Rechtliches
Stand: Juni 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht benannt.
Vermögensspiegel ist bewusst datensparsam aufgebaut: Es besteht keine Bankenanbindung (kein PSD2), kein Account-Linking und kein Werbe-Tracking. Vermögensdaten gelangen ausschließlich dann in den Dienst, wenn du sie selbst eintippst oder per Excel importierst.
Der Dienst wird auf Servern in Deutschland betrieben (IONOS SE, Deutschland). Beim Aufruf werden technisch notwendige Server-Logs verarbeitet: IP-Adresse, Datum und Uhrzeit, abgerufene Ressource, Browser- und Betriebssystem-Kennung. Rechtsgrundlage ist das berechtigte Interesse an einem sicheren, störungsfreien Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
Konten werden über unsere selbst gehostete Keycloak-Instanz verwaltet (OpenID Connect). Verarbeitet werden E-Mail-Adresse, ein gehashtes Passwort sowie Anmelde- und Sicherheits-Ereignisse (z. B. fehlgeschlagene Logins, Brute-Force-Schutz). Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Transaktionale E-Mails (E-Mail-Bestätigung, Passwort-Reset, Sicherheitshinweise) werden über den E-Mail-Dienst der IONOS SE (Server in Deutschland) versendet.
Die von dir erfassten Konten, Salden, Zinssätze und Stichtage werden zur Bereitstellung der Übersicht, der Allokations- und Renditepotenzial-Berechnung gespeichert. Es handelt sich um Daten, die du freiwillig und selbst eingibst. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Ein Export als Excel-Datei ist jederzeit möglich; eine Löschung erfolgt mit Löschung des Kontos.
Für kostenpflichtige Tarife (Plus) nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd. Zahlungsdaten (z. B. Karten- oder SEPA-Daten) werden direkt von Stripe verarbeitet — wir speichern keine vollständigen Zahlungsdaten, sondern lediglich eine Kunden- und Abo-Kennung sowie den Zahlungsstatus. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Bei der Verarbeitung kann es zu einer Übermittlung in die USA kommen; Stripe stützt sich hierfür auf die EU-Standardvertragsklauseln. Details: stripe.com/de/privacy.
Zur Berechnung des Renditepotenzials ruft der Dienst serverseitig öffentliche Marktreferenzen ab (biallo.de, onvista.de, EZB Data API). Dabei werden keine personenbezogenen Daten an diese Quellen übermittelt — es handelt sich um reine Abrufe allgemeiner Zins- und Kursdaten.
Zur Ermittlung allgemeiner Nutzungsstatistiken (z. B. Anzahl der Seitenaufrufe) setzen wir auf der Landingpage und im eingeloggten Bereich die selbst gehostete, cookielose Analyse-Software GoatCounter ein. Sie läuft auf demselben Server in Deutschland (IONOS SE, siehe § 3); es werden keine Daten an Dritte übermittelt. GoatCounter setzt keine Cookies und speichert keine IP-Adressen: Zur Zählung eindeutiger Aufrufe wird tagesaktuell ein nicht zurückrechenbarer Hash aus IP-Adresse, Browserkennung und einem rotierenden Zufallswert gebildet und anschließend verworfen. Es entstehen keine personenbezogenen Profile und kein seitenübergreifendes Tracking. Rechtsgrundlage ist das berechtigte Interesse an einer datensparsamen Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO); eine Einwilligung ist mangels Zugriff auf Endgeräte-Informationen nicht erforderlich (§ 25 Abs. 2 TDDDG).
Der Dienst setzt ausschließlich technisch notwendige Cookies bzw. lokale Speichereinträge — insbesondere für die Anmelde-Sitzung (Keycloak) und zum Merken von Oberflächeneinstellungen. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 TDDDG).
Personenbezogene Daten werden gespeichert, solange dein Konto besteht. Nach Löschung des Kontos werden Stamm- und Vermögensdaten gelöscht; gesetzliche Aufbewahrungspflichten (z. B. für Rechnungen aus dem Plus-Abo) bleiben unberührt. Backups werden nach 30 Tagen rolliert.
Dir stehen gegenüber dem Verantwortlichen folgende Rechte zu:
Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Lautenschlagerstraße 20, 70173 Stuttgart.
Die Übertragung erfolgt ausschließlich TLS-verschlüsselt (HTTPS). Die Authentifizierung folgt dem Industriestandard OpenID Connect mit aktivem Brute-Force-Schutz. Backups werden täglich erstellt.