Datenschutzerklärung
Stand: März 2026
Penny („wir", „uns") nimmt deinen Datenschutz ernst. Diese Erklärung beschreibt, wie wir deine personenbezogenen Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und dem TTDSG erheben, verwenden und schützen.
1. Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
m12k GmbH
[Adresse]
Deutschland
E-Mail: privacy@pennyfinance.de
2. Welche Daten wir erheben
- Kontodaten: E-Mail, Name, Sprache, Zeitzone — bei der Registrierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- Finanzdaten: Transaktionen, Kontostände, Ausgabenkategorien — über Tink mit deiner Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
- Gesprächsdaten: Nachrichten und KI-Antworten, gespeichert für den Verlauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- Nutzungsdaten: App-Interaktionen, Absturzberichte (Firebase Crashlytics), Geräteinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
- Zahlungsdaten: Abonnementstatus über RevenueCat / App Store / Play Store. Wir sehen niemals vollständige Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- Push-Token: nur mit deiner ausdrücklichen Erlaubnis. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3. Auftragsverarbeiter
Wir teilen Daten mit diesen Verarbeitern, gebunden durch Auftragsverarbeitungsverträge (Art. 28 DSGVO):
| Verarbeiter | Zweck | Standort |
|---|---|---|
| Tink Germany GmbH | Bankdatenzugang (BaFin, PSD2) | EU |
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) |
| Anthropic PBC | KI-Verarbeitung | USA* |
| RevenueCat Inc. | Abonnement-Verwaltung | USA* |
| Google LLC (Firebase) | Push, Absturzberichte | EU (Frankfurt)* |
| Railway Corp. | API-Server | EU |
* Für US-Verarbeiter sind Übermittlungen durch EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und/oder den EU-US-Datenschutzrahmen geschützt. Anthropic verwendet deine Daten nicht für Modelltraining.
4. Internationale Datenübermittlungen
Daten werden primär auf EU-Servern in Frankfurt gespeichert. Übermittlungen in die USA sind durch Standardvertragsklauseln (SCCs), den EU-US-Datenschutzrahmen und Verschlüsselung geschützt.
5. Datenspeicherung & Sicherheit
- Verschlüsselung bei Übertragung (TLS 1.2+) und im Ruhezustand
- EU-gehostete Datenbank mit Row Level Security
- Bank-Zugangsdaten werden nie von Penny gespeichert
- Eingeschränkter, protokollierter Zugang zu Produktivsystemen
- Sichere Token-Speicherung (iOS Keychain / Android Keystore)
6. Automatisierte Entscheidungsfindung
Penny verwendet KI zur Ausgabenanalyse (Profiling gemäß Art. 22 DSGVO). Es werden keine automatisierten Entscheidungen mit rechtlicher Wirkung getroffen. Du kannst eine menschliche Überprüfung jeder Analyse anfordern.
7. Deine Rechte (DSGVO)
- Auskunft (Art. 15) — Kopie deiner Daten anfordern
- Berichtigung (Art. 16) — unrichtige Daten korrigieren
- Löschung (Art. 17) — „Recht auf Vergessenwerden"
- Einschränkung (Art. 18) — Verarbeitung einschränken
- Datenübertragbarkeit (Art. 20) — Daten in strukturiertem Format
- Widerspruch (Art. 21) — gegen Verarbeitung widersprechen
- Widerruf der Einwilligung (Art. 7 Abs. 3)
Kontakt: privacy@pennyfinance.de. Antwort innerhalb von 30 Tagen.
8. Datenaufbewahrung
- Kontodaten: solange Konto aktiv
- Finanzdaten: solange Bank verbunden
- Gesprächsverlauf: solange Konto aktiv
- Absturzberichte: 90 Tage
- Bei Löschung: alle Daten innerhalb 30 Tagen gelöscht (Ausnahme: AO §147)
9. Kontakt & Aufsichtsbehörde
Datenschutz: privacy@pennyfinance.de
Zuständige Aufsichtsbehörde:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn
www.bfdi.bund.de