Datenschutzrichtlinie

Letzte Aktualisierung — 28. April 2026

1. Verantwortlicher für die Datenverarbeitung

Herausgeber: Silvio Rota, natürliche Person mit Wohnsitz in der Schweiz. Kontakt: privacy@moneydocs.app

2. Datenspeicherung

Lokale Speicherung als Standard. Alle Ihre Finanzdaten (Ausgaben, Projekte, Berichte, Kategorien, Händler) werden auf Ihrem Gerät in einer mit SQLCipher (AES-256) verschlüsselten Datenbank gespeichert. MoneyDocs verfügt über keinen zentralen Server und speichert keine Nutzerdaten auf eigener Infrastruktur.

Optionale Cloud-Sicherung (opt-in). Sie können in den Einstellungen eine automatische verschlüsselte Sicherung auf Ihrem eigenen Google Drive aktivieren. Bei aktivierter Option werden Kopien Ihrer Daten auf Ihrem Gerät verschlüsselt und dann in einem privaten Ordner Ihres Drives abgelegt. Die Einzelheiten dieses Mechanismus sind in Artikel 4 beschrieben. Diese Option ist standardmässig deaktiviert. Wenn Sie sie nicht aktivieren, verlassen Ihre Daten Ihr Gerät niemals, es sei denn, Sie exportieren oder teilen sie ausdrücklich (PDF, CSV, .moneydocs-Paket).

Kein MoneyDocs-Konto. Die Anwendung erstellt beim Herausgeber kein Nutzerkonto. Bei uns sind keine Daten mit Ihrer Identität verknüpft.

3. An unser OCR-Backend gesendete Daten

Wenn Sie einen Beleg scannen, werden folgende Informationen über eine verschlüsselte HTTPS-Verbindung durch einen Server-Proxy (Supabase) an unser Extraktions-Backend übermittelt:

  • Das Belegbild (verkleinert). Derzeit wird das Bild nach der Verarbeitung nicht aufbewahrt. Wir könnten es in Zukunft anonymisiert aufbewahren, um die Qualität der OCR-Engine zu verbessern — falls diese Option aktiviert wird, wird diese Richtlinie aktualisiert und Sie werden in der Anwendung informiert.
  • Eine zufällige, dauerhafte Gerätekennung (device_id) — enthält weder Ihren Namen, Ihre E-Mail, Ihre Telefonnummer noch Ihre Werbe-ID. Sie dient zur Verwaltung Ihrer Nutzungsquoten und zur Verknüpfung Ihrer Korrekturen mit Ihren Extraktionen.
  • Die aus dem Beleg extrahierten Daten: Händler, Betrag, Währung, Datum, Kategorie, Steuern, MWST-Nummer, Zwischensumme, allfälliger Kommentar. Diese Daten werden in anonymer Form aufbewahrt, um die Qualität der OCR-Engine kontinuierlich zu verbessern.
  • Weitere technische Metadaten, die auf dem Beleg aufgedruckt sind: Rechnungsnummer, Kundenkartennummer des Geschäfts (wenn aufgedruckt), Filialcode, Zahlungsart („Karte”, „bar”, „Check” usw.), sowie die vom OCR-Anbieter zurückgegebenen Rohdaten zu Diagnose- und Serviceverbesserungszwecken.
  • Die Koordinaten der Textzonen (Bounding Boxes) und der erkannte Text.
  • Ihre eventuellen Korrekturen: Wenn Sie einen falsch erkannten Händler, eine Kategorie oder einen Betrag korrigieren, wird Ihre Korrektur übermittelt und anonym aufbewahrt, um zukünftige Extraktionen für alle Nutzer zu verbessern.

Was wir NIEMALS erfassen, auch wenn es auf Ihrem Beleg aufgedruckt ist:

  • Keine Ziffern Ihrer Bankkartennummer, auch nicht die letzten 4 Stellen, die manchmal von bestimmten Terminals aufgedruckt werden. Diese Daten werden bewusst von der Erfassung ausgeschlossen und aus den historischen Datenbeständen gelöscht.
  • Ihren Namen, Ihre E-Mail, Ihre private Telefonnummer, Ihre Adresse.

Kein Mensch sieht einzelne Belege.

4. Cloud-Sicherung (optionale Funktion)

Wenn Sie die Cloud-Sicherung aktivieren, gilt folgender Mechanismus:

4.1 Speicherort

Die Sicherungen werden in einem sichtbaren Ordner namens „MoneyDocs - Sicherungen” in Ihrem eigenen Google-Drive-Konto abgelegt. Sie können sie über die Standard-Drive-Oberfläche einsehen, auflisten und alte Sicherungen manuell löschen. Die Anwendung verwendet den OAuth-Scope drive.file, der ihr nur Zugriff auf Dateien gibt, die sie selbst erstellt hat — sie kann Ihre anderen Drive-Dokumente weder sehen noch berühren. MoneyDocs verfügt über keinen eigenen Sicherungsserver. Der Herausgeber hat keinen Zugriff auf die so abgelegten Dateien; nur Sie haben über Ihr Google-Konto Zugriff.

4.2 Gesicherter Inhalt

Jede Sicherung enthält einen vollständigen Schnappschuss Ihrer lokalen Datenbank: Ausgaben, Projekte, Berichte, Kategorien, Händler sowie die Bilddateien der Belege und Projekte. Das Format entspricht dem manuell exportierter .moneydocs-Pakete.

4.3 Ende-zu-Ende-Verschlüsselung

Bevor sie an Drive gesendet wird, wird jede Sicherung auf Ihrem Gerät mit AES-256-GCM verschlüsselt (zufälliger 96-Bit-Nonce, 128-Bit-Authentifizierungstag). Der Verschlüsselungsschlüssel wird aus einem Passwort abgeleitet, das Sie einmalig bei der Aktivierung der Sicherung wählen und das Sie sich merken oder in einem Passwortmanager aufbewahren müssen. Dieses Passwort wird:

  • von Ihnen bei der Aktivierung gewählt (mindestens 8 Zeichen);
  • per PBKDF2-HMAC-SHA256 mit 600 000 Iterationen in einen AES-256-Schlüssel abgeleitet, ausschliesslich auf Ihrem Gerät;
  • niemals an den Herausgeber oder Google übertragen oder dort gespeichert — es verlässt Ihr Gerät nur unter Ihrer Kontrolle (Gedächtnis oder Passwortmanager).

Folge: tatsächliche Ende-zu-Ende-Verschlüsselung (E2E). Da der Schlüssel aus einem nur Ihnen bekannten Geheimnis abgeleitet wird, verfügen weder der Herausgeber noch Google über die technischen Mittel, Ihre Sicherungen zu entschlüsseln. Eine gesetzliche Verpflichtung oder ein unbefugter Zugriff auf Ihr Google-Konto reichen nicht aus, um sie lesbar zu machen: nur Personen im Besitz Ihres Passworts können darauf zugreifen.

Anerkannte Gegenleistung — endgültiger Verlust bei Vergessen. Wenn Sie Ihr Passwort vergessen, werden Ihre Cloud-Sicherungen endgültig unlesbar, auch für Sie selbst. Der Herausgeber verfügt über keine technischen Mittel, sie wiederherzustellen — genau dies garantiert ihre E2E-Vertraulichkeit. Die Anwendung zeigt diesen Hinweis bei der Aktivierung deutlich an und verlangt vor der endgültigen Aktivierung eine Eingabe in zwei Schritten (Passwort + Bestätigung).

4.4 Deaktivierung, Löschung und Passwortänderung

Sie können jederzeit:

  • Die Cloud-Sicherung deaktivieren über die Einstellungen. Bestehende Sicherungen auf Ihrem Drive werden nicht automatisch gelöscht (Sie können sie bei Bedarf aufbewahren).
  • Sicherungen direkt über die Drive-Oberfläche löschen, indem Sie den Ordner „MoneyDocs - Sicherungen” löschen (die Dateien gelangen in den Drive-Papierkorb und werden gemäss Ihrer Drive-Richtlinie endgültig gelöscht).
  • Den Zugriff von MoneyDocs auf Ihr Drive widerrufen über Ihre Google-Sicherheitseinstellungen.
  • Ihr Passwort ändern: deaktivieren und reaktivieren Sie die Sicherung in den Einstellungen; die Anwendung verlangt ein neues Passwort und alle künftigen Sicherungen werden mit diesem neuen Schlüssel verschlüsselt. Frühere, mit dem alten Passwort verschlüsselte Sicherungen bleiben entschlüsselbar, solange Sie sich an das alte Passwort erinnern.

5. Drittanbieter und Auftragsverarbeiter

  • Veryfi / Google Document AI — OCR-Verarbeitung der Bilder über unseren Backend-Proxy. Wir übermitteln ihnen nur das für die Extraktion notwendige Bild und den notwendigen Text; Ihre API-Schlüssel sind niemals in der App eingebettet.
  • Supabase, Inc. (Singapur) — Hosting unseres OCR-Backends und unserer technischen Datenbanken.
  • ExchangeRate-API — Echtzeit-Wechselkurse.
  • Google LLC (USA) — nur wenn Sie die Cloud-Sicherung aktivieren (Artikel 4). Google speichert Ihre verschlüsselten Sicherungen in Ihrem eigenen persönlichen Drive. Der Verschlüsselungsschlüssel wird niemals an Google übertragen: Er wird lokal aus Ihrem Passwort abgeleitet (Artikel 4.3). Datenübermittlungen in die USA werden durch die Standardvertragsklauseln der Europäischen Kommission und durch den EU-US Data Privacy Framework geregelt.

Kein Analytics-SDK, kein Firebase, kein Crash-Reporting, kein Werbeframework.

6. Sicherheit und Rechtsgrundlage (DSGVO / revDSG)

Die in Artikel 3 beschriebene Verarbeitung beruht auf dem berechtigten Interesse des Herausgebers an der Verbesserung der Qualität seines OCR-Dienstes, abgewogen gegen Ihr Recht auf Privatsphäre durch folgende Massnahmen:

  • Die aufbewahrten Daten sind nicht namentlich: Sie sind nur mit einer zufälligen technischen Kennung (device_id) verknüpft.
  • Sie werden zur Verbesserung des OCR-Modells auf unbestimmte Zeit aufbewahrt, solange der Herausgeber den Dienst betreibt; sie können auf Ihre Anfrage per einfacher E-Mail gelöscht werden (siehe Artikel 11).
  • Sie werden nicht weiterverkauft, nicht an Werbetreibende weitergegeben und nicht zu kommerziellen Zwecken verwendet, die nicht der Verbesserung des MoneyDocs-Dienstes und seiner OCR-Engine dienen.
  • Die lokale Datenbank ist mit SQLCipher (AES-256) verschlüsselt.
  • Lokal gespeicherte Belegbilddateien liegen im privaten Sandbox der App, auf den nur MoneyDocs zugreifen kann. Sie verfügen nicht über eine zusätzliche Datei-Verschlüsselung — dies ist eine für eine spätere Version geplante Verbesserung.
  • Verschlüsselungsschlüssel werden in der sicheren Hardware Ihres Geräts (Android Keystore) gespeichert.
  • Gesamter Netzwerkverkehr über HTTPS mit Certificate Pinning auf Supabase- und ExchangeRate-Endpunkten.
  • Optionale PIN- und biometrische Sperre.
  • Ende-zu-Ende-verschlüsselte Cloud-Sicherungen (sofern aktiviert): der Schlüssel existiert nur auf Ihrem Gerät und in Ihrem Passwort; siehe Artikel 4.3 zu Algorithmus und Bedrohungsmodell.

Ihr Widerspruchsrecht: Sie können Ausgaben jederzeit manuell erfassen, um jegliche Übermittlung an das OCR-Backend zu vermeiden.

7. Ihre Rechte (DSGVO / revDSG)

Gemäss der EU-Datenschutz-Grundverordnung (DSGVO) und dem Schweizer revidierten Datenschutzgesetz (revDSG) stehen Ihnen folgende Rechte zu:

  • Zugang und Berichtigung — die auf Ihrem Gerät gespeicherten Daten stehen Ihnen zur Verfügung; Sie greifen darauf zu und ändern sie frei in der Anwendung.
  • Lokale Löschung — die Deinstallation der App löscht alle lokal gespeicherten Daten.
  • Entfernte Löschung — auf einfache Anfrage per E-Mail an privacy@moneydocs.app mit Ihrer device_id (in den App-Einstellungen verfügbar) löschen wir im OCR-Backend alle damit verknüpften Extraktionen, Korrekturen und Protokolle.
  • Widerruf der Cloud-Sicherung — Sie können Ihre Drive-Sicherungen jederzeit deaktivieren und löschen sowie Ihr Passwort ändern (Artikel 4.4).
  • Datenübertragbarkeit — Sie können alle Ihre lokalen Daten jederzeit exportieren (PDF, CSV, .moneydocs-Paket).
  • Widerspruch — erfassen Sie Ausgaben manuell, um jegliche Übermittlung an das OCR-Backend zu vermeiden.
  • Kein Konto zum Löschen — bei uns gibt es kein Benutzerkonto.

8. Kinder

MoneyDocs richtet sich nicht an Kinder unter 13 Jahren und erhebt wissentlich keine Daten von Kindern.

9. Änderungen

Wir können diese Richtlinie aktualisieren. Die aktuelle Version ist stets auf dieser Seite und in den App-Einstellungen verfügbar. Bei wesentlichen Änderungen (z. B. Aktivierung der Bildaufbewahrung) werden Sie direkt in der Anwendung informiert.

10. Kontakt

Für Fragen zu dieser Richtlinie oder zur Ausübung eines der in Artikel 7 genannten Rechte wenden Sie sich an privacy@moneydocs.app.

11. Anwendbares Recht

Diese Richtlinie unterliegt Schweizer Recht. Gerichtsstand: Schweiz.