Datenschutz
Stand: April 2026 · Gültig für DACH (DE/AT/CH)
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO und des Schweizer DSG ist: PhinLabs (Einzelfirma), Markus Egolf, Glaernischstrasse 52b, 8712 Stäfa, Schweiz. Kontakt: [email protected]. UID: CHE-264.993.452.
2. Grundsatz: Datensparsamkeit
Wir verarbeiten nur Daten, die für den Betrieb unserer Dienste zwingend erforderlich sind. Wir verkaufen keine Daten an Dritte. Wir nutzen keine Werbe-Tracker, kein Google Analytics, kein Facebook Pixel. Wir profilieren dich nicht.
3. Hosting & technisch notwendige Cookies
Diese Website wird über einen Hetzner-Server (EU, Falkenstein) ausgeliefert und nutzt Cloudflare als CDN/Tunnel-Provider. Cloudflare setzt für Bot-/DDoS-Schutz technisch notwendige Cookies (z. B. __cf_bm, __cflb, kurze Lebensdauer). Hetzner und Cloudflare können IP-Adressen kurzfristig zur Sicherstellung der Verfügbarkeit speichern. Mit beiden bestehen Auftragsverarbeitungsverträge (DPA/AVV). Für Cloudflare als US-Anbieter gelten Standardvertragsklauseln + EU-US Data Privacy Framework als Schutzgarantie.
4. Waitlist-Anmeldung
Wenn du dich auf unsere Warteliste einträgst, speichern wir Name und E-Mail in unserer Datenbank (Hetzner-Server, EU). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung). Du kannst dich jederzeit per E-Mail an [email protected] abmelden — wir löschen deinen Eintrag dann innerhalb von 30 Tagen.
5. License-Server (für die Desktop-App)
Wenn du eine Lizenz aktivierst, übermittelt die App License-Key, eine pseudonyme machineId (Hash aus Hardware-Eigenschaften) sowie deine IP-Adresse an unseren License-Server (api-licenses.investphin.com, gehostet auf Hetzner EU). Zweck: Lizenz-Validierung und Geräte-Bindung (Schutz vor Lizenz-Missbrauch). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. IP-Adressen werden bei der Speicherung anonymisiert (letztes Octet maskiert), License-Keys nur als gehashter Wert protokolliert. Aktivierungs-Logs werden nach 90 Tagen automatisch gelöscht.
6. Phin AI (Chat-Assistent) und AWS Bedrock
Wenn du Phin AI aktivierst und nutzt, werden deine Anfragen über unseren License-Server an AWS Bedrock (eu-central-1, Frankfurt, Deutschland) zur Verarbeitung durch Anthropic Claude weitergeleitet. Anthropic / AWS verwenden deine Anfragen NICHT zum Training. Mit AWS besteht ein Auftragsverarbeitungsvertrag (DPA) inklusive Standardvertragsklauseln. Wir loggen pro Anfrage Token-Anzahl, Kosten und einen Vorschau-Ausschnitt (max. 40 Zeichen) zur Quota- und Kostenkontrolle. Diese Logs werden nach 30 Tagen automatisch anonymisiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — du musst der AI-Nutzung beim ersten Aufruf explizit zustimmen, kannst die Einwilligung jederzeit in den Einstellungen widerrufen.
7. Lokale Datenhaltung (Desktop-App)
InvestPhin ist eine native Desktop-App. Deine Portfolio-Daten, Transaktionen, API-Keys und persönlichen Notizen werden ausschliesslich LOKAL auf deinem Gerät gespeichert (LevelDB / verschlüsselte JSON-Backups). Sie werden NICHT in eine Cloud übertragen, NICHT auf unseren Server hochgeladen und NICHT für AI-Training verwendet. Externe Marktdaten-APIs (z. B. Yahoo Finance, OnVista) werden direkt vom Gerät aus angefragt — diese Anbieter sehen deine IP-Adresse, aber keinen Zusammenhang zu deinem Portfolio.
8. Krisen-Schutz (Safety)
InvestPhin AI (Phin AI) erkennt Nachrichten mit Hinweisen auf akute psychische oder finanzielle Krisen (z. B. Suizidgedanken, Spielsucht, Schulden-Notlage) automatisch vor dem LLM-Aufruf und antwortet in diesen Fällen ausschliesslich mit Kontaktdaten offizieller Hilfsangebote (Telefonseelsorge DE/AT/CH, EU 116 123, Schuldner- und Glücksspielsucht-Beratung). In diesen Fällen werden keine AI-Analysen generiert und keine Daten an AWS übermittelt. Krisen-Logs (ohne Inhalt der Nachricht) werden zur Schutzfunktion-Validierung pseudonymisiert für maximal 30 Tage gespeichert und danach gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz von Leben/Gesundheit) und Art. 9 Abs. 2 lit. d DSGVO. Diese Safety-Funktion kann nicht deaktiviert werden.
9. Drittland-Übermittlungen
Die Verarbeitung findet primär in der EU statt (Hetzner Falkenstein, AWS Frankfurt). Cloudflare ist ein US-Unternehmen mit EU-Tochter — Datenfluss erfolgt unter SCC (Standardvertragsklauseln) und EU-US Data Privacy Framework. AWS Bedrock läuft in eu-central-1 (Frankfurt) und wird von AWS EMEA SARL (Luxemburg) betrieben.
10. Speicherdauer
Waitlist-Daten: bis zur Abmeldung. License-Keys + Geräte-Bindungen: bis Lizenz-Ende + 24 Monate (Steuerrecht). Aktivierungs-Logs: 90 Tage. AI-Usage-Logs: 30 Tage (danach Anonymisierung). Krisen-Logs: 30 Tage. Buchhaltungs-Belege gemäss Schweizer / deutschem Steuerrecht: 10 Jahre.
11. Deine Rechte (Art. 15-22 DSGVO + Art. 25 ff DSG CH)
Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Beschwerden kannst du bei der Aufsichtsbehörde einreichen — in der Schweiz beim EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter), in Deutschland beim Bundesbeauftragten oder Landesdatenschutzbeauftragten, in Österreich bei der Datenschutzbehörde. Anfragen an: [email protected] — wir antworten innerhalb von 30 Tagen.
12. Datensicherheit
Wir nutzen TLS-Verschlüsselung für alle Übertragungen, prepared SQL-Statements gegen Injection, Rate-Limiting gegen Missbrauch, regelmässige Backups und HMAC-gehashte License-Keys in Logs. Auftragsverarbeiter werden vertraglich zu DSGVO-konformen TOMs (technische und organisatorische Massnahmen) verpflichtet.
13. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich gesetzliche Vorgaben oder unsere Verarbeitungen ändern. Die aktuelle Version ist stets auf dieser Seite verfügbar. Bei wesentlichen Änderungen informieren wir Lizenzkunden per E-Mail.
Kontakt für Datenschutzanfragen: [email protected]