Datenschutz – erklärt.
Was wir mit deinen IBKR-Daten machen, was nicht, und warum bei uns kein Cookie-Banner aufploppt.
Diese Seite ist für alle, die „wir verschlüsseln eure Daten“ zu Recht als Nicht-Antwort empfinden. Hier stehen die ehrlichen Antworten auf die Fragen, die wir am häufigsten bekommen, wenn jemand vor dem Upload-Button zögert.
Das Wichtigste in 60 Sekunden
Daten in Deutschland
Verarbeitung auf deutschen Hetzner-Servern, Datenbank in Frankfurt. Nichts verlässt die EU.
Zero-Cookie-Policy
Kein Google Analytics. Kein Facebook-Pixel. Keine Tracker. Kein Cookie-Banner, weil wir nichts haben, dem du zustimmen müsstest. Wir sind die einzige Steuersoftware für IBKR-Kunden, die das so konsequent macht.
Keine KI sieht deine Daten
Kein ChatGPT, kein Claude, kein Gemini. Die Steuerberechnung ist ein klassisches Programm, läuft komplett bei uns, deterministisch.
Wir filtern, bevor wir lesen
Aus deinem IBKR-Export verarbeiten wir nur die Felder, die wir für die Steuer brauchen. Der Rest wird verworfen, bevor die Berechnung überhaupt startet.
Konto in einem Klick weg
Hattest du noch nichts gekauft, ist nach dem Klick auf „Konto löschen“ alles gelöscht. Hattest du eine Rechnung, prüfen wir den Auftrag manuell wegen § 147 AO.
Verschlüsselt, immer
SSL bei der Übertragung. Verschlüsselte Speicherung auf den Servern.
Wer wir sind
Hinter BubbleTax steht eine deutsche GmbH mit Sitz in Bayern. Deutsches Recht, deutscher Gerichtsstand, deutsche Datenschutzaufsicht.
BubbleTax GmbH
An den Klostergründen 15, 93073 Neutraubling, Deutschland
Welche Daten sehen wir aus deinem IBKR-Export?
Du lädst eine XML-Datei von Interactive Brokers hoch. Da steht ziemlich viel drin. Wir lesen aber nur, was wir für die Steuerberechnung brauchen:
- Deine Käufe und Verkäufe (Datum, Wertpapier, Stückzahl, Preis, Gebühren)
- Dividenden, Zinsen, Quellensteuer und ähnliche Geldbewegungen
- Kapitalmaßnahmen wie Aktiensplits oder Spin-offs
- Ein- und Auszahlungen sowie Übertragungen von oder zu anderen Brokern
- Deine Bestände zum Stichtag
Mehr brauchen wir nicht.
Was wir bewusst NICHT lesen, obwohl es in der Datei stehen könnte:
- Deine bei IBKR hinterlegten Stammdaten (Name, Anschrift, Geburtsdatum)
- Performance-Auswertungen, Margin-Details, Risiko-Kennzahlen
- Alle anderen Bereiche im IBKR-Export, die für die Steuer irrelevant sind
Das ist kein Versprechen, dem du blind glauben musst. Diese Filterung passiert bevor die Berechnung startet. Der Algorithmus selbst sieht die nicht benötigten Daten gar nicht erst.
Behalten wir die Datei oder nur die Berechnung?
Beides. Aus einem praktischen Grund:
Wenn wir die Original-XML behalten, kannst du Berichte später jederzeit neu generieren, ohne den Export bei IBKR erneut anzustoßen. Genauso behalten wir das fertige Ergebnis-ZIP, damit du es immer wieder herunterladen kannst.
Beides liegt verschlüsselt auf unseren Servern. Übertragen wird nur über SSL (das Schloss-Symbol im Browser). Und du kannst beides jederzeit wieder löschen, ohne dafür mit uns zu reden — siehe Punkt 6.
Geben wir deine Daten an irgendwen weiter?
Nein. Deine Steuer- und Trading-Daten bekommt niemand außer uns zu sehen. Konkret heißt das:
- Keine KI-Anbieter (ChatGPT, Claude, Gemini, nichts)
- Keine Werbe- oder Marketing-Plattformen
- Keine Datenhändler
- Keine Behörden, außer auf richterliche Anordnung in Deutschland (das ist Gesetz)
Wir arbeiten mit ein paar Dienstleistern zusammen, die aber deine Steuerdaten nicht sehen:
| Dienstleister | Wofür? | Was sieht der Dienst? |
|---|---|---|
| Hetzner (deutsche Firma, Gunzenhausen) | Stellt unsere Server in Deutschland bereit, auf denen die Berechnung läuft | Verschlüsselte Daten in einem Rechenzentrum in Deutschland |
| Neon (Datenbank-Anbieter) | Speichert unsere Datenbank in Frankfurt | Verschlüsselte Daten in einem Rechenzentrum in Deutschland |
| PDFBolt (europäisches SaaS, Polen) | Wandelt unsere fertigen Berichte in PDFs um. Brauchen wir, weil wir Unmengen an PDFs generieren | Sieht Fragmente deines Berichts beim PDF-Rendering, aber keinen Namen und nicht den Gesamtkontext |
| Stripe | Bezahlung | Nur Zahlungsdaten (Name, Rechnungsadresse, Betrag) |
| Freshdesk | Support-Tickets, falls du uns anschreibst | Nur was du selbst in deine Anfrage schreibst |
| Plausible (estnische Firma) | Anonyme Besucher-Statistik | Anonyme Seitenaufrufe ohne Cookies, keine Identifikation möglich |
Was unsere Server während der Berechnung nach außen schicken:
Wir fragen bei Yahoo Finance die offiziellen Stammdaten zu Wertpapieren ab (z. B. ob eine Aktie ein Aktienfonds oder ein Mischfonds ist). Dorthin geht nur die ISIN-Nummer. Nicht dein Name. Nicht deine Stückzahlen. Nicht deine Beträge.
Das war's. Mehr verlässt unsere Server bei der Berechnung nicht.
Wo stehen die Server?
In Deutschland.
Die eigentliche Berechnung deiner Steuerdaten läuft auf Servern der deutschen Firma Hetzner Online GmbH (Sitz: Gunzenhausen, Bayern). Hetzner ist einer der größten Hosting-Anbieter Deutschlands, betreibt eigene Rechenzentren in Deutschland und unterliegt zu 100 % deutschem Recht.
Unsere Datenbank, in der dein Konto, deine hochgeladene XML und dein fertiger Bericht gespeichert sind, liegt in einem Rechenzentrum in Frankfurt am Main. Auch hier: Daten physisch in Deutschland.
Ehrliche Einordnung
Der Anbieter unserer Datenbank heißt Neon und ist als Firma in den USA registriert (auch wenn die Server in Frankfurt stehen). Das bedeutet rein theoretisch, dass US-Behörden die Herausgabe der Daten verlangen könnten (sogenannter US CLOUD Act). Wir haben mit Neon den DSGVO-vorgeschriebenen Vertrag (Auftragsverarbeitung) abgeschlossen, der das soweit wie rechtlich möglich einschränkt.
Warum trotzdem Neon? Weil es uns eine außerordentlich stabile und performante Datenbank-Umgebung gibt, mit hoher Ausfallsicherheit und automatischen Backups. Genau das, was wir brauchen, um auch in der Steuerstoßzeit von Januar bis Mai zuverlässig zu funktionieren. Für ein Tool, das deine Steuererklärung pünktlich fertigstellen soll, ist das nicht verhandelbar. Aktuell gibt es in Deutschland keinen Anbieter, der die gleiche Kombination aus Stabilität, Geschwindigkeit und Datenbank-Funktionen liefert. Wir prüfen den Markt regelmäßig neu.
Zur Einordnung des Risikos: Wer Interactive Brokers nutzt, hat seine kompletten Trading-Daten ohnehin schon einer US-Firmengruppe (IBKR Inc., USA) anvertraut. IBKR meldet diese Daten zudem regelmäßig an US-Steuerbehörden (FATCA-Meldung). Das zusätzliche Risiko durch unseren Datenbank-Anbieter ist kleiner als das, was mit dem Broker selbst sowieso schon kommt.
Trotzdem prüfen wir, ob wir mittelfristig auch die Datenbank zu einem rein deutschen Anbieter (z. B. Hetzner Managed Postgres) verlagern.
Wie lange behalten wir was?
| Was | Wie lange | Warum |
|---|---|---|
| Dein letzter erfolgreicher Bericht pro Steuerjahr | Solange dein Konto besteht | Damit du jederzeit den letzten Stand für dein Finanzamt nachladen kannst |
| Ältere Berichte und fehlgeschlagene Verarbeitungsversuche | 30 Tage, dann automatisch gelöscht | Datenminimierung — alte Versionen brauchst du normalerweise nicht mehr |
| Die zugehörigen XML-Dateien | Werden zusammen mit dem Bericht gelöscht | Damit Bericht und Quelldaten konsistent verschwinden |
| Dein Konto | Solange du es nicht löschst | Damit du nicht jedes Jahr ein neues Konto anlegen musst |
| Rechnungen, falls du etwas gekauft hast | 10 Jahre | Gesetzliche Pflicht nach § 147 AO. Keine Wahl. |
| Newsletter-Anmeldung | Bis du dich abmeldest | Eine aktive Einwilligung gilt, bis du sie widerrufst |
Backups in der Datenbank werden 7 Tage zurück gespeichert, falls mal was schiefgeht. Danach sind auch die endgültig weg.
Konto löschen, was passiert wirklich?
In den Einstellungen findest du einen Button „Konto und Daten löschen“. Was danach passiert, hängt davon ab, ob du bei uns schon mal etwas gekauft hast.
Fall A: Du hast noch nichts gekauft
Sofortige, automatische Löschung. Ein Klick, alle deine Daten sind direkt aus unserem System weg:
- Dein Konto
- Alle hochgeladenen XML-Dateien
- Alle erstellten Berichte
- Newsletter-Anmeldung, falls aktiv
Innerhalb der nächsten 7 Tage verschwinden die Daten zusätzlich aus den Backups.
Fall B: Du hast bereits einen Bericht gekauft
Bearbeitung als Auftrag im Hintergrund. Wir müssen prüfen, welche Rechnungsdaten wir wegen der gesetzlichen 10-Jahres-Frist behalten müssen und welche wir löschen dürfen. Das geht nicht vollautomatisch, weil jeder Fall einzeln rechtlich bewertet werden muss.
Was wir bei dir löschen:
- Dein Konto und Login
- Alle hochgeladenen XML-Dateien
- Alle erstellten Berichte
- Deine Daten bei Stripe, Brevo (falls Newsletter), Freshdesk (falls Support-Anfrage)
Was wir behalten müssen (gesetzliche Pflicht, keine Wahl):
Die Rechnungen mit Name, Rechnungsadresse, Rechnungsposten, Betrag und Datum. Diese werden nach Ablauf der 10-Jahres-Frist automatisch endgültig gelöscht.
Du bekommst eine Bestätigungs-E-Mail, sobald die Löschung durch ist, mit einer klaren Liste, was gelöscht wurde und was wir gesetzlich aufbewahren mussten.
Zero-Cookie-Policy: warum wir uns gegen Cookies entschieden haben
Wir haben uns früh und bewusst entschieden: BubbleTax tracked dich nicht. Punkt.
Konkret heißt das:
- Keine Cookies außer dem technisch notwendigen Login-Cookie, sobald du dich einloggst. Deshalb kein Cookie-Banner.
- Anonyme Besucher-Statistik über Plausible, eine europäische, datenschutzfreundliche Alternative zu Google Analytics. Plausible setzt keine Cookies und identifiziert keine einzelnen Besucher.
- Keine Werbe-Tracker. Kein Google Analytics, kein Facebook-Pixel, kein Google Ads Tracking, kein LinkedIn Insight Tag, kein TikTok-Pixel, kein Hotjar, kein Microsoft Clarity. Nichts davon.
- Newsletter nur, wenn du dich aktiv anmeldest. Abmeldung jederzeit per Link in jeder E-Mail.
Worauf du bei jedem Online-Tool achten solltest
Es lohnt sich, vor dem Anmelden einen Blick auf das Cookie-Banner zu werfen. Die Liste der Drittanbieter, denen man da zustimmen soll, ist im Steuer- und Finanz-Bereich oft erstaunlich lang. Typischerweise findest du dort eine Mischung aus:
- Web-Analytics-Diensten wie Google Analytics
- Werbeplattformen wie Google Ads, Meta, LinkedIn oder TikTok, die per Pixel verfolgen, wer auf welcher Seite war
- Session-Recording-Tools wie Hotjar oder Microsoft Clarity, die Mausbewegungen und Klicks aufzeichnen
Klickt man dann auf „Alle akzeptieren“ — was die meisten Menschen tun, weil das die schnellste Variante ist — fließt die Information, dass jemand gerade ein Tool für seine Kapitalertragssteuer benutzt, in die Werbe-Profile bei Google, Meta und Co. Das beeinflusst danach, welche Werbung dieser Person angezeigt wird, oft noch wochenlang.
Für ein Tool, dem man sein gesamtes Trading-Jahr anvertraut, halten wir das nicht für die richtige Lösung.
Deshalb verzichten wir auf alle Tracker. Das macht unser Marketing schwerer (wir wissen nicht, welche Anzeige zu dir geführt hat, und können dich nicht mit Re-Targeting weiterverfolgen). Bewusste Entscheidung. Bewusster Trade-off.
Teste es selbst
Öffne BubbleTax im Browser, drück F12, geh in den Tab „Anwendung“ (oder „Storage“) und schau dir die Cookies an. Außer dem Login-Cookie nach dem Einloggen findest du dort nichts.
Deine Rechte nach DSGVO
Du kannst jederzeit:
- Auskunft verlangen, welche Daten wir über dich gespeichert haben (Art. 15 DSGVO)
- Berichtigung falscher Daten verlangen (Art. 16)
- Löschung verlangen, siehe Punkt 6 (Art. 17)
- Einschränkung der Verarbeitung verlangen (Art. 18)
- Deine Daten in einem maschinenlesbaren Format mitnehmen (Art. 20)
- Widerspruch gegen die Verarbeitung einlegen (Art. 21)
- Dich bei der Datenschutzaufsicht beschweren (in Bayern: Bayerisches Landesamt für Datenschutzaufsicht, BayLDA)
Schreib uns einfach an: support@bubbletax.de. Antwort in der Regel binnen 1–2 Werktagen.
Vertraut. Verschlüsselt. In Deutschland.
Lade deine IBKR-Daten hoch und sieh dir die kostenlose Vorschau an. Du zahlst erst, wenn du den Bericht herunterlädst.
Kontakt für Datenschutz-Themen
BubbleTax GmbH
An den Klostergründen 15, 93073 Neutraubling
Wir antworten in der Regel binnen 1–2 Werktagen.
Stand: April 2026