Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Planora-Webanwendung ist:

Nico Helfrich (Planora Finance)
E-Mail: [email protected]

Die vollständige ladungsfähige Anschrift findest du im Impressum.

2. Datenschutz auf einen Blick

Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst. Wir verarbeiten deine Daten ausschließlich zu den unten beschriebenen Zwecken und auf den genannten Rechtsgrundlagen (DSGVO).

Du hast jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch (siehe Abschnitt 12). Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

3. Hosting & Infrastruktur

3.1 Edge / CDN / DDoS-Schutz — Cloudflare

Sämtlicher Datenverkehr zur Webseite und zur Webanwendung wird über das CDN- und Sicherheitsnetzwerk von Cloudflare geleitet.

Anbieter: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA — innerhalb der EU vertreten durch Cloudflare Germany GmbH, Rosental 7, 80331 München.

Verarbeitete Daten: IP-Adresse, Browser-Typ und -Version, Betriebssystem, Referrer-URL, aufgerufene Pfade, Zeitstempel — automatisch beim Verbindungsaufbau (HTTP-Header).

Zweck: Ausspielung der Inhalte mit hoher Verfügbarkeit, Schutz vor DDoS-Angriffen und Bots, TLS-Terminierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, performanten Bereitstellung).

Drittlandübermittlung: Cloudflare ist ein US-Unternehmen. Es kommt zur Übermittlung in die USA. Cloudflare ist nach dem EU-US Data Privacy Framework zertifiziert und setzt zusätzlich Standardvertragsklauseln nach Art. 46 DSGVO ein. Auf Routing-Ebene werden Anfragen aus Europa bevorzugt über europäische Rechenzentren bedient.

Details: cloudflare.com/privacypolicy

3.2 Application-Hosting — Google Cloud Platform

Die Planora-Webanwendung läuft als Container auf der Google Cloud Platform. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (für EU-Nutzer); Mutterunternehmen Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Verarbeitete Daten: Server-Logs (IP-Adresse, Pfad, Zeitstempel, User-Agent, Antwortcode) — befristet zur Fehleranalyse und Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb).

Drittlandübermittlung: Google ist nach dem EU-US Data Privacy Framework zertifiziert und verwendet Standardvertragsklauseln gemäß Art. 46 DSGVO.

Details: cloud.google.com/privacy

3.3 Datenbank — MongoDB Atlas (EU-Frankfurt)

Account-Daten und Finanzdaten der Webanwendung werden in einem verwalteten MongoDB-Atlas-Cluster in der Region Frankfurt am Main, Deutschland gespeichert.

Anbieter: MongoDB, Inc., 1633 Broadway, New York, NY 10019, USA.

Verarbeitete Daten: Accountdaten (E-Mail, Vorname, bcrypt-Passworthash), Finanzdaten (Einnahmen, Ausgaben, Konten, Anlagen, Meilensteine, Umschichtungen, Verbindungen, Einstellungen), Subscription-Status (Plan, Trial-Daten, Stripe-Customer-Referenz), Waitlist-Einträge, Finanzcheck-Leads, Funnel-Events.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Auftragsverarbeitung: Mit MongoDB besteht ein Vertrag zur Auftragsverarbeitung (DPA) nach Art. 28 DSGVO.

Drittlandübermittlung: MongoDB ist ein US-Unternehmen. Speicherung erfolgt in der EU; ein Zugriff aus den USA (z. B. für Administration und Support) kann technisch jedoch nicht ausgeschlossen werden. MongoDB ist nach dem EU-US Data Privacy Framework zertifiziert und verwendet Standardvertragsklauseln nach Art. 46 DSGVO.

Details: mongodb.com/legal/privacy-policy

4. Warteliste (Pre-Launch-Phase)

Wenn du dich für die Planora-Warteliste einträgst, erfassen wir folgende Daten:

• Vorname
• E-Mail-Adresse
• Quelle deines Eintrags (z. B. „hero_inline", „modal" — rein technisch zur Analyse, woher Anmeldungen kommen)
• User-Agent (Browser-/Geräte-Kennung) — gekürzt auf 200 Zeichen
• Zeitstempel der Anmeldung

Zweck: Wir senden dir eine persönliche Willkommens-Mail sowie — bis zum Launch und darüber hinaus — E-Mails mit Produkt-Updates, neuen Features, Vorschauen und gelegentlichen Angeboten. Diesen Versand kannst du jederzeit beenden, indem du den Abmelde-Link in jeder unserer E-Mails nutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch den Wartelisten-Eintrag). Die Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Speicherdauer: Bis zum Widerruf der Einwilligung, längstens jedoch 36 Monate nach Eintrag, sofern in dieser Zeit kein Account angelegt wurde. Bei Account-Anlage werden die Daten in dein Nutzerkonto übernommen.

5. Account & Authentifizierung

Für die Nutzung der Webanwendung legst du einen Account an. Dabei verarbeiten wir:

• E-Mail-Adresse (zur Anmeldung und Kontaktaufnahme)
• Name / Vorname (zur Personalisierung)
• Passwort — wird ausschließlich als bcrypt-Hash (Salt + 12 Runden) gespeichert, nie im Klartext
• Subscription-Status (Plan, Trial-Daten, Stripe-Referenz)
• App-Inhalte: Einnahmen, Ausgaben, Konten, Anlagen, Meilensteine, Verbindungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Löschung des Accounts durch dich. Du kannst deinen Account jederzeit in den Einstellungen löschen (Abschnitt 10).

6. Finanzcheck — Lead-Funnel

Unter planora.finance/finanzcheck bieten wir eine kostenlose Selbstanalyse an. Wenn du diese durchläufst, erfassen wir:

• Deine Antworten auf die Funnel-Fragen (Lebenssituation, finanzielle Selbsteinschätzung)
• Berechnetes Zukunfts-Profil und Score
• E-Mail-Adresse (wenn du den Bericht zugesendet bekommst)
• Vorname (optional, für die Personalisierung des Berichts)
• Zeitstempel und User-Agent

Zweck: Erstellung und Versand deines persönlichen Zukunfts-Profils per E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das Absenden der E-Mail-Adresse).

Speicherdauer: 24 Monate ab Funnel-Durchlauf, sofern in dieser Zeit kein Account angelegt wird.

7. Zahlungen — Stripe

Für kostenpflichtige Abonnements (Basic / Pro) nutzen wir den Zahlungsdienstleister Stripe.

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland.

Verarbeitete Daten: E-Mail-Adresse, Rechnungsadresse, Zahlungsmethoden-Token (z. B. Kreditkarte, SEPA, Apple/Google Pay — die vollständigen Zahlungsdaten verarbeitet ausschließlich Stripe), Transaktionshistorie, Abo-Status, Stripe-Customer- und -Subscription-ID.

Zweck: Abwicklung der Zahlung, Rechnungsstellung, Subscription-Management (Trial, Kündigung, Plan-Wechsel) über das Stripe-Kundenportal.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Hinweis Drittland: Stripe verarbeitet Daten primär in Irland. Eine Übermittlung an die US-Muttergesellschaft kann erfolgen — abgesichert über das EU-US Data Privacy Framework und Standardvertragsklauseln.

Details: stripe.com/de/privacy

8. E-Mail-Versand — Resend

Für den Versand sämtlicher E-Mails nutzen wir den Dienst Resend.

Anbieter: Resend, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA.

Versandte E-Mail-Typen:

• Wartelisten-Willkommens-Mail (bei Eintrag)
• Produkt-Updates, neue Features, Vorschauen, gelegentliche Angebote (Marketing — bis zum Abmelden)
• Account-Verifizierungs- und Passwort-Reset-Mails (transaktional)
• Einladungs-Mails (Pre-Launch-Einladung mit Token)
• Plan-Wechsel- und Trial-Ende-Benachrichtigungen (transaktional)
• Finanzcheck-Berichte (auf Anforderung im Funnel)

Verarbeitete Daten: E-Mail-Adresse, Inhalt der Mail, Versandzeitpunkt, Zustellstatus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — transaktionale Mails) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Wartelisten- und Update-/Marketing-Mails). Jede Marketing-Mail enthält einen funktionierenden Abmelde-Link.

Drittland: Resend ist ein US-Unternehmen. Übermittlung erfolgt auf Basis von Standardvertragsklauseln nach Art. 46 DSGVO.

Details: resend.com/legal/privacy-policy

9. Cookies, Local- & SessionStorage

9.1 Technisch notwendiges Auth-Cookie

Name: auth-token
Zweck: Speichert deine Anmeldung als signiertes JWT, damit du dich nicht bei jedem Seitenaufruf neu einloggen musst.
Eigenschaften: HttpOnly (für JavaScript nicht lesbar), Secure (HTTPS-only in Production), SameSite=Lax.
Laufzeit: 7 Tage; wird beim Logout oder bei Account-Löschung sofort entwertet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technisch zwingend für die Vertragserfüllung).

9.2 LocalStorage / SessionStorage

• cookie-consent — Speichert deine Wahl im Cookie-Banner („all" oder „necessary"). Dauerhaft, bis du den Browser-Storage selbst leerst.
• theme_preference — Speichert deine Farbschema-Wahl (Dark / Light). Dauerhaft.
• anonymousId & sessionId — Zufällig erzeugte Kennungen ohne Personenbezug. Werden für das eigene Funnel-Tracking benötigt (Abschnitt 10).

9.3 Dritt-Cookies (Stripe Checkout)

Beim Aufruf des Stripe Checkouts oder des Stripe-Kundenportals werden Cookies durch Stripe gesetzt — zur Betrugsprävention und Session-Verwaltung. Details: stripe.com/de/privacy.

9.4 Keine Tracking-Cookies von Drittanbietern

Wir verwenden keine Google Analytics, kein Facebook Pixel, keine Heatmaps, keine Session-Replays.

10. Eigenes, datenschutzarmes Funnel-Tracking

Wir erfassen ausgewählte technische Nutzungsereignisse (z. B. Seitenaufrufe, Klicks auf CTAs, Onboarding-Schritte), um die Bedienbarkeit unseres Funnels zu verbessern.

Was wir speichern

• Event-Name (whitelisted — keine beliebigen Felder)
• Pfad der Seite
• Geräte- und Browsertyp (technisch, anonymisiert)
• Zufällig erzeugte anonymousId und sessionId (Browser-Storage)
• Optional die Account-ID, falls eingeloggt

Was wir NICHT speichern

• Vollständige IP-Adressen
• Zahlungs- oder Finanzwerte (Beträge, Gehälter, Kontostände)
• Passwörter, Eingabefeld-Inhalte
• Session-Replays oder Heatmaps

Speicherort: Ausschließlich in unserer eigenen MongoDB-Datenbank — keine Übermittlung an Dritte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktverbesserung mit minimalem Datenfußabdruck). Du kannst dem Tracking jederzeit widersprechen, indem du im Cookie-Banner „Nur Notwendige" auswählst — dann unterbleibt jeglicher Funnel-Event-Versand.

11. Account-Löschung & Datenportabilität

Recht auf Löschung (Art. 17 DSGVO). Du kannst deinen Account jederzeit in den Einstellungen unter „Account löschen" unwiderruflich löschen. Folgende Daten werden dabei sofort entfernt:

• Account (E-Mail, Vorname, Passworthash, Subscription-Status)
• App-Inhalte (Einnahmen, Ausgaben, Konten, Anlagen, Meilensteine, Verbindungen, Einstellungen)
• Funnel-Events, die mit deiner Account-ID verknüpft sind

Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Schreib uns an [email protected], um deine Daten in strukturierter, maschinenlesbarer Form zu erhalten.

12. Deine Rechte (DSGVO)

• Recht auf Auskunft (Art. 15)
• Recht auf Berichtigung (Art. 16)
• Recht auf Löschung (Art. 17)
• Recht auf Einschränkung der Verarbeitung (Art. 18)
• Recht auf Datenübertragbarkeit (Art. 20)
• Recht auf Widerspruch (Art. 21)
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) — mit Wirkung für die Zukunft
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77) — z. B. dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Anfragen richte bitte an [email protected].

13. Datensicherheit

• Verschlüsselte Übertragung via TLS (HTTPS)
• Passwörter ausschließlich als bcrypt-Hashes (Salt + 12 Runden)
• JWT-Tokens, signiert mit serverseitigem Geheimnis, 7 Tage Gültigkeit
• Rate-Limiting auf sensiblen Endpoints (Login, Passwort-Reset, Waitlist)
• Strikte Daten-Isolation: Jeder Nutzer kann ausschließlich seine eigenen Daten lesen und schreiben

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen abzubilden — z. B. bei Einführung neuer Funktionen. Für deinen erneuten Besuch gilt dann die neue Datenschutzerklärung.