Datenschutzerklärung

Stand: 09. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Colin Schweikert
Ostenbergstraße 113
44227 Dortmund
Deutschland
E-Mail: cardvault.info@web.de

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der App-Funktionen erforderlich ist oder du ausdrücklich eingewilligt hast. Die Verarbeitung erfolgt auf Basis der DSGVO, insbesondere Art. 6 Abs. 1 lit. b (Vertragserfüllung), Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f (berechtigtes Interesse).

3. Welche Daten wir erheben

3.1 Bei der Registrierung

Zur Kontoerstellung erheben wir: E-Mail-Adresse, Benutzername, Passwort (verschlüsselt gespeichert), optional einen Anzeigenamen. Diese Daten sind für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

3.2 Portfolio-Daten

Karten, die du deinem Portfolio hinzufügst, werden in deinem Konto gespeichert. Diese Daten gehören dir und werden ausschließlich zur Erbringung der App-Funktionen verarbeitet.

3.3 Karten-Scanner (KI-Analyse)

Wenn du den Karten-Scanner verwendest, wird das aufgenommene Bild zur Analyse an die Anthropic API (Anthropic, PBC, 548 Market St, San Francisco, CA 94104, USA) übermittelt. Das Bild wird ausschließlich für die einmalige Analyse verwendet und nicht dauerhaft gespeichert. Die Übermittlung in die USA erfolgt auf Basis der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.4 Zahlungsdaten

Bei Abschluss eines Pro-Abonnements werden Zahlungen über Stripe (Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA) abgewickelt. Wir selbst speichern keine Zahlungsdaten (Kartennummern, Bankdaten). Stripe verarbeitet diese Daten als eigenverantwortlicher Anbieter gemäß seiner eigenen Datenschutzrichtlinie (stripe.com/de/privacy). Die Übermittlung in die USA erfolgt auf Basis der Standardvertragsklauseln.

3.5 Push-Benachrichtigungen

Wenn du Preisalarme aktivierst, erheben wir mit deiner Einwilligung einen Expo-Push-Token deines Geräts. Dieser Token wird ausschließlich verwendet, um dir Preisalarme zuzustellen. Du kannst Push-Benachrichtigungen jederzeit in den Systemeinstellungen deines Geräts oder in der App deaktivieren; der Token wird beim Abmelden automatisch entfernt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.6 E-Mail-Kommunikation

Wir versenden transaktionale E-Mails (Passwort-Reset, Bestätigungen, Feedback-Antworten) über den Dienstleister Resend (Resend, Inc., 2261 Market Street #4990, San Francisco, CA 94114, USA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Übermittlung in die USA erfolgt auf Basis der Standardvertragsklauseln.

3.7 Technische Nutzungsdaten

Beim Betrieb der App können technische Daten anfallen (z.B. Fehlermeldungen, Geräteinformationen), die zur Fehlerdiagnose und Verbesserung der App verwendet werden. Server-Logs werden maximal 30 Tage aufbewahrt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Betrieb der App).

4. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen bzw. die als eigenverantwortliche Stellen handeln:

• Supabase, Inc. (1 Hacker Way, Menlo Park, CA 94025, USA) – Datenbank und Authentifizierung. Serverstandort: EU (Frankfurt, AWS eu-central-1). Datenübermittlung in die USA auf Basis der Standardvertragsklauseln.
• Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) – Zahlungsabwicklung. Eigenverantwortlicher Anbieter.
• Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA) – KI-Bildanalyse für den Karten-Scanner. Verarbeitung auf Basis von AVV.
• TCGPlayer, Inc. – Marktpreisdaten für Karten. Ausschließlich Abruf öffentlicher Preisdaten, keine personenbezogenen Daten übermittelt.
• eBay Inc. – Marktpreisdaten für Karten. Ausschließlich Abruf öffentlicher Preisdaten, keine personenbezogenen Daten übermittelt.
• Resend, Inc. (2261 Market Street #4990, San Francisco, CA 94114, USA) – Versand transaktionaler E-Mails (Passwort-Reset, Bestätigungen). Datenübermittlung in die USA auf Basis der Standardvertragsklauseln.
• Expo (650 Industries, Inc.) (San Francisco, CA, USA) – Push-Notification-Dienst für Preisalarme. Nur Push-Token wird verarbeitet. Datenübermittlung in die USA auf Basis der Standardvertragsklauseln.
• Railway Corp. (San Francisco, CA, USA) – Hosting der Backend-API. Datenübermittlung in die USA auf Basis der Standardvertragsklauseln.

5. Minderjährigenschutz

Die App ist für Nutzer ab 16 Jahren bestimmt. Personen unter 16 Jahren dürfen die App nur mit ausdrücklicher Zustimmung eines Erziehungsberechtigten nutzen (Art. 8 DSGVO). Sollten wir feststellen, dass Daten von Kindern unter 16 Jahren ohne elterliche Einwilligung verarbeitet wurden, werden diese unverzüglich gelöscht.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Kontodaten: bis zur Löschung des Nutzerkontos
• Zahlungsbelege: 10 Jahre (gesetzliche Aufbewahrungspflicht gem. § 147 AO, gespeichert bei Stripe)
• Technische Logs: maximal 30 Tage
• Scanner-Bilder: keine dauerhafte Speicherung

7. Deine Rechte

Du hast gemäß DSGVO folgende Rechte gegenüber dem Verantwortlichen:

• Auskunft (Art. 15 DSGVO): Welche Daten wir über dich gespeichert haben
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO): Löschung deiner Daten („Recht auf Vergessenwerden")
• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO): Herausgabe deiner Daten in maschinenlesbarem Format (in der App: Portfolio-Export als CSV)
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen auf berechtigtem Interesse basierte Verarbeitung
• Widerruf: Widerruf einer erteilten Einwilligung jederzeit mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte wende dich per E-Mail an: cardvault.info@web.de. Wir werden deine Anfrage innerhalb von 30 Tagen bearbeiten.

Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Aufsichtsbehörde für Nordrhein-Westfalen ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Kavalleriestraße 2–4, 40213 Düsseldorf
www.ldi.nrw.de

8. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS/HTTPS). Passwörter werden ausschließlich als gehashter Wert gespeichert. Der Datenbankzugriff ist auf autorisierte Systeme beschränkt. Wir treffen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz deiner Daten.

9. Kontolöschung

Du kannst dein Konto und alle zugehörigen Daten jederzeit über den Profil-Tab der App (Gefahrenzone → „Konto löschen") unwiderruflich löschen. Nach Bestätigung werden Portfolio, Watchlist, Drops, Preisalarme, Scan-Bewertungen und dein Nutzerprofil vollständig entfernt. Ein aktives Pro-Abonnement wird dabei automatisch gekündigt. Zahlungsbelege bleiben aus gesetzlichen Gründen (§ 147 AO, 10 Jahre) bei unserem Zahlungsdienstleister Stripe gespeichert. Wir selbst speichern keine Zahlungsdaten.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen oder unsere Datenverarbeitungspraktiken ändern. Die jeweils aktuelle Version ist unter cardvaultapp.com/privacy sowie in der App abrufbar. Bei wesentlichen Änderungen informieren wir dich per E-Mail oder In-App-Benachrichtigung.

11. Kontakt

Bei Fragen zum Datenschutz:
Colin Schweikert
Ostenbergstraße 113, 44227 Dortmund
E-Mail: cardvault.info@web.de