Hurmi's Vault
Datenschutzerklärung
gemäß DSGVO — für Hurmi's Vault
🔒 Hurmi's Vault wird auf einem selbstverwalteten Server in Deutschland betrieben. Ihre Daten verlassen diesen Server nicht.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Greg Hurman
hurmi.hub@gmail.com
2. Grundlegendes zur Datenverarbeitung
Hurmi's Vault ist eine private Web-Anwendung zur persönlichen Finanzverwaltung. Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb des Dienstes erforderlich ist.
Die Anwendung wird auf einem privaten, selbst betriebenen Server in Deutschland gehostet. Es werden keine Daten an externe Dienste, Cloud-Anbieter oder Dritte weitergegeben.
Es werden keine Analyse-, Tracking- oder Werbe-Dienste eingesetzt.
3. Welche Daten wir verarbeiten
3.1 Accountdaten
| Datenkategorie | Konkrete Daten | Zweck |
|---|---|---|
| Identität | Benutzername, E-Mail-Adresse | Login, Kommunikation |
| Sicherheit | Passwort (bcrypt-Hash) | Authentifizierung |
| Konto-Status | Tier, is_active, created_at | Zugriffsverwaltung |
3.2 Finanzdaten
| Datenkategorie | Konkrete Daten | Zweck |
|---|---|---|
| Vaults & Safes | Name, Guthaben, Typ, Währung | Finanzstruktur |
| Transaktionen | Betrag, Datum, Kategorie, Notiz | Buchungserfassung |
| Wiederkehrend | Betrag, Intervall, Enddatum | Daueraufträge/Abos |
| Portfolio | Positionen, Snapshots, Werte | Vermögenstracking |
3.3 Technische Daten
| Datenkategorie | Konkrete Daten | Zweck |
|---|---|---|
| Session | Signiertes JWT-Token (Cookie) | Anmeldestatus |
| Rate Limiting | IP-Adresse (temporär, im RAM) | Schutz vor Brute-Force |
| Server-Logs | Zugriffs-Logs (optional) | Fehlerdiagnose |
IP-Adressen für Rate-Limiting werden nur im Arbeitsspeicher gehalten und nicht dauerhaft gespeichert.
4. Rechtsgrundlagen
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Accountdaten, Finanzdaten
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheitsmaßnahmen, Rate-Limiting
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — freiwillige Angaben
5. Speicherdauer
- Accountdaten: Bis zur Löschung des Kontos
- Finanzdaten: Bis zur Löschung des zugehörigen Vaults oder Kontos
- Session-Token: 24 Stunden (dann automatisch ungültig)
- Rate-Limit-Daten: Maximal 15 Minuten im Arbeitsspeicher
- Server-Logs: Gemäß Server-Konfiguration (i.d.R. 30 Tage)
Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht.
6. Datenweitergabe
Wir geben Ihre Daten nicht an Dritte weiter. Insbesondere:
- Kein Einsatz von Cloud-Diensten (AWS, Google Cloud, Azure etc.)
- Keine Analyse-Dienste (Google Analytics o.ä.)
- Keine Werbepartner
- Keine KI-Drittanbieter
Ausnahme: gesetzliche Verpflichtung zur Herausgabe (z. B. auf richterliche Anordnung).
6.1 Vault-Mitglieder
Wenn Sie andere Nutzer zu Ihrem Vault einladen, können diese die Finanzdaten des Vaults einsehen. Dies entspricht der bestimmungsgemäßen Nutzung der Anwendung und erfolgt mit Ihrer expliziten Aktion (Einladung).
7. Cookies und Sessions
Hurmi's Vault verwendet ein einziges Cookie:
| Name | Typ | Zweck | Laufzeit |
|---|---|---|---|
vault_token |
HttpOnly, SameSite=Strict | Authentifizierungstoken (signiertes JWT) | 24 Stunden |
Das Cookie ist als HttpOnly markiert (kein JavaScript-Zugriff) und
SameSite=Strict (kein Cross-Site-Sending). Es werden keine Tracking-
oder Werbe-Cookies gesetzt.
Es werden keine Drittanbieter-Cookies eingesetzt.
8. Ihre Rechte
Sie haben gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15) — welche Daten wir über Sie gespeichert haben
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — Löschung Ihrer Daten („Recht auf Vergessenwerden“)
- Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung
- Portabilität (Art. 20) — Daten in maschinenlesbarem Format erhalten
Zur Ausübung Ihrer Rechte wenden Sie sich an: hurmi.hub@gmail.com
Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Behörde richtet sich nach Ihrem Wohnort.
9. Datensicherheit
Wir setzen folgende Sicherheitsmaßnahmen ein:
- Passwörter: Gespeichert als bcrypt-Hash (kein Klartext)
- Session-Token: Kryptografisch signiert (itsdangerous)
- Transport: HTTPS-Verschlüsselung (sofern konfiguriert)
- Brute-Force-Schutz: Rate-Limiting beim Login
- Cookie-Sicherheit: HttpOnly, SameSite=Strict
- Datenbankzugriff: ORM mit Prepared Statements (kein SQL-Injection-Risiko)
10. Kontakt
Bei Fragen zum Datenschutz:
Greg Hurman
hurmi.hub@gmail.com