Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Zusammenhang mit diesem Angebot ist:

Sofern du Fragen zum Datenschutz hast, kannst du dich über die oben genannten Kontaktdaten an uns wenden.

2. Welche Daten wir verarbeiten

Je nach Nutzung von spleven verarbeiten wir insbesondere folgende Daten:

• Kontodaten wie Name, E-Mail-Adresse, Passwort-Hash, bevorzugte Sprache und bevorzugte Währung
• Angaben aus Google Sign-In, soweit du dich über dein Google-Konto anmeldest
• Daten aus Gastkonten, insbesondere Name, Gast-Token und Wiederherstellungscode
• Inhalte, die du selbst eingibst, etwa Freundschaften, Gruppen, Ausgaben, Kommentare, Splits, Kategorieangaben und PayPal.me-Angaben
• technische Daten für Anmeldung, Sessions, Sicherheit und Missbrauchsprävention
• Push-Subscription-Daten für Web-Push-Benachrichtigungen
• Bilddateien von Belegen, wenn du die Belegscan-Funktion nutzt

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, soweit dies nach Art. 6 Abs. 1 DSGVO erlaubt ist.

• Zur Bereitstellung des Nutzerkontos, der Anmeldung, der Gruppen- und Ausgabenfunktionen sowie der Kontosicherheit auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
• Zur Verwaltung von Gastzugängen, Einladungslinks, Sicherheitsmechanismen und zur Fehleranalyse auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und zuverlässigen Betrieb des Dienstes.
• Zur Versendung von Verifizierungs- und Passwort-E-Mails auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
• Für optionale Push-Benachrichtigungen auf Grundlage deiner Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
• Für das Auslesen oder Speichern technisch notwendiger Informationen auf deinem Endgerät auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG; eine Einwilligung ist dabei nicht erforderlich.

4. Registrierung, Anmeldung und Kontoverwaltung

Wenn du ein reguläres Konto anlegst, verarbeiten wir die von dir angegebenen Registrierungsdaten, um dein Konto einzurichten und dir die Nutzung von spleven zu ermöglichen.

Wenn du dich über Google Sign-In anmeldest, erhalten wir von Google die für die Anmeldung erforderlichen Profildaten, insbesondere Name und E-Mail-Adresse. Die weitere Verarbeitung erfolgt ausschließlich zur Kontoanlage und Anmeldung in spleven.

Wenn du ein Gastkonto nutzt, speichern wir die zur Wiederherstellung und Sitzungserkennung notwendigen Token. Ohne diese Daten können Gastkonten technisch nicht bereitgestellt werden.

5. Belegscan und KI-Verarbeitung

Wenn du die Belegscan-Funktion (OCR-Erfassung) nutzt, wird das hochgeladene Belegbild an einen externen Large Language Model (LLM)-Anbieter übermittelt, um Händler, Datum, Steuern, Gesamtsumme und einzelne Rechnungspositionen auszulesen. Zurzeit nutzen wir hierfür das Gemini-Modell von Google (Google Cloud Platform / Google Ireland Limited).

Wir haben mit Google einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Dieser Vertrag stellt sicher, dass deine Daten streng weisungsgebunden, vertraulich und nach europäischen Standards verarbeitet werden. Google verarbeitet das Belegbild nur transient zur Textextraktion. Es findet keine dauerhafte Speicherung der Belege durch Google statt, und die Daten werden ausdrücklich nicht zum Training der KI-Modelle des Anbieters verwendet.

Die Speicherung des Belegs in spleven erfolgt verschlüsselt in unserer Datenbank und wird gelöscht, wenn du die Ausgabe oder den Beleg entfernst. Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen auf deinen Wunsch hin).

6. Push-Benachrichtigungen

Push-Benachrichtigungen sind optional. Wenn du sie aktivierst, speichern wir den Push-Endpoint sowie die zugehörigen Schlüssel, um dir Benachrichtigungen über neue Ausgaben, Gruppeneintritte oder Ausgleiche zu senden.

Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Du kannst die Einwilligung jederzeit in deinem Browser oder auf deinem Gerät widerrufen und die Subscription in spleven entfernen.

7. Externe Empfänger und Auftragsverarbeiter

Wir setzen externe Dienste ein, soweit dies für den Betrieb von spleven erforderlich ist. Dazu gehören insbesondere:

• Google LLC (Irland/USA) für den optionalen Google-Login
• der von uns eingesetzte SMTP-E-Mail-Dienstleister für Verifizierungs- und Transaktions-E-Mails (wie z. B. Mailtrap)
• die Web-Push-Infrastruktur des jeweiligen Webbrowser- oder Betriebssystem-Herstellers für optionale Push-Benachrichtigungen (wie z. B. Google, Apple, Mozilla)
• Google Ireland Limited für die Belegscan-Erkennung (Gemini API) im Rahmen einer Auftragsverarbeitung
• ein externer Wechselkurs-Dienst (der Wechselkurse abfragt; hierbei werden keine personenbezogenen Daten übermittelt)
• PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) für die optionale Abrechnung über PayPal.me-Links (eine Datenübermittlung findet erst statt, wenn du aktiv auf einen PayPal.me-Link klickst)

Soweit diese Empfänger personenbezogene Daten in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage von Art. 28 DSGVO. Soweit Daten in Drittländer übermittelt werden, wurden geeignete Garantien (wie EU-Standardvertragsklauseln) vereinbart oder die Datenverarbeitung ist für den Betrieb des Dienstes zwingend erforderlich.

8. Cookies, lokale Speicherung (TDDDG) und Server-Logs

spleven verwendet technisch notwendige Mechanismen für Sessions, Login-Zustände, Spracheinstellungen, Gastzugänge und Sicherheits-Token in Form von Session-Cookies und lokalem Speicher (Local Storage / Session Storage).

Das Speichern und Auslesen dieser Daten auf deinem Endgerät erfolgt gemäß § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), da diese Speicherprozesse unbedingt erforderlich sind, um den von dir ausdrücklich gewünschten Dienst bereitzustellen. Es werden keine Profilierungs-, Analyse- oder Marketing-Tracker eingesetzt, weshalb kein Cookie-Einwilligungsbanner erforderlich ist.

Beim Aufruf der Website verarbeitet der Server technisch erforderliche Logdaten zur Gewährleistung der Betriebssicherheit und Stabilität (z. B. IP-Adresse, Zugriffszeitpunkt, angeforderte URL, Browsertyp, Fehlermeldungen). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO.

9. Speicherdauer und Anonymisierung bei Kontoschließung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

• Kontodaten: Diese werden bei regulärer Schließung oder Löschung des Kontos umgehend gelöscht. Dies umfasst E-Mail-Adresse, Name, Passwort-Hash, Google-ID und etwaige Profilbilder.
• Anonymisierung von Finanzdaten: Um die Integrität und Richtigkeit der Ausgleiche und Salden für andere Nutzer der Gruppe zu wahren, werden Ausgabenbuchungen, Splits und Gruppenaktionen bei Kontoschließung nicht gelöscht, sondern dauerhaft anonymisiert (die Einträge werden als "Ehemaliges Mitglied" gekennzeichnet, sodass keinerlei Rückschluss auf deine Person mehr möglich ist). Die Rechtsgrundlage für diese fortgesetzte Speicherung in anonymisierter Form ist das berechtigte Interesse anderer Gruppenteilnehmer gemäß Art. 6 Abs. 1 lit. f DSGVO.
• Push-Subscriptions: Diese werden gelöscht, sobald du die Benachrichtigungen deaktivierst, das Abonnement entfernst oder dein Konto schließt.
• Belegbilder: Belegbilder werden so lange gespeichert, wie die zugehörige Ausgabe existiert. Sie werden unverzüglich gelöscht, wenn du das Belegbild entfernst oder die Ausgabe löschst.

10. Deine Rechte

Dir stehen nach der DSGVO insbesondere folgende Rechte zu:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung nach Art. 16 DSGVO
• Recht auf Löschung nach Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
• Recht auf Datenübertragbarkeit nach Art. 20 DSGVO
• Recht auf Widerspruch nach Art. 21 DSGVO
• Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen

Zur Ausübung deiner Rechte wende dich bitte per E-Mail an die oben unter Ziffer 1 genannte Kontaktadresse. Wir werden deine Anfrage innerhalb eines Monats beantworten.

Außerdem hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Bitte ergänze hier vor dem produktiven Einsatz die für dich zuständige Aufsichtsbehörde.

11. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nach unserem aktuellen Stand nicht statt.