Datenschutzerklärung

Datenschutzerklärung

Version: 2.0 Letzte Aktualisierung: 25. Mai 2026 Verantwortlicher: WealthHive OU

⚠️ Diensteinstellung

Die MyInvestments-Anwendung wird eingestellt und am 10. Juni 2026 dauerhaft abgeschaltet. Nach diesem Datum werden Nutzerkonten und Portfoliodaten endgültig gelöscht.

Wenn Sie vor der endgültigen Löschung Ihre DSGVO-Rechte ausüben möchten — Auskunft (Art. 15), Datenübertragbarkeit (Art. 20) oder vorzeitige Löschung (Art. 17) — schreiben Sie bis zum 10. Juni 2026 an kontakt@myinvestments.pl. Nach diesem Datum können Anträge nicht mehr wirksam bearbeitet werden.

Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist (insbesondere Stripe-Rechnungsunterlagen — 5 Jahre nach Steuerrecht), verbleiben bei den jeweiligen Sub-Processors für die gesetzlich erforderliche Dauer in der Aufbewahrung.

Einleitung

Diese Datenschutzerklärung erläutert, wie WealthHive OU ("wir", "Betreiber") personenbezogene Daten von Nutzern des MyInvestments-Dienstes unter https://myinvestments.pl ("Dienst") verarbeitet. Das Dokument steht im Einklang mit der Verordnung (EU) 2016/679 ("DSGVO"), dem estnischen Personal Data Protection Act sowie dem polnischen Datenschutzgesetz vom 10. Mai 2018.

1. Verantwortlicher

| Feld | Wert | |------|------| | Name | WealthHive OU | | Adresse | Saani tn 2/2-26, 10149 Tallinn, Estland | | Registernummer | 16390486 | | USt-ID | EE102742499 | | Kontakt-E-Mail | kontakt@myinvestments.pl |

Datenschutzbeauftragter (DSB): nicht bestellt — die Verarbeitung erfüllt nicht die Kriterien einer obligatorischen DSB-Bestellung (DSGVO Art. 37). Entscheidung in einem internen Register dokumentiert.

2. Welche Daten wir verarbeiten

2.1. Kontodaten

  • Vor- und Nachname (sofern angegeben) oder Pseudonym
  • E-Mail-Adresse
  • Passwort-Hash (bcrypt/argon2)
  • Sitzungstoken, Gerätekennungen
  • OAuth-Token (Google) — nur wenn Sie Social Sign-in nutzen

2.2. Investment-Portfolio-Daten

  • Vermögensnamen, Typen (Aktien / ETF / Krypto / Immobilien / Metalle / Forex)
  • Mengen, Kaufpreise, Transaktionsdaten
  • Währungen, Standorte (Broker, Bank, Wallet)
  • Etiketten und Notizen
  • historische Performance-Snapshots

Wichtig: Alle Daten gibt der Nutzer manuell ein. Wir verbinden uns nicht mit Broker-, Bank- oder Krypto-Börsen-Konten, es sei denn, Sie konfigurieren freiwillig eine Integration (Exante, MetaMask, Bitcoin — siehe § 5).

2.3. Zahlungsdaten

  • Abonnementdaten (Plan, Status, Datum)
  • Rechnungsdaten (falls erforderlich: Name, USt-ID, Adresse)
  • Kartennummern werden NICHT bei uns gespeichert — Stripe (PCI DSS Level 1) verarbeitet sie

2.4. Technische und Logdaten

  • IP-Adresse
  • Browsertyp, Betriebssystem, Gerätekennung
  • Zugriffszeit, Referrer-URLs
  • Cookies (siehe Cookie-Richtlinie)

2.5. Kommunikationsdaten

  • Inhalt von Support-Anfragen / Kontaktformular
  • Kommunikationspräferenzen (Newsletter — Opt-in)

3. Zwecke und Rechtsgrundlagen der Verarbeitung

| Datenkategorie | Zweck | Rechtsgrundlage (DSGVO Art. 6) | Aufbewahrung | |----------------|-------|--------------------------------|--------------| | Kontodaten | Bereitstellung des Dienstes, Authentifizierung | (b) — Vertragserfüllung | Bis zur Kontolöschung + 30 Tage | | Portfolio-Daten | Bereitstellung des Dienstes | (b) — Vertragserfüllung | Bis zur Kontolöschung + 30 Tage | | Zahlungsdaten | Zahlungsabwicklung, Buchhaltungspflichten | (b) + (c) (Estonian Accounting Act, polnisches Buchhaltungsrecht) | 7 Jahre (Buchhaltungsbücher) | | IP, Zugriffslogs | Sicherheit, Missbrauchserkennung | (f) — berechtigtes Interesse (Infrastrukturschutz) | 12 Monate | | Analyse-Cookies | Produktoptimierung | (a) — Einwilligung (Cookie-Banner) | Gemäß Cookie-Richtlinie | | Marketing-Cookies / Google Ads | Messung von Werbekampagnen, Remarketing | (a) — Einwilligung (Cookie-Banner) | Gemäß Cookie-Richtlinie | | Newsletter / E-Mail-Marketing | Marketingkommunikation | (a) — Opt-in-Einwilligung | Bis zum Widerruf | | Kommunikationsdaten | Bearbeitung von Anfragen | (b) / (f) | 24 Monate ab Fallabschluss | | Rechnungen, Buchhaltungsunterlagen | Steuerpflichten (EE, PL) | (c) — rechtliche Verpflichtung | 7 Jahre (gemäß Steuerrecht) |

4. Datensicherheit

Gemäß DSGVO Art. 32 wenden wir dem Risiko angemessene technische und organisatorische Maßnahmen an, einschließlich:

  • Transportverschlüsselung (TLS 1.2+)
  • Passwort-Hashing (bcrypt/argon2 — niemals im Klartext)
  • Zwei-Faktor-Authentifizierung (2FA) und Passkey-Unterstützung (WebAuthn)
  • Zugangskontrollen auf Anwendungs- und Datenbankebene
  • Sicherheits-Monitoring und Ereignisprotokollierung
  • regelmäßige Backups mit Wiederherstellungstests
  • Verfahren zur Verletzungsbehandlung (72h-Meldung gemäß DSGVO Art. 33)
  • Encrypted Vault (PRO) — optionale clientseitige Verschlüsselung ausgewählter Felder (Beträge, Kaufpreise, Standortnamen, Etikettennamen) mit einem nur dem Nutzer bekannten Schlüssel

Die angewandten Maßnahmen werden regelmäßig (state of the art) überprüft. Absolute Sicherheit gibt es nicht — bei einer Verletzung informieren wir Aufsichtsbehörden und betroffene Personen gemäß DSGVO Art. 33–34.

5. Auftragsverarbeiter und Datenübermittlungen

Wir nutzen folgende Auftragsverarbeiter. Jeder ist durch einen Auftragsverarbeitungsvertrag (AVV) gemäß DSGVO Art. 28 gebunden.

| Auftragsverarbeiter | Zweck | Verarbeitungsort | Übermittlungsmechanismus außerhalb EWR | |---------------------|-------|------------------|----------------------------------------| | Stripe Payments Europe Ltd / Stripe Inc. | Zahlungsabwicklung | Irland + USA | SCC + EU-US Data Privacy Framework (DPF) | | Vercel Inc. | App-Hosting, CDN, Edge Functions | USA (EU-Regionen für Edge-Daten) | SCC + DPF | | Supabase Inc. | PostgreSQL-Datenbank, Authentifizierung | EU (Frankfurt) | Keine Übermittlung — EU-Region | | Render Services Inc. | Background-Worker (Preisaktualisierung, Snapshots) | USA | SCC + DPF | | Google LLC | OAuth (Social Sign-in), Google Analytics, Google Ads | USA | SCC + DPF | | Vercel Inc. (Analytics, Speed Insights) | Cookielose Traffic- und Performance-Analyse | USA | SCC + DPF | | Brevo (Sendinblue SAS) | Versand von Transaktions-E-Mails | Frankreich, EU | Keine Übermittlung — EU-Region | | CoinGecko Ltd | Krypto-Marktdaten | Vereinigtes Königreich | UK-Angemessenheitsbeschluss (28.06.2021) | | Finnhub.io | US-Aktienmarktdaten | USA | SCC + DPF — keine personenbezogenen Daten in Anfragen | | Yahoo Finance | Marktdaten (internationale Instrumente) | USA | SCC — keine personenbezogenen Daten in Anfragen | | NBP (Polnische Nationalbank) | Devisenkurse, polnische Privatanleihen | Polen, EU | Keine Übermittlung — EU-Region | | ExchangeRate-API LLC | Devisenkurse | USA | SCC — keine personenbezogenen Daten in Anfragen | | Moralis (MetaMask-Integration — optional) | Auslesen von ERC-20/ETH-Guthaben | USA | SCC + DPF — auf Nutzerwunsch aktiviert | | Exante (Broker-Integration — optional) | Positionssynchronisation | Malta, EU / Zypern | Keine Übermittlung — EU-Region |

Die Liste der Auftragsverarbeiter wird laufend aktualisiert. Wir informieren mit 30 Tagen Vorlauf (E-Mail) über neue Auftragsverarbeiter. Nutzer können begründeten Einspruch erheben — in diesem Fall haben sie das Recht, das Abonnement mit Pro-rata-Erstattung zu kündigen.

6. Datenweitergabe außerhalb Auftragsverarbeiter

Wir verkaufen KEINE personenbezogenen Daten. Daten können wir nur weitergeben:

  • auf Anfrage befugter Stellen (Gerichte, Staatsanwaltschaft, Finanzbehörden) — ausschließlich im gesetzlich erforderlichen Umfang
  • bei Fusion, Übernahme oder Verkauf von Vermögenswerten — mit Verpflichtung des Erwerbers, diese Erklärung einzuhalten
  • mit ausdrücklicher Einwilligung des Nutzers

7. Ihre Rechte (DSGVO Art. 15–22)

Sie haben jederzeit das Recht auf:

  1. Auskunft über Ihre Daten (Art. 15) — Sie können eine Kopie der Daten und Informationen zur Verarbeitung erhalten
  2. Berichtigung unrichtiger Daten (Art. 16)
  3. Löschung ("Recht auf Vergessenwerden", Art. 17)
  4. Einschränkung der Verarbeitung (Art. 18)
  5. Datenübertragbarkeit in einem strukturierten Format (Art. 20)
  6. Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses oder Direktmarketing (Art. 21)
  7. Keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu sein, einschließlich Profiling (Art. 22) — wir wenden keine automatisierte Entscheidungsfindung auf Nutzer an
  8. Widerruf der Einwilligung jederzeit (sofern auf Einwilligung gestützt) — der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung

So üben Sie Ihre Rechte aus

E-Mail: kontakt@myinvestments.pl oder Kontoeinstellungen (Bereich "Datenschutz und Daten").

Antwortzeit: maximal 1 Monat (DSGVO Art. 12 Abs. 3), in komplexen Fällen um weitere 2 Monate verlängerbar — wir informieren Sie innerhalb des ersten Monats.

Beschwerderecht (Art. 77)

Wenn Sie der Auffassung sind, dass wir Ihre Daten rechtswidrig verarbeiten, haben Sie das Recht, Beschwerde einzulegen bei:

  • Präsident des Datenschutzamtes (UODO) — Polen, ul. Stawki 2, 00-193 Warschau, https://uodo.gov.pl
  • Andmekaitse Inspektsioon (AKI) — Estland, Tatari 39, 10134 Tallinn, https://www.aki.ee
  • oder einer anderen Aufsichtsbehörde in Ihrem Land des gewöhnlichen Aufenthalts, Arbeitsorts oder mutmaßlichen Verstoßes

8. Cookies

Wir verwenden Cookies und ähnliche Technologien für den Betrieb des Dienstes und — mit Ihrer Einwilligung — für Präferenzen, Analyse und Marketing. Details, vollständige Cookie-Liste und Verwaltung der Einwilligung: Cookie-Richtlinie.

Sie können Ihre Cookie-Präferenzen jederzeit über das 🍪-Symbol in der Fußzeile ändern.

9. Räumlicher Geltungsbereich und Rechtswahl

Die Datenverarbeitung unterliegt der DSGVO sowie den lokalen Vorschriften der EU/EWR-Mitgliedstaaten, in denen sich Nutzer befinden.

Diese Datenschutzerklärung unterliegt dem Recht der Republik Estland (Sitz des Verantwortlichen). Die obige Rechtswahl darf einen Verbraucher nicht des Schutzes berauben, der ihm durch zwingende Vorschriften des Rechts seines gewöhnlichen Aufenthaltsstaats gewährt wird (Verordnung Rom I, Art. 6 Abs. 2).

10. Kinder

MyInvestments ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine Daten von Kindern. Stellen wir fest, dass wir Daten einer Person unter 18 Jahren ohne Einwilligung des gesetzlichen Vertreters erhoben haben, löschen wir diese unverzüglich. Meldungen: kontakt@myinvestments.pl.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Erklärung aktualisieren. Wesentliche Änderungen kommunizieren wir:

  • per E-Mail an registrierte Nutzer mit mindestens 30 Tagen Vorlauf,
  • per In-App-Benachrichtigung,
  • durch Veröffentlichung einer neuen Version mit aktuellem Datum.

Archivversionen sind auf Anfrage unter kontakt@myinvestments.pl verfügbar.

12. Kontakt

WealthHive OU Saani tn 2/2-26, 10149 Tallinn, Estland Registernummer: 16390486 USt-ID: EE102742499

  • Kontakt (alle Anliegen): kontakt@myinvestments.pl

13. Haftungsausschluss

MyInvestments bietet keine Anlage-, Finanz-, Steuer- oder Rechtsberatung. Der Dienst ist ein Portfolio-Tracking-Tool. Die im Dienst dargestellten Daten dienen ausschließlich Informationszwecken. Bei Investmentfragen wenden Sie sich an einen lizenzierten Anlageberater.

Durch die Nutzung von MyInvestments bestätigen Sie, dass Sie diese Datenschutzerklärung gelesen und verstanden haben.