Subprocessors
Wer noch Ihre Daten sieht
MyFina ist ein gehosteter Dienst, und ein Teil der Aufgaben wird an geprüfte Drittanbieter delegiert. Hier die vollständige Liste — ohne Abkürzungen, ohne SaaS-Versprechen.
Liste der Processors
Jeder Processor übernimmt eine konkrete Aufgabe: Hosting, Verrechnung, E-Mail-Zustellung, AI oder PSD2-Einwilligung. Wir übergeben ihnen nicht „alles über den Nutzer“ — nur das Minimum, das sie für ihre Funktion brauchen. Auftragsverarbeitungsverträge (DPA) sind für jeden Processor, der PII verarbeitet, verpflichtend.
| Dienst | Zweck | Daten | Region | Status |
|---|---|---|---|---|
| Hetzner | App-Hosting und PostgreSQL | Alle Nutzerdaten (encrypted at rest) | Deutschland (EU) | DPA unterzeichnet |
| Stripe | Verrechnung und Zahlungen (Pro-Abo) | E-Mail, Name, Rechnungsadresse, Zahlungsverlauf | Irland (EU) | DPA unterzeichnet |
| Resend | Transaktions- und Marketing-E-Mails | E-Mail, Nachrichtentext, Zustellungs-Flags | USA (mit EU-aware sub-processing) | DPA unterzeichnet |
| Anthropic (Claude API) | AI-Parsing von Sprache und Belegen | Text der Sprachphrase oder Beleg-OCR (ohne PII-Kontext) | USA | DRAFT — Owner-risk-accept für single-user prod |
| GoCardless (Bank Account Data) | PSD2-Einwilligung für europäische Bankverbindungen | Name, E-Mail, gewählte Bank, IBAN, Transaktionen (mit Einwilligung) | Großbritannien / EU | DPA unterzeichnet |
| Monobank API | Sync für Nutzer mit Monobank-Konten | Banking API token (verschlüsselt), Transaktionen auf Anfrage | Ukraine | Kein Processor — öffentliche API |
| Firebase Cloud Messaging (FCM) | Push-Benachrichtigungen auf Mobilgeräte | Device token + lokalisierter Benachrichtigungstext | Global (Google) | Google Standard-DPA |
| Google Tag Manager + GA4 (nur Website) | Tag-Container und aggregierte Webanalyse — Besuche, Traffic-Quellen, Conversions | Anonymisierte IP, Seite, Referrer, User-Agent. Tag-Konfiguration wird in tagmanager.google.com ohne Code-Deploy geändert | USA / EU (multi-region) | Nur mit Opt-in. GTM + GA4 mit anonymize_ip=true, Ads-Personalisierung aus |
| Microsoft Clarity (nur Website) | Heatmaps und Session-Recording — UX-Verbesserungen | Klick-/Scroll-Heatmaps, maskiertes DOM (Eingabetexte maskiert) | USA (Microsoft Azure) | Nur mit Opt-in. PII standardmäßig maskiert + data-clarity-mask auf Formularen |
Wird vom Produktteam gewartet. Beim Hinzufügen eines neuen Processors aktualisieren wir diese Seite, bevor er in der Produktion live geht. Fragen zu einem bestimmten Processor — schreiben Sie an support@my-fina.com.
← Zurück zu SicherheitZuletzt aktualisiert: 3. Jänner 2026 — Stand 3. Juni 2026