Data handling
Vollständige Per-Feature-Matrix: Entität, Aufbewahrungsfenster, Verschlüsselungsmethode, Löschpfad. Keine „und so weiter“-Klammern — jede Zeile ist im Code überprüfbar.
Diese Seite erweitert die Privacy Policy für Leser, die es genau wissen wollen. GDPR verpflichtet uns, Datenkategorien und Aufbewahrungsfristen offenzulegen; hier finden Sie mehr Details als das Gesetz verlangt, weil wir nichts zu verbergen haben.
Per-Feature-Aufbewahrungsmatrix
| Entität | Was gespeichert wird | Aufbewahrungsfenster | Löschpfad | Verschlüsselung |
|---|---|---|---|---|
| Transaktionen | Betrag, Währung, Datum, Konto, Kategorie, Beschreibung | Bis zum Hard-delete des Kontos oder manueller Entfernung | CASCADE bei Hard-delete von Benutzer oder Konto | At rest (Datenbank), TLS in transit |
| Konten | Name, Typ, Währung, aktueller Kontostand | Bis zur manuellen Entfernung durch den Nutzer | CASCADE entfernt verknüpfte Transaktionen | At rest, TLS |
| Kategorien | Name, Typ, Icon, MCC-Codes | Bis zur manuellen Entfernung durch den Nutzer | CASCADE über user_id | At rest, TLS |
| Bank-API-Tokens | Verschlüsselter Token (Monobank Personal API, GoCardless Consent) | Bis zum Widerruf durch den Nutzer oder PSD2-Ablauf (90 Tage) | Disconnect in Einstellungen → Banken = sofortige Entfernung | AES-256-GCM (Column-Level), TLS |
| AI-Prompts (Voice/Receipt) | Prompt-Text + Claude-Antwort (für Usage-Log) | 30 Tage in `ai_usage_log` | Cron-Cleanup nach 30 Tagen oder manueller Admin-Purge | TLS in transit (Anthropic API); Prompt wird aus deren Infrastruktur per DPA entfernt |
| Audit-Log | Action, Target, IP, User-Agent, Source (web/mobile/cron) | 180 Tage (Admin) / 30 Tage (User-Level-Events) | Cron-Prune nach dem Aufbewahrungsfenster | At rest, TLS |
| Login-Versuche | Identifier (im Admin maskiert), IP, Success/Failure, Timestamp | 30 Tage (für Login-Throttling) | Cron-Prune nach 30 Tagen | At rest, TLS |
| Marketing-Leads | E-Mail, Source, Intent, IP, Consent-Flag | Bis zur Bearbeitung durch Admin oder GDPR-Art.-17-Anfrage | Best-Effort-Erase-Hook bei Konto-Hard-delete mit gleicher E-Mail | At rest, TLS |
| Push-Device-Tokens (FCM) | FCM-Token, Plattform, Locale, Last-Used-Timestamp | Bis zur Abmeldung oder disabled_at (UNREGISTERED von FCM) | CASCADE bei Löschung des Nutzers | At rest, TLS |
| Backups | Vollständiger DB-Snapshot (verschlüsselt) | 30 Tage rollierend | Automatische Entfernung gemäß Retention; manueller Purge möglich | AES-256 vor dem Upload in den Backup-Storage |
| Web-Analytics (nur Website) | GTM-Container + GA4: anonymisierte IP, Seite, Referrer. Clarity: Heatmap-Klicks, maskiertes DOM (kein Eingabetext) | GA4: 14 Monate (Default). Clarity: 13 Monate. Zurücksetzen — über Cookie-Banner „Einwilligung widerrufen“. | Cookie-Banner → „Nur notwendige“ stoppt die Erfassung sofort. Unter /legal/cookies sind dieselben Toggles persistent. | TLS in transit; Daten verarbeitet von Google (GTM/GA4) und Microsoft (Clarity) gemäß deren DPAs |
Ihre GDPR-Rechte
Fordern Sie einen vollständigen Export Ihrer Daten in Einstellungen → Daten an. Sie erhalten CSV/XLSX/PDF mit allen Transaktionen, Konten und Kategorien. Für zusätzliche Kategorien (Audit-Log, Bank-Tokens) — schreiben Sie an support@my-fina.com.
Hard-delete des Kontos in Einstellungen → Konto → Konto löschen. Transaktionen, Konten, Kategorien, Währungen, Tokens und Push-Geräte werden per Cascade entfernt. Marketing-Leads unter derselben E-Mail werden ebenfalls per Best-Effort-Hook entfernt.
Der Export in Einstellungen → Daten formatiert die Daten als CSV/XLSX (machine-readable). Die Struktur ist kompatibel mit YNAB, Mint und anderen Ledger-Tools über ein Standard-Spaltenset (date, account, category, amount, currency, note).