Zum Hauptinhalt springen
Datenschutz-Übersicht

Datenschutzerklärung

Deine Daten gehören dir. Diese Datenschutzerklärung gilt ausschließlich für die fynshare Webapp unter app.fynshare.com. Für die Marketingseite (fynshare.com) gilt eine separate Datenschutzerklärung.

1. Geltungsbereich

Diese Datenschutzerklärung gilt für die fynshare Webapp unter app.fynshare.com. Sie informiert dich darüber, welche personenbezogenen Daten bei der Nutzung der Anwendung erhoben, verarbeitet und gespeichert werden.

Für die Marketingseite unter fynshare.com gilt eine separate Datenschutzerklärung.

2. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Stefan Hinze

fynshare

Galenusstr. 63B

13187 Berlin

E-Mail: E-Mail senden

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich.

3. Registrierung und Nutzerkonto

Bei der Registrierung erheben wir folgende Daten:

  • E-Mail-Adresse – als Anmeldedaten und zur Kommunikation
  • Passwort – wird ausschließlich als kryptografischer Hash (bcrypt) gespeichert, nie im Klartext
  • Anzeigename (optional) – zur Darstellung innerhalb der Anwendung

Nach der Registrierung speichern wir zusätzlich deinen Abo-Status (Tier) sowie ggf. eine Stripe Customer ID und Stripe Subscription ID, sofern du ein kostenpflichtiges Abonnement abschließt (siehe Abschnitt Zahlungsabwicklung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Kontolöschung (siehe Abschnitt Kontolöschung).

4. Nutzung der Anwendung

Zur Bereitstellung der Kernfunktionen verarbeiten wir folgende Daten:

Vertragsdaten

Wenn du Verträge anlegst, speichern wir die von dir eingegebenen Angaben: Anbieter, Beschreibung, Preis, Zahlungsintervall, Laufzeit und Kündigungsfrist. Pro Vertrag wird automatisch eine aktive Laufzeitperiode berechnet und gespeichert.

Gruppendaten

Bei der Nutzung von Gruppen speichern wir den Gruppennamen, deine Mitgliedschaft und deine Rolle innerhalb der Gruppe.

Kostenbeteiligung

Wenn ein Vertrag mehreren Personen zugeordnet ist, speichern wir pro Person die Rolle (Eigentümer oder Mitnutzer) und den individuellen Kostenanteil.

Einladungen

Beim Einladen von Personen in eine Gruppe wird ein Einladungstoken mit Ablaufdatum erzeugt und gespeichert. Einladungen werden nach Annahme oder Ablauf gelöscht.

Benachrichtigungsprotokoll

Um doppelte Benachrichtigungen zu vermeiden, protokollieren wir, welche Benachrichtigungen an dich versendet wurden (Typ, Zeitpunkt, Bezug zur Laufzeitperiode).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Kontolöschung bzw. bis zur Löschung des jeweiligen Vertrags oder der Gruppe.

5. Benachrichtigungen per E-Mail

Alle E-Mails werden über den Dienstleister Brevo (Sendinblue GmbH, Berlin, Deutschland) versendet. Dies gilt auch für Authentifizierungs-E-Mails (Bestätigungslink, Passwort-Zurücksetzen), die über den Custom-SMTP-Versand von Supabase an Brevo weitergeleitet werden.

An Brevo werden je nach E-Mail-Typ deine E-Mail-Adresse, dein Anzeigename und ggf. vertragsbezogene Daten (Anbieter, Beschreibung, Kostenanteil, Periodendaten) übermittelt.

Transaktionale E-Mails (nicht abschaltbar)

Folgende E-Mails sind für den Betrieb der Anwendung erforderlich:

  • Bestätigungslink nach der Registrierung
  • Passwort-Zurücksetzen
  • Willkommensnachricht nach der Registrierung
  • Hinweis bei bevorstehendem Downgrade (Plus-Ablauf)
  • Bestätigung der Kontolöschung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Optionale Erinnerungen (abschaltbar)

Folgende E-Mails kannst du in deinen Einstellungen aktivieren oder deaktivieren:

  • Zahlungserinnerungen zu Beginn einer neuen Laufzeitperiode
  • Warnungen vor Ablauf der Kündigungsfrist eines Vertrags

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit in deinen Einstellungen widerrufen.

6. Zahlungsabwicklung

Für kostenpflichtige Abonnements nutzen wir Stripe Inc. (San Francisco, USA) als Zahlungsdienstleister.

Beim Abschluss eines Abonnements wirst du zu Stripe Checkout weitergeleitet. Zahlungsdaten (z.B. Kreditkartennummer) gibst du direkt bei Stripe ein. Diese Daten werden zu keinem Zeitpunkt auf fynshare-Servern gespeichert.

An Stripe übermitteln wir deine E-Mail-Adresse. Stripe gibt uns eine Stripe Customer ID und eine Stripe Subscription ID zurück, die wir in deinem Nutzerkonto speichern. Für die Verwaltung deiner Zahlungsmethoden leiten wir dich an das Stripe Customer Portal weiter.

Stripe ist für bestimmte Verarbeitungen (z.B. Betrugsprävention) eigenständiger Verantwortlicher und für die Zahlungsabwicklung unser Auftragsverarbeiter. Weitere Informationen findest du in der Datenschutzerklärung von Stripe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandtransfer: Stripe ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Ergänzend gelten EU-Standardvertragsklauseln.

7. Hosting und Infrastruktur

Für den Betrieb der Anwendung setzen wir folgende Auftragsverarbeiter ein:

Supabase Inc. (USA, Daten in EU)

Supabase betreibt unsere PostgreSQL-Datenbank und die Authentifizierung. Die Datenbank befindet sich in der EU-Region Frankfurt (eu-central-1). Ein Zugriff durch Mitarbeiter aus den USA zu Support- und Wartungszwecken kann nicht ausgeschlossen werden.

Sendinblue GmbH / Brevo (Deutschland)

Brevo versendet alle E-Mails der Anwendung, einschließlich der Authentifizierungs-E-Mails über Supabase Custom SMTP. Brevo ist ein deutsches Unternehmen mit Sitz in Berlin. Es findet kein Drittlandtransfer statt. Das Data Processing Agreement ist Bestandteil der AGB.

Railway Corporation (USA)

Railway hostet unseren Backend-Server (Node.js). Railway ist nach dem EU-U.S. Data Privacy Framework zertifiziert.

Vercel Inc. (USA)

Vercel hostet das Frontend (statische Dateien der Single-Page-Application). Vercel ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Das Data Processing Addendum ist Bestandteil der Nutzungsbedingungen.

Stripe Inc. (USA)

Stripe wickelt die Zahlungen ab (siehe Abschnitt Zahlungsabwicklung). Stripe ist nach dem EU-U.S. Data Privacy Framework zertifiziert. Das Data Processing Agreement ist Bestandteil der Nutzungsbedingungen.

Hinweis zum Drittlandtransfer

Für alle US-Anbieter (Supabase, Railway, Vercel, Stripe) gelten neben der DPF-Zertifizierung ergänzend die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als Transfermechanismus. Trotz dieser Maßnahmen kann nicht vollständig ausgeschlossen werden, dass US-Behörden im Einzelfall auf personenbezogene Daten zugreifen.

8. Clientseitige Datenspeicherung

Zur Authentifizierung speichert die Anwendung Session-Tokens (Access Token und Refresh Token) im localStorage deines Browsers. Diese werden vom Supabase SDK verwaltet. Das Access Token ist kurzlebig (ca. 1 Stunde, automatische Erneuerung). Das Refresh Token bleibt bis zum Logout oder Ablauf bestehen.

Die Anwendung setzt keine Cookies im klassischen Sinne und keine Third-Party-Cookies.

Es findet kein Tracking statt. Wir setzen keine Analytics-Tools und keine Tracking-Pixel ein.

Externe Schriftarten werden nicht geladen. Die verwendete Schriftart (Inter) wird als npm-Paket selbst gehostet.

9. Rate Limiting und IP-Adressen

Zum Schutz vor Missbrauch setzt die Anwendung Rate Limiting ein. Dabei wird deine IP-Adresse kurzfristig im Arbeitsspeicher (RAM) des Servers gehalten.

Es findet keine persistente Speicherung von IP-Adressen statt. Die Daten werden bei jedem Neustart des Servers gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit der Anwendung).

10. Server-Protokolle

Der Backend-Server erzeugt Protokolldaten, die User-IDs und in Einzelfällen E-Mail-Adressen enthalten können. Diese Protokolle werden vom Hosting-Anbieter (Railway) für maximal 7 Tage gespeichert und anschließend automatisch gelöscht.

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlerbehebung und Sicherheit der Anwendung).

11. Kontolöschung

Du kannst dein Konto jederzeit in den Einstellungen löschen. Die Löschung ist nicht möglich, solange du alleiniger Eigentümer von Gruppen oder Verträgen bist, an denen weitere Mitglieder beteiligt sind. In diesem Fall musst du die Eigentümerschaft zuvor übertragen oder die betroffenen Gruppen/Verträge löschen.

Bei der Kontolöschung werden folgende Schritte durchgeführt:

  • Ein eventuell bestehendes Stripe-Abonnement wird gekündigt und der Stripe-Kundendatensatz gelöscht
  • Dein Nutzerkonto wird anonymisiert: E-Mail-Adresse wird entfernt, der Anzeigename durch „Gelöschter Nutzer" ersetzt, Stripe-IDs werden entfernt und der Tier zurückgesetzt
  • Dein Benachrichtigungsprotokoll wird vollständig gelöscht
  • Von dir erstellte Einladungen werden gelöscht
  • Verträge und Gruppen ohne weitere Mitglieder werden vollständig gelöscht
  • Deine Mitgliedschaften in Gruppen und Verträgen werden entfernt
  • Dein Authentifizierungskonto bei Supabase wird gelöscht

Der anonymisierte Datensatz wird aufbewahrt, um die Datenintegrität bestehender Haushalte sicherzustellen. Eine endgültige Löschung erfolgt nach Wegfall des Zwecks.

12. Deine Rechte

Du hast nach der Datenschutz-Grundverordnung verschiedene Rechte bezüglich deiner personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Du hast das Recht, Auskunft über die von uns zu deiner Person gespeicherten Daten zu erhalten. Dies umfasst Informationen über Verarbeitungszwecke, Kategorien der Daten, Empfänger, Speicherdauer und die Herkunft der Daten.

Recht auf Berichtigung (Art. 16 DSGVO)

Du hast das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungsfristen oder sonstigen rechtlichen Gründe entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du hast das Recht, die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind (z.B. wenn du die Richtigkeit der Daten bestreitest).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du hast das Recht, die dich betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übermitteln.

Widerspruchsrecht (Art. 21 DSGVO)

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht (z.B. optionale E-Mail-Benachrichtigungen), hast du das Recht, diese jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt. Den Widerruf kannst du in deinen Einstellungen vornehmen.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren.

Die zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten findest du unter: https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_table.html

So machst du deine Rechte geltend

Um eines dieser Rechte auszuüben, wende dich bitte per E-Mail an: E-Mail senden. Wir werden deine Anfrage schnellstmöglich bearbeiten und dich innerhalb eines Monats über das Ergebnis informieren.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen.

Stand: März 2026