Datenschutzerklärung

foliologic. UG (haftungsbeschränkt) i.G. · Stand: April 2026 · Version 0.3

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

foliologic. UG (haftungsbeschränkt) i.G.
Kolonnenstr. 8
10827 Berlin
Deutschland
E-Mail: contact@foliologic.app

Ein Datenschutzbeauftragter ist derzeit nicht benannt. Die Benennung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO derzeit nicht verpflichtend. Sollte sich dies ändern, wird diese Erklärung entsprechend aktualisiert.

Zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Friedrichstr. 219, 10969 Berlin, www.datenschutz-berlin.de

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website und die Webplattform von foliologic. Sie gilt derzeit nicht für mobile Apps oder app-spezifische Umgebungen.

3. Allgemeine Informationen zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website, unserer Webplattform und der damit verbundenen Funktionen erforderlich ist oder eine andere datenschutzrechtliche Grundlage besteht.

Je nach Kontext beruht die Verarbeitung auf folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:

Die jeweils anwendbare Rechtsgrundlage wird in den nachfolgenden Abschnitten konkret benannt.

4. Kontaktaufnahme und Kommunikation

Wenn Sie mit uns Kontakt aufnehmen, etwa per E-Mail oder über ein Kontaktformular, verarbeiten wir die von Ihnen übermittelten Daten, insbesondere:

Zweck: Bearbeitung und Beantwortung Ihrer Anfrage, weitere Kommunikation sowie Unterstützung bei individuellen Anliegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertragserfüllung) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung eingehender Anfragen).

Speicherdauer: Kontaktdaten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist, sofern keine vertragliche oder gesetzliche Aufbewahrungspflicht besteht.

5. Registrierung, Account und Nutzung der Plattform

Im Rahmen der Registrierung, Anmeldung und Nutzung unserer Plattform verarbeiten wir insbesondere folgende Daten:

Klartext-Passwörter werden nicht gespeichert. Zugangsdaten werden ausschließlich in technisch erforderlichem Umfang verarbeitet.

Zweck: Bereitstellung des Accounts, Ermöglichung der Plattformfunktionen, Kontoverwaltung sowie Sicherstellung von Login- und Sicherheitsfunktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Kontodaten werden für die Dauer der Nutzung gespeichert. Nach Löschung des Accounts werden die Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

6. Finanz-, Portfolio- und Importdaten

Zur Nutzung unserer Plattform können Nutzer eigene finanzbezogene Daten einbringen. Dabei kann es sich handeln um:

Zweck: Bereitstellung der Plattform, Abbildung von Portfolios und Vermögensdaten, Darstellung von Analysen und Auswertungen sowie Ermöglichung der vom Nutzer gewünschten Plattformfunktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Portfoliodaten werden für die Dauer der Nutzung gespeichert. Nach Account-Löschung werden diese Daten innerhalb von 30 Tagen gelöscht.

7. Zahlungsabwicklung

Wenn Sie einen kostenpflichtigen Plan nutzen, verarbeiten wir zahlungsbezogene Daten, soweit dies für die Zahlungsabwicklung, Rechnungsstellung, buchhalterische Zuordnung, Betrugsprävention sowie Durchführung und Verwaltung kostenpflichtiger Leistungen erforderlich ist.

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Ltd. (Dublin, Irland) sowie Stripe, Inc. (San Francisco, USA). Vollständige Zahlungsdaten (z. B. Kreditkartennummern) werden nicht auf unseren Servern gespeichert. Weitere Informationen: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insbesondere handels- und steuerrechtliche Aufbewahrungspflichten).

Speicherdauer: Rechnungs- und Zahlungsdaten werden gemäß den gesetzlichen Aufbewahrungspflichten, in der Regel 10 Jahre (§ 147 AO, § 257 HGB), gespeichert.

8. Support- und Kommunikationsdaten

Wenn Sie sich mit Supportanfragen, Rückfragen oder sonstigen Anliegen an uns wenden, verarbeiten wir die in diesem Zusammenhang anfallenden Daten.

Zweck: Bearbeitung von Anfragen, Kommunikation mit Nutzern sowie Unterstützung bei individuellen Problemen oder Anliegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Nutzeranfragen).

Speicherdauer: Support-Kommunikation wird gelöscht, sobald das Anliegen abgeschlossen ist und keine weiteren Aufbewahrungsgründe bestehen, in der Regel innerhalb von 12 Monaten nach Abschluss.

9. Warteliste, Newsletter und sonstige E-Mail-Kommunikation

Bereits vor dem offiziellen Launch unserer Plattform bieten wir eine Warteliste an, über die Interessenten sich mit ihrer E-Mail-Adresse registrieren können. In diesem Zusammenhang verarbeiten wir:

Die E-Mail-Adressen der Warteliste werden in unserer Datenbank bei Supabase, Inc. (EU-Region, siehe § 13) gespeichert.

Soweit Sie sich darüber hinaus für Newsletter oder sonstige E-Mail-Kommunikation anmelden oder solche Kommunikation im Rahmen unserer Angebote erhalten, verarbeiten wir Ihre Daten insbesondere für:

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Anmeldung zur Warteliste bzw. zum Newsletter stellt eine aktive, freiwillige Einwilligung dar. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, z. B. durch Kontaktaufnahme unter contact@foliologic.app. Sobald ein technischer Abmeldelink in unseren E-Mails verfügbar ist, können Sie diesen ebenfalls nutzen.

Speicherdauer: Ihre Daten werden gespeichert, solange Sie dem Empfang zugestimmt haben. Nach Widerruf der Einwilligung werden Ihre Daten für den Versand gesperrt und nach Ablauf etwaiger gesetzlicher Aufbewahrungsfristen gelöscht.

Hinweis: Die konkret eingesetzten Dienste oder Tools für den Versand von E-Mail-Kommunikation werden in dieser Erklärung ergänzt, sobald das technische Setup abschließend feststeht.

10. Cookies, Analytics, Tracking und Consent-Management

Auf unserer Website und gegebenenfalls innerhalb der Webplattform können Cookies oder vergleichbare Technologien eingesetzt werden.

Technisch notwendige Cookies werden auf Basis von Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO eingesetzt und erfordern keine gesonderte Einwilligung.

Nicht notwendige Cookies werden ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO eingesetzt. Sie können Ihre Einwilligung jederzeit über unsere Consent-Management-Lösung widerrufen.

Hinweis: Die konkret eingesetzten Dienste und Technologien werden in dieser Erklärung vollständig benannt, sobald das technische Setup abschließend feststeht. Bis dahin werden ausschließlich technisch notwendige Cookies eingesetzt.

11. KI-/LLM-gestützte Funktionen

Unsere Plattform kann KI- bzw. LLM-gestützte Funktionen enthalten. In diesem Zusammenhang können Nutzerdaten an externe KI-Dienstleister übermittelt und dort verarbeitet werden.

Externer KI-Dienstleister: Wir setzen Anthropic, PBC (San Francisco, USA) ein. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: anthropic.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung effizienter Plattformfunktionen).

KI-gestützte Ergebnisse können im Einzelfall fehlerhaft, unvollständig oder ungenau sein. Nach aktuellem Stand treffen wir keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO.

12. Open Banking und verbundene Konten

Soweit Nutzer entsprechende Funktionen aktiv nutzen, kann unsere Plattform die Anbindung externer Bank- oder Kontodaten über einen externen Open-Banking-Dienst ermöglichen.

Externer Dienstleister: finAPI GmbH (München, Deutschland), regulierter Kontoinformationsdienst (AISP) gemäß PSD2, zugelassen bei der BaFin. Weitere Informationen: finapi.io/datenschutz

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — die Verarbeitung erfolgt nur, soweit der Nutzer die Verbindung selbst aktiv initiiert und ausdrücklich zugestimmt hat.

Wir speichern keine Online-Banking-Zugangsdaten im Klartext.

13. Technische Zugriffsdaten und Hosting

Hosting-Dienstleister: Unsere Website und Webplattform werden bei Vercel Inc. (San Francisco, USA) gehostet. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: vercel.com/legal/privacy-policy

Datenbank- und Backend-Dienstleister: Zur Speicherung von Nutzer-, Konto- und Plattformdaten setzen wir Supabase, Inc. (San Francisco, USA) ein. Sämtliche Datenbanken werden in der EU-Region (Frankfurt am Main, Deutschland) betrieben. Ein Transfer personenbezogener Daten außerhalb der EU findet im Rahmen der Datenbanknutzung nicht statt. Weitere Informationen: supabase.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Plattform).

Speicherdauer: Technische Zugriffsdaten werden in der Regel nicht länger als 30 Tage gespeichert.

14. Empfänger und Dienstleisterkategorien

Je nach Funktion und Verarbeitungszweck können personenbezogene Daten an externe Empfänger übermittelt werden:

Soweit Dienstleister in unserem Auftrag tätig werden, erfolgt ihre Einbindung auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

15. Drittlandübermittlungen

Soweit wir Dienstleister einsetzen, die außerhalb der EU/des EWR tätig sind, erfolgen Übermittlungen nur auf Grundlage geeigneter Schutzmechanismen:

16. Speicherdauer und Löschung

Nach Account-Löschung oder Vertragsbeendigung können bestimmte Daten weiterhin gespeichert bleiben, soweit dies für gesetzliche Pflichten, Abrechnung, Missbrauchsprävention oder die Durchsetzung von Ansprüchen erforderlich ist.

17. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Aus Sicherheitsgründen machen wir keine detaillierten Angaben zu internen Schutzmaßnahmen. Allgemein setzen wir auf Verschlüsselung bei der Datenübertragung (TLS/HTTPS) und Zugangskontrollen für interne Systeme.

18. Minderjährige

Unsere Website und Plattform richten sich nicht an Personen unter 18 Jahren. Sollten wir Kenntnis davon erlangen, dass dennoch Daten Minderjähriger verarbeitet wurden, werden wir diese unverzüglich löschen.

19. Rechte betroffener Personen

Betroffene Personen haben gemäß der DSGVO insbesondere folgende Rechte:

Kontakt: contact@foliologic.app

Zuständige Aufsichtsbehörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Friedrichstr. 219, 10969 Berlin, www.datenschutz-berlin.de

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei rechtlichen, technischen oder tatsächlichen Änderungen anzupassen. Bei wesentlichen Änderungen werden wir Nutzer, soweit möglich, vorab informieren. Es gilt jeweils die zum Zeitpunkt Ihres Besuchs aktuelle Fassung.

Privacy Policy

foliologic. UG (haftungsbeschränkt) i.G. · As of: April 2026 · Version 0.3

1. Data Controller

The controller responsible for the processing of personal data under the General Data Protection Regulation (GDPR) is:

foliologic. UG (haftungsbeschränkt) i.G.
Kolonnenstr. 8
10827 Berlin
Germany
Email: contact@foliologic.app

No data protection officer has been appointed at this time. Appointment of a data protection officer is not currently required under Art. 37 GDPR. Should this change, this policy will be updated accordingly.

Supervisory authority: Berlin Commissioner for Data Protection and Freedom of Information (BlnBDI), Friedrichstr. 219, 10969 Berlin, www.datenschutz-berlin.de

2. Scope

This privacy policy applies to the foliologic website and web platform. It does not currently apply to mobile apps or app-specific environments.

3. General Information on Data Processing

We process personal data only to the extent necessary to provide our website, web platform, and associated features — or where another legal basis under data protection law exists.

Depending on the context, processing is based on the following legal grounds under Art. 6 GDPR:

The applicable legal basis is specified in each section below.

4. Contact and Communication

When you contact us — for example by email or via a contact form — we process the data you provide, including your name, email address, message content, and any other information you choose to share.

Purpose: Handling and responding to your enquiry, ongoing communication, and individual support.

Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures or contract performance) and/or Art. 6(1)(f) GDPR (legitimate interest in processing incoming enquiries).

Retention: Contact data is deleted once the enquiry has been fully resolved, unless contractual or statutory retention obligations apply.

5. Registration, Account, and Platform Use

When you register, sign in, and use our platform, we process data including your email address, registration and account data, authentication-related data, account settings, and platform-specific usage data.

Plaintext passwords are never stored. Credentials are processed only to the extent technically required.

Purpose: Providing your account, enabling platform features, account management, and ensuring login and security functions.

Legal basis: Art. 6(1)(b) GDPR (contract performance).

Retention: Account data is stored for the duration of use. After account deletion, data is removed within 30 days unless statutory retention obligations apply.

6. Financial, Portfolio, and Import Data

Users may bring their own financial data into the platform through manual entries, uploads, imported portfolio and transaction data, connected accounts or data sources, and other investment-related information.

Purpose: Providing the platform, displaying portfolios and asset data, presenting analyses and insights, and enabling the features requested by the user.

Legal basis: Art. 6(1)(b) GDPR (contract performance).

Retention: Portfolio data is stored for the duration of use. After account deletion, this data is removed within 30 days.

7. Payment Processing

When you use a paid plan, we process payment-related data to the extent required for payment processing, invoicing, accounting, fraud prevention, and administration of paid services.

Payment processing is handled by Stripe Payments Europe, Ltd. (Dublin, Ireland) and Stripe, Inc. (San Francisco, USA). Full payment details (e.g. credit card numbers) are not stored on our servers. More information: stripe.com/privacy

Legal basis: Art. 6(1)(b) GDPR (contract performance) and Art. 6(1)(c) GDPR (statutory retention obligations under German commercial and tax law).

Retention: Invoicing and payment data is retained for 10 years in accordance with statutory requirements (§ 147 AO, § 257 HGB).

8. Support and Communication Data

When you contact us with support requests or other enquiries, we process the data generated in that context.

Purpose: Handling enquiries, communicating with users, and providing individual assistance.

Legal basis: Art. 6(1)(b) GDPR (contract performance) and Art. 6(1)(f) GDPR (legitimate interest in handling user enquiries).

Retention: Support communications are deleted once the matter is resolved, typically within 12 months.

9. Waitlist, Newsletter, and Email Communications

Prior to our official launch, we offer a waitlist where interested users can sign up with their email address. In this context, we process:

Waitlist email addresses are stored in our database hosted by Supabase, Inc. (EU region — see § 13).

If you additionally sign up for newsletters or other email communications, we process your data for sending updates and information, pre-launch product news, marketing and product communications, and managing consent records.

Legal basis: Art. 6(1)(a) GDPR (consent). Signing up for the waitlist or newsletter constitutes active, voluntary consent. You may withdraw your consent at any time with effect for the future — for example by contacting us at contact@foliologic.app. Once a technical unsubscribe link is available in our emails, you may also use that.

Retention: Your data is stored as long as you have consented to receiving communications. After withdrawal, your data is blocked for sending purposes and deleted after any applicable statutory retention periods expire.

Note: The specific tools or services used for email delivery will be named in this policy once the technical setup is finalised.

10. Cookies, Analytics, Tracking, and Consent Management

Our website and web platform may use cookies or comparable technologies.

Strictly necessary cookies are used on the basis of Art. 6(1)(b) GDPR (contract performance) or Art. 6(1)(f) GDPR (legitimate interest in operating the platform) and do not require separate consent.

Non-essential cookies are used only with your explicit consent under Art. 6(1)(a) GDPR. You may withdraw your consent at any time through our consent management solution.

Note: The specific services and technologies used will be fully listed in this policy once the technical setup is finalised. Until then, only strictly necessary cookies are used.

11. AI/LLM-Powered Features

Our platform may include AI or LLM-powered features. In this context, user data may be transmitted to and processed by external AI service providers to deliver those features.

External AI provider: We use Anthropic, PBC (San Francisco, USA). Data transfers to the US are based on Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR. More information: anthropic.com/privacy

Legal basis: Art. 6(1)(b) GDPR (contract performance) and/or Art. 6(1)(f) GDPR (legitimate interest in providing efficient platform features).

AI-generated results may occasionally be inaccurate, incomplete, or incorrect. We do not currently make any automated decisions with legal or similarly significant effects within the meaning of Art. 22 GDPR.

12. Open Banking and Connected Accounts

Where users actively choose to use such features, our platform may enable the connection of external bank or account data through a third-party open banking provider.

External provider: finAPI GmbH (Munich, Germany), a regulated Account Information Service Provider (AISP) under PSD2, licensed by BaFin. More information: finapi.io/datenschutz

Legal basis: Art. 6(1)(a) GDPR (consent) — processing only occurs when the user actively initiates the connection and provides explicit consent.

We do not store online banking credentials in plaintext.

13. Technical Access Data and Hosting

Hosting provider: Our website and platform are hosted by Vercel Inc. (San Francisco, USA). Data transfers to the US are based on Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR. More information: vercel.com/legal/privacy-policy

Database and backend provider: We use Supabase, Inc. (San Francisco, USA) for storing user, account, and platform data. All databases are operated in the EU region (Frankfurt am Main, Germany). No personal data is transferred outside the EU as part of database operations. More information: supabase.com/privacy

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in secure and stable platform operation).

Retention: Technical access data is typically retained for no longer than 30 days.

14. Recipients and Service Provider Categories

Depending on the function and processing purpose, personal data may be shared with external recipients:

Where service providers act on our behalf, their engagement is based on a data processing agreement pursuant to Art. 28 GDPR.

15. International Data Transfers

Where we use providers located outside the EU/EEA, transfers are only carried out on the basis of appropriate safeguards:

16. Retention and Deletion

After account deletion or contract termination, certain data may continue to be stored where required for statutory obligations, billing, fraud prevention, or the enforcement of claims.

17. Security Measures

We implement appropriate technical and organisational measures pursuant to Art. 32 GDPR. For security reasons, we do not disclose the details of our internal safeguards. In general terms, we rely on encryption in transit (TLS/HTTPS) and access controls for internal systems.

18. Minors

Our website and platform are not intended for children or minors (persons under 18). We do not knowingly collect personal data from minors. If we become aware that data from a minor has been processed, we will delete it without delay.

19. Your Rights

Under the GDPR, you have the following rights:

To exercise these rights, please contact: contact@foliologic.app

Supervisory authority: Berlin Commissioner for Data Protection and Freedom of Information (BlnBDI), Friedrichstr. 219, 10969 Berlin, www.datenschutz-berlin.de

Please note that exercising certain rights (e.g. erasure) may mean that continued use of the platform is no longer possible or may be limited.

20. Changes to This Privacy Policy

We reserve the right to update this privacy policy in response to legal, technical, or factual changes. Where material changes are made, we will inform users in advance where possible. The version in effect at the time of your visit or use of our services applies.