Datenschutzerklärung

lexmcp.365tec.de · Stand: 11. Mai 2026 (v2.2)

Inhalt

Verantwortlicher
Welche Daten wir verarbeiten
Zwecke und Rechtsgrundlagen
Dienstleister / Empfänger
Speicherdauer
Technische Sicherheit
Cookies & lokale Speicherung
Deine Rechte (DSGVO)
Beschwerde & Aufsichtsbehörde
Änderungen

1. Verantwortlicher

Daniel Ovadia (Einzelunternehmer, handelnd unter „365tec")
Eugen-Richter-Str. 159
76187 Karlsruhe
Deutschland
E-Mail: info@365tec.de
WhatsApp / Telefon: +49 155 63457746
USt-IdNr.: DE460012778

Einen Datenschutzbeauftragten hat unser Einzelunternehmen nicht (nicht verpflichtet).

2. Welche Daten wir verarbeiten

Bei Zahlung / Account-Anlage

E-Mail-Adresse (du gibst sie auf unserer Checkout-Seite ein, bevor du zu Mollie weitergeleitet wirst)
Mollie-Kunden-ID und Zahlungs-ID (zur Zuordnung der Zahlung)
Gewählter Tarif (Pro / Business / Kanzlei), Gültigkeit, Zahlungsstatus
Kundentyp: „Verbraucher" (§ 13 BGB) oder „Geschäftskunde" (§ 14 BGB) — gewählt im Bestellprozess
Geschäftskunden-Daten (nur bei customer_type=business):
- Firmenname (Pflichtfeld)
- USt-IdNr. oder Steuernummer (mind. eines erforderlich) — beide werden in der Datenbank AES-256-GCM-verschlüsselt gespeichert. Rechtsgrundlage: § 14 UStG (ordnungsgemäße Rechnungsstellung) i.V.m. Art. 6 Abs. 1 lit. b und c DSGVO. Steuernummer ist nach § 30 AO besonders schutzwürdig — wir behandeln sie wie API-Schlüssel.
- Unternehmer-Bestätigung (Zeitstempel business_confirmed_at als Beweis-Aufzeichnung nach § 14 BGB)
Optional: Marketing-Einwilligung (Zeitstempel marketing_consent_at) — separate Checkbox beim Checkout, jederzeit im Portal widerrufbar (Zeitstempel marketing_consent_revoked_at als Beweis-Aufzeichnung)
AGB-Zustimmung (Zeitstempel im Audit-Log)
Bei Verbrauchern: Doppelconsent-Erklärungen nach § 356 Abs. 4 BGB (Sofortbeginn-Wunsch + Widerrufsverlust-Kenntnisnahme) — wörtlich gespeichert und in der Bestätigungs-E-Mail dokumentiert

Im Self-Service-Portal

Dein Lexoffice-API-Key — AES-256-GCM verschlüsselt gespeichert. Der Master-Key zur Entschlüsselung liegt ausschließlich auf unserem Server (nicht in der Datenbank).
Selbstgewählte Label für Auth-Tokens (z.B. „Mandant Müller")
Auth-Tokens nur als HMAC-SHA-256-Hash mit Server-Geheimnis (nicht rekonstruierbar)

Technisch / Protokoll

IP-Adresse (vollständig, IPv4/IPv6) und User-Agent bei wichtigen Aktionen (Login, Zahlung, Key-Save, MCP-Calls)
Begründung für volle IP: Brute-Force-Detection, Streit-Forensik, Mollie-Webhook-Authentizität. Wir kürzen die IP nicht, weil die Forensik-Wirksamkeit dadurch entfällt — Aufbewahrung ist daher streng zeitlich begrenzt (s. §5).

Was wir nicht speichern

Keine Rechnungsdaten aus Lexoffice — wir proxyen diese nur durch, ohne Zwischenspeicher
Keine Zahlungs-Details (Kartennummer, IBAN o.ä.) — diese sieht nur Mollie
Keine Passwörter — Login erfolgt ausschließlich per Magic-Link
Keine Tracking-Cookies, kein Analytics, kein Pixel-Tracking

3. Zwecke und Rechtsgrundlagen

Zweck	Daten	Rechtsgrundlage
Vertragserfüllung (MCP-Zugang bereitstellen)	E-Mail, Lexoffice-Key, Auth-Token	Art. 6 Abs. 1 lit. b DSGVO
Zahlungsabwicklung	Mollie-IDs, Payment-ID	Art. 6 Abs. 1 lit. b DSGVO
Sicherheit / Audit-Log / Brute-Force-Schutz	IP, User-Agent, Events	Art. 6 Abs. 1 lit. f DSGVO
Rechnungsstellung an dich	E-Mail, ggf. Anschrift	Art. 6 Abs. 1 lit. c DSGVO (UStG, AO §147)
Transaktionale E-Mails (Welcome, Magic-Link, Verlängerung)	E-Mail	Art. 6 Abs. 1 lit. b DSGVO
Marketing-Mails (nur bei Einwilligung)	E-Mail, Consent-Zeitstempel	Art. 6 Abs. 1 lit. a DSGVO (jederzeit widerrufbar)

4. Dienstleister / Empfänger

Zum Betrieb des Dienstes nutzen wir folgende Auftragsverarbeiter und Drittanbieter:

IONOS SE (Hosting & E-Mail)

Elgendorfer Str. 57, 56410 Montabaur, Deutschland
Server in Deutschland, AV-Vertrag: ionos.de/datenschutz
Zweck: Betrieb des Servers für api.lexmcp.365tec.de; Versand von Transaktions-Mails (SMTP)

Mollie B.V. (Zahlungsdienstleister)

Keizersgracht 126, 1015 CW Amsterdam, Niederlande
Datenschutz: mollie.com/privacy
Zweck: Abwicklung von Zahlungen (SEPA, Kreditkarte, PayPal, Rechnung). Mollie ist selbstständig Verantwortlicher für die Zahlungsdaten.
Wir speichern in unserer Datenbank lediglich die Mollie-Customer-ID und Mollie-Payment-ID als Buchhaltungsbezug. Bei Account-Anonymisierung nach Art. 17 DSGVO werden diese IDs gemeinsam mit den anderen PII-Feldern genullt; die zugehörigen Rechnungsdaten verbleiben bei Mollie und sind dort 10 Jahre nach § 257 HGB / § 147 AO aufbewahrt. Eine erneute Zahlung erstellt einen neuen Account-Datensatz.

Billie GmbH (Kauf auf Rechnung)

Charlottenstraße 4, 10969 Berlin, Deutschland
Datenschutz: billie.io/privacy
Zweck: Wenn du im Mollie-Checkout „Kauf auf Rechnung" wählst, wickelt Billie die Bonitätsprüfung und den Rechnungs-Forderungseinzug eigenverantwortlich ab. Billie ist insoweit selbstständig Verantwortlicher.

Haufe-Lexware GmbH & Co. KG (Lexoffice / Lexware Office)

Munzinger Str. 9, 79111 Freiburg, Deutschland
Datenschutz: lexware.de/datenschutz
Zweck: Du betreibst dein Lexoffice-Konto bei Lexware. Wir leiten deine Befehle (Rechnung erstellen, Kontakt anlegen etc.) im deinem Namen an die Lexoffice-API weiter. Lexware ist für deine Rechnungsdaten selbst verantwortlich.

Anthropic PBC (Claude) — Drittlandtransfer USA

Du verbindest Claude Code, claude.ai oder einen anderen MCP-Client direkt mit unserem Dienst. Die Kommunikation zwischen dir und Claude erfolgt zwischen dir und Anthropic (Sitz: San Francisco, Kalifornien, USA) — wir sind dabei nicht beteiligt. Anthropic ist kein Auftragsverarbeiter von uns.

Wichtig — wir speichern keine Konversationsinhalte: Unser MCP-Server fungiert ausschließlich als technischer Pass-Through zwischen Claude und der Lexoffice-API. Anweisungen, die du Claude gibst (z.B. „Erstelle eine Rechnung für …"), und die API-Antworten von Lexoffice werden nur für die Dauer der einzelnen HTTP-Anfrage in unserem Arbeitsspeicher gehalten und unmittelbar nach der Antwort verworfen. Eine Speicherung in unseren Datenbanken, Logfiles oder Backups findet nicht statt.

Drittlandtransfer: Wenn du einen Befehl an Claude richtest (z.B. „Erstelle eine Rechnung für …"), übermittelst du den Inhalt deiner Eingabe an Anthropic in den USA. Die Datenübermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO — siehe anthropic.com/legal/dpa. Du entscheidest selbst, welche Daten du Claude übergibst; wir reichen lediglich die daraus resultierenden Lex-API-Calls weiter.

Datenschutz von Anthropic: anthropic.com/legal/privacy.

Schriftarten — lokal gehostet

Wir hosten alle Web-Schriften (Inter, Caveat) lokal auf unserem Server in Deutschland. Es findet kein Aufruf zu fonts.googleapis.com oder fonts.gstatic.com statt — deine IP wird nicht an Google-Server übermittelt.

5. Speicherdauer

Account-Daten (E-Mail, Tokens, verschlüsselter Lexoffice-Key): für die Dauer des Vertrags und bis zum Ablauf gesetzlicher Aufbewahrungsfristen nach Kündigung (Handelsrechtlich bis zu 10 Jahre bei Rechnungsbezug, §§ 147 AO, 257 HGB)
Audit-Logs — Sicherheit/Zahlung/Login: 12 Monate (für Streit- und Forensik-Zwecke), danach automatische Löschung durch Cron-Job
Audit-Logs — MCP-Tool-Calls und fehlgeschlagene Auth-Versuche: 30 Tage
Klartext-IP-Adressen in Audit-Logs: 7 Tage. Danach werden Klartext-IPs automatisch durch einen HMAC-SHA256-pseudonymisierten Hash ersetzt (Klartext gelöscht). Der Hash erlaubt Korrelation für Forensik-Zwecke (z.B. „kam dieselbe IP mehrfach?"), aber keine Rückführung auf eine bestimmte Person. Details siehe TOMs §1.5.
Magic-Links: 60 Minuten, dann automatische Invalidierung
Portal-Sessions: 24 Stunden
Marketing-Consent-Zeitstempel: 3 Jahre nach Widerruf (Beweis-Aufzeichnung gemäß §7 BDSG / Art. 7 Abs. 1 DSGVO), dann anonymisiert

Bei Account-Löschung (Art. 17 DSGVO)

Du kannst deinen Account jederzeit selbst über das Portal löschen (portal.lexmcp.365tec.de → Deine Daten → Account löschen) oder per formlose E-Mail. Was passiert technisch:

Deine E-Mail-Adresse wird durch ein Pseudonym ersetzt (deleted-<uuid>@anon.local)
Display-Name, Marketing-Consent und Subscription-Status werden geleert/gekündigt
Alle Auth-Tokens werden sofort revoked, der verschlüsselte Lexoffice-Key wird aus der Datenbank gelöscht (overwrite mit NULL)
Aktive Portal-Sessions und ungenutzte Magic-Links werden hard-deleted
Audit-Logs deines Accounts bleiben pseudonymisiert (mit pseudonymer User-ID) bestehen — dies dient Forensik, Streitfall-Nachweis und Compliance-Anforderungen
Mollie-Customer-IDs bleiben für die Buchhaltungs-Zuordnung erhalten (10-Jahres-Aufbewahrungspflicht §147 AO für Rechnungsbezug)

Eine vollständige Daten-Hard-Löschung („Recht auf Vergessenwerden") ist gemäß Art. 17 Abs. 3 lit. b/e DSGVO nur eingeschränkt möglich, weil wir handelsrechtliche Aufbewahrungsfristen erfüllen müssen. Wir anonymisieren stattdessen — d.h. ein Personenbezug ist nach der Löschung nicht mehr ohne weiteres möglich.

Automatische Status-Bereinigung

Ein Cron-Job läuft alle 6 Stunden und setzt abgelaufene Subscriptions automatisch auf expired, damit dein Portal-Status korrekt bleibt. Kein Datenversand, kein Mail.

6. Technische Sicherheit

Alle Verbindungen über TLS 1.2 / 1.3, aktuelles Cipher-Suite-Set, HSTS mit includeSubDomains; preload
Lexoffice-API-Keys: AES-256-GCM verschlüsselt gespeichert, Master-Key liegt nur in der Server-Konfiguration (nicht in der Datenbank)
Auth-Tokens: nur als HMAC-SHA-256-Hash mit Server-Geheimnis persistiert (Tokens sind aus dem Hash nicht rekonstruierbar)
Bei parallelen Anfragen mehrerer Kunden: strikte Mandanten-Isolation per AsyncLocalStorage (kein Cross-Tenant-Datenleak möglich)
Mollie-Webhook-Endpunkt mit Shared-Secret-Authentifizierung gegen Forge-Versuche
Rate-Limiting auf allen öffentlichen Endpunkten (sowohl pro IP als auch pro E-Mail-Adresse für Login/Checkout)
Session-Cookies mit __Host--Prefix in Production (HttpOnly, Secure, SameSite=Lax, Path=/, host-only)
Same-Origin-Pflicht für alle State-changing POST-Anfragen (CSRF-Schutz)
Verschlüsselte Backups, getrennte Master-Keys
Server-Standort: Deutschland (IONOS, Karlsruhe-Region)
API ist nur über den Reverse-Proxy erreichbar (Backend-Port lauscht ausschließlich auf 127.0.0.1)

7. Cookies & lokale Speicherung

Wir setzen nur ein einziges, technisch zwingend notwendiges Cookie:

__Host-lexmcp_session (in Production) bzw. lexmcp_session (in Entwicklung) — speichert nach erfolgreichem Magic-Link-Login einen Session-Identifikator (Zufallswert, gehashed in der DB). Dauer: 24 Stunden. Flags: HttpOnly, Secure, SameSite=Lax.

Da dieses Cookie zur Erbringung des ausdrücklich vom Nutzer gewünschten Telemediendienstes (Login) unbedingt erforderlich ist, fällt es unter §25 Abs. 2 Nr. 2 TTDSG — kein Consent-Banner nötig.

Nicht gesetzt: keine Tracking-Cookies, keine Marketing-Cookies, kein LocalStorage, kein SessionStorage, kein Analytics-Skript, keine Heatmaps, kein Pixel. Schriftarten kommen lokal vom Server.

8. Deine Rechte

Du hast gegenüber uns folgende Rechte nach DSGVO:

Auskunft (Art. 15) — welche Daten über dich gespeichert sind
Berichtigung (Art. 16) — falsche Daten korrigieren lassen
Löschung (Art. 17) — Account-Anonymisierung (siehe §5)
Einschränkung (Art. 18)
Datenübertragbarkeit (Art. 20) — deine Daten in einem maschinenlesbaren Format
Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigten Interesses
Widerruf der Marketing-Einwilligung (Art. 7 Abs. 3) — jederzeit ohne Begründung, ohne Auswirkung auf den Vertrag

Self-Service im Portal

Eingeloggte User können folgende Rechte direkt selbst ausüben:

Daten exportieren (Art. 15 + 20): /portal/me/export.json — vollständiger JSON-Export deiner gespeicherten Daten (Profil, Tokens-Metadata, Audit-Events der letzten 1000)
Account löschen (Art. 17): /portal/me/delete — anonymisiert deine Daten, deaktiviert alle Tokens, kündigt Subscription
Marketing-Einwilligung widerrufen (Art. 7 Abs. 3): Form im Portal-Dashboard

Alternativ: formlose E-Mail an info@365tec.de. Wir antworten innerhalb eines Monats (DSGVO-konform).

9. Beschwerderecht

Du kannst dich jederzeit bei der zuständigen Datenschutz-Aufsichtsbehörde beschweren. Für uns zuständig:

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
baden-wuerttemberg.datenschutz.de

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung gelegentlich an — etwa wenn sich unsere Dienste, die rechtliche Lage oder unsere Dienstleister ändern. Die jeweils gültige Fassung findest du immer unter lexmcp.365tec.de/datenschutz. Bei wesentlichen Änderungen informieren wir dich per E-Mail.