meinbudgetonline
Zur Startseite Rechtliches

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Kristian Hoffmann
Karl-Kraut-Straße 15
30177 Hannover
Deutschland
E-Mail: moin [at] kristianhoffmann.de

2. Überblick der Verarbeitungen

Diese Erklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf dieser Website sowie in der zugehörigen iOS-App (gebaut mit Capacitor). Rechtsgrundlagen sind insbesondere die Datenschutz-Grundverordnung (DSGVO) und das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG, seit 14.05.2024 Nachfolger des TTDSG).

3. Erhobene Daten

3.1 Registrierung & Konto

  • E-Mail-Adresse
  • Passwort (Hashing auf Server-Seite via Supabase Auth, bcrypt)
  • Optional: Name, Avatar-Bild (wenn manuell ergänzt)

3.2 Nutzung der App

  • Finanzdaten: Einkommen, Ausgaben, Vermögen, Fixkosten, Sparziele
  • Portfolio-Daten: Wertpapiere, Transaktionen, Sparpläne
  • Vermieter-Daten: Mieter, Objekte, Abrechnungen (nur Pro-Tier)
  • Partner-Verknüpfungen, Einwilligung zur Datenfreigabe

3.3 Automatisch erhobene Daten (Server-Logs & Analytics)

  • IP-Adresse (wird vom Hosting-Provider zur Zustellung verarbeitet, nicht in Anwendungs-Datenbank gespeichert)
  • Browser-Typ, Browser-Sprache, Betriebssystem
  • Aufgerufene Seite (Pfad), Referrer, Zeitpunkt
  • Bildschirmauflösung, Viewport-Größe, Gerätetyp (Desktop/Tablet/Mobile)
  • Ephemere Session-ID (nur im Arbeitsspeicher des Browsers, keine Persistenz in Cookies/LocalStorage, keine Wiedererkennung über Tab-Schließen hinaus)

4. Zweck & Rechtsgrundlagen

ZweckRechtsgrundlage
Bereitstellung der Finanzplaner-Funktionen, Cloud-Sync, PDF-ErstellungArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Konto-Registrierung und LoginArt. 6 Abs. 1 lit. b DSGVO
Zahlungsabwicklung (Premium/Pro)Art. 6 Abs. 1 lit. b DSGVO
Nutzungsanalyse (eigenes, einwilligungsfreies System ohne Persistenz)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung & Missbrauchserkennung)
Technisch erforderliche Cookies (z. B. Auth-Token)§ 25 Abs. 2 Nr. 2 TDDDG
Sicherheit, Abuse-Prävention, BackupsArt. 6 Abs. 1 lit. f DSGVO

5. Auftragsverarbeiter & Dienstleister

Wir setzen folgende Dienstleister nach Art. 28 DSGVO ein. Mit allen bestehen Auftragsverarbeitungsverträge (AVV). US-Transfers sind durch das Data Privacy Framework (DPF, EU-Angemessenheitsbeschluss vom 10.07.2023)oder durch Standardvertragsklauseln (SCC) abgesichert.

5.1 Hosting (Webseite & Serverless-Funktionen)

Vercel Inc., USA. Die Web-App wird über Vercel bereitgestellt. Dabei können technische Server-Logs und Auslieferungsdaten auch außerhalb Deutschlands verarbeitet werden. Datenschutzrichtlinie: vercel.com/legal/privacy-policy.

5.2 Datenbank, Auth, Storage

Supabase Inc., 970 Toa Payoh N, #07-04, Singapur 318992 / USA-Tochtergesellschaft. Supabase speichert Daten in AWS-Regionen; unser Projekt liegt in Deutschland (Frankfurt, Region eu-central-1). DPF/SCC vorhanden. Datenschutzrichtlinie: supabase.com/privacy.

5.6 GitHub

Der Quellcode und Deployment-Metadaten werden über GitHub verwaltet. GitHub erhält keine Finanzdaten aus der Supabase-Datenbank, kann aber technische Repository-, Commit- und Deployment-Daten verarbeiten.

5.3 Zahlungsabwicklung

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland (Hauptverantwortlich für europäische Nutzer). Subprocessor-Transfers in die USA sind DPF-abgesichert. Stripe erhält zur Zahlungsabwicklung: Name, E-Mail, Zahlungsmittel, Rechnungsbetrag. Wir haben keinen Zugriff auf vollständige Zahlungsdaten. Datenschutzrichtlinie: stripe.com/de/privacy.

5.4 Transaktions-E-Mails

Transaktionale E-Mails wie Registrierung, Passwort-Reset oder Rechnungen werden über die jeweils konfigurierte Supabase-/Vercel-Infrastruktur ausgelöst. Es werden keine E-Mail-Adressen zu Werbezwecken verkauft oder an externe Marketinglisten weitergegeben.

5.5 Externe Finanzdaten

Für Kursdaten und Wechselkurse greifen wir auf öffentliche Endpunkte der Deutschen Bundesbank (Zins-Zeitreihen) sowie Marktdaten-Provider zu. Es werden keine personenbezogenen Nutzer-Daten an diese Dienste übermittelt.

6. Cookies, LocalStorage & vergleichbare Techniken

Wir verwenden ausschließlich technisch erforderliche Speichertechniken nach § 25 Abs. 2 Nr. 2 TDDDG (keine Einwilligung nötig):

  • Supabase-Auth-Cookies (sb-<ref>-auth-token): notwendig für Login-Session, Refresh-Token-Rotation.
  • LocalStorage: lokale Zwischenspeicherung deiner Finanz-/Portfolio- und Tool-Eingaben, damit nichts verloren geht, wenn du die Seite neu lädst. Diese Daten verlassen deinen Browser nur, wenn du sie aktiv in der Cloud speicherst oder ein PDF erzeugst.

Analytics ohne Einwilligung: Unsere Nutzungsanalyse (siehe § 4) nutzt eine ephemere Session-ID, die nur im Arbeitsspeicher des Browsers existiert und beim Schließen des Tabs verschwindet. Es erfolgt keine Speicherung im Endgerät (kein Cookie, kein LocalStorage, kein SessionStorage). Damit ist § 25 TDDDG nicht einschlägig; die Verarbeitung stützt sich ausschließlich auf Art. 6 Abs. 1 lit. f DSGVO.

6a. Google Analytics 4

Wir nutzen Google Analytics 4 (Google Ireland Limited) nur nach vorheriger Einwilligung. Vor Zustimmung wird der Google-Analytics-Tag nicht geladen. Nach Zustimmung verarbeitet Google insbesondere Seitenaufrufe, Referrer, technische Geräteinformationen, ungefähre Standortdaten und pseudonyme Kennungen. Google Analytics speichert laut Google keine einzelnen IP-Adressen von EU-Nutzern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Die Einwilligung kann durch Löschen der lokalen Browser-Auswahl oder über künftige Consent-Einstellungen widerrufen werden.

7. Schriftarten

Wir verwenden die Schriftart Inter über next/font. Die Schrift-Dateien werden zum Build-Zeitpunkt in unser eigenes Deployment kopiert und direkt von unserem Hosting ausgeliefert. Es findet keine Laufzeit-Verbindung zu Google-Servern statt.

8. Speicherdauer

Konto- und Finanzdaten werden gespeichert, solange dein Account besteht. Nach Konto-Löschung erfolgt die vollständige Löschung innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. § 147 AO / § 257 HGB bei Zahlungsunterlagen: 10 Jahre für Rechnungen, anonymisiert wo möglich). Analytics-Daten werden nach 90 Tagen aggregiert und Rohdaten gelöscht.

9. Deine Rechte (Art. 15–22 DSGVO)

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17) — auch direkt im Profil möglich
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — CSV-/PDF-Export direkt in der App
  • Widerspruch (Art. 21), insbesondere gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf einmal erteilter Einwilligungen, jederzeit mit Wirkung für die Zukunft

Anfragen bitte per E-Mail an moin [at] kristianhoffmann.de.

10. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für den Verantwortlichen ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, lfd.niedersachsen.de.

11. Datensicherheit

  • TLS 1.3 für alle Übertragungen
  • Passwort-Hashing mit bcrypt (Supabase Auth)
  • Row-Level-Security (RLS) auf allen personenbezogenen Tabellen
  • Regelmäßige Sicherheitsupdates der Abhängigkeiten
  • Minimale Datenerhebung (Privacy by Design)

12. iOS-App (Capacitor)

Zusätzlich zur Website existiert eine iOS-App, die auf dem Capacitor-Framework basiert und dieselben Daten wie die Website verarbeitet. Die App nutzt keine Werbe-IDs (IDFA), keine Analytics-SDKs von Drittanbietern, keine Tracking-Cookies. Details findest du in den App-Store-„Data Usage Labels“ der App.

13. Änderungen dieser Datenschutzerklärung

Diese Erklärung wird bei rechtlichen oder funktionalen Änderungen angepasst. Das Datum oben gibt die letzte Aktualisierung an. Wesentliche Änderungen teilen wir angemeldeten Nutzern zusätzlich per E-Mail mit.

Analytics-Einwilligung

Wir nutzen Analytics nur nach Zustimmung, um die App zu verbessern.