Nuvestra
Finanzmanagement

Verzeichnis von Verarbeitungstätigkeiten

nach Art. 30 Abs. 1 DSGVO — Nuvestra

Über dieses Verzeichnis

Dieses Dokument ist das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO. Es dokumentiert systematisch sämtliche Verarbeitungstätigkeiten personenbezogener Daten, die Nuvestra in eigener Verantwortung oder im Auftrag der Nutzer durchführt. Es ergänzt die Datenschutzerklärung um die intern dokumentierte Auflistung gegenüber Aufsichtsbehörden und betroffenen Personen.

Stand: 2026-05-15. Wird laufend an Änderungen der Verarbeitungstätigkeiten angepasst.

Verantwortlicher

Kontado GmbH

Im Roßgarten 14
88348 Bad Saulgau
Deutschland

Kontakt Datenschutz

datenschutz@nuvestra.de

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO derzeit nicht zu benennen, da die Schwellenwerte für eine Pflichtbenennung nicht erreicht werden. Der Verantwortliche ist für sämtliche Datenschutz-Anliegen direkt über die oben genannte Adresse erreichbar.

Verarbeitungstätigkeiten

1. Nutzerregistrierung & Authentifizierung

Zweck
Bereitstellung individueller Nutzerkonten, Anmeldung, Passwort-Reset, Multi-Faktor-Authentifizierung (TOTP/WebAuthn), Account-Wiederherstellung.
Betroffene Personen
Registrierte Nutzer der Web-App und Android-App (Privatpersonen, Selbstständige, Steuerberater im Steuerberater-Zugriff).
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Nutzungsvertrag) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit der Anmeldung).
Datenkategorien
  • E-Mail-Adresse
  • Passwort-Hash (bcrypt, nicht im Klartext)
  • MFA-Secrets und WebAuthn-Public-Keys
  • Session-Tokens, Refresh-Tokens
  • IP-Adresse und User-Agent zum Zeitpunkt der Anmeldung (Audit-Log)
  • Zeitstempel von Login, Logout, Passwort-Änderungen
Empfänger / Auftragsverarbeiter
  • Supabase Inc. (Datenbank- und Auth-Anbieter, EU-Region Frankfurt)
Drittlandtransfer
Im Regelbetrieb keine; ausnahmsweise Support-Zugriff aus USA / Singapur durch Supabase Inc. auf Basis SCC.
Speicherdauer
Für die Dauer der Geschäftsbeziehung. Nach Account-Löschung werden Auth-Daten innerhalb von 30 Tagen entfernt; Audit-Logs anonymisiert nach 12 Monaten.
Technische und organisatorische Maßnahmen
  • Passwort-Hashing mit bcrypt
  • Verpflichtende E-Mail-Verifizierung
  • Rate-Limiting fehlgeschlagener Anmeldeversuche
  • TLS 1.3 für alle Auth-Verbindungen
  • Optional MFA per TOTP oder WebAuthn

2. Haushaltsbuchhaltung und Transaktionsdaten

Zweck
Zentrale Funktion der App: Verwaltung von Einnahmen, Ausgaben, Banktransaktionen, Kategorien, Budgets, Immobilien, Darlehen und Vermögenswerten.
Betroffene Personen
Nutzer und (sofern eingeladen) weitere Haushaltsmitglieder; Geschäftspartner als Empfänger oder Auftraggeber in Transaktionen.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der App-Funktionen).
Datenkategorien
  • Banktransaktionen (Betrag, Datum, Verwendungszweck, Empfänger/Auftraggeber, IBAN/BIC sofern vom Bank-Export enthalten)
  • Kategorisierung und Konten-Zuordnung
  • Budget- und Sparziele
  • Immobilien-Stammdaten (Adresse, Kaufpreis, Eckdaten — nur im Privatbereich)
  • Darlehen, Tilgungspläne, Wertschätzungen
  • Geschäftspartner-Stammdaten
Empfänger / Auftragsverarbeiter
  • Supabase Inc. (EU-Region Frankfurt) als Datenbankdienstleister
Drittlandtransfer
Keine im Regelbetrieb. Datenspeicherung ausschließlich in der EU.
Speicherdauer
Für die Dauer der Geschäftsbeziehung. Nach Account-Löschung werden Daten innerhalb von 30 Tagen entfernt, sofern keine handels- oder steuerrechtlichen Aufbewahrungspflichten greifen (regelmäßig 10 Jahre nach §§ 147 AO, 257 HGB für rechnungsrelevante Datensätze).
Technische und organisatorische Maßnahmen
  • PostgreSQL Row-Level-Security (RLS) je Haushalt
  • AES-256-Verschlüsselung at-rest
  • Optionale clientseitige Ende-zu-Ende-Verschlüsselung für sensible Felder (RSA-OAEP 4096 + AES-GCM-256)
  • Tamper-evident GoBD-Audit-Journal mit Hash-Verkettung
  • Periodensperren nach GoBD

3. Belegverwaltung und OCR-Belegerkennung

Zweck
Speicherung hochgeladener oder fotografierter Belege und Rechnungen, automatische Erkennung von Betrag, Datum, Lieferant und Belegtyp zur Vorbefüllung der Eingabemasken.
Betroffene Personen
Nutzer als Beleg-Uploader; auf dem Beleg genannte Dritte (z. B. Lieferanten).
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in OCR-Verarbeitung, separat im Cookie-/Consent-Banner abgefragt).
Datenkategorien
  • Beleg-Bilddateien (JPG, PNG, PDF)
  • Aus OCR extrahierte Felder (Betrag, Datum, Lieferantenname, USt-Aufschlüsselung)
  • Verknüpfung zur zugehörigen Banktransaktion
  • Hochlade-Zeitstempel und Bearbeitungs-Status
Empfänger / Auftragsverarbeiter
  • Supabase Inc. (Storage in EU-Region Frankfurt)
  • Google Cloud EMEA Limited / Google Ireland Limited (OCR-Verarbeitung via Google Cloud Vision / Google Gemini Vision)
Drittlandtransfer
Google Cloud verarbeitet OCR-Anfragen vorrangig in EU-Rechenzentren; eine technische Weitergabe an die Google LLC (USA) ist nicht ausgeschlossen und erfolgt auf Basis EU-Standardvertragsklauseln sowie EU-U.S. Data Privacy Framework.
Speicherdauer
Belege werden auf Nutzerwunsch oder bei Account-Löschung entfernt. Bei Verknüpfung zu einer Geschäftstransaktion gelten die handels-/steuerrechtlichen Aufbewahrungspflichten (regelmäßig 10 Jahre). OCR-Verarbeitungs-Logs bei Google werden gemäß deren Standardrichtlinien nach 30 Tagen gelöscht.
Technische und organisatorische Maßnahmen
  • AES-256-Verschlüsselung at-rest im Supabase Storage
  • Optionale clientseitige Verschlüsselung der Belegdatei vor Upload
  • Signierte Download-URLs mit Ablaufzeit
  • OCR-Übermittlung ausschließlich über TLS 1.3
  • Keine Speicherung von Beleg-Inhalten bei Google nach Abschluss der OCR-Verarbeitung

4. Zahlungsabwicklung und Abonnement-Verwaltung

Zweck
Abwicklung kostenpflichtiger Abonnements (Pro, Plus, Premium im Privatbereich; XS, S, M, L im Business-Bereich) inkl. Starker Kundenauthentifizierung (SCA), Rechnungsstellung, Abo-Verlängerung und Kündigung.
Betroffene Personen
Zahlende Nutzer (Abonnenten).
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Aufbewahrungspflichten).
Datenkategorien
  • Name, Rechnungsanschrift, Land
  • E-Mail-Adresse
  • Steuernummer / USt-ID (sofern angegeben)
  • Abo-Status, Tarifstufe, Zahlungsverlauf
  • Stripe-Kunden-ID (pseudonyme Referenz)
  • KEINE Karten- oder Konto-Klartextdaten — diese liegen ausschließlich bei Stripe
Empfänger / Auftragsverarbeiter
  • Stripe Payments Europe, Ltd. (Dublin, Irland)
Drittlandtransfer
Technische Weitergabe an Stripe Inc. (USA) möglich. Grundlage: EU-Standardvertragsklauseln nach Durchführungsbeschluss 2021/914 und Zertifizierung von Stripe Inc. unter dem EU-U.S. Data Privacy Framework (Juli 2023).
Speicherdauer
10 Jahre nach § 147 AO bzw. § 257 HGB für rechnungs- und steuerrelevante Daten. Nach Ablauf werden personenbezogene Daten anonymisiert oder gelöscht.
Technische und organisatorische Maßnahmen
  • PCI-DSS Level 1 zertifizierter Zahlungsdienstleister
  • Karten-Daten werden zu keinem Zeitpunkt an Nuvestra übertragen
  • SCA (Starke Kundenauthentifizierung) nach PSD2
  • Webhook-Signaturen für die Rückmeldung von Stripe

5. Transaktionale E-Mail-Kommunikation

Zweck
Versand von Anmeldebestätigungen, Passwort-Reset-Mails, Haushaltseinladungen, Beleg-Hinweisen, Push-Zusammenfassungen, Abrechnungs-Erinnerungen, Support-Antworten.
Betroffene Personen
Nutzer, Eingeladene Haushaltsmitglieder, Support-Anfragende.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (vertragsrelevante Mitteilungen) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Service-Kommunikation).
Datenkategorien
  • E-Mail-Adresse des Empfängers
  • Inhalt der E-Mail (Anrede, dynamische Inhalte wie Budget-Zahlen)
  • Versandzeitpunkt, Zustellungs-Status
  • Technische Header (Message-ID, SPF/DKIM)
Empfänger / Auftragsverarbeiter
  • Resend, Inc. (EU-Datenresidenz aktiviert; ausschließlicher Versand-Provider)
Drittlandtransfer
Im EU-Modus verbleibt die Verarbeitung innerhalb der EU. Support-Zugriff aus den USA durch Resend Inc. ist möglich; Grundlage sind EU-Standardvertragsklauseln und die Zertifizierung von Resend unter dem EU-U.S. Data Privacy Framework.
Speicherdauer
Sende-Logs maximal 30 Tage. E-Mail-Inhalte werden nicht dauerhaft archiviert.
Technische und organisatorische Maßnahmen
  • TLS 1.3 für SMTP-Verbindungen
  • SPF, DKIM, DMARC für Versand-Authentizität
  • Pseudonymisierte Empfänger-Listen, keine massenhaften Versand-Listen
  • Keine Marketing-E-Mails ohne separate Einwilligung

6. Hosting und Auslieferung

Zweck
Bereitstellung der Web-Anwendung über ein global verteiltes Edge-Netzwerk; Auslieferung statischer Inhalte und serverseitiger Funktionen.
Betroffene Personen
Besucher der Website, Nutzer der Web-App.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und performanter Bereitstellung).
Datenkategorien
  • IP-Adresse
  • User-Agent
  • Angefragte URL und HTTP-Header
  • Geo-Routing-Daten (Land/Region)
  • Server-Logs zur Fehler-Diagnose
  • Web Vitals (anonyme Performance-Metriken)
Empfänger / Auftragsverarbeiter
  • Vercel Inc. (USA; bevorzugt EU-Edge-Regionen für Anfragen aus EU)
Drittlandtransfer
Vercel Inc. hat ihren Sitz in den USA. Übermittlung auf Basis EU-Standardvertragsklauseln und Zertifizierung unter EU-U.S. Data Privacy Framework.
Speicherdauer
Vercel speichert Server-Logs maximal 30 Tage. Build-Artefakte werden mit Account-Lebensdauer aufbewahrt.
Technische und organisatorische Maßnahmen
  • TLS 1.3 für alle Verbindungen
  • Automatische Sicherheits-Patches der Edge-Plattform
  • DDoS-Schutz auf Plattform-Ebene
  • Trennung Produktion / Preview-Deployments

7. Marketing-Cookies und Reichweitenmessung

Zweck
Werbeeinblendungen im kostenlosen Plan, Conversion-Tracking für Anzeigen-Kampagnen, optionale Reichweitenmessung.
Betroffene Personen
Besucher der Website, die optionalen Cookies zugestimmt haben.
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit über das Cookie-Banner widerrufbar). Ohne Einwilligung werden diese Dienste nicht aktiviert.
Datenkategorien
  • Cookie-IDs
  • IP-Adresse (gekürzt, soweit technisch möglich)
  • Geräte- und Browserinformationen
  • Klick- und Aufruf-Events
  • Ungefähre Standortinformationen
Empfänger / Auftragsverarbeiter
  • Google Ireland Limited / Google LLC (AdSense, Google Ads, ggf. Google Analytics)
Drittlandtransfer
Google verarbeitet teilweise in den USA. Grundlage: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework. Google Consent Mode v2 ist aktiv.
Speicherdauer
Gemäß Cookie-Lebensdauer (max. 13 Monate für Google Marketing-Cookies, soweit nicht früher widerrufen).
Technische und organisatorische Maßnahmen
  • Google Consent Mode v2 (denied = denied)
  • IP-Anonymisierung soweit von Google angeboten
  • Keine Aktivierung ohne ausdrückliche Einwilligung

8. Push-Notifications

Zweck
Versand opt-in-basierter Push-Benachrichtigungen für Erinnerungen (Monatsergebnis am 15., Abrechnungs-Erinnerung am 03., Beleg-Push, Fälligkeits-Push). Nur wenn der Nutzer in den App-Einstellungen aktiv aktiviert hat.
Betroffene Personen
Nutzer, die Push-Notifications aktiviert haben.
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar in den Einstellungen).
Datenkategorien
  • Push-Subscription-Tokens (Web Push API bzw. Capacitor-Plug-in)
  • Geräte-Identifier
  • Notification-Versandzeitpunkt
Empfänger / Auftragsverarbeiter
  • Supabase Inc. (Speicherung der Subscription-Tokens, EU)
  • Apple Inc. / Google LLC (Plattform-Push-Dienste für die mobile App)
Drittlandtransfer
Plattform-Push-Provider verarbeiten Routing-Daten weltweit. Grundlage: EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework (für Apple/Google).
Speicherdauer
Bis zum Widerruf oder zur Deinstallation. Tokens werden bei jeder Abmeldung verworfen.
Technische und organisatorische Maßnahmen
  • Opt-in mit klarer Beschreibung pro Notification-Typ
  • Granulare Deaktivierungs-Toggles je Notification-Kategorie
  • Token-Rotation bei Geräte-Wechsel

9. Zahlungsdaten für die Sharing-Funktion (Premium)

Zweck
In der Premium-Sharing-Funktion können Nutzer freiwillig IBAN, BIC oder PayPal.me-Handle hinterlegen, damit andere Haushaltsmitglieder geteilte Ausgaben direkt zurückzahlen können.
Betroffene Personen
Premium-Nutzer, die das Sharing aktiv nutzen und Zahlungsdaten hinterlegen.
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Eingabe; jederzeit löschbar) und Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Sharing-Funktion).
Datenkategorien
  • IBAN, BIC (Klartext, im Premium-Modus optional clientseitig E2EE)
  • PayPal.me-Handle
  • Empfänger-Name
Empfänger / Auftragsverarbeiter
  • Aktive Sharing-Partner desselben Haushalts (innerhalb der App). Keine Weitergabe an Dritte außerhalb des Haushalts.
Drittlandtransfer
Keine.
Speicherdauer
Bis zum Löschen durch den Nutzer. Bei Account-Löschung sofortige Entfernung.
Technische und organisatorische Maßnahmen
  • Sichtbarkeit nur für aktive Sharing-Partner desselben Haushalts
  • RLS-Policy schützt vor unberechtigtem Zugriff
  • Optionale clientseitige E2EE-Verschlüsselung
  • Jederzeitige Änderbarkeit und Löschung in den Einstellungen

Allgemeine technische und organisatorische Maßnahmen

Ergänzend zu den spezifischen Maßnahmen pro Verarbeitungstätigkeit gelten folgende übergeordnete Sicherheitsmaßnahmen für sämtliche Verarbeitungen:

  • Transport-Verschlüsselung: TLS 1.3 auf allen externen Schnittstellen
  • At-Rest-Verschlüsselung: AES-256 auf Datenbank, Storage und Backups
  • Optionale Ende-zu-Ende-Verschlüsselung sensibler Felder (RSA-OAEP 4096 + AES-GCM-256)
  • Multi-Faktor-Authentifizierung (TOTP, WebAuthn)
  • Row-Level-Security (RLS) auf PostgreSQL-Ebene je Haushalt
  • Trennung Produktions- und Test-Umgebung
  • Regelmäßige Sicherheits-Updates der Plattform-Abhängigkeiten
  • GoBD-konformes Audit-Journal mit Hash-Verkettung
  • Pseudonymisierung von Telemetrie- und Analyse-Daten, wo technisch möglich
  • Datenminimierung: nur funktional erforderliche Datenfelder werden erhoben
  • Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit nativ in der App umgesetzt

Rechte der betroffenen Personen

Nutzern stehen die Rechte aus Art. 15 bis 22 DSGVO zu: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen. Sämtliche Rechte können direkt in der App (Datenschutz-Einstellungen, Export, Account-Löschung) oder formlos per E-Mail an datenschutz@nuvestra.de wahrgenommen werden. Daneben besteht das Recht zur Beschwerde bei einer Datenschutz-Aufsichtsbehörde, regelmäßig die Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg.

Zurück zur Datenschutzerklärung