Zum Hauptinhalt springen

Datenschutzerklärung

Stand: 17. Februar 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung:

Holger Franzen
Uferstr. 61
50996 Köln
Deutschland

E-Mail: privacy@portdive.com

2. Übersicht der Verarbeitung

PortDive befindet sich in der Alpha-Phase.
Der Zugang erfolgt ausschließlich auf Einladung. Die Plattform dient der Erprobung von Portfolio-Analyse-Funktionen mittels eigener KI-Algorithmen.

Welche Daten verarbeiten wir?

  • Account-Daten: Name und E-Mail-Adresse (übermittelt vom OAuth-Anbieter bei der Anmeldung)
  • OAuth-Identifikation: Anbieter-spezifische Nutzer-ID (zum Verknüpfen Ihres Accounts)
  • Portfolio-Daten: Von Ihnen eingegebene Investmentinformationen (Aktien, Positionen, Analysen)
  • Nutzungsdaten: Zeitpunkt der Anmeldung, letzte Aktivität
  • Technische Daten: IP-Adresse (in Server-Logs)

Was verarbeiten wir NICHT?

  • Keine Passwörter — Anmeldung ausschließlich über OAuth-Anbieter (Google, LinkedIn, GitHub, Meta)
  • Keine Weitergabe an Dritte (keine Marketing-Partner, keine externen KI-Dienste)
  • Keine Tracking-Cookies (nur ein technisch notwendiger HttpOnly-Cookie)
  • Keine Profilerstellung für Werbezwecke

3. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 DSGVO:

  • lit. a (Einwilligung): Sie haben freiwillig am Alpha-Test teilgenommen und der Datenverarbeitung zugestimmt.
  • lit. b (Vertragserfüllung): Bereitstellung der Plattform-Funktionen (Login via OAuth, Portfolio-Verwaltung, AI-Analysen).
  • lit. f (Berechtigtes Interesse): Technische Sicherheit, Server-Logs zur Fehleranalyse, CDN-Bereitstellung für performante und sichere Webseiten-Auslieferung.

4. Authentifizierung und Anmeldung

OAuth-2.0-Anmeldung

PortDive verwendet ausschließlich OAuth 2.0 zur Anmeldung. Es werden keine Passwörter gespeichert oder verarbeitet. Sie melden sich über einen der folgenden Anbieter an:

Anbieter und übermittelte Daten:

  • Google: Name, E-Mail-Adresse, Profilbild-URL
  • LinkedIn: Name, E-Mail-Adresse, Profilbild-URL
  • GitHub: Benutzername, E-Mail-Adresse, Profilbild-URL
  • Meta (Facebook): Name, E-Mail-Adresse, Profilbild-URL

Wir erhalten nur die oben genannten Daten. Wir haben keinen Zugriff auf Ihr Passwort beim Anbieter, Ihre Kontakte oder andere Profilinformationen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Login-Dienstes)

Sicherheit der Sitzungsverwaltung

  • Token-Verschlüsselung: X25519 (ECDH) + AES-256-GCM
  • Access-Token-Speicherung: Verschlüsselt im WASM-Speicher (AES-256-GCM), niemals im Browser-localStorage
  • Access-Token-Gültigkeit: 14 Tage gleitend (wird bei jeder Nutzung verlängert)
  • Refresh-Token-Speicherung: HttpOnly-Cookie (nicht per JavaScript zugreifbar)
  • Refresh-Token-Gültigkeit: 30 Tage gleitend mit Rotation
  • Exfiltrationsschutz: Content Security Policy verhindert Datenexfiltration zu fremden Servern

5. Speicherort und Sicherheit

Wo werden Ihre Daten gespeichert?

Backend-Server (Anwendung und API):

  • Anbieter: Hetzner Online GmbH (Gunzenhausen, Bayern, Deutschland)
  • Standort: Deutschland (Falkenstein / Nürnberg)
  • Rechtsgrundlage: Art. 28 DSGVO

Datenbank:

  • Anbieter: Aiven Oy (Helsinki, Finnland (EU))
  • Standort: EU (Frankfurt / Amsterdam)
  • Rechtsgrundlage: Art. 28 DSGVO

Frontend / CDN:

  • Anbieter: Cloudflare, Inc. (San Francisco, USA)
  • Zweck: Content Delivery Network (CDN), DDoS-Schutz, statisches Frontend-Hosting
  • Verarbeitete Daten: IP-Adressen, HTTP-Header, Zeitstempel (keine Authentifizierungsdaten, keine Nutzerdaten)
  • Übermittlungsmechanismus: EU-US Data Privacy Framework (DPF, Teilnehmer Nr. 5666) + Standardvertragsklauseln (SCCs) als Rückfallebene
  • Zertifizierungen: ISO 27001, ISO 27018, ISO 27701, BSI C5

Datenübermittlung in Drittländer

Ihre personenbezogenen Daten (Account, Portfolio, Nutzungsdaten) werden ausschließlich auf EU-Servern verarbeitet. Lediglich für die CDN-Auslieferung der statischen Webseite werden IP-Adressen und HTTP-Header von Cloudflare verarbeitet (siehe Abschnitt 8).

Wie schützen wir Ihre Daten?

  • Transportverschlüsselung: TLS 1.3 (HTTPS)
  • Verschlüsselung im Ruhezustand: AES-256-GCM (server-side)
  • Token-Verschlüsselung: X25519 (ECDH) + AES-256-GCM
  • Browser-Sicherheit: Verschlüsselt im WASM-Speicher (AES-256-GCM), niemals im Browser-localStorage
  • Content Security Policy: Content Security Policy verhindert Datenexfiltration zu fremden Servern
  • Zugriffskontrolle: Nur autorisierte Entwickler haben Zugang zur Datenbank
  • Backups: Verschlüsselt, innerhalb der EU

6. KI-Verarbeitung (In-House)

Eigene KI-Algorithmen:

PortDive nutzt eigene KI-Modelle, die auf unseren EU-Servern laufen. Ihre Portfolio-Daten werden nicht an externe KI-Anbieter (z.B. OpenAI, Anthropic, Google) übermittelt.

Verarbeitungszweck:

  • Erstellung von Portfolio-Analysen
  • Identifikation von Markttrends
  • Generierung von Investmenthinweisen (keine Anlageberatung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wichtiger Hinweis: Die KI-Analysen dienen nur zu Informationszwecken. PortDive bietet keine Anlageberatung im Sinne des WpHG (Wertpapierhandelsgesetz). Investitionsentscheidungen treffen Sie eigenverantwortlich.

7. Cookies und Tracking

Welche Cookies verwenden wir?

Technisch notwendige Cookies (keine Einwilligung erforderlich):

NameZweckSpeicherdauer
pdtRefresh-Token für automatische Sitzungsverlängerung (HttpOnly — nicht per JavaScript zugreifbar)30 Tage (gleitend, wird bei Nutzung erneuert)

Browser-Speicher (kein Cookie):

Zusätzlich wird ein temporäres Flag in der sessionStorage gespeichert (portdive_auth_state), das ausschließlich dazu dient, beim Neuladen der Seite den Anmeldestatus zwischenzuspeichern. Dieses Flag enthält keine personenbezogenen Daten und wird beim Schließen des Browser-Tabs automatisch gelöscht.

Tracking/Analytics:

Wir verwenden keine Analytics-Tools (kein Google Analytics, kein Facebook Pixel, keine Cloudflare Web Analytics).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Funktionsfähigkeit)

8. Weitergabe von Daten

An wen geben wir Daten weiter?

1. Backend-Hosting (Auftragsverarbeiter):

  • Anbieter: Hetzner Online GmbH
  • Firmensitz: Gunzenhausen, Bayern, Deutschland
  • Zweck: Bereitstellung der Server-Infrastruktur (Anwendung, API, gRPC)
  • Datenstandort: Deutschland (Falkenstein / Nürnberg)
  • Rechtsgrundlage: Art. 28 DSGVO
  • Datenschutz: Auftragsverarbeitungsvertrag (AVV) abgeschlossen

2. Datenbank-Hosting (Auftragsverarbeiter):

  • Anbieter: Aiven Oy
  • Firmensitz: Helsinki, Finnland (EU)
  • Zweck: Verwaltete PostgreSQL-Datenbank für Nutzer- und Portfoliodaten
  • Datenstandort: EU (Frankfurt / Amsterdam)
  • Rechtsgrundlage: Art. 28 DSGVO
  • Datenschutz: Auftragsverarbeitungsvertrag (AVV) abgeschlossen

3. CDN / Frontend-Hosting (Auftragsverarbeiter):

  • Anbieter: Cloudflare, Inc.
  • Firmensitz: San Francisco, USA
  • Zweck: Content Delivery Network (CDN), DDoS-Schutz, statisches Frontend-Hosting
  • Verarbeitete Daten: IP-Adressen, HTTP-Header, Zeitstempel (keine Authentifizierungsdaten, keine Nutzerdaten)
  • Übermittlungsmechanismus: EU-US Data Privacy Framework (DPF, Teilnehmer Nr. 5666) + Standardvertragsklauseln (SCCs) als Rückfallebene
  • Zertifizierungen: ISO 27001, ISO 27018, ISO 27701, BSI C5
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Datenschutz: Auftragsverarbeitungsvertrag (AVV) abgeschlossen

4. OAuth-Anbieter (gemeinsame Verantwortung bei Anmeldung):

  • Google: Name, E-Mail-Adresse, Profilbild-URL
  • LinkedIn: Name, E-Mail-Adresse, Profilbild-URL
  • GitHub: Benutzername, E-Mail-Adresse, Profilbild-URL
  • Meta (Facebook): Name, E-Mail-Adresse, Profilbild-URL

Bei der Anmeldung werden Daten zwischen PortDive und dem gewählten OAuth-Anbieter ausgetauscht. Dabei erhalten wir nur die oben genannten Basisdaten (Name, E-Mail). Der Anbieter erfährt, dass Sie sich bei PortDive anmelden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Keine weiteren Dritten:

Ihre Daten werden nicht an andere Unternehmen, Werbepartner oder Behörden weitergegeben (außer bei gesetzlicher Verpflichtung, z.B. Strafverfolgung).

9. Speicherdauer

DatenartSpeicherdauer
Account-DatenBis zur Kontolöschung durch Sie
Portfolio-DatenBis zur Löschung durch Sie oder Account-Löschung
Server-Logs (IP, Zugriffszeit)7 Tage, dann automatische Löschung
Backups30 Tage, dann automatische Löschung

Nach Alpha-Phase:

Falls die Alpha-Phase endet, werden Sie informiert. Sie haben dann 60 Tage Zeit, Ihre Daten zu exportieren, bevor sie gelöscht werden.

10. Ihre Rechte (Art. 15-22 DSGVO)

Sie haben folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO)

Sie können eine Kopie aller Ihrer gespeicherten Daten anfordern.

Wie: Einstellungen → "Daten herunterladen" oder E-Mail an privacy@portdive.com

Recht auf Berichtigung (Art. 16 DSGVO)

Sie können fehlerhafte Daten korrigieren lassen.

Wie: Einstellungen → Profil bearbeiten

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihres Accounts und aller Daten verlangen.

Wie: Einstellungen → "Account löschen"

Löschung erfolgt innerhalb von 7 Tagen (sofortige Deaktivierung, vollständige Löschung nach Ablauf der Backup-Retention).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) exportieren.

Wie: Einstellungen → "Daten herunterladen"

Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung widersprechen (führt zur Account-Löschung, da Verarbeitung für Plattform-Nutzung erforderlich ist).

Beschwerderecht (Art. 77 DSGVO)

Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren:

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn

Telefon: +49 (0)228 997799-0
E-Mail: poststelle@bfdi.bund.de
Website: https://www.bfdi.bund.de

Oder Ihre zuständige Landesdatenschutzbehörde.

11. Besonderheiten der Alpha-Phase

Hinweis zu Test-Daten:

Da sich die Plattform in Entwicklung befindet, können folgende Situationen auftreten:

  • Datenverlust bei Updates: Wir bemühen uns um Datenerhaltung, können dies aber nicht garantieren.
  • Funktionale Änderungen: Features können sich ändern oder entfernt werden.
  • Keine SLA (Service Level Agreement): Es gibt keine Garantie für Verfügbarkeit oder Performance.

Empfehlung:

Verwenden Sie keine kritischen Echtdaten. Nutzen Sie Demo-Portfolios oder anonymisierte Beispieldaten.

Daten-Backups:

Wir empfehlen, regelmäßig Ihre Daten zu exportieren (Einstellungen → "Daten herunterladen").

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren (z.B. bei neuen Features oder rechtlichen Änderungen).

Benachrichtigung:

Bei wesentlichen Änderungen werden Sie per E-Mail informiert (an die in Ihrem Account hinterlegte E-Mail-Adresse).

Versionshistorie:

  • Version 2.0 – 17. Februar 2026 (Konkretisierung Hosting-Anbieter, OAuth-Authentifizierung, Sicherheitsmaßnahmen)
  • Version 1.0 – 31. Januar 2026 (Alpha-Launch)

13. Kontakt

Datenschutzfragen:
privacy@portdive.com

Allgemeine Fragen:
legal@portdive.com

Postadresse:

Holger Franzen
Uferstr. 61
50996 Köln
Deutschland