Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher

SH Consulting — Sascha Hopp
Leopoldstraße 2-8, 32051 Herford
E-Mail: hello@smartfinanz.de

Datenschutzbeauftragter

Sascha Hopp
E-Mail: hello@smartfinanz.de

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website und unserer Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 DSGVO.

3. Hosting

Unsere Website wird bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Beim Besuch unserer Website erfasst der Server automatisch:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene Seite/Datei
  • Übertragene Datenmenge
  • Browser-Typ und -Version
  • Betriebssystem
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website).

Auftragsverarbeitungsvertrag mit Hetzner liegt vor.

4. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an “https://” in der Adresszeile Ihres Browsers.

5. KI-Coach (Mel)

Wir setzen einen KI-gestützten Coach ein („Mel“), der über die API eines KI-Sprachmodell-Anbieters betrieben wird. Auftragsverarbeiter ist Anthropic PBC, USA.

Bei Nutzung des Coaches werden folgende Daten verarbeitet:

  • Ihre Texteingaben und hochgeladene Dokumente
  • Session-ID (pseudonymisiert)
  • IP-Adresse (zur Missbrauchserkennung)

Die Daten werden zur Verarbeitung in die USA übermittelt. Grundlage für die Datenübermittlung ist Art. 46 Abs. 2 lit. c DSGVO (EU-Standardvertragsklauseln).

Der Anbieter speichert übermittelte Daten gemäß seiner Datenschutzrichtlinie nicht zum Training von KI-Modellen (Zero-Data-Retention). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA).

Wichtig: Geben Sie im Chat keine sensiblen personenbezogenen Daten ein (Gesundheitsdaten, Bankdaten, Passwörter). Der Chat dient der allgemeinen Finanzinformation und ersetzt keine professionelle Beratung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Nutzung des Chats) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5a. Personalisierung (Mel-Profil)

Damit Mel seine Antworten an Ihren Stil und Ihre Bedürfnisse anpassen kann, speichern wir folgende Personalisierungs-Einstellungen in Ihrem Konto:

  • Tonalität (locker / professionell / warm)
  • Anrede-Form (Du / Sie) und gelegentliche Vornamen-Anrede
  • Frequenz der Coach-Hinweise (häufig / normal / selten)
  • Nudging-Stärke (sanft / normal / direkt)
  • Ausgeschlossene Themen (z.B. Versicherung, Altersvorsorge)
  • Themen-Memory: relevante Finanzthemen und -präferenzen, die Mel im Verlauf Ihrer Konversationen extrahiert

Conversation-Historie:

  • Anonyme Sessions: Konversationen werden 30 Tage nach Erstellung automatisch gelöscht (TTL-Cron).
  • Eingeloggte Nutzer: Konversationen bleiben bis zur Löschung Ihres Kontos erhalten und werden dann mit gelöscht (siehe §12).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen Ihres Nutzerkontos).

5b. Finanzdaten als Coach-Grundlage

Damit Mel Ihre persönliche Finanzsituation einordnen kann, verarbeiten wir die folgenden Finanzdaten, die Sie freiwillig eingeben:

  • Monatseinkommen und Einkommens-Plan
  • Variable Einnahmen (z.B. Erstattungen, Verkäufe, Boni — Betrag, Kategorie, Datum, Notiz)
  • Variable Ausgaben (Buchungen mit Betrag, Kategorie, Datum)
  • Fixkosten und individuelle Ausgaben-Kategorien
  • Budgets (50/30/20-Verteilung oder eigene Budgets)
  • Kassensturz-Snapshots (Haushaltstyp, Netto-Einkommen, Kategorienverteilung)
  • Vermögenswerte und -Snapshots
  • Ziele inklusive Schritte, Aktivitäten und Aufgaben
  • Erinnerungen (Reminder) sowie Mel-Insights und Mel-Memories
  • Hochgeladene Dokumente und KI-Auswertungen daraus

Diese Daten werden in unserer Datenbank in Deutschland gespeichert und nur an den KI-Sprachmodell-Anbieter übermittelt, soweit dies für die jeweilige Coach-Antwort erforderlich ist.

Aufbewahrung: bis zur Löschung Ihres Kontos (siehe §12 zur kaskadischen Löschung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen Ihres Nutzerkontos).

6. Lead-Formulare / Kontaktanfragen

Wenn Sie ein Beratungsformular ausfüllen, erheben wir:

  • Name, E-Mail-Adresse
  • Geburtsdatum, Beruf
  • Produktspezifische Angaben (z.B. gewünschter Versicherungsschutz, Budget)

Diese Daten werden zur Vermittlung an qualifizierte Berater und Makler weitergeleitet. Die Weitergabe erfolgt nur an den für Ihre Anfrage zuständigen Berater.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Anfrage der betroffenen Person).

Speicherdauer: Ihre Anfrage wird nach 90 Tagen gelöscht, sofern kein Vertragsverhältnis zustande kommt.

7. E-Mail-Kommunikation

Für den Versand transaktionaler E-Mails (Login-Codes, Magic-Link-Mails, Reminder-Digest, Lead-Bestätigungen) sowie für den Newsletter-Versand nutzen wir einen E-Mail-Dienstleister.

a) Anbieter

Sendinblue SAS, 106 Boulevard Haussmann, 75008 Paris, Frankreich (auch unter der Marke „Brevo“ auftretend). Mit Sendinblue/Brevo besteht ein Auftragsverarbeitungsvertrag (AVV).

b) Zwecke

  • Transaktional: Login-OTP, Magic-Link, Reminder-Digest, Lead- und Newsletter-Bestätigungen — Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
  • Marketing: Newsletter und Finanzthemen-Mails — nur nach ausdrücklicher Einwilligung (Double-Opt-In). Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO.

Aufbewahrung: solange Ihr Konto besteht oder bis zum Widerruf Ihrer Einwilligung. Eine Newsletter-Abmeldung ist über jeden Newsletter-Footer-Link jederzeit möglich.

8. Cookies und Tracking

a) Technisch notwendige Cookies

Session-Cookies für die Login-Funktion und den KI-Chat sowie das Consent-Cookie sf_consent. Diese sind für den Betrieb der Website erforderlich und können nicht deaktiviert werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

b) Funktionale Cookies (nur mit Einwilligung)

Erweiterte Komfort- und Personalisierungsfunktionen (z.B. gemerkte UI-Präferenzen, Tool-Einstellungen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

c) Analyse-Cookies (nur mit Einwilligung)

  • Google Analytics 4 (Google Ireland Limited): Analyse des Nutzerverhaltens. IP-Anonymisierung ist aktiviert. Daten werden ggf. in die USA übertragen (EU-Standardvertragsklauseln).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

d) Marketing-Cookies (nur mit Einwilligung)

  • Meta Pixel (Meta Platforms Ireland Limited): Conversion-Tracking und Remarketing. Daten werden ggf. in die USA übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

e) Anonyme Besucherkennung (localStorage)

Zur Unterscheidung neuer und wiederkehrender Besucher speichern wir bei aktivem Analyse-Consent eine anonyme UUID im localStorage Ihres Browsers. Diese Kennung wird ausschließlich zur statistischen Auswertung der Nutzungshäufigkeit verwendet.

  • Speicherort: localStorage des Browsers (Schlüssel sf_visitor_id, sf_visitor_first_seen)
  • Speicherdauer: maximal 365 Tage ab Erstbesuch
  • Inhalt: anonyme UUID und ISO-Zeitstempel des Erstbesuchs
  • Personenbezug: nein, keine Verknüpfung mit Konto- oder Finanzdaten
  • Widerruf: Bei Widerruf des Analyse-Consents über den Cookie-Banner werden beide Einträge automatisch aus Ihrem Browser entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

9. Google-Dienste

Wir nutzen folgende Google-Dienste (nur mit Einwilligung):

  • Google Analytics 4: Webanalyse, anonymisierte Nutzungsstatistiken
  • Google Tag Manager: Verwaltung von Tracking-Tags
  • Google Search Console: SEO-Analyse (keine personenbezogenen Daten)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

10. Meta-Dienste

Wir nutzen folgende Meta-Dienste (nur mit Einwilligung):

  • Meta Pixel: Conversion-Tracking und Remarketing
  • Meta Conversions API: Serverseitiges Event-Tracking

Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland.

11. Benutzerkonten

Sie können ein Benutzerkonto anlegen. Dabei speichern wir:

  • E-Mail-Adresse
  • Passwort (verschlüsselt/gehasht)
  • Profil-Stammdaten (Name, optional Geburtsdatum, Adresse, Telefon)
  • Nutzungsdaten (SmartFinanz-Score, gespeicherte Vergleiche, Onboarding-Status, UI-Präferenzen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sie können Ihr Konto jederzeit löschen. Alle personenbezogenen Daten werden dann innerhalb von 30 Tagen gelöscht (siehe §12 zur kaskadischen Löschung).

12. Ihre Rechte

Sie haben folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Löschung Ihrer Daten („Recht auf Vergessenwerden“)
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich an: hello@smartfinanz.de

Kaskadische Löschung beim Konto-Delete

Wenn Sie Ihr Konto löschen, werden alle mit Ihrem Konto verbundenen Daten kaskadisch entfernt. Dies umfasst insbesondere:

  • Profil-Stammdaten und Login-Daten
  • Konversationen und Mel-Memories
  • Ziele inkl. Schritte, Aktivitäten und Aufgaben
  • Erinnerungen (Reminder) und Mel-Insights
  • Monatseinkommen, variable Einnahmen, variable Ausgaben, Fixkosten, Ausgaben-Kategorien, Budgets, Finanz-Plan
  • Kassensturz-Snapshots
  • Vermögenswerte und -Snapshots
  • Hochgeladene und analysierte Dokumente inkl. Insights
  • Lead-Anfragen
  • Push-Subscriptions
  • E-Mail-Logs, SmartScore und Score-Historie
  • Mel-Compliance- und Mel-Extraction-Logs

Vor der Löschung ist eine erneute Authentifizierung erforderlich. Die Löschung ist final — eine Wiederherstellung ist nicht möglich.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
https://www.ldi.nrw.de

14. Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen für Erinnerungen aktivieren, nutzen wir den offenen W3C Web-Push-Standard. Die Subscription wird beim Push-Service Ihres Browsers hinterlegt:

  • Google Firebase Cloud Messaging (FCM) — Chrome, Edge, Android-Browser
  • Apple Push Notification Service (APNs) — Safari (macOS) und iOS-PWA
  • Mozilla Auto-Push — Firefox

An den Push-Service übermittelt werden nur:

  • Subscription-Endpoint-URL
  • Öffentliche Schlüssel (p256dh, auth) zur Authentifizierung mittels VAPID
  • User-Agent (zur Geräte-Zuordnung)

Der Inhalt der Push-Nachricht wird Ende-zu-Ende verschlüsselt (Web-Push-Encryption nach RFC 8291). Der Push-Service sieht nur den Endpoint und einen verschlüsselten Payload — nicht den Klartext der Nachricht.

Opt-in: Aktivierung erfolgt ausschließlich nach Bestätigung der Browser-Permission und expliziter Aktivierung in den Reminder-Einstellungen.

Widerruf: Sie können Push jederzeit deaktivieren — entweder in den Reminder-Einstellungen Ihres Kontos oder in den Browser-Einstellungen. Stale-Subscriptions (Antwort 404/410/403 vom Push-Service) werden automatisch entfernt.

Aufbewahrung: bis zum Opt-out oder bis die Subscription stale wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

15. Übersicht Auftragsverarbeiter

Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten. Die Liste ist alphabetisch sortiert.

AnbieterZweckSitzRechtsgrundlage
Anthropic PBCKI-Sprachmodell-Anbieter (KI-Coach Mel)USADPA, EU-Standardvertragsklauseln, Zero-Data-Retention
Google Ireland LimitedWebanalyse (GA4), Tag Manager, Search ConsoleIrland (Daten ggf. USA)Einwilligung, EU-Standardvertragsklauseln
Hetzner Online GmbHServer-Hosting, DatenbankDeutschlandAVV, berechtigtes Interesse
Meta Platforms Ireland LimitedMeta Pixel, Conversions APIIrland (Daten ggf. USA)Einwilligung, EU-Standardvertragsklauseln
Push-Service-Anbieter (FCM, APNs, Mozilla Auto-Push)Zustellung von Web-Push-BenachrichtigungenUSA / globalEinwilligung, technisch erforderlich für Subscription
Sendinblue SAS (Brevo)Transaktionaler E-Mail-Versand und NewsletterFrankreichAVV, Vertragserfüllung / Einwilligung

16. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht.

DatenkategorieAufbewahrung
Server-Logs / IPAnonymisierung nach 7 Tagen
Lead-Anfragen ohne Vertrag90 Tage, dann Löschung
Anonyme KI-Konversationen30 Tage (automatischer TTL-Cron)
Konversationen eingeloggter Nutzerbis Konto-Löschung (kaskadisch)
Login-Codes (OTP)10 Minuten oder bis Verbrauch
Cookie sf_consent365 Tage
Anonyme Visitor-ID (localStorage)365 Tage
Konto-Stammdaten und Finanzdatenbis Konto-Löschung (kaskadisch)
Push-Subscriptionsbis Opt-out oder Stale-Cleanup (404/410/403)
Newsletter-Empfängerlistebis Widerruf der Einwilligung
Aggregierte, anonymisierte Statistik- und Pricing-Daten ohne User-Bezugunbegrenzt (kein Personenbezug)

17. Aktualität

Stand: Mai 2026. Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen.

Bleib auf dem Laufenden

Insights, Finanztipps und neue Tools — kostenlos, kein Spam.

Jederzeit abbestellbar. Du erhältst eine Bestätigungs-Mail.

SmartFinanz.de ist ein unabhängiger Vermittler. Wir erbringen keine Finanz- oder Versicherungsberatung im Sinne des § 34d GewO. Alle Angaben ohne Gewähr.

Mel
Hi, ich bin Mel
Dein KI-Coach

Wie kann ich dir helfen?

Ich bin ein KI-Coach, kein lizenzierter Finanzberater. Ich helfe dir, deine Finanzen zu strukturieren und gut vorbereitet in eine Beratung zu gehen.

KI-Coach, keine Finanzberatung. Disclaimer