Datenschutzrichtlinie

Effective date: 2026-04-18

Diese Datenschutzrichtlinie erklärt, wie MyAutoBudget ("der Dienst", "wir", "uns" oder "unser") mit Ihren Informationen umgeht. MyAutoBudget wird von Josh Jones betrieben, einem unabhängigen Softwareentwickler mit Sitz in Arizona, Vereinigte Staaten. Wir glauben an Transparenz, daher ist diese Richtlinie in einfacher Sprache verfasst und wir sind offen darüber, was wir bereits aufgebaut haben und was noch nicht.

1. Was wir erfassen

Kontoinformationen: Wenn Sie sich anmelden, sammeln wir eine E-Mail-Adresse, einen Anzeigenamen und ein Kennwort. Ihr Passwort wird als One-Way-Kryptographie-Hash gespeichert – wir speichern oder haben niemals Zugriff auf Ihr Klartext-Passwort.

Finanzielle Daten, die Sie eingeben: Konten, Guthaben, Rechnungen, Einkommensquellen, Zuweisungseimer, Sparziele und ähnliche Datensätze. Alle diese Daten werden von Ihnen eingegeben und nur gespeichert, um die Budgetierungsfeatures bereitzustellen, auf die Sie sich angemeldet haben.

Plaid-Daten (optional): Wenn Sie sich entscheiden, ein Bankkonto über unsere Plaid-Integration zu verbinden, erhalten wir Kontostände, Transaktionsdaten und Kontometadaten (wie z.B. Jahreszinsen) von Plaid in Ihrem Auftrag. Die Plaid-Verbindung ist schreibgeschützt — MyAutoBudget kann keine Überweisungen veranlassen, Zahlungen tätigen oder Ihr Bankkonto in irgendeiner Weise ändern. Wir erhalten oder speichern keine Anmeldedaten für Ihr Bankkonto — diese werden vollständig von Plaid unter deren eigener Datenschutzrichtlinie verwaltet.

Server- und Betriebsprotokolle: Wir führen begrenzte Zugriffs- und Betriebsprotokolle (wie IP-Adressen, Anfragezeitstempel, URL-Pfade und Fehlerinformationen) für Sicherheit, Zuverlässigkeit und Missbrauchsprävention. Diese Protokolle werden nicht länger als 30 Tage aufbewahrt.

2. Wie wir Ihre Daten verwenden

Wir verwenden Ihre Daten, um den Dienst bereitzustellen, die Zuverlässigkeit und Sicherheit zu gewährleisten, Fehler zu beheben und die Budgetierungsfunktionen und die Produktfunktionalität zu verbessern. Dies umfasst das Generieren Ihres Budget-Dashboards, das Durchführen von Berechnungen und Prognosen sowie das Versenden von Transaktions-E-Mails (z. B. Links zum Zurücksetzen von Passwörtern). Wir verwenden nicht Ihre persönlichen Finanzdaten für Werbung, benutzerübergreifende Profilerstellung oder den Verkauf an Dritte.

Wir können aggregierte, anonymisierte Betriebsstatistiken erstellen (zum Beispiel Fehlerquoten, Funktionsnutzungszähler oder Leistungsmetriken), um den Dienst zu warten und zu verbessern. Diese Statistiken sind so konzipiert, dass sie einzelne Benutzer nicht identifizieren, und werden nicht an Dritte verkauft.

3. Datenisolierung und Zugriff

Wir gestalten den Dienst so, dass die Finanzdaten jedes Benutzers von denen anderer Benutzer isoliert sind. Im normalen Betrieb von MyAutoBudget überprüfen wir keine individuellen finanziellen Benutzerdaten. Da der Dienst von einem kleinen unabhängigen Anbieter betrieben wird, hat der Betreiber administrativen Zugang zur zugrunde liegenden Infrastruktur. Der Zugriff auf Kontodaten kann erfolgen, wenn dies vernünftigerweise erforderlich ist, um Support zu leisten, ein gemeldetes Problem zu untersuchen, den Dienst zu warten oder zu sichern, gesetzlichen Verpflichtungen nachzukommen oder auf einen Sicherheitsvorfall zu reagieren. Wenn supportbezogener Zugriff für ein von Ihnen gemeldetes Problem erforderlich ist, werden wir angemessene Anstrengungen unternehmen, Sie darüber zu informieren, wenn dies praktikabel ist.

4. Sicherheits- und Datenschutzreife

Wir möchten transparent über den aktuellen Reifegrad unserer Sicherheits- und Datenschutzinfrastruktur sein. Die folgenden Schutzmaßnahmen wurden implementiert und sind aktiv:

• Verschlüsselung im Ruhezustand — sensible Finanzfelder und Plaid-Zugriffstoken werden auf der Anwendungsebene verschlüsselt, bevor sie in persistente Speicher geschrieben werden. Der Verschlüsselungsschlüssel wird separat von den Datenbankdateien gespeichert.
• Self-Service-Datenexport — Sie können jederzeit eine vollständige Kopie all Ihrer Daten im JSON-Format von der Profilseite herunterladen, ohne uns kontaktieren zu müssen.
• Selbstbedientes Löschen von Konten — Sie können Ihr Konto und alle zugehörigen Daten dauerhaft von der Profilseite löschen. Das Löschen erfordert eine Passwortbestätigung und entfernt Ihren Authentifizierungsdatensatz, alle Sitzungen und Ihre Benutzerdaten aus dem aktiven Anwendungsspeicher.
• Datenisolierung pro Benutzer — die Finanzdaten jedes Benutzers sind logisch von denen anderer Benutzer isoliert, und unsere aktuelle Speicherarchitektur hält Benutzerdaten auf Basis pro Benutzer getrennt.
• HTTPS/TLS während der Übertragung — alle Verbindungen zum Dienst sind verschlüsselt.
• Passwort-Hashing — Passwörter werden mit einem modernen salted One-Way-Hashing-Algorithmus gespeichert.
• CSRF-Schutz — Cross-Site-Request-Forgery-Token werden auf zustandsändernde Anfragen angewendet.
• Sitzungssicherheit — Sitzungstoken sind kryptografisch zufällig und verfallen nach einem konfigurierbaren Zeitraum.
• Drosselung der Anmelderate — Brute-Force-Anmeldeversuche werden gedrosselt.

Die folgende Schutzmaßnahme ist noch nicht implementiert:

• Unabhängige Sicherheitsprüfung — der Dienst wurde keinem formalen Penetrationstests oder unabhängigen Sicherheitsaudit unterzogen.

Kein System ist vollkommen sicher. Berücksichtigen Sie diese Einschränkungen, wenn Sie entscheiden, welche Daten Sie in den Dienst eingeben möchten.

5. Bevor Sie Bankkonten verbinden

MyAutoBudget ist ein unabhängiges Budgetierungstool in öffentlicher Betaversion. Es ist keine Bank und hat keinen unabhängigen Sicherheitsaudit durchlaufen. Wenn Sie sich entscheiden, Finanzkonten über Plaid zu verbinden, sollten Sie dies mit diesem Verständnis tun. Mittel auf Ihren eigenen Bankkonten unterliegen weiterhin den Bedingungen und Schutzmaßnahmen Ihrer Bank. MyAutoBudget bietet keine FDIC- oder ähnliche Einlagensicherung.

6. Datenaustausch

Wir verkaufen, vermieten oder teilen Ihre persönlichen Daten nicht mit Dritten zu Marketing- oder Werbezwecken. Wir teilen Daten nur in diesen begrenzten Fällen:

• Plaid (falls Sie sich dafür entscheiden) — zum Abrufen von Kontoständen, Transaktionsdaten und Verbindlichkeitsinformationen (wie z.B. Kreditkarten-Jahreszinsen). Plaid fungiert als Datenverarbeiter in Ihrem Auftrag. Siehe Plaids Datenschutzrichtlinie für Details darüber, wie sie mit Ihren Bankzugangsdaten umgehen.
• E-Mail-Zustellung — wir verwenden einen SMTP-E-Mail-Dienst, um Links zum Zurücksetzen von Passwörtern zu versenden. Der Dienst erhält nur Ihre E-Mail-Adresse und den Nachrichteninhalt.
• Rechtliche Verpflichtungen - wir können Daten offenlegen, wenn gesetzlich vorgeschrieben, durch Verordnung, Vorladung oder gültige rechtliche Verfahren erforderlich.

7. Aufbewahrung und Löschung von Daten

Wir bewahren Ihre Daten auf, solange Ihr Konto aktiv ist. Sie können Ihr Konto und die zugehörigen Anwendungsdaten jederzeit über die Profilseite dauerhaft löschen, vorbehaltlich einer Passwortbestätigung. Wir werden dann Ihren Authentifizierungsdatensatz, Sitzungen und Ihre finanziellen Benutzerdaten aus dem aktiven Anwendungsspeicher entfernen. Wir unterhalten absichtlich keine langfristigen, für den Benutzer zugänglichen Sicherungskopien der finanziellen Benutzerdaten nach der Löschung, jedoch können begrenzte Restdaten vorübergehend in kurzlebigen Protokollen, Infrastruktur-Snapshots oder Systemen verbleiben, bis sie normal ablaufen oder überschrieben werden. Sobald die Löschung in den aktiven Systemen abgeschlossen ist, können Ihre Daten nicht von uns wiederhergestellt werden. Die Selbstlöschung über die Profilseite wird umgehend in den aktiven Anwendungssystemen verarbeitet. Wenn Sie stattdessen eine Löschanfrage per E-Mail an support@myautobudget.com senden, werden wir sie innerhalb von 30 Tagen abschließen.

8. Benachrichtigung bei Datenschutzverletzungen

Wenn wir einen Sicherheitsvorfall bestätigen, der Ihre persönlichen Daten erheblich gefährdet, werden wir betroffene Benutzer unverzüglich und, soweit machbar, innerhalb von 72 Stunden nach Bestätigung benachrichtigen. Die Mitteilung wird die Art des Vorfalls, die betroffenen Daten zum damaligen Zeitpunkt, die Schritte, die wir unternehmen, und empfohlene Schutzmaßnahmen beschreiben.

9. Wo Ihre Daten gehostet werden

Der Dienst läuft auf zwei getrennten Infrastrukturebenen. Die Anwendungsebene wird auf der Fly.io-Infrastruktur in den Vereinigten Staaten (Region Los Angeles / LAX) gehostet. Ihre Authentifizierungsdaten und verschlüsselten Finanzdatensätze werden separat auf der Turso-Infrastruktur (verwaltetes SQLite/libSQL) gespeichert, die auf Amazon Web Services in der US-Region West läuft; Daten im Ruhezustand werden auf Anwendungsebene verschlüsselt, bevor sie in den Turso-Speicher gelangen. Die Sicherheitspraktiken von Fly.io werden in deren Sicherheitsdokumentation beschrieben.

10. Cookies und Tracking

Wir verwenden ein einzelnes, streng notwendiges Session-Cookie, um Sie angemeldet zu halten. Wir verwenden keine Analyse-Cookies, Werbe-Tracker oder Tracking-Skripte von Drittanbietern. Wir beteiligen uns nicht an Website-übergreifendem Tracking oder Behavioral Advertising. Es gibt keine Pixel, Tags oder SDKs von Drittanbietern auf einer Seite des Service.

11. Ihre Rechte

Je nach Ihrem Standort haben Sie möglicherweise Rechte nach geltendem Datenschutzrecht (wie CCPA, wenn Sie in Kalifornien ansässig sind, oder DSGVO, wenn Sie sich in der EU/dem EWR befinden). Diese können das Recht auf Zugang, Berichtigung, Löschung oder Übertragung Ihrer Daten oder auf Widerspruch gegen bestimmte Verarbeitungen umfassen. Sie können Ihr Recht auf Datenübertragbarkeit und Kontolöschung direkt über die Profilseite ausüben. Für alle anderen Anfragen senden Sie eine E-Mail an support@myautobudget.com. Wir werden innerhalb von 30 Tagen antworten.

12. Datenschutz für Kinder

Der Service richtet sich nicht an Personen unter 18 Jahren. Wir sammeln nicht wissentlich Daten von Minderjährigen. Wenn wir erfahren, dass wir versehentlich Daten von jemandem unter 18 Jahren gesammelt haben, werden wir diese umgehend löschen.

13. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen benachrichtigen wir Sie per E-Mail oder durch einen auffälligen Hinweis im Service mindestens 14 Tage bevor die Änderungen wirksam werden, und wir werden das Gültigkeitsdatum am Anfang dieser Seite aktualisieren. Die fortgesetzte Nutzung des Service nach der Benachrichtigungsfrist gilt als Annahme der überarbeiteten Richtlinie.

14. Anwendbares Recht

Diese Datenschutzrichtlinie unterliegt den Gesetzen des Staates Arizona, USA.

15. Übersetzung

Diese Datenschutzrichtlinie kann in anderen Sprachen als Englisch verfügbar sein. Im Falle von Konflikten oder Unstimmigkeiten zwischen einer übersetzten Version und der englischen Version gilt die englische Version.

16. Kontakt

Fragen zu dieser Richtlinie, Ihren Daten oder einem Datenschutzanliegen? Schreiben Sie uns an support@myautobudget.com. Um ein vermutetes Sicherheitsproblem zu melden, senden Sie eine E-Mail an support@myautobudget.com mit dem Betreff "Sicherheitsproblem".

Service Availability

MyAutoBudget is currently available only to residents of the United States, Canada, and Mexico. Requests originating from other jurisdictions are blocked at the network layer using IP-based geolocation. If you access the Service from a sanctioned jurisdiction or a jurisdiction outside our service area, we may be required to refuse service and will display a notice to that effect under RFC 7725 (HTTP 451 Unavailable For Legal Reasons).

Categories of Personal Information We Collect

In the last twelve months we have collected the following categories of personal information, as those categories are defined by the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA):

• Identifiers: your email address, display name, and an internal numeric user ID.
• Commercial information: your subscription status, billing history (processed by our payment processor, Stripe), and coupon redemptions.
• Internet or other similar network activity: the IP address of the devices you use to access the Service, browser user-agent, approximate country / region derived from your IP address, and request timestamps.
• Financial information you choose to enter: accounts, balances, bills, income, transactions, allocations, and goals that you record in the Service. All such fields are encrypted at rest using Fernet (AES-128-CBC + HMAC-SHA256) with a key controlled by MyAutoBudget.
• Inferences: projections and insights derived algorithmically from the financial data you enter (for example, an ETA for a savings goal). Inferences are regenerated on demand and are not persisted across sessions.

How We Use Personal Information

We use the categories above exclusively to operate, secure, and improve the Service; to process your subscription; to send transactional email (such as password-reset and email-verification messages); and to comply with our legal obligations. We do not use personal information for advertising, for building profiles to sell to third parties, or for any purpose that is not reasonably necessary to deliver the Service you requested.

Sale or Sharing of Personal Information

We do not sell your personal information, and we do not share it for cross-context behavioral advertising, as those terms are defined under the CCPA/CPRA. We have not sold or shared personal information in the preceding twelve months, and we have no present intention to do so.

You can record an opt-out of any future sale or sharing in two equally effective ways:

• Enable the checkbox on the Privacy Preferences section of your profile. This records a Do Not Sell or Share My Personal Information election on your account and appends a dated entry to our Consent Log.
• Browse with the Global Privacy Control (GPC) signal enabled in your browser or extension. We honor GPC as a legally-binding opt-out under California Civil Code § 1798.135(b)(1); the first authenticated request we receive with a valid Sec-GPC: 1 header automatically records a Do Not Sell / Share election on your account.

Your Rights as a US Resident

Depending on your state of residence you may have some or all of the following rights with respect to your personal information: the right to know what we have collected about you and how we use it; the right to access a copy of that information in a portable format; the right to correct inaccurate information; the right to delete your information; and the right to opt out of any sale or sharing. The exact scope of these rights depends on your state's statute (CCPA/CPRA for California; CPA for Colorado; CTDPA for Connecticut; UCPA for Utah; VCDPA for Virginia; and similar laws in other states).

You can exercise most of these rights directly in the Service:

• Access / portability: Profile → Download your data produces a JSON export of every record we hold about you.
• Correction: you can edit account identifiers on the Profile page and any financial record through the normal management screens.
• Deletion: the "Delete Account" control on the Profile page permanently removes your account and all associated financial data. We retain a one-way hash of the email address and the original account creation timestamp for the sole purpose of preventing abusive re-creation of free trials; this hash is not reversible and cannot be used to identify you.
• Opt-out of sale or sharing: see the preceding section.

To exercise any right that cannot be exercised through the self-service controls above, email us at privacy@myautobudget.com. We verify requests by requiring that you submit them from the email address of record on the account, and we will respond within forty-five (45) days of receiving a verifiable request as required by California Civil Code § 1798.130. You may designate an authorised agent to submit a request on your behalf; the agent must provide written proof of the designation, and we will in all cases verify the identity of the consumer directly.

Non-discrimination. We will not deny you service, charge you a different price, or provide you a different level or quality of service because you exercised any right under the CCPA, CPRA, or analogous state law.

Service Providers

We disclose personal information only to the following categories of service providers, each of which is bound by a written contract that limits their use of the information to the purpose for which we engaged them:

• Turso — managed SQLite (libSQL) hosting for the authentication database and the per-user financial databases. Turso operates on Amazon Web Services in the United States West region. Data at rest is encrypted at the application layer before it reaches Turso storage.
• Stripe, Inc. — subscription billing and payment processing. We never store your card number, expiry, or CVV; Stripe issues the charge directly and returns only a subscription identifier.
• Plaid Inc. — optional bank-account aggregation for users who choose to link an account. Plaid handles all contact with your financial institution; we receive only the normalised account and transaction data that you elect to share.
• SMTP relay — a transactional-email provider used to send password-reset and email-verification messages. Only your email address and the message body leave our infrastructure.
• Cloudflare, Inc. — DNS, DDoS mitigation, and (optionally) the geo-country header used to determine jurisdiction for service availability.

Global Privacy Control (GPC) & Browser Signals

In addition to honoring explicit opt-outs recorded via the Profile page, MyAutoBudget respects the Sec-GPC HTTP header defined by the Global Privacy Control working group as a legally-binding Do Not Sell / Share opt-out under California Civil Code § 1798.135 and corresponding provisions of the Colorado Privacy Act and Connecticut Data Privacy Act. A browser or browser extension that emits Sec-GPC: 1 on a request from an authenticated session will cause the Service to automatically record a Do Not Sell / Share election on that account; the election is reflected in the Consent Log and persists across future sessions.

We do not respond to the legacy "Do Not Track" browser header because that signal has been deprecated and carries no unambiguous legal meaning. GPC supersedes DNT for this purpose.

California Shine the Light (Civil Code § 1798.83)

We do not share personal information with third parties for their own direct-marketing purposes, so no "Shine the Light" disclosure is required. If this changes, we will update this policy and provide the statutorily-required notice.

California Civil Code § 1789.3 Notice

Under California Civil Code § 1789.3, users of the Service from California are entitled to the following consumer rights notice: the Complaint Assistance Unit of the Division of Consumer Services of the California Department of Consumer Affairs may be contacted in writing at 1625 North Market Blvd., Suite N 112, Sacramento, CA 95834, or by telephone at (800) 952-5210 or (916) 445-1254.

Mexico — LFPDPPP

Users in Mexico have rights of Access, Rectification, Cancellation, and Opposition ("ARCO" rights) under the Ley Federal de Protección de Datos Personales en Posesión de los Particulares. The self-service export, edit, and delete controls described above satisfy the Access, Rectification, and Cancellation rights in full. To exercise the right of Opposition or to submit any ARCO request that cannot be satisfied by self-service, email privacy@myautobudget.com.

Canada — PIPEDA & Provincial Equivalents

Canadian users are protected by the Personal Information Protection and Electronic Documents Act and, where applicable, by provincial statutes (Quebec's Law 25, Alberta's PIPA, British Columbia's PIPA). We handle personal information in accordance with the ten Fair Information Principles and will respond to any access or correction request within thirty (30) days as required by section 8 of PIPEDA.

Consent Log & Version History

Each time you create an account, toggle a privacy preference, or transmit a browser-level opt-out signal, we append an immutable row to an internal Consent Log recording the event, the date, and the version of this Privacy Policy and of our Terms of Use in force at that moment. You can review the last ten entries in your own log from the Privacy Preferences section of your profile and request the full record as part of a data-subject access request.

Contact

For any privacy question, data-subject request, or notice of complaint, contact:

MyAutoBudget — Privacy
Email: privacy@myautobudget.com