Datenschutzerklaerung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

[Vorname Nachname] [Strasse Hausnummer]
[PLZ Ort]
Deutschland

E-Mail: [kontakt@foliotrack.de]

2. Ueberblick der Verarbeitungen

FolioTrack ist ein webbasierter Portfolio-Tracker fuer Kryptowaehrungen und Aktien. Im Rahmen der Bereitstellung unseres Dienstes verarbeiten wir personenbezogene Daten zu folgenden Zwecken:

Kontoerstellung und Authentifizierung — Registrierung, Anmeldung und Absicherung Ihres Benutzerkontos mittels Zwei-Faktor-Authentifizierung (2FA).
Portfolioverwaltung — Speicherung und Darstellung Ihrer Bestands- und Transaktionsdaten.
Kurs- und Marktdaten — Serverseitige Abfrage aktueller Kursdaten bei externen Anbietern.
Technischer Betrieb — Protokollierung von Serverzugriffen zur Sicherstellung der Stabilitaet, Sicherheit und Fehleranalyse.

Es findet keine Verarbeitung personenbezogener Daten zu Werbe-, Marketing- oder Profilingzwecken statt.

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit der DSGVO. Wir stuetzen uns dabei auf folgende Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Soweit wir Ihre Einwilligung fuer bestimmte Verarbeitungsvorgaenge einholen, dient diese als Rechtsgrundlage. Eine erteilte Einwilligung kann jederzeit mit Wirkung fuer die Zukunft widerrufen werden.
Art. 6 Abs. 1 lit. b DSGVO — Vertragseruellung: Die Verarbeitung ist erforderlich fuer die Eruellung eines Vertrags, dessen Vertragspartei Sie sind, oder zur Durchfuehrung vorvertraglicher Massnahmen, die auf Ihre Anfrage hin erfolgen. Dies betrifft insbesondere die Bereitstellung Ihres Benutzerkontos und der Portfolioverwaltung.
Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen oder der Interessen eines Dritten erforderlich, sofern nicht Ihre Grundrechte und Grundfreiheiten ueberwiegen. Berechtigte Interessen sind insbesondere die Gewaehrleistung der IT-Sicherheit und der Schutz vor Missbrauch.

4. Erhebung personenbezogener Daten

4.1 Registrierung

Bei der Erstellung eines Benutzerkontos erheben wir folgende Daten:

E-Mail-Adresse
Passwort (wird ausschliesslich als kryptografischer Hash gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Eruellung des Nutzungsvertrags).

4.2 Authentifizierung und Zwei-Faktor-Authentifizierung (2FA)

Zur Absicherung Ihres Kontos bieten wir die Moeglichkeit einer zeitbasierten Zwei-Faktor-Authentifizierung (TOTP) an. Dabei wird ein TOTP-Secret generiert und verschluesselt auf unseren Servern gespeichert. Die Verarbeitung dient sowohl der Vertragseruellung als auch dem Schutz Ihres Kontos vor unbefugtem Zugriff.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragseruellung) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit).

4.3 Portfoliodaten

Im Rahmen der Nutzung von FolioTrack speichern wir Ihre Portfoliodaten, einschliesslich:

Bestandspositionen (Holdings)
Transaktionsdaten (Kaeufe, Verkaeufe, Zeitstempel, Betraege)

Portfoliodaten werden verschluesselt gespeichert (Encryption at Rest), um ein Hoechstmass an Schutz Ihrer Finanzdaten zu gewaehrleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kernfunktionalitaet des Dienstes).

4.4 Server-Logfiles

Bei jedem Zugriff auf unseren Dienst werden automatisch Informationen durch den Webserver erfasst. Diese Server-Logfiles umfassen:

IP-Adresse des zugreifenden Geraets
User-Agent (Browsertyp und -version, Betriebssystem)
Zeitstempel des Zugriffs

Die Daten werden zur Sicherstellung eines stoerungsfreien Betriebs, zur Erkennung und Abwehr von Angriffen sowie zur Fehleranalyse verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit).

Speicherdauer: Server-Logfiles werden nach 14 Tagen automatisch geloescht.

5. Cookies

FolioTrack verwendet ausschliesslich technisch notwendige Session-Cookies zur Authentifizierung und Aufrechterhaltung Ihrer Sitzung. Diese Cookies sind als HttpOnly gekennzeichnet und koennen nicht durch clientseitiges JavaScript ausgelesen werden.

Keine Einwilligung erforderlich: Der Einsatz technisch notwendiger Cookies ist gemaess § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ohne Einwilligung zulaessig, da sie fuer die Bereitstellung des von Ihnen ausdruecklich angeforderten Dienstes unbedingt erforderlich sind.

Es werden keine Analyse-, Tracking- oder Werbe-Cookies eingesetzt. Es findet kein Cookie-basiertes Tracking statt.

6. Externe Dienste

6.1 CoinGecko API

Zur Abfrage aktueller Kryptowaehrungskurse nutzen wir die API von CoinGecko. Die Abfragen erfolgen ausschliesslich serverseitig — es wird keine direkte Verbindung zwischen Ihrem Browser und CoinGecko hergestellt. An CoinGecko wird lediglich die IP-Adresse unseres Servers uebermittelt.

Anbieter: Gecko Labs Pte. Ltd., Singapur
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Kernfunktionalitaet)
Drittlandtransfer: Singapur. Absicherung durch Standardvertragsklauseln (SCCs) gemaess Art. 46 Abs. 2 lit. c DSGVO.

6.2 Alpha Vantage API

Fuer aktuelle Aktienkurse nutzen wir die API von Alpha Vantage. Auch hier erfolgen die Abfragen ausschliesslich serverseitig. An Alpha Vantage wird lediglich die IP-Adresse unseres Servers uebermittelt.

Anbieter: Alpha Vantage Inc., USA
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Kernfunktionalitaet)
Drittlandtransfer: USA. Absicherung durch das EU-US Data Privacy Framework gemaess Art. 45 DSGVO (Angemessenheitsbeschluss der Europaeischen Kommission).

6.3 Schriftarten (Fonts)

Alle auf dieser Website verwendeten Schriftarten werden lokal auf unserem Server gehostet. Es wird beim Laden der Schriftarten keine Verbindung zu externen Servern (wie z. B. Google Fonts) hergestellt. Somit werden in diesem Zusammenhang keine personenbezogenen Daten an Dritte uebermittelt.

7. Datenweitergabe

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, soweit dies fuer die Erbringung unseres Dienstes erforderlich ist oder eine gesetzliche Verpflichtung besteht. Im Rahmen unseres Dienstes koennen folgende Kategorien von Empfaengern Zugang zu Ihren Daten erhalten:

Hosting-Anbieter: [Name und Anschrift des Hosting-Anbieters] — Betrieb der Serverinfrastruktur. Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO liegt vor.
Zahlungsdienstleister (sofern zutreffend): [Name und Anschrift des Zahlungsdienstleisters] — Abwicklung von Zahlungsvorgaengen. Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO liegt vor.

Eine darueber hinausgehende Uebermittlung Ihrer Daten an Dritte findet nicht statt, es sei denn, Sie haben ausdruecklich eingewilligt oder wir sind gesetzlich dazu verpflichtet.

8. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Massnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstoerung oder Veraenderung zu schuetzen. Zu diesen Massnahmen gehoeren insbesondere:

Verschluesselung auf Anwendungsebene: Sensible Daten wie Portfolioinformationen und TOTP-Secrets werden verschluesselt gespeichert (Encryption at Rest).
Transportverschluesselung: Saemtliche Daten werden ausschliesslich ueber TLS/HTTPS verschluesselt uebertragen.
Zwei-Faktor-Authentifizierung (2FA): Optionale, zusaetzliche Absicherung des Benutzerkontos durch zeitbasierte Einmalpasswoerter (TOTP).
Zugriffskontrolle: Der Zugriff auf personenbezogene Daten ist auf ein Minimum beschraenkt und durch angemessene Berechtigungskonzepte gesichert.

Trotz aller Sorgfalt kann keine Methode der elektronischen Uebertragung oder Speicherung absolute Sicherheit garantieren. Wir ueberpruefen und verbessern unsere Sicherheitsmassnahmen fortlaufend.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es fuer die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Datenkategorie	Speicherdauer
Kontodaten (E-Mail, Passwort-Hash)	Dauer des Vertragsverhaeltnisses + 30 Tage
Portfoliodaten (Holdings, Transaktionen)	Bis zur Loeschung des Benutzerkontos
Server-Logfiles	14 Tage
Abrechnungsdaten	10 Jahre (gemaess § 147 AO)

Nach Ablauf der jeweiligen Speicherdauer werden die Daten sicher geloescht, sofern keine anderweitigen gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Betroffenenrechte

Als betroffene Person stehen Ihnen die folgenden Rechte gegenueber dem Verantwortlichen zu. Zur Ausuebung Ihrer Rechte koennen Sie sich jederzeit unter der oben genannten Kontaktadresse an uns wenden.

Art. 15 Recht auf Auskunft — Sie haben das Recht, eine Bestaetigung darueber zu verlangen, ob personenbezogene Daten verarbeitet werden, und gegebenenfalls Auskunft ueber diese Daten sowie weitere Informationen und eine Kopie der Daten zu erhalten.
Art. 16 Recht auf Berichtigung — Sie haben das Recht, die Vervollstaendigung oder Berichtigung unrichtiger personenbezogener Daten zu verlangen.
Art. 17 Recht auf Loeschung — Sie haben das Recht, die unverzuegliche Loeschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen.
Art. 18 Recht auf Einschraenkung der Verarbeitung — Sie haben das Recht, die Einschraenkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Art. 20 Recht auf Datenuebertragbarkeit — Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu uebermitteln.
Art. 21 Widerspruchsrecht — Sie haben das Recht, gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, jederzeit Widerspruch einzulegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir koennen zwingende schutzwuerdige Gruende nachweisen.
Art. 7 Abs. 3 Recht auf Widerruf der Einwilligung — Sofern eine Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung fuer die Zukunft zu widerrufen. Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht beruehrt.
Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehoerde — Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehoerde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmasslichen Verstosses.

11. Pflicht zur Bereitstellung

Die Angabe Ihrer E-Mail-Adresse ist fuer die Erstellung eines Benutzerkontos und die Nutzung von FolioTrack erforderlich. Ohne die Bereitstellung dieser Daten koennen wir den Dienst nicht erbringen und kein Vertragsverhraeltnis begruenden.

Die Angabe weiterer Daten (z. B. Portfoliodaten) erfolgt freiwillig im Rahmen der Nutzung des Dienstes.

12. Aenderungen dieser Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um sie an geaenderte Rechtslagen, technische Neuerungen oder Aenderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Wir empfehlen Ihnen, diese Datenschutzerklaerung regelmaessig auf Aktualisierungen zu ueberpruefen.