Direkt zum Hauptinhalt

Datenschutzerklärung

Datenschutzerklärung — Stand: Juni 2026
Diese Datenschutzerklärung gilt für die Norta-App und die Website norta.app.

§ 1 Verantwortliche
Norta GmbH, Rosenthaler Straße 38, 10178 Berlin
E-Mail: support@norta.app
Vertreten durch: Lara Planet, Jessica Holzbach


§ 2 Welche Daten wir verarbeiten
2.1 Registrierungs- und Profildaten
Bei der Kontoerstellung: E-Mail-Adresse, Passwort (gehasht) und Zeitpunkt der Registrierung. Wenn du dich mit Apple oder Google anmeldest, erhalten wir deinen Login-Token; bei der Anmeldung mit Apple kann zusätzlich dein Name übermittelt werden. Bei Apple kannst du eine private Relay-E-Mail-Adresse verwenden. Im Onboarding machst du weitere Angaben, die wir zur Personalisierung der App und deiner Finanzübersicht nutzen: dein Name, dein Alter und deine Stadt.


2.2 Bankverbindungsdaten (über finAPI)
Mit deiner aktiven Einwilligung rufen wir deine Kontotransaktionen der letzten 90 Tage ab: Betrag, Datum, Gegenpartei (Name, IBAN), Verwendungszweck und Kategorie. Unser Zugriff ist ausschließlich lesend. Deine Bank-Zugangsdaten erreichen unsere Server zu keinem Zeitpunkt — die Bank-Authentifizierung erfolgt direkt bei finAPI, und die von uns gespeicherten Verbindungsdaten sind zufällig generierte Plattform-Passwörter, verschlüsselt mit AES-256.


2.3 Nutzungsanalyse (nur mit deiner Einwilligung)
Wie du die App nutzt (aufgerufene Screens, verwendete Funktionen), erfasst über PostHog, gehostet in der EU. Dies geschieht nur, wenn du im Onboarding aktiv zustimmst, und du kannst deine Einwilligung jederzeit in den App-Einstellungen widerrufen. Analyse-Events werden so gefiltert, dass sie keine Finanzdetails, Namen oder E-Mail-Adressen enthalten; aus deiner IP-Adresse werden keine Standortdaten abgeleitet.


2.4 Technische Daten & Fehlerprotokolle
Fehlerberichte und technische Diagnosen (über Sentry, EU-Data-Residency), um die App stabil und sicher zu halten: technische Details zum Fehler, deine Geräteplattform und App-Version sowie eine pseudonyme Nutzer-ID. Wir konfigurieren die Fehlerberichterstattung so, dass personenbezogene Daten ausgeschlossen werden; deine E-Mail-Adresse und Bank-Zugangsdaten sind niemals enthalten.


2.5 KI-Verarbeitung
Um die Kernfunktionen der App bereitzustellen — deine Finanzübersicht, den Chat und persönliche Hinweise — verarbeiten wir deine Daten mit einem großen Sprachmodell (LLM): deine Chat-Nachrichten zusammen mit relevantem Kontext aus deiner finanziellen Situation (etwa deine Schulden, wiederkehrenden Zahlungen und Einkünfte). Diese Verarbeitung ist für den Dienst unerlässlich; die App kann ohne sie nicht genutzt werden — darüber informieren wir dich im Onboarding. Die Verarbeitung läuft über Google Cloud (Vertex AI) mit dem Claude-Modell von Anthropic, ausschließlich auf EU-Servern. Deine Daten werden niemals zum Training von KI-Modellen verwendet — das ist vertraglich zugesichert.


2.6 KI-gestützte Kategorisierung
Um deine Transaktionen automatisch in Einnahmen- und Ausgabenkategorien einzuordnen, werden Transaktionsdetails durch denselben EU-gehosteten KI-Dienst aus 2.5 verarbeitet. Dazu gehören der Verwendungszweck und die Angaben zur Gegenpartei (Name und IBAN), da diese benötigt werden, um wiederkehrende Zahlungen und Umbuchungen zwischen eigenen Konten zu erkennen sowie Kategorien korrekt zuzuordnen. Diese Daten werden ausschließlich zur Kategorisierung deiner Transaktionen verwendet, nicht zum Training von KI-Modellen genutzt und an niemanden sonst weitergegeben.


§ 3 Rechtsgrundlagen
Wir verarbeiten deine Daten auf Basis folgender Rechtsgrundlagen gemäß Art. 6 DSGVO:
Art. 6 Abs. 1 lit. b: Vertragserfüllung — Die Verarbeitung ist zur Erfüllung des Nutzungsvertrags erforderlich, insbesondere zur Bereitstellung und zum Betrieb der App sowie aller damit verbundenen Funktionen zur Unterstützung deiner finanziellen Stabilisierung.
Art. 6 Abs. 1 lit. a: Einwilligung — Bankkontoverbindung über finAPI (PSD2) und Nutzungsanalyse (in Verbindung mit § 25 TDDDG).
Art. 6 Abs. 1 lit. f: Berechtigtes Interesse — Sicherheit und Fehlerbehebung.
Keine automatisierte Entscheidungsfindung: Norta trifft keine automatisierten Entscheidungen, die rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Alle Empfehlungen — etwa vorgeschlagene Rückzahlungsreihenfolgen — sind ausschließlich Vorschläge; jede Entscheidung bleibt bei dir.
Welche Daten erforderlich sind: Registrierungsdaten, Bankverbindungsdaten und die KI-Verarbeitung (2.1, 2.2, 2.5, 2.6) sind für die Bereitstellung des Dienstes erforderlich — ohne sie kann Norta nicht funktionieren. Die Nutzungsanalyse (2.3) ist freiwillig; du kannst die App ohne Einwilligung vollumfänglich nutzen.


§ 4 Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein, mit denen wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen haben. Soweit ein Anbieter seinen Sitz außerhalb der EU hat, sichern wir das EU-Datenschutzniveau über die von der EU-Kommission vorgegebenen Standardvertragsklauseln (SCCs, Art. 46 DSGVO) oder die Zertifizierung nach dem EU-US Data Privacy Framework ab.

  • Supabase Inc. — Datenbank-Hosting (Nutzerdaten, Transaktionsdaten). Region: EU (Frankfurt). Absicherung: SCCs (im AVV enthalten).
  • Railway Corp. — Backend-Infrastruktur (API-Server, Kategorisierungs-Pipeline). Deployment-Region: EU. Absicherung: SCCs.
  • Google Cloud / Vertex AI (Google Ireland Ltd.) — KI-Verarbeitung für Chat und Transaktionskategorisierung (siehe 2.5, 2.6) mit dem Claude-Modell von Anthropic. Region: EU. Kein Training auf Nutzerdaten.
  • PostHog, Inc. — Nutzungsanalyse (nur mit Opt-in, siehe 2.3). Hosting: EU.
  • Functional Software, Inc. (Sentry) — Fehler-Monitoring (siehe 2.4). EU-Data-Residency. Absicherung: SCCs.
  • Expo (650 Industries, Inc.) — Zustellung von Push-Benachrichtigungen und App-Updates. Expo speichert lediglich den Push-Token; Benachrichtigungsinhalte werden nach Zustellung gelöscht. Sitz USA; Absicherung: EU-US Data Privacy Framework.


§ 5 Eigenständige Verantwortliche
Die Bankkontoverbindung erfolgt über die finAPI GmbH, die als lizenziertes Zahlungsinstitut unter PSD2 agiert. finAPI schließt ein eigenständiges Vertragsverhältnis direkt mit dir als Nutzer:in und verarbeitet deine Daten als eigenständiger datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen: finapi.io/datenschutz


§ 6 Speicherdauer
Wir speichern deine Daten, solange dein Konto aktiv ist oder es für die Bereitstellung des Dienstes erforderlich ist.

Konto- und Profildaten: bis zur Kontolöschung + 30 Tage
Transaktionsdaten: bis zur Kontolöschung; danach anonymisierte Aggregatdaten für max. 24 Monate
Rechnungsdaten: 10 Jahre (§ 147 AO)
Log-Daten: max. 90 Tage

§ 7 Deine Rechte
Du hast folgende Rechte gemäß DSGVO:

Auskunft (Art. 15): Kopie deiner gespeicherten Daten — per E-Mail an support@norta.app
Berichtigung (Art. 16): Korrektur unrichtiger Daten
Löschung (Art. 17): „Recht auf Vergessenwerden"
Einschränkung (Art. 18): Einschränkung der Verarbeitung
Datenübertragbarkeit (Art. 20): Export deiner Daten
Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
Widerruf (Art. 7 Abs. 3): Widerruf erteilter Einwilligungen, jederzeit

Beschwerderecht: Du hast das Recht, dich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.


Die Ausübung dieser Rechte ist kostenlos. Wir antworten innerhalb eines Monats nach Eingang deiner Anfrage.


§ 8 Cookies und Tracking
Website: Informationen zu Cookies und Tracking-Technologien der Website findest du in unserer Cookie-Richtlinie unter norta.app/cookies.
App: Die App verwendet folgende Technologien:

PostHog — Nutzungsanalyse, EU-gehostet, nur mit deiner Opt-in-Einwilligung (siehe 2.3). Du kannst die Einwilligung jederzeit in den App-Einstellungen widerrufen.
Sentry — Fehlererkennung und technisches Monitoring (technisch notwendig, siehe 2.4).
Expo — Zustellung von Push-Benachrichtigungen, sofern du diese auf deinem Gerät aktivierst.

§ 9 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Wesentliche Änderungen teilen wir dir per E-Mail oder In-App-Benachrichtigung mit.

Text mit der Aufschrift „TEIL DER 0TO9-GRUPPE“ mit einem stilisierten schwarzen Logo zwischen den Wörtern.