Zum Hauptinhalt springen

Cookies & Datenspeicherung

Login-Cookies. Keine Marketing-Tracker.

Datenschutzerklärung
StempelKompass Glass · Transparenz-Säule

Volle Transparenz. Keine Black Box.

Hier siehst du genau, was StempelKompass mit deinen Daten macht: welche Rolle was darf, wo die Daten liegen, mit welchen Subprozessoren wir arbeiten — alles in Klartext, ohne Juristen-Deutsch.

Kostenlos testen
DSGVO-konform
Server in DE
GoBD-konform
8 J. + Object-Lock
Subprozessoren
transparent
2FA-Pflicht
für Admins

Wer darf was?

Fünf Rollen, ~28 Module — hier siehst du auf einen Blick, welche Berechtigungen jede Rolle hat. Diese Matrix ist die Single Source of Truth — sie bestimmt, was im Backend tatsächlich erlaubt ist.

Tipp: Beim Scrollen bleiben Rollen-Kopf und Modul-Spalte stehen.

alle Daten der Firma nur Team (Reports) nur eigene kein Zugriff darf genehmigen darf exportieren
Modul
OWNERInhaber
ADMINCo-Manager
APPROVERVorgesetzte:r
ACCOUNTANTBuchhaltung
EMPLOYEEMitarbeiter:in
Core — Spesen & Reisen
Spesen / Belege
Belege erfassen, freigeben, exportieren
W:○
Reisen / Trip-Bundles
Mehrtagesreisen mit Verpflegungspauschalen + Belegen
W:○
Verpflegungspauschalen
BMF-Sätze pro Land/Stadt — Stammdaten + Eigen-Overrides
Zeit & Stempeluhr
Zeiterfassung
Arbeitszeit-Erfassung + Pausen + Live-Dispo
W:○
Stempeluhr / Punch-In
Mobile Punch-In/Out mit Offline-Queue
W:○
Projekt-Stempeln
Zeit auf Projekte/Kunden buchen + Kostenstellen
W:○
Team & Mitarbeiter
Genehmigungs-Zentrale
Spesen + Reisen + Zeiten freigeben oder ablehnen
Urlaubsantrag
Urlaub planen + genehmigen + Feiertage
W:○
Krankmeldung
Krank-melden + AU-Upload + Vertretung
W:○
Mitarbeiter-Verwaltung
Mitarbeiter einladen, deaktivieren, Rollen ändern, Approval-Chain
Abteilungen
Abteilungen anlegen/verwalten + per-Abteilung-Konfig & Modul-Sichtbarkeit
Lohn-Daten
Gehälter, Stundensätze, Lohnart-Mapping — hochsensibel
Finanzen & Rechnungen
Rechnungen
Rechnungen schreiben, versenden, archivieren (ZUGFeRD)
Kunden
Kunden-Stammdaten + Zahlungsverhalten
Service-Katalog
Dienstleistungen + Produkte + Preise (Handwerker)
ab Vor-Ort-Add-on
Auswertungen / Reports
Saldenliste, Kostenstellen, Trip-Reports, Closures
DATEV-Export
Buchhaltungs-Exporte für Steuerberater (CSV + ZUGFeRD)
Monats-Abschluss
Monats-Periode sperren (GoBD-Konformität)
Compliance & Admin
Firmen-Stammdaten
Firmenname, USt-ID, Logo, Adresse, Branding
Approval-Hierarchie
Genehmigungs-Chain definieren (manager_id-Zuordnung)
Abo / Pricing
Tier wechseln, Active-User sehen, Rechnungen einsehen — Tier/Quota app-weit lesbar (Feature-Gating UI), Write nur OWNER.
Storage / Beleg-Archiv
Object-Storage-Status, Aufbewahrungs-Policy
Steuerberater-Profil
Public StB-Profil (für /stb/<slug>-Page)
ab Enterprise
Aktivitäts-Protokoll
Wer hat wann was geändert — GoBD-Audit-Trail
Sub-Processors
AVV-Liste, Sub-Prozessor-Status, Änderungs-Watch
Compliance-Register
GoBD/DSGVO-Items + Status + Verantwortliche
ab Enterprise
Support-Zugriff
Operator-Impersonation-Token für StempelKompass-Support
Eigenes Profil
Eigenes Profil
Persönliche Daten, Avatar, Sprache, Notifications
2-Faktor-Auth (2FA)
TOTP/Recovery-Codes — Pflicht für OWNER/ADMIN/ACCOUNTANT

Quelle: frontend/src/lib/permissions/matrix.ts — Single Source of Truth für alle Rollen × Module-Berechtigungen.

Wo deine Daten wohnen

Vom Klick im Browser bis zur 10-Jahre-Archivierung — hier siehst du jede Station, in der Daten gespeichert oder verarbeitet werden. Geschäftsdaten bleiben ausschließlich in Deutschland.

Du / Dein Team
Browser · Mobile · PWA
👤
Lokal
  • JWT-Token im sessionStorage (nicht localStorage)
  • TLS 1.3 Ende-zu-Ende verschlüsselt
  • Mobile PWA mit Offline-Queue (IndexedDB)
Frontend
React PWA
🇩🇪
Hostinger DE
  • Server in Hostinger-DE-RZ
  • CSP + HSTS Header
  • Keine 3rd-Party-Tracker, kein Google Analytics
Backend-API
FastAPI · JWT-Auth
🇩🇪
Hostinger DE
  • Argon2id Passwort-Hashing (kein bcrypt-Legacy)
  • Rate-Limiting + Lockout-Mechanismus
  • Audit-Log für jeden Schreibzugriff (GoBD-konform)
PostgreSQL
Geschäftsdaten
🇩🇪
Hostinger DE
  • PostgreSQL 16 mit Row-Level-Security
  • Verschlüsselte Spalten für PII (E-Mails, IBANs)
  • Tägliche Backups (03:00 UTC, 7d Retention lokal)
Belege & Backups
Object-Storage · Object-Lock 10J
🇩🇪
Hetzner DE
  • Hetzner Object-Storage (fsn1 primary + nbg1 replica)
  • Object-Lock 10 Jahre (GoBD §147 AO + §257 HGB)
  • Off-Site Backup-Replikation (Hetzner Storage-Box)
Steuerberater
Read-only Access auf Wunsch
👤
Du gewährst Zugriff
  • Externer Steuerberater bekommt nur READ-Access
  • Zugriff per Einladung mit Ablauf-Datum (max. 90 Tage default)
  • Jeder Login wird in Audit-Log + Glass-Inspector dokumentiert

Subprozessoren (transparente Auflistung)

Stand: 16.06.2026

Diese zwei Dienste verarbeiten transient Daten von dir — niemals Geschäftsdaten, immer mit AVV.

🇺🇸
Resend · USA
E-Mail-Versand (Transaktional)
AVV + SCC · keine Speicherung von Inhalten
🇫🇷
Mistral AI · Frankreich (EU)
OCR für Beleg-Erkennung (optional)
AVV · Zero-Data-Retention vertraglich zugesichert
🇺🇸
Google · USA
Login „Sign in with Google" + optionaler Kalender-Sync (nur-lese)
DPF/SCC · Login: Email + Google-User-ID · Kalender nur-lese, opt-in

Volle AVV-Liste mit Vertrags-Details in der Datenschutz-Erklärung.

Compliance auf Klartext

Sechs Karten, sechs Fragen die deine IT- oder Compliance-Abteilung stellen wird — beantwortet ohne Juristen-Deutsch.

StempelKompass speichert deine Belege, Rechnungen und Buchungen so, dass das Finanzamt sie im Rahmen einer Betriebsprüfung anerkennt.

Unveränderbarkeit
Object-Lock auf Belegspeicher (10 Jahre, kann nicht überschrieben werden)
Vollständigkeit
Jede Änderung wird im Audit-Log gespeichert — nichts kann unsichtbar gelöscht werden
Nachvollziehbarkeit
Original-Beleg + Erfassungs-Zeitpunkt + Bearbeitungs-Historie pro Eintrag
Zeitnähe
Erfassung muss innerhalb 10 Tagen erfolgen — System markiert verspätete Einträge
Aufbewahrungsfrist
8 Jahre (§147 AO, seit 2025 BEG IV) — Object-Lock (10 J.) garantiert Erhalt auch über die Pflicht hinaus, selbst bei Abo-Cancel
GoBD-Export
Strukturierter Export für Betriebsprüfer im Standard-Format (XBRL + PDF)

Alle Sätze und Regeln sind Berechnungsgrundlage der App — keine Steuer- oder Rechtsberatung. Verbindlich sind Gesetz, BMF-Schreiben und im Zweifel dein Steuerberater.

Eingeloggte Kunden sehen noch mehr

Im Admin-Bereich findest du den Permission-Inspector, das Activity-Log deiner Firma, die Operator-Impersonation-Logs und einen PDF-Export für deine Audit-Akten.