Datenschutzerklärung

Diese Erklärung informiert dich gemäß Art. 13 DSGVO über die Verarbeitung deiner personenbezogenen Daten bei der Nutzung der Pennywise-App und der Webseite pennywise.live.

Diese Erklärung ist als Erstfassung aus gängigen Mustertexten zusammengestellt und wird vor der Veröffentlichung im Play Store / App Store durch eine Anwaltskanzlei geprüft. Geschäftsangaben mit [TBD] werden vor der Veröffentlichung ergänzt.

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:
[TBD Firmenname / Inhaber]
[TBD Straße und Hausnummer]
[TBD Postleitzahl, Ort]
E-Mail: [TBD kontakt@pennywise.live]

Vollständige Kontaktangaben siehe Impressum.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer nur, soweit dies zur Bereitstellung einer funktionsfähigen App und unserer Inhalte erforderlich ist und du eingewilligt hast oder eine gesetzliche Grundlage es erlaubt.

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. für Analyse-Tracking).
• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung unseres Nutzungsvertrags (Konto, Auktionen, Käufe).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrungspflichten).
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Sicherheit, Betrugsabwehr und stabilem Betrieb.

3. Server-Logs

Bei jedem Zugriff auf unsere API verarbeitet unser Server automatisch Informationen, die dein Endgerät übermittelt:

• IP-Adresse (gekürzt bzw. nach 14 Tagen rotiert)
• Datum und Uhrzeit
• aufgerufener Endpunkt + HTTP-Methode
• HTTP-Statuscode
• User-Agent (App-Version, Plattform)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Diese Daten dienen der technischen Bereitstellung, Sicherheit und Missbrauchserkennung. Sie werden nicht mit anderen Datenquellen zusammengeführt.

4. Anmeldung und Konto (WorkOS AuthKit)

Für Registrierung und Anmeldung nutzen wir WorkOS AuthKit (WorkOS, Inc., 350 Mission Street, San Francisco, CA 94105, USA). WorkOS verarbeitet deine E-Mail-Adresse, einen Anzeigenamen und — sofern du dich per Single Sign-On anmeldest — die vom Identity-Provider freigegebenen Profilangaben.

Wir speichern serverseitig nur die für den App-Betrieb notwendigen Daten: WorkOS-Nutzer-ID, E-Mail-Adresse, Anzeigename und Zeitstempel der Erstellung / letzten Aktualisierung. Passwörter speichern wir nicht; sie verbleiben bei WorkOS.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Mit WorkOS besteht ein Auftragsverarbeitungsvertrag. Eine Übermittlung in die USA ist durch Standardvertragsklauseln nach Art. 46 DSGVO sowie das EU-US Data Privacy Framework abgesichert.

5. Zahlungsabwicklung (Stripe)

Zahlungen für Penny-Pakete, Auktionsgewinne und Kaufoptionen werden über Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin, Irland) abgewickelt. Wir leiten dich dazu in das Stripe-Checkout um.

Wir erhalten von Stripe ausschließlich den Zahlungsstatus (erfolgreich, fehlgeschlagen, storniert), eine Stripe-Transaktions-ID und den gezahlten Betrag. Kreditkartendaten oder Bankverbindungen sehen wir nicht.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Pflichten). Stripe verarbeitet die Daten als eigenständig Verantwortlicher gemäß Stripes Datenschutzerklärung (stripe.com/de/privacy).

6. Versanddaten

Wenn du eine physische Auktion gewinnst oder die Kaufoption nutzt, erfassen wir deine Lieferadresse (Name, Straße, PLZ, Ort, Land), um den Artikel zu versenden. Wir geben diese Daten an unseren Versanddienstleister sowie ggf. an Vorkassen-Vertragspartner weiter, soweit das für den Versand erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Aufbewahrungsfristen ergeben sich aus § 257 HGB / § 147 AO.

7. Transaktionale E-Mails (Mailjet)

Bestätigungs- und Erinnerungsmails (z. B. Auktionsgewinn, Kaufoption läuft ab, Penny-Paket gekauft) versenden wir über Mailgun bzw. Mailjet (Sinch Email — siehe Anbieterangabe in den E-Mails). Verarbeitet werden deine E-Mail-Adresse und die jeweilige Nachricht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Mit dem E-Mail-Dienstleister besteht ein Auftragsverarbeitungsvertrag.

8. Push-Benachrichtigungen (Firebase Cloud Messaging)

Wenn du Push-Benachrichtigungen aktivierst, übermittelt das Betriebssystem deines Geräts ein FCM-Token an unseren Server. Wir nutzen es ausschließlich, um dir App-bezogene Benachrichtigungen (z. B. Auktionsstart, Versandstatus) zu schicken.

Anbieter ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Du kannst Push jederzeit unter „Profil → Benachrichtigungen" oder in den System-Einstellungen abschalten.

9. Nutzungs-Analyse (Firebase Analytics) — Opt-in

Wir setzen Firebase Analytics ein, um anonym nachzuvollziehen, welche Funktionen genutzt werden und welche Probleme auftreten. Verarbeitet werden u. a. App-Version, Geräte- und OS-Informationen, eine zufällige Instanz-ID, ungefähre Region und ausgelöste Ereignisse.

Firebase Analytics ist standardmäßig deaktiviert. Beim ersten App-Start wirst du gefragt, ob du der Datenanalyse zustimmst. Erst nach deiner aktiven Zustimmung sammelt die App Ereignisse. Ohne Zustimmung schaltet die App setAnalyticsCollectionEnabled(false) und sendet keine Ereignisse.

Du kannst deine Entscheidung jederzeit unter „Profil → Einstellungen → Tracking" widerrufen. Eine Deaktivierung wirkt sofort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Anbieter ist Google Ireland Limited. Datenschutzerklärung von Google: policies.google.com/privacy.

10. Audit-Log auf unserem Server

Aus Gründen der Nachvollziehbarkeit und der Betrugserkennung protokollieren wir bestimmte Vorgänge in deinem Konto (Anmeldung, Penny-Käufe, Gebote, Gewinne, Auszahlungen). Das Log enthält dieselben Daten wie deine sonstige Nutzung — zusätzlich zu Zeitstempel und der zugehörigen Transaktions-ID. Aufbewahrt wird es im Rahmen der gesetzlichen Aufbewahrungspflichten (in der Regel bis zu zehn Jahre, § 257 HGB).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten) und Art. 6 Abs. 1 lit. f DSGVO (Betrugsabwehr).

11. Empfänger / Auftragsverarbeiter

• WorkOS, Inc. — Authentifizierung
• Stripe Payments Europe, Ltd. — Zahlungsabwicklung
• Sinch Email (Mailjet) — Versand transaktionaler E-Mails
• Google Ireland Limited — Firebase Cloud Messaging und (bei Einwilligung) Firebase Analytics
• Hetzner Online GmbH — Hosting der Server

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Datenübermittlung in Drittländer (USA) ist durch Standardvertragsklauseln nach Art. 46 DSGVO und ergänzende Maßnahmen abgesichert.

12. Speicherdauer

• Konto- und Profildaten: bis zur Löschung deines Kontos.
• Transaktionsdaten (Käufe, Auktionen): zehn Jahre nach Ablauf des Geschäftsjahres (§ 257 HGB, § 147 AO).
• Server-Logs: 14 Tage.
• Analyse-Daten (Firebase Analytics, nur bei Einwilligung): 14 Monate (Standardeinstellung von Firebase).

13. Deine Rechte

Dir stehen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen bitte per E-Mail an [TBD kontakt@pennywise.live] . Zuständige Aufsichtsbehörde ist die Datenschutzbehörde des Bundeslandes, in dem unser Hauptsitz liegt.

14. Verschlüsselung

Sämtliche Verbindungen zwischen App und Server laufen ausschließlich über TLS (HTTPS / WSS).

15. Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen oder Dienstleister ändern. Die jeweils aktuelle Version findest du unter pennywise.live/legal/datenschutz.