Datenschutzerklärung
Wir freuen uns über dein Interesse an unserem Service-Portal. Der Schutz deiner personenbezogenen Daten ist uns ein wichtiges Anliegen. Im Folgenden informieren wir dich gemäß Art. 13 DSGVO über die Verarbeitung deiner Daten auf service.karacardz.com.
Hinweis zum Shop: Diese Datenschutzerklärung gilt ausschließlich für das
Service-Portal unter service.karacardz.com. Für deine Bestellung im Shop unter
https://karacardz.com
gilt zusätzlich die
Datenschutzerklärung des Shops.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
Niklas Pistorius
Am Dulshorn 12a
27793 Wildeshausen
Deutschland
Telefon: +49 179 3994966
E-Mail: info@karacardz.com
2. Welche Daten wir verarbeiten
2.1 Beim Aufruf der Webseite (Server-Logs)
Bei jedem Aufruf werden technische Informationen vom Browser an unseren Server übermittelt und kurzfristig in Server-Logs gespeichert (max. 14 Tage):
- IP-Adresse (gekürzt nach 24 Stunden bzw. anonymisiert)
- Datum und Uhrzeit der Anfrage
- aufgerufene URL und HTTP-Statuscode
- User-Agent (Browser-Version, Betriebssystem)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einem stabilen, sicheren Betrieb des Portals und der Abwehr von Angriffen.
2.2 Bei der Suche eines Berichts (Cert-ID / Bestellnummer-Lookup)
Wenn du eine Cert-ID oder Bestellnummer eingibst, fragen wir damit den zugehörigen Bewertungsbericht ab. Diese Eingaben werden nicht dauerhaft mit deiner IP verknüpft gespeichert.
2.3 Bei einer Bestellung über karacardz.com
Wenn du im Shop eine Pre-Grading-Dienstleistung bestellst, übermittelt Shopify uns per gesicherter Webhook-Verbindung die für die Auftragsbearbeitung benötigten Daten:
- Name, Anschrift, Telefon, E-Mail-Adresse
- Bestellnummer, bestellte Karten-Anzahl, Bestellsumme
- Zahlungsstatus (nicht jedoch Zahlungsmittel-Details)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung.
2.4 Bei der Bewertung deiner Karten
Im Rahmen der Pre-Grading-Dienstleistung erstellen wir Fotos deiner Karten und vergeben eine Cert-ID. Wir speichern dauerhaft:
- Foto(s) deiner Karte(n)
- Karten-Identifikation (Name, Set, Nummer, Sprache, Jahr)
- Bewertungsdetails (Centering, Corners, Edges, Surface)
- PSA-Submission-Empfehlung und etwaige Anmerkungen
- Verknüpfung zu deiner Bestellung und deinem Customer-Profil
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung. Speicherdauer: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflichten).
2.5 Bei einem Customer-Login
Falls du dich in einem geschützten Bereich anmeldest, nutzen wir den Shopify Customer Account Login (OAuth 2.0 mit PKCE). Wir erhalten ausschließlich deine bei Shopify hinterlegten Daten (Name, E-Mail, Customer-ID) und nicht dein Passwort.
3. Cookies und vergleichbare Technologien
3.1 Technisch notwendige Cookies (keine Einwilligung erforderlich, § 25 Abs. 2 TTDSG)
| Name | Zweck | Speicherdauer |
|---|---|---|
kc_csrf | CSRF-Token zum Schutz vor Cross-Site-Request-Forgery | Session |
kc_admin_session | Authentifizierung im Admin-Bereich | 24 Stunden |
kc_customer_session | Authentifizierung im Customer-Bereich | 24 Stunden |
kc_pkce_verifier / kc_oauth_state | OAuth-Login-Flow Sicherheit | 10 Minuten |
3.2 Keine Tracking- oder Marketing-Cookies auf dieser Seite
Das Service-Portal setzt aktiv keine Tracking-, Analyse- oder Marketing-Cookies. Wir nutzen weder Google Analytics noch Facebook-Pixel, Hotjar oder vergleichbare Dienste. Daher ist für service.karacardz.com kein gesondertes Cookie-Banner erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG: technisch notwendige Cookies sind ohne Einwilligung zulässig).
Solltest du den Shop unter karacardz.com besuchen, gelten dort die Cookie-Einstellungen des Shops, die du beim ersten Besuch verwalten kannst.
4. Empfänger der Daten (Auftragsverarbeiter)
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen haben:
| Dienstleister | Zweck | Sitz / Server |
|---|---|---|
| Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen |
Server-Hosting der Anwendung und Datenbank | Nürnberg, Deutschland |
| Cloudflare, Inc. | Foto-Storage (Cloudflare R2) | EU-Region (privater Bucket, signierte URLs) |
| Anthropic, PBC 548 Market St., San Francisco, CA |
KI-gestützte Karten-Erkennung (Claude Vision API) | USA, Übermittlung auf Basis EU-Standardvertragsklauseln |
| Shopify Inc. 151 O'Connor Street, Ottawa, Kanada |
Bestelldaten-Übermittlung via Webhook, Customer-Login (OAuth) | USA / Kanada, EU-Standardvertragsklauseln |
| Klaviyo, Inc. 125 Summer St., Boston, MA |
Transaktionale E-Mail-Benachrichtigungen (Eingang, Bericht fertig, Versand) | USA, EU-Standardvertragsklauseln |
| Functional Software, Inc. (Sentry) | Error-Tracking (PII-gescrubbed, keine Klartextdaten) | EU-Region wählbar |
| Internet Security Research Group (Let's Encrypt) | TLS-Zertifizierung (öffentliche CA, keine personenbezogenen Daten) | USA |
5. Übermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz in den USA. Die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ggf. zusätzlichen technischen und organisatorischen Maßnahmen. Trotz dieser Garantien besteht ein theoretisches Risiko des Zugriffs durch US-Behörden, das nach dem EuGH-Urteil "Schrems II" nicht vollständig ausgeschlossen werden kann. Mit der Nutzung des Service-Portals nimmst du dieses Risiko zur Kenntnis.
6. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft (Art. 15 DSGVO) über die zu deiner Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) unrichtiger Daten
- Löschung (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Zur Ausübung deiner Rechte reicht eine formlose E-Mail an info@karacardz.com.
7. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, etwa der für unseren Sitz zuständigen Behörde:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
lfd.niedersachsen.de
8. Technische und organisatorische Maßnahmen
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um deine Daten zu schützen: TLS 1.3-Verschlüsselung im Transit, verschlüsselte Speicherung sensibler Daten (AES-128 via Fernet), Argon2id-Passwort-Hashing, Mehrfaktor-Authentifizierung im Admin-Bereich, Rate-Limiting, regelmäßige Backups (verschlüsselt), Server-Hardening (UFW, fail2ban, Hetzner Cloud Firewall) und Audit-Logs für jede materielle Aktion.
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung an geänderte rechtliche oder tatsächliche Gegebenheiten anzupassen. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.