Datenschutzerklärung

DSGVO-konforme Informationen zur Datenverarbeitung

Verantwortlicher

Kontado GmbH

Im Roßgarten 14
88348 Bad Saulgau
Deutschland

E-Mail:

datenschutz@nuvestra.de

Zwecke & Rechtsgrundlagen

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Kontoführung, Haushaltsverwaltung und Bereitstellung der App-Funktionen

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Technisch notwendige Cookies, Logs und Sicherheitsmaßnahmen

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

OCR-Belegverarbeitung über Google Gemini Vision (jederzeit widerrufbar)

Push-Benachrichtigungen für fällige Rechnungen (jederzeit widerrufbar)

E-Mail-Versand

Über Resend (EU-Sitz) für Benachrichtigungen und Support

Sharing-Funktion & Zahlungsdaten

Zweck der Datenverarbeitung

Die Sharing-Funktion ermöglicht es Ihnen, Ausgaben mit Partnern zu teilen und abzurechnen. Hierfür speichern wir folgende Zahlungsdaten:

IBAN (für SEPA-Überweisungen)
BIC/SWIFT-Code (optional)
PayPal.me Nutzername (optional)
Vollständiger Name für Überweisungen

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die Bereitstellung der Zahlungsdaten für die Abrechnung geteilter Ausgaben erforderlich ist.

Datenweitergabe an Sharing-Partner

Ihre Zahlungsdaten werden nur an aktive Sharing-Partner weitergegeben, mit denen Sie eine akzeptierte Verbindung haben. Die Weitergabe erfolgt ausschließlich zum Zweck der Abrechnung.

Wichtig: Sie können Ihre Zahlungsdaten jederzeit in den Einstellungen ändern oder löschen. Die Daten werden dann nicht mehr an Partner weitergegeben.

Ihre Rechte

Sie haben jederzeit das Recht:

Ihre Zahlungsdaten einzusehen und zu korrigieren
Ihre Zahlungsdaten zu löschen
Die Sharing-Verbindung zu beenden (dann werden Ihre Daten nicht mehr weitergegeben)

Verarbeitete Daten

Personenbezogene Daten

E-Mail-Adresse
Name
Profilinformationen

Finanzdaten

Transaktionen
Bankkonten
Kategorien & Budgets
Zahlungs- und Abrechnungsdaten (Stripe)
Zahlungsdaten für Sharing (IBAN, BIC, PayPal.me)
Push-Benachrichtigungs-Einstellungen (Push-Token, Geräteplattform, Geräte-ID)

Push-Benachrichtigungen für fällige Rechnungen

Zweck der Datenverarbeitung

Wir senden Ihnen Push-Benachrichtigungen auf Ihrem mobilen Gerät, wenn Eingangsrechnungen fällig werden. Hierfür speichern wir folgende Daten:

Push-Token (eindeutige Geräte-ID für Benachrichtigungen)
Geräteplattform (Android/iOS)
Geräte-ID (optional, für Geräteverwaltung)
Ihre Einstellung, wie viele Tage vor Fälligkeit benachrichtigt werden soll

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Push-Benachrichtigungen sind optional und können jederzeit in den Einstellungen deaktiviert werden.

Ihre Rechte

Sie haben jederzeit das Recht:

Push-Benachrichtigungen zu aktivieren oder zu deaktivieren
Die Anzahl der Tage vor Fälligkeit zu ändern
Alle Push-Einstellungen und gespeicherten Daten zu löschen
Bei Deaktivierung werden alle gespeicherten Daten automatisch gelöscht

Wichtig: Wenn Sie die Push-Benachrichtigungen deaktivieren, werden Ihr Push-Token, Geräteplattform und Geräte-ID automatisch gelöscht. Sie können die Einstellungen jederzeit in den App-Einstellungen verwalten.

Rechner-Ergebnisse & Spar-Tipps per E-Mail (Double-Opt-In)

Zweck der Datenverarbeitung

Auf unseren öffentlichen Rechnern (z. B. FIRE-, ETF-Sparplan- und Sparquoten-Rechner) können Sie freiwillig Ihre E-Mail-Adresse angeben, um Ihr Berechnungs-Ergebnis sowie weiterführende Spar- und Finanz-Tipps per E-Mail zu erhalten. Hierfür verarbeiten wir:

E-Mail-Adresse
Bestätigungsstatus und -zeitpunkt (Double-Opt-In)
Verwendeter Rechner sowie ein anonymes Besucher-Kennzeichen (zur Zuordnung)
Optionaler Ergebnis-Kontext (z. B. errechnete Kennzahl) und Herkunfts-Parameter (UTM)

Rechtsgrundlage & Double-Opt-In

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Nach Eingabe Ihrer Adresse erhalten Sie eine Bestätigungs-E-Mail; erst mit Klick auf den darin enthaltenen Link wird Ihre Anmeldung wirksam (Double-Opt-In). Ohne Bestätigung wird kein werblicher Versand vorgenommen.

Widerruf & Speicherdauer

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – über den Abmeldelink in jeder E-Mail oder per Nachricht an datenschutz@nuvestra.de. Nach Widerruf werden die Daten gelöscht oder gesperrt. Der Versand erfolgt über unseren Dienstleister Resend (EU-Datenresidenz, siehe Abschnitt „E-Mail-Versand").

Ihre Rechte

Datenexport

Vollständiger Export aller Daten in den Einstellungen

Auskunft

Recht auf Auskunft über verarbeitete Daten

Löschung

Selbst-Löschung von Haushalten, Belegen und Transaktionen

Widerruf

OCR-Einwilligung und Push-Benachrichtigungen jederzeit widerrufbar

Cookies und Tracking

Wichtig: App funktioniert auch ohne Marketing-Cookies

Die App funktioniert vollständig, auch wenn Sie Marketing- und Analytics-Cookies ablehnen. Sie können sich anmelden, Transaktionen verwalten und alle Kernfunktionen nutzen.

Eingeschränkt werden nur: Anonymisierte Nutzungsstatistiken, personalisierte Werbung (kostenloser Plan) und OCR-Belegverarbeitung (nur mit Einwilligung).

Technisch notwendige Cookies (Art. 6 Abs. 1 lit. f DSGVO)

Diese Cookies sind für die Grundfunktionen der App erforderlich und werden ohne Ihre Einwilligung verwendet:

• Session-Management: Authentifizierung und Anmeldung
• Sicherheit: CSRF-Schutz und Sicherheitstokens
• Funktionalität: Speicherung Ihrer App-Einstellungen

Diese Cookies können nicht deaktiviert werden, da sie für die Nutzung der App zwingend erforderlich sind.

Optionale Cookies (Art. 6 Abs. 1 lit. a DSGVO)

Diese Cookies werden nur mit Ihrer ausdrücklichen Einwilligung verwendet:

• Analytics-Cookies: Anonymisierte Nutzungsstatistiken zur Verbesserung der App
• Marketing-Cookies: Personalisierte Werbung (nur im kostenlosen Plan)

Hinweis: Die Einwilligungen zur OCR-Belegverarbeitung und zu E-Mail-Benachrichtigungen sind eigenständige Datenverarbeitungen (keine Cookies) und werden separat unter den Datenschutz-Einstellungen im Nutzerkonto verwaltet.

Konkrete Cookie- und Speicher-Liste

Die folgende Tabelle listet alle Cookies und vergleichbaren Endgeräte-Speicher (LocalStorage), die Nuvestra einsetzt — sowohl eigene als auch die von eingebundenen Diensten. Marketing-Cookies werden erst nach erteilter Einwilligung im Cookie-Banner gesetzt.

Name	Anbieter	Zweck	Speicherort	Dauer	Rechtsgrundlage
Technisch notwendig (§ 25 Abs. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO)
sb-<ref>-auth-token	Supabase	Authentifizierung (Sitzung)	HttpOnly-Cookie	Sitzung / 1 Jahr	Art. 6(1)(b)
gdpr_consent	Nuvestra	Speicherung der Cookie-Auswahl	LocalStorage	Persistent (bis Reset)	§ 25(2) TTDSG
gdpr_consent_date	Nuvestra	Zeitpunkt der Einwilligungserteilung (Nachweis)	LocalStorage	Persistent	Art. 7(1)
gdpr_consent_version	Nuvestra	Cookie-Policy-Version, gegen die zugestimmt wurde	LocalStorage	Persistent	Art. 7(1)
current_*_household_id	Nuvestra	Aktiver Haushalt-Kontext in der App	LocalStorage	Persistent	Art. 6(1)(b)
__cf_bm	Cloudflare (via Supabase/Vercel)	Bot-Schutz, Missbrauchs-Prävention	Cookie	30 Min.	Art. 6(1)(f)
__stripe_mid	Stripe	Betrugs-Erkennung im Checkout	Cookie	1 Jahr	§ 25(2) TTDSG
__stripe_sid	Stripe	Sitzungs-Stabilität im Checkout	Cookie	30 Min.	§ 25(2) TTDSG
Analyse / Reichweite (Einwilligung erforderlich, Art. 6 Abs. 1 lit. a DSGVO)
_ga, _ga_<id>	Google Ireland Ltd.	Reichweitenmessung Google Analytics	Cookie	bis 13 Monate	Einwilligung
Marketing / Werbung (Einwilligung erforderlich, Art. 6 Abs. 1 lit. a DSGVO)
__gads	Google Ireland Ltd. (AdSense)	Anzeigen-Auslieferung, Häufigkeitsbegrenzung	Cookie	13 Monate	Einwilligung
__gpi	Google Ireland Ltd.	Anzeigen-Personalisierung	Cookie	13 Monate	Einwilligung
IDE	Google Ireland Ltd. (DoubleClick)	Anzeigen-Performance-Messung	Cookie	13 Monate	Einwilligung
_gcl_*	Google Ireland Ltd. (Conversion Linker)	Conversion-Zuordnung Google Ads	Cookie	bis 90 Tage	Einwilligung

Die Liste wird aktuell gehalten. Falls einzelne Cookies (z. B. Marketing-Cookies) mangels Einwilligung nicht gesetzt werden, erscheinen sie hier zur Information, werden aber nicht aktiv verwendet. Auswahl jederzeit anpassbar unter Datenschutz-Einstellungen.

Ihre Cookie-Auswahl

✅ "Einwilligen": Alle optionalen Cookies werden aktiviert

❌ "Nicht einwilligen": Nur technisch notwendige Cookies werden verwendet

⚙️ "Optionen verwalten": Granulare Kontrolle über einzelne Cookie-Kategorien

Sie können Ihre Cookie-Einstellungen jederzeit in den App-Einstellungen ändern oder widerrufen.

Google Consent Mode v2

Wir verwenden Google Consent Mode v2, um Ihre Cookie-Präferenzen an Google-Dienste (AdSense, Analytics) zu übermitteln. Dies gewährleistet DSGVO-konforme Einwilligungsverwaltung und respektiert Ihre Präferenzen durch Google-Dienste.

Google-Dienste (AdSense, Google Ads, Google Analytics)

Soweit Sie dem Einsatz von Marketing- bzw. Analyse-Cookies zustimmen, nutzen wir auf ausgewählten Bereichen der Website und in der Web-App Google-Dienste wie Google AdSense (Werbeeinblendungen im kostenlosen Plan), Google Ads (Conversion-Tracking) und ggf. Google Analytics (Reichweitenmessung). Dabei können insbesondere Ihre IP-Adresse (gekürzt, soweit technisch möglich), Cookie-IDs, Geräte- und Browserinformationen, aufgerufene Seiten, Klicks auf Werbemittel sowie ungefähre Standortinformationen verarbeitet werden.

Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Ohne Einwilligung werden diese Dienste nicht aktiviert; die App bleibt in ihrem Funktionsumfang (Haushaltsverwaltung, Belegmanagement, Budgetplanung) weiterhin vollständig nutzbar.

Google verarbeitet Daten teilweise auch in Staaten außerhalb der EU (insbesondere den USA). Soweit dies der Fall ist, erfolgt dies auf Basis von Standardvertragsklauseln und den ergänzenden Schutzmaßnahmen von Google. Weitere Informationen finden Sie in den Datenschutzhinweisen von Google unter https://policies.google.com/privacy sowie zu Werbetechnologien unter https://policies.google.com/technologies/ads.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über das Cookie-Banner bzw. die Datenschutzeinstellungen in der App widerrufen. In diesem Fall werden die genannten Google-Dienste deaktiviert und über den Google Consent Mode entsprechend mit denied konfiguriert.

Zahlungsabwicklung über Stripe (Stripe Payments Europe, Ltd.)

Für die Abwicklung kostenpflichtiger Abonnements (Plans Pro, Plus, Premium im Privatbereich sowie XS, S, M, L im Businessbereich) setzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe") ein. Stripe ist PCI-DSS Level 1 zertifiziert.

Verarbeitete Daten: Name, E-Mail-Adresse, Rechnungsanschrift, Land, Steuernummer (falls angegeben), Abonnement- und Tarifstatus, Zahlungsverlauf sowie eine pseudonyme Stripe-Kunden-ID. Die eigentlichen Zahlungsmittel-Daten (Kreditkarte, SEPA-IBAN, Wallets) werden ausschließlich von Stripe erhoben und verarbeitet; Nuvestra erhält und speichert diese Daten nicht. Beim Checkout werden Sie auf eine Stripe-gehostete Zahlungsseite weitergeleitet; Stripe übergibt uns lediglich ein Token zur Identifikation der Zahlungsmethode.

Zwecke der Verarbeitung: Vertragsabwicklung (Anmeldung, Verlängerung, Kündigung von Abonnements), Rechnungsstellung, Steuer- und Abrechnungsdokumentation, Starke Kundenauthentifizierung (SCA gemäß PSD2), Betrugs-Prävention sowie das automatisierte Verarbeiten von Webhook-Ereignissen zur Synchronisation des Abo-Status in der App.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Abo-Vertrags) sowie Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Aufbewahrungspflichten, insbesondere § 147 AO).

Drittlandtransfer: Stripe Payments Europe, Ltd. ist die für EU-Kunden vertraglich zuständige Stelle und verarbeitet Daten innerhalb des EWR. Eine technische Weitergabe an die Konzernmutter Stripe, Inc. (San Francisco, USA) kann jedoch nicht ausgeschlossen werden. Soweit eine solche Übermittlung in die USA stattfindet, erfolgt dies auf Basis der EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914 der EU-Kommission) sowie der von Stripe implementierten ergänzenden technischen und organisatorischen Maßnahmen. Stripe, Inc. ist seit Juli 2023 zudem unter dem EU-U.S. Data Privacy Framework zertifiziert.

Cookies: Stripe setzt während des Checkout-Vorgangs eigene technisch notwendige Cookies (insbesondere für Betrugserkennung und Sitzungs-Stabilität). Diese sind für die sichere Abwicklung der Zahlung erforderlich und werden ohne gesonderte Einwilligung nach § 25 Abs. 2 TTDSG gesetzt.

Speicherdauer: Daten zum Abo-Verhältnis werden für die Dauer der Geschäftsbeziehung sowie anschließend für die gesetzlichen Aufbewahrungsfristen (regelmäßig 10 Jahre nach § 147 AO, § 257 HGB) gespeichert. Bei Kündigung des Abos werden personenbezogene Daten, die nicht gesetzlich aufzubewahren sind, gelöscht oder anonymisiert.

Auftragsverarbeitungsvertrag: Mit Stripe besteht ein Datenverarbeitungs-Addendum (DPA) mit integrierten Standardvertragsklauseln.

Weitere Informationen zum Datenschutz bei Stripe finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.

Datenbank, Authentifizierung und Datei-Speicher (Supabase)

Zur Speicherung sämtlicher Anwendungsdaten (Haushaltsbuch, Transaktionen, Belege, Kategorien, Abonnement-Status, Push-Tokens, MFA-Konfiguration usw.) sowie zur Verwaltung der Nutzer-Authentifizierung setzen wir die Plattform Supabase ein. Anbieter ist die Supabase Inc., 970 Toa Payoh North, #07-04, Singapur 318992 (Konzernsitz). Unsere Instanz wird in der EU-Region Frankfurt (eu-central-1) betrieben; die Datenbank und der Datei-Speicher liegen ausschließlich auf Servern innerhalb der Europäischen Union.

Verarbeitete Daten: E-Mail-Adresse und Passwort-Hash zur Anmeldung, alle Kontotransaktionen und Eingaben in der App, hochgeladene Belege/Rechnungen (verschlüsselt at rest mit AES-256), Geräte- und Session-Tokens, IP-Adresse zum Zeitpunkt der Anmeldung (zur Sicherheits-Auditierung), MFA-Konfiguration und (falls aktiviert) Ende-zu-Ende verschlüsselte Schlüsselmaterialien (öffentlicher Schlüssel im Klartext, privater Schlüssel passphrase-verschlüsselt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und stabiler Bereitstellung der App).

Drittlandtransfer: Eine technische Übermittlung in Nicht-EU-Staaten findet im Regelbetrieb nicht statt. Für Support- und Administrationszwecke kann die Supabase Inc. (USA / Singapur) in Ausnahmefällen Zugriff auf die EU-Infrastruktur erhalten; dies erfolgt auf Basis der EU-Standardvertragsklauseln. Es besteht ein Auftragsverarbeitungsvertrag (DPA) mit SCC-Modul 2.

Sicherheitsmaßnahmen: Zugriff auf Datenzeilen wird über PostgreSQL Row-Level-Security (RLS) je Haushalt durchgesetzt; sämtliche Daten und Backups werden in Ruhe mit AES-256 verschlüsselt; der Transport erfolgt ausschließlich über TLS 1.3.

Datenschutzerklärung von Supabase: https://supabase.com/privacy

Hosting und Auslieferung (Vercel)

Die Webanwendung wird über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel betreibt ein global verteiltes Edge-Netzwerk und stellt sowohl die statischen Seiten als auch die serverseitigen Funktionen (Next.js Server- und API-Routes) bereit. Wir nutzen bevorzugt die EU-Edge-Regionen (Frankfurt); Anfragen werden jedoch systembedingt am nächsten erreichbaren Edge-Knoten terminiert.

Verarbeitete Daten: IP-Adresse, User-Agent, angefragte URL, HTTP-Header (zur korrekten Auslieferung), Geo-Routing-Daten (Land/Region zur Auswahl des nächsten Edge-Knotens), Server-Logs zur Fehler-Diagnose (≤ 30 Tage Aufbewahrung bei Vercel) sowie technische Performance-Metriken (Web Vitals, im Pro-Plan).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, stabiler und performanter Bereitstellung des Dienstes).

Drittlandtransfer: Vercel Inc. hat ihren Sitz in den USA. Logging-Daten und Build-Artefakte können auch in den USA verarbeitet werden. Übermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln (DPA mit SCC-Modul 2) und der Zertifizierung von Vercel unter dem EU-U.S. Data Privacy Framework.

Datenschutzerklärung von Vercel: https://vercel.com/legal/privacy-policy

E-Mail-Versand (Resend)

Für transaktionale E-Mails (Anmeldebestätigung, Passwort-Reset, Beleg-Hinweise, Abrechnungs-Erinnerungen, Push-Push-Zusammenfassungen, Support-Antworten) setzen wir Resend ein. Anbieter ist die Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Wir nutzen die EU-Datenresidenz-Option von Resend; sowohl der E-Mail-Versand als auch die Speicherung der Sende-Logs erfolgen auf Servern innerhalb der EU.

Verarbeitete Daten: E-Mail-Adresse des Empfängers, Inhalt der versendeten E-Mail (inklusive Anrede, dynamischer Inhalte wie Budget-Zusammenfassung), Versandzeitpunkt, Zustellungs-Status (delivered, bounced, opened), technische Header (Message-ID, SPF/DKIM-Signaturen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Versand vertrags-relevanter Mitteilungen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Service-Kommunikation).

Drittlandtransfer: Während der reguläre Versand in der EU verbleibt, kann die Konzernmutter in den USA technischen Support- oder Wartungszugriff auf die Infrastruktur erhalten. Übermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln sowie ergänzender Sicherheitsmaßnahmen. Resend ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Speicherdauer: Sende-Logs werden bei Resend für 30 Tage vorgehalten und anschließend automatisch gelöscht. E-Mail-Inhalte werden nicht dauerhaft archiviert.

Datenschutzerklärung von Resend: https://resend.com/legal/privacy-policy