Datenschutzerklärung – Fillery-App

I. Verantwortliche Stelle

Verantwortliche Stelle für die Datenverarbeitung im Sinne der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) in der Fillery-App (nachfolgend: „App“) ist:

Leon Liebetanz

Vor den Wiesen 8

38300 Wolfenbüttel

Deutschland

E-Mail: info@fillery.app Telefon: +49 5331 8049973

Der Ansprechpartner für Datenschutz bei der verantwortlichen Stelle ist:

Leon Liebetanz, info@fillery.app

Für die verantwortliche Stelle zuständige Aufsichtsbehörde:

Die Landesbeauftragte für den Datenschutz Niedersachsen

Prinzenstraße 5

30159 Hannover

Telefon: +49 511 120-4500

E-Mail: poststelle@lfd.niedersachsen.de Web: https://lfd.niedersachsen.de

II. Allgemeines zur Datenverarbeitung

(1) Die Verarbeitung von personenbezogenen Daten erfolgt grundsätzlich nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes samt Inhalten und Leistungen erforderlich ist. Regelmäßig erfolgt eine Verarbeitung nur nach Einwilligung der betroffenen Person. Ausnahmsweise erfolgt eine Verarbeitung ohne Einwilligung der betroffenen Person, wenn dies aus tatsächlichen Gründen nicht möglich und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

(2) Art. 6 Abs. 1 lit. a DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, soweit für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person eingeholt wurde.

Art. 6 Abs. 1 lit. b DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, soweit dies zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Art. 6 Abs. 1 lit. c DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der das Unternehmen unterliegt.

Art. 6 Abs. 1 lit. f DSGVO dient als Rechtsgrundlage für die Verarbeitung personenbezogener Daten, soweit dies für die Verarbeitung zur Wahrung eines berechtigten Interesses des Unternehmens oder eines Dritten erforderlich ist und nicht die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse überwiegen.

(3) Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus dann erfolgen, wenn dies durch einschlägige nationale oder europäische Vorschriften, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

(4) Diese Datenschutzerklärung gilt für die Nutzung der mobilen Anwendung Fillery sowie der dazugehörigen Backend-Dienste.

III. Nutzung der App

(1) Bei jedem Aufruf der App erfasst das System automatisiert Daten und Informationen vom Computersystem des aufrufenden Mobilgeräts. Folgende Daten werden hierbei erhoben:

1. IP-Adresse,

2. User-Agent,

3. App-Version,

4. Betriebssystem-Version,

5. Sprachenwahl.

6. Bei Serveranfragen anfallende Logdaten.

(2) Die Erhebung und vorübergehende Speicherung dieser Daten ist notwendig, um den Dienst bereitzustellen. Weitere Zwecke der Verarbeitung sind die Fehleranalyse, Missbrauchserkennung (Rate-Limiting) und technische Sicherheit.

(3) Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO. Soweit die Daten zur Fehleranalyse, Missbrauchserkennung und technischen Sicherheit verarbeitet werden, ist Art. 6 Abs. 1 lit. f DSGVO die Rechtsgrundlage.

(4) Die Daten werden gelöscht, wenn die jeweilige Sitzung beendet ist. Soweit diese Daten in Logfiles gespeichert werden, ist dies nach spätestens 7 Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

(5) Die Erfassung der Daten zur Bereitstellung der App und die Speicherung der Daten in Logfiles ist zur Bereitstellung des Internetauftritts zwingend erforderlich. Es besteht folglich keine Widerspruchsmöglichkeit.

IV. Automatisierte Einbindung von Geschäftsdaten gewerblicher Nutzer

(1) Die App ermöglicht gewerblichen Nutzern die Hinterlegung unternehmensbezogener Pflichtangaben zur automatisierten Einbindung in Verkaufsangebote auf unterstützten Online-Verkaufsplattformen.

Hierbei können insbesondere folgende Daten verarbeitet werden, die, insbesondere bei Einzelunternehmern, Personenbezug aufweisen können:

Firmenname,

Anschrift,

Telefonnummer,

E-Mail-Adresse,

Website,

Steuernummer,

Umsatzsteuer-Identifikationsnummer,

Handelsregister- oder sonstige Registrierungsnummer,

Angaben zu vertretungsberechtigten Personen,

Hersteller- und Importeurangaben,

Gewährleistungs- und Rückgabetexte,

weitere vom Nutzer angegebene Unternehmensangaben.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der Funktionen für gewerbliche Verkäufer und damit zur Durchführung des Nutzungsverhältnisses erforderlich ist.

Soweit die Verarbeitung der Erfüllung gesetzlicher Verpflichtungen des Nutzers dient, erfolgt sie zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

(3) Die Verarbeitung erfolgt zur Unterstützung der Einhaltung gesetzlicher Informationspflichten für gewerbliche Verkäufer, insbesondere nach den Vorschriften des Digitale-Dienste-Gesetzes (DDG), der Verordnung über die allgemeine Produktsicherheit (GPSR) sowie sonstiger verbraucherschutzrechtlicher Vorschriften und plattformspezifischer Anforderungen. Zweck der Verarbeitung ist daher die Bereitstellung und automatisierte Einbindung von Unternehmens- und Pflichtangaben in Verkaufsangebote auf unterstützten Online-Verkaufsplattformen sowie die Unterstützung gewerblicher Nutzer bei der Einhaltung gesetzlicher Informationspflichten und plattformspezifischer Vorgaben.

(4) Die Daten werden grundsätzlich lokal auf dem Endgerät des Nutzers gespeichert, insbesondere im lokalen Schlüsselspeicher des jeweiligen Betriebssystems. Eine Übermittlung an unsere Server erfolgt nur insoweit, als die Angaben Bestandteil eines durch den Nutzer veröffentlichten Listings werden oder eine serverseitige Verarbeitung technisch erforderlich ist.

Die Daten bleiben gespeichert, bis sie durch den Nutzer innerhalb der App gelöscht oder geändert werden, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(5) Die Bereitstellung der Geschäftsdaten erfolgt freiwillig. Nutzer können hinterlegte Angaben jederzeit innerhalb der App ändern oder löschen. Bereits veröffentlichte Listings auf Drittplattformen bleiben hiervon unberührt und müssen gegebenenfalls unmittelbar auf der jeweiligen Plattform angepasst oder entfernt werden.

V. E-Mail-Kontakt

(1) Bei Kontaktaufnahme per E-Mail werden die eingegebenen Daten an uns übermittelt und dort gespeichert. Diese Daten sind:

• E-Mail-Adresse

• Inhalt der Kontaktaufnahme, insbesondere ggf. mitgeteilte Namen, Telefonnummern, Kontaktdaten.

Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Verarbeitung der Konversation verwendet.

(2) Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO.

Zielt der E-Mail-Kontakt auf den Abschluss oder die Erfüllung eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.

(3) Die Verarbeitung der personenbezogenen dient allein zur Bearbeitung der Kontaktaufnahme. Im Falle einer Kontaktaufnahme per E-Mail liegt hieran auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.

(4) Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten die per E-Mail übersandt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit der betroffenen Person beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist.

(5) Die betroffene Person hat jederzeit die Möglichkeit, ihre Einwilligung zur Verarbeitung der personenbezogenen Daten zu widerrufen. Bei einer Kontaktaufnahme per E-Mail kann der Speicherung der personenbezogenen Daten zwar jederzeit widersprochen werden. In einem solchen Fall kann die Konversation dann aber nicht fortgeführt werden.

Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht.

VI. Login über OAuth-Anbieter - Google

(1) Die App ermöglicht die Anmeldung und Verknüpfung eines Nutzerkontos über den Authentifizierungsdienst „Google Sign-In“ der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Im Rahmen der Authentifizierung werden insbesondere folgende Daten durch Google verarbeitet:

verifizierter Google-Nutzer-Identifier („sub“),

mit dem Google-Konto verknüpfte E-Mail-Adresse,

kryptographisch signiertes ID-Token zum Zeitpunkt der Anmeldung.

Die Authentifizierung erfolgt über das native Google-Sign-In-SDK des Endgeräts bzw. über Google Play Services.

Es erfolgt kein Zugriff auf weitere Google-Daten, insbesondere nicht auf Browser-Verlauf, Kalenderinhalte, Google-Drive-Inhalte, Kontakte oder sonstige Inhalte des Google-Kontos. Es werden ausschließlich die zur Authentifizierung erforderlichen Informationen verarbeitet.

Die Verarbeitung dient der Anmeldung innerhalb der App, der Wiederherstellung bestehender Nutzerkonten sowie der optionalen Verknüpfung eines Google-Kontos mit einem bestehenden Nutzerkonto.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung des Nutzungsverhältnisses und Authentifizierung des Nutzers erforderlich ist.

(3) Zweck der Verarbeitung ist die sichere Authentifizierung des Nutzers, die Bereitstellung eines alternativen Anmeldeverfahrens sowie die Wiederherstellung und Verknüpfung bestehender Nutzerkonten.

(4) Der Google-Nutzer-Identifier sowie die E-Mail-Adresse werden auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland gespeichert. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Die Daten bleiben gespeichert, bis die Verknüpfung des Google-Kontos durch den Nutzer aufgehoben oder das Nutzerkonto gelöscht wird, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(5) Die Nutzung der Google-Anmeldung erfolgt freiwillig. Nutzer können die Verknüpfung ihres Google-Kontos jederzeit innerhalb der App-Einstellungen oder über die Sicherheitseinstellungen ihres Google-Kontos aufheben. Die Datenschutzerklärung von Google ist unter https://policies.google.com/privacy abrufbar. Weitere Informationen zum Dienst finden sich unter https://support.google.com/accounts/answer/12921417?hl=de.

VII. Login über OAuth-Anbieter - eBay

(1) Die App ermöglicht die Anmeldung sowie die Verknüpfung eines Nutzerkontos über die OAuth-Schnittstelle von eBay.

Im Rahmen der Authentifizierung und Nutzung der eBay-Anbindung werden insbesondere folgende Daten von eBay verarbeitet, die Personenbezug aufweisen können:

eBay-User-ID,

eBay-Benutzername,

OAuth-Refresh-Token,

OAuth-Access-Token,

Sitzungs-Token (JWT).

Die Verarbeitung dient der Anmeldung innerhalb der App sowie der Erstellung und Veröffentlichung von Listings im Namen des Nutzers über die eBay-API.

Im Rahmen der Authentifizierung wird die mit dem eBay-Konto verknüpfte E-Mail-Adresse von eBay an uns übermittelt. Eine dauerhafte Speicherung dieser E-Mail-Adresse erfolgt nicht.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung des Nutzungsverhältnisses, zur Authentifizierung des Nutzers sowie zur Nutzung der eBay-bezogenen Funktionen erforderlich ist.

(3) Zweck der Verarbeitung ist die sichere Authentifizierung des Nutzers, die Bereitstellung der eBay-Integration sowie die technische Erstellung und Veröffentlichung von Listings über die eBay-API.

(4) Die Refresh-Tokens werden verschlüsselt auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland gespeichert. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Sitzungs-Token werden serverseitig ausschließlich in Form kryptographischer Hashwerte gespeichert. Auf dem Endgerät erfolgt die Speicherung im sicheren Schlüsselspeicher des jeweiligen Betriebssystems, insbesondere im Android Keystore.

Refresh-Tokens werden entsprechend der technischen Vorgaben von eBay für bis zu 18 Monate gespeichert, sofern die Verknüpfung nicht zuvor durch den Nutzer aufgehoben wird. Sitzungs-Token werden spätestens nach 30 Tagen oder mit der Abmeldung des Nutzers gelöscht.

(5) Die Nutzung der eBay-Anbindung erfolgt freiwillig. Nutzer können die Verknüpfung ihres eBay-Kontos jederzeit innerhalb der App-Einstellungen oder über die Sicherheitseinstellungen ihres eBay-Kontos aufheben. Weitere Informationen zur Datenverarbeitung durch eBay finden sich unter https://www.ebay.de/help/policies/member-behaviour-policies/user-privacy-notice-privacy-policy?id=4260

VIII. Erstellung von Listings

(1) Die App ermöglicht es Nutzern, mithilfe von Künstlicher Intelligenz Verkaufsangebote („Listings“) für verschiedene Online-Verkaufsplattformen (insbesondere eBay, Kleinanzeigen und Vinted) aus Fotos und Stichwörtern zu erstellen.

Wenn Sie diese Funktion nutzen, verarbeiten wir Ihre Eingaben. Darin sind nicht zwingend jedoch möglicherweise auch personenbezogene Daten enthalten. Diese können insbesondere in vom Nutzer aufgenommenen oder ausgewählten Fotografien enthalten sein, soweit diese personenbezogene Daten abbilden oder sich aus den abgebildeten Gegenständen Rückschlüsse auf natürliche Personen ergeben. Darüber hinaus können die vom Nutzer eingegebenen Beschreibungen, Titel, Zustandsangaben oder sonstigen Freitexte personenbezogene Daten enthalten.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der KI-gestützten Erstellung von Verkaufsangeboten und damit zur Durchführung des Nutzungsverhältnisses erforderlich ist.

Soweit Nutzer freiwillig Inhalte bereitstellen, die personenbezogene Daten enthalten, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

(3) Zweck der Verarbeitung ist die Bereitstellung der KI-gestützten Funktion zur Erstellung und Optimierung von Verkaufsangeboten für Online-Verkaufsplattformen. Die Verarbeitung dient insbesondere der Analyse der vom Nutzer bereitgestellten Fotos und Texteingaben sowie der Generierung von Vorschlägen für Titel, Beschreibungen, Kategorien, Preise und sonstige Inhalte von Verkaufsanzeigen.

(4) Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Vom Nutzer hochgeladene Inhalte sowie generierte Verkaufsangebote können im Nutzerkonto gespeichert bleiben, solange dies für die Nutzung der App erforderlich ist oder bis der Nutzer diese selbst löscht. Gesetzliche Aufbewahrungspflichten bleiben unberührt.

(5) Die Erstellung der Listings erfolgt auf Wunsch des Nutzers. Nutzer können die Verarbeitung verhindern, indem sie die Funktion nicht verwenden oder innerhalb der App gespeicherte Inhalte löschen. Soweit die Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

IX. Eingesetzte KI-Anbieter

Zur Bereitstellung der KI-gestützten Erstellung von Verkaufsangeboten nutzen wir die nachfolgend aufgelisteten externen KI-Dienstleister, die die vom Nutzer bereitgestellten Inhalte automatisiert verarbeiten.

Google LLC (Gemini-Modelle) zur Bildanalyse, Bildvorverarbeitung sowie Erstellung von Listing-Vorschlägen. Wir haben mit Google insoweit einen Auftragsverarbeitungsvertrag abgeschlossen. Google verarbeitet diese Daten auf Grundlage dieses Vertrags nach Art. 28 DSGVO.

Anthropic PBC (Claude-Modelle) zur erweiterten KI-Analyse und Erstellung von Verkaufsanzeigen. Wir haben mit Anthropic einen Auftragsverarbeitungsvertrag abgeschlossen. Anthropic verarbeitet diese Daten auf Grundlage dieses Vertrags nach Art. 28 DSGVO.

Brave Software Inc. (Brave Search API) zur ergänzenden Recherche produktbezogener Informationen. Wir haben mit Brave Software Inc. einen Auftragsverarbeitungsvertrag abgeschlossen. Brave Software Inc. verarbeitet diese Daten auf Grundlage dieses Vertrags nach Art. 28 DSGVO.

Im Rahmen der Bildvorverarbeitung kann automatisiert eine Auswahl und Zuschnitt relevanter Bildausschnitte („Smart-Crop“) erfolgen.

Bei Auswahl einer erweiterten Analysefunktion („Tiefenanalyse“) können zusätzliche KI-Modelle mit erhöhter Analysegenauigkeit eingesetzt werden.

Sofern ein primärer KI-Dienst technisch nicht verfügbar ist, kann automatisiert ein alternativer Anbieter zur Verarbeitung eingesetzt werden.

Soweit personenbezogene Daten verarbeitet werden, erfolgt die Verarbeitung ausschließlich zum Zweck der Bereitstellung der KI-gestützten Listing-Erstellung.

Mit den eingesetzten Dienstleistern wurden – soweit datenschutzrechtlich erforderlich – Vereinbarungen zur Verarbeitung personenbezogener Daten abgeschlossen. Soweit eine Verarbeitung außerhalb der Europäischen Union erfolgt, erfolgt diese unter Beachtung der gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO.

X. Content-Filter

(1) Die App prüft bestimmte freie Texteingaben des Nutzers vor der Weiterleitung an KI-gestützte Verarbeitungsdienste automatisiert auf unzulässige Inhalte. Hiervon betroffen sind insbesondere frei formulierte Eingaben innerhalb von Stil- oder Beschreibungsvorgaben sowie sonstige ergänzende Hinweise des Nutzers zu Produkten oder Verkaufsangeboten.

Die Prüfung dient insbesondere der Erkennung von Inhalten mit Bezug zu:

Hassrede,

extremistischen oder gewaltverherrlichenden Inhalten,

Aufforderungen zu rechtswidrigen Handlungen,

sexualisierter Gewalt,

sowie sonstigen missbräuchlichen oder unzulässigen Inhalten.

Die Prüfung erfolgt serverseitig mittels regelbasierter Filtermechanismen und Schlüsselbegriffs-Abgleichen.

Wird ein möglicher Verstoß festgestellt, wird die betreffende Anfrage nicht an die eingesetzten KI-Dienste weitergeleitet. Der Nutzer erhält in diesem Fall innerhalb der App einen entsprechenden Hinweis.

Im Zusammenhang mit einer blockierten Anfrage können folgende Daten verarbeitet werden:

pseudonymisierter Nutzer-Identifikator,

betroffenes Eingabefeld,

Kategorie des festgestellten Verstoßes,

ausgelöste Schlüsselbegriffe,

Zeitpunkt des Vorgangs.

Der ursprüngliche vom Nutzer eingegebene Freitext wird hierbei nicht gespeichert.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. f DSGVO.

Unser berechtigtes Interesse liegt in der Missbrauchsabwehr, der Einhaltung der Nutzungsbedingungen eingesetzter KI-Dienstleister, dem Schutz Dritter sowie der Gewährleistung eines sicheren und rechtskonformen Betriebs der App.

(3) Zweck der Verarbeitung ist die Verhinderung missbräuchlicher oder rechtswidriger Nutzung der KI-Funktionen sowie die Durchsetzung technischer und vertraglicher Nutzungsbeschränkungen.

(4) Die im Zusammenhang mit blockierten Anfragen verarbeiteten Protokolldaten werden für einen Zeitraum von 30 Tagen gespeichert und anschließend gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer längeren Speicherung bestehen.

(5) Die Nutzung der KI-Funktionen setzt die Zustimmung zur beschriebenen Inhaltsprüfung voraus. Nutzer können die Verarbeitung verhindern, indem sie die entsprechenden Funktionen nicht verwenden. Bei wiederholten Verstößen gegen die zulässige Nutzung können einzelne KI-Funktionen vorübergehend technisch eingeschränkt werden. Näheres hierzu ist in unseren AGB geregelt.

XI. Veröffentlichung von Listings bei eBay

(1) Die App ermöglicht Nutzern die Erstellung und Veröffentlichung von Verkaufsangeboten auf der Plattform eBay über die eBay-API.

Im Rahmen der Veröffentlichung werden insbesondere folgende von eBay und von uns Daten verarbeitet, die Personenbezug aufweisen können:

Titel des Listings,

Artikelbeschreibung,

Kategorieangaben,

Preisangaben,

Artikelmerkmale und Pflichtfelder,

Foto-URLs,

eBay-Listing-ID,

eBay-Offer-ID,

Snapshot-Hash des veröffentlichten Inhalts,

IP-Adresse des Nutzers zum Zeitpunkt der Veröffentlichung,

User-Agent des verwendeten Endgeräts bzw. Browsers.

Die im Rahmen der Veröffentlichung erzeugten Inhalte können personenbezogene Daten enthalten, soweit diese durch den Nutzer in die Verkaufsangebote aufgenommen werden.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung des Nutzungsverhältnisses sowie zur Veröffentlichung von Listings auf eBay erforderlich ist.

Die Speicherung von IP-Adresse, User-Agent und Snapshot-Hash erfolgt darüber hinaus auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der Beweissicherung hinsichtlich des konkreten Inhalts veröffentlichter Angebote, insbesondere zur Abwehr oder Durchsetzung möglicher Ansprüche im Zusammenhang mit Plattformhaftung, Rechtsverletzungen oder gesetzlichen Verpflichtungen nach dem Digitale-Dienste-Gesetz (DDG) sowie dem Digital Services Act (DSA).

(3) Zweck der Verarbeitung ist die technische Erstellung und Veröffentlichung von Verkaufsangeboten über die eBay-API sowie die Dokumentation und Nachweisbarkeit der durch den Nutzer veröffentlichten Inhalte. Die Speicherung eines Snapshot-Hash dient dabei der revisionssicheren Zuordnung und Beweissicherung des zum Veröffentlichungszeitpunkt bestehenden Inhalts.

(4) Soweit die Daten von uns verarbeitet werden, werden sie auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland gespeichert. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Weitere Informationen zur Datenverarbeitung durch eBay finden sich unter https://www.ebay.de/help/policies/member-behaviour-policies/user-privacy-notice-privacy-policy?id=4260

IP-Adresse, User-Agent und Snapshot-Hash werden für einen Zeitraum von 36 Monaten gespeichert und anschließend gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer längeren Speicherung bestehen.

Im Übrigen werden die Daten gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind.

(5) Die Veröffentlichung von Listings auf eBay erfolgt ausschließlich auf Veranlassung des Nutzers. Nutzer können veröffentlichte Angebote grundsätzlich über ihr eBay-Konto ändern oder entfernen. Soweit gesetzliche Aufbewahrungspflichten oder berechtigte Interessen an der Speicherung einzelner Nachweisdaten bestehen, bleibt eine weitere Speicherung hiervon unberührt.

XII. Erstellung von Listings zur Veröffentlichung auf anderen Plattformen

(1) Die App ermöglicht Nutzern die Erstellung von Inseratstexten zur Veröffentlichung von Verkaufsangeboten auf Drittplattformen, insbesondere auf Kleinanzeigen und Vinted.

Hierbei können insbesondere folgende Daten verarbeitet werden:

vom Nutzer erzeugte Listing-Texte,

Preisangaben,

Kategorieangaben,

Foto-Dateien oder Foto-URLs,

gesetzlich erforderliche Pflichtangaben für gewerbliche Verkäufer,

Hersteller- und Importeurangaben,

Kontaktdaten,

Angaben zu vertretungsberechtigten Personen,

sonstige durch den Nutzer bereitgestellte Inhalte.

Die Verarbeitung erfolgt ausschließlich zur Erstellung einer Vorlage, die vom Nutzer selbst an die Drittplattform übermittelt wird. Hierzu wird ein in der App integriertes Browserfenster („WebView“) geöffnet. Durch die Nutzung des Veröffentlichen-Buttons gibt der Nutzer die Daten selsbt an die Drittplattform weiter.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. a DSGVO.

Die Einwilligung erfolgt durch die aktive Auswahl und Übermittlung des jeweiligen Listings an die ausgewählte Drittplattform.

(3) Zweck der Verarbeitung ist die technische Bereitstellung und Übermittlung der vom Nutzer erstellten Verkaufsangebote an die jeweils ausgewählte Drittplattform zur Veröffentlichung des Inserats.

(4) Die Übermittlung der Daten erfolgt direkt vom Endgerät des Nutzers an die jeweilige Drittplattform. Eine vollständige Speicherung oder Spiegelung der veröffentlichten Drittplattform-Inhalte auf unseren Servern erfolgt nicht.

Wir verarbeiten lediglich die vom Nutzer innerhalb der App eingegebenen Listing-Inhalte sowie gegebenenfalls Foto-URLs, soweit diese technisch für die Veröffentlichung erforderlich sind.

Empfänger der Daten können insbesondere sein:

Kleinanzeigen GmbH, Albert-Einstein-Ring 26, 14532 Kleinmachnow, Deutschland, Datenschutzerklärung: https://themen.kleinanzeigen.de/datenschutzerklaerung/

Vinted UAB, Žirmūnų g. 70, LT-09124 Vilnius, Litauen, Datenschutzerklärung: https://www.vinted.de/privacy-policy .

(5) Die Nutzung der Veröffentlichungsfunktion erfolgt freiwillig. Nutzer können die Datenübermittlung verhindern, indem sie den jeweiligen Veröffentlichungsprozess nicht abschließen oder den Veröffentlichungsvorgang innerhalb des Browserfensters abbrechen. Bereits veröffentlichte Inhalte müssen unmittelbar auf der jeweiligen Drittplattform gelöscht oder geändert werden.

XIII. Fotogalerie

(1) Die App ermöglicht es Nutzern, mit der App aufgenommene oder ausgewählte Fotos zusätzlich in der lokalen Geräte-Galerie des Endgeräts zu speichern. Hierbei werden ausschließlich die vom Nutzer ausgewählten oder aufgenommenen Fotos verarbeitet.

Die Funktion steht in zwei Varianten zur Verfügung:

Einzelfall-Speicherung:

Der Nutzer kann innerhalb des Listing-Editors für ein konkretes Foto die Funktion „In Galerie speichern“ auswählen. In diesem Fall wird ausschließlich das ausgewählte Bild in die Geräte-Galerie übernommen.

Automatische Speicherung:

Zusätzlich kann der Nutzer innerhalb der App-Einstellungen die Funktion „Fotos automatisch in Galerie speichern“ aktivieren. Bei aktivierter Funktion werden mit der App aufgenommene Fotos automatisch zusätzlich in der Geräte-Galerie gespeichert, ohne dass für jedes einzelne Foto eine gesonderte Bestätigung erforderlich ist. Die Funktion kann jederzeit in den Einstellungen deaktiviert werden.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. a DSGVO.

Die Einwilligung erfolgt durch die aktive Nutzung der Funktion, insbesondere durch Auswahl der Funktion „In Galerie speichern“ oder durch Aktivierung der automatischen Speicherung innerhalb der App-Einstellungen.

(3) Zweck der Verarbeitung ist die vom Nutzer gewünschte lokale Speicherung von Fotos außerhalb der App, um einen dauerhaften Zugriff auf die aufgenommenen oder verwendeten Bilder über die Geräte-Galerie des Endgeräts zu ermöglichen.

(4) Die Speicherung der Fotos erfolgt ausschließlich lokal auf dem Endgerät des Nutzers innerhalb der jeweiligen Geräte-Galerie. Eine Übermittlung der Fotos an unsere Server oder an Dritte erfolgt im Rahmen dieser Funktion nicht.

Die gespeicherten Fotos verbleiben dort, bis sie durch den Nutzer innerhalb der Geräte-Galerie oder über Funktionen des Betriebssystems gelöscht werden.

(5) Die Nutzung der Funktion erfolgt freiwillig. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, indem die automatische Speicherung in den App-Einstellungen deaktiviert oder bereits gespeicherte Fotos aus der Geräte-Galerie gelöscht werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

XIV. Fehler und Crash-Berichterstattung

(1) Zur Erkennung, Analyse und Behebung technischer Fehler nutzt die App den Dienst Sentry der Functional Software Inc, dba Sentry, 45 Fremont St, 8th Floor, San Francisco, CA 94105.

Im Rahmen der Fehler- und Crash-Berichterstattung können insbesondere folgende Daten verarbeitet werden:

technische Fehlermeldungen und Stack-Traces,

Geräte-Modell,

Betriebssystem-Version,

App-Version,

Zeitpunkt des Fehlers,

pseudonymisierte Nutzer-Kennung.

Personenbezogene Inhalte wie Listing-Texte, Fotos, E-Mail-Adressen, Telefonnummern, API-Schlüssel oder vergleichbare Inhaltsdaten werden vor der Übermittlung an Sentry durch app- und serverseitige Filtermechanismen entfernt bzw. maskiert.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. f DSGVO.

Das berechtigte Interesse liegt in der Sicherstellung der technischen Stabilität, Sicherheit, Fehlerfreiheit und Verfügbarkeit der App sowie der schnellen Erkennung und Behebung technischer Probleme.

(3) Zweck der Verarbeitung ist die Analyse technischer Fehler und Abstürze der App und der zugehörigen Backend-Systeme, um Funktionsstörungen zu identifizieren, die Stabilität des Dienstes zu verbessern und die Sicherheit der Systeme zu gewährleisten.

(4) Empfänger der Daten ist die Functional Software Inc. (Sentry). Die Verarbeitung erfolgt innerhalb der Hosting-Region Deutschland bzw. Europäische Union. Wir haben mit Sentry einen Auftragsverarbeitungsvertrag abgeschlossen. Sentry verarbeitet diese Daten auf Grundlage dieses Vertrags nach Art. 28 DSGVO. Die Datenschutzerklärung von Sentry ist unter https://sentry.io/privacy/ abrufbar.

Soweit im Einzelfall eine Verarbeitung personenbezogener Daten außerhalb der Europäischen Union erfolgt, erfolgt diese unter Beachtung der gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO.

Die Fehlerberichte werden für einen Zeitraum von 90 Tagen gespeichert und anschließend automatisch gelöscht.

(5) Die Verarbeitung der Fehlerberichte ist für den sicheren und stabilen Betrieb der App erforderlich. Nutzer können die Übermittlung technischer Fehlerdaten verhindern, indem sie die App nicht verwenden oder die Internetverbindung des Endgeräts deaktivieren. Personenbezogene Inhaltsdaten werden nach Möglichkeit bereits vor der Übermittlung automatisiert entfernt oder anonymisiert.

XV. Zwischenspeicherung laufender Analysen

(1) Die App speichert vorübergehend Zwischenstände laufender oder kürzlich abgeschlossener Listing-Analysen, um eine Fortsetzung oder Übernahme der Analyse nach technischen Unterbrechungen zu ermöglichen.

Hierbei können insbesondere folgende Daten verarbeitet werden, die Personenbezug aufweisen können:

Zwischenergebnisse von KI-gestützten Listing-Analysen,

generierte Listing-Texte im Klartext,

Status- und Fortschrittsinformationen,

technische Verarbeitungsmarker,

Verknüpfung zum jeweiligen Nutzerkonto (User-ID).

Die Zwischenspeicherung dient insbesondere dazu, bereits gestartete oder mit Credits bezahlte Analysen auch bei kurzzeitigen technischen Unterbrechungen – etwa bei Netzwerkausfällen, Hintergrundbetrieb der App oder Gerätesperrung – fortsetzen und dem Nutzer nach Wiederherstellung der Verbindung zustellen zu können.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung des Nutzungsverhältnisses sowie zur Bereitstellung der vom Nutzer angeforderten Analysefunktionen erforderlich ist.

(3) Zweck der Verarbeitung ist die technische Sicherstellung der zuverlässigen Zustellung und Wiederherstellung laufender oder abgeschlossener KI-Analysen sowie die Vermeidung von Datenverlusten bei vorübergehenden Verbindungs- oder Systemunterbrechungen.

(4) Die Speicherung erfolgt auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Die gespeicherten Zwischenstände werden unmittelbar nach erfolgreicher Übernahme durch das Endgerät des Nutzers serverseitig gelöscht. Nicht abgerufene Einträge werden spätestens nach Ablauf von 24 Stunden automatisch gelöscht.

(5) Die Zwischenspeicherung ist technisch erforderlich, um die vom Nutzer angeforderte Analysefunktion zuverlässig bereitstellen zu können. Ohne diese Verarbeitung kann insbesondere bei technischen Unterbrechungen ein Verlust laufender Analysen nicht ausgeschlossen werden.

XVI. Audit-Log über Analysen und Veröffentlichungen

(1) Die App führt Protokolle über durchgeführte Listing-Analysen sowie Veröffentlichungs- und Verarbeitungsvorgänge.

Hierbei können insbesondere folgende Daten verarbeitet werden, die im Einzelfall Personenbezug aufweisen können:

Zuordnung zum Nutzerkonto (User-ID),

Account-stabiler pseudonymisierter Identifikator,

Zeitstempel des jeweiligen Vorgangs,

verwendeter Analyse-Typ,

eingesetztes KI-Modell und KI-Anbieter,

verwendete Tier- bzw. Leistungsstufe,

Zielplattform des Listings,

Status von Inhaltsprüfungen oder Block-Vorgängen,

tatsächlich an Plattformen übermittelte Listing-Inhalte („Listing-Payload“) im Klartext,

kryptographische Bild-Hashes (SHA-256),

bei blockierten Vorgängen zusätzlich die für die Block-Entscheidung relevanten Freitexteingaben des Nutzers.

Eine Speicherung der zugrunde liegenden Bilddateien erfolgt im Rahmen der Audit-Logs nicht.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. f DSGVO.

Das berechtigte Interesse liegt in der Nachvollziehbarkeit durchgeführter Verarbeitungsvorgänge, der Missbrauchs- und Betrugsprävention, der Bearbeitung von Support- und Rückerstattungsanfragen, der Untersuchung rechtswidriger oder missbräuchlicher Nutzungen sowie der Beweissicherung gegenüber Ansprüchen Dritter.

Soweit gesetzliche Aufbewahrungspflichten bestehen, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

(3) Zweck der Verarbeitung ist die revisionssichere Dokumentation wesentlicher Analyse- und Veröffentlichungsprozesse innerhalb der App, insbesondere zur technischen Nachvollziehbarkeit, Compliance-Dokumentation, Streitbeilegung, Missbrauchsaufklärung und Erfüllung gesetzlicher Nachweis- und Aufbewahrungspflichten.

(4) Die Speicherung erfolgt auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Die Audit-Logs werden für einen Zeitraum von bis zu drei Jahren gespeichert und anschließend automatisch gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer längeren Speicherung bestehen.

(5) Die Verarbeitung der Audit-Logs ist zur Gewährleistung eines sicheren, nachvollziehbaren und rechtskonformen Betriebs der App erforderlich. Nutzer können die Verarbeitung verhindern, indem sie die entsprechenden Analyse- und Veröffentlichungsfunktionen nicht verwenden.

XVII. Zahlungsabwicklung und In-App-Käufe (Google Play)

(1) Die App ermöglicht den Erwerb kostenpflichtiger Leistungen, insbesondere von Credit-Paketen und Abonnements, über den Google-Play-Store, einem Dienst der “ der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Im Rahmen der Zahlungsabwicklung können insbesondere folgende Daten von Google verarbeitet werden:

Google-Play-Order-ID,

Purchase-Token,

Produkt-Identifikator,

Zahlungsbetrag,

Zahlungsstatus,

Abrechnungs- und Buchungshistorie.

Die Verarbeitung dient der Zuordnung erworbener Credits oder Abonnements zum jeweiligen Nutzerkonto sowie der technischen und buchhalterischen Abwicklung von Käufen innerhalb der App.

Zahlungsdaten wie Kreditkarteninformationen, Bankverbindungen oder sonstige Zahlungsinformationen werden nicht durch uns verarbeitet. Die Zahlungsabwicklung erfolgt ausschließlich über den Google-Play-Store.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung des Kaufvertrages und Bereitstellung der erworbenen Leistungen erforderlich ist.

Soweit gesetzliche Aufbewahrungspflichten bestehen, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

(3) Zweck der Verarbeitung ist die technische Durchführung und Zuordnung von In-App-Käufen, die Verwaltung erworbener Credits und Abonnements sowie die Erfüllung handels- und steuerrechtlicher Nachweispflichten.

(4) Die Order-ID, Purchase-Tokens sowie abrechnungsbezogene Buchungsdaten werden auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland gespeichert. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Empfänger der Zahlungsdaten ist im Rahmen der Zahlungsabwicklung insbesondere Google Ireland Limited als Betreiber von Google Play Billing. Die Nutzungsbedingungen des Google-Play-Store sind unter https://play.google.com/intl/de_de/about/play-terms/index.html abrufbar. Die Datenschutzhinweise von Google sind unter https://policies.google.com/privacy?hl=de abrufbar.

Zahlungs- und buchhaltungsrelevante Daten werden entsprechend der gesetzlichen Aufbewahrungspflichten, insbesondere nach § 257 HGB und § 147 AO, für bis zu zehn Jahre gespeichert.

(5) Die Nutzung kostenpflichtiger Funktionen erfolgt freiwillig. Nutzer können zukünftige Käufe sowie die Verlängerung von Abonnements jederzeit über die Einstellungen ihres jeweiligen App-Store-Kontos verwalten oder beenden.

XVIII. Zuordnung von Empfehlungs-Codes über den Google Play Install Referrer

(1) Wenn Sie einen Partnercode einsetzen, nutzen wir die „Google Play Install Referrer API“, einen Dienst der Google Ireland Limited, um Installationen der App einem Empfehlungs- oder Partnercode zuordnen zu können.

Hierbei können insbesondere folgende Daten verarbeitet werden, die Personenbezug aufweisen können:

Empfehlungs-Code,

Zeitpunkt des Klicks auf den Empfehlungslink,

Zeitpunkt der Installation der App.

Es werden hierbei keine Werbe-IDs (Advertising IDs), Geräte-IDs oder sonstige Nutzungs- oder Verhaltensprofile verarbeitet.

Die Verarbeitung dient der einmaligen Zuordnung neuer Installationen zu Empfehlungs- oder Partnercodes, insbesondere zur Abrechnung von Provisionen gegenüber Empfehlungs- oder Vertriebspartnern.

(2) Rechtsgrundlage für die Verarbeitung der Daten ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt in der ordnungsgemäßen Zuordnung von Installationen, der Abrechnung von Vermittlungsprovisionen sowie der Missbrauchsverhinderung innerhalb des Empfehlungsprogramms.

(3) Zweck der Verarbeitung ist die technische Zuordnung von App-Installationen zu Empfehlungs- oder Partnercodes, um vermittelte Registrierungen oder Käufe nachvollziehen und provisionsbezogen abrechnen zu können.

(4) Der jeweilige Empfehlungs-Code wird auf Servern der Hetzner Online GmbH in einem Rechenzentrum in Nürnberg, Deutschland mit dem jeweiligen Nutzerkonto verknüpft gespeichert. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag abgeschlossen. Hetzner verarbeitet diese Daten ausschließlich in unserem Auftrag nach Art. 28 DSGVO. Die Datenschutzhinweise von Hetzner sind unter https://www.hetzner.com/de/legal/privacy-policy/ abrufbar.

Die Datenschutzhinweise von Google sind unter https://policies.google.com/privacy?hl=de abrufbar.

Die Verknüpfung zwischen Empfehlungs-Code und Nutzerkonto bleibt bis zur Löschung des Nutzerkontos gespeichert.

Abrechnungs- und Provisionsprotokolle können darüber hinaus entsprechend gesetzlicher Aufbewahrungspflichten, insbesondere nach § 257 HGB, für bis zu zehn Jahre gespeichert werden.

(5) Die Verarbeitung erfolgt ausschließlich im Zusammenhang mit der Nutzung eines Empfehlungs- oder Partnerlinks. Nutzer können die Verarbeitung verhindern, indem sie die App nicht über einen Empfehlungslink installieren oder keinen Empfehlungs-Code verwenden.

XIX. Datenübermittlung in Drittländer

Einige der in dieser Datenschutzerklärung genannten Dienstleister haben ihren Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums, insbesondere in den Vereinigten Staaten von Amerika. Hierzu gehören insbesondere die Anbieter wie Google LLC, Anthropic PBC, Brave Software Inc. sowie gegebenenfalls mit eBay verbundene Gesellschaften gehören.

Der Dienst Sentry wird ausschließlich mit Hosting innerhalb der Europäischen Union genutzt (EU-Ingest / Frankfurt). Das Mutterunternehmen der Functional Software Inc. hat seinen Sitz in den USA.

Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies ausschließlich unter Beachtung der gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO.

Die Übermittlung erfolgt insbesondere auf Grundlage:

• eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO, insbesondere bei nach dem EU-U.S. Data Privacy Framework zertifizierten Unternehmen, oder

• von Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO, soweit kein Angemessenheitsbeschluss vorliegt.

Zusätzlich können technische und organisatorische Schutzmaßnahmen eingesetzt werden, insbesondere:

Pseudonymisierung,

restriktive Zugriffskontrollen,

verschlüsselte Datenübertragung,

datensparsame Verarbeitung.

Es wird darauf hingewiesen, dass bei Datenübermittlungen in Drittländer trotz bestehender vertraglicher und technischer Schutzmaßnahmen nicht ausgeschlossen werden kann, dass Behörden oder staatliche Stellen auf personenbezogene Daten zugreifen, ohne dass ein dem Datenschutzniveau der Europäischen Union vollständig gleichwertiger Rechtsschutz besteht.

XX. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten gegen Verlust, Manipulation, unbefugten Zugriff oder sonstige unberechtigte Verarbeitungen zu schützen.

Hierzu gehören insbesondere:

verschlüsselte Datenübertragung zwischen App, Servern und Drittanbietern mittels aktueller TLS-Verschlüsselung,

sichere Speicherung sensibler Authentifizierungs- und Zugriffstoken innerhalb der geschützten Schlüsselspeicher des jeweiligen Betriebssystems,

pseudonymisierte bzw. kryptographisch abgesicherte Speicherung von Sitzungsinformationen,

Zugriffsbeschränkungen und rollenbasierte Berechtigungskonzepte für Server- und Datenbanksysteme,

technische Maßnahmen zur Missbrauchs- und Angriffserkennung (insbesondere Rate-Limiting und Anfragevalidierung),

serverseitige Validierung sicherheitsrelevanter Eingaben und API-Anfragen,

Verifikation externer Webhook- und Zahlungsanfragen,

verschlüsselte und authentifizierte Kommunikation mit externen Plattform- und Zahlungsdiensten,

organisatorische Maßnahmen zur Beschränkung administrativer Zugriffe.

Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst und verbessert.

XXI. Rechte der betroffenen Person

Werden personenbezogene Daten von verarbeitet, sind die Nutzer „betroffene Person“ i.S.d. DSGVO und es stehen ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

1. Auskunftsrecht

Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten verarbeitet werden.

Liegt eine solche Verarbeitung vor, kann von dem Verantwortlichen über folgende Informationen Auskunft verlangt werden:

(1) die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;

(2) die Kategorien von personenbezogenen Daten, welche verarbeitet werden;

(3) die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen betreffende personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;

(4) die geplante Dauer der Speicherung der personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;

(5) das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

(6) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

(7) alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;

(8) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Es besteht das Recht, Auskunft darüber zu verlangen, ob die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang kann verlangt werden, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

2. Recht auf Berichtigung

Es besteht ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Einschränkung der Verarbeitung

Unter den folgenden Voraussetzungen kann die Einschränkung der Verarbeitung der personenbezogenen Daten verlangt werden:

(1) wenn Sie die Richtigkeit der personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;

(2) die Verarbeitung unrechtmäßig ist und die Löschung der personenbezogenen Daten abgelehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt wird;

(3) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, oder

(4) wenn ein Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt wurde und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber den Gründen der betroffenen Person überwiegen.

Wurde die Verarbeitung der personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit einer Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wird die betroffene Person von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.

4. Recht auf Löschung

(a) Löschungspflicht

Es besteht ein Recht von dem Verantwortlichen zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

(1) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

(2) Die Einwilligung wird widerrufen, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

(3) Es wird gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung eingelegt und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder es wird gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung eingelegt.

(4) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

(5) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

(6) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

(b) Information an Dritte

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass betroffene Personen von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

(c) Ausnahmen

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

(1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

(2) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(3) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;

(4) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

(5) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Recht auf Unterrichtung

Wurde das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Es besteht gegenüber dem Verantwortlichen das Recht, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit

Es besteht das Recht, die personenbezogenen Daten, die dem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem besteht das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

(1) die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und

(2) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts besteht ferner das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden.

Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

7. Widerspruchsrecht

Es besteht das Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergibt, jederzeit gegen die Verarbeitung der personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden die personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, besteht das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Wurde der Verarbeitung für Zwecke der Direktwerbung widersprochen, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

Es besteht die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG –das Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Es besteht das Recht, die datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Es besteht das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung

(1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

(2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder

(3) mit ausdrücklichen Einwilligung der betroffenen Person erfolgt.

Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden.

Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs besteht das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat des Aufenthaltsorts der betroffenen Person, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn die Ansicht besteht, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Stand: 2026-05-20

Stand: 2026-06-02

↓ Diese Erklärung als PDF herunterladen