Zum Inhalt springen
← Zurück zur Startseite

Datenschutzerklärung

Stand: Juni 2026

Kurz vorweg: Diese Marketing-Seite setzt kein Werbe-Tracking und keine Cookies, die dich wiedererkennen. In der App verarbeiten wir genau die Daten, die du fürs Mahnen brauchst - in der EU, verschlüsselt übertragen. Deine Forderungs- und Schuldnerdaten erscheinen grundsätzlich nicht in Protokollen oder Auswertungen. Die Details:

1. Wer für die Verarbeitung verantwortlich ist

Verantwortlicher im Sinne der DSGVO ist:
Tobias Mattern, Bänschstr. 37, 10247 Berlin, Deutschland
E-Mail: me@tobc.de

Einen Datenschutzbeauftragten haben wir nicht bestellt; gesetzlich erforderlich ist das nicht, weil die Voraussetzungen des Art. 37 DSGVO und des § 38 BDSG bei uns nicht vorliegen. Bei allen Fragen zum Datenschutz wendest du dich direkt an die oben genannte Adresse.

2. Diese Website (kwitto.de)

Wenn du diese Seiten aufrufst, verarbeitet der Webserver technisch notwendige Verbindungsdaten (deine IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Seite, übertragene Datenmenge, Browser- und Betriebssystem-Angaben). Diese Server-Protokolle dienen dem sicheren und stabilen Betrieb und werden spätestens nach 7 Tagen automatisch gelöscht. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

Diese Marketing-Seite setzt keine Tracking-Cookies und lädt keine Inhalte von fremden Werbeservern. Deine Wahl zwischen hellem und dunklem Design wird ausschließlich lokal in deinem Browser gespeichert (localStorage) und nicht an uns übertragen.

3. Dein Konto und das passwortlose Login

Für die App brauchst du ein Konto. Du meldest dich ohne Passwort an: Wir verarbeiten deine E-Mail-Adresse und senden dir einen kurzlebigen Anmelde-Code (Einmalpasswort), der nur wenige Minuten gültig ist und danach gelöscht wird. Alternativ kannst du einen Passkey einrichten - dann speichern wir nur den öffentlichen Schlüssel und den Namen, den du dem Gerät gibst. Deine biometrischen Daten (Face ID, Touch ID) verlassen dein Gerät nie. Die Anmeldung läuft über better-auth, eine von uns selbst betriebene Software-Bibliothek - es ist kein externer Dienst, deine Anmeldedaten fließen dabei nicht an Dritte. Die Sitzung wird über ein technisch notwendiges Session-Cookie gehalten.

Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Ohne E-Mail-Adresse können wir dir kein Konto bereitstellen.

4. Deine Forderungs- und Schuldnerdaten

Der Kern von Kwitto ist, dass du deine eigenen Forderungen verwaltest und daraus Mahnungen und Anträge erzeugst. Dafür gibst du die nötigen Angaben selbst ein - typischerweise: deinen Forderungsbetrag, das Rechnungs- und Fälligkeitsdatum, eine Beschreibung der Forderung sowie Name und Anschrift der Person oder des Unternehmens, das dir das Geld schuldet (dein Schuldner). Daraus berechnet Kwitto zum Beispiel Verzugszinsen und füllt Schreiben und Anträge für dich vor.

Soweit es um deine eigenen Vertrags- und Forderungsangaben geht, verarbeiten wir sie, um dir die vereinbarte Leistung bereitzustellen (Art. 6 Abs. 1 lit. b DSGVO). Die Daten über deinen Schuldner verarbeiten wir dagegen ausschließlich in deinem Auftrag und nach deinen Weisungen - nicht auf einer eigenen Rechtsgrundlage nach Art. 6 DSGVO. Warum du gegenüber deinem Schuldner verantwortlich bleibst, erklären wir in Abschnitt 9.

5. Bezahlung über Stripe

Kwitto rechnet einzelne Leistungen pro Fall ab (zum Beispiel den Versand per Einschreiben oder den Mahnbescheid-Assistenten). Die Zahlungsabwicklung übernimmt die Stripe Payments Europe Ltd. (Irland). Dabei können Daten an die Stripe, Inc. in den USA übermittelt werden - die Grundlage dafür sind die EU-Standardvertragsklauseln beziehungsweise die Zertifizierung nach dem EU-US-Datenschutzrahmen (Data Privacy Framework). Deine vollständigen Kartendaten gibst du direkt bei Stripe ein; sie erreichen unsere Server nie.

Für die Bezahlung verarbeiten wir die zur Abrechnung nötigen Daten (etwa Name, E-Mail, gekaufte Leistung, Betrag, Zahlungsstatus). Rechtsgrundlagen sind die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und unsere gesetzliche Pflicht, Rechnungsunterlagen aufzubewahren (Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit §§ 147 AO, 257 HGB).

6. Empfänger und Auftragsverarbeiter

Wir geben deine Daten nicht zum Zweck der Werbung weiter. Für den Betrieb von Kwitto setzen wir aber sorgfältig ausgewählte Dienstleister ein, die in unserem Auftrag und nach unseren Weisungen arbeiten (Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO):

  • Hostinger (Hosting): Betrieb der Anwendung, Datenbank und Dateispeicher auf Servern innerhalb der Europäischen Union.
  • Mailgun (E-Mail-Versand, EU): Versand der Anmelde-Codes und Benachrichtigungen, in der EU-Region. Soweit dabei Daten in Drittländer gelangen können, bestehen EU-Standardvertragsklauseln.
  • Stripe (Zahlungsabwicklung): Abwicklung der Zahlungen (siehe Abschnitt 5), mit Datenübermittlung in die USA auf Grundlage der EU-Standardvertragsklauseln beziehungsweise des EU-US-Datenschutzrahmens.
  • docuguide (Briefversand): Sobald du eine Mahnung als Brief oder Einschreiben verschickst, übergeben wir die für den Versand nötigen Daten (Empfänger, Anschrift, Inhalt des Schreibens) an unseren Versanddienstleister docuguide, der den Brief druckt und der Post übergibt. Dieser Dienst ist Teil des kostenpflichtigen Versands; ohne eine solche Bestellung findet keine Übergabe statt.

Eine Kopie der jeweiligen Garantien für Übermittlungen in Drittländer (Art. 46 DSGVO) erhältst du auf Anfrage über me@tobc.de.

7. Speicherdauer und Löschung

  • Anmelde-Codes: nur wenige Minuten gültig, danach gelöscht.
  • Forderungs- und Schuldnerdaten: solange dein Konto besteht und du den jeweiligen Vorgang nutzt. Löschst du eine Forderung oder dein Konto, werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Abrechnungs- und Rechnungsdaten: für die Dauer der gesetzlichen Aufbewahrungsfristen (in der Regel bis zu zehn Jahre nach §§ 147 AO, 257 HGB).
  • Belege zum Versand (zum Beispiel Einlieferungs- und Auslieferungsbeleg beim Einschreiben): für die Dauer, in der sie als Nachweis sinnvoll sind, längstens bis zum Ablauf möglicher Verjährungsfristen deiner Forderung.
  • Server-Protokolle: spätestens nach 7 Tagen, mit automatischer Löschung.

8. Deine Rechte

Dir stehen nach der DSGVO diese Rechte zu:

  • Auskunft über die zu dir gespeicherten Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit - du erhältst deine Daten in einem gängigen Format (Art. 20 DSGVO),
  • Widerspruch gegen Verarbeitungen, die auf unserem berechtigten Interesse beruhen, aus Gründen deiner besonderen Situation (Art. 21 DSGVO).

Eine formlose Nachricht an me@tobc.de genügt, um eines dieser Rechte auszuüben.

Eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO einschließlich Profiling findet nicht statt. Berechnungen wie die der Verzugszinsen sind reine Rechenhilfen und treffen keine Entscheidung über dich oder deinen Schuldner.

Beschwerderecht: Wenn du meinst, dass wir deine Daten nicht im Einklang mit dem Datenschutzrecht verarbeiten, kannst du dich bei einer Aufsichtsbehörde beschweren. Für uns zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Alt-Moabit 59-61, 10555 Berlin.

9. Wenn du Daten über deine Schuldner eingibst (Art. 14 DSGVO)

Damit du mahnen kannst, gibst du in Kwitto auch Daten über andere Personen ein - nämlich über die Person oder das Unternehmen, das dir Geld schuldet. Das ist wichtig zu verstehen, deshalb erklären wir es offen:

Für diese Forderungsdaten bleibst du verantwortlich. Du entscheidest, wessen Daten du erfasst, ob deine Forderung besteht und ob du mahnst. Kwitto verarbeitet diese Schuldnerdaten nur als Werkzeug in deinem Auftrag und nach deinen Weisungen - wir verarbeiten diese Schuldnerdaten grundsätzlich als deine Auftragsverarbeiter (Art. 28 DSGVO), nicht als eigenständig Verantwortliche für deine Forderung. Soweit wir über eigene Zwecke entscheiden - etwa Abrechnung, IT-Sicherheit oder Missbrauchsabwehr -, sind wir insoweit selbst Verantwortliche. Gegenüber deinem Schuldner bist datenschutzrechtlich du der Verantwortliche im Sinne der DSGVO.

Was das praktisch bedeutet: Verlangt dein Schuldner Auskunft, Berichtigung oder Löschung seiner Daten, oder fragt er, woher die Daten stammen (Art. 14 DSGVO), dann ist das deine Sache als Gläubiger zu beantworten - in der Regel mit dem Hinweis, dass die Daten aus eurer Geschäfts- oder Vertragsbeziehung stammen und du sie zur Durchsetzung deiner Forderung verwendest. Wir unterstützen dich dabei, indem wir dir die zu einem Vorgang gespeicherten Daten zur Verfügung stellen und einer berechtigten Lösch- oder Berichtigungsweisung von dir nachkommen.

Welche Schuldnerdaten betroffen sind (Art. 14 DSGVO): Verarbeitet werden die Daten, die du als Gläubiger eingibst:

  • Kategorien: Stammdaten wie Name und Anschrift sowie Forderungs- und Vertragsdaten (etwa Betrag, Fälligkeit, Grund der Forderung).
  • Quelle: Die Daten stammen aus eurer Geschäfts- oder Vertragsbeziehung und werden von dir als Gläubiger eingegeben.
  • Rechtsgrundlage: Diese liegt beim Gläubiger - regelmäßig das berechtigte Interesse an der Durchsetzung der Forderung (Art. 6 Abs. 1 lit. f DSGVO) oder die Vertragsbeziehung (Art. 6 Abs. 1 lit. b DSGVO).

Nach Art. 14 Abs. 5 DSGVO erfährt der Schuldner in der Regel erst durch das Schreiben des Gläubigers von der Verarbeitung; der Gläubiger informiert ihn dabei.

Hinweis an Schuldner: Erreicht dich ein Schreiben, das mit Kwitto erstellt wurde, und möchtest du wissen, wer deine Daten verarbeitet und woher sie stammen, dann ist dafür der Absender des Schreibens (der Gläubiger) der richtige Ansprechpartner - er ist datenschutzrechtlich verantwortlich. Kwitto ist nur das Werkzeug, mit dem das Schreiben erstellt wurde. Du kannst dich aber natürlich auch an uns wenden (me@tobc.de); wir leiten dein Anliegen dann an den Verantwortlichen weiter oder helfen dir, ihn zu erreichen.

10. Cookies

Wir setzen nur technisch notwendige Cookies ein. Das betrifft im Wesentlichen das Session-Cookie, mit dem du nach dem Login angemeldet bleibst, und das lokal gespeicherte Design (hell oder dunkel). Es gibt kein Werbe-Tracking, keine Profilbildung und keine Weitergabe an Werbenetzwerke. Für diese notwendigen Cookies brauchen wir keine gesonderte Einwilligung (§ 25 Abs. 2 TDDDG).

11. Datensicherheit und Hosting in der EU

Die Übertragung zwischen deinem Gerät und Kwitto ist mit SSL/TLS verschlüsselt - das erkennst du am Schloss-Symbol in der Adresszeile deines Browsers. Anwendung, Datenbank und Dateispeicher liegen auf Servern innerhalb der Europäischen Union. Wir treffen angemessene technische und organisatorische Maßnahmen, um deine Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen, und gestalten unsere Protokolle bewusst so, dass deine Forderungs- und Schuldnerdaten dort grundsätzlich nicht erscheinen.

12. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich der Dienst oder die Rechtslage ändert. Es gilt die jeweils hier veröffentlichte Fassung.