Datenschutzerklärung

2. Welche Daten verarbeiten wir?

2.1 Nutzungsdaten (Website/App)

• IP-Adresse (ggf. verkürzt/verschlüsselt gespeichert; Details siehe Abschnitt 4)
• Datum und Uhrzeit, aufgerufene Seiten, Referrer-URL
• Browser-/Geräteinformationen (z. B. User-Agent), Betriebssystem
• Log-/Eventdaten (z. B. Login-Versuche, Sicherheitsereignisse)

2.2 Kontodaten

• E-Mail-Adresse, Nutzername
• Passwort (ausschließlich als sicherer Hash, nicht im Klartext)
• Kontostatus, Zeitpunkte der Registrierung/Änderungen

2.3 Marktplatz- und Transaktionsdaten

• Listings/Angebote (Artikelbeschreibung, Bilder, Preis-/Auktionsparameter)
• Gebote (Betrag, Zeitpunkt, Listing-ID; verdeckt gegenüber anderen Nutzern)
• Zuschlags-/Abwicklungsinformationen (z. B. Zuschlag erteilt/abgelehnt)
• Kommunikations-/Supportdaten (wenn Sie uns kontaktieren)

2.4 MaxxCoins (Einstellpunkte)

• MaxxCoins-Saldo, Paketkäufe, Abbuchungen je Veröffentlichung
• Startguthaben (5 MaxxCoins) und ggf. Missbrauchs-/Sicherheitsmerkmale

2.5 Zahlungsdaten (bei Kauf von MaxxCoins-Paketen)

• Notwendige Zahlungs-/Bestelldaten (z. B. Betrag, Währung, Bestell-ID, Status)
• Bei PayPal/Stripe werden zur Zahlungsabwicklung erforderliche Daten zwischen Ihnen und dem jeweiligen Zahlungsdienst ausgetauscht (siehe Abschnitt 6)

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Rechtsgrundlagen ergeben sich insbesondere aus Art. 6 Abs. 1 DSGVO (Vertrag, gesetzliche Pflicht, berechtigtes Interesse, Einwilligung).

Für Cookies und vergleichbare Endgerätezugriffe gelten zusätzlich die Anforderungen des TDDDG (vormals TTDSG), insbesondere § 25. :contentReference[oaicite:2]{index=2}

4. Sicherheitsfunktionen: IP-Login-Schutz, 2FA, verschlüsselte IP-Speicherung

4.1 Optionaler IP-Login-Schutz (vom Nutzer aktivierbar)

Nutzer können optional einen IP-Login-Schutz aktivieren. Wenn aktiv, ist ein Login nur von der/den vom Nutzer hinterlegten IP-Adresse(n) möglich. Dies dient der Absicherung des Kontos gegen unbefugte Zugriffe.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Sicherheitsfunktion) und/oder lit. f DSGVO (Sicherheit).
• Deaktivierung: Nutzer können den IP-Login-Schutz selbst aktivieren. Eine Deaktivierung/Anpassung (z. B. nach Umzug/Providerwechsel) kann aus Sicherheitsgründen durch den Admin vorgenommen werden; hierbei können zusätzliche Prüfungen verlangt werden (z. B. 2FA/Identitätsprüfung).

4.2 Zwei-Faktor-Authentifizierung (2FA)

Wir unterstützen 2FA (z. B. TOTP/Authenticator-App). Bei Aktivierung verarbeiten wir die hierfür erforderlichen Sicherheitsdaten (z. B. 2FA-Status, technische 2FA-Merkmale). 2FA dient dem Schutz des Kontos und der Plattform.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bereitgestellte Sicherheitsfunktion) und/oder lit. f DSGVO (Sicherheit).

4.3 Verschlüsselte Speicherung von IP-Adressen (Verkäufer und Käufer)

IP-Adressen von Verkäufern und Käufern können zu Sicherheits- und Rechtsdurchsetzungszwecken gespeichert werden. Wir speichern diese IP-Adressen verschlüsselt. Eine Entschlüsselung ist nur durch den Admin möglich und wird durch Admin-2FA abgesichert.

• Zweck: Missbrauchsprävention, Nachvollziehbarkeit sicherheitsrelevanter Ereignisse, Beweissicherung bei rechtlichen Problemen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsabwehr, Rechtsdurchsetzung) und ggf. Art. 6 Abs. 1 lit. c DSGVO bei rechtlicher Verpflichtung zur Herausgabe/Beweissicherung.

4.4 Technische und organisatorische Maßnahmen (TOM)

Wir setzen angemessene TOM ein (z. B. Transportverschlüsselung/TLS, Zugriffsbeschränkungen, Protokollierung, Rollen-/Rechtemanagement, Passwort-Hashing, 2FA-Mechanismen, Verschlüsselung sensibler Daten, Backup- und Wiederherstellungsprozesse).

5. Cookies und Endgerätezugriffe (TDDDG)

5.1 Grundsatz

Cookies und vergleichbare Technologien, die Informationen auf Ihrem Endgerät speichern oder auslesen, unterliegen in Deutschland § 25 TDDDG (vormals TTDSG). Für nicht unbedingt erforderliche Cookies ist grundsätzlich eine Einwilligung erforderlich; unbedingt erforderliche Cookies können ohne Einwilligung eingesetzt werden. :contentReference[oaicite:3]{index=3}

5.2 Technisch notwendige Cookies (ohne Einwilligung)

Wir verwenden technisch notwendige Cookies/Storage-Mechanismen, um den Betrieb der Plattform zu ermöglichen, z. B.:

• Session-/Login-Cookies (Authentifizierung, „angemeldet bleiben“)
• Sicherheits-Cookies (CSRF-Schutz, Missbrauchs-/Rate-Limit-Merkmale)
• Einstellungen, die unmittelbar für die Nutzung erforderlich sind (z. B. Sprache, Cookie-Banner-Status)

Hinweis: Sie haben angegeben, dass „Nutzercookies“ erst mit Kontoerstellung gesetzt werden und für die technische Funktion erforderlich sind; diese behandeln wir als technisch notwendig, soweit sie tatsächlich für Login/Session/Sicherheit erforderlich sind.

5.3 Keine Werbe- oder Tracking-Cookies (derzeit)

Derzeit setzen wir keine Werbe-, Tracking- oder Marketing-Cookies für personalisierte Werbung ein. Falls wir künftig solche Dienste einsetzen, holen wir vorab eine Einwilligung ein und aktualisieren diese Datenschutzerklärung.

6. Zahlungsabwicklung (PayPal / Stripe / Überweisung)

6.1 Allgemeines

Zahlungen sind nur für den Erwerb von MaxxCoins-Paketen an uns vorgesehen. Bei der Zahlungsabwicklung werden Daten verarbeitet, die zur Durchführung der Zahlung erforderlich sind (z. B. Betrag, Bestell-ID, Status).

6.2 PayPal

Wenn Sie PayPal nutzen, werden zur Zahlung erforderliche Daten an PayPal übermittelt. PayPal verarbeitet Daten in der Regel auch als eigener Verantwortlicher (insbesondere PayPal (Europe) S.à r.l. et Cie, S.C.A. im EWR). :contentReference[oaicite:4]{index=4}

Bitte beachten Sie zusätzlich die Datenschutzhinweise von PayPal.

6.3 Stripe

Wenn Sie per Karte über Stripe bezahlen, werden zur Zahlung erforderliche Daten an Stripe übermittelt. Stripe kann je nach Verarbeitungsvorgang als Verantwortlicher und/oder Auftragsverarbeiter agieren. :contentReference[oaicite:5]{index=5}

Bitte beachten Sie zusätzlich die Datenschutzhinweise von Stripe.

6.4 SEPA-Überweisung

Bei Überweisung verarbeiten wir die hierfür erforderlichen Informationen (z. B. Zahlungseingang, Verwendungszweck/Referenz, Betrag, Datum), um MaxxCoins gutzuschreiben und Buchungen zuzuordnen.

7. Empfänger, Kategorien von Empfängern, Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, wenn dies für die Zwecke erforderlich ist, eine Einwilligung vorliegt oder eine rechtliche Verpflichtung besteht.

7.1 Typische Empfängerkategorien

• Hosting-/Rechenzentrumsdienstleister (Betrieb der Server, Datenbanken, Backups) – als Auftragsverarbeiter
• E-Mail-/Supportdienstleister (Versand von Systemmails, Support-Kommunikation) – als Auftragsverarbeiter
• Zahlungsdienstleister (PayPal, Stripe) – je nach Dienst als eigener Verantwortlicher und/oder Auftragsverarbeiter
• Banken (bei Überweisung)
• Behörden/Gerichte/Anwälte, wenn wir hierzu verpflichtet sind oder dies zur Rechtsdurchsetzung erforderlich ist

7.2 Auftragsverarbeitungsverträge

Soweit Dienstleister in unserem Auftrag personenbezogene Daten verarbeiten, schließen wir mit diesen – sofern erforderlich – Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

8. Drittlandtransfer (z. B. USA)

Bei Nutzung bestimmter Dienstleister (insbesondere globaler Zahlungs-/Cloudanbieter) kann eine Verarbeitung außerhalb des EWR nicht ausgeschlossen werden. Übermittlungen in die USA können – abhängig vom konkreten Anbieter – auf die Angemessenheitsentscheidung zum EU-U.S. Data Privacy Framework gestützt werden, sofern der jeweilige Empfänger zertifiziert ist, oder andernfalls auf geeignete Garantien (z. B. Standardvertragsklauseln). :contentReference[oaicite:6]{index=6}

9. Speicherdauer, Löschung, Konto-Löschung

9.1 Grundsatz

Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

9.2 Ihre Regel: 30 Tage Aufbewahrung nach Löschung (mit Ausnahme)

1. Regelfall: Wenn ein Nutzer sein Konto über „Mein Bereich“ löscht, werden die personenbezogenen Daten aus rechtlichen Gründen grundsätzlich noch 30 Tage aufbewahrt und anschließend gelöscht/anonymisiert, sofern keine längeren gesetzlichen Aufbewahrungspflichten (z. B. steuer-/handelsrechtliche Pflichten bei entgeltlichen Vorgängen) entgegenstehen.
2. Sofortlöschung-Ausnahme: Wenn der Nutzer weder Artikel zum Verkauf angeboten noch auf ein Angebot geboten hat, werden die Daten bei Konto-Löschung sofort gelöscht (soweit technisch möglich und keine Missbrauchs-/Sicherheitsgründe zwingend entgegenstehen).

9.3 Log- und Sicherheitsdaten

Sicherheitsrelevante Logdaten (z. B. Login-Versuche, 2FA-/IP-Schutz-Ereignisse) werden grundsätzlich nur so lange gespeichert, wie dies zur Sicherstellung der IT-Sicherheit und zur Missbrauchsabwehr erforderlich ist; in Ihrem Konzept regelmäßig bis zu 30 Tage, sofern kein sicherheitsrelevanter Vorfall eine längere Aufbewahrung zur Aufklärung erfordert.

10. Ihre Rechte (Betroffenenrechte)

Sie haben – soweit die gesetzlichen Voraussetzungen vorliegen – folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

Informationspflichten und Transparenz folgen insbesondere aus Art. 13 DSGVO. :contentReference[oaicite:7]{index=7}

11. Keine Profilbildung / keine personalisierte Werbung

Wir verwenden keine Profilbildung zu Werbe- oder Vermarktungszwecken. Profildaten werden nicht für personalisierte Empfehlungen genutzt. „Weitere Artikel“ unter Produkten werden nach Ihrer Vorgabe zufällig angezeigt.

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie ähnlich erheblich beeinträchtigt.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn sich die Plattform, eingesetzte Dienste oder rechtliche Anforderungen ändern. Es gilt die jeweils auf maxxbet.de veröffentlichte Fassung.