Zurück zur Startseite

Datenschutzerklärung

Informationen zum Umgang mit Ihren personenbezogenen Daten

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie darüber, welche Daten wir erheben, wie wir sie verarbeiten und welche Rechte Ihnen zustehen. Obwohl LF Digital Solutions LLC als US-Unternehmen nicht unmittelbar der DSGVO unterliegt, richten wir uns freiwillig nach den hohen europäischen Datenschutzstandards, da sich unser Angebot vorrangig an Nutzer im europäischen Raum richtet.

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit diesem Dienst ist:

LF Digital Solutions LLC 30 N Gould St Ste N Sheridan, WY 82801, USA

Vertreten durch: Finn Stolle (Managing Member) E-Mail: Finn@stolledev.com

Einen gesonderten Datenschutzbeauftragten haben wir nicht bestellt, da dies nach geltendem Recht nicht erforderlich ist. Für alle Datenschutzanfragen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist oder Sie eingewilligt haben. Dabei beachten wir die Grundsätze der Datensparsamkeit und Zweckbindung. Konkret bedeutet das:

  • Wir erheben nur Daten, die für die jeweilige Funktion tatsächlich benötigt werden.
  • Wir verkaufen, vermieten oder handeln keine personenbezogenen Daten.
  • Wir nutzen keine Daten für Werbezwecke oder Profiling.
  • Wir setzen keine Tracking-Tools, Analyse-Dienste oder Social-Media-Plugins ein.

3. Erhebung und Speicherung personenbezogener Daten

3.1 Beim Besuch der Website (ohne Registrierung)

Beim Aufrufen unserer Website werden durch den Browser automatisch folgende technische Informationen an unseren Server übermittelt und in Server-Logfiles gespeichert:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite (URL) und übertragene Datenmenge
  • Website, von der aus der Zugriff erfolgt (Referrer-URL)
  • Verwendeter Browser, Betriebssystem und Bildschirmauflösung

Diese Daten werden ausschließlich zu folgenden Zwecken verarbeitet:

  • Technische Bereitstellung und Auslieferung der Website
  • Gewährleistung der Systemsicherheit und -stabilität
  • Erkennung und Abwehr von Angriffen oder Missbrauch
  • Anonyme statistische Auswertung der Systemnutzung

Die Server-Logfiles werden nach 14 Tagen automatisch gelöscht. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website (Art. 6 Abs. 1 lit. f DSGVO).

3.2 Bei Registrierung und Nutzung der Anwendung

Für die Registrierung und Nutzung von Kontavio erheben und verarbeiten wir:

Kontodaten:

  • E-Mail-Adresse (für Login, Passwort-Wiederherstellung und Benachrichtigungen)
  • Passwort (wird ausschließlich als bcrypt-Hash gespeichert — wir haben zu keinem Zeitpunkt Zugriff auf Ihr Klartext-Passwort)

Geschäftsdaten, die Sie eingeben:

  • Firmen-/Entity-Daten (Name, Adresse, Rechtsform, Steuer-ID, Bankverbindungen)
  • Kundendaten (Name, Firma, Adresse, Kontaktdaten, Steuer-ID)
  • Lieferantendaten (Name, Kategorie)
  • Rechnungsdaten (Positionen, Beträge, Währungen, Status)
  • Bankkontodaten (Kontobezeichnung, Bank, Währung)
  • Transaktionsdaten (Betrag, Datum, Beschreibung, Kategorie)

Diese Daten werden ausschließlich für die Bereitstellung der von Ihnen genutzten Funktionen verarbeitet und nicht für andere Zwecke verwendet.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die Daten sind zur Erbringung des Dienstes erforderlich.

3.3 Bei Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, speichern wir Ihre Nachricht samt E-Mail-Adresse zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen. Diese Daten werden nach vollständiger Bearbeitung und Ablauf etwaiger Aufbewahrungspflichten gelöscht.

Rechtsgrundlage: Berechtigtes Interesse an der Bearbeitung von Anfragen (Art. 6 Abs. 1 lit. f DSGVO) bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).

4. Cookies und Session-Management

Wir verwenden ausschließlich technisch notwendige Cookies. Beim Login wird ein Session-Cookie gesetzt, das folgende Eigenschaften hat:

  • Enthält ausschließlich einen zufällig generierten Token (keine personenbezogenen Inhalte)
  • Ist als HTTP-only markiert (kein Zugriff durch JavaScript im Browser)
  • Ist als Secure markiert (wird nur über HTTPS übertragen)
  • Hat eine begrenzte Gültigkeitsdauer
  • Wird bei Logout automatisch gelöscht

Wir setzen keine Tracking-Cookies, Analyse-Cookies, Werbe-Cookies oder Cookies von Drittanbietern ein. Ein Cookie-Banner ist daher nicht erforderlich.

Rechtsgrundlage: Technisch notwendige Cookies sind nach § 25 Abs. 2 TTDSG von der Einwilligungspflicht ausgenommen.

5. Hosting und Infrastruktur

5.1 Hetzner Cloud

Unsere Website und Anwendung wird gehostet bei:

Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland

Sämtliche Daten werden ausschließlich auf Servern in Deutschland gespeichert und verarbeitet (Rechenzentrum Falkenstein, Sachsen). Es findet kein Transfer von Anwendungsdaten in Drittstaaten statt.

Hetzner verarbeitet Daten in unserem Auftrag und ist als Auftragsverarbeiter gemäß Art. 28 DSGVO vertraglich gebunden. Hetzner hat Zugriff auf die Server-Infrastruktur, jedoch nicht auf die Anwendungsdaten selbst, da diese verschlüsselt in der Datenbank gespeichert werden.

Weitere Informationen: Hetzner Datenschutz

5.2 Datenbank

Alle Anwendungsdaten werden in einer PostgreSQL-Datenbank gespeichert, die ausschließlich auf unserem Hetzner-Server in Deutschland läuft. Die Datenbank:

  • Ist nicht über das öffentliche Internet erreichbar
  • Kommuniziert ausschließlich über localhost (127.0.0.1) mit der Anwendung
  • Ist durch Passwortauthentifizierung geschützt
  • Speichert sensible Daten (wie Passwörter) nur in gehashter Form

5.3 SSL/TLS-Verschlüsselung

Die gesamte Kommunikation zwischen Ihrem Browser und unserem Server ist durch TLS-Verschlüsselung (HTTPS) geschützt. Die SSL-Zertifikate werden automatisch über Let's Encrypt bereitgestellt und verwaltet. Eine unverschlüsselte Übertragung (HTTP) wird automatisch auf HTTPS umgeleitet.

6. Drittanbieter und Auftragsverarbeiter

6.1 Enable Banking (Open Banking / PSD2)

Wenn Sie die optionale Open-Banking-Funktion nutzen, um Ihre Bankkonten zu verbinden, werden Sie zur Autorisierung an Enable Banking weitergeleitet.

Enable Banking Oy Heimolankatu 4 33100 Tampere Finnland

Enable Banking ist ein von der finnischen Finanzaufsicht (FIN-FSA) zugelassener und PSD2-zertifizierter Kontoinformationsdienstleister (AISP). Bei der Nutzung gilt:

  • Der Zugriff erfolgt ausschließlich lesend (read-only) — es können keine Zahlungen oder Überweisungen ausgelöst werden
  • Wir erhalten ausschließlich Kontoinformationen (IBAN, Kontostand) und Transaktionsdaten (Buchungsdatum, Betrag, Verwendungszweck)
  • Der PSD2-Consent (Ihre Einwilligung) ist auf maximal 90 Tage begrenzt und muss dann aktiv erneuert werden
  • Nach Ablauf des Consents werden keine weiteren Daten abgerufen
  • Sie können den Consent jederzeit direkt bei Ihrer Bank oder über unsere App widerrufen

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Sie erteilen die Einwilligung aktiv während des OAuth-Flows bei Ihrer Bank. Zusätzlich: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

6.2 Resend (E-Mail-Versand)

Für den Versand von E-Mails (z. B. Rechnungsversand) nutzen wir den Dienst Resend.

Resend, Inc. San Francisco, CA, USA

Dabei werden folgende Daten an Resend übermittelt:

  • E-Mail-Adresse des Empfängers
  • E-Mail-Inhalt (z. B. Rechnung als PDF-Anhang)
  • Absendername und Absender-E-Mail

Resend verarbeitet diese Daten ausschließlich zur E-Mail-Zustellung. Da Resend seinen Sitz in den USA hat, liegt ein Drittlandtransfer vor. Resend nutzt angemessene Schutzmaßnahmen gemäß Art. 46 DSGVO (Standardvertragsklauseln).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — der E-Mail-Versand erfolgt auf Ihre ausdrückliche Aufforderung.

Hinweis: Der E-Mail-Versand ist eine optionale Funktion. Sie können Rechnungen auch als PDF herunterladen und selbst versenden.

6.3 Groq (KI-gestützte Kategorisierung)

Zur intelligenten Kategorisierung von Transaktionen setzen wir optional die Groq API ein.

Groq, Inc. Mountain View, CA, USA

Bei der Nutzung werden folgende Daten an Groq übermittelt:

  • Transaktionsbeschreibungen (Verwendungszweck aus Kontoauszügen)
  • Beträge und Währungen
  • Vorhandene Kategorien und Kundennamen (als Kontext für die Zuordnung)

Es werden keine direkt personenbezogenen Daten wie Ihr Name, Ihre E-Mail-Adresse oder IBANs an Groq übermittelt. Groq speichert keine Daten aus API-Anfragen und nutzt sie nicht für Modell-Training.

Rechtsgrundlage: Berechtigtes Interesse an der effizienten Kategorisierung von Transaktionen (Art. 6 Abs. 1 lit. f DSGVO). Die KI-Kategorisierung erzeugt lediglich Vorschläge — die endgültige Zuordnung erfolgt immer durch Sie als Nutzer.

7. Datenweitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur:

  • An die unter Punkt 6 genannten Auftragsverarbeiter, soweit dies zur Leistungserbringung erforderlich ist
  • Wenn Sie ausdrücklich eingewilligt haben
  • Wenn wir gesetzlich dazu verpflichtet sind (z. B. auf Anordnung einer Behörde oder eines Gerichts)

Eine darüber hinausgehende Weitergabe — insbesondere zu Werbe- oder Analysezwecken — findet nicht statt.

8. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist:

DatenartSpeicherdauer
Server-Logfiles14 Tage
Session-CookiesBis zum Logout oder Ablauf
Kontodaten (E-Mail, Passwort-Hash)Bis zur Kontolöschung
Geschäftsdaten (Rechnungen, Kunden, Transaktionen)Bis zur Kontolöschung, mindestens jedoch gemäß gesetzlicher Aufbewahrungsfristen
E-Mail-KontaktanfragenBis zur vollständigen Bearbeitung, max. 6 Monate
Open-Banking-DatenSolange der PSD2-Consent aktiv ist; synchronisierte Transaktionen bleiben als Ihre Geschäftsdaten gespeichert

Nach Löschung Ihres Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z. B. handels- oder steuerrechtliche) einer früheren Löschung entgegenstehen.

9. Ihre Rechte

Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen, einschließlich der Verarbeitungszwecke und Empfänger.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. Viele Daten können Sie direkt in der App selbst korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Konto jederzeit selbst löschen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, JSON) zur Verfügung stellen. Unsere Export-Funktionen (CSV-Export für Reports und Transaktionen) unterstützen dies.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen, sofern die Verarbeitung auf einem berechtigten Interesse beruht.
  • Recht auf Widerruf der Einwilligung: Soweit die Verarbeitung auf Ihrer Einwilligung beruht (z. B. Open Banking), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: Finn@stolledev.com

Wir bearbeiten Ihre Anfrage unverzüglich, spätestens innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

10. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes Datenschutzrecht verstößt, haben Sie das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Sie können sich dabei an die Aufsichtsbehörde Ihres Wohnsitzes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden.

11. Sicherheitsmaßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • Verschlüsselung: Alle Datenübertragungen sind TLS-verschlüsselt (HTTPS)
  • Passwort-Hashing: Passwörter werden mit bcrypt gehasht — eine Rückrechnung ist nicht möglich
  • Session-Sicherheit: HTTP-only und Secure Cookies verhindern Session-Diebstahl
  • Netzwerksicherheit: Die Datenbank ist nicht öffentlich zugänglich
  • Standort: Alle Daten werden auf Servern in Deutschland gespeichert
  • Zugriffskontrolle: Strenge Trennung der Daten zwischen verschiedenen Nutzern und Entities

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage, neue Funktionen oder geänderte Datenverarbeitungen anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden registrierte Nutzer per E-Mail informiert.

Stand: März 2026

Impressum|AGB