Legal GDPR Last updated: May 2026

Privacy Policy

This policy explains what personal data FinToolbox collects, why, how long we keep it, and the rights you have under the EU General Data Protection Regulation (GDPR) and the Austrian Data Protection Act (DSG).

1. Controller

The data controller within the meaning of Art. 4(7) GDPR is the operator of FinToolbox. Contact details are on the Impressum page. For privacy questions you can reach us at [email protected].

2. What we collect & why

2.1 Just visiting

When you visit the site, our hosting provider (Cloudflare) processes server logs containing IP address, user-agent, timestamp and the URL requested. This is necessary to serve the page and protect against abuse (Art. 6(1)(f) GDPR — legitimate interest). Logs are typically retained for up to 30 days.

2.2 Local preferences

We store preferences (theme, language, collapsed nav state, your sentiment vote for the day, recently used tool inputs) in your browser's localStorage. These never leave your device and are not personal data we control. You can clear them anytime in your browser settings.

2.3 Account & Trading Journal (optional)

If you create an account, we store your email, a username and (for Premium) a Stripe customer id, in our Supabase database. If you use the Trading Journal we store the trades you log there (entry/exit, instrument, notes, optional screenshot). Legal basis: Art. 6(1)(b) GDPR — performance of the contract you enter into when signing up.

2.4 Payments

Payments are handled by Stripe. We never see or store your card details — Stripe receives them directly and returns a customer id and subscription status to our worker. Legal basis: Art. 6(1)(b) GDPR.

2.5 Community sentiment poll

When you vote in the daily sentiment poll, we store a salted, daily-rotating fingerprint plus your choice (bull/bear) for the day, so the same browser cannot vote twice. We do not link this to an account. Legal basis: Art. 6(1)(f) GDPR — legitimate interest in preventing ballot stuffing.

3. Third-party processors

We use the following processors under Art. 28 GDPR (data processing agreements in place):

  • Cloudflare, Inc. — hosting (Pages), CDN, edge functions and the Worker API proxy. Data may be processed in the EU and the United States under SCCs.
  • Supabase, Inc. — authentication, database and file storage (for trading screenshots). EU region where available; SCCs otherwise.
  • Stripe, Inc. — subscription billing. Stripe is its own controller for payment data and is governed by its own privacy policy.
  • Google LLC — optional "Sign in with Google" (OAuth). Only used if you choose Google sign-in.
  • Google Fonts (CSS) — fonts are loaded from fonts.googleapis.com. This transfers your IP to Google.
  • Proton AG (Switzerland) — email correspondence ([email protected]). Switzerland has an EU adequacy decision (Art. 45 GDPR), so no SCCs are required.
  • External market-data providers — CoinGecko, Alternative.me, CryptoPanic, GoPlus, TradingView (for embedded widgets). When you load a tool, your browser may contact these endpoints directly or via our Worker. Using the CoinGecko API transmits your IP address to CoinGecko.

4. Cookies & tracking

FinToolbox does not set advertising or analytics cookies on the free tools. Functional storage (localStorage) and the Supabase session cookie (only on auth-aware pages) are strictly necessary for the service to work and do not require consent under § 165 TKG. Cloudflare may set short-lived security cookies (e.g. __cf_bm) to mitigate bots.

5. International transfers

Some of our processors operate in the United States. Transfers are covered by EU Standard Contractual Clauses (Art. 46(2)(c) GDPR) and supplementary measures where required. You can request a copy of the relevant SCCs at [email protected].

6. Retention

  • Server logs: up to 30 days.
  • Account data & trading journal: for as long as your account exists. You can delete your account at any time on the account page; data is removed within 30 days, except where retention is legally required (e.g. tax/billing records up to 7 years).
  • Stripe billing records: kept by Stripe according to its own retention policy.
  • Sentiment poll fingerprints: rotated daily; no historical record per user.

7. Your rights

Under Art. 15–22 GDPR you have the right to:

  • access the personal data we hold about you;
  • rectify inaccurate data;
  • erase your data ("right to be forgotten");
  • restrict or object to processing;
  • data portability (receive your data in a machine-readable format);
  • withdraw consent at any time, where processing is based on consent.

To exercise any of these, email [email protected]. You also have the right to lodge a complaint with the Austrian Data Protection Authority (Datenschutzbehörde, dsb.gv.at).

8. Security

API keys live only on the server (Cloudflare Worker secrets), never in the frontend. Supabase enforces row-level security so users can only read their own rows. Traffic is TLS-encrypted end to end. No system is perfectly secure — please pick a strong, unique password and enable a password manager.

9. Changes

We may update this policy. Material changes are announced on the site or by email at least 14 days before they take effect.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO ist der Betreiber von FinToolbox. Kontaktdaten finden Sie im Impressum. Für datenschutzrechtliche Anfragen erreichen Sie uns unter [email protected].

2. Welche Daten wir verarbeiten — und warum

2.1 Beim bloßen Besuch der Website

Beim Aufruf der Website verarbeitet unser Hosting-Provider (Cloudflare) Serverlogs mit IP-Adresse, User-Agent, Zeitstempel und aufgerufener URL. Dies ist erforderlich, um die Seite auszuliefern und Missbrauch abzuwehren (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse). Logs werden in der Regel bis zu 30 Tage aufbewahrt.

2.2 Lokale Einstellungen

Wir speichern Einstellungen (Theme, Sprache, ausgeklappte Nav-Zustände, Ihre Tages-Sentimentstimme, zuletzt verwendete Tool-Inputs) im localStorage Ihres Browsers. Diese Daten verlassen Ihr Gerät nicht und werden von uns nicht kontrolliert. Sie können sie jederzeit in Ihren Browser-Einstellungen löschen.

2.3 Konto & Trading Journal (optional)

Wenn Sie ein Konto anlegen, speichern wir Ihre E-Mail-Adresse, einen Benutzernamen und (bei Premium) eine Stripe-Kunden-ID in unserer Supabase-Datenbank. Wenn Sie das Trading Journal nutzen, speichern wir die dort eingetragenen Trades (Entry/Exit, Instrument, Notizen, optionaler Screenshot). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung.

2.4 Zahlungen

Zahlungen werden von Stripe abgewickelt. Wir sehen oder speichern Ihre Kartendaten nicht — Stripe erhält sie direkt und übermittelt eine Kunden-ID sowie den Abo-Status an unseren Worker. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.5 Sentiment-Umfrage

Wenn Sie an der täglichen Sentiment-Umfrage teilnehmen, speichern wir einen gesalzenen, täglich rotierenden Fingerprint sowie Ihre Auswahl (bull/bear), damit derselbe Browser nicht zweimal abstimmen kann. Eine Zuordnung zu einem Konto erfolgt nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Verhinderung von Mehrfachabstimmungen.

3. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein (Auftragsverarbeitungsverträge liegen vor):

  • Cloudflare, Inc. — Hosting (Pages), CDN, Edge-Funktionen und Worker-API-Proxy. Datenverarbeitung in der EU und in den USA auf Basis von Standardvertragsklauseln (SCC).
  • Supabase, Inc. — Authentifizierung, Datenbank und Dateispeicher (für Trade-Screenshots). EU-Region soweit verfügbar; sonst SCC.
  • Stripe, Inc. — Abrechnung. Stripe ist für Zahlungsdaten eigener Verantwortlicher und unterliegt seiner eigenen Datenschutzerklärung.
  • Google LLC — optionaler „Sign in with Google"-OAuth-Flow. Nur bei Auswahl der Google-Anmeldung.
  • Google Fonts (CSS) — Schriften werden von fonts.googleapis.com geladen. Dabei wird Ihre IP-Adresse an Google übertragen.
  • Proton AG (Schweiz) — E-Mail-Korrespondenz ([email protected]). Für die Schweiz besteht ein Angemessenheitsbeschluss der EU (Art. 45 DSGVO), Standardvertragsklauseln sind nicht erforderlich.
  • Externe Marktdaten-Anbieter — CoinGecko, Alternative.me, CryptoPanic, GoPlus, TradingView (für eingebettete Widgets). Beim Laden eines Tools kann Ihr Browser diese Endpunkte direkt oder über unseren Worker kontaktieren. Bei Nutzung der CoinGecko-API wird Ihre IP-Adresse an CoinGecko übertragen.

4. Cookies & Tracking

FinToolbox setzt auf den kostenlosen Tools keine Werbe- oder Analyse-Cookies. Funktionsspeicher (localStorage) und der Supabase-Session-Cookie (nur auf auth-relevanten Seiten) sind für den Betrieb unbedingt erforderlich und gemäß § 165 TKG nicht zustimmungspflichtig. Cloudflare kann kurzlebige Sicherheits-Cookies (z. B. __cf_bm) zur Bot-Abwehr setzen.

5. Drittlandübermittlungen

Einige unserer Auftragsverarbeiter sind in den USA tätig. Übermittlungen erfolgen auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzender Maßnahmen, soweit erforderlich. Eine Kopie der relevanten SCC erhalten Sie auf Anfrage unter [email protected].

6. Speicherdauer

  • Server-Logs: bis zu 30 Tage.
  • Kontodaten & Trading Journal: solange Ihr Konto besteht. Sie können Ihr Konto jederzeit auf der Konto-Seite löschen; Daten werden binnen 30 Tagen entfernt, soweit keine gesetzlichen Aufbewahrungspflichten bestehen (z. B. steuer-/abrechnungsrelevante Unterlagen bis zu 7 Jahre).
  • Stripe-Abrechnungsdaten: gemäß den Aufbewahrungsfristen von Stripe.
  • Sentiment-Fingerprints: täglich rotiert; keine personenbezogene Historie.

7. Ihre Rechte

Gemäß Art. 15–22 DSGVO haben Sie das Recht auf:

  • Auskunft über die zu Ihrer Person verarbeiteten Daten;
  • Berichtigung unrichtiger Daten;
  • Löschung („Recht auf Vergessenwerden");
  • Einschränkung der Verarbeitung sowie Widerspruch;
  • Datenübertragbarkeit (maschinenlesbares Format);
  • Widerruf einer erteilten Einwilligung jederzeit.

Zur Ausübung dieser Rechte schreiben Sie an [email protected]. Außerdem haben Sie das Recht auf Beschwerde bei der österreichischen Datenschutzbehörde (dsb.gv.at).

8. Sicherheit

API-Schlüssel liegen ausschließlich serverseitig (als Cloudflare-Worker-Secrets) und nie im Frontend. Supabase erzwingt Row-Level-Security, sodass Nutzer ausschließlich auf ihre eigenen Datensätze zugreifen können. Der Datenverkehr ist Ende-zu-Ende TLS-verschlüsselt. Kein System ist absolut sicher — bitte verwenden Sie ein starkes, einzigartiges Passwort.

9. Änderungen

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden mindestens 14 Tage vor Inkrafttreten auf der Website oder per E-Mail angekündigt.

FinToolbox

The all-in-one toolkit for smarter trading. Built by traders, for traders.

Markets
  • Markets Hub
  • Crypto Heatmap
  • Fear & Greed Index
  • News Feed
  • Daily Briefings
  • Macro Risk Dashboard
  • Security Shield
Calculators
  • Calculators Hub
  • Compound Interest
  • Future Value Calculator
  • ROI Calculator
  • Dollar-Cost Averaging
  • Position Size Calculator
  • Rental Property
  • Coin Calculators
Trading
  • Trading Hub
  • Win Rate Simulator
  • Margin & Leverage
  • Trading Journal
Company
  • All Tools
  • Premium
  • Account
  • Privacy
  • Terms of Service
  • Refund Policy
  • Impressum
© 2026 FinToolbox. Not financial advice. Markets carry risk — use at your own discretion.
v0.1.0