Datenschutzerklärung
Penno ist so gebaut, dass es so wenig deiner Daten wie möglich braucht — am liebsten gar keine. Diese Seite beschreibt, was das in der Praxis bedeutet.
Kurz gesagt
- Wir sammeln keine Finanzdaten von dir. Transaktionen, Schulden, Budgets und Kategorien bleiben auf deinem Gerät — deine einzelnen Transaktionen sehen oder bekommen wir nie.
- Wir sammeln keine persönlichen Daten von dir. Keinen Namen, keine E-Mail-Adresse, keine Telefonnummer, keine Adresse, keinen Ausweis, keinen exakten Standort, keine Werbe-Kennung.
- Penno verlangt kein Konto, keine Anmeldung, keinen Login. Es wird keinerlei Nutzer-Kennung erzeugt.
- Penno verbindet sich nicht mit deiner Bank oder einem anderen Finanzinstitut.
- Eine optionale Ausnahme: KI-Insights (eine Pro-Funktion, standardmäßig aus) sendet die aggregierten Kategorie-Summen des jeweiligen Monats — niemals einzelne Transaktionen — an unseren KI-Anbieter, und nur dann, wenn du die Funktion einschaltest. Details weiter unten.
- Wir erfassen anonyme Produkt-Analytics (Seitenaufrufe, Taps, Bildschirm-Fluss) über PostHog, um zu verstehen, wie App und Website genutzt werden. Ohne Identität dran. Vollständige Offenlegung weiter unten.
- Wenn du die App löschst, sind die lokalen Daten mit weg; hast du ein iCloud-Backup gesichert, bleibt es in deiner eigenen iCloud, bis du es dort löschst. Bereits gesendete anonyme Analytics-Ereignisse lassen sich nicht mehr zu dir zurückverfolgen.
Was wir erfassen
Keine deiner Finanzdaten. Keine deiner persönlichen Daten.
Abgesehen von der optionalen Funktion KI-Insights, die weiter unten
beschrieben ist, macht die App null Netzwerk-Aufrufe zu deinen
Transaktionen, Schulden, wiederkehrenden Buchungen, Budgets oder
Kategorien — dieser Inhalt bleibt auf deinem Gerät in
budget-planner.db. Deine einzelnen Transaktionen werden
niemals an uns oder irgendjemand anderen übertragen. Wir fragen außerdem
weder nach
deinem Namen, deiner E-Mail-Adresse, Telefonnummer, Adresse, deinem
Geburtsdatum, Ausweis, IP-Adresse, exaktem Standort, noch nach
irgendeiner anderen Kennung, mit der du als bestimmte Person erkennbar
wärst — und wir erzeugen oder speichern auch nichts davon.
Anonyme Produkt-Analytics. Penno nutzt PostHog, um aggregierte, anonyme Nutzungsdaten zu erfassen — sowohl auf der Website (getpenno.com) als auch in der App. Das hilft uns zu sehen, welche Screens genutzt werden, welche Funktionen wichtig sind und wo die Erfahrung hakt. Konkret:
- Ereignisse: Screen-Aufrufe, Taps, Navigations-Fluss, App-Version, OS-Version, Sprache, Gerätetyp.
- Keine Identität: Wir rufen PostHogs
identify-API nicht auf. Es wird kein Personen-Profil angelegt (personProfiles: 'identified_only'). PostHog erzeugt automatisch eine zufällige, anonyme Geräte-ID, die lokal gespeichert wird — wir können sie dir nicht zuordnen, und du setzt sie zurück, indem du die App löschst. - Keine PII: Keine E-Mail-Adresse, kein Name, keine Telefonnummer, kein exakter Standort, keine bei uns gespeicherte IP-Adresse. PostHog verwirft die IP nach der Geo-Auflösung auf Länderebene.
Wir nutzen weder Plaid noch Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network oder irgendein anderes Werbe- oder Daten-Broker-SDK. PostHog ist der einzige Drittanbieter im Binary, und sein Umfang ist oben beschrieben.
Du kannst unabhängig überprüfen, was das Gerät verlässt. Apples
Datenschutzbericht auf deinem Gerät zeigt ausgehende Verbindungen zu
r.getpenno.com (unserem PostHog-Reverse-Proxy), zu
ai.getpenno.com nur dann, wenn du KI-Insights nutzt, und zu
Apples eigenen Diensten — sonst nichts.
KI-Insights (optional)
KI-Insights ist eine optionale Funktion, die in der einmaligen Penno-Pro-Freischaltung enthalten ist. Sie bleibt aus, bis du sie öffnest, und beim ersten Ausführen fragt Penno nach deiner ausdrücklichen Zustimmung. Wenn du sie nie einschaltest, gilt nichts aus diesem Abschnitt, und keine Finanzdaten verlassen dein Gerät.
Wenn du auf „Diesen Monat analysieren" tippst und die Abfrage bestätigst, sendet Penno eine Zusammenfassung des ausgewählten Monats an unseren KI-Anbieter, um die geschriebenen Insights zu erstellen:
- Was gesendet wird: Ausgaben- und Budget-Summen je Kategorie für den Monat, deine Monatssummen (ausgegeben, budgetiert, Einnahmen), die Gesamtausgaben des Vormonats sowie die Namen und Beträge deiner aktiven wiederkehrenden Buchungen.
- Was niemals gesendet wird: deine einzelnen Transaktionen, ihre Notizen, Daten oder irgendwelche Detailangaben einzelner Posten — nur die aggregierten Zahlen von oben.
- Wie es übertragen wird: Die Anfrage geht an unseren eigenen Proxy unter
ai.getpenno.com, der sie an Googles Gemini-API weiterleitet, um diese eine Antwort zu erzeugen. Sie wird von uns nicht gespeichert, und deine Anfrage wird ohne Namen, E-Mail-Adresse oder Konto-Kennung gesendet. - Keine Inhalte in den Analytics: Wir erfassen nur anonyme Betriebs-Metadaten zu jeder Anfrage (KI-Modell, Token-Anzahl, Kosten, Latenz, Erfolg oder Fehler) in PostHog — niemals die gesendeten Zahlen oder die zurückgegebenen Insights.
KI-generierte Insights dienen nur zur Information und sind keine Finanzberatung.
Was wir speichern
Deine Budget-Daten — Kategorien, Transaktionen, wiederkehrende
Buchungen, Schulden, Schulden-Zahlungen und Einstellungen — werden
lokal auf deinem Gerät in einer SQLite-Datenbankdatei namens
budget-planner.db gespeichert. Diese Datei liegt im
Penno-App-Container auf deinem Gerät.
iOS schließt diesen App-Container automatisch in dein iCloud-Backup ein, wenn iCloud-Backup auf deinem Gerät aktiv ist. Das ist iOS-Verhalten, kein Penno-Verhalten. Du kannst Penno in deinen iCloud-Einstellungen vom Backup ausnehmen, wenn du das lieber willst.
Davon getrennt bietet Penno ein optionales iCloud-Backup, das du selbst steuerst. Wenn du es unter Einstellungen → iCloud aktivierst und auf Sichern tippst, legt Penno eine einzige Backup-Datei in deinem eigenen iCloud-Konto ab; ein Tipp auf Wiederherstellen holt sie zurück. Beides sind manuelle Aktionen, die du ausführst — es gibt keinen automatischen Upload und keinen im Hintergrund. Die Backup-Datei liegt ausschließlich in deiner eigenen iCloud; Penno bekommt sie nie und kann sie nicht lesen, und du kannst sie jederzeit aus deiner iCloud löschen.
Benachrichtigungen
Penno plant lokale Benachrichtigungen auf deinem Gerät — zum Beispiel die Erinnerung am Tag vor einer wiederkehrenden Buchung, oder einen Hinweis zu einer Schuld, die sich nicht bewegt. Diese Benachrichtigungen werden vom iOS-Benachrichtigungssystem selbst geplant; sie brauchen keinen serverseitigen Push.
Wenn du Benachrichtigungen beim Onboarding erlaubst, sind die einzigen Daten, die im Spiel sind, die lokale Planung auf deinem Gerät. Es wird nichts an Penno oder einen Drittanbieter übertragen.
Export und Teilen
Wenn du dich entscheidest, deine Daten über die App-Export-Funktion in eine CSV- oder XLSX-Datei zu exportieren, wird die Datei auf deinem Gerät erstellt und dann an das iOS-Teilen-Menü übergeben. Von da aus entscheidest du, wohin sie geht — Dateien, iCloud Drive, E-Mail, AirDrop oder ein beliebiges anderes Teilen-Ziel auf deinem Gerät.
Penno selbst schickt die Datei nirgendwohin. Die Daten verlassen die App nur, wenn du sie explizit über das Teilen-Menü dorthin lenkst.
Drittanbieter
Wir verkaufen, verleihen oder teilen deine Finanzdaten mit niemandem. Wir haben deine Finanzdaten nicht — es gibt nichts zu teilen.
Die Drittanbieter, die an Pennos Betrieb beteiligt sind:
- Apple Inc. — hostet die App im App Store und betreibt die zugrundeliegende iOS-Plattform. Geregelt durch Apples Datenschutzerklärung.
-
PostHog Inc. — empfängt die oben beschriebenen
anonymen Produkt-Analytics. Die Daten liegen in PostHogs US-Cloud
und werden über unseren Reverse-Proxy unter
r.getpenno.comgeleitet. Geregelt durch PostHogs Datenschutzerklärung und den dazugehörigen Auftragsverarbeitungs-Vertrag. - RevenueCat, Inc. — verarbeitet den einmaligen In-App-Kauf. RevenueCat erhält den Kaufbeleg aus dem App Store sowie eine zufällige, anonyme App-Nutzer-ID, die es selbst erzeugt (kein Name, keine E-Mail-Adresse, keine Finanzdaten), damit deine Freischaltung überprüft und wiederhergestellt werden kann. Geregelt durch RevenueCats Datenschutzerklärung.
- Google LLC — stellt das Gemini-KI-Modell hinter der optionalen Funktion KI-Insights bereit. Nur wenn du diese Funktion nutzt, wird die oben beschriebene aggregierte Monats-Zusammenfassung über unseren Proxy an Googles Gemini-API gesendet, um die Antwort zu erzeugen. Geregelt durch Googles Datenschutzerklärung und die Gemini-API-Nutzungsbedingungen.
Cookies und Tracking
Die Penno-Landingpage (getpenno.com) setzt eine kleine Anzahl First-Party-Cookies bzw. Local-Storage-Einträge, die PostHog nutzt, um (a) Ereignisse innerhalb derselben Browsing-Sitzung zusammenzuhalten und (b) Besucherzahlen über die Zeit zu deduplizieren. Sie werden nicht für Werbung verwendet und nicht mit Werbenetzwerken geteilt. Es gibt keine Werbe-Cookies von Drittanbietern, kein Facebook Pixel und kein Google-Ads-Tag.
Die Mobil-App nutzt keine Werbe-Kennungen (kein IDFA, keine IDFA-Äquivalente). PostHog in der App nutzt eine zufällige, anonyme Geräte-ID, die in der eigenen App-Sandbox abgelegt ist; sie wird zurückgesetzt, wenn du die App löschst.
Widerspruch: Die App nutzt keine Werbe-Kennungen,
daher gibt es keine App-Tracking-Transparenz-Abfrage, und Penno
erscheint nicht unter iOS Einstellungen > Datenschutz &
Sicherheit > Tracking. Um die anonymen Analytics der App zu
stoppen, lösche die App — das entfernt die lokal gespeicherte anonyme
Geräte-ID. Auf der Website kannst du mit Browser-Mitteln (Do Not
Track, Privater Modus, Content-Blocker) Anfragen an
r.getpenno.com blockieren; die Seite bleibt auch ohne
Analytics voll funktionsfähig.
Kinder
Penno richtet sich nicht an Kinder. Wir erfassen wissentlich keinerlei Informationen von Kindern. Da wir von niemandem Informationen erfassen, gilt diese Aussage gleichermaßen für alle Nutzer:innen — es gibt keinen eigenen Datenpfad für Kinderdaten.
Deine Rechte
Deine Finanzdaten liegen auf deinem Gerät, vollständig unter deiner Kontrolle. Du kannst:
- Jeden Eintrag in der App-Oberfläche bearbeiten
- Alle Daten über die App-Export-Funktion exportieren
- Die App löschen, um alle lokalen Daten zu entfernen
Zu den anonymen PostHog-Analytics oben: Weil keine Identität daran hängt, haben wir keine Möglichkeit, „deine" Ereignisse auf der Server-Seite herauszusuchen. Du kannst Analytics aber komplett blockieren:
-
Website: Blockiere Anfragen an
r.getpenno.commit dem Content-Blocker deines Browsers, nutze den privaten/Inkognito- Modus oder aktiviere Do Not Track. - App: Die App zeigt keine Tracking-Abfrage und nutzt keine Werbe-Kennungen, daher erscheint sie nicht unter iOS Einstellungen > Datenschutz & Sicherheit > Tracking. Um die Analytics der App zu stoppen, lösche sie — das entfernt die lokal gespeicherte anonyme Geräte-ID.
Falls du glaubst, dass Ereignisse von deinem konkreten Gerät auf PostHog-Seite gelöscht werden sollten, schreib uns an die unten stehende Adresse mit dem ungefähren Zeitraum, und wir stoßen bei PostHog eine Datenlöschung an. Weil die Ereignisse anonym sind, können wir deine womöglich nicht eindeutig herausfiltern — aber wir kooperieren nach bestem Wissen.
Änderungen an dieser Erklärung
Wenn wir diese Erklärung wesentlich ändern, aktualisieren wir diese Seite und das Datum oben. Wesentliche Änderungen betreffen den Umgang mit Daten in der App; unwesentliche Änderungen sind Klarstellungen oder Tippfehlerkorrekturen.
Kontakt
Fragen zum Datenschutz: [email protected].