Zum Hauptinhalt springen
Datenschutz

Datenschutzerklärung | Assetli

Datenschutzerklärung für Assetli - Wie wir Ihre Daten DSGVO-konform verarbeiten

Datenschutzerklärung von Assetli

Zuletzt aktualisiert: 20. Juni 2026
Version: 1.1


1. Verantwortlicher für die Verarbeitung personenbezogener Daten

Ondřej Smutný
Identifikationsnummer (IČO): 75343533
Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik
E-Mail: info@assetli.app
Web: https://assetli.app

Angesichts des Umfangs der Verarbeitung wurde kein Datenschutzbeauftragter (DPO) benannt. Für alle Fragen zum Datenschutz kontaktieren Sie bitte info@assetli.app.


2. Welche Daten wir verarbeiten

2.1 Registrierungs- und Profildaten

  • Vor- und Nachname
  • E-Mail-Adresse
  • Gehashtes Passwort (bcrypt, SALT_ROUNDS=12 — das Passwort wird niemals in lesbarer Form gespeichert)
  • Registrierungsdatum, Sprachpräferenz
  • Optional: Telefonnummer, Geburtsdatum
  • 2FA-Konfiguration (TOTP-Seed, gehashte Backup-Codes)

2.2 Finanzdaten

Dies sind die sensibelsten Daten, die wir verarbeiten:

Bankkonten: Bezeichnung, Typ (Girokonto, Sparkonto, Anlagekonto, Kreditkarte, Darlehen, Bargeld), Währung, Saldo, Status (aktiv/archiviert).

Transaktionen: Datum, Betrag, Beschreibung/Empfänger, Kategorie, Tags, Typ (Einnahme/Ausgabe/Überweisung), Notizen. Beim Import aus CSV/PDF werden die Dateien vom Server verarbeitet — die extrahierten Daten werden in der Datenbank gespeichert, die Originaldateien werden nicht dauerhaft aufbewahrt.

Budgets: Bezeichnung, Kategorie, Limits, Zeitraum, Ausschöpfungsstand.

Sparumschläge: Bezeichnung, Zielbetrag, aktueller Stand, Einzahlungshistorie.

Abonnements: Name des Dienstes, Betrag, Häufigkeit, Kategorie, Verlängerungsdatum.

2.3 Anlagedaten

Aktien und ETFs: Brokerkonten, Geschäfte (Datum, Symbol, Menge, Preis, Gebühren), Dividenden (Betrag, Quellensteuer, Ex-Date, Pay Date), Live-Kurse (von externen Marktdatenanbietern, insbesondere Yahoo Finance).

Kryptowährungen: Börsenkonten, Geschäfte (über 12 Typen einschließlich Kauf, Verkauf, Swap, Staking), Holding-Positionen, Live-Kurse (von CoinMarketCap/CoinGecko).

Alternative Anlagen: P2P-Kredite, Crowdfunding, Rohstoffe, Altersvorsorgeprodukte — ursprünglicher Wert, aktueller Wert, Erträge, Ereignisse.

2.4 Vermögensdaten

Immobilien: Typ, Verwendungszweck, Adresse, Fläche, Anschaffungspreis, aktueller Wert, Mieteinnahmen, Ausgaben, Energieablesungen (Strom, Gas, Wasser), Geräte mit Leistungsaufnahme, Photovoltaikanlagen mit Erzeugung.

Fahrzeuge: Typ, Marke, Modell, Baujahr, Kennzeichen, VIN, Kilometerstand, Kosten (Kraftstoff, Versicherung, Wartung), Serviceereignisse, Bewertung.

Wertgegenstände: Kategorie (16 Typen), Anschaffungspreis, aktueller Wert, Abschreibung, Garantie, Zustand.

Hypotheken und Kredite: Kapital, Zinssatz, Raten, Verknüpfung mit Immobilie.

2.5 Daten zu geteilten Ausgaben (Bill Splitting)

Gruppenbezeichnung, Mitglieder (Name, optional E-Mail), geteilte Ausgaben, Ausgleich, Kommentare, Aktivitätsprotokoll. Beim Teilen einer Gruppe über einen öffentlichen Link können die Daten von Personen ohne Assetli-Konto eingesehen werden.

2.6 Family-Legacy-Daten

Kontakte von Vertrauenspersonen (Name, E-Mail, Beziehung), Zugriffsbedingungen, verschlüsselte Notizen (AES-256-GCM), Zugriffsprotokoll. Notizen für Erben werden auf Datenbankebene verschlüsselt — selbst der Betreiber hat keinen Zugriff darauf in lesbarer Form.

2.7 Zahlungsdaten

Zahlungen werden ausschließlich von Stripe, Inc. abgewickelt. Auf den Servern von Assetli speichern wir nur: Stripe Customer ID, die letzten 4 Ziffern der Karte, Kartentyp, Ablaufdatum. Kartennummern, CVV oder vollständige Zahlungsdaten speichern wir niemals.

2.8 Technische und Analysedaten

  • IP-Adressen und ungefähre Geolokalisierung
  • Browser- und Gerätetyp (User-Agent)
  • Zeitstempel der Anmeldung
  • Fehler- und Leistungsprotokolle der Anwendung

2.9 KI-Konversationen

Konversationen mit dem KI-Assistenten werden in der Datenbank unter dem Konto des Nutzers gespeichert. Der Inhalt der Konversationen wird zur Generierung von Antworten an den KI-Anbieter (Anthropic, OpenAI oder Google Gemini, je nach Wahl des Nutzers) übermittelt. Der Nutzer kann Konversationen jederzeit löschen.

2.10 Hochgeladene Dateien

Dokumente, Belege und Fotos, die in den Dateimanager hochgeladen werden, werden auf Cloudflare R2 gespeichert. Die Dateien werden dem Konto des Nutzers zugeordnet und sind nur über eine authentifizierte API zugänglich. Die Dateien werden bei der Löschung des Kontos dauerhaft gelöscht.


3. Cookies und Tracking-Technologien

3.1 Übersicht der Cookies

Cookie Anbieter Zweck Typ Gültigkeitsdauer
authjs.session-token Assetli Authentifizierung des angemeldeten Nutzers Notwendig 30 Tage
authjs.csrf-token Assetli Schutz vor CSRF-Angriffen Notwendig Session
authjs.callback-url Assetli Weiterleitung nach der Anmeldung Notwendig Session
lang Assetli Sprachpräferenz Funktional 1 Jahr
cookiehub CookieHub Speicherung der Cookie-Einwilligung Notwendig 1 Jahr
_ga, _ga_* Google Analytics Anonymisierte Besucheranalyse Analytisch 2 Jahre
_clck, _clsk Microsoft Clarity Analyse des Nutzerverhaltens (Heatmaps) Analytisch 1 Jahr / Session

3.2 Cookie-Kategorien

Notwendige Cookies — erforderlich für das Funktionieren der Anwendung (Anmeldung, Sicherheit). Sie können nicht abgelehnt werden.

Analytische Cookies — helfen uns zu verstehen, wie Nutzer die Anwendung verwenden. Sie werden nur mit Ihrer Einwilligung aktiviert. Sie können sie jederzeit in den Einstellungen des Cookie-Banners ablehnen.

3.3 Cookie-Verwaltung

Die Einwilligung zu analytischen Cookies verwalten wir über die Plattform CookieHub. Analytische Skripte (Google Analytics, Microsoft Clarity) werden erst nach Erteilung der Einwilligung geladen. Sie können Cookies verwalten:

  • Über den Cookie-Banner (CookieHub) beim ersten Besuch und jederzeit danach
  • In den Browser-Einstellungen
  • Durch Löschen der Cookies im Browser

4. Zwecke der Verarbeitung und Rechtsgrundlage

Zweck der Verarbeitung Rechtsgrundlage (DSGVO) Verarbeitete Daten
Bereitstellung des Dienstes (Konten, Transaktionen, Budgets) Vertragserfüllung (Art. 6 Abs. 1 lit. b) Registrierungs-, Finanz-, Anlage- und Vermögensdaten
KI-Kategorisierung von Transaktionen Vertragserfüllung (Art. 6 Abs. 1 lit. b) Transaktionstexte (Beschreibung, Betrag)
KI-Chat-Assistent Vertragserfüllung (Art. 6 Abs. 1 lit. b) Konversationen, Finanz-Snapshot
Zahlungsabwicklung Vertragserfüllung (Art. 6 Abs. 1 lit. b) Zahlungsdaten (über Stripe)
Kontosicherheit (2FA, Rate Limiting, Brute-Force-Schutz) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) IP-Adressen, Anmeldeprotokolle
E-Mail-Benachrichtigungen (Budgets, Abonnements, Sicherheit) Einwilligung (Art. 6 Abs. 1 lit. a) E-Mail-Adresse
Analytik und Verbesserung des Dienstes Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) Anonymisierte Analysedaten
Gesetzliche Pflichten (Steuerunterlagen) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) Zahlungsaufzeichnungen

5. Empfänger personenbezogener Daten (Auftragsverarbeiter)

5.1 Übersicht der Auftragsverarbeiter

Auftragsverarbeiter Zweck Datenstandort Übermittlung außerhalb der EU
MongoDB Atlas (MongoDB, Inc.) Datenbank EU (Frankfurt, AWS eu-central-1) Nein
Cloudflare, Inc. Dateien (R2), CDN, Schutz Global Ja — Standardvertragsklauseln
Vercel, Inc. Anwendungshosting, temporäre Dateien (Vercel Blob) Global Ja — Standardvertragsklauseln
Stripe, Inc. Zahlungsabwicklung EU Nein (primär)
Resend, Inc. E-Mail-Versand USA Ja — Standardvertragsklauseln
Anthropic, PBC KI-Kategorisierung, KI-Chat USA Ja — Standardvertragsklauseln
Google LLC Google Analytics, Google OAuth USA Ja — Standardvertragsklauseln
Microsoft Corp. Clarity (Analytik) USA Ja — Standardvertragsklauseln
CookieHub ehf. Verwaltung der Cookie-Einwilligung (Cookie-Banner) EU/EWR (Island) Nein

5.2 Was wir mit KI-Anbietern teilen

Bei der KI-Kategorisierung: Transaktionstexte (Beschreibung, Betrag, Datum). Beim KI-Chat: die Konversation und den Finanz-Snapshot (zusammengefasste Daten zu Konten, Anlagen, Budgets). Wir teilen niemals Anmeldedaten, Passwörter oder Zahlungsinformationen.

Der Nutzer kann in den Einstellungen einen eigenen API-Schlüssel für Anthropic, OpenAI oder Google Gemini hinterlegen — in diesem Fall werden die Daten direkt an den Anbieter übermittelt, ohne Aufschlag seitens Assetli.

5.3 Marktdaten

Live-Kurse: externe Marktdatenanbieter, insbesondere Yahoo Finance (Aktien und ETFs), CoinMarketCap/CoinGecko (Krypto), frankfurter.app — basierend auf den Referenzkursen der Europäischen Zentralbank (Wechselkurse). An diese Anbieter übermitteln wir keinerlei personenbezogene Daten — nur allgemeine Abfragen von Marktdaten (Aktiensymbol, Währungscode).

5.4 Wallet by BudgetBakers

Bei der Synchronisierung über WBB werden Transaktionen von WBB an Assetli übertragen. WBB ist ein unabhängiger Datenverantwortlicher mit eigener Lizenz für den Zugriff auf Bankdaten über Open Banking. Die Bedingungen der Datenverarbeitung richten sich nach den Bedingungen von BudgetBakers s.r.o.

5.5 Erklärung über den Nichtverkauf von Daten

Wir verkaufen, teilen oder geben Ihre personenbezogenen und finanziellen Daten niemals an Dritte zu Marketing-, Werbe- oder Geschäftszwecken weiter.


6. Datenübermittlung außerhalb der EU

Einige Verarbeitungen umfassen die Übermittlung von Daten in die USA (Anthropic, Resend, Cloudflare, Vercel, Google, Microsoft). Für diese Übermittlungen nutzen wir die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Kopien der SCC sind auf Anfrage verfügbar.


7. Aufbewahrung der Daten

Datentyp Aufbewahrungsdauer
Registrierungsdaten Für die Dauer des Bestehens des Kontos
Finanzdaten (Transaktionen, Konten, Anlagen) Für die Dauer des Bestehens des Kontos
KI-Konversationen Für die Dauer des Bestehens des Kontos (Nutzer kann jederzeit löschen)
Hochgeladene Dateien Für die Dauer des Bestehens des Kontos
Zahlungsaufzeichnungen 5 Jahre nach Durchführung der Zahlung (Steuervorschriften der Tschechischen Republik)
Nach Löschung des Kontos — personenbezogene Daten Gelöscht innerhalb von 30 Tagen
Nach Löschung des Kontos — anonymisierte Finanzdaten Können bis zu 5 Jahre aufbewahrt werden (gesetzliche Pflichten)
Inaktives Konto (in der Regel 12+ Monate ohne Anmeldung) Der Betreiber behält sich das Recht vor, das Konto nach vorheriger E-Mail-Benachrichtigung (mit einer Frist zur Anmeldung) zu löschen
Importierte Dateien (CSV/PDF) Verarbeitet und gelöscht — nicht dauerhaft aufbewahrt
Anmelde- und Fehlerprotokolle 12 Monate

8. Automatisierte Entscheidungsfindung und Profiling

8.1 KI-Kategorisierung von Transaktionen

Assetli verwendet die KI-Modelle Claude (Anthropic) zur automatischen Kategorisierung von Transaktionen anhand ihrer Beschreibung. Diese Verarbeitung hat keine unmittelbaren rechtlichen Folgen für den Nutzer, kann jederzeit manuell korrigiert werden und ist transparent — der Nutzer sieht die zugewiesene Kategorie.

8.2 Finanz-Score (0–850)

Assetli berechnet automatisch einen Finanzgesundheits-Score auf Basis von 7 Komponenten. Dieser Score dient ausschließlich der Information, beeinflusst nicht den Zugang zu Krediten oder anderen Finanzprodukten und wird nicht an Dritte weitergegeben.

8.3 Prognosen und Analytik

Cashflow-Prognosen, Latte-Factor-Analyse, Lifestyle-Inflation-Check und weitere analytische Funktionen sind automatisierte Berechnungen ausschließlich informativen Charakters.

8.4 Recht auf menschliche Überprüfung

Gemäß Art. 22 DSGVO hat der Nutzer das Recht auf eine menschliche Überprüfung jedes automatisierten Ergebnisses. Kontaktieren Sie info@assetli.app.


9. Ihre Rechte (DSGVO Art. 15–22)

Recht Wie Sie es ausüben
Recht auf Auskunft (Art. 15) Einstellungen → Datenexport (DSGVO-Export im JSON-Format)
Recht auf Berichtigung (Art. 16) Durch Bearbeitung der Daten in den Kontoeinstellungen
Recht auf Löschung (Art. 17) Einstellungen → Danger Zone → Konto löschen
Recht auf Datenübertragbarkeit (Art. 20) Einstellungen → Datenexport (vollständiger DSGVO-Export im JSON-Format)
Recht auf Einschränkung der Verarbeitung (Art. 18) Kontaktieren Sie info@assetli.app
Widerspruchsrecht (Art. 21) Einstellungen → Datenschutz, oder info@assetli.app
Recht auf Widerruf der Einwilligung Einstellungen → Benachrichtigungen, Cookie-Banner

Antwortfrist: 30 Tage. Bei komplexen Anträgen kann sie mit entsprechender Mitteilung um weitere 60 Tage verlängert werden.

Aufsichtsbehörde: Tschechische Datenschutzbehörde (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz, www.uoou.cz


10. Schutz von Kindern

Der Dienst ist nicht für Kinder unter 15 Jahren bestimmt (gemäß § 7 des Gesetzes Nr. 110/2019 Slg.). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 15 Jahren. Sollten wir feststellen, dass wir Daten von einer Person unter 15 Jahren ohne Einwilligung des gesetzlichen Vertreters erhoben haben, löschen wir diese Daten unverzüglich.


11. Sicherheit

11.1 Technische Maßnahmen

  • Verschlüsselte Verbindungen (HTTPS/TLS)
  • Hashing von Passwörtern (bcrypt, SALT_ROUNDS=12)
  • Zwei-Faktor-Authentifizierung (TOTP)
  • Schutz vor Brute-Force-Angriffen mit automatischer Kontosperrung
  • Formularschutz reCAPTCHA v3
  • Verschlüsselung sensibler Daten: Family-Legacy-Notizen (AES-256-GCM), API-Schlüssel (SHA-256-Hash)
  • Datenbank gehostet in der EU (MongoDB Atlas, Frankfurt, AWS eu-central-1)

11.2 Meldung von Sicherheitsverletzungen

Gemäß Art. 33 und 34 DSGVO melden wir Sicherheitsverletzungen der Aufsichtsbehörde (ÚOOÚ) innerhalb von 72 Stunden nach Feststellung. Betroffene Nutzer informieren wir unverzüglich, sofern die Verletzung ein hohes Risiko darstellt.

11.3 Haftungsausschluss

Obwohl wir angemessene Maßnahmen umsetzen, ist keine Methode der Datenübertragung oder -speicherung zu 100 % sicher. Sollten Sie einen unbefugten Zugriff auf Ihr Konto feststellen, kontaktieren Sie uns bitte unverzüglich unter info@assetli.app.

11.4 Meldung von Schwachstellen

Wenn Sie eine Sicherheitsschwachstelle entdecken, kontaktieren Sie info@assetli.app. Wir schätzen die verantwortungsvolle Meldung von Schwachstellen und werden keine rechtlichen Schritte gegen Personen einleiten, die Schwachstellen in gutem Glauben melden.


12. Rechte von Nutzern außerhalb der EU

12.1 Vereinigtes Königreich (UK GDPR)

Die Verarbeitung von Daten von Nutzern im Vereinigten Königreich richtet sich nach der UK GDPR und dem Data Protection Act 2018. Ihre Rechte entsprechen den Rechten nach der EU-DSGVO. Aufsichtsbehörde: Information Commissioner's Office (ICO), www.ico.org.uk.

12.2 Kalifornien (CCPA/CPRA)

Wenn Sie in Kalifornien ansässig sind, haben Sie Rechte gemäß CCPA/CPRA:

  • Recht auf Information über die erhobenen Daten
  • Recht auf Löschung personenbezogener Daten
  • Recht auf Berichtigung unrichtiger Daten
  • Recht auf Widerspruch gegen den Verkauf/das Teilen — wir verkaufen oder teilen Ihre Daten nicht zu Werbezwecken
  • Recht auf Nichtdiskriminierung

Kontaktieren Sie info@assetli.app. Wir antworten innerhalb von 45 Tagen.

12.3 Weitere US-Bundesstaaten

Einwohner von Colorado, Connecticut, Virginia und weiteren Bundesstaaten mit Datenschutzgesetzen können über ähnliche Rechte verfügen. Kontaktieren Sie info@assetli.app.


13. Aggregation und Anonymisierung

Wir behalten uns das Recht vor, aggregierte und anonymisierte Daten zum Zweck der Verbesserung des Dienstes und des Trainings von KI-Modellen zu erstellen. Aggregierte Daten dürfen keine Identifizierung eines einzelnen Nutzers ermöglichen und unterliegen nicht der DSGVO.


14. Änderungen dieser Erklärung

  • Geringfügige Änderungen: auf der Website bekannt gegeben
  • Wesentliche Änderungen: per E-Mail mindestens 30 Tage im Voraus bekannt gegeben
  • Bei Änderungen, die eine Einwilligung erfordern, holen wir eine neue aktive Einwilligung ein
  • Ältere Versionen werden archiviert und sind auf Anfrage verfügbar

15. Kontakt

Ondřej Smutný
E-Mail: info@assetli.app
Web: https://assetli.app
Adresse: Družstevní 511, 294 41 Dobrovice, Tschechische Republik


Datum des Inkrafttretens: 20. Juni 2026
© 2026 Assetli. Alle Rechte vorbehalten.