Datenschutzerklärung
Stand: Juni 2026
Zusammenfassung: Penunz speichert deine Daten auf Servern in Deutschland. Wir verwenden keine Tracking-Cookies, kein Google Analytics, keine externen CDNs. Deine Finanzdaten gehören dir — du kannst sie jederzeit exportieren und dein Konto vollständig löschen.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Konstantinos Charalabidis
steroi.de
Bismarckstr. 9, 73262 Reichenbach an der Fils
E-Mail: info@penunz.de
2. Welche Daten wir erheben
2.1 Account-Daten (bei Registrierung)
- E-Mail-Adresse (als Login und für Benachrichtigungen)
- Name (für Rechnungsstellung und Anzeige)
- Passwort (nur als bcrypt-Hash gespeichert, niemals im Klartext)
2.2 Finanzdaten (von dir eingegeben)
- Rechnungen, Ausgaben, Belege, Angebote
- Kunden- und Lieferantendaten
- Bankverbindungen (IBAN, BIC)
- Steuer-IDs (Steuernummer, USt-IdNr.)
- Fahrtenbuch-Einträge
- Zeiterfassungs-Einträge
Diese Daten werden ausschließlich zur Bereitstellung der Buchhaltungsfunktionen verwendet und niemals an Dritte verkauft oder zu Werbezwecken genutzt.
2.3 Technische Daten (automatisch)
- IP-Adresse (für Sicherheit und Brute-Force-Schutz, nicht für Tracking)
- Browser User-Agent (für Sicherheits-Logging)
- Zeitstempel von Aktionen (Audit-Log)
3. Wie wir deine Daten speichern
| Datentyp | Speicherort | Verschlüsselung |
|---|---|---|
| Account-Daten | PostgreSQL (Deutschland) | Passwort: bcrypt (Cost 12) |
| Finanzdaten | PostgreSQL (Deutschland) | TLS in Transit, Optional: AES-256-GCM |
| Belege/Dokumente | Server-Dateisystem (Deutschland) | Zugriff nur über Auth + User-Isolation |
| E-Mail-Credentials | PostgreSQL | AES-256-GCM (verschlüsselt in DB) |
| Session | HttpOnly Cookie (JWT) | Signiert + sameSite: strict |
Alle Server stehen in Deutschland. Es findet keine Datenübermittlung in Drittstaaten statt, außer wenn du explizit externe Dienste aktivierst (siehe Abschnitt 5).
4. Cookies und Tracking
Wir verwenden kein Google Analytics, kein Facebook Pixel, keine Werbe-Tracker.
- auth_token — HttpOnly Session-Cookie (JWT). Wird für die Anmeldung benötigt. Läuft nach 24 Stunden ab. Kann nicht von JavaScript gelesen werden.
- cookie_consent — Speichert deine Cookie-Einstellung. Kein Tracking.
Es gibt keine Tracking-Cookies, keine Third-Party-Cookies, keine Fingerprinting-Technologien.
5. Externe Dienste
5.1 KI-Steuerberatung (Mistral AI)
Wenn du die KI-Steuerberatung nutzt, werden anonymisierte Finanzdaten (keine Namen, keine Adressen, keine IBANs) an Mistral AI (Frankreich, EU) gesendet. Mistral AI unterliegt der DSGVO. Es werden nur aggregierte Zahlen übermittelt (Jahresumsatz, Ausgabenkategorien, Branche).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung durch Nutzung der Funktion).
5.2 E-Mail-Integration (IMAP/Gmail)
Wenn du dein E-Mail-Konto verbindest (IMAP oder Gmail OAuth), werden E-Mails auf Rechnungs-Anhänge geprüft. IMAP-Zugangsdaten werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert. Gmail nutzt OAuth2 — dein Passwort wird nie gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung durch Verbindung des Kontos).
5.3 Zahlungsabwicklung (Stripe)
Für kostenpflichtige Pläne nutzen wir Stripe (Stripe Payments Europe, Irland). Stripe verarbeitet Zahlungsdaten (Kreditkarte, SEPA) nach eigener Datenschutzerklärung. Wir speichern keine vollständigen Zahlungsdaten — nur die Stripe-Kunden-ID und den Plan-Status.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5.4 Google OAuth (optionaler Login)
Wenn du dich über Google anmeldest, erhalten wir deinen Namen, deine E-Mail-Adresse und dein Profilbild von Google. Wir speichern die Google-ID zur Zuordnung. Google erhält keine Daten von Penunz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung durch Klick auf "Mit Google anmelden").
5.5 Kartendarstellung (OpenStreetMap)
Das Fahrtenbuch nutzt OpenStreetMap-Kacheln und OSRM-Routing. Dabei wird deine IP-Adresse an die OpenStreetMap-Server übermittelt. Es werden keine persönlichen Daten gesendet.
6. E-Mail-Versand
Penunz versendet E-Mails für: Rechnungen, Mahnungen, Passwort-Reset, E-Mail-Verifizierung, Steuerberater-Einladungen. Der Versand erfolgt über deinen eigenen E-Mail-Account (Gmail/SMTP, wenn verbunden) oder über den Penunz-Server-SMTP. Empfänger-Adressen werden nicht für Marketing verwendet.
7. Steuerberater-/Finanzamt-Zugang
Du kannst deinem Steuerberater oder dem Finanzamt einen zeitlich begrenzten, schreibgeschützten Zugang zu deinen Daten gewähren. Der Zugang wird über einen kryptographischen Token (256 Bit) gesichert. Du bestimmst welche Daten sichtbar sind und kannst den Zugang jederzeit widerrufen.
8. Datensicherheit
- HTTPS/TLS für alle Verbindungen (HSTS aktiviert)
- Passwörter: bcrypt mit Cost-Faktor 12
- E-Mail-Credentials: AES-256-GCM verschlüsselt
- JWT-Tokens: HttpOnly, Secure, sameSite: strict
- Brute-Force-Schutz auf Login, 2FA und Invoice-PINs
- Rate-Limiting auf allen API-Endpoints
- Content Security Policy (CSP) mit frame-ancestors 'none'
- Regelmäßige Security-Audits (automatisiert)
- Tägliche Backups der Uploads und Datenbank
- Keine externen JavaScript-CDNs (alle Bibliotheken lokal)
9. Deine Rechte (DSGVO Art. 15–21)
- Auskunft (Art. 15): Du kannst jederzeit erfahren welche Daten wir über dich speichern — sichtbar in deinem Account unter "Einstellungen".
- Berichtigung (Art. 16): Du kannst alle deine Daten selbst in der App bearbeiten.
- Löschung (Art. 17): Du kannst dein Konto vollständig löschen. Nach einer 30-tägigen Sicherheitsfrist werden alle Daten unwiderruflich gelöscht.
- Datenübertragbarkeit (Art. 20): Du kannst alle Daten jederzeit als JSON-Backup exportieren (Funktion "Backup" in der App).
- Widerspruch (Art. 21): Du kannst der Verarbeitung jederzeit widersprechen, indem du dein Konto löschst.
- Beschwerde: Du hast das Recht, dich bei der zuständigen Datenschutzbehörde zu beschweren (Landesbeauftragter für Datenschutz Baden-Württemberg).
10. Aufbewahrungsfristen
| Datentyp | Frist | Grund |
|---|---|---|
| Account-Daten | Bis zur Löschung + 30 Tage | Vertragserfüllung |
| Rechnungsdaten | 10 Jahre | Gesetzliche Aufbewahrungspflicht (§147 AO, §14b UStG) |
| Sicherheits-Logs | 90 Tage | Berechtigtes Interesse (IT-Sicherheit) |
| Backup-Dateien | 7 Tage | Datensicherheit |
11. Newsletter
Wenn du dich für den Newsletter anmeldest, speichern wir deine E-Mail-Adresse und die Herkunft (welche Seite). Wir versenden maximal 1 E-Mail pro Monat. Du kannst dich jederzeit abmelden — über den Link in jeder E-Mail oder über penunz.de/api/newsletter/unsubscribe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung durch Eintragung).
12. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen an der App oder der Rechtslage anzupassen. Die aktuelle Version findest du immer unter penunz.de/datenschutz.
13. Kontakt
Bei Fragen zum Datenschutz: info@penunz.de