Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO ist:

Wir haben keinen Datenschutzbeauftragten bestellt, da wir gesetzlich nicht zu dessen Bestellung verpflichtet sind. Bei Fragen zum Datenschutz wenden Sie sich bitte unmittelbar an die in Ziffer 01 genannten Kontaktdaten.

Account-Daten. E-Mail-Adresse und Authentifizierungs-Identifier von Firebase, sobald Sie sich über Google anmelden. Wir verarbeiten diese Daten zur Bereitstellung Ihres Nutzerkontos.

Anmeldung über Google (Firebase Authentication). Bei der Anmeldung über „Sign in with Google“ werden Daten zwischen Ihrem Browser und Google ausgetauscht. Google übermittelt uns Ihre verifizierte E-Mail-Adresse sowie eine eindeutige Nutzer-ID. Wir erhalten keinen Zugriff auf Ihr Google-Passwort. Die Nutzung dieser Anmeldemethode ist freiwillig; eine alternative Anmeldung wird derzeit nicht angeboten.

eBay-Verbindungsdaten. Ein verschlüsselter OAuth-Zugriffs- und Refresh-Token für Ihr eBay-Verkäuferkonto, Ihr eBay-Verkäufername sowie die von Ihnen aktivierten eBay-Marktplatz-Identifier. Tokens werden mit AES-256-GCM verschlüsselt gespeichert.

Angebots- und Versanddaten. Eine Spiegelung der Angebote (Listings) auf den von Ihnen aktivierten Marktplätzen (Titel, Preis, Bild-URL, Identifier) sowie eine Aufzeichnung jedes in Ihrem Auftrag versendeten Angebots (eBay-Käufername, Angebots-Identifier, Rabatt, Status, Zeitstempel). Diese Daten stammen aus den öffentlichen APIs von eBay.

Abrechnungsdaten. Stripe-Kunden-Identifier, Stripe-Zahlungsmethoden-Referenz (Token), Kontostatus sowie ein Verlauf monatlicher Abrechnungen (abgeschlossene Angebote, Nettoumsatz, berechnete Gebühr). Vollständige Zahlungs- und Kreditkartendaten werden nicht von uns gespeichert; diese liegen ausschließlich bei Stripe.

Server- und Logdaten. Bei jedem Aufruf unseres Dienstes werden technisch erforderliche Daten an unseren Hoster übermittelt: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Ressource, übermittelte Datenmenge, HTTP-Statuscode, Referer-URL sowie Browser- und Betriebssystem-Information. Diese Daten werden in den Server-Logs des Hosters für maximal 30 Tage gespeichert und anschließend gelöscht oder anonymisiert.

Betriebsbezogene Logdaten. Logs unserer Hintergrundprozesse (mit Pseudonymisierung personenbezogener Bezüge), Fehlermeldungen einschließlich Stack-Traces und der URL, unter der ein Fehler aufgetreten ist, sowie grundlegende Anfrage-Metadaten. Wir setzen keine Web-Analyse- oder Marketing-Tracker ein.

Wir verarbeiten die unter Ziffer 03 genannten Daten zu folgenden Zwecken:

• Bereitstellung des Dienstes. Betrieb Ihres Kontos, Versand von Angeboten und Abwicklung von Zahlungen. Rechtsgrundlage: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.
• Betrieb und Sicherheit des Dienstes. Fehlerüberwachung, Missbrauchs- und Betrugsprävention sowie Sicherstellung des ordnungsgemäßen Funktionierens unserer API-Integrationen. Rechtsgrundlage: berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO am Betrieb eines verfügbaren, sicheren und zuverlässigen Dienstes.
• Erfüllung gesetzlicher Pflichten. Steuerliche Aufzeichnungs- und Aufbewahrungspflichten. Rechtsgrundlage: rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO.
• Erfüllung von Drittanbieter-Vorgaben. Bearbeitung der von eBay vorgegebenen Webhooks zur Löschung von Marketplace-Konten zur Aufrechterhaltung der Plattformintegration. Rechtsgrundlage: berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

Auftragsverarbeiter. Folgende Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag und ausschließlich nach unseren Weisungen:

• Google Ireland Ltd. / Google LLC. Firebase Authentication, Firebase Data Connect (verwaltetes PostgreSQL auf Cloud SQL), Cloud Run, Cloud Logging, App Hosting. Die Daten werden in der EU-Region europe-west4 (Niederlande) gespeichert. Vertragliche Grundlage: DSGVO-konformer Auftragsverarbeitungsvertrag sowie EU-Standardvertragsklauseln für Übermittlungen an Google LLC (USA).
• Functional Software, Inc. (Sentry). Fehlerüberwachung. Erhält Stack-Traces und Anfragekontext bei auftretenden Fehlern. Datenübermittlung in die USA auf Grundlage des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework; ergänzend Standardvertragsklauseln.

Mit den vorstehend genannten Auftragsverarbeitern haben wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

Eigenverantwortliche Empfänger. Folgende Dritte erhalten Daten als selbständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO:

• Stripe Payments Europe, Ltd. (Irland), für die Zahlungsabwicklung. Stripe verarbeitet vollständige Zahlungs- und Kreditkartendaten als eigener Verantwortlicher; wir erhalten lediglich eine Kunden-ID, eine Zahlungsmethoden-Referenz und den Abrechnungsstatus. Übermittlung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• eBay Inc. / eBay GmbH als Quelle der Listing- und Watcher-Daten. Auf Grundlage des von Ihnen über eBays Einwilligungsdialog erteilten OAuth-Tokens rufen wir die eBay-APIs in Ihrem Auftrag auf, bis Sie die Verbindung trennen. eBay verarbeitet Marktplatzdaten als eigener Verantwortlicher. Übermittlung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Anwendungsdaten werden in EU-Rechenzentren gespeichert (Niederlande, europe-west4). Einzelne Empfänger können Daten in die USA übermitteln. Soweit der Empfänger nach dem EU-US Data Privacy Framework zertifiziert ist (derzeit Google LLC und Functional Software, Inc.), erfolgt die Übermittlung auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission. Im Übrigen schließen wir mit den jeweiligen Empfängern EU-Standardvertragsklauseln ab.

Account- und eBay-Verbindungsdaten. Werden für die Dauer Ihres aktiven Kontos gespeichert. Bei Trennung der eBay-Verbindung löschen wir die Verbindungsdaten; bei Löschung Ihres Kontos sämtliche Daten.

Versandhistorie der Angebote. Aufbewahrung für die gesamte Dauer eines aktiven Kontos, unabhängig vom Tarif. Käufer-identifizierende Felder werden 30 Tage nach Zuordnung eines Angebots zu einer Bestellung automatisch anonymisiert.

Abrechnungsunterlagen. Stripe speichert Zahlungsdaten gemäß seiner eigenen Aufbewahrungsrichtlinie. Belege, die wir nach deutschem Steuerrecht aufzubewahren haben (in der Regel bis zu 10 Jahre gemäß §147 AO), werden für die gesetzlich vorgeschriebene Dauer auch nach Kontolöschung weiter aufbewahrt.

Server- und Logdaten. Server-Logs des Hosters werden für maximal 30 Tage aufbewahrt. Sentry-Fehlerberichte werden je nach Ereignistyp und aktuellem Sentry-Tarif zwischen 30 und 90 Tagen gespeichert.

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO); diese können Sie auch unmittelbar in der Anwendung unter Einstellungen → Konto löschen ausüben,
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht auf Widerspruch gegen eine Verarbeitung auf Grundlage eines berechtigten Interesses (Art. 21 DSGVO),
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung dieser Rechte genügt eine formlose E-Mail an support@kholodov.com. Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Sie können sich dabei an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden. Die für uns zuständige Behörde ist:

Wir verwenden ausschließlich technisch notwendige Cookies sowie ähnliche Speichermechanismen (z. B. localStorage, IndexedDB im Rahmen der Firebase-Authentifizierung), die für den Betrieb des Dienstes und das Aufrechterhalten Ihrer Anmeldung unbedingt erforderlich sind. Die Speicherung erfolgt auf Grundlage von §25 Abs. 2 Nr. 2 TDDDG; eine Einwilligung ist hierfür nicht erforderlich. Wir setzen keine Google Analytics, Meta Pixel oder sonstige Werbe- bzw. Tracking-Skripte Dritter ein.

eBay-OAuth-Tokens werden vor der Speicherung in der Datenbank mit AES-256-GCM verschlüsselt. Die Übertragung erfolgt ausschließlich über HTTPS. Der Datenbankzugriff ist auf das Service-Konto der Anwendung beschränkt. Die Mandantentrennung wird sowohl in den Datenbankabfragen (jeder Lese- und Schreibzugriff ist an die Identität des authentifizierten Nutzers gebunden) als auch auf Anwendungsebene durchgesetzt.

Wir kommen den Vorgaben des Marketplace Account Deletion / Closure Notification Workflow von eBay nach. Sobald uns eBay über die Löschung eines Kontos benachrichtigt, löschen wir vollständig sämtliche mit diesem Konto verbundenen Daten aus unseren Systemen, einschließlich Tokens, Listings, Versandhistorie und Abrechnungsdaten. Diese Verarbeitung erfolgt zur Erfüllung unserer Verpflichtungen aus dem eBay Developer Program sowie zur Wahrung des Rechts auf Löschung gemäß Art. 17 DSGVO.

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Der automatisierte Versand von Angeboten erfolgt ausschließlich auf Grundlage der von Ihnen festgelegten Regeln und entfaltet gegenüber Ihnen keine rechtliche Wirkung und beeinträchtigt Sie nicht in ähnlich erheblicher Weise.

Wir können diese Datenschutzerklärung anpassen, wenn sich der Funktionsumfang des Dienstes oder die rechtlichen Anforderungen ändern. Das Datum der letzten Aktualisierung am Anfang dieser Seite spiegelt jeweils die aktuell gültige Fassung wider. Wesentliche Änderungen werden mindestens 30 Tage vor Inkrafttreten im Dashboard bekanntgegeben.