DSGVO: Was Clozo über Sie speichert, warum und wie lange

Clozo ist der Verantwortliche für Ihr Konto (Sie, der Freelancer). Für Daten über Ihre Kunden — Namen, E-Mail-Adressen, Abrechnungsdetails auf den von Ihnen ausgestellten Rechnungen — sind Sie der Verantwortliche und Clozo der Auftragsverarbeiter. Diese Unterscheidung ist wichtig, weil Anträge auf Ausübung von Betroffenenrechten zu Kundendaten (Export, Löschung) zuerst zu Ihnen kommen und Sie entscheiden, wie Sie antworten; Clozo gibt Ihnen die Werkzeuge zur Erfüllung, besitzt aber nicht die Beziehung. Siehe Artikel 11.7 für den praktischen Arbeitsablauf.

Ab 2026-05-19 (Produktionsstart-Auslöser) implementiert Clozo auch die gesetzliche Aufbewahrungsgrundlage gemäß [A-021..A-027]: eine mehrstufige Celery-Saga für DSGVO-Kaskadenlöschung (zuerst nur DB-Schritte, dann externe Stripe/R2-Nebeneffekte), Stripe-Connect-Deaktivierung (keine Löschung) zum Löschzeitpunkt, damit AEAT-Anfragen in den Jahren 6–10 noch über stripe_account_id beantwortet werden können, Pseudonymisierung, die vat_number und company_name beibehält (EU-Mehrwertsteuerrichtlinie Art. 226(10) + Art. 244 erfordern diese auf aufbewahrten Rechnungen), HMAC-SHA-256-Lookup User.email_hmac, damit ein ehemaliger Nutzer Jahre nach der Anonymisierung seiner Zeile zugeordnet werden kann, und ein öffentlicher /recover-invoice-Endpunkt mit starkem Anti-Enumeration für Drittkundschaft zum Abruf ihrer eigenen rechtlich aufbewahrten Rechnungen ab 2031+.

Die 13 aktiven Verarbeitungstätigkeiten, nach Rechtsgrundlage gemäß Art. 6(1) gruppiert:

Art. 6(1)(b) Vertrag — die Daten, die wir zur Leistungserbringung verarbeiten müssen: 1. Kontoerstellung — E-Mail, Name, Land, Locale, Passwort-Hash. Aufbewahrt bis zur Kontolöschung + 30-Tage-Gnadenfrist. 2. Rechnungsgenerierung — Ihre Unternehmensidentität + Abrechnungsdaten Ihrer Kunden + Positionen. 10 Jahre aufbewahrt gemäß EU-Mehrwertsteuerrichtlinie 2006/112/EG Art. 244. 3. Abonnement-Abrechnung — Stripe-Kunden-ID, Plan, Rechnungs-E-Mail, Rechnungsadresse. 10 Jahre aufbewahrt gemäß spanischem LGT 58/2003 + EU-Mehrwertsteuerrichtlinie (wir sind in Spanien kontrolliert). 4. Zahlungsabwicklung (Stripe Connect) — Name des Zahlers, Rechnungsadresse, Zahlungsmittel-Token, Transaktionsbetrag. Clozo hält nur die PaymentIntent-ID und den Status; Stripe hält Kartendaten in seinem PCI-DSS-Umfang (ca. 7 Jahre gemäß ihrer Richtlinie). 5. Transaktions-E-Mail (Resend) — Empfänger-E-Mail + Name + Nachrichtentext. Zustellungsprotokolle 1 Jahr; E-Mail-Inhalte werden nicht über die Sendewarteschlange hinaus aufbewahrt.

Art. 6(1)(c) Rechtliche Verpflichtung — die Daten, die das Gesetz erfordert, dass wir aufbewahren: 6. USt-Validierung (VIES) — Umsatzsteuer-ID + Ländercode, validiert gegen den VIES-SOAP-Dienst der Europäischen Kommission. 24 Stunden gecacht. 7. DSGVO-Self-Service-Endpunkte — Identifikations-, Kontakt-, Abrechnungs- und Betriebsdaten, die zur Erfüllung von Art.-15/17/20-Anfragen erforderlich sind. Token nach erstmaliger Verwendung oder nach 14 Tagen gelöscht. 8. R2-Dateiregister — jedes PDF oder E-Rechnungs-XML-Objekt, das das System speichert. Erforderlich durch GoBD §147 AO (Deutschland, 10 Jahre), eIDAS Art. 34 (10-jähriges Signaturaudit) und EU-Mehrwertsteuerrichtlinie Art. 244. Registerzeile überlebt das Blob. 9. Admin-Prüfprotokoll — jede statusändernde Admin-Aktion bei Nutzerdaten. Erforderlich durch Art. 5(2) Rechenschaftspflicht. Für die Lebensdauer des betroffenen Nutzerkontos aufbewahrt.

Art. 6(1)(a) Einwilligung — ausschließlich opt-in, jederzeit widerrufbar: 10. Marketing-Attribution (Google Ads + GA4) — Klick-IDs, SHA-256-gehashte E-Mail/Telefon für Enhanced Conversions, GA4 client_id, Transaktionswert. 13 Monate auf GA4 aufbewahrt (Projekteinstellung). Hochrisiko-Verarbeitung — wir führen eine DSFA unter _scratch/DPIA_marketing_attribution.md (ausstehende Rechtsprüfung). 11. Produktanalysen (PostHog) — pseudonyme distinct_id, Seitenaufrufe, Feature-Ereignisse, Land (Stadt-Auflösung deaktiviert). 13 Monate aufbewahrt. Erfassung auf EU-Servern (eu.i.posthog.com).

Art. 6(1)(f) Berechtigte Interessen — gegen Ihre Rechte abgewogen: 12. Sicherheitsprotokolle — Quell-IP, User-Agent, Anfragepfad, Antwortcode, Authentifizierungsergebnis. 14 Tage aufbewahrt (Railway-Protokollaufbewahrung). 13. Kundensupport-Chat (Crisp) — E-Mail, Name, Chat-Inhalt. 2 Jahre ab der letzten Nachricht aufbewahrt; auf Kundenwunsch gelöscht. Crisp ist in Frankreich (EU-Jurisdiktion) gehostet.