Nuvestra
Finanzmanagement
Sicherheit · Datenschutz · Vertrauen

Wir lesen nichts. Du gibst uns Zugriff, nie umgekehrt.

Hier stehen konkrete Fakten – kein „DSGVO-konform" als Floskel. Was wir tun, was wir nicht tun, und was passiert, wenn dem Solo-Entwickler etwas zustößt.

Unsere sechs Versprechen

Jeder Punkt ist technisch umgesetzt – nicht nur eine Behauptung in der Datenschutzerklärung.

Wir lesen nichts

Niemand bei Nuvestra schaut in deine Belege oder Transaktionen. Datenbank-Zugriff durch den Solo-Entwickler ist auf technische Diagnose beschränkt und im Audit-Log nachweisbar.

Kein Banking-Zugriff

Anders als Outbank oder Finanzguru bekommt Nuvestra deine Kontodaten nicht direkt von der Bank. Du importierst CSV-Dateien selbst – wir sehen nur, was du uns gibst. Kein PSD2, keine Banking-Vollmacht.

Server in Frankfurt, nicht in Irland oder USA

Datenbank und Beleg-Storage liegen bei Supabase EU-Central-1 (Frankfurt). Hosting der Webapp bei Vercel mit EU-Region. Kein US-Cloud-Provider im Datenpfad für deine Inhalte.

Kein Investor, der deine Daten monetarisieren will

Nuvestra ist eigenfinanziert von einem Solo-Entwickler aus Deutschland. Keine VC-Investoren, keine Werbe-Erlöse, keine Datenweitergabe an Dritte. Einnahmen kommen ausschließlich aus Abos.

Du kannst alles in einem Klick exportieren

Vollständiger Daten-Export als CSV / ZIP jederzeit über die Einstellungen. Inklusive aller Belege, Transaktionen und Audit-Logs. Kein Lock-in.

Du kannst alles in einem Klick löschen

Account-Löschung sofort möglich. Daten werden innerhalb von 30 Tagen aus Live-Datenbank und Backups entfernt – nur GoBD-relevante Business-Belege bleiben gemäß § 147 AO (10 Jahre). Genau, was du gewählt hast, nicht mehr.

Was Nuvestra nicht tut

Negative Aufzählungen sind oft aussagekräftiger als positive – weil sie schwerer zu fälschen sind.

  • Kein Verkauf oder Weitergabe deiner Daten an Werbenetzwerke, Adress­händler oder Analyse-Dienste.
  • Kein PSD2-Zugriff auf dein Bankkonto – Nuvestra hat keine Konto-Vollmacht.
  • Keine LLM-Trainings auf deinen Daten (OCR-Erkennung läuft transaktional bei Google Vision EU, ohne dauerhafte Speicherung).
  • Kein Tracking durch Drittanbieter ohne dein Cookie-Consent (Plausible/Posthog optional, Google Consent Mode v2).
  • Keine versteckten Pflicht-Verbindungen zu US-Diensten für deine Inhaltsdaten.

Wie wir das technisch absichern

Vier Schichten – jede unabhängig prüfbar.

Biometrie (WebAuthn) + Zwei-Faktor (MFA)

Login mit Fingerabdruck/Face-ID oder TOTP-App. Optional pro Account aktivierbar. Sessions laufen nach Inaktivität automatisch ab.

Audit-Log mit Hash-Chain (SHA-256)

Jede Änderung an Belegen oder Transaktionen wird unveränderbar protokolliert: wer, wann, was geändert, vorher/nachher. Manipulation wäre durch die Hash-Verkettung sofort sichtbar.

Periodensperre + Aufbewahrungspflicht

Geschlossene Geschäftsjahre sind editier- und löschgesperrt. Business-Belege werden technisch 10 Jahre lang gegen Löschen geschützt – sowohl die Metadaten als auch die Datei im Storage (§ 147 AO / § 257 HGB).

Row-Level-Security auf jeder Datenbank-Tabelle

Jede Datenbankzeile ist durch RLS-Policies geschützt: ein User kann technisch nicht auf Daten eines anderen Haushalts zugreifen, selbst wenn er die Datenbank direkt abfragen könnte.

Was passiert, wenn dem Solo-Entwickler etwas zustößt?

Berechtigte Frage. Ein Solo-Anbieter ist nicht gleichbedeutend mit „im Schadensfall sind deine Daten weg". So ist es geregelt:

1. Nachlass-Verfahren ist hinterlegt

Es gibt einen schriftlich dokumentierten Notfallplan mit benannter Vertrauensperson, die im Ernstfall Zugriff auf die Infrastruktur erhält, um die User-Daten geordnet zur Verfügung zu stellen.

2. 30-Tage-Export-Garantie vor Abschaltung

Sollte der Betrieb eingestellt werden, bekommst du per E-Mail einen Hinweis und 30 Tage Zeit, einen vollständigen Export aller Daten herunterzuladen. Auf Wunsch wird ein automatischer Export per E-Mail zugestellt.

3. Open-Format-Export

Alle Exporte sind in offenen Formaten (CSV, ZIP, PDF). Du kannst sie in jede andere Buchhaltungs-Software importieren oder einfach im Archiv ablegen.

Tech-Stack in einem Satz

Next.js auf Vercel (EU-Region) · Supabase Postgres mit Row-Level-Security in Frankfurt · Beleg-Storage ebenfalls Supabase EU mit Lösch-Sperre bis Aufbewahrungsfrist abläuft · OCR via Google Vision EU (transaktional, keine Modell-Trainingsdaten) · Auth über Supabase Auth + WebAuthn/Biometrie + optional TOTP-MFA · E-Mail via Resend (EU) · Audit in der DB mit SHA-256-Hash-Kette · Keine US-Anbieter im Pfad deiner Inhalte.

Noch eine Frage zur Sicherheit?

Direkt an den Solo-Entwickler. Antwort in der Regel binnen 24 h.

kontakt@nuvestra.deVollständige Datenschutzerklärung

Diese Seite beschreibt den technischen und organisatorischen Stand zum Zeitpunkt der Veröffentlichung. Bei substanziellen Änderungen wird sie aktualisiert und das Datum unten angepasst.

Stand: Juni 2026