Service Portal Shop

Datenschutzerklärung

Letzte Aktualisierung: 2026-06-13

Wir freuen uns über Dein Interesse an unserem Service-Portal. Der Schutz Deiner personenbezogenen Daten ist uns ein wichtiges Anliegen. Im Folgenden informieren wir Dich gemäß Art. 13 DSGVO über die Verarbeitung Deiner Daten auf service.karacardz.com.

Hinweis zum Shop: Diese Datenschutzerklärung gilt ausschließlich für das Service-Portal unter service.karacardz.com. Für Deine Bestellung im Shop unter https://karacardz.com gilt zusätzlich die Datenschutzerklärung des Shops.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Niklas Pistorius
Am Dulshorn 12a
27793 Wildeshausen
Deutschland
Telefon: +49 179 3994966
E-Mail: info@karacardz.com

2. Welche Daten wir verarbeiten

2.1 Beim Aufruf der Webseite (Server-Logs)

Bei jedem Aufruf werden technische Informationen vom Browser an unseren Server übermittelt und kurzfristig in Server-Logs gespeichert (max. 14 Tage):

  • IP-Adresse (gekürzt nach 24 Stunden bzw. anonymisiert)
  • Datum und Uhrzeit der Anfrage
  • aufgerufene URL und HTTP-Statuscode
  • User-Agent (Browser-Version, Betriebssystem)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an einem stabilen, sicheren Betrieb des Portals und der Abwehr von Angriffen.

2.2 Bei der Suche eines Berichts (Cert-ID / Bestellnummer-Lookup)

Wenn Du eine Cert-ID oder Bestellnummer eingibst, fragen wir damit den zugehörigen Bewertungsbericht ab. Diese Eingaben werden nicht dauerhaft mit Deiner IP verknüpft gespeichert.

2.3 Bei einer Bestellung über karacardz.com

Wenn Du im Shop eine Pre-Grading-Dienstleistung bestellst, übermittelt Shopify uns per gesicherter Webhook-Verbindung die für die Auftragsbearbeitung benötigten Daten:

  • Name, Anschrift, Telefon, E-Mail-Adresse
  • Bestellnummer, bestellte Karten-Anzahl, Bestellsumme
  • Zahlungsstatus (nicht jedoch Zahlungsmittel-Details)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung.

2.4 Bei der Bewertung Deiner Karten

Im Rahmen der Pre-Grading-Dienstleistung erstellen wir Fotos Deiner Karten und vergeben eine Cert-ID. Wir speichern dauerhaft:

  • Foto(s) Deiner Karte(n)
  • Karten-Identifikation (Name, Set, Nummer, Sprache, Jahr)
  • Bewertungsdetails (Centering, Corners, Edges, Surface)
  • PSA-Submission-Empfehlung und etwaige Anmerkungen
  • Verknüpfung zu Deiner Bestellung und Deinem Customer-Profil

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung. Speicherdauer: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflichten).

2.4a Bei einer Ankauf-Anfrage

Wenn Du uns Karten zum Ankauf anbietest, verarbeiten wir zusätzlich:

  • Deine Email-Adresse + optional Name (zur Kommunikation)
  • Fotos Deiner Karten + Zustands-Beurteilung
  • Marktpreis-Recherche pro Karte (öffentlich verfügbare Cardmarket-/Auktions-Daten)
  • Pro Karte: Dein Angebot/Annahme-Status (Accept/Reject/Counter)
  • Bei akzeptierten Angeboten: Auszahlungs-Daten (SEPA-IBAN oder PayPal-Email) verschlüsselt mit Fernet (AES-128-CBC + HMAC), Schlüssel server-seitig getrennt
  • Auszahlungs-Referenz + Datum

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung + -erfüllung) für die Anfrage-Daten und Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Aufbewahrung) für die Auszahlungs-Daten. Speicherdauer: Anfrage-Daten 3 Jahre, Auszahlungs-Daten 10 Jahre.

2.5 Bei einem Customer-Login

Falls Du Dich in einem geschützten Bereich anmeldest, nutzen wir den Shopify Customer Account Login (OAuth 2.0 mit PKCE). Wir erhalten ausschließlich Deine bei Shopify hinterlegten Daten (Name, E-Mail, Customer-ID) und nicht Dein Passwort.

3. Cookies und vergleichbare Technologien

3.1 Technisch notwendige Cookies (keine Einwilligung erforderlich, § 25 Abs. 2 TTDSG)

NameZweckSpeicherdauer
kc_csrfCSRF-Token zum Schutz vor Cross-Site-Request-ForgerySession
kc_admin_sessionAuthentifizierung im Admin-Bereich24 Stunden
kc_customer_sessionAuthentifizierung im Customer-Bereich24 Stunden
kc_pkce_verifier / kc_oauth_stateOAuth-Login-Flow Sicherheit10 Minuten

3.2 Keine Tracking- oder Marketing-Cookies auf dieser Seite

Das Service-Portal setzt aktiv keine Tracking-, Analyse- oder Marketing-Cookies. Wir nutzen weder Google Analytics noch Facebook-Pixel, Hotjar oder vergleichbare Dienste. Daher ist für service.karacardz.com kein gesondertes Cookie-Banner erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG: technisch notwendige Cookies sind ohne Einwilligung zulässig).

Solltest Du den Shop unter karacardz.com besuchen, gelten dort die Cookie-Einstellungen des Shops, die Du beim ersten Besuch verwalten kannst.

4. Empfänger der Daten (Auftragsverarbeiter)

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen haben:

DienstleisterZweckSitz / Server
Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen		 Server-Hosting der Anwendung und Datenbank Nürnberg, Deutschland
Cloudflare, Inc. Foto-Storage (Cloudflare R2) EU-Region (privater Bucket, signierte URLs)
Shopify Inc.
151 O'Connor Street, Ottawa, Kanada		 Bestelldaten-Übermittlung via Webhook, Customer-Login (OAuth) USA / Kanada, EU-Standardvertragsklauseln
Resend (Plus Five Five, Inc.)
2261 Market St., San Francisco, CA		 Transaktionale E-Mail-Benachrichtigungen (Eingang, Bericht fertig) USA, EU-Standardvertragsklauseln
Anthropic PBC
548 Market St, San Francisco, CA		 KI-gestützte Karten-Erkennung: Foto-Analyse zur Bestimmung von Kartenname, Set und Zustand (Pre-Grading und Ankauf). Es werden nur die Kartenfotos übermittelt, keine Stammdaten. Keine Nutzung zum Modell-Training. USA, EU-Standardvertragsklauseln
Functional Software, Inc. (Sentry) Error-Tracking (PII-gescrubbed, keine Klartextdaten) EU-Region wählbar
Internet Security Research Group (Let's Encrypt) TLS-Zertifizierung (öffentliche CA, keine personenbezogenen Daten) USA

5. Übermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den USA. Die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ggf. zusätzlichen technischen und organisatorischen Maßnahmen. Trotz dieser Garantien besteht ein theoretisches Risiko des Zugriffs durch US-Behörden, das nach dem EuGH-Urteil "Schrems II" nicht vollständig ausgeschlossen werden kann. Mit der Nutzung des Service-Portals nimmst Du dieses Risiko zur Kenntnis.

6. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) über die zu Deiner Person gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten
  • Löschung (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Deiner Rechte reicht eine formlose E-Mail an info@karacardz.com.

Self-Service: Wenn Du einen Customer-Account hast, kannst Du unter /account/data-export Deine kompletten gespeicherten Daten als JSON-Datei herunterladen (Art. 15 + 20 DSGVO). Unter /account findest Du auch einen Anonymisierungs-Knopf (Art. 17 DSGVO): wir löschen Name, Email, Telefon, PayPal/IBAN. Bestelldaten müssen wir aus steuer-/handelsrechtlichen Gründen 10 Jahre aufbewahren (dann anonymisiert).

7. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, Dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, etwa der für unseren Sitz zuständigen Behörde:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
lfd.niedersachsen.de

8. Technische und organisatorische Maßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Deine Daten zu schützen: TLS 1.3-Verschlüsselung im Transit, verschlüsselte Speicherung sensibler Daten (AES-128 via Fernet), Argon2id-Passwort-Hashing, Mehrfaktor-Authentifizierung im Admin-Bereich, Rate-Limiting, regelmäßige Backups (verschlüsselt), Server-Hardening (UFW, fail2ban, Hetzner Cloud Firewall) und Audit-Logs für jede materielle Aktion.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte rechtliche oder tatsächliche Gegebenheiten anzupassen. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.