichtigung
- Recht auf Löschung ("Recht auf Vergessenwerden")
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Recht auf Beschwerde bei einer Aufsichtsbehörde
Diese Rechte üben Sie durch eine E-Mail an privacy@eleata.io aus. Wir antworten innerhalb von 30 Tagen.
9. Cookies und Tracking
Die gehostete API (api.eleata.io) setzt keine Cookies — die Authentifizierung erfolgt über API-Keys (Bearer-Tokens) im Authorization-Header. Die Marketing-Website (eleata.io) nutzt ausschließlich Folgendes:
- Cloudflare Web Analytics — datenschutzfreundliche, cookielose, aggregierte Seitenaufrufmessung. Kein Cookie, keine seitenübergreifende Kennung; läuft ohne Einwilligung, da keine personenbezogenen Daten verarbeitet werden.
- Google-Ads-Conversion-Messung — wir schalten bezahlte Such-/Display-Anzeigen und laden das Tag von Google (
gtag.js), um Anmeldungen und Abonnements diesen Anzeigen zuzuordnen. Dies ist das einzige Tag eines Dritten auf der Website und es ist einwilligungsgesteuert: Wir setzen Google Consent Mode v2 ein, wobeiad_storage,ad_user_data,ad_personalizationundanalytics_storagestandardmäßig auf denied gesetzt sind, sodass keine Werbe- oder Analyse-Cookies geschrieben werden, bevor Sie im Cookie-Banner auf "Akzeptieren" klicken. Sie können auf "Ablehnen" klicken und die Website vollständig nutzen; Ihre Auswahl wird lokal gespeichert (localStorage, Schlüsseleleata_consent_v1). Die IP-Anonymisierung ist aktiviert. - Cloudflare Insights (Web-Vitals-Beacon) kann zur Performance-Telemetrie geladen werden; es ist cookielos.
Wir verwenden keine Retargeting-/Remarketing-Werbepixel (kein Meta Pixel, kein LinkedIn Insight Tag) und bilden keine Zielgruppen. Google ist als unser Auftragsverarbeiter für die Werbemessung unter /subprocessors/ gelistet.
10. Sicherheit
- TLS 1.2+ für alle Verbindungen erzwungen
- HSTS, CSP und weitere Security-Header konfiguriert
- API-Keys werden als bcrypt-Hashes gespeichert (nie im Klartext)
- XML-Parser gegen XXE-, Billion-Laughs- und externe-DTD-Angriffe gehärtet
- Stripe-Webhook-Signaturen werden vor der Verarbeitung geprüft
- Festplattenverschlüsselung im Ruhezustand auf Rechenzentrumsebene
11. Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Sie betreffenden Verletzung des Schutzes personenbezogener Daten benachrichtigen wir Sie unverzüglich und innerhalb von 72 Stunden, nachdem die Verletzung uns bekannt geworden ist, gemäß Art. 33–34 DSGVO.
12. Kontakt und Beschwerden
Fragen: privacy@eleata.io.
Wenn Sie der Ansicht sind, dass wir Ihre personenbezogenen Daten rechtswidrig verarbeitet haben, haben Sie das Recht, Beschwerde bei der Datenschutzaufsichtsbehörde Ihres Wohnsitzlandes einzulegen (z. B. Garante in Italien, CNIL in Frankreich, BfDI in Deutschland, AEPD in Spanien).
13. Änderungen
Über wesentliche Änderungen informieren wir Abonnenten per E-Mail mindestens 30 Tage im Voraus. Version und Datum am Anfang dieser Seite weisen die jeweils aktuelle Fassung aus.