Datenschutzerklärung / Privacy Policy

Art. 13 DSGVO

Verantwortlicher

Data Controller

MyGeldFlow
Berlin, Deutschland
E-Mail: privacy@mygeldflow.de

MyGeldFlow
Berlin, Germany
Email: privacy@mygeldflow.de

Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an obige E-Mail-Adresse. Eine Antwort erfolgt innerhalb von 72 Stunden (gemäß Art. 12 Abs. 3 DSGVO).

For data protection enquiries, please contact the above email address. A response will be provided within 72 hours (pursuant to Art. 12(3) GDPR).

Welche Daten

What Data

Verarbeitete personenbezogene Daten

Personal Data Processed

Datenkategorie	Konkrete Daten	Zweck	Rechtsgrundlage
Kontodaten	E-Mail-Adresse, verschlüsseltes Passwort	Authentifizierung	Art. 6 Abs. 1 lit. b DSGVO
Profildaten	Name, Unternehmensname, Adresse, USt-ID, IBAN	Rechnungsstellung, Steuerdokumente	Art. 6 Abs. 1 lit. b DSGVO
Finanzdaten	Rechnungen, Ausgaben, Bankbewegungen, Belege	Buchhaltungsleistung	Art. 6 Abs. 1 lit. b DSGVO
E-Mail-Inhalte	Weitergeleiterete Rechnungs-PDFs und Anhänge	KI-Belegimport	Art. 6 Abs. 1 lit. b DSGVO
Zahlungsdaten	Stripe Customer ID (keine Kartendaten)	Abonnementverwaltung	Art. 6 Abs. 1 lit. b DSGVO
Nutzungsdaten	Audit-Log (Buchungsaktionen, Zeitstempel)	GoBD-Compliance	Art. 6 Abs. 1 lit. c DSGVO
Technische Daten	IP-Adresse (nur Auth-Logs, max. 30 Tage)	Sicherheit	Art. 6 Abs. 1 lit. f DSGVO

Data Category	Specific Data	Purpose	Legal Basis
Account data	Email address, encrypted password	Authentication	Art. 6(1)(b) GDPR
Profile data	Name, company name, address, VAT ID, IBAN	Invoicing, tax documents	Art. 6(1)(b) GDPR
Financial data	Invoices, expenses, bank transactions, receipts	Accounting service	Art. 6(1)(b) GDPR
Email content	Forwarded invoice PDFs and attachments	AI receipt import	Art. 6(1)(b) GDPR
Payment data	Stripe Customer ID (no card data stored)	Subscription management	Art. 6(1)(b) GDPR
Usage data	Audit log (accounting actions, timestamps)	GoBD compliance	Art. 6(1)(c) GDPR
Technical data	IP address (auth logs only, max. 30 days)	Security	Art. 6(1)(f) GDPR

Speicherort

Data Location

Datenspeicherung & Übermittlung

Data Storage & Transfer

✅ Alle Daten werden ausschließlich in der EU gespeichert — konkret auf Supabase-Servern in Frankfurt am Main (AWS eu-central-1). Es findet keine Übermittlung in Drittstaaten außerhalb der EU/EEA statt.

✅ All data is stored exclusively within the EU — specifically on Supabase servers in Frankfurt, Germany (AWS eu-central-1). No transfer to third countries outside the EU/EEA takes place.

Auftragsverarbeiter (AVV abgeschlossen):

Data processors (DPA in place):

Supabase Inc. — Datenbank, Auth, Storage (EU-Region Frankfurt)
Stripe Inc. — Zahlungsabwicklung (keine Finanzdaten werden auf MSF gespeichert)
Resend Inc. — Transaktionale E-Mails (Rechnungsversand, Benachrichtigungen)
Cloudflare Inc. — E-Mail-Routing für den Belegimport (keine dauerhafte Speicherung)

Supabase Inc. — Database, Auth, Storage (EU region Frankfurt)
Stripe Inc. — Payment processing (no financial data stored on MSF)
Resend Inc. — Transactional emails (invoice delivery, notifications)
Cloudflare Inc. — Email routing for receipt import (no permanent storage)

Sicherheit

Security

Technische & organisatorische Maßnahmen (TOM)

Technical & Organisational Measures (TOM)

Verschlüsselung im Transit: TLS 1.3 auf allen Verbindungen
Verschlüsselung im Ruhezustand: AES-256-GCM (Supabase Storage)
Zugriffskontrolle: Row Level Security (RLS) — strikte Datentrennung pro Nutzer
Authentifizierung: JWT-Token (15-Minuten-Ablauf) + Refresh-Token
Unveränderbarkeit: Audit-Log ist append-only (GoBD § 146 AO)
Penetrationstests: Jährlich geplant durch unabhängige Dritte
Datensparsamkeit: Nur die zur Leistungserbringung notwendigen Daten werden erhoben

Encryption in transit: TLS 1.3 on all connections
Encryption at rest: AES-256-GCM (Supabase Storage)
Access control: Row Level Security (RLS) — strict data separation per user
Authentication: JWT tokens (15-minute expiry) + refresh tokens
Immutability: Audit log is append-only (GoBD § 146 AO)
Penetration testing: Annually planned by independent third parties
Data minimisation: Only data necessary for service delivery is collected

Aufbewahrung

Retention

Speicherdauer

Retention Periods

Datenkategorie	Speicherdauer	Grund
Kontodaten	Bis Kündigung + 30 Tage	Vertragsdurchführung
Rechnungen & Belege	10 Jahre	§ 147 AO, GoBD
Buchführungsdaten	10 Jahre	§ 147 AO, § 257 HGB
Audit-Log	10 Jahre	GoBD-Unveränderbarkeit
IP-Adressen (Auth)	30 Tage	Sicherheit, dann automatische Löschung
E-Mail-Weiterleitungen	Verarbeitung, dann sofortige Löschung	Belegimport, keine dauerhafte Speicherung

Data Category	Retention Period	Reason
Account data	Until cancellation + 30 days	Contract performance
Invoices & receipts	10 years	§ 147 AO, GoBD
Accounting data	10 years	§ 147 AO, § 257 HGB
Audit log	10 years	GoBD immutability
IP addresses (auth)	30 days	Security, then automatic deletion
Email forwards	Processing only, then immediate deletion	Receipt import, no permanent storage

Ihre Rechte

Your Rights

Betroffenenrechte (Art. 15–22 DSGVO)

Data Subject Rights (Art. 15–22 GDPR)

Auskunft (Art. 15): Vollständige Übersicht aller gespeicherten Daten auf Anfrage
Berichtigung (Art. 16): Korrektur unrichtiger Daten — direkt in der App oder per E-Mail
Löschung (Art. 17): Löschung innerhalb von 30 Tagen (außer gesetzl. Aufbewahrungspflichten)
Einschränkung (Art. 18): Verarbeitungsbeschränkung auf begründeten Antrag
Datenübertragbarkeit (Art. 20): Export aller Daten als CSV/JSON auf Anfrage
Widerspruch (Art. 21): Widerspruch gegen auf berechtigtem Interesse basierende Verarbeitung

Access (Art. 15): Full overview of all stored data upon request
Rectification (Art. 16): Correction of inaccurate data — directly in the app or by email
Erasure (Art. 17): Deletion within 30 days (except statutory retention obligations)
Restriction (Art. 18): Processing restriction upon substantiated request
Portability (Art. 20): Export of all data as CSV/JSON upon request
Objection (Art. 21): Right to object to processing based on legitimate interest

Sie haben außerdem das Recht, Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzulegen: Berliner Beauftragte für Datenschutz und Informationsfreiheit · datenschutz-berlin.de

You also have the right to lodge a complaint with the competent data protection supervisory authority: Berlin Commissioner for Data Protection and Freedom of Information · datenschutz-berlin.de

Cookies & lokale Speicherung

Cookies & Local Storage

MyGeldFlow verwendet keine Tracking-Cookies und kein Analytics von Drittanbietern. Folgende technisch notwendige Elemente werden genutzt:

MyGeldFlow uses no tracking cookies and no third-party analytics. The following technically necessary elements are used:

Supabase Auth-Token (localStorage): Sitzungstoken für die Authentifizierung — notwendig für die Nutzung der Plattform
Spracheinstellung (localStorage msf_lang): Speichert DE/EN-Präferenz des Nutzers
Verschlüsselte Zugangsdaten (localStorage): AES-256-GCM-verschlüsselte Integration-Daten

Supabase auth token (localStorage): Session token for authentication — required to use the platform
Language preference (localStorage msf_lang): Stores the user's DE/EN preference
Encrypted credentials (localStorage): AES-256-GCM-encrypted integration data

Es werden keine Cookies für Werbung, Retargeting oder Cross-Site-Tracking eingesetzt.

No cookies are used for advertising, retargeting or cross-site tracking.

Kontakt

Contact

Datenschutzanfragen

Privacy Enquiries

Für alle datenschutzrechtlichen Anfragen (Auskunft, Löschung, Export, Widerspruch) wenden Sie sich an:

For all data protection requests (access, deletion, export, objection) please contact:

MyGeldFlow — Datenschutz
privacy@mygeldflow.de
Antwort innerhalb von 72 Stunden (Werktage) Response within 72 hours (business days)