Datenschutzerklärung

Gültig ab 19.05.2026

Penno ist so gebaut, dass es so wenig deiner Daten wie möglich braucht — am liebsten gar keine. Diese Seite beschreibt, was das in der Praxis bedeutet.

Kurz gesagt

Wir sammeln keine Finanzdaten von dir. Transaktionen, Schulden, Budgets und Kategorien bleiben auf deinem Gerät — wir sehen sie nie und bekommen sie nie.
Wir sammeln keine persönlichen Daten von dir. Keinen Namen, keine E-Mail-Adresse, keine Telefonnummer, keine Adresse, keinen Ausweis, keinen exakten Standort, keine Werbe-Kennung.
Penno verlangt kein Konto, keine Anmeldung, keinen Login. Es wird keinerlei Nutzer-Kennung erzeugt.
Penno verbindet sich nicht mit deiner Bank oder einem anderen Finanzinstitut.
Wir erfassen anonyme Produkt-Analytics (Seitenaufrufe, Taps, Bildschirm-Fluss) über PostHog, um zu verstehen, wie App und Website genutzt werden. Ohne Identität dran. Vollständige Offenlegung weiter unten.
Wenn du die App löschst, sind die lokalen Daten mit weg. Bereits gesendete anonyme Analytics-Ereignisse lassen sich nicht mehr zu dir zurückverfolgen.

Was wir erfassen

Keine deiner Finanzdaten. Keine deiner persönlichen Daten. Die App macht null Netzwerk-Aufrufe zu deinen Transaktionen, Schulden, wiederkehrenden Buchungen, Budgets oder Kategorien — dieser Inhalt bleibt auf deinem Gerät in budget-planner.db und wird weder an uns noch an irgendjemand anderen übertragen. Wir fragen außerdem weder nach deinem Namen, deiner E-Mail-Adresse, Telefonnummer, Adresse, deinem Geburtsdatum, Ausweis, IP-Adresse, exaktem Standort, noch nach irgendeiner anderen Kennung, mit der du als bestimmte Person erkennbar wärst — und wir erzeugen oder speichern auch nichts davon.

Anonyme Produkt-Analytics. Penno nutzt PostHog, um aggregierte, anonyme Nutzungsdaten zu erfassen — sowohl auf der Website (getpenno.com) als auch in der App. Das hilft uns zu sehen, welche Screens genutzt werden, welche Funktionen wichtig sind und wo die Erfahrung hakt. Konkret:

Ereignisse: Screen-Aufrufe, Taps, Navigations-Fluss, App-Version, OS-Version, Sprache, Gerätetyp.
Keine Identität: Wir rufen PostHogs identify-API nicht auf. Es wird kein Personen-Profil angelegt (personProfiles: 'identified_only'). PostHog erzeugt automatisch eine zufällige, anonyme Geräte-ID, die lokal gespeichert wird — wir können sie dir nicht zuordnen, und du setzt sie zurück, indem du die App löschst.
Keine PII: Keine E-Mail-Adresse, kein Name, keine Telefonnummer, kein exakter Standort, keine bei uns gespeicherte IP-Adresse. PostHog verwirft die IP nach der Geo-Auflösung auf Länderebene.

Wir nutzen weder Plaid noch Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network oder irgendein anderes Werbe- oder Daten-Broker-SDK. PostHog ist der einzige Drittanbieter im Binary, und sein Umfang ist oben beschrieben.

Du kannst unabhängig überprüfen, was das Gerät verlässt. Apples Datenschutzbericht auf deinem Gerät zeigt ausgehende Verbindungen zu r.getpenno.com (unserem PostHog-Reverse-Proxy) und zu Apples eigenen Diensten — sonst nichts.

Was wir speichern

Deine Budget-Daten — Kategorien, Transaktionen, wiederkehrende Buchungen, Schulden, Schulden-Zahlungen und Einstellungen — werden lokal auf deinem Gerät in einer SQLite-Datenbankdatei namens budget-planner.db gespeichert. Diese Datei liegt im Penno-App-Container auf deinem Gerät.

iOS schließt diesen App-Container automatisch in dein iCloud-Backup ein, wenn iCloud-Backup auf deinem Gerät aktiv ist. Das ist iOS-Verhalten, kein Penno-Verhalten. Du kannst Penno in deinen iCloud-Einstellungen vom Backup ausnehmen, wenn du das lieber willst.

Benachrichtigungen

Penno plant lokale Benachrichtigungen auf deinem Gerät — zum Beispiel die Erinnerung am Tag vor einer wiederkehrenden Buchung, oder einen Hinweis zu einer Schuld, die sich nicht bewegt. Diese Benachrichtigungen werden vom iOS-Benachrichtigungssystem selbst geplant; sie brauchen keinen serverseitigen Push.

Wenn du Benachrichtigungen beim Onboarding erlaubst, sind die einzigen Daten, die im Spiel sind, die lokale Planung auf deinem Gerät. Es wird nichts an Penno oder einen Drittanbieter übertragen.

Export und Teilen

Wenn du dich entscheidest, deine Daten über die App-Export-Funktion in eine CSV- oder XLSX-Datei zu exportieren, wird die Datei auf deinem Gerät erstellt und dann an das iOS-Teilen-Menü übergeben. Von da aus entscheidest du, wohin sie geht — Dateien, iCloud Drive, E-Mail, AirDrop oder ein beliebiges anderes Teilen-Ziel auf deinem Gerät.

Penno selbst schickt die Datei nirgendwohin. Die Daten verlassen die App nur, wenn du sie explizit über das Teilen-Menü dorthin lenkst.

Drittanbieter

Wir verkaufen, verleihen oder teilen deine Finanzdaten mit niemandem. Wir haben deine Finanzdaten nicht — es gibt nichts zu teilen.

Die Drittanbieter, die an Pennos Betrieb beteiligt sind:

Apple Inc. — hostet die App im App Store und betreibt die zugrundeliegende iOS-Plattform. Geregelt durch Apples Datenschutzerklärung.
PostHog Inc. — empfängt die oben beschriebenen anonymen Produkt-Analytics. Die Daten liegen in PostHogs US-Cloud und werden über unseren Reverse-Proxy unter r.getpenno.com geleitet. Geregelt durch PostHogs Datenschutzerklärung und den dazugehörigen Auftragsverarbeitungs-Vertrag.

Cookies und Tracking

Die Penno-Landingpage (getpenno.com) setzt eine kleine Anzahl First-Party-Cookies bzw. Local-Storage-Einträge, die PostHog nutzt, um (a) Ereignisse innerhalb derselben Browsing-Sitzung zusammenzuhalten und (b) Besucherzahlen über die Zeit zu deduplizieren. Sie werden nicht für Werbung verwendet und nicht mit Werbenetzwerken geteilt. Es gibt keine Werbe-Cookies von Drittanbietern, kein Facebook Pixel und kein Google-Ads-Tag.

Die Mobil-App nutzt keine Werbe-Kennungen (kein IDFA, keine IDFA-Äquivalente). PostHog in der App nutzt eine zufällige, anonyme Geräte-ID, die in der eigenen App-Sandbox abgelegt ist; sie wird zurückgesetzt, wenn du die App löschst.

Widerspruch: Auf iOS kannst du die App-Tracking- Transparenz-Abfrage ablehnen und/oder Analytics für einzelne Apps in den iOS-Einstellungen deaktivieren. Auf der Website kannst du mit Browser-Mitteln (Do Not Track, Privater Modus, Content-Blocker) Anfragen an r.getpenno.com blockieren; die Seite bleibt auch ohne Analytics voll funktionsfähig.

Kinder

Penno richtet sich nicht an Kinder. Wir erfassen wissentlich keinerlei Informationen von Kindern. Da wir von niemandem Informationen erfassen, gilt diese Aussage gleichermaßen für alle Nutzer:innen — es gibt keinen eigenen Datenpfad für Kinderdaten.

Deine Rechte

Deine Finanzdaten liegen auf deinem Gerät, vollständig unter deiner Kontrolle. Du kannst:

Jeden Eintrag in der App-Oberfläche bearbeiten
Alle Daten über die App-Export-Funktion exportieren
Die App löschen, um alle lokalen Daten zu entfernen

Zu den anonymen PostHog-Analytics oben: Weil keine Identität daran hängt, haben wir keine Möglichkeit, „deine" Ereignisse auf der Server-Seite herauszusuchen. Du kannst Analytics aber komplett blockieren:

Website: Blockiere Anfragen an r.getpenno.com mit dem Content-Blocker deines Browsers, nutze den privaten/Inkognito- Modus oder aktiviere Do Not Track.
App: Lehne beim ersten Start die App-Tracking-Transparenz ab und/oder entziehe die Analytics-Zustimmung in iOS Einstellungen > Datenschutz & Sicherheit > Tracking. Wenn du die App löschst, wird die anonyme Geräte-ID zurückgesetzt.

Falls du glaubst, dass Ereignisse von deinem konkreten Gerät auf PostHog-Seite gelöscht werden sollten, schreib uns an die unten stehende Adresse mit dem ungefähren Zeitraum, und wir stoßen bei PostHog eine Datenlöschung an. Weil die Ereignisse anonym sind, können wir deine womöglich nicht eindeutig herausfiltern — aber wir kooperieren nach bestem Wissen.

Änderungen an dieser Erklärung

Wenn wir diese Erklärung wesentlich ändern, aktualisieren wir diese Seite und das Datum oben. Wesentliche Änderungen betreffen den Umgang mit Daten in der App; unwesentliche Änderungen sind Klarstellungen oder Tippfehlerkorrekturen.

Kontakt

Fragen zum Datenschutz: [email protected].