1. Verantwortlicher
Verantwortlicher ist Tatic ApS (CVR 42532940), Mejsevej 2, Hadbjerg, 8370 Hadsten, Dänemark, tätig unter dem Zweitnamen OpenBanking IO ApS.
Anfragen zu Datenschutz und DSGVO: [email protected].
2. Was wir erheben
Personenbezogene Daten: ausschließlich Ihre E-Mail-Adresse, die wir erhalten, wenn Sie sich über OIDC anmelden. Wir verwenden sie für die Rechnungsstellung und für betriebliche Benachrichtigungen. Kein Marketing ohne Ihre Einwilligung, kein Datenverkauf, keine Werbung, kein Profiling.
Bankdaten: mit Ihrer PSD2-Einwilligung rufen und speichern wir Ihre Bankkonto- und Transaktionsdaten. Das ist der Kern des Dienstes — wir verarbeiten sie nur, um sie an Sie zurückzuliefern.
3. Zwecke und Rechtsgrundlagen
- Erbringung des Dienstes und Rechnungsstellung — Vertrag, DSGVO Art. 6 Abs. 1 lit. b
- Sicherheit und Hinweise, wenn eine Bank-Einwilligung bald abläuft — berechtigtes Interesse, DSGVO Art. 6 Abs. 1 lit. f
- Zugriff auf Ihre Bankdaten gemäß PSD2 — Ihre Einwilligung, DSGVO Art. 6 Abs. 1 lit. a, direkt bei Ihrer Bank erteilt und jederzeit widerrufbar
4. Auftragsverarbeiter und Unterauftragsverarbeiter
Wir setzen eine kleine Zahl europäischer Auftragsverarbeiter ein:
- Enable Banking Oy (Espoo, Finnland) — Bankanbindung; ein registrierter AISP, der von der finnischen Finanzaufsicht (FIN-FSA) gemäß PSD2 beaufsichtigt wird. Weder wir noch Enable Banking speichern Ihre Bank-Zugangsdaten.
- Hetzner (Hetzner Online GmbH / Hetzner Finland Oy) — Hosting in nach ISO/IEC 27001:2022 zertifizierten Rechenzentren in Deutschland und Finnland.
- Gcore — DDoS-Schutz und Netzwerk-Edge auf europäischer Infrastruktur.
- Flatpay (Dänemark) — Rechnungsstellung und Kartenzahlungen. Wir speichern niemals Kartendaten.
Bankdaten werden über diese Auftragsverarbeiter hinaus niemals an Dritte weitergegeben.
5. Wo Ihre Daten liegen
Alle Daten werden innerhalb der EU gespeichert und verarbeitet — in Rechenzentren in Deutschland und Finnland. Wir übermitteln Ihre Daten nicht außerhalb der EU.
6. Speicherung und Löschung
Wir speichern Ihre Daten, solange Ihr Konto aktiv ist. Wenn Sie Ihr Konto löschen, werden Ihre Bankkonto- und Transaktionsdaten gelöscht.
Sie können auch jederzeit einzelne Bank-Einwilligungen widerrufen; wir stellen dann den Datenabruf von dieser Bank ein.
7. Sicherheit
Daten werden bei der Übertragung und im Ruhezustand verschlüsselt. Das Hosting erfolgt in nach ISO/IEC 27001:2022 zertifizierten Rechenzentren, hinter europäischem DDoS-Schutz.
Eine Sicherheitslücke gefunden? Melden Sie sie an [email protected]. Wir bestätigen Meldungen innerhalb von 48 Stunden und bitten Sie, sich vor einer öffentlichen Bekanntgabe mit uns abzustimmen.
8. Ihre Rechte
Nach der DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung der Verarbeitung und Widerspruch. Um eines dieser Rechte auszuüben, schreiben Sie an [email protected].
Wenn Sie der Ansicht sind, dass wir Ihre Daten rechtswidrig verarbeiten, können Sie sich bei Datatilsynet, der dänischen Datenschutzbehörde, beschweren (datatilsynet.dk).
9. Benachrichtigungen bei Ablauf der Einwilligung
Gemäß PSD2 laufen Bank-Einwilligungen regelmäßig ab und müssen erneuert werden. Wir senden Ihnen eine E-Mail, bevor eine Einwilligung abläuft, damit die Synchronisierung ununterbrochen weiterläuft. Dies sind betriebliche Benachrichtigungen, kein Marketing, und werden auf Grundlage unseres berechtigten Interesses versandt, den Dienst für Sie funktionsfähig zu halten.
10. Änderungen dieser Erklärung
Wenn wir diese Erklärung wesentlich ändern — etwa durch Hinzufügen eines Auftragsverarbeiters oder eines neuen Zwecks — benachrichtigen wir Sie per E-Mail, bevor die Änderung wirksam wird. Das Datum oben spiegelt stets die aktuelle Fassung wider.
11. Kontakt
- Anfragen zu Datenschutz und DSGVO: [email protected]
- Allgemeiner Support: [email protected]
- Sicherheitsmeldungen: [email protected]