Datenschutzerklärung — Stand: April 2026

Diese Datenschutzerklärung gilt für die Norta-App und die Website norta.app.

§ 1 Verantwortliche
Norta GmbH, Rosenthaler Straße 38, 10178 Berlin
E-Mail: support@norta.app
Vertreten durch: Lara Planet, Jessica Holzbach

§ 2 Welche Daten wir verarbeiten
2.1 Registrierungsdaten
E-Mail-Adresse, Passwort (gehasht), Geräteinformationen, Zeitpunkt der Registrierung.
2.2 Bankverbindungsdaten (via FinAPI)
Kontotransaktionen der letzten 90 Tage (Betrag, Datum, Empfänger, Kategorie) — ausschließlich mit deiner aktiven Einwilligung. Wir erhalten nur Lesezugriff. Zugangsdaten zu deiner Bank werden nicht bei uns gespeichert, sondern ausschließlich bei FinAPI.
2.3 Nutzungsdaten
App-Interaktionen, Sitzungslänge, Fehlerprotokolle (für technischen Betrieb und Sicherheit).
2.4 KI-Verarbeitungsdaten
Transaktionsdaten werden anonymisiert zur Kategorisierung weitergeleitet. Es werden keine personenbezogenen Identifikatoren (Name, IBAN) übertragen.

§ 3 Rechtsgrundlagen
Wir verarbeiten deine Daten auf Basis folgender Rechtsgrundlagen gemäß DSGVO Art. 6:
Art. 6(1)(b): Vertragserfüllung — Die Verarbeitung ist erforderlich zur Erfüllung des Nutzungsvertrags, insbesondere zur Bereitstellung und dem Betrieb der App sowie aller damit verbundenen Funktionen zur Unterstützung deiner finanziellen Stabilisierung.
Art. 6(1)(a): Einwilligung — Bankkontoverbindung via FinAPI (PSD2)
Art. 6(1)(f): Berechtigtes Interesse — Sicherheit, Fehlerbehebung, App-Verbesserung

§ 4 Auftragsverarbeiter / Sub-Processors
Wir setzen folgende Auftragsverarbeiter ein, mit denen wir Auftragsverarbeitungsverträge (AVV/DPA) gemäß Art. 28 DSGVO geschlossen haben:

Supabase Inc. (EU-Region)
Zweck: Datenbankhosting (Nutzerdaten, Transaktionsdaten). Region: EU (Frankfurt). DPA: supabase.com/privacy. SCCs: entfällt (EU-Region).

Railway Corp. (EU-Region)
Zweck: Backend-Infrastruktur (API-Server, Kategorisierungspipeline). Sitz: Europe. DPA-Anfrage läuft (privacy@railway.com). Datenübertragung in Drittland auf Basis von SCCs gemäß Art. 46 DSGVO.

§ 5 Drittanbieter als eigenständige Verantwortliche
Die Bankkontoverbindung erfolgt über die FinAPI GmbH, die im Rahmen ihrer PSD2-Lizenz als registriertes Zahlungsinstitut agiert. FinAPI schließt ein eigenständiges Vertragsverhältnis direkt mit dir als Nutzer und verarbeitet deine Daten als eigenständiger datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO. Rechtsgrundlage ist Art. 6(1)(b) DSGVO. Weitere Informationen: finapi.io/datenschutz

§ 6 Speicherdauer
Wir speichern deine Daten so lange, wie dein Konto aktiv ist oder es für die Bereitstellung der Dienstleistung erforderlich ist.
Konto- und Profildaten: bis zur Löschung des Kontos + 30 Tage
Transaktionsdaten: bis zur Kontolöschung, danach anonymisierte Aggregatdaten für max. 24 Monate
Rechnungsdaten: 10 Jahre (§ 147 AO)
Log-Daten: max. 90 Tage

§ 7 Deine Rechte
Du hast folgende Rechte gemäß DSGVO:
Auskunft (Art. 15): Kopie deiner gespeicherten Daten — per E-Mail an support@norta.app.
Berichtigung (Art. 16): Korrektur unrichtiger Daten
Löschung (Art. 17): „Recht auf Vergessenwerden"
Einschränkung (Art. 18): Einschränkung der Verarbeitung
Datenübertragbarkeit (Art. 20): Export deiner Daten
Widerspruch (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
Widerruf (Art. 7(3)): Widerruf erteilter Einwilligungen

Beschwerderecht: Du hast das Recht, dich bei der zuständigen Datenschutzbehörde zu beschweren. Zuständig ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.

§ 8 Cookies und Tracking
Website:
Informationen zu Cookies und Tracking-Technologien der Website findest du in unserer Cookie-Richtlinie.

App:
Die App verwendet folgende Tracking-Technologien:

Mixpanel: Analyse des Nutzerverhaltens
Sentry: Fehlererkennung und technisches Monitoring, technisch notwendig

§ 9 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Wesentliche Änderungen werden per E-Mail oder In-App-Benachrichtigung mitgeteilt.

‍