Datenschutzhinweise
Stand: 01.06.2026
1. Verantwortliche
Diese Datenschutzhinweise gelten gemeinsam für die finTailor Holding GmbH (Webseitenbetrieb, technische Infrastruktur) und die nobank Finanzoptimierung GmbH (operative Erbringung der Multibanking- und Finanzoptimierungs-Dienste).
Webseitenbetrieb (Verantwortlicher für die Marketing-Website www.nobank.app):
finTailor Holding GmbH
c/o SCE gGmbH
Heßstraße 89
80797 München
Handelsregister Amtsgericht München, HRB 303271
Vertreten durch den Geschäftsführer:
Michael Herschlein
Operativer Verantwortlicher (App-/Service-Datenverarbeitung):
nobank Finanzoptimierung GmbH
c/o SCE gGmbH, Heßstraße 89, 80797 München
Handelsregister Amtsgericht München, HRB 306852
Geschäftsführer: Michael Herschlein
Die finTailor Holding GmbH erbringt für die nobank Finanzoptimierung GmbH zentrale technische Dienstleistungen und hält die Verträge mit den wesentlichen Technologie- und Infrastrukturpartnern. Im Verhältnis zwischen den Gesellschaften erfolgt eine konzerninterne Auftragsverarbeitung gemäß Art. 28 DSGVO.
Kontakt:
E-Mail: info@nobank.app
Externer Datenschutzbeauftragter:
Rechtsanwalt Andreas Riehn
Einsteinstraße 183
81677 München
Website: www.riehn.legal
2. Erhebung und Verarbeitung personenbezogener Daten
Wir verarbeiten personenbezogene Daten im Rahmen unserer Website und unseres Newsletters.
a) Daten, die beim Besuch der Website erhoben werden
Beim Besuch unserer Website werden aus technischen Gründen automatisch bestimmte Informationen erfasst:
Besuchte Seiten
Datum und Uhrzeit des Zugriffs
Menge der gesendeten Daten
Verweisende Website (Referrer)
Browsertyp und -version
Betriebssystem
Anonymisierte IP-Adresse
Zweck: Sicherstellung der technischen Funktionalität und IT-Sicherheit der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: Drei Tage, danach automatische Löschung.
b) Newsletter-Anmeldung und Mailchimp
Wenn Sie sich für unseren Newsletter anmelden, erfassen wir folgende Daten:
Name & Vorname
E-Mail-Adresse
Zweck: Versand unseres Newsletters mit Informationen und Angeboten.
Rechtsgrundlage: Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Wir nutzen Mailchimp (The Rocket Science Group LLC d/b/a Mailchimp, USA) als Dienstleister für den Versand und die Verwaltung unseres Newsletters.
Datenübermittlung in die USA: Mailchimp ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Zusätzlich erfolgt die Übertragung auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.
Double-Opt-In-Verfahren:
Nach der Anmeldung erhalten Sie eine Bestätigungsmail zur Verifizierung Ihrer E-Mail-Adresse.
Ihre Anmeldung wird protokolliert, um die rechtliche Nachweisbarkeit zu gewährleisten.
Auftragsverarbeitung: Data Processing Addendum (DPA) gemäß Art. 28 DSGVO mit Mailchimp abgeschlossen.
Unterauftragsverarbeiter: Mailchimp nutzt verschiedene Unterauftragsverarbeiter für Hosting und Infrastruktur. Änderungen werden mit 10 Tagen Vorlaufzeit mitgeteilt.
Speicherdauer: Ihre Daten werden gespeichert, solange Sie dem Newsletterversand zugestimmt haben. Nach einer Abmeldung erfolgt die Löschung oder Anonymisierung Ihrer Daten.
Widerruf: Sie können Ihre Einwilligung jederzeit über den „Unsubscribe“-Link im Newsletter oder durch Kontaktaufnahme mit uns widerrufen.
Datenschutz bei Mailchimp: https://www.intuit.com/privacy/statement/
c) Kontaktaufnahme und E-Mail-Verarbeitung
Wenn Sie mit uns per E-Mail über info@nobank.app Kontakt aufnehmen, verarbeiten wir Ihre Daten zur Bearbeitung Ihrer Anfrage.
Erhobene Daten:
E-Mail-Adresse
Name (falls angegeben)
Inhalt Ihrer Nachricht
Datum und Uhrzeit der Kontaktaufnahme
Technische Metadaten (IP-Adresse, E-Mail-Header)
Zweck: Bearbeitung Ihrer Anfragen, Kundenbetreuung, technischer Support.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. b DSGVO.
E-Mail-Verarbeitung über Google Workspace: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Datenübermittlung in die USA: Google ist nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.
Auftragsverarbeitung: Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit Google abgeschlossen.
Speicherdauer: E-Mail-Anfragen werden grundsätzlich für 3 Jahre gespeichert; bei Vertragsbeziehung gelten die gesetzlichen Aufbewahrungspflichten. Sie können jederzeit die Löschung verlangen, soweit keine Aufbewahrungspflichten entgegenstehen.
Datenschutz bei Google: https://policies.google.com/privacy
d) Umfragen mit Google Forms
Im Rahmen unseres Newsletters können wir Ihnen gelegentlich freiwillige Umfragen anbieten, die über Google Forms (Google Ireland Limited, Dublin) bereitgestellt werden.
Erhobene Daten:
Ihre Antworten auf die Umfragefragen
Technische Daten durch Google (IP-Adresse, Browser-Informationen, Zeitstempel)
Wichtige Hinweise:
Die Teilnahme ist vollständig freiwillig
Ihre E-Mail-Adresse wird nicht an Google übertragen
Ihre Umfrageantworten werden nicht mit Ihrer Newsletter-Anmeldung verknüpft
Die Umfrage erfolgt anonymisiert
Zweck: Verbesserung unserer Dienstleistungen und Inhalte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Teilnahme).
Datenübertragung in die USA: Google ist nach DPF zertifiziert.
Speicherdauer: Bei Google gemäß Google-Datenschutzrichtlinien; bei uns: anonymisierte Auswertungsdaten werden nach 24 Monaten gelöscht.
Widerruf: Bereits übertragene anonyme Daten können aufgrund der Anonymisierung nicht mehr individuell gelöscht werden.
e) Nutzerauthentifizierung und Datenverarbeitung mit Supabase
Für die Bereitstellung unserer Finanzdienstleistungen nutzen wir Supabase (Supabase Inc., USA) als Backend-Infrastruktur für:
Erhobene und verarbeitete Daten:
Benutzerdaten (Name, E-Mail-Adresse, Profildaten)
Authentifizierungsdaten (verschlüsselte Passwörter, Session-Tokens)
Bankverbindungsdaten (Kontoinformationen, Transaktionen)
Kategorisierungen und Verträge
Nutzungsstatistiken der Anwendung
Zweck: Bereitstellung unserer Finanzmanagement-Services, Nutzerauthentifizierung, sichere Datenspeicherung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
Datenübermittlung in die USA: Supabase verarbeitet Daten primär in den USA. Die Übertragung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Wir haben die Datenverarbeitung so konfiguriert, dass Ihre Daten in der EU gespeichert werden, soweit technisch möglich.
Auftragsverarbeitung: DPA gemäß Art. 28 DSGVO mit Supabase abgeschlossen.
Unterauftragsverarbeiter: Supabase nutzt verschiedene Unterauftragsverarbeiter (u.a. Amazon Web Services, Google Cloud, OpenAI für AI-Services). Eine vollständige Liste finden Sie im DPA.
Speicherdauer: Daten werden gespeichert, solange Sie unser Service nutzen. Nach Löschung Ihres Accounts werden die Daten innerhalb von 60 Tagen vollständig gelöscht.
Datenschutz bei Supabase: https://supabase.com/privacy
f) Transaktionale E-Mails mit Resend
Für den Versand von systemrelevanten E-Mails (Registrierungsbestätigungen, Passwort-Reset, Service-Benachrichtigungen) nutzen wir Resend (Plus Five Five, Inc., USA).
Erhobene Daten:
E-Mail-Adresse
Name (falls angegeben)
Versandzeitpunkt und -status
Tracking-Daten (bei aktiviertem Tracking: IP-Adresse, Öffnungszeiten, Klick-Verhalten)
Zweck: Versand von transaktionalen E-Mails zur Sicherstellung der Funktionalität unserer Services.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
Datenübermittlung in die USA: Resend ist nach DPF und UK Extension zertifiziert; ergänzend SCCs gemäß Art. 46 DSGVO.
Auftragsverarbeitung: DPA gemäß Art. 28 DSGVO abgeschlossen.
Unterauftragsverarbeiter: Resend nutzt verschiedene Unterauftragsverarbeiter; Liste unter https://resend.com/legal/subprocessors
Speicherdauer: E-Mail-Versandlogs werden für maximal 90 Tage nach Account-Beendigung gespeichert.
Datenschutz bei Resend: https://resend.com/legal/privacy-policy
3. Webhosting und Logfiles (Vercel)
Unsere Website wird über Vercel gehostet. Beim Besuch der Website erhebt Vercel automatisch technische Daten, die in Server-Logfiles gespeichert werden.
Erhobene Daten:
Besuchte Seiten
IP-Adresse (anonymisiert)
Datum und Uhrzeit des Zugriffs
Browsertyp und -version
Betriebssystem
Herkunfts-URL (Referrer)
Zweck: Fehleranalyse; Gewährleistung der Stabilität und Sicherheit der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Logfiles werden für maximal drei Tage gespeichert.
Weitere Informationen: https://vercel.com/legal/privacy-policy
4. Reichweitenmessung und Cookies / Storage
a) Vercel Web Analytics (cookieless Reichweitenmessung)
Wir nutzen Vercel Web Analytics, um die Nutzung unserer Website auszuwerten.
Erfasste Daten:
Anonymisierte Zugriffsdaten (z. B. Seitenaufrufe, Verweildauer)
Hashwerte zur Identifikation von Sitzungen (keine persönlichen Identifikatoren)
Zweck: Optimierung der Website und Verbesserung der Benutzererfahrung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Maximal 24 Stunden.
Hinweis: Vercel Web Analytics speichert keine personenbezogenen Daten und setzt keine Cookies, kein localStorage und kein sessionStorage.
b) Cookies und Tracking-Tools
Wir setzen auf dieser Website keine Cookies, kein localStorage und kein sessionStorage zu Analyse- oder Marketingzwecken ein. Es kommen ausschließlich solche technischen Mechanismen zum Einsatz, die für den Betrieb der Website unbedingt erforderlich sind (z. B. Last- und Spamschutz beim Hosting-Provider, siehe Abschnitt 3).
5. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO folgende Rechte:
Auskunft über die gespeicherten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Anfragen: Sie können Ihre Rechte jederzeit durch Kontaktaufnahme über datenschutz@nobank.app mit uns geltend machen.
Widerruf: Falls Sie Ihre Einwilligung zur Verarbeitung widerrufen möchten, können Sie dies ebenfalls über datenschutz@nobank.app tun. Für den Widerruf zum Newsletterversand bitten wir den „Unsubscribe“-Link im Newsletter zu nutzen.
6. Beschwerderecht bei der Datenschutzbehörde
Falls Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen Datenschutzvorschriften verstößt, haben Sie das Recht, eine Beschwerde einzureichen.
Zuständige Aufsichtsbehörde:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27 (Schloss), 91522 Ansbach
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de
7. Sicherheit und Schutz Ihrer Daten
Wir setzen geeignete technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen.
8. Änderungen dieser Datenschutzhinweise
Diese Datenschutzerklärung kann bei Änderungen unserer Prozesse oder gesetzlicher Vorgaben aktualisiert werden.