Datenschutzerklärung
Stand: März 2026
1. Überblick
Der Schutz deiner personenbezogenen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert dich darüber, welche Daten wir im Rahmen der Nutzung von WonderFunds erheben, wie wir sie verarbeiten und welche Rechte dir zustehen.
WonderFunds ist ein datenschutzorientierter Dienst zur persönlichen Finanzverwaltung. Wir stellen keine Verbindung zu Bankkonten her, löschen hochgeladene Rohdateien nach der Verarbeitung und verschlüsseln Finanzdaten mit einem DEK/KEK-Verfahren, das eine Zuordnung zu deiner Identität selbst bei einem Datenbankeinbruch verhindert.
2. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
SKAJ Ventures GmbH
Sonnenlandstraße 4
14471 Potsdam
Deutschland
Geschäftsführer: Stefan Köhn
E-Mail: datenschutz@wonderfunds.org
3. Welche Daten wir erheben
Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten:
| Datenkategorie | Beispiele | Zweck |
|---|---|---|
| Kontodaten | Name, E-Mail-Adresse, gehashtes Passwort, Profilbild (Google-Anmeldung) | Authentifizierung, Kontoverwaltung |
| Finanzdaten | Transaktionen (Händler, Betrag, Datum), Kategorien, Tags | Kernfunktionalität des Dienstes |
| Nutzungsdaten | Seitenaufrufe, Funktionsnutzung, Gerätetyp | Verbesserung des Dienstes |
| Zahlungsdaten | Abonnementstatus, Rechnungsverlauf (via Stripe) | Abonnementverwaltung |
Wir erheben keine Bankkontonummern, PINs, TANs oder sonstige Bankzugangsdaten.
4. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung deiner Daten erfolgt auf Grundlage folgender Rechtsgrundlagen gemäß DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung von Konto- und Finanzdaten zur Erbringung des Dienstes.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verarbeitung von Daten durch KI-gestützte Funktionen, soweit du diese aktiv nutzt.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Erstellung anonymisierter, aggregierter Statistiken; Verbesserung des Dienstes; Betrugs- und Missbrauchsprävention.
- Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Aufbewahrung von Rechnungsdaten gemäß steuerrechtlichen Vorschriften.
5. Kontodaten und Authentifizierung
Bei der Registrierung erheben wir deinen Namen, deine E-Mail-Adresse und ein Passwort. Das Passwort wird ausschließlich als bcrypt-Hash gespeichert. Wir haben keinen Zugriff auf dein Klartext-Passwort.
Alternativ kannst du dich mit deinem Google-Konto registrieren oder anmelden. In diesem Fall übermittelt Google deinen Namen, deine E-Mail-Adresse und dein Profilbild an uns. Für Google-authentifizierte Konten wird kein Passwort gespeichert.
Die Authentifizierung erfolgt über NextAuth v5 mit JWT-basierter Sitzungsverwaltung. Optional kannst du die Zwei-Faktor-Authentifizierung (TOTP oder E-Mail-OTP) aktivieren.
Deine E-Mail-Adresse wird für folgende Zwecke verwendet:
- Anmeldung und Kontowiederherstellung
- E-Mail-Verifizierung
- Benachrichtigungen über Vertragsänderungen (z.B. AGB-Änderungen)
- Optionale Produktbenachrichtigungen (abbestellbar)
6. Finanzdaten und Verschlüsselung
Deine Finanzdaten (Transaktionen, Kategorien, Regeln) werden nicht direkt mit deinem Benutzerkonto verknüpft. Stattdessen verwenden wir ein pseudonymes Token (userDataToken), das über ein DEK/KEK-Verschlüsselungsschema geschützt ist:
- Jeder Nutzer erhält einen individuellen Data Encryption Key (DEK).
- Der DEK wird mit einem Key Encryption Key (KEK) verschlüsselt gespeichert.
- Finanzdaten und Benutzeridentität sind in der Datenbank getrennt. Selbst bei einem Datenbankeinbruch ist keine Zuordnung möglich.
Wir speichern ausschließlich: Händlernamen, Beträge, Daten, Kategorien und Tags. Keine Kontonummern, IBANs oder sonstige Kontokennungen.
7. Datei-Upload und Verarbeitung
Wenn du eine Datei (CSV oder PDF) hochlädst, geschieht Folgendes:
- Die Datei wird temporär auf dem Server gespeichert.
- Transaktionen werden extrahiert und in deine verschlüsselten Finanzdaten übernommen.
- Die Originaldatei wird dauerhaft gelöscht. Wir speichern keine Kontoauszüge.
Dieser Prozess stellt sicher, dass sensible Bankdokumente nicht auf unseren Servern verbleiben.
8. KI-gestützte Verarbeitung
WonderFunds nutzt künstliche Intelligenz für:
- Automatische Kategorisierung von Transaktionen anhand von Händlermustern
- Erkennung wiederkehrender Zahlungen
- Generierung von Ausgabeneinblicken
Die KI-Verarbeitung erfolgt nutzerbezogen. Deine Daten werden nicht mit Daten anderer Nutzer vermischt oder für das Training allgemeiner KI-Modelle verwendet. Die KI lernt ausschließlich aus deinen eigenen Korrekturen und Regeln.
Der KI-Kategorisierungsprompt enthält Hinweise zur Erkennung von Umbuchungsmustern. Um Umbuchungen zwischen deinen eigenen Konten zu erkennen, können die Namen deiner registrierten Finanzquellen in den an das KI-Modell gesendeten Prompt aufgenommen werden.
KI-generierte Ergebnisse werden nicht an Dritte weitergegeben und nicht für Werbezwecke verwendet.
9. Cookies und lokale Speicherung
WonderFunds verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Dauer |
|---|---|---|
| Sitzungs-Cookie | Authentifizierung (JWT) | Sitzungsdauer / max. 30 Tage |
| Locale-Cookie | Spracheinstellung (en/de) | 1 Jahr |
Wir verwenden keine Tracking-Cookies, Analyse-Cookies von Drittanbietern oder Werbe-Cookies.
10. Drittanbieter und Auftragsverarbeiter
Wir setzen folgende Drittanbieter ein:
| Anbieter | Zweck | Daten | Standort |
|---|---|---|---|
| Vercel | Hosting und Bereitstellung der Webanwendung | IP-Adresse, Anfragedaten | EU (Frankfurt) |
| PostgreSQL-Hosting | Datenbankbetrieb | Verschlüsselte Konto- und Finanzdaten | EU (Frankfurt) |
| Stripe | Zahlungsabwicklung | E-Mail, Abonnementstatus, Zahlungsmethode | EU (Irland) |
| WonderBlogs | KI-basierte Blog-Inhaltserstellung (nur Admin) | Blogthemen und -inhalte (keine personenbezogenen Nutzerdaten) | EU |
| Vercel Blob | Speicherung generierter Blog-Bilder | Blog-Beitragsbilder (keine personenbezogenen Nutzerdaten) | EU (Frankfurt) |
| Google (OAuth) | Optionale Anmeldung über Google-Konto | Name, E-Mail-Adresse, Profilbild (nur bei Google-Anmeldung) | EU |
| Cloudflare (Turnstile) | Bot-Schutz bei Anmeldung, Registrierung und Passwort-Zurücksetzung | IP-Adresse, Browser-Challenge-Metadaten (keine Cookies, kein Fingerprinting) | Global (Cloudflare-Netzwerk) |
Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Wenn du dich mit Google anmeldest, übermittelt Google deinen Namen, deine E-Mail-Adresse und dein Profilbild an uns. Wir geben keine deiner Finanzdaten an Google weiter. Cloudflare Turnstile wird ausschließlich zum Bot-Schutz auf Authentifizierungsformularen eingesetzt. Es setzt keine Cookies, führt kein Browser-Fingerprinting durch und verfolgt Nutzer nicht über Websites hinweg.
11. Speicherort der Daten
Alle personenbezogenen Daten werden auf Servern in der Europäischen Union verarbeitet und gespeichert, primär in Frankfurt am Main, Deutschland.
Eine Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) findet nicht statt.
12. Speicherdauer
Wir speichern deine Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
| Datentyp | Speicherdauer |
|---|---|
| Kontodaten | Bis zur Kontolöschung |
| Finanzdaten (Transaktionen, Kategorien) | Bis zur Kontolöschung |
| Hochgeladene Dateien | Sofort nach Verarbeitung gelöscht |
| Rechnungsdaten | 10 Jahre (gesetzliche Aufbewahrungspflicht gem. § 147 AO) |
| Server-Logs | Max. 30 Tage |
Bei Kontolöschung werden alle Daten (einschließlich Verschlüsselungsschlüssel) dauerhaft und unwiderruflich gelöscht. Rechnungsdaten werden gemäß gesetzlicher Vorgaben aufbewahrt.
13. Deine Rechte
Gemäß DSGVO stehen dir folgende Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO): Du kannst Auskunft über die von uns verarbeiteten Daten verlangen.
- Recht auf Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen. Über Einstellungen → Konto löschen kannst du dies selbst durchführen.
- Recht auf Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Daten in einem maschinenlesbaren Format exportieren (CSV-Export in den Einstellungen).
- Widerspruchsrecht (Art. 21 DSGVO): Du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Beschwerderecht: Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.
14. Mindestalter
WonderFunds richtet sich an Personen ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass ein Minderjähriger ein Konto erstellt hat, werden wir dieses Konto und die zugehörigen Daten umgehend löschen.
15. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen des Dienstes oder der Rechtslage. Wesentliche Änderungen werden dir per E-Mail oder durch einen Hinweis im Dienst mitgeteilt.
Die jeweils aktuelle Fassung ist unter wonderfunds.org/privacy abrufbar.
16. Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte wende dich bitte an:
SKAJ Ventures GmbH
Sonnenlandstraße 4
14471 Potsdam
E-Mail: datenschutz@wonderfunds.org
Diese Datenschutzerklärung wurde zuletzt im März 2026 aktualisiert. Bei Fragen wende dich bitte an datenschutz@wonderfunds.org.