Datenschutzerklärung
Stand: März 2026
Penny („wir", „uns") nimmt deinen Datenschutz ernst. Diese Erklärung beschreibt, wie wir deine personenbezogenen Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und dem TTDSG erheben, verwenden und schützen.
1. Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
m12k GmbH
Seligerstrasse 47, 89537 Giengen
Deutschland
E-Mail: hello@pennyfinance.de
2. Welche Daten wir erheben
- Kontodaten: E-Mail, Name, Sprache, Zeitzone — bei der Registrierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- Finanzdaten: Transaktionen, Kontostände, Ausgabenkategorien — über finAPI mit deiner Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
- Gesprächsdaten: Nachrichten und KI-Antworten, gespeichert für den Verlauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- Nutzungsdaten: App-Interaktionen, Absturzberichte (Firebase Crashlytics), Geräteinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
- Zahlungsdaten: Abonnementstatus über RevenueCat / App Store / Play Store. Wir sehen niemals vollständige Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
- Push-Token: nur mit deiner ausdrücklichen Erlaubnis. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
3. Produktempfehlungen & Partnerlinks
Penny kann dir basierend auf deinen wiederkehrenden Zahlungen (z.B. Strom, Gas, Handy, Internet, Versicherung) Vergleichsportale und alternative Anbieter anzeigen. Dabei handeln wir als Tippgeber — wir zeigen dir neutrale Optionen, geben aber keine Empfehlung oder Beratung ab.
- Partnerlinks: Die angezeigten Links sind Affiliate-Links. Penny erhält eine Provision, wenn du über diese Links einen Vertrag abschließt. Dies beeinflusst nicht die Auswahl der angezeigten Optionen.
- Datenverwendung: Wir analysieren deine Transaktionsdaten (Kategorie und Betrag wiederkehrender Zahlungen), um relevante Alternativen zu finden. Es werden keine Transaktionsdaten an Affiliate-Partner übermittelt — nur der Klick auf den Link wird erfasst.
- Opt-out: Du kannst Produktempfehlungen jederzeit in den App-Einstellungen deaktivieren. Die Deaktivierung hat keinen Einfluss auf die Kernfunktionen der App.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines nützlichen Dienstes). Du kannst diesem jederzeit widersprechen (Art. 21 DSGVO) über den Opt-out in den Einstellungen.
4. Auftragsverarbeiter
Wir teilen Daten mit diesen Verarbeitern, gebunden durch Auftragsverarbeitungsverträge (Art. 28 DSGVO):
| Verarbeiter | Zweck | Standort |
|---|---|---|
| finAPI GmbH | Bankdatenzugang (BaFin, PSD2) | EU (Deutschland) |
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) |
| Anthropic PBC | KI-Verarbeitung | USA* |
| RevenueCat Inc. | Abonnement-Verwaltung | USA* |
| Google LLC (Firebase) | Push, Absturzberichte | EU (Frankfurt)* |
| Railway Corp. | API-Server | EU |
* Für US-Verarbeiter sind Übermittlungen durch EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und/oder den EU-US-Datenschutzrahmen geschützt. Anthropic verwendet deine Daten nicht für Modelltraining.
5. Internationale Datenübermittlungen
Daten werden primär auf EU-Servern in Frankfurt gespeichert. Übermittlungen in die USA sind durch Standardvertragsklauseln (SCCs), den EU-US-Datenschutzrahmen und Verschlüsselung geschützt.
6. Datenspeicherung & Sicherheit
- Verschlüsselung bei Übertragung (TLS 1.2+) und im Ruhezustand
- EU-gehostete Datenbank mit Row Level Security
- Bank-Zugangsdaten werden nie von Penny gespeichert — finAPI übernimmt die Bankauthentifizierung
- Eingeschränkter, protokollierter Zugang zu Produktivsystemen
- Sichere Token-Speicherung (iOS Keychain / Android Keystore)
7. Automatisierte Entscheidungsfindung
Penny verwendet KI zur Ausgabenanalyse (Profiling gemäß Art. 22 DSGVO). Es werden keine automatisierten Entscheidungen mit rechtlicher Wirkung getroffen. Du kannst eine menschliche Überprüfung jeder Analyse anfordern.
8. Deine Rechte (DSGVO)
- Auskunft (Art. 15) — Kopie deiner Daten anfordern
- Berichtigung (Art. 16) — unrichtige Daten korrigieren
- Löschung (Art. 17) — „Recht auf Vergessenwerden"
- Einschränkung (Art. 18) — Verarbeitung einschränken
- Datenübertragbarkeit (Art. 20) — Daten in strukturiertem Format
- Widerspruch (Art. 21) — gegen Verarbeitung widersprechen
- Widerruf der Einwilligung (Art. 7 Abs. 3)
Kontakt: hello@pennyfinance.de. Antwort innerhalb von 30 Tagen.
9. Datenaufbewahrung
- Kontodaten: solange Konto aktiv
- Finanzdaten: solange Bank verbunden
- Gesprächsverlauf: solange Konto aktiv
- Absturzberichte: 90 Tage
- Bei Löschung: alle Daten innerhalb 30 Tagen gelöscht (Ausnahme: AO §147)
10. Kontakt & Aufsichtsbehörde
Datenschutz: hello@pennyfinance.de
Zuständige Aufsichtsbehörde:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn
www.bfdi.bund.de