Datenschutzerklärung

1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
IT-Service Hanna
Nabil Hanna
Tulpenstr. 25
76275 Ettlingen
Deutschland
E-Mail: info@it-hanna.de

2. Allgemeines und Rollenverteilung
Wir nehmen den Schutz Ihrer persönlichen Daten ernst und behandeln personenbezogene Daten vertraulich und entsprechend den gesetzlichen Vorschriften. FiMa24 ist eine webbasierte Software (SaaS) zur Verwaltung von Finanzen, Bankkonten, Immobilien, Rechnungen und betrieblichen Stammdaten. Sämtliche Datenübertragungen erfolgen TLS-verschlüsselt (HTTPS).

Rollenverteilung: Für Daten, die Sie als Kunde über Dritte (z. B. Mieter, Geschäftskunden, Beschäftigte oder Zahlungspartner) in FiMa24 eingeben, sind Sie Verantwortlicher; wir verarbeiten diese Daten als Auftragsverarbeiter auf Grundlage eines Vertrages nach Art. 28 DSGVO. Für Ihr Benutzerkonto, die Vertragsabwicklung und den Besuch unserer Website sind wir Verantwortlicher. Nutzen Sie FiMa24 als Verbraucher für rein private Zwecke, sind wir hinsichtlich der hierfür erforderlichen Verarbeitung Verantwortlicher.

3. Hosting und E-Mail-Versand
Unsere Website und Anwendung werden gehostet bei ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland; über denselben Anbieter erfolgt auch der E-Mail-Versand. Verarbeitet werden technische Daten wie IP-Adresse, Zugriffsdaten und Server-Logfiles, die für einen sicheren und stabilen Betrieb erforderlich sind. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

4. Benutzerkonto und Authentifizierung
Für die Nutzung der Software ist die Erstellung eines Benutzerkontos erforderlich. Verarbeitet werden: Name, E-Mail-Adresse, Passwort (ausschließlich als Argon2id-Hash gespeichert), optional eine Zwei-Faktor-Authentifizierung (TOTP oder Passkey/WebAuthn) sowie Login-Zeitpunkte und Anmeldeversuche zum Schutz vor missbräuchlichen Zugriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (Sicherheit).

5. Verarbeitete Inhaltsdaten (Kernfunktion)
Je nach genutzter Funktion verarbeiten wir:

Finanz- und Bankdaten: Bankkonten (IBAN, Saldo, Währung), Kontoumsätze (Buchungstext, Verwendungszweck, Beträge sowie Name und IBAN von Zahlungspartnern), Kostenarten, Lastschriften.
Bankzugang (FinTS): auf Ihren ausdrücklichen Wunsch optional gespeicherte Online-Banking-PIN – ausschließlich verschlüsselt – zum automatischen Abruf Ihrer Umsätze. Sie können dies jederzeit deaktivieren; die PIN wird dann gelöscht.
Wertpapiere und Krypto: Depot- und Handelsplatzdaten sowie optional verschlüsselt gespeicherte API-Schlüssel von Börsen/Brokern zum Abruf von Salden und Bewertungen.
Immobilien: Objekte, Einheiten, Mieter (Name, Anschrift, Telefon, ggf. Geburtsdatum und IBAN), Mietzahlungen, Zählerstände, Nebenkostenabrechnungen.
Geschäft: Kunden (Name, Anschrift, Kontaktdaten), Rechnungen, Artikel und Leistungen, Beschäftigte (inkl. Lohn-/Gehaltsdaten und Lohnabrechnungen).
Dokumente: von Ihnen hochgeladene Dateien (sichere Ablage außerhalb des öffentlichen Web-Verzeichnisses, Zugriff nur nach Berechtigungsprüfung).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. – für Daten Dritter – die Verarbeitung im Auftrag nach Art. 28 DSGVO.

6. Belegerkennung (OCR)
Die optionale Texterkennung aus hochgeladenen Belegen erfolgt lokal auf unserem Server; dabei werden keine Daten an Dritte übermittelt.

7. Zahlungsabwicklung (PayPal)
Für kostenpflichtige Mitgliedschaften nutzen wir den Zahlungsdienst der PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Dabei werden die für die Zahlung erforderlichen Daten an PayPal übermittelt; es gelten ergänzend deren Datenschutzhinweise. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

8. Bot-Schutz (Cloudflare Turnstile)
Zur Absicherung von Registrierungs- und Anmeldeformularen setzen wir den Bot-Schutz „Turnstile“ der Cloudflare, Inc. (USA) ein. Dabei werden technische Verbindungsdaten verarbeitet (u. a. IP-Adresse, Geräte- und Browsermerkmale). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Schutz vor missbräuchlichen Zugriffen). Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert; ein angemessenes Datenschutzniveau ist damit gewährleistet.

9. Anmeldung über Drittanbieter (Single Sign-On)
Sie können sich optional über Google, Microsoft oder Apple anmelden. Dabei erhalten wir vom jeweiligen Anbieter ausschließlich Ihren Namen und Ihre E-Mail-Adresse. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewählten Login-Funktion). Für die Verarbeitung beim jeweiligen Anbieter (Google Ireland Ltd./Google LLC, Microsoft Ireland Operations Ltd./Microsoft Corp., Apple Distribution International Ltd./Apple Inc.) gelten deren eigene Datenschutzhinweise; die US-Gesellschaften sind unter dem EU-US Data Privacy Framework zertifiziert.

10. Drittlandübermittlung (von Ihnen verbundene Banken und Börsen)
Wenn Sie einen Handelsplatz (Börse/Broker) verbinden, werden Abfragen mit Ihren API-Schlüsseln an den von Ihnen gewählten Anbieter gesendet; dieser kann seinen Sitz in einem Drittland (z. B. USA) haben. Diese Übermittlung erfolgt auf Ihre Veranlassung; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 49 Abs. 1 DSGVO. Entsprechendes gilt für den von Ihnen veranlassten Umsatzabruf bei Ihrer Bank (FinTS).

11. Cookies
Unsere Website verwendet keine Tracking- oder Marketing-Cookies. Es werden ausschließlich technisch notwendige Sitzungs-Cookies verwendet, die für den Login und den Betrieb der Anwendung erforderlich sind. Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO; ein Einwilligungsbanner ist daher nicht erforderlich.

12. Empfänger der Daten
Eine Weitergabe Ihrer personenbezogenen Daten erfolgt nur an die vorstehend genannten Dienstleister (Hosting/E-Mail, PayPal, Cloudflare) sowie an die von Ihnen selbst verbundenen Banken und Börsen. Darüber hinaus geben wir Daten nur weiter, wenn dies gesetzlich vorgeschrieben oder zur Vertragserfüllung erforderlich ist oder Sie ausdrücklich eingewilligt haben.

13. Speicherdauer und Löschkonzept
Personenbezogene Daten werden gelöscht, sobald sie für die verfolgten Zwecke nicht mehr erforderlich sind, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen:

Buchungs-, Rechnungs- und steuerrelevante Unterlagen: bis zu 10 Jahre (§ 147 AO, § 257 Abs. 4 HGB); empfangene und abgesandte Handelsbriefe 6 Jahre.
Konto- und Stammdaten: bis zu 3 Jahre nach Ende des Vertragsverhältnisses (regelmäßige Verjährung, § 195 BGB), soweit keine längere Pflicht besteht.
Server-Logfiles: kurzfristig zur Gefahrenabwehr, anschließend Löschung.
Sicherungskopien (Backups): gelöschte Daten entfallen spätestens mit dem regulären Backup-Zyklus.

Während der Vertragslaufzeit können Sie Ihre Daten jederzeit über die Exportfunktion herunterladen. Bei Löschung Ihres Kontos werden die Daten unwiderruflich entfernt, soweit keine Aufbewahrungspflicht entgegensteht.

14. Ihre Rechte
Sie haben jederzeit das Recht auf:

Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.

Soweit ein Kunde Verantwortlicher ist (von ihm eingegebene Daten Dritter), richten Sie Ihre Anfragen bitte an diesen; wir unterstützen ihn bei der Beantwortung.

15. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.