ErstattungsCheck← Zurück

Datenschutzerklärung

Stand: Juni 2026 · gemäß DSGVO

So gehen wir mit deinen Rechnungsdaten um

Du wählst selbst, wie viel Vertrauen du dem Betreiber geben musst — drei Stufen, alle DSGVO-konform:

  • 1. Ohne Anmeldung (maximaler Datenschutz) — alle Daten bleiben ausschließlich in deinem Browser, kein Server, kein Cloud-Sync. Niemand außer dir sieht etwas.
  • 2. Mit Anmeldung + Ende-zu-Ende-Verschlüsselung (empfohlen für Cloud-Nutzer) — du setzt ein Master-Passwort, deine Rechnungen werden direkt im Browser verschlüsselt, bevor sie auf den Server gehen. Auch der Betreiber kann sie technisch nicht entschlüsseln, weil das Master-Passwort den Server nie verlässt. Achtung: vergessenes Master-Passwort = Daten unwiederbringlich verloren.
  • 3. Mit Anmeldung ohne Verschlüsselung — bequemster Modus, Daten liegen im Klartext in der Datenbank. Andere Nutzer sehen sie nie (Login-Prüfung pro Anfrage), aber der Betreiber hat als Datenbank-Administrator technisch Zugriff (für Betrieb, Backups, Support). Im normalen Betrieb wird darauf nicht zugegriffen.

Die Übertragung läuft in allen Modi über HTTPS, auf den Servern liegen die Daten zusätzlich „at rest" verschlüsselt.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Volkan Altin
Kolonnenstr. 8
10827 Berlin
E-Mail: info@erstattungscheck.de

2. Welche Daten wir verarbeiten

Ohne Konto (LocalStorage)

Rechnungen und Einstellungen werden ausschließlich lokal in deinem Browser gespeichert. Es werden keine Daten an unsere Server übertragen.

Mit Konto (Cloud-Sync)

Wenn du dich registrierst, werden folgende Daten gespeichert:

  • E-Mail-Adresse und Authentifizierungsdaten (verarbeitet durch Clerk)
  • Deine Einstellungen (Beihilfeprozent, Rückerstattungsstufen)
  • Eingetragene Rechnungen (Datum, Betrag, Kategorie, Beschreibung)

Zugriff durch andere Nutzer ist technisch ausgeschlossen — die App-Logik prüft bei jeder Anfrage über die Clerk-Anmeldung, dass du nur deine eigenen Daten siehst.

Mit Konto + Ende-zu-Ende-Verschlüsselung (Zero-Knowledge)

In den Einstellungen kannst du Ende-zu-Ende-Verschlüsselung aktivieren. Dabei wählst du ein Master-Passwort, mit dem deine Rechnungs- und Setup-Daten direkt in deinem Browser verschlüsselt werden, bevor sie auf den Server gehen.

Technisch konkret:

  • Aus deinem Master-Passwort wird per PBKDF2-SHA-256 (600.000 Iterationen) ein Schlüssel abgeleitet.
  • Damit wird ein zufälliger Datenschlüssel verpackt und auf dem Server abgelegt (nicht aber das Master-Passwort selbst).
  • Rechnungen und sensitive Beträge werden mit AES-GCM 256-Bit verschlüsselt; der Server sieht nur die Chiffre.

Folge: Auch der Betreiber kann diese Daten technisch nicht entschlüsseln. Es gibt keine Wiederherstellung — wenn du das Master-Passwort vergisst, sind die verschlüsselten Daten unwiederbringlich verloren.

3. Dienstleister und Drittanbieter

ErstattungsCheck nutzt folgende technische Dienstleister. Der Verarbeitungsort (Serverstandort) ist innerhalb der EU. Da die Anbieter ihren Hauptsitz in den USA haben, erfolgt eine Auftragsverarbeitung auf Basis von EU-Standardvertragsklauseln (SCC).

Clerk (Authentifizierung)

Anbieter: Clerk, Inc., 660 King Street, Unit 345, San Francisco, CA 94107, USA.
Verarbeitet: E-Mail-Adresse, Session-Token, Login-Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie SCC für Drittlandtransfer.

Datenschutzerklärung von Clerk →

Neon (Datenbank)

Anbieter: Neon, Inc., 209 Mississippi St, San Francisco, CA 94107, USA.
Serverstandort: EU (Frankfurt am Main, Deutschland).
Verarbeitet: Deine Einstellungen und Rechnungsdaten (PostgreSQL). App-Zugriff nur durch dich als angemeldeter Nutzer. Wenn du Ende-zu-Ende-Verschlüsselung aktiviert hast, liegen die sensitiven Felder als Chiffre — weder Neon noch der Betreiber können sie entschlüsseln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie SCC für Drittlandtransfer.

Datenschutzerklärung von Neon →

Vercel (Hosting)

Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA.
Serverstandort: EU (Frankfurt am Main, Region fra1).
Verarbeitet: IP-Adressen, Request-Logs, technische Metadaten zur Bereitstellung der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb) sowie SCC für Drittlandtransfer.

Datenschutzerklärung von Vercel →

4. Affiliate-Links

Diese Website enthält als „Anzeige" gekennzeichnete Partnerlinks zu Versicherungsvergleichsportalen. Wenn du auf solche Links klickst, verlässt du ErstattungsCheck. Welche Daten das Zielportal verarbeitet, unterliegt dessen eigener Datenschutzerklärung. Wir erhalten keine Informationen über deine Interaktionen oder Abschlüsse auf diesen Portalen zurück.

5. Cookies und LocalStorage

ErstattungsCheck verwendet keine Tracking- oder Marketing-Cookies. Der LocalStorage des Browsers wird ausschließlich zur Speicherung deiner eigenen Einstellungen und Rechnungsdaten (ohne Konto) verwendet. Du kannst den LocalStorage jederzeit über die Einstellungen deines Browsers löschen.

6. Speicherdauer & Löschung

Daten mit Konto werden gespeichert, solange dein Konto aktiv ist. Du kannst dein Konto und alle gespeicherten Daten jederzeit selbst löschen — direkt in der App, ohne E-Mail oder Wartezeit. Die Löschung ist sofort und unwiderruflich.

→ Im Rechner unter „Daten & Konto löschen" (ganz unten auf der Seite)

7. Deine Rechte

Gemäß DSGVO hast du folgende Rechte:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung deiner Rechte wende dich per E-Mail an: info@erstattungscheck.de

Außerdem hast du das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren.