Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung ist:

Stephan Harbauer

c/o SHA Labs UG (haftungsbeschränkt)

Iznikstr. 4

13587 Berlin

Deutschland

E-Mail: budget-base-imprint@sha-labs.de

Der Verantwortliche entscheidet, warum und wie personenbezogene Daten für die Budget Base Website, den Newsletter, den Registrierungsprozess und die App verarbeitet werden.

2. Daten, die wir verarbeiten

Website-Aufruf und technische Protokolle

Wenn Sie die Website oder App besuchen, können technische Daten verarbeitet werden, damit der Dienst sicher und zuverlässig bereitgestellt werden kann. Dazu können Ihre IP-Adresse, Browser- und Geräteinformationen, die aufgerufene URL oder Schnittstelle, der Zeitpunkt des Zugriffs, Spracheinstellungen im Request und ähnliche Request-Metadaten gehören.

Wir verarbeiten diese Daten, um den Dienst zu betreiben, Fehler zu diagnostizieren, Missbrauch zu verhindern und Budget Base sicher zu halten. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und zuverlässigen Betrieb des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

Kontoregistrierung und Authentifizierung

Wenn Sie sich bei Budget Base registrieren, einloggen oder Ihr Konto verwalten, verarbeiten wir Kontodaten wie Name, E-Mail-Adresse, Passwort-Hash, ausgewählte Sprache, Kontorolle, Kontostatus, Registrierungs- und Änderungszeitpunkte, letzten Login, fehlgeschlagene Login-Versuche, Sperrstatus, Sitzungskennungen und Sicherheits-Token.

Wir verarbeiten diese Daten, um Ihr Konto zu erstellen und zu verwalten, Sie zu authentifizieren, Konten vor Missbrauch zu schützen, Registrierungs-Verifizierungs-E-Mails zu senden, Sitzungen aufrechtzuerhalten und Passwort- sowie Kontosicherheit zu unterstützen. Rechtsgrundlage ist die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an einem sicheren Kontobetrieb und Missbrauchsschutz (Art. 6 Abs. 1 lit. f DSGVO).

Budget- und Finanzdaten in der App

Wenn Sie die Budget Base App nutzen, verarbeiten wir die Budgetdaten, die Sie eingeben oder importieren. Dazu können Konten, Kontonamen und Kontotypen, Salden, Kategorien und Kategoriegruppen, Budgetmonate, budgetierte Beträge, Ziele, Transaktionen, Transaktionsdaten, Zahlungsempfänger, Notizen, Umbuchungen, Abstimmungen, Investmentkonten, Investment-Transfers, Investment-Bewertungen, Cashflow, Marktwert, Gewinn- oder Verlustberechnungen und Benutzereinstellungen wie Währung, Datumsformat, Zahlenformat, Theme, erster Wochentag und Sprache gehören.

Wir verarbeiten diese Daten, um die von Ihnen angeforderten Budget-, Konto-, Transaktions-, Wiederholungs-, Abstimmungs-, Einstellungs-, Datenexport/-import- und Investment-Tracking-Funktionen bereitzustellen. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Soweit die Verarbeitung erforderlich ist, um die Integrität des Dienstes zu erhalten, Missbrauch zu verhindern, Fehler zu beheben oder die betriebliche Zuverlässigkeit zu sichern, ist Rechtsgrundlage unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Datenexport und Datenimport

Wenn Sie Export- oder Importfunktionen von Budget Base verwenden, verarbeiten wir die exportierte oder importierte App-Datendatei, damit Sie Ihre Budgetdaten herunterladen oder in Ihr Konto wiederherstellen können. Der In-App-Export ist eine Produktfunktion zur Portabilität von Budget- und Kontodaten; er ist nicht zwingend ein vollständiges DSGVO-Auskunftspaket, weil Authentifizierungs-, Sicherheits-, Admin-, Newsletter-, E-Mail-Protokoll- und Feature-Toggle-Datensätze nicht Teil dieser App-Exportdatei sind.

Newsletter-Anmeldung und Double-Opt-in

Wenn Sie sich für einen Budget Base Newsletter anmelden, verarbeiten wir die von Ihnen eingegebene E-Mail-Adresse und die Informationen, die zur Verifizierung der Anmeldung erforderlich sind. Dazu können Newsletter-Slug, ausgewählte Sprache, Anmelde-Token, Zeitstempel, Cloudflare Turnstile Verifizierungs-Token, Double-Opt-in-Token, Abmelde-Token, Abonnementstatus, Anmeldezeitpunkt, Abmeldezeitpunkt und technische Request-Metadaten gehören, die zur Verarbeitung der Anfrage benötigt werden.

Wir verwenden ein Double-Opt-in-Verfahren. Nach der Anmeldung sendet Budget Base eine Verifizierungs-E-Mail. Das Abonnement wird erst aktiv, nachdem Sie den Link in dieser E-Mail bestätigt haben.

Rechtsgrundlage für den Versand von Newsletter-E-Mails ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Abmeldelink in einer Newsletter-E-Mail verwenden.

E-Mail-Versand und E-Mail-Protokolle

Verifizierungs-E-Mails, Registrierungs-E-Mails, sicherheitsbezogene E-Mails und Newsletter-E-Mails werden über die E-Mail-Versandinfrastruktur von Budget Base versendet. Für den Betrieb des E-Mail-Versands speichert Budget Base E-Mail-Protokolle, die Absenderadresse, Empfängeradresse, Betreff, Nachrichteninhalt, Zustellstatus, Wiederholungsinformationen, Zeitstempel, Versand-durch-Informationen, Newsletter- oder Batch-Kennungen und Fehlermeldungen enthalten können.

Wir verwenden Nachweise zum Double-Opt-in, Zustellprotokolle, Fehlerbehebungsaufzeichnungen, Aufzeichnungen zur Missbrauchsprävention und Betriebsaufzeichnungen für einen sicheren, zuverlässigen und dokumentierten E-Mail-Betrieb. Rechtsgrundlage ist unser berechtigtes Interesse am Betrieb und an der Dokumentation des E-Mail-Systems (Art. 6 Abs. 1 lit. f DSGVO). Für kontobezogene E-Mails kann die Rechtsgrundlage außerdem die Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen sein (Art. 6 Abs. 1 lit. b DSGVO).

Backup- und Supportdaten

Budget Base kann Datenbank-Backups und Backup-Vorgangsdaten verarbeiten, um Datenverlust zu vermeiden und den Dienst wiederherstellen zu können. Wenn Sie uns per E-Mail oder über einen anderen Supportkanal kontaktieren, verarbeiten wir Ihre Kontaktdaten und den Inhalt Ihrer Nachricht, um Ihre Anfrage zu beantworten.

3. Browser-Speicher, Cookies und Tracking

Budget Base verwendet Browser-Speicher und Cookies, die für die Bereitstellung des Dienstes erforderlich sind. Dazu können ein HTTP-only-JWT-Cookie für die Authentifizierung, ein XSRF-TOKEN-Cookie zum CSRF-Schutz, sessionStorage für nicht sensible Zustände der Benutzeroberfläche wie zwischengespeicherte Nutzerinformationen und Hinweise zum Sitzungsablauf sowie localStorage für Einstellungen wie Theme, Sprache, Sidebar-Zustand oder lokalisiertes Website-Verhalten gehören.

Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren, komfortablen, konsistenten und zuverlässigen Betrieb des Dienstes (Art. 6 Abs. 1 lit. f DSGVO) und, soweit die Speicherung für Funktionen der eingeloggten App erforderlich ist, die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Für Website-Analysen sendet Budget Base serverseitige Seitenaufruf-Ereignisse aus Webserver-Zugriffsprotokollen an unsere selbst gehostete Umami-Analytics-Instanz. Diese Analytics-Einbindung lädt kein Frontend-Tracking-Pixel und setzt keine Analyse-Cookies. Die verarbeiteten Analytics-Daten können Request-Metadaten wie Seitenpfad, Referrer, Spracheinstellung, User-Agent, aus der IP-Adresse abgeleiteten Standort, Zeitstempel und Hostname enthalten. Wir verwenden diese Daten, um die aggregierte Nutzung der Website zu verstehen und die Website zu betreiben und zu verbessern. Rechtsgrundlage ist unser berechtigtes Interesse, die Website ohne clientseitige Tracking-Pixel oder Werbeprofiling zu messen und zu verbessern (Art. 6 Abs. 1 lit. f DSGVO).

Wir verwenden keine Werbe-Cookies, Tracking-Pixel oder Social-Media-Widgets von Drittanbietern für Profiling oder Werbung.

4. Cloudflare Turnstile und Missbrauchsschutz

Wir verwenden Cloudflare Turnstile, um Newsletter-Anmelde- und Registrierungsformulare vor automatisiertem Missbrauch und Spam zu schützen. Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Wenn Turnstile geladen wird, kann Ihr Browser technische Signale mit Cloudflare austauschen, zum Beispiel IP-Adresse, User-Agent, Browser- und Geräteeigenschaften sowie den Site-Key dieser Website oder App. Diese Signale werden verwendet, um einzuschätzen, ob eine Anfrage wahrscheinlich von einem Menschen oder von einem automatisierten System stammt.

Wenn Sie ein geschütztes Formular absenden, sendet Budget Base das Turnstile-Token und Ihre Client-IP-Adresse an den Verifizierungsendpunkt von Cloudflare, damit das Token geprüft werden kann, bevor die Anfrage akzeptiert wird.

Budget Base verwendet außerdem Rate Limiting, Prüfungen gesperrter E-Mail-Adressen, Token-Validierung, Login-Sperren, Token-Widerruf und Sicherheitsprotokolle, um Missbrauch zu verhindern und Konten zu schützen. Diese Kontrollen werden für Sicherheit und Dienstintegrität eingesetzt, nicht für Werbeprofiling.

Rechtsgrundlage ist unser berechtigtes Interesse daran, Budget Base vor Missbrauch, Spam, Angriffen auf Zugangsdaten und automatisierter Zweckentfremdung zu schützen (Art. 6 Abs. 1 lit. f DSGVO). Weitere Informationen finden Sie im Cloudflare Turnstile Privacy Addendum: https://www.cloudflare.com/turnstile-privacy-policy/

5. Empfänger und Dienstleister

Personenbezogene Daten werden von Budget Base und von Dienstleistern verarbeitet, die uns beim Betrieb der Website, App, Datenbank, Backups, E-Mail-Zustellung, Sicherheitskontrollen und Infrastruktur unterstützen. Nicht jeder Dienstleister erhält jede Datenkategorie. Jeder Dienstleister verarbeitet personenbezogene Daten nur in dem Umfang, der für den jeweiligen Dienst erforderlich ist.

Bekannte oder geplante Empfängerkategorien sind: Cloudflare, Inc. für Turnstile und Missbrauchsschutz sowie der auf unserer eigenen Infrastruktur selbst gehostete Umami-Analytics-Dienst für serverseitige Website-Analysen.

Berechtigte Administratoren und Supportmitarbeiter von Budget Base können nur dann auf personenbezogene Daten zugreifen, wenn dies erforderlich ist, um den Dienst zu betreiben, Support zu leisten, Sicherheit zu gewährleisten, Fehler zu beheben, Newsletter oder E-Mail-Zustellung zu verwalten, Backups oder Wiederherstellungen durchzuführen oder rechtliche Pflichten zu erfüllen. Behörden, Gerichte, Berater oder andere Empfänger können personenbezogene Daten erhalten, wenn die Offenlegung gesetzlich vorgeschrieben oder erforderlich ist, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre Finanzdaten aus der App nicht für Werbung an Dritte weiter.

6. Internationale Übermittlungen

Budget Base ist darauf ausgerichtet, mit starken Datenschutzvorkehrungen für Nutzer in Europa betrieben zu werden. Einige Dienstleister, darunter Cloudflare, können Daten in den Vereinigten Staaten oder anderen Ländern außerhalb des Europäischen Wirtschaftsraums verarbeiten.

Soweit erforderlich, beruhen internationale Übermittlungen auf einem Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder anderen nach Datenschutzrecht zulässigen Garantien.

7. Speicherdauer

Konto- und App-Daten werden grundsätzlich gespeichert, solange Ihr Budget Base Konto besteht oder solange sie benötigt werden, um die von Ihnen genutzten App-Funktionen bereitzustellen. Wenn Daten über die App gelöscht werden, werden sie vorbehaltlich technischer Verarbeitung, Backups, gesetzlicher Pflichten und berechtigter Sicherheits- oder Betriebsinteressen aus aktiven App-Datensätzen entfernt.

Newsletter-Anmeldedaten werden gespeichert, solange das Abonnement aktiv ist. Wenn Sie sich abmelden, wird der Abonnementstatus aktualisiert und der Versand von Newsletter-E-Mails beendet. Nach einer Abmeldung kann Ihre E-Mail-Adresse in einem Suppression- oder Sperrlisten-Datensatz gespeichert werden, wenn dies erforderlich ist, um künftige Mailings zu verhindern und Ihre Abmeldung zu beachten.

Sicherheitsprotokolle, Audit-Protokolle, E-Mail-Protokolle, Backup-Datensätze, Supportnachrichten und Betriebsaufzeichnungen werden so lange gespeichert, wie sie für Sicherheit, Fehlerbehebung, Missbrauchsprävention, Dokumentation, Backup und Wiederherstellung, rechtliche Pflichten oder berechtigte betriebliche Interessen benötigt werden. Daten werden gelöscht oder anonymisiert, wenn sie nicht mehr benötigt werden, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen eine längere Speicherung erfordern.

Backups können Kopien von App-, Konto-, Newsletter-, Audit- und Betriebsdaten enthalten, bis das jeweilige Backup im Rahmen des konfigurierten Backup-Aufbewahrungsprozesses überschrieben, rotiert oder gelöscht wird.

8. Ihre Rechte

Sie haben das Recht, Auskunft über Ihre personenbezogenen Daten zu verlangen, Berichtigung oder Löschung zu verlangen, die Einschränkung der Verarbeitung zu verlangen und von Ihnen bereitgestellte Daten in einem gängigen, maschinenlesbaren Format zu erhalten, soweit die gesetzlichen Voraussetzungen erfüllt sind.

Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen, soweit die gesetzlichen Voraussetzungen erfüllt sind. Sie können Ihre Einwilligung für Newsletter-E-Mails jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf erfolgt ist.

Die In-App-Exportfunktion kann Ihnen helfen, Budget- und Kontodaten herunterzuladen, ersetzt aber nicht Ihre DSGVO-Rechte. Wenn Sie eine umfassendere Auskunft, Löschung, Datenübertragbarkeit, einen Widerspruch oder eine Einschränkung der Verarbeitung wünschen, kontaktieren Sie uns unter der unten genannten Adresse.

Außerdem haben Sie das Recht, sich bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin, Deutschland, mailbox@datenschutz-berlin.de, https://www.datenschutz-berlin.de/ zu beschweren.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: budget-base-imprint@sha-labs.de

9. Automatisierte Entscheidungen und Profiling

Budget Base verwendet Ihre App- oder Finanzdaten nicht für automatisierte Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

Wir verwenden Ihre Finanzdaten nicht für Werbeprofiling. Turnstile, Rate Limiting, Login-Sperren, Token-Validierung und ähnliche Sicherheitskontrollen können eine Anfrage automatisch akzeptieren, blockieren oder eine Wiederholung erforderlich machen, wenn sie auf Missbrauch, Spam oder ein Sicherheitsrisiko hinweisen. Diese Kontrollen schützen den Dienst und Konten; sie bewerten nicht Ihre Kreditwürdigkeit oder Ihr Finanzverhalten.

10. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Informationen, einschließlich Ihrer E-Mail-Adresse und des Inhalts Ihrer Nachricht, um Ihre Anfrage zu bearbeiten.

Wenn sich Ihre Anfrage auf einen Vertrag oder vorvertragliche Maßnahmen bezieht, ist Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. In allen anderen Fällen ist Rechtsgrundlage unser berechtigtes Interesse an der Beantwortung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO).

11. Sichere Übertragung

Budget Base verwendet TLS-Verschlüsselung für die Übertragung. Sie erkennen eine verschlüsselte Verbindung an der https:// Adresse und am Schloss-Symbol in Ihrem Browser.

Die verschlüsselte Übertragung verringert das Risiko, dass Dritte Daten mitlesen können, die zwischen Ihrem Browser und Budget Base übertragen werden. Sie kann jedoch keinen vollständigen Schutz vor jedem Risiko im Internet garantieren.