Datenschutzerklärung von Assetli
Zuletzt aktualisiert: 20. Juni 2026
Version: 1.1
1. Verantwortlicher für die Verarbeitung personenbezogener Daten
Ondřej Smutný
Identifikationsnummer (IČO): 75343533
Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik
E-Mail: info@assetli.app
Web: https://assetli.app
Angesichts des Umfangs der Verarbeitung wurde kein Datenschutzbeauftragter (DPO) benannt. Für alle Fragen zum Datenschutz kontaktieren Sie bitte info@assetli.app.
2. Welche Daten wir verarbeiten
2.1 Registrierungs- und Profildaten
- Vor- und Nachname
- E-Mail-Adresse
- Gehashtes Passwort (bcrypt, SALT_ROUNDS=12 — das Passwort wird niemals in lesbarer Form gespeichert)
- Registrierungsdatum, Sprachpräferenz
- Optional: Telefonnummer, Geburtsdatum
- 2FA-Konfiguration (TOTP-Seed, gehashte Backup-Codes)
2.2 Finanzdaten
Dies sind die sensibelsten Daten, die wir verarbeiten:
Bankkonten: Bezeichnung, Typ (Girokonto, Sparkonto, Anlagekonto, Kreditkarte, Darlehen, Bargeld), Währung, Saldo, Status (aktiv/archiviert).
Transaktionen: Datum, Betrag, Beschreibung/Empfänger, Kategorie, Tags, Typ (Einnahme/Ausgabe/Überweisung), Notizen. Beim Import aus CSV/PDF werden die Dateien vom Server verarbeitet — die extrahierten Daten werden in der Datenbank gespeichert, die Originaldateien werden nicht dauerhaft aufbewahrt.
Budgets: Bezeichnung, Kategorie, Limits, Zeitraum, Ausschöpfungsstand.
Sparumschläge: Bezeichnung, Zielbetrag, aktueller Stand, Einzahlungshistorie.
Abonnements: Name des Dienstes, Betrag, Häufigkeit, Kategorie, Verlängerungsdatum.
2.3 Anlagedaten
Aktien und ETFs: Brokerkonten, Geschäfte (Datum, Symbol, Menge, Preis, Gebühren), Dividenden (Betrag, Quellensteuer, Ex-Date, Pay Date), Live-Kurse (von externen Marktdatenanbietern, insbesondere Yahoo Finance).
Kryptowährungen: Börsenkonten, Geschäfte (über 12 Typen einschließlich Kauf, Verkauf, Swap, Staking), Holding-Positionen, Live-Kurse (von CoinMarketCap/CoinGecko).
Alternative Anlagen: P2P-Kredite, Crowdfunding, Rohstoffe, Altersvorsorgeprodukte — ursprünglicher Wert, aktueller Wert, Erträge, Ereignisse.
2.4 Vermögensdaten
Immobilien: Typ, Verwendungszweck, Adresse, Fläche, Anschaffungspreis, aktueller Wert, Mieteinnahmen, Ausgaben, Energieablesungen (Strom, Gas, Wasser), Geräte mit Leistungsaufnahme, Photovoltaikanlagen mit Erzeugung.
Fahrzeuge: Typ, Marke, Modell, Baujahr, Kennzeichen, VIN, Kilometerstand, Kosten (Kraftstoff, Versicherung, Wartung), Serviceereignisse, Bewertung.
Wertgegenstände: Kategorie (16 Typen), Anschaffungspreis, aktueller Wert, Abschreibung, Garantie, Zustand.
Hypotheken und Kredite: Kapital, Zinssatz, Raten, Verknüpfung mit Immobilie.
2.5 Daten zu geteilten Ausgaben (Bill Splitting)
Gruppenbezeichnung, Mitglieder (Name, optional E-Mail), geteilte Ausgaben, Ausgleich, Kommentare, Aktivitätsprotokoll. Beim Teilen einer Gruppe über einen öffentlichen Link können die Daten von Personen ohne Assetli-Konto eingesehen werden.
2.6 Family-Legacy-Daten
Kontakte von Vertrauenspersonen (Name, E-Mail, Beziehung), Zugriffsbedingungen, verschlüsselte Notizen (AES-256-GCM), Zugriffsprotokoll. Notizen für Erben werden auf Datenbankebene verschlüsselt — selbst der Betreiber hat keinen Zugriff darauf in lesbarer Form.
2.7 Zahlungsdaten
Zahlungen werden ausschließlich von Stripe, Inc. abgewickelt. Auf den Servern von Assetli speichern wir nur: Stripe Customer ID, die letzten 4 Ziffern der Karte, Kartentyp, Ablaufdatum. Kartennummern, CVV oder vollständige Zahlungsdaten speichern wir niemals.
2.8 Technische und Analysedaten
- IP-Adressen und ungefähre Geolokalisierung
- Browser- und Gerätetyp (User-Agent)
- Zeitstempel der Anmeldung
- Fehler- und Leistungsprotokolle der Anwendung
2.9 KI-Konversationen
Konversationen mit dem KI-Assistenten werden in der Datenbank unter dem Konto des Nutzers gespeichert. Der Inhalt der Konversationen wird zur Generierung von Antworten an den KI-Anbieter (Anthropic, OpenAI oder Google Gemini, je nach Wahl des Nutzers) übermittelt. Der Nutzer kann Konversationen jederzeit löschen.
2.10 Hochgeladene Dateien
Dokumente, Belege und Fotos, die in den Dateimanager hochgeladen werden, werden auf Cloudflare R2 gespeichert. Die Dateien werden dem Konto des Nutzers zugeordnet und sind nur über eine authentifizierte API zugänglich. Die Dateien werden bei der Löschung des Kontos dauerhaft gelöscht.
3. Cookies und Tracking-Technologien
3.1 Übersicht der Cookies
| Cookie | Anbieter | Zweck | Typ | Gültigkeitsdauer |
|---|---|---|---|---|
authjs.session-token |
Assetli | Authentifizierung des angemeldeten Nutzers | Notwendig | 30 Tage |
authjs.csrf-token |
Assetli | Schutz vor CSRF-Angriffen | Notwendig | Session |
authjs.callback-url |
Assetli | Weiterleitung nach der Anmeldung | Notwendig | Session |
lang |
Assetli | Sprachpräferenz | Funktional | 1 Jahr |
cookiehub |
CookieHub | Speicherung der Cookie-Einwilligung | Notwendig | 1 Jahr |
_ga, _ga_* |
Google Analytics | Anonymisierte Besucheranalyse | Analytisch | 2 Jahre |
_clck, _clsk |
Microsoft Clarity | Analyse des Nutzerverhaltens (Heatmaps) | Analytisch | 1 Jahr / Session |
3.2 Cookie-Kategorien
Notwendige Cookies — erforderlich für das Funktionieren der Anwendung (Anmeldung, Sicherheit). Sie können nicht abgelehnt werden.
Analytische Cookies — helfen uns zu verstehen, wie Nutzer die Anwendung verwenden. Sie werden nur mit Ihrer Einwilligung aktiviert. Sie können sie jederzeit in den Einstellungen des Cookie-Banners ablehnen.
3.3 Cookie-Verwaltung
Die Einwilligung zu analytischen Cookies verwalten wir über die Plattform CookieHub. Analytische Skripte (Google Analytics, Microsoft Clarity) werden erst nach Erteilung der Einwilligung geladen. Sie können Cookies verwalten:
- Über den Cookie-Banner (CookieHub) beim ersten Besuch und jederzeit danach
- In den Browser-Einstellungen
- Durch Löschen der Cookies im Browser
4. Zwecke der Verarbeitung und Rechtsgrundlage
| Zweck der Verarbeitung | Rechtsgrundlage (DSGVO) | Verarbeitete Daten |
|---|---|---|
| Bereitstellung des Dienstes (Konten, Transaktionen, Budgets) | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Registrierungs-, Finanz-, Anlage- und Vermögensdaten |
| KI-Kategorisierung von Transaktionen | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Transaktionstexte (Beschreibung, Betrag) |
| KI-Chat-Assistent | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Konversationen, Finanz-Snapshot |
| Zahlungsabwicklung | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Zahlungsdaten (über Stripe) |
| Kontosicherheit (2FA, Rate Limiting, Brute-Force-Schutz) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | IP-Adressen, Anmeldeprotokolle |
| E-Mail-Benachrichtigungen (Budgets, Abonnements, Sicherheit) | Einwilligung (Art. 6 Abs. 1 lit. a) | E-Mail-Adresse |
| Analytik und Verbesserung des Dienstes | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Anonymisierte Analysedaten |
| Gesetzliche Pflichten (Steuerunterlagen) | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | Zahlungsaufzeichnungen |
5. Empfänger personenbezogener Daten (Auftragsverarbeiter)
5.1 Übersicht der Auftragsverarbeiter
| Auftragsverarbeiter | Zweck | Datenstandort | Übermittlung außerhalb der EU |
|---|---|---|---|
| MongoDB Atlas (MongoDB, Inc.) | Datenbank | EU (Frankfurt, AWS eu-central-1) | Nein |
| Cloudflare, Inc. | Dateien (R2), CDN, Schutz | Global | Ja — Standardvertragsklauseln |
| Vercel, Inc. | Anwendungshosting, temporäre Dateien (Vercel Blob) | Global | Ja — Standardvertragsklauseln |
| Stripe, Inc. | Zahlungsabwicklung | EU | Nein (primär) |
| Resend, Inc. | E-Mail-Versand | USA | Ja — Standardvertragsklauseln |
| Anthropic, PBC | KI-Kategorisierung, KI-Chat | USA | Ja — Standardvertragsklauseln |
| Google LLC | Google Analytics, Google OAuth | USA | Ja — Standardvertragsklauseln |
| Microsoft Corp. | Clarity (Analytik) | USA | Ja — Standardvertragsklauseln |
| CookieHub ehf. | Verwaltung der Cookie-Einwilligung (Cookie-Banner) | EU/EWR (Island) | Nein |
5.2 Was wir mit KI-Anbietern teilen
Bei der KI-Kategorisierung: Transaktionstexte (Beschreibung, Betrag, Datum). Beim KI-Chat: die Konversation und den Finanz-Snapshot (zusammengefasste Daten zu Konten, Anlagen, Budgets). Wir teilen niemals Anmeldedaten, Passwörter oder Zahlungsinformationen.
Der Nutzer kann in den Einstellungen einen eigenen API-Schlüssel für Anthropic, OpenAI oder Google Gemini hinterlegen — in diesem Fall werden die Daten direkt an den Anbieter übermittelt, ohne Aufschlag seitens Assetli.
5.3 Marktdaten
Live-Kurse: externe Marktdatenanbieter, insbesondere Yahoo Finance (Aktien und ETFs), CoinMarketCap/CoinGecko (Krypto), frankfurter.app — basierend auf den Referenzkursen der Europäischen Zentralbank (Wechselkurse). An diese Anbieter übermitteln wir keinerlei personenbezogene Daten — nur allgemeine Abfragen von Marktdaten (Aktiensymbol, Währungscode).
5.4 Wallet by BudgetBakers
Bei der Synchronisierung über WBB werden Transaktionen von WBB an Assetli übertragen. WBB ist ein unabhängiger Datenverantwortlicher mit eigener Lizenz für den Zugriff auf Bankdaten über Open Banking. Die Bedingungen der Datenverarbeitung richten sich nach den Bedingungen von BudgetBakers s.r.o.
5.5 Erklärung über den Nichtverkauf von Daten
Wir verkaufen, teilen oder geben Ihre personenbezogenen und finanziellen Daten niemals an Dritte zu Marketing-, Werbe- oder Geschäftszwecken weiter.
6. Datenübermittlung außerhalb der EU
Einige Verarbeitungen umfassen die Übermittlung von Daten in die USA (Anthropic, Resend, Cloudflare, Vercel, Google, Microsoft). Für diese Übermittlungen nutzen wir die von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Kopien der SCC sind auf Anfrage verfügbar.
7. Aufbewahrung der Daten
| Datentyp | Aufbewahrungsdauer |
|---|---|
| Registrierungsdaten | Für die Dauer des Bestehens des Kontos |
| Finanzdaten (Transaktionen, Konten, Anlagen) | Für die Dauer des Bestehens des Kontos |
| KI-Konversationen | Für die Dauer des Bestehens des Kontos (Nutzer kann jederzeit löschen) |
| Hochgeladene Dateien | Für die Dauer des Bestehens des Kontos |
| Zahlungsaufzeichnungen | 5 Jahre nach Durchführung der Zahlung (Steuervorschriften der Tschechischen Republik) |
| Nach Löschung des Kontos — personenbezogene Daten | Gelöscht innerhalb von 30 Tagen |
| Nach Löschung des Kontos — anonymisierte Finanzdaten | Können bis zu 5 Jahre aufbewahrt werden (gesetzliche Pflichten) |
| Inaktives Konto (in der Regel 12+ Monate ohne Anmeldung) | Der Betreiber behält sich das Recht vor, das Konto nach vorheriger E-Mail-Benachrichtigung (mit einer Frist zur Anmeldung) zu löschen |
| Importierte Dateien (CSV/PDF) | Verarbeitet und gelöscht — nicht dauerhaft aufbewahrt |
| Anmelde- und Fehlerprotokolle | 12 Monate |
8. Automatisierte Entscheidungsfindung und Profiling
8.1 KI-Kategorisierung von Transaktionen
Assetli verwendet die KI-Modelle Claude (Anthropic) zur automatischen Kategorisierung von Transaktionen anhand ihrer Beschreibung. Diese Verarbeitung hat keine unmittelbaren rechtlichen Folgen für den Nutzer, kann jederzeit manuell korrigiert werden und ist transparent — der Nutzer sieht die zugewiesene Kategorie.
8.2 Finanz-Score (0–850)
Assetli berechnet automatisch einen Finanzgesundheits-Score auf Basis von 7 Komponenten. Dieser Score dient ausschließlich der Information, beeinflusst nicht den Zugang zu Krediten oder anderen Finanzprodukten und wird nicht an Dritte weitergegeben.
8.3 Prognosen und Analytik
Cashflow-Prognosen, Latte-Factor-Analyse, Lifestyle-Inflation-Check und weitere analytische Funktionen sind automatisierte Berechnungen ausschließlich informativen Charakters.
8.4 Recht auf menschliche Überprüfung
Gemäß Art. 22 DSGVO hat der Nutzer das Recht auf eine menschliche Überprüfung jedes automatisierten Ergebnisses. Kontaktieren Sie info@assetli.app.
9. Ihre Rechte (DSGVO Art. 15–22)
| Recht | Wie Sie es ausüben |
|---|---|
| Recht auf Auskunft (Art. 15) | Einstellungen → Datenexport (DSGVO-Export im JSON-Format) |
| Recht auf Berichtigung (Art. 16) | Durch Bearbeitung der Daten in den Kontoeinstellungen |
| Recht auf Löschung (Art. 17) | Einstellungen → Danger Zone → Konto löschen |
| Recht auf Datenübertragbarkeit (Art. 20) | Einstellungen → Datenexport (vollständiger DSGVO-Export im JSON-Format) |
| Recht auf Einschränkung der Verarbeitung (Art. 18) | Kontaktieren Sie info@assetli.app |
| Widerspruchsrecht (Art. 21) | Einstellungen → Datenschutz, oder info@assetli.app |
| Recht auf Widerruf der Einwilligung | Einstellungen → Benachrichtigungen, Cookie-Banner |
Antwortfrist: 30 Tage. Bei komplexen Anträgen kann sie mit entsprechender Mitteilung um weitere 60 Tage verlängert werden.
Aufsichtsbehörde: Tschechische Datenschutzbehörde (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz, www.uoou.cz
10. Schutz von Kindern
Der Dienst ist nicht für Kinder unter 15 Jahren bestimmt (gemäß § 7 des Gesetzes Nr. 110/2019 Slg.). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 15 Jahren. Sollten wir feststellen, dass wir Daten von einer Person unter 15 Jahren ohne Einwilligung des gesetzlichen Vertreters erhoben haben, löschen wir diese Daten unverzüglich.
11. Sicherheit
11.1 Technische Maßnahmen
- Verschlüsselte Verbindungen (HTTPS/TLS)
- Hashing von Passwörtern (bcrypt, SALT_ROUNDS=12)
- Zwei-Faktor-Authentifizierung (TOTP)
- Schutz vor Brute-Force-Angriffen mit automatischer Kontosperrung
- Formularschutz reCAPTCHA v3
- Verschlüsselung sensibler Daten: Family-Legacy-Notizen (AES-256-GCM), API-Schlüssel (SHA-256-Hash)
- Datenbank gehostet in der EU (MongoDB Atlas, Frankfurt, AWS eu-central-1)
11.2 Meldung von Sicherheitsverletzungen
Gemäß Art. 33 und 34 DSGVO melden wir Sicherheitsverletzungen der Aufsichtsbehörde (ÚOOÚ) innerhalb von 72 Stunden nach Feststellung. Betroffene Nutzer informieren wir unverzüglich, sofern die Verletzung ein hohes Risiko darstellt.
11.3 Haftungsausschluss
Obwohl wir angemessene Maßnahmen umsetzen, ist keine Methode der Datenübertragung oder -speicherung zu 100 % sicher. Sollten Sie einen unbefugten Zugriff auf Ihr Konto feststellen, kontaktieren Sie uns bitte unverzüglich unter info@assetli.app.
11.4 Meldung von Schwachstellen
Wenn Sie eine Sicherheitsschwachstelle entdecken, kontaktieren Sie info@assetli.app. Wir schätzen die verantwortungsvolle Meldung von Schwachstellen und werden keine rechtlichen Schritte gegen Personen einleiten, die Schwachstellen in gutem Glauben melden.
12. Rechte von Nutzern außerhalb der EU
12.1 Vereinigtes Königreich (UK GDPR)
Die Verarbeitung von Daten von Nutzern im Vereinigten Königreich richtet sich nach der UK GDPR und dem Data Protection Act 2018. Ihre Rechte entsprechen den Rechten nach der EU-DSGVO. Aufsichtsbehörde: Information Commissioner's Office (ICO), www.ico.org.uk.
12.2 Kalifornien (CCPA/CPRA)
Wenn Sie in Kalifornien ansässig sind, haben Sie Rechte gemäß CCPA/CPRA:
- Recht auf Information über die erhobenen Daten
- Recht auf Löschung personenbezogener Daten
- Recht auf Berichtigung unrichtiger Daten
- Recht auf Widerspruch gegen den Verkauf/das Teilen — wir verkaufen oder teilen Ihre Daten nicht zu Werbezwecken
- Recht auf Nichtdiskriminierung
Kontaktieren Sie info@assetli.app. Wir antworten innerhalb von 45 Tagen.
12.3 Weitere US-Bundesstaaten
Einwohner von Colorado, Connecticut, Virginia und weiteren Bundesstaaten mit Datenschutzgesetzen können über ähnliche Rechte verfügen. Kontaktieren Sie info@assetli.app.
13. Aggregation und Anonymisierung
Wir behalten uns das Recht vor, aggregierte und anonymisierte Daten zum Zweck der Verbesserung des Dienstes und des Trainings von KI-Modellen zu erstellen. Aggregierte Daten dürfen keine Identifizierung eines einzelnen Nutzers ermöglichen und unterliegen nicht der DSGVO.
14. Änderungen dieser Erklärung
- Geringfügige Änderungen: auf der Website bekannt gegeben
- Wesentliche Änderungen: per E-Mail mindestens 30 Tage im Voraus bekannt gegeben
- Bei Änderungen, die eine Einwilligung erfordern, holen wir eine neue aktive Einwilligung ein
- Ältere Versionen werden archiviert und sind auf Anfrage verfügbar
15. Kontakt
Ondřej Smutný
E-Mail: info@assetli.app
Web: https://assetli.app
Adresse: Družstevní 511, 294 41 Dobrovice, Tschechische Republik
Datum des Inkrafttretens: 20. Juni 2026
© 2026 Assetli. Alle Rechte vorbehalten.