💡 Der Druck-Dialog öffnet sich automatisch. Falls nicht: Strg/Cmd + P → Ziel: „Als PDF speichern".
BuchBalance.
Compliance-Report
Ausstellungsdatum: 09. Mai 2026
Version 1.0
Compliance-Report
Vier Zusagen. Kein Kleingedrucktes. Dieses Dokument fasst die regulatorischen Grundlagen, technischen Schutzmaßnahmen und Prozess-Zusagen zusammen, nach denen BuchBalance betrieben wird.
1. Rechtliche Grundlagen
BuchBalance wird in Übereinstimmung mit folgenden deutschen und europäischen Vorschriften betrieben:
- DSGVO (Verordnung (EU) 2016/679) — insbesondere Art. 6, 28, 32
- BDSG (Bundesdatenschutzgesetz in der Fassung vom 20.06.2017)
- GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern — BMF-Schreiben v. 28.11.2019)
- §§ 146, 147 AO — 10-jährige Aufbewahrungspflicht für Handelsbücher, Rechnungen und Belege
- § 14 UStG — Pflichtangaben auf Rechnungen
- TTDSG — Einwilligung bei Cookies und lokal gespeicherten Daten
2. Die vier Zusagen
§ GoBD-konform
Revisionssichere Ablage nach Grundsätzen ordnungsmäßiger Buchführung. Jede Änderung wird protokolliert, nichts wird überschrieben. Trigger auf DB-Ebene verhindern Manipulation verbuchter Geschäftsvorfälle.
🛡 DSGVO
Art.-32-DSGVO-konforme TOMs. AV-Vertrag als Download, Datenexport und Löschpfad im Self-Service. Keine Übermittlung in unsichere Drittländer. Auftragsverarbeiter mit EU-Adequacy oder SCC-Absicherung.
🔒 AES-256
End-to-End-Verschlüsselung aller sensitiven Felder (IBAN, Steuer-ID, Bank- Credentials). Verschlüsselung at-rest in der Datenbank, TLS 1.3 in-transit. Keine Rohdaten in Logs.
🇩🇪 Hosting Frankfurt
Primärer Hosting-Standort: Frankfurt am Main (Vercel fra1 + Supabase eu-central-1). Backups ausschließlich in der EU. Keine Übermittlung in Dublin, Virginia oder andere Nicht-EU-Regionen ohne explizite Rechtsgrundlage.
3. Technische & Organisatorische Maßnahmen (TOMs, Art. 32 DSGVO)
- Zugangskontrolle
- E-Mail + Passwort (Argon2id), Two-Factor-Authentication (TOTP + Backup-Codes), Passkeys (WebAuthn).
- Zugriffskontrolle
- Row-Level-Security (Postgres RLS) auf jedem Tisch. Nutzer können ausschließlich eigene Daten lesen/schreiben.
- Weitergabekontrolle
- TLS 1.3 für alle Transfers. Vertraulichkeit durch AES-256 at-rest, pgcrypto für Felder mit Pflichtverschlüsselung.
- Eingabekontrolle
- Audit-Log jeder Änderung an Geschäftsdaten (invoice.created, invoice.booked, invoice.cancelled etc.) mit User-ID, Timestamp und Diff.
- Auftragskontrolle
- Alle Auftragsverarbeiter mit DPA (siehe /avv). Zero-Retention-Modus bei KI-Provider. Keine Übermittlung an Dritte ohne Rechtsgrundlage.
- Verfügbarkeit
- Tägliche Backups (30 Tage-Rotation), Monitoring via Sentry, Restore-Probe vierteljährlich.
- Trennungskontrolle
- Multi-Tenancy über user_id + company_id auf jeder Row. Kein geteilter Daten-Namespace.
4. Aufbewahrung & Löschung
- Rechnungen & Belege: 10 Jahre (§§ 146, 147 AO). Unveränderbar ab Buchung.
- Account-Daten: bis Kündigung + 30 Tage Grace-Period, dann automatische Löschung. Ausnahme: steuerrelevante Daten (siehe oben).
- Logs: IPs anonymisiert nach 30 Tagen, Rohdaten nach 90 Tagen gelöscht.
- Self-Service-Löschung: Jeder Nutzer kann seinen Account unter /einstellungen/account selbst löschen. Exportpfad nach Art. 20 DSGVO verfügbar.
5. Incident-Response
Bei Sicherheitsvorfällen: Meldung an Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO), Benachrichtigung betroffener Personen ohne unangemessene Verzögerung (Art. 34 DSGVO). Kontakt: datenschutz@buchbalance.de
6. Weiterführende Dokumente
- Auftragsverarbeitungsvertrag (AVV): buchbalance.de/avv
- Datenschutzerklärung: buchbalance.de/datenschutz
- Impressum: buchbalance.de/impressum
- AGB: buchbalance.de/agb
- Verfahrensdokumentation: buchbalance.de/verfahrensdokumentation