Datenschutzerklärung

1. Wer für deine Daten verantwortlich ist (Verantwortlicher)

Der für die in dieser Erklärung beschriebene Verarbeitung Verantwortliche ist:

Lorenzo Pironti (Einzelunternehmer / ditta individuale), Viale Partigiani d'Italia 35, 43123 Parma (PR), Italien. USt-IdNr.: IT03106290343.

Für alle Datenschutzangelegenheiten, einschließlich der Ausübung deiner Betroffenenrechte, kannst du uns unter privacy@tcgnotify.com kontaktieren.

Datenschutzbeauftragter: nicht bestellt (wir sind nach Art. 37 DSGVO nicht zur Bestellung eines DSB verpflichtet). EU-Vertreter (Art. 27 DSGVO): nicht zutreffend, da der Verantwortliche in der Europäischen Union (Italien) niedergelassen ist. Vertreter im Vereinigten Königreich: nicht zutreffend.

2. Geltungsbereich: Website versus App

Diese Erklärung deckt zwei sehr unterschiedliche Bereiche ab, und die Datenpraktiken unterscheiden sich entsprechend.

Website (minimal). Diese Marketing-Website wurde nach dem Grundsatz „Datenschutz zuerst“ konzipiert. Sie verwendet keine Analyse-Tools, keine Werbung, keine Tracking-Pixel und kein Profiling durch Dritte. Das einzige Cookie, das sie setzen kann, ist ein rein funktionales Cookie für die Spracheinstellung, und das auch nur, wenn du die Sprache manuell änderst (siehe die Cookie-Richtlinie).

App. Die iOS-App von TCGNotify ist ein kontobasiertes Produkt, das dir hilft, Sammlungen von Sammelkarten, Preise und Gradings zu verfolgen und Benachrichtigungen zu erhalten. Dazu verarbeitet die App zwangsläufig mehr personenbezogene Daten, die alle nachstehend beschrieben werden.

3. Daten, die wir über die Website verarbeiten

Wir verwenden auf dieser Website keinerlei Technologien zur Analyse, Werbung, zum Tracking oder Profiling.

Spracheinstellung. Wenn du die Sprache der Website manuell wechselst, speichern wir deine Wahl in einem rein funktionalen Cookie namens NEXT_LOCALE. Es enthält ausschließlich einen Sprachcode (zum Beispiel „en“ oder „de“), enthält keine personenbezogenen Daten und dient ausschließlich dazu, deine Präferenz zu speichern. Ein solches Cookie wird nur gesetzt, wenn du die Sprache aktiv änderst.

Sicherheit und Auslieferung (Cloudflare). Unsere Website und Infrastruktur werden über Cloudflare bereitgestellt, das als Content-Delivery-Network und Web-Application-Firewall fungiert. Im Rahmen der sicheren Auslieferung von Inhalten kann Cloudflare vorübergehend technische Verbindungsdaten wie deine IP-Adresse und Anfrage-Metadaten verarbeiten und zwingend erforderliche Sicherheits-Cookies setzen, um vor Angriffen und Missbrauch zu schützen. Rechtsgrundlage ist unser berechtigtes Interesse daran, den Dienst sicher und verfügbar zu halten (Art. 6 Abs. 1 lit. f DSGVO).

Wir erstellen keine Nutzerprofile aus Website-Besuchen und kombinieren keine Website-Daten mit App-Daten.

4. Datenkategorien, die wir in der App verarbeiten

Je nachdem, wie du die App nutzt, verarbeiten wir möglicherweise die folgenden Kategorien personenbezogener Daten:

Konto und Profil: deinen Anzeigenamen, deine Profileinstellungen und Authentifizierungskennungen des von dir gewählten Anmeldeanbieters (Apple, Google oder Discord).

E-Mail-Adresse: in verschlüsselter Form gespeichert und zusätzlich mittels eines Einweg-Hashes indexiert, damit wir ein Konto nachschlagen können, ohne eine Klartextkopie für alltägliche Abfragen verfügbar zu halten. Wenn du dich mit Apple anmeldest und „Hide My Email“ wählst, ist die uns übermittelte Adresse eine anonymisierte Weiterleitungsadresse unter @privaterelay.appleid.com — in diesem Fall haben wir keinen Zugriff auf deine echte E-Mail-Adresse und alle Mitteilungen laufen über den Weiterleitungsdienst von Apple.

Geräte-Push-Tokens: in verschlüsselter Form gespeichert, damit wir die von dir aktivierten Benachrichtigungen zustellen können.

Sammlungsdaten: die Karten, die du deiner Sammlung hinzufügst, und die Exemplare, die du besitzt, einschließlich Zustand, Menge, Beleg- oder Kaufnachweisbildern und deinen persönlichen Notizen.

Wunschliste: die Karten, die du erwerben möchtest.

Käufe und Portfolio: Kaufpreise, Daten und Portfolio-Bewertungsdaten, die du erfasst.

Scan-Bilder und Embeddings für maschinelles Lernen: Fotos, die du aufnimmst, um Karten zu identifizieren oder zu graden, sowie die daraus für den Abgleich abgeleiteten numerischen Merkmalsvektoren (Embeddings).

Social-Links: alle externen Profil- oder Marktplatz-Links, die du hinzufügen möchtest.

Audit- und Sicherheitsprotokolle: Aufzeichnungen sicherheitsrelevanter Ereignisse, die deine IP-Adresse, deinen User-Agent, Zeitstempel und die durchgeführte Aktion enthalten können und zum Schutz deines Kontos und unseres Dienstes geführt werden.

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten deine personenbezogenen Daten zu den folgenden Zwecken und auf den folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO:

Zur Bereitstellung des Dienstes (Vertrag — Art. 6 Abs. 1 lit. b). Erstellung und Pflege deines Kontos, Speicherung deiner Sammlung und Wunschliste, Berechnung von Portfoliowerten und Bereitstellung der von dir angeforderten Kernfunktionen.

Um den Dienst sicher und zuverlässig zu halten (berechtigtes Interesse — Art. 6 Abs. 1 lit. f). Führung von Audit-Protokollen, Verhinderung von Betrug und Missbrauch, Fehlerbehebung und Schutz unserer Infrastruktur. Du kannst dieser Verarbeitung widersprechen, wie in deinen Rechten weiter unten beschrieben.

Zum Versand von Benachrichtigungen (Vertrag und Einwilligung). Zentrale, dienstbezogene Benachrichtigungen sind Teil der Bereitstellung der App. Optionale Benachrichtigungskanäle sind pro Kanal abwählbar, und die Tausch-Matching-Funktion ist ausdrücklich opt-in. Soweit wir uns auf eine Einwilligung stützen (Art. 6 Abs. 1 lit. a), kannst du diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung vor dem Widerruf berührt wird.

Zur Identifizierung und Bewertung von Karten anhand deiner Scans. Verarbeitung von Scan-Bildern und Embeddings, um Erkennung und Grading-Schätzungen zu ermöglichen, als Teil der Bereitstellung der von dir genutzten Funktionen.

Wir betreiben keine Werbung, kein Ad-Targeting und keine automatisierte Entscheidungsfindung, die rechtliche oder ähnlich erhebliche Auswirkungen auf dich hat.

6. Auftragsverarbeiter und Empfänger

Wir nutzen eine kleine Anzahl sorgfältig ausgewählter Auftragsverarbeiter zum Betrieb des Dienstes. Wir verkaufen deine personenbezogenen Daten nicht und geben sie nicht an Werbetreibende weiter. Wir verwenden derzeit keine Analyseanbieter von Drittanbietern, keine Werbenetzwerke und keinen Zahlungsdienstleister.

Apple Inc. — Zweck: Anmelden mit Apple sowie Push-Benachrichtigungen über APNs. Verarbeitete Daten: Apple-ID-Kennung; dein Name (nur wenn du ihn beim ersten Anmelden teilst); E-Mail-Adresse (deine echte Apple-ID-Adresse oder, wenn du „Hide My Email“ wählst, eine anonymisierte Weiterleitungsadresse unter @privaterelay.appleid.com — in diesem Fall haben wir keinen Zugriff auf die echte E-Mail und alle Mitteilungen laufen über den Weiterleitungsdienst von Apple); Geräte-Push-Tokens. Ort der Verarbeitung: USA. Rechtsgrundlage für die Übermittlung: EU-Standardvertragsklauseln und, soweit anwendbar, das EU-US Data Privacy Framework. Datenschutzerklärung: https://www.apple.com/legal/privacy/.

Google LLC — Zweck: Anmelden mit Google. Verarbeitete Daten: Google-Konto-Kennung, Name, E-Mail-Adresse und (soweit verfügbar) Profilbild. Ort der Verarbeitung: USA. Rechtsgrundlage für die Übermittlung: EU-Standardvertragsklauseln und das EU-US Data Privacy Framework. Datenschutzerklärung: https://policies.google.com/privacy.

Discord Inc. — Zweck: OAuth-Anmeldung und optionale Webhook-Benachrichtigungen. Verarbeitete Daten: Discord-Konto-Kennung, Benutzername, E-Mail-Adresse; für die von dir konfigurierten Webhooks die Benachrichtigungen, die wir an die Webhook-URL senden. Ort der Verarbeitung: USA. Rechtsgrundlage für die Übermittlung: EU-Standardvertragsklauseln. Datenschutzerklärung: https://discord.com/privacy.

Resend, Inc. — Zweck: Versand transaktionaler E-Mails (Kontobestätigung, Passwort-Zurücksetzung, Konto- und Service-Mitteilungen). Verarbeitete Daten: E-Mail-Adresse, Name (sofern angegeben) und Inhalt der transaktionalen Nachricht. Ort der Verarbeitung: USA. Rechtsgrundlage für die Übermittlung: EU-Standardvertragsklauseln. Datenschutzerklärung: https://resend.com/legal/privacy-policy.

Cloudflare, Inc. — Zweck: Content-Delivery-Network, Web-Application-Firewall und sicherer Tunnel für unsere Infrastruktur. Verarbeitete Daten: Verbindungs-Metadaten (IP-Adresse, Request-Header, User-Agent) auf vorübergehender Basis zur Erkennung und Eindämmung von Missbrauch sowie zwingend erforderliche Sicherheits-Cookies. Ort der Verarbeitung: weltweit verteiltes Edge-Netzwerk einschließlich EWR und USA. Rechtsgrundlage für die Übermittlung: EU-Standardvertragsklauseln, soweit anwendbar. Datenschutzerklärung: https://www.cloudflare.com/privacypolicy/.

Selbst gehosteter Objektspeicher (MinIO) — Zweck: Speicherung der von dir hochgeladenen Bilder (Belege, Scans). Betrieben auf unserer eigenen Infrastruktur innerhalb des EWR. Kein Drittauftragsverarbeiter involviert; Bilder werden im Ruhezustand verschlüsselt gespeichert und über kurzlebige, vorab signierte URLs ausgeliefert.

Selbst gehostete Observability (OpenTelemetry) — Zweck: betriebliches Logging und Tracing für Fehlerbehebung und Incident Response. Betrieben auf unserer eigenen Infrastruktur innerhalb des EWR. Keine SaaS-Analytics von Drittanbietern.

7. Wie lange wir deine Daten aufbewahren (Speicherdauer)

Bei der Kontolöschung gilt eine 30-tägige Kulanzfrist für die vorläufige Löschung (Soft-Delete). Wenn du die Löschung beantragst, wird dein Konto sofort deaktiviert und zur endgültigen Entfernung vorgemerkt. Nach 30 Tagen werden deine Daten durch kaskadierende Löschung dauerhaft aus unseren Systemen gelöscht, mit Ausnahme der unten beschriebenen begrenzten Aufzeichnungen.

Bildlinks sind kurzlebig. Der Zugriff auf deine gespeicherten Bilder wird über vorab signierte URLs gewährt, die nach 15 Minuten ablaufen; die Bilder selbst bleiben bis zur Löschung verschlüsselt gespeichert.

Audit- und Sicherheitsprotokolle werden bis zu 7 Jahre (die Verknüpfung mit deiner Identität wird nach der Löschung deines Kontos unwiderruflich anonymisiert) aufbewahrt, um unseren Sicherheits- und gesetzlichen Pflichten nachzukommen, und können nach der Kontolöschung im erforderlichen Umfang aufbewahrt werden (siehe die Seite zur Datenlöschung).

Soweit wir gesetzlich verpflichtet sind, bestimmte Aufzeichnungen für einen längeren Zeitraum aufzubewahren, bewahren wir nur das auf, was das Gesetz verlangt, und nicht länger als notwendig.

8. Deine Rechte

Vorbehaltlich der Bedingungen der DSGVO hast du das Recht auf:

Auskunft und Erhalt einer Kopie (übertragbarer Export) deiner personenbezogenen Daten;

Berichtigung unrichtiger oder unvollständiger Daten;

Löschung deiner Daten („Recht auf Vergessenwerden“);

Einschränkung der Verarbeitung unter bestimmten Umständen;

Datenübertragbarkeit, um deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten;

Widerspruch gegen die Verarbeitung auf Grundlage unserer berechtigten Interessen; und

Widerruf der Einwilligung jederzeit, soweit die Verarbeitung auf einer Einwilligung beruht, ohne dass die vorherige Verarbeitung berührt wird.

Wie du deine Rechte ausübst. Die meisten dieser Rechte kannst du direkt in der App ausüben (einschließlich Konto-Export und -Löschung). Du kannst uns auch unter privacy@tcgnotify.com kontaktieren. Möglicherweise müssen wir deine Identität überprüfen, bevor wir einer Anfrage nachkommen.

Recht auf Beschwerde. Du hast außerdem das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen, insbesondere im EU-/EWR-Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. In Italien ist die zuständige Behörde der „Garante per la protezione dei dati personali“ (Piazza Venezia 11, 00187 Rom; www.garanteprivacy.it). Wenn du dich im Vereinigten Königreich befindest, kannst du dich stattdessen an das Information Commissioner's Office (ICO) des Vereinigten Königreichs wenden.

9. Internationale Datenübermittlungen

Einige unserer Auftragsverarbeiter (wie Apple, Google, Discord, Resend und Cloudflare) verarbeiten Daten möglicherweise außerhalb des Europäischen Wirtschaftsraums. Soweit personenbezogene Daten in ein Land übermittelt werden, für das kein Angemessenheitsbeschluss vorliegt, stützen wir uns auf geeignete Garantien gemäß Kapitel V DSGVO, insbesondere die Standardvertragsklauseln (SCC) der Europäischen Kommission und, soweit anwendbar, das EU-US Data Privacy Framework (DPF).

Weitere Informationen zu diesen Garantien kannst du anfordern, indem du uns unter privacy@tcgnotify.com kontaktierst.

10. Kinder

Die App richtet sich nicht an Kinder. Du musst mindestens 16 Jahre alt sein, um ein Konto zu erstellen, im Einklang mit Art. 8 DSGVO (vorbehaltlich eines niedrigeren Alters, das dein Mitgliedstaat festlegt).

Wenn du glaubst, dass ein Kind uns ohne entsprechende Einwilligung personenbezogene Daten übermittelt hat, kontaktiere bitte privacy@tcgnotify.com, und wir werden Schritte zu deren Löschung einleiten.

11. Wie wir deine Daten schützen (Sicherheit)

Wir wenden dem Risiko angemessene technische und organisatorische Maßnahmen an, darunter: Verschlüsselung sensibler Daten im Ruhezustand (wie E-Mail-Adressen und Geräte-Tokens); passwortlose und föderierte Authentifizierung (Anmelden mit Apple, Google und Discord), sodass wir niemals Passwörter speichern; Einweg-Hashing für E-Mail-Abfragen; kurzlebige, vorab signierte URLs für den Bildzugriff; sowie Zugriffskontrollen und Protokollierung in unserer gesamten Infrastruktur.

Keine Methode der Übertragung oder Speicherung ist vollständig sicher, aber wir setzen uns dafür ein, deine Daten zu schützen und umgehend auf jeden Vorfall zu reagieren.

12. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wenn wir wesentliche Änderungen vornehmen, aktualisieren wir das Datum „zuletzt aktualisiert“ und benachrichtigen dich gegebenenfalls in der App.

Die englischsprachige Fassung ist die maßgebliche Version; Übersetzungen werden nur aus Gründen der Bequemlichkeit bereitgestellt.