Datenschutzerklärung

Stand: 12. Mai 2026

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten („Daten") durch die Sabia GmbH („Sabia", „wir") beim Besuch unserer Website und bei der Nutzung unserer Plattform unter sabia.de (einschließlich Subdomains).

1. Verantwortliche Stelle

Sabia GmbH
Stuckstraße 10
12435 Berlin
Deutschland

Vertreten durch: Patrick Alex, Lukas Wagner
Handelsregister: Amtsgericht Berlin-Charlottenburg, HRB 286212 B
E-Mail: founders@sabia.de

Sabia hat keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen hierfür derzeit nicht vorliegen. Anfragen zum Datenschutz richten Sie bitte an die vorgenannte E-Mail-Adresse.

2. Begriffe und Rechtsgrundlagen

(1) Die in dieser Erklärung verwendeten Begriffe (insbesondere „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter") entsprechen den Definitionen in Art. 4 DSGVO.

(2) Soweit nachfolgend Rechtsgrundlagen genannt sind, gilt:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung;
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen;
  • Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Verpflichtung;
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen.

3. Datenverarbeitung beim Besuch der Website

3.1 Server-Logfiles

Beim Aufruf unserer Website werden vom Hosting-Provider automatisch Informationen in sogenannten Server-Logfiles erfasst:

  • Browsertyp und -version,
  • verwendetes Betriebssystem,
  • Referrer-URL,
  • Hostname des zugreifenden Rechners,
  • Uhrzeit der Serveranfrage,
  • IP-Adresse (in der Regel gekürzt).

Zweck: Sicherstellung eines störungsfreien Betriebs, Sicherheit der IT-Systeme, statistische Auswertung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb).

Speicherdauer: Logfiles werden in der Regel nach 30 Tagen gelöscht, längere Speicherung nur in anonymisierter Form oder bei sicherheitsrelevanten Vorfällen.

3.2 Cookies und Tracking-Technologien

Wir setzen Cookies und vergleichbare Technologien ein. Cookies sind kleine Datenpakete, die auf Ihrem Endgerät gespeichert werden.

Wir unterscheiden:

  • Technisch notwendige Cookies (z. B. Session, Login, Spracheinstellung) — Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO. Keine Einwilligung erforderlich.
  • Funktionale und Analyse-Cookies (z. B. PostHog) — Rechtsgrundlage: § 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO. Einwilligung erforderlich; jederzeit über das Cookie-Banner widerrufbar.

Die jeweils eingesetzten Cookies, ihre Funktion und Speicherdauer werden im Cookie-Banner bzw. den Cookie-Einstellungen transparent ausgewiesen.

4. Datenverarbeitung im Rahmen der Plattform

4.1 Registrierung und Nutzerkonto

Zur Nutzung der Plattform legen Sie ein Nutzerkonto an. Dabei verarbeiten wir folgende Daten:

  • E-Mail-Adresse,
  • ggf. Name,
  • Authentifizierungsdaten (Passwort-Hash, Login-Tokens),
  • ggf. weitere Profilangaben, die Sie freiwillig hinzufügen,
  • Metadaten zur Kontoaktivität (z. B. Zeitpunkt des Logins, letzte Aktivität).

Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Erbringung des vertraglichen Dienstes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: für die Dauer des Vertragsverhältnisses; nach Löschung des Kontos werden die Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4.2 Waitlist und Marketing-Kommunikation

Wenn Sie sich auf die Warteliste eintragen, verarbeiten wir Ihre E-Mail-Adresse, um Ihnen eine spätere Einladung zur Plattform zu schicken. Sofern Sie zusätzlich in den Empfang von Marketing-Kommunikation eingewilligt haben (z. B. Produkt-Updates, Status-Berichte, Newsletter, Neuigkeiten rund um Sabia), nutzen wir Ihre E-Mail-Adresse auch hierfür.

Verarbeitete Daten: E-Mail-Adresse, ggf. Name; Metadaten zum Versand und zur Öffnung der Mails (z. B. Versandzeit, Öffnungen, Klicks), soweit Sie hierin gesondert einwilligen.

Zwecke und Rechtsgrundlagen:

  • Versand der Einladung zur Plattform und Verwaltung der Warteliste: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme);
  • Versand von Marketing-Kommunikation (Newsletter, Produkt-Updates, Neuigkeiten): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 7 Abs. 2 Nr. 3 UWG. Die Einwilligung ist freiwillig und für die Eintragung in die Warteliste nicht erforderlich („Kopplungsverbot");
  • Erfolgsmessung der Marketing-Kommunikation (Öffnungs- und Klick-Tracking): Art. 6 Abs. 1 lit. a DSGVO (gesonderte Einwilligung), soweit eine solche eingeholt wird.

Widerruf: Sie können Ihre Einwilligung in die Marketing-Kommunikation jederzeit mit Wirkung für die Zukunft widerrufen — über den Abmeldelink in jeder E-Mail oder formlos an founders@sabia.de. Der Widerruf der Einwilligung berührt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht.

Speicherdauer: Wartelisten-Daten bis zur Einladung und Kontoaktivierung oder bis zum Widerruf der Einwilligung; ohne Aktivierung längstens 24 Monate. Marketing-Einwilligungen und der Nachweis ihrer Erteilung werden für die Dauer der Marketing-Beziehung und zur Erfüllung der Nachweispflichten (Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO) bis zu 3 Jahre nach Widerruf gespeichert.

4.3 Konto- und Transaktionsdaten (WealthAPI / PSD2)

Wir bieten innerhalb der Plattform die Möglichkeit, Konto-, Depot- und Transaktionsdaten Ihrer Bank über den Drittanbieter WealthAPI abzurufen. Der Abruf erfolgt auf Grundlage der von Ihnen gegenüber WealthAPI erteilten PSD2-Einwilligung. WealthAPI ist ein gemäß ZAG lizenzierter Kontoinformationsdienst und tritt insoweit als Ihr eigener Vertragspartner (Kontoinformationsdienstvertrag) auf.

Im Rahmen dieser Funktion verarbeitet Sabia insbesondere:

  • Kontoinhaberdaten (Name, ggf. IBAN-Bezug),
  • Kontostände und Salden,
  • Transaktionsdaten (Datum, Betrag, Verwendungszweck, Gegenpartei),
  • Depotbestände und Wertpapiertransaktionen.

Zweck: Aggregation und Visualisierung Ihrer Finanzdaten in der Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); soweit besondere Datenkategorien zufällig in Verwendungszwecken enthalten sein können, zusätzlich Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).

Speicherdauer: solange Sie die PSD2-Einwilligung aufrechterhalten bzw. bis zur Löschung Ihres Kontos. Sie können die Einwilligung jederzeit gegenüber WealthAPI bzw. Ihrer Bank widerrufen; bestehende Daten werden anschließend gelöscht oder anonymisiert.

Weiterführende Informationen zur Verarbeitung durch WealthAPI finden Sie in der dortigen Datenschutzerklärung.

4.4 KI-Funktionen (Generative AI)

Innerhalb der Plattform setzen wir generative KI-Dienste ein, um Texteingaben zu verarbeiten und allgemeine, nicht-individualisierte Inhalte zu erzeugen (z. B. Beantwortung allgemeiner Finanzfragen, Erläuterung von Begriffen). Eingesetzt werden:

  • Google Gemini API (Google Ireland Ltd. / Google LLC, USA),
  • OpenAI API (OpenAI Ireland Ltd. / OpenAI LLC, USA) — Fallback,
  • Langfuse (Langfuse GmbH, Deutschland; ggf. mit US-Sub-Auftragsverarbeitern) zum Logging/Qualitätssicherung der KI-Aufrufe.

Gesprächskontext für KI-Funktionen (z. B. zurückliegende Eingaben im Rahmen einer Sitzung) wird in unserer eigenen, EU-gehosteten Datenbank (Supabase, Region eu-west) gespeichert; eine Übermittlung an externe Memory-Dienstleister erfolgt nicht.

Was wir übermitteln: Ihre Eingaben (Prompt-Texte) sowie zur Beantwortung erforderlicher Kontext (z. B. allgemeine Profilinformationen, frühere Konversationsbeiträge).

Was wir nicht übermitteln: Ihre einzelnen Bankkonten-, Depot- oder Transaktionsdaten werden grundsätzlich nicht im Klartext an externe KI-Anbieter weitergegeben; soweit aggregierte Hinweise erforderlich sind, erfolgt eine Abstraktion (z. B. Kategorien, Größenordnungen).

Zweck: Bereitstellung der KI-Funktionen, Qualitätssicherung der Antworten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Qualitätssicherung und Modellverbesserung zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Dienst), bei besonderen Datenkategorien ggf. Art. 9 Abs. 2 lit. a DSGVO (Einwilligung).

Training: Eine Verwendung Ihrer Eingaben zum Training der allgemeinen Modelle der Anbieter ist vertraglich ausgeschlossen, soweit die Anbieter eine Opt-out-Konfiguration für Enterprise-/API-Zugriffe anbieten; wir nutzen die jeweils nicht-trainings-relevanten Tarife.

Speicherdauer: technische Logs der KI-Aufrufe in der Regel maximal 30 Tage; Gesprächskontext in unserer EU-gehosteten Datenbank für die Dauer der jeweiligen Sitzung bzw. bis zur Kontolöschung.

4.5 Produktanalyse (PostHog)

Wir nutzen PostHog, um pseudonymisierte Nutzungsstatistiken zu erheben (z. B. welche Funktionen wie häufig verwendet werden). Dabei werden keine Inhalte Ihrer Konto- oder Transaktionsdaten verarbeitet.

Zweck: Verbesserung der Plattform, Identifikation von Fehlern und Engpässen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner).

Speicherdauer: in der Regel maximal 12 Monate.

4.6 Kontakt per E-Mail / Support

Bei Kontaktaufnahme per E-Mail verarbeiten wir Ihre Angaben (Name, E-Mail, Inhalt) zur Bearbeitung Ihrer Anfrage und für etwaige Anschlussfragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich / vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation).

Speicherdauer: bis zur abschließenden Bearbeitung; darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten bestehen (in der Regel max. 3 Jahre).

5. Empfänger / Auftragsverarbeiter

Zur Erbringung des Dienstes setzen wir folgende Auftragsverarbeiter und sonstige Empfänger ein. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

DienstAnbieter / SitzFunktionRechtsgrundlage Drittland
SupabaseSupabase Inc., USA — Datenspeicherung in EU-Region (eu-west)Datenbank, Authentifizierung, StorageEU-Hosting; SCC via Supabase-DPA für etwaigen administrativen Zugriff aus den USA (Supabase selbst nicht DPF-zertifiziert)
VercelVercel Inc., USAHosting, Auslieferung Web-Anwendung, EdgeDPF-zertifiziert (EU-U.S. Data Privacy Framework); ergänzend SCC
WealthAPIWealthAPI GmbH, DeutschlandKonto-/Depot-Aggregation (PSD2)EU
Google Gemini APIGoogle Ireland Ltd., Irland / Google LLC, USAGenerative KIGoogle LLC DPF-zertifiziert; ergänzend SCC
OpenAI APIOpenAI Ireland Ltd., Irland / OpenAI Inc. & OpenAI Global LLC, USAGenerative KI (Fallback)OpenAI DPF-zertifiziert (OpenAI Inc., OpenAI Global LLC); ergänzend SCC
LangfuseLangfuse GmbH, DeutschlandLogging KI-AufrufeEU; ggf. SCC bei US-Sub-Auftragsverarbeitern
PostHogPostHog Inc., USA / EU-Hosting (Frankfurt)ProduktanalyseEU-Hosting (Frankfurt); zusätzlich DPF-zertifiziert, ergänzend SCC bei US-Sub-Auftragsverarbeitern

Eine aktuelle, vollständige Liste der Auftragsverarbeiter inklusive Sub-Auftragsverarbeiter stellen wir auf Anfrage zur Verfügung.

6. Drittlandübermittlungen

Soweit Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies auf Grundlage von:

  • Standardvertragsklauseln der EU-Kommission gem. Art. 46 Abs. 2 lit. c DSGVO,
  • soweit anwendbar dem Angemessenheitsbeschluss EU-US Data Privacy Framework (Art. 45 DSGVO),
  • und/oder Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO).

Eine Kopie der Standardvertragsklauseln stellen wir auf Anfrage zur Verfügung.

7. Ihre Rechte

Sie haben gegenüber Sabia folgende Rechte:

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO),
  • Löschung (Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO),
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an founders@sabia.de.

Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für Sabia ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig (Friedrichstr. 219, 10969 Berlin, https://www.datenschutz-berlin.de).

8. Pflicht zur Bereitstellung von Daten

Die Bereitstellung der für die Registrierung und Vertragserfüllung erforderlichen Daten (insb. E-Mail-Adresse, Authentifizierungsdaten) ist freiwillig, jedoch für die Nutzung der Plattform erforderlich. Ohne diese Daten kann der Vertrag nicht durchgeführt werden.

Die Verknüpfung mit WealthAPI, die Nutzung der KI-Funktionen sowie der Empfang von Marketing-Kommunikation sind freiwillig und keine Voraussetzung für die Nutzung der Plattform. Funktionale und Analyse-Cookies (z. B. PostHog) werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Ohne diese Einwilligungen stehen die entsprechenden Funktionen nicht oder nur eingeschränkt zur Verfügung; die übrige Nutzung der Plattform bleibt jedoch möglich.

9. Automatisierte Entscheidungen, Profiling

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Innerhalb der Plattform werden zwar automatisierte Auswertungen und Visualisierungen erstellt; diese begründen jedoch keine rechtliche Wirkung und keine ähnlich erhebliche Beeinträchtigung Ihrer Person.

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen unbefugte Zugriffe, Verluste und Manipulationen zu schützen. Dazu gehören insbesondere:

  • TLS-Verschlüsselung der Datenübertragung,
  • Zugriffsbeschränkungen nach dem Need-to-know-Prinzip,
  • Zwei-Faktor-Authentifizierung für administrative Zugänge,
  • regelmäßige Sicherheitsüberprüfungen.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, um sie an Änderungen der Rechtslage, der Rechtsprechung oder unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist unter https://www.sabia.de/datenschutz abrufbar. Bei wesentlichen Änderungen werden Sie zusätzlich per E-Mail oder im Dienst informiert.

12. Widerspruch gegen Werbe-E-Mails

Der Nutzung der im Impressum veröffentlichten Kontaktdaten zur Übersendung nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen. Die Betreiber der Seiten behalten sich rechtliche Schritte im Falle unverlangter Zusendung von Werbeinformationen ausdrücklich vor.

Ende der Datenschutzerklärung.