Datenschutzerklärung
Stand: 21. Mai 2026
Logbuch ist eine Budget-App für Paare und kleine Haushalte. Diese Erklärung beschreibt, welche personenbezogenen Daten wir verarbeiten, wozu, auf welcher Rechtsgrundlage — und welche Rechte du hast. Wir versuchen, das ohne Juristen-Vokabular zu sagen.
1. Verantwortlicher
Overfit UG (haftungsbeschränkt)
Schlossstraße 10A, 19067 Leezen, Deutschland
E-Mail: support@overfit.de
Vertreten durch: Michael Hermelschmidt
2. Welche Daten wir verarbeiten
- Konto-Daten: E-Mail-Adresse und (bei OIDC-Login) eine pseudonyme Subject-ID aus unserem Identity-Provider Keycloak. Zweck: Anmeldung, Zuordnung deines Haushalts. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
- Finanzdaten, die du eingibst oder importierst: Kategorien, Budgets, Sparziele, Transaktionen, Depot-Positionen, Kontostände. Zweck: Kernfunktion der App. Diese Daten liegen verschlüsselt im Transit (HTTPS) auf unseren Servern in Deutschland und sind nur dir und deinen Haushalts-Mitgliedern sichtbar.
- Bank-Sync (FinTS, optional): Wenn du Bank-Sync aktivierst, werden deine Bank-Zugangsdaten ausschließlich für den jeweiligen FinTS-Handshake zur Bank-API verwendet. Wir speichern deine PIN/TAN nicht im Klartext; persistierte Zugangsdaten liegen verschlüsselt vor. Die abgerufenen Umsätze speichern wir analog zu manuell eingegebenen Transaktionen.
- Zahlungsdaten: Abos werden über Stripe Payments abgewickelt. Stripe ist eigenverantwortlicher Verarbeiter; wir sehen weder deine Karten- noch deine Konto-Nummer. Wir erhalten von Stripe nur eine Kunden-ID, den Abo-Status und das Abrechnungs-Intervall. Stripes Datenschutzhinweise: stripe.com/de/privacy.
- Nutzungsdaten: Wenn du der Browser-Einstellung Do-Not-Track nicht widersprichst, erfassen wir Seitenaufrufe (Pfad, Referrer, Bildschirmbreite). IP- Adressen werden vor der Speicherung gehasht. Keine Cookies, kein Cross-Site-Tracking, keine Drittparteien-Pixel. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung).
- Server-Logs: Beim Aufruf der App und der Webseite verarbeiten wir technisch erforderliche Request-Daten (Zeitstempel, Pfad, Status, Antwortzeit, gehashte User-ID). Aufbewahrung: max. 30 Tage.
3. Was wir nicht verarbeiten
- Keine Standortdaten.
- Keine Geräte-Identifier, keine Advertising-IDs.
- Keine Bank-Zugangsdaten im Klartext.
- Keine Kartendaten — Stripe verarbeitet diese eigenständig.
- Keine Weitergabe deiner Finanzdaten an Dritte.
- Kein Verkauf von Nutzungs- oder Profil-Daten.
- Keine Werbung in der App.
4. Hosting & Auftragsverarbeiter
- Hetzner Online GmbH (Rechenzentrum Deutschland) — Hosting der App-Server und der Datenbank. AV-Vertrag geschlossen.
- Stripe Payments Europe Ltd. — Zahlungsabwicklung. Eigenverantwortlich gem. Stripe-Datenschutz.
- Keycloak (selbst gehostet bei Hetzner) — OIDC-Identitätsprovider. Kein externer Anbieter.
5. Speicherdauer
Konto- und Finanzdaten speichern wir, solange dein Konto aktiv ist. Auf Antrag löschen wir dein Konto inkl. aller zugeordneten Haushalte und Transaktionen innerhalb von 30 Tagen. Server-Logs werden nach 30 Tagen automatisch entfernt. Steuerlich relevante Belege (z.B. Stripe-Rechnungen) bewahren wir gem. § 147 AO bis zu 10 Jahre auf.
6. Deine Rechte
Nach DSGVO hast du jederzeit das Recht auf:
- Auskunft (Art. 15) — welche Daten wir über dich gespeichert haben.
- Berichtigung (Art. 16) — falscher oder unvollständiger Daten.
- Löschung (Art. 17) — „Recht auf Vergessenwerden". In der App unter Einstellungen → Konto löschen, oder per Mail an support@overfit.de.
- Einschränkung (Art. 18) und Widerspruch (Art. 21).
- Datenübertragbarkeit (Art. 20) — Export deiner Daten als JSON/CSV (in Vorbereitung; bis dahin auf Anfrage).
- Beschwerderecht bei der zuständigen Aufsichtsbehörde (Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern).
7. Sicherheit
Passwörter werden mit Argon2id gehasht. Sessions laufen über HTTP-only-Cookies bzw. JWT-Bearer-Tokens. Sämtliche Kommunikation zwischen App und Server erfolgt verschlüsselt via TLS. Datenbank- Backups laufen täglich verschlüsselt mit 30-Tage-Retention.
8. Cookies & Tracker
Wir setzen keine Marketing- oder Tracking-Cookies. Für den Login verwenden wir ein technisch erforderliches Session-Cookie (HTTP-only, SameSite=Lax). Es gibt keinen Cookie-Banner, weil es nichts zu fragen gibt.
9. Kontakt zum Datenschutz
Anfragen zu deinen Daten richte bitte an support@overfit.de. Wir antworten innerhalb von 30 Tagen — meist deutlich schneller.
Logbuch ist ein Overfit Produkt.