Die vorliegende Datenschutzerklärung beschreibt, wie HDdev (im Folgenden « HDdev », « wir » oder « unser ») die personenbezogenen Daten der Nutzer (im Folgenden « Sie » oder « der Nutzer ») des Dienstes Finance.HDdev erhebt, verwendet, speichert und schützt, in Übereinstimmung mit der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSGVO) und dem belgischen Gesetz vom 30. Juli 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Artikel 1 — Verantwortlicher für die Verarbeitung

Der Verantwortliche für die Verarbeitung personenbezogener Daten ist:

Bezeichnung: HDdev
Kontakt-E-Mail: contact@hddev.eu
Datenschutzbeauftragter (DPO): privacy@hddev.eu
Vollständige rechtliche Informationen finden Sie in unserem Impressum.

Artikel 2 — Erhobene Daten

2.1 Vom Nutzer direkt bereitgestellte Daten

Registrierungsdaten: E-Mail-Adresse, Name, Vorname, Passwort (in gehashter Form gespeichert);
Profildaten: Spracheinstellungen, Währung, Benachrichtigungseinstellungen;
Zahlungsdaten: ausschließlich von Stripe verarbeitet (HDdev speichert keine Kreditkartendaten).

2.2 Über die Banksynchronisation erfasste Daten

Kontodaten: Kontoname, IBAN-Nummer, Kontostand, Kontotyp;
Transaktionsdaten: Datum, Betrag, Verwendungszweck, Kategorie, Überweisungsreferenz;
Bankidentität: Name des Kreditinstituts, Bankzugangskennung (ausschließlich verwaltet durch Bridge, nicht gespeichert von HDdev).

Wichtig: HDdev speichert zu keinem Zeitpunkt Ihre Bankzugangsdaten (Login, Passwort, Zugangscodes). Die Verbindung zu Ihren Konten erfolgt ausschließlich über Bridge by Bankin', einen von der ACPR (Autorité de Contrôle Prudentiel et de Résolution) zugelassenen Kontoinformationsdienstleister gemäß der PSD2-Richtlinie (Richtlinie (EU) 2015/2366).

2.3 Automatisch erfasste Daten

Technische Daten: IP-Adresse (anonymisiert), Browsertyp, Betriebssystem, Bildschirmauflösung;
Nutzungsdaten: aufgerufene Seiten, genutzte Funktionen, Zeitstempel der Aktionen (zur Verbesserung des Dienstes).

Artikel 3 — Zwecke und Rechtsgrundlagen der Verarbeitung

Ihre personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

Vertragserfüllung (Art. 6.1.b DSGVO): Erstellung und Verwaltung des Nutzerkontos, Bereitstellung des Finanzverwaltungsdienstes, Banksynchronisation, Zahlungsabwicklung, Kundensupport.
Einwilligung (Art. 6.1.a DSGVO): Versand von Marketingkommunikation (Newsletter, Werbeangebote). Sie können Ihre Einwilligung jederzeit widerrufen.
Berechtigtes Interesse (Art. 6.1.f DSGVO): Verbesserung des Dienstes, Betrugserkennung und Sicherheit, anonymisierte statistische Analyse der Dienstnutzung.
Gesetzliche Verpflichtung (Art. 6.1.c DSGVO): Aufbewahrung der Rechnungsdaten gemäß der belgischen Steuergesetzgebung, Beantwortung von Anfragen der zuständigen Behörden.

Artikel 4 — Auftragsverarbeiter und Empfänger

Ihre personenbezogenen Daten können an folgende Auftragsverarbeiter weitergegeben werden, die im Auftrag und nach den Weisungen von HDdev handeln:

public.privacy.article4Li1Rich
Stripe, Inc. (USA, mit europäischer Verarbeitung): PCI-DSS-Level-1-zertifizierter Zahlungsdienstleister, der die sichere Abwicklung von Kreditkartenzahlungen und SEPA-Lastschriften gewährleistet. Stripe ist konform mit dem EU-US Data Privacy Framework.
Infomaniak Network SA (Schweiz): Anbieter von E-Mail-Diensten, der den Versand von Transaktions-E-Mails und Benachrichtigungen sicherstellt. Infomaniak unterliegt dem Schweizer Bundesgesetz über den Datenschutz (revDSG), das von der Europäischen Kommission als angemessen anerkannt ist.

HDdev verkauft, vermietet und gibt Ihre personenbezogenen Daten unter keinen Umständen zu Werbe- oder Geschäftszwecken an Dritte weiter.

Artikel 5 — Hosting und Datenübermittlung

Die personenbezogenen Daten werden auf einer Infrastruktur in Europa gehostet. Es findet keine Datenübermittlung außerhalb des Europäischen Wirtschaftsraums statt, mit Ausnahme der von Stripe erbrachten Dienste, die vom EU-US Data Privacy Framework sowie von der Europäischen Kommission genehmigten Standardvertragsklauseln profitieren.

Artikel 6 — Datensicherheit

HDdev setzt geeignete technische und organisatorische Maßnahmen um, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen:

Verschlüsselung: Alle sensiblen Daten werden im Ruhezustand mit dem Fernet-Algorithmus (AES + HMAC) und während der Übertragung per HTTPS/TLS verschlüsselt;
Passwörter: ausschließlich als Hash (bcrypt) mit individuellem Salt gespeichert;
Zugriff: Datenzugriff ausschließlich auf autorisierte Mitarbeiter beschränkt, nach dem Prinzip der minimalen Rechtevergabe;
Überwachung: kontinuierliches Zugriffsmonitoring und Anomalieerkennung;
Backups: regelmäßige verschlüsselte Backups mit Notfallwiederherstellungsplan;
Audits: regelmäßige Sicherheitsbewertungen und Penetrationstests.

Artikel 7 — Aufbewahrungsdauer

Kontodaten: während der gesamten Nutzungsdauer des Dienstes aufbewahrt. Bei Kontolöschung werden die Daten innerhalb von dreißig (30) Tagen gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Rechnungsdaten: fünf (5) Jahre nach der letzten Transaktion aufbewahrt, gemäß den belgischen Buchhaltungs- und Steuerpflichten (Art. III.86 des Wirtschaftsgesetzbuchs).
Synchronisierte Bankdaten: während der Kontolaufzeit aufbewahrt. Innerhalb von dreißig (30) Tagen nach Trennung des Bankkontos oder Löschung des Benutzerkontos gelöscht.
Technische Protokolle: maximal zwölf (12) Monate aufbewahrt und anschließend anonymisiert.
Daten nach Löschung: Nach Kontolöschung werden Daten, die keiner gesetzlichen Aufbewahrungspflicht unterliegen, innerhalb von dreißig (30) Tagen anonymisiert oder gelöscht. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (Rechnungsstellung), werden fünf (5) weitere Jahre in einem sicheren Archiv mit beschränktem Zugriff aufbewahrt.

Artikel 8 — Ihre Rechte

Gemäß der DSGVO und dem belgischen Recht stehen Ihnen folgende Rechte bezüglich Ihrer personenbezogenen Daten zu:

Auskunftsrecht (Art. 15 DSGVO): Bestätigung über die Verarbeitung Ihrer Daten erhalten und eine Kopie davon bekommen;
Recht auf Berichtigung (Art. 16 DSGVO): unrichtige oder unvollständige Daten berichtigen lassen;
Recht auf Löschung (Art. 17 DSGVO): Löschung Ihrer Daten verlangen, vorbehaltlich gesetzlicher Pflichten;
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten;
Widerspruchsrecht (Art. 21 DSGVO): aus berechtigten Gründen der Verarbeitung Ihrer Daten widersprechen;
Recht auf Einschränkung (Art. 18 DSGVO): in den von der DSGVO vorgesehenen Fällen die Einschränkung der Verarbeitung verlangen;
Recht auf Widerruf der Einwilligung (Art. 7.3 DSGVO): Ihre Einwilligung jederzeit für darauf basierende Verarbeitungen widerrufen;
Recht auf Beschwerde: bei der belgischen Datenschutzbehörde (APD) — www.autoriteprotectiondonnees.be.

Um Ihre Rechte auszuüben, richten Sie Ihre Anfrage per E-Mail an privacy@hddev.eu und fügen Sie eine Kopie Ihres Ausweisdokuments bei. Wir verpflichten uns, gemäß Artikel 12.3 der DSGVO innerhalb eines Monats nach Eingang Ihrer Anfrage zu antworten.

Artikel 9 — Cookies

Für weitere Informationen zur Nutzung von Cookies auf Finance.HDdev konsultieren Sie bitte unsere dedizierte Cookie-Richtlinie.

Artikel 10 — Schutz Minderjähriger

Der Dienst richtet sich an Personen ab 16 Jahren. HDdev erhebt wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren. Sollten wir erfahren, dass ein Minderjähriger unter 16 Jahren uns personenbezogene Daten ohne die erforderliche elterliche Einwilligung übermittelt hat, werden wir diese Daten schnellstmöglich löschen.

Artikel 11 — Datenverletzung

Im Falle einer Verletzung personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellen könnte, verpflichtet sich HDdev, die belgische Datenschutzbehörde innerhalb von 72 Stunden gemäß Artikel 33 der DSGVO zu benachrichtigen. Falls die Verletzung ein hohes Risiko darstellen könnte, werden Sie gemäß Artikel 34 der DSGVO auch direkt informiert.

Artikel 12 — Änderung der Datenschutzerklärung

HDdev behält sich das Recht vor, die vorliegende Datenschutzrichtlinie jederzeit zu ändern. Jede wesentliche Änderung wird den Nutzern per E-Mail und/oder per Benachrichtigung im Dienst mindestens dreißig (30) Tage vor ihrem Inkrafttreten mitgeteilt. Das Datum der letzten Aktualisierung ist am Ende dieser Seite angegeben.

Artikel 13 — Kontakt

Bei Fragen zur vorliegenden Datenschutzrichtlinie oder zum Schutz Ihrer personenbezogenen Daten können Sie uns kontaktieren:

Allgemeine E-Mail: contact@hddev.eu
Datenschutzbeauftragter: privacy@hddev.eu