Datenschutzerklärung

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Datenverarbeitung auf dieser Website ist:

CARDSCAPE — a brand of Venture Vault GmbH
Weserstraße 27
36043 Fulda
Deutschland
Geschäftsführer: Ferdinand Helmut Bott
E-Mail: hi@cardscape.de

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und daher nicht bestellt. Bei Fragen zum Datenschutz wende dich bitte an den oben genannten Verantwortlichen.

2. Hosting

Unsere Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet personenbezogene Daten (insbesondere IP-Adressen) zur Bereitstellung des Dienstes auf Grundlage unseres berechtigten Interesses an einem sicheren und effizienten Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Mit Vercel besteht ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO). Die Datenübertragung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie, soweit zertifiziert, des EU-US Data Privacy Framework.

3. Server-Log-Dateien

Beim Besuch unserer Website werden automatisch Informationen gespeichert (IP-Adresse, Browser-Typ, aufgerufene Seite, Datum, Uhrzeit). Diese Daten werden zur technischen Bereitstellung und Sicherheit verarbeitet (Art. 6 Abs. 1 lit. f DSGVO) und nach 14 Tagen gelöscht.

4. Cookies und Consent

Wir verwenden technisch notwendige Cookies (Warenkorb, Session, Login). Diese sind für den Betrieb des Shops erforderlich und benötigen keine Einwilligung (§ 25 Abs. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO). Für nicht notwendige Speicherzugriffe (z.B. Risk-Scripts von Zahlungsdienstleistern oder optionales Error-Tracking) holen wir vorab deine Einwilligung über unser Consent-Banner ein (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). Deine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

5. Bestellungen und Kundenkonto

Bei einer Bestellung erheben wir folgende Daten:

• Name, Anschrift, E-Mail, ggf. Telefonnummer
• Bestelldetails (Produkte, Menge, Preis)
• Bestellhistorie bei Nutzung eines Kundenkontos

Rechtsgrundlage für die Bestellabwicklung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Das Kundenkonto führen wir auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO; du kannst es jederzeit löschen lassen, soweit keine Aufbewahrungspflichten entgegenstehen. Vertrags-, Rechnungs- und Buchungsunterlagen bewahren wir aufgrund gesetzlicher Aufbewahrungsfristen von bis zu 10 Jahren auf. Im Einzelnen gelten dabei für Buchungsbelege 8 Jahre (§ 147 Abs. 3 AO in der ab 2025 geltenden Fassung), für Handelsbücher, Inventare, Eröffnungsbilanzen und Jahresabschlüsse 10 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB) sowie für Handels- und Geschäftsbriefe 6 Jahre. Für diesen Zeitraum ist die Verarbeitung eingeschränkt, eine Löschung erfolgt erst nach Fristablauf.

6. Zahlungsabwicklung

Stripe

Zahlungen per Kreditkarte, Apple Pay und Google Pay werden über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) abgewickelt. Stripe verarbeitet Zahlungsdaten direkt; wir erhalten lediglich Bestätigungen über erfolgte Zahlungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Konzerngesellschaften in den USA sind über EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework abgesichert. Stripe Datenschutzerklärung

PayPal

Bei Zahlung über PayPal werden deine Daten an die PayPal (Europe) S.à r.l. et Cie, S.C.A. (22-24 Boulevard Royal, 2449 Luxemburg) übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. PayPal kann zur Zahlungsabwicklung und Betrugsvermeidung eine Bonitäts- und Identitätsprüfung durchführen. PayPal Datenschutzerklärung

Klarna

Bei Auswahl einer Zahlungsart von Klarna (Sofortüberweisung, Kauf auf Rechnung, Ratenkauf) werden deine Daten an die Klarna Bank AB (publ) (Sveavägen 46, 111 34 Stockholm, Schweden) übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Risikominimierung). Klarna kann zur Entscheidung über die Bereitstellung der jeweiligen Zahlungsart eine Bonitätsprüfung (Scoring) durchführen und hierzu Daten bei Auskunfteien abfragen. Sofern hierbei eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO erfolgt, geschieht dies durch Klarna in eigener Verantwortung; nähere Informationen findest du im Datenschutzhinweis von Klarna. Klarna Datenschutzerklärung

7. Versand — DHL

Für den Versand übermitteln wir Name und Adresse, im Fall einer Avisierung auch E-Mail-Adresse bzw. Telefonnummer, an die DHL Paket GmbH (Sträßchensweg 10, 53113 Bonn). Die Übermittlung der Versandadresse erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); die Übermittlung von E-Mail oder Telefonnummer zur Sendungsavisierung erfolgt auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

8. E-Mails — Resend

Transaktionale E-Mails (Bestellbestätigung, Versand-Updates, Login-Links) werden über Resend, Inc. (USA) versendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit Resend besteht ein Vertrag zur Auftragsverarbeitung; die Datenübertragung in die USA ist über die EU-Standardvertragsklauseln nach Art. 46 DSGVO und, soweit zertifiziert, das EU-US Data Privacy Framework abgesichert. Empfänger und Inhalte werden bis zu 30 Tage zu Diagnosezwecken vorgehalten.

9. Bilder und Assets — Cloudinary

Produktbilder werden über Cloudinary (Cloudinary Ltd., USA) ausgeliefert und optimiert. Cloudinary kann beim Aufruf einer Bild-URL die IP-Adresse des Besuchers protokollieren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Mit Cloudinary besteht ein Vertrag zur Auftragsverarbeitung; die Datenübertragung in die USA ist über die EU-Standardvertragsklauseln nach Art. 46 DSGVO und, soweit zertifiziert, das EU-US Data Privacy Framework abgesichert.

10. PSA Cert-Lookup

Bei der Anzeige von PSA-zertifizierten Karten rufen wir Daten und offizielle Slab-Bilder über die PSA Public API von Collectors Universe, Inc. (USA) ab. Es werden hierbei keine personenbezogenen Daten der Besucher an PSA übertragen; übermittelt werden ausschließlich Produkt- bzw. Zertifikatsdaten.

11. Pokemon TCG API

Karten- und Set-Daten beziehen wir über die Pokemon TCG API (api.pokemontcg.io). Es werden hierbei keine personenbezogenen Daten der Besucher übertragen.

12. Analyse und Fehler-Tracking

Plausible Analytics

Zur Reichweitenmessung nutzen wir Plausible Analytics. Anbieter ist die Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Plausible arbeitet cookielos, erstellt keine personenbezogenen Profile und verzichtet auf Cross-Site-Tracking. Es werden keine personenbezogenen Daten in einer Weise verarbeitet, die eine Cookie-Einwilligung erfordert. Rechtsgrundlage ist unser berechtigtes Interesse an einer datensparsamen Statistik (Art. 6 Abs. 1 lit. f DSGVO). Mit Plausible besteht ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO); die Datenverarbeitung erfolgt ausschließlich auf Servern innerhalb der EU.

Sentry

Zur Erkennung und Behebung von Fehlern setzen wir Sentry (Functional Software, Inc., USA) ein. Sentry kann dabei technische Daten wie IP-Adresse, Geräte- und Fehlerdaten erfassen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO bzw. deine Einwilligung über das Consent-Banner, soweit erforderlich. Mit Sentry besteht ein Vertrag zur Auftragsverarbeitung; die Datenübertragung in die USA ist über die EU-Standardvertragsklauseln nach Art. 46 DSGVO und, soweit zertifiziert, das EU-US Data Privacy Framework abgesichert.

13. Anmeldung und Authentifizierung (NextAuth und Google)

Der Login erfolgt entweder per E-Mail Magic Link oder per Google OAuth. Bei der Anmeldung über Google werden Profildaten (Name, E-Mail, Profilbild) von Google an uns übertragen. Anbieter ist die Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland); ein Drittlandbezug in die USA ist über die EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework abgesichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Kontos) bzw. deine Einwilligung beim ersten Login (Art. 6 Abs. 1 lit. a DSGVO). Google Datenschutzerklärung

14. Drittlandtransfers

Soweit wir Dienstleister mit Sitz oder Datenverarbeitung in den USA einsetzen (insbesondere Vercel, Resend, Cloudinary, Sentry, PSA sowie Konzerngesellschaften von Stripe und Google), erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln nach Art. 46 DSGVO und/oder einer Zertifizierung unter dem EU-US Data Privacy Framework. Trotz dieser Garantien kann ein Restrisiko des Zugriffs durch US-Behörden nicht vollständig ausgeschlossen werden.

15. Deine Rechte

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Anfragen richte bitte an: hi@cardscape.de

16. Widerspruchsrecht (Art. 21 DSGVO)

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Legst du Widerspruch ein, verarbeiten wir deine personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden deine personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, hast du das Recht, jederzeit Widerspruch gegen die Verarbeitung zu diesem Zweck einzulegen. Widersprichst du der Verarbeitung für Zwecke der Direktwerbung, werden deine personenbezogenen Daten anschließend nicht mehr zu diesen Zwecken verarbeitet (Art. 21 Abs. 2 und 3 DSGVO).

17. Keine automatisierte Entscheidung im Einzelfall

Auf Ebene des Verantwortlichen findet keine ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhende Entscheidung statt, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO). Etwaige Bonitäts- bzw. Risikoprüfungen (Scoring) im Rahmen einer Klarna-Zahlart erfolgen ausschließlich durch den jeweiligen Zahlungsdienstleister in dessen eigener Verantwortung; nähere Informationen findest du in den oben verlinkten Datenschutzhinweisen.

18. Beschwerderecht

Du hast unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden.