Datenschutzerklärung

Stand: 2026-04-30 · Version 0.1 (Pre-Launch Alpha)

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist der Betreiber des Pre-Launch-Alpha-Tests. Da TradePicks aktuell weder als Gewerbe noch als juristische Person registriert ist, erfolgen sämtliche Datenverarbeitungen im privaten, nicht-kommerziellen Rahmen einer geschlossenen Erprobung. Die vollständige Anbieterkennzeichnung gemäß § 5 TMG wird vor öffentlichem Verkaufsstart ergänzt.

Kontakt für Datenschutzanfragen: Siehe Impressum.

2. Welche Daten werden verarbeitet?

Datenkategorie	Zweck	Rechtsgrundlage
E-Mail-Adresse	Account-Identifikation, Login, Passwort-Reset, Trial-Verifikation	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Anzeigename (Display Name)	Personalisierung der Oberfläche	Art. 6 Abs. 1 lit. b DSGVO
Passwort (als bcrypt-Hash)	Authentifizierung. Klartext-Passwort wird nicht gespeichert.	Art. 6 Abs. 1 lit. b DSGVO
IP-Adresse	Server-Logs, Rate-Limiting gegen Brute-Force, Missbrauchsabwehr	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit)
Tier & Subscription-Status	Funktionsfreischaltung, Abrechnung	Art. 6 Abs. 1 lit. b DSGVO
Telegram-Chat-ID (optional)	Push-Benachrichtigungen, nur nach aktiver Verknüpfung	Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — jederzeit widerrufbar)
Bankroll-Betrag (selbst eingegeben)	Berechnung individueller Stake-Empfehlungen	Art. 6 Abs. 1 lit. b DSGVO
Trading-Book-Daten (selbst erfasste Trades)	P&L-Auswertung, persönliches Tagebuch	Art. 6 Abs. 1 lit. b DSGVO
PayPal-Subscription-ID, Payment-Provider-Customer-ID	Verknüpfung mit Zahlungsanbieter, Webhook-Verarbeitung	Art. 6 Abs. 1 lit. b DSGVO
Sprache, Zeitzone, ausgewählte Ligen	Anzeigeanpassung	Art. 6 Abs. 1 lit. b DSGVO

3. LocalStorage und Tokens

TradePicks setzt keine klassischen Cookies für Tracking. Im Browser werden über das LocalStorage folgende technisch notwendige Daten gespeichert:

mc_access_token, mc_refresh_token — JWT-basierte Sitzungs-Tokens (technisch notwendig für Login)
mc_user — minimaler User-Cache zur Anzeige in der Oberfläche
mc_theme — Farbschema-Präferenz (hell/dunkel)
mc_admin_view_as_tier — nur für Admin-Konten

Diese Werte werden ausschließlich auf deinem Endgerät gespeichert, nicht an Dritte übertragen und beim Logout entfernt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie § 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich).

4. Auftragsverarbeiter und Drittanbieter

Folgende Dienste verarbeiten in unserem Auftrag oder als eigenständig Verantwortliche personenbezogene Daten:

STRATO AG, Pascalstraße 10, 10587 Berlin — Server-Hosting (geplant; aktuell läuft das System auf einer privaten Test-Hardware in Deutschland). Auftragsverarbeitung gemäß STRATO-Standard-AVV.
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg — Zahlungsabwicklung. Eigenverantwortliche Verarbeitung gemäß PayPal-Datenschutzhinweisen.
Telegram Messenger Inc. (USA) — nur falls du den Push-Bot freiwillig aktivierst. Übermittelt wird ausschließlich die von dir angegebene Chat-ID. Datenübertragung in Drittland (USA) auf Basis der EU-Standardvertragsklauseln.
API-Sports / api-football.com — Match-Daten-Lookup. Es werden keine personenbezogenen Nutzerdaten an diesen Dienst übermittelt.
FootyStats — Statistik-Datenquelle. Keine Übermittlung personenbezogener Nutzerdaten.
CoinGecko — Wechselkurs-Lookup für Krypto-Zahlungen. Keine personenbezogenen Daten.

5. Speicherdauer

Account-Daten: bis zur Löschung durch dich (siehe Punkt 6).
Subscription-Events (für Buchhaltung und Audit): regulär 24 Monate nach Subscription-Ende. Eine längere Aufbewahrung kann durch handelsrechtliche Aufbewahrungsfristen (§ 257 HGB, § 147 AO — bis 10 Jahre) erforderlich sein.
Server-Logs (journald): 14 Tage.
Trial-Konten ohne Bezahlung: bis 30 Tage nach Ablauf der Testphase.
Refresh-Tokens: 7 Tage; werden bei Logout, Passwort-Wechsel und 2FA-Deaktivierung sofort invalidiert.

6. Deine Rechte

Nach DSGVO stehen dir folgende Rechte zu:

Auskunft (Art. 15): über deine bei uns gespeicherten Daten.
Berichtigung (Art. 16): falscher oder unvollständiger Daten.
Löschung (Art. 17): „Recht auf Vergessenwerden". Account-Löschung erfolgt aktuell auf Anfrage per E-Mail; ein Self-Service-Endpunkt ist in Vorbereitung.
Einschränkung der Verarbeitung (Art. 18).
Datenübertragbarkeit (Art. 20): Export deiner Daten in maschinenlesbarem Format auf Anfrage.
Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigten Interesses.
Widerruf einer Einwilligung (Art. 7 Abs. 3) — z.B. Trennen der Telegram-Verknüpfung — jederzeit mit Wirkung für die Zukunft.
Beschwerde bei einer Aufsichtsbehörde (Art. 77) — zuständig ist die Datenschutzbehörde deines Wohnsitzes (in Deutschland je nach Bundesland; Auflistung unter bfdi.bund.de).

7. Sicherheit

Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein:

Passwörter werden ausschließlich als bcrypt-Hash gespeichert.
Sitzungs-Tokens (JWT) sind kurzlebig (Access-Token 30 min) und werden bei Passwort-Wechsel oder Logout serverseitig invalidiert.
Optionale Zwei-Faktor-Authentifizierung (TOTP).
Verschlüsselte Übertragung über HTTPS/TLS (im Live-Betrieb).
Rate-Limiting gegen Brute-Force-Angriffe.
SQL-Injection-Schutz durch parametrisierte Datenbankabfragen.

8. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Die vom System berechneten Trading-Empfehlungen sind statistische Modell-Outputs, die jeder Nutzer eigenverantwortlich bewertet — sie ersetzen keine Anlageberatung.

9. Änderungen dieser Erklärung

Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Verarbeitung aktualisiert. Aktive Nutzer werden vor dem Wirksamwerden über die hinterlegte E-Mail-Adresse informiert.

10. Kontakt

Anfragen zur Datenverarbeitung, Rechte-Geltendmachung und sonstige Fragen erreichen uns über die im Impressum hinterlegte E-Mail-Adresse.