1. Präambel & Geltungsbereich
Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang im Rahmen der Bereitstellung unserer Website (valuemetrixx.com) sowie unserer mobilen Applikation (iOS und Android, nachfolgend zusammenfassend bezeichnet als "ValueMetrixx App" oder "Onlineangebot") verarbeiten.
Die verwendeten Begriffe sind nicht geschlechtsspezifisch. Sämtliche Verarbeitungen erfolgen im Einklang mit der europäischen Datenschutz-Grundverordnung (DSGVO) sowie den jeweils anwendbaren zypriotischen Datenschutz- und E-Privacy-Vorschriften.
2. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne des Datenschutzrechts ist:
KW3 Business Ltd
Gladstonos 12-14
8046 Paphos
Cyprus
E-Mail-Adresse: info@valuemetrixx.com
Impressum: valuemetrixx.com/impressum
3. Übersicht der Verarbeitungen & genutzte Dienste
ValueMetrixx verarbeitet personenbezogene Daten nur im für die Erbringung des Services erforderlichen Umfang. Im Folgenden erhalten Sie eine detaillierte Übersicht der von uns eingesetzten Systeme und Dienstleister:
A. Bereitstellung des Onlineangebots & Webhosting (Hetzner)
Für den Betrieb der Website und die Bereitstellung unserer Systeminfrastruktur nutzen wir Rechenkapazitäten und Speicherplatz der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland).
- Verarbeitete Daten: Nutzungs- und Protokolldaten (z. B. IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene Webseiten oder Dateien, Browsertyp nebst Version, Betriebssystem des Nutzers, Referrer URL).
- Zweck: Bereitstellung des Onlineangebots, Sicherstellung der Stabilität und Betriebssicherheit sowie die Erkennung und Abwehr technischer Störungen.
- Rechtsgrundlage: Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.
- Speicherdauer: Server-Logfiles werden aus Sicherheitsgründen für maximal 30 Tage gespeichert und danach gelöscht oder anonymisiert.
- Vertragliches: Es wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit Hetzner Online abgeschlossen.
B. Datenbank- und Anwendungsinfrastruktur (Selbstbetriebene Systemdatenbank)
Für die Registrierung, Anmeldung, Bereitstellung des Benutzerkontos und die Speicherung Ihrer persönlichen Einstellungen (z. B. Watchlists, Kursalarme) betreiben wir eine eigene Instanz eines Open-Source-Datenbanksystems auf unseren angemieteten Servern.
- Wichtiger Hinweis zum Datenfluss: Diese Systemdatenbank wird vollständig in Eigenregie betrieben. Es findet keine Weitergabe, Übermittlung oder Offenlegung der in der Datenbank verarbeiteten personenbezogenen Daten an den Entwickler der Open-Source-Software oder sonstige externe Datenbank-Dienstleister statt.
- Verarbeitete Daten: Zugangsdaten (E-Mail-Adresse, verschlüsseltes Passwort), Datum der Registrierung, sowie Ihre im System hinterlegten Watchlists und konfigurierten Kursalarme.
- Gewährleistung der IT-Sicherheit und Missbrauchsabwehr: Zur Erkennung und Abwehr von Cyberangriffen (z. B. Denial-of-Service-Attacken, automatisierte Bots oder unbefugte Zugriffsversuche) werden bei Interaktionen mit unserer Anwendung (wie der Registrierung, der Anmeldung oder API-Anfragen an unsere Server) temporär die IP-Adresse sowie technische Verbindungsdaten der Nutzer verarbeitet. Die Verarbeitung dieser Daten ist erforderlich, um die Integrität und Sicherheit unserer informationstechnischen Systeme zu gewährleisten.
- Zweck: Vertragskonforme Erbringung unseres Dienstes, Bereitstellung der Nutzerverwaltung sowie Aufrechterhaltung der IT-System-Sicherheit.
- Rechtsgrundlage: Vertragserfüllung und vorvertragliche Anfragen gemäß Art. 6 Abs. 1 lit. b DSGVO sowie berechtigte Interessen an der Systemsicherheit gemäß Art. 6 Abs. 1 lit. f DSGVO.
- Speicherdauer: Die Daten Ihres Benutzerkontos verbleiben in der Datenbank, solange Ihr Konto aktiv ist. Nach einer Kündigung des Kontos werden diese Daten unverzüglich gelöscht, es sei denn, gesetzliche Aufbewahrungsfristen (z. B. aus steuerlichen Gründen) verlangen eine längere Archivierung. Protokolldateien zur Sicherheitsüberwachung werden regelmäßig nach maximal 30 Tagen gelöscht.
C. Registrierung auf der Launch-Warteliste und Newsletterversand (MailerLite)
Wenn Sie sich auf unserer Website für unsere Launch-Warteliste registrieren, verarbeiten wir Ihre E-Mail-Adresse sowie technische Anmeldedaten, um Sie über die Produktfreigabe und relevante Status-Updates zu informieren. Hierzu nutzen wir den Dienst MailerLite (MailerLite Limited, Paupio g. 46, 08200 Vilnius, Litauen) als E-Mail-Marketing-Plattform.
Die Anmeldung zu unserer Warteliste erfolgt in einem sogenannten Double-Opt-In-Verfahren. Das heißt, Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um die Bestätigung Ihrer Registrierung gebeten werden. Diese Bestätigung ist notwendig, um die missbräuchliche Verwendung fremder E-Mail-Adressen zu verhindern. Die Anmeldungen und Bestätigungen werden protokolliert (IP-Adresse und Zeitstempel), um den Anmeldeprozess entsprechend den rechtlichen Nachweispflichten dokumentieren zu können.
- Verarbeitete Daten: E-Mail-Adresse, IP-Adresse, Datum und Uhrzeit der Anmeldung.
- Zweck: Verwaltung der Warteliste und Versand von Produkt- und Launch-Updates per E-Mail.
- Rechtsgrundlage: Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
- Widerrufsrecht: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, beispielsweise über den Abmeldelink am Ende jeder E-Mail oder per formloser Nachricht an uns.
- Vertragliches: Wir haben einen den datenschutzrechtlichen Vorgaben der DSGVO entsprechenden Auftragsverarbeitungsvertrag mit MailerLite abgeschlossen.
D. Zahlungsabwicklung & Abonnements (Stripe)
Zur Abwicklung von gebührenpflichtigen Abonnements (Basic- und Pro-Tarife) sowie zur Durchführung der Zahlungen setzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) ein.
- Verarbeitete Daten: Rechnungsdaten (Name, Adresse, Rechnungsverlauf), Vertrags- und Abonnementstatus sowie Zahlungsdaten (z. B. Kreditkartendetails, Bankverbindungen). Die Eingabe sensibler Zahlungsdaten erfolgt über eine verschlüsselte Schnittstelle direkt bei Stripe; diese Daten werden auf unseren Systemen nicht erfasst oder gespeichert.
- Zweck: Durchführung des Zahlungsvorgangs und Bereitstellung der kostenpflichtigen Tarife.
- Rechtsgrundlage: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO sowie die Erfüllung rechtlicher Verpflichtungen (steuer- und handelsrechtliche Aufbewahrungspflichten) nach Art. 6 Abs. 1 lit. c DSGVO.
- Speicherdauer: Buchungsrelevante Rechnungsbelege werden für die Dauer der jeweils anwendbaren zypriotischen steuer- und handelsrechtlichen Aufbewahrungspflichten gespeichert und anschließend gelöscht oder anonymisiert, sofern keine weitere gesetzliche Grundlage besteht.
- Sicherheit & Datentransfers: Stripe verarbeitet Daten nach den Sicherheitsanforderungen des PCI-DSS Level 1 Standards. Eventuelle Übermittlungen an die Muttergesellschaft Stripe, Inc. in den USA sind durch die Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework (DPF) sowie durch Standardvertragsklauseln der EU-Kommission abgesichert.
E. Push-Benachrichtigungen (Geplant)
Für den Fall, dass Sie in unserer Anwendung Benachrichtigungen (wie z. B. Echtzeit-Kursalarme oder Handelssignale) aktivieren, planen wir, Ihnen Push-Benachrichtigungen direkt auf Ihr Endgerät zuzusenden. Hierfür beabsichtigen wir die Nutzung des Dienstes Expo Push Notifications (650 Industries, Inc., USA), welcher die systemeigenen Zustelldienste Firebase Cloud Messaging (Google Cloud EMEA Limited, Irland) und Apple Push Notification Service (Apple Inc., USA) einbindet.
- Verarbeitete Daten: Ein anonymisiertes, gerätebezogenes Zustellungs-Token (Push-Token). Eine Verknüpfung mit Ihrer Person durch die involvierten Diensteanbieter findet nicht statt.
- Zweck: Zustellung von Kursalarmen und funktionalen Systemmeldungen direkt auf Ihr Endgerät.
- Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können den Erhalt von Push-Nachrichten jederzeit in den Einstellungen der App oder den Systemeinstellungen Ihres Geräts deaktivieren.
- Drittlandtransfer & Garantien: Die Übermittlung von Daten an die US-Anbieter (650 Industries, Google, Apple) wird durch die Standardvertragsklauseln der EU-Kommission und, soweit zutreffend, die Zertifizierungen unter dem EU-US Data Privacy Framework (DPF) abgesichert.
F. Marktdaten (Twelve Data)
Zur Anzeige von Aktienkursen und Finanzindikatoren greift unsere Anwendung auf die Programmierschnittstelle vonTwelve Data (Twelve Data LLC, 142 W 57th St, New York, NY 10019, USA) zu.
- Datenschutzhinweis: Alle Anfragen zur Ermittlung von Marktdaten werden ausschließlich serverseitig über unser Go-Backend durchgeführt. Es werden keine personenbezogenen Daten (wie Ihre IP-Adresse oder Benutzerdaten) an Twelve Data übermittelt oder dort verarbeitet.
G. Optionale Nutzungsanalyse, Feature-Steuerung und Optimierung
Wir nutzen einen europäisch gehosteten Analysedienst für die statistische Auswertung der Nutzung unserer Landingpage und App, zur Verbesserung der Benutzerfreundlichkeit, zur Fehleranalyse sowie zur bedarfsgerechten Steuerung von Anwendungsfunktionen.
- Verarbeitete Daten: Es können Nutzungs- und Interaktionsdaten (z. B. Seitenaufrufe, Klicks und Interaktionen mit Funktionen), Geräte- und Browserinformationen, technische Ereignisdaten sowie pseudonyme Kennungen verarbeitet werden. In der App verwenden wir als Personenkennung ausschließlich die interne Nutzer-ID. E-Mail-Adresse, Anzeigename, Inhalte eingegebener Formulare, Zahlungsdaten und Zugangsdaten werden nicht an den Analysedienst übermittelt. URL-Parameter und Hash-Fragmente werden auf der Landingpage vor der Übermittlung entfernt.
- Zweck: Verbesserung der Benutzerfreundlichkeit, Qualitätssicherung, Auswertung von Funktions- und Designtests sowie Steuerung der Bereitstellung von Software-Funktionen.
- Landingpage und Einwilligung: Auf der Landingpage erfassen wir Nutzungsdaten erst, nachdem Sie die Analyse im Datenschutz-Banner erlaubt haben. Die Verarbeitung erfolgt dann auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Wenn Sie die Analyse ablehnen, erfassen wir keine Analyseereignisse. Die Speicherung Ihrer Banner-Auswahl ist technisch erforderlich, um Ihre Entscheidung zu beachten. Sie können Ihre Auswahl jederzeit über die Datenschutz-Einstellungen auf der Landingpage ändern.
- App-Produktanalyse: In der App verarbeiten wir produktbezogene Nutzungsereignisse wie Bildschirmaufrufe, Anmelde- und Abmeldeereignisse, Nutzung von Watchlists, Kursalarmen, Screener- Funktionen und Abonnement-Flows erst, nachdem Sie dies in den Einstellungen erlaubt haben. Diese Auswertung dient der Verbesserung, Sicherheit und bedarfsgerechten Weiterentwicklung unseres Angebots. Die Zuordnung erfolgt während der angemeldeten Nutzung über die interne Nutzer-ID und wird bei der Abmeldung zurückgesetzt. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können diese Einwilligung jederzeit in den Einstellungen widerrufen.
- Speicherdauer: Wir werden die Aufbewahrungsdauer der Analysedaten auf maximal 12 Monate begrenzen. Danach werden sie gelöscht oder anonymisiert.
- Datenverarbeitungsort und Drittlandtransfer: Die Verarbeitung erfolgt über eine europäisch gehostete Umgebung. Soweit im Rahmen von Wartung oder Support ein Zugriff aus einem Drittland möglich ist, stellen wir vor der Inbetriebnahme geeignete Garantien nach Art. 44 ff. DSGVO sicher, insbesondere die jeweils anwendbaren Standardvertragsklauseln der EU-Kommission und/oder einen Angemessenheitsbeschluss.
- Vertragliches: Vor der Inbetriebnahme schließen wir mit dem Anbieter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab.
H. Versand von System- und Transaktions-E-Mails (Scaleway TEM)
Um Ihnen wichtige vertragliche und systemrelevante Benachrichtigungen (wie Bestätigungen bei der Registrierung, Links zum Zurücksetzen des Passworts oder von Ihnen abonnierte Kursalarme) zuverlässig zustellen zu können, nutzen wir den Dienst „Transactional Email (TEM)“ der SCALEWAY SAS (BP 438, 75366 Paris Cedex 08, Frankreich).
- Verarbeitete Daten: E-Mail-Adresse, Name (sofern hinterlegt), Metadaten der Kommunikation (z. B. E-Mail-Typ, Sendezeitpunkt, Zustellstatus) sowie der Inhalt der Nachricht.
- Zweck: Gewährleistung der technischen Zustellung vertraglich und funktional erforderlicher Mitteilungen im Rahmen der Nutzung unseres Dienstes.
- Rechtsgrundlage: Die Verarbeitung erfolgt zum Zweck der Erfüllung unserer vertraglichen Verpflichtungen gegenüber registrierten Nutzern (Art. 6 Abs. 1 lit. b DSGVO) sowie auf Grundlage unseres berechtigten Interesses an einer zuverlässigen und sicheren E-Mail-Infrastruktur über einen europäischen Dienstleister (Art. 6 Abs. 1 lit. f DSGVO).
- Standort der Verarbeitung: Scaleway ist ein europäischer Cloud-Anbieter. Die Verarbeitung Ihrer Daten erfolgt ausschließlich auf Servern innerhalb der Europäischen Union (Frankreich, Niederlande oder Polen).
- Vertragliches: Wir haben mit der SCALEWAY SAS einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.
I. SSL- bzw. TLS-Verschlüsselung (HTTPS)
Aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die Sie an uns als Seitenbetreiber senden (z. B. Anfragen über ein Kontaktformular oder Registrierungsdaten im Rahmen der Abonnement-Verwaltung), nutzt unser Onlineangebot eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.
4. Local Storage & Cookies
Auf unserer Landingpage verwenden wir keine Werbe-Cookies. Analyse-Cookies oder vergleichbare Speichertechnologien des Analysedienstes werden nur eingesetzt, wenn Sie der Analyse im Datenschutz-Banner zustimmen. Bei Ablehnung erfassen wir keine Analyseereignisse, wie in Abschnitt G beschrieben.
Um Ihnen den Besuch unserer Website so angenehm wie möglich zu gestalten, nutzen wir den lokalen Speicher Ihres Browsers (Local Storage). Wir speichern darin ausschließlich Ihre bevorzugte Spracheinstellung unter dem Schlüssel valuemetrixx-language.
Diese Speicherung dient unserem berechtigten Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO, Ihnen die angeforderten Inhalte direkt in der richtigen Übersetzung anzuzeigen. Sie können die Speicherung verhindern oder den Local Storage in den Einstellungen Ihres Browsers jederzeit leeren.
5. Besondere App-Berechtigungen & UUID
Die mobile ValueMetrixx App nutzt gerätespezifische Funktionen im technisch notwendigen Umfang:
- UUID (Universally Unique Identifier): Bei der Installation der App wird ein pseudonymer, eindeutiger Identifikator generiert. Dieser dient ausschließlich der Identifizierung der App-Installation zur Fehlerbehebung und Synchronisierung lokaler Voreinstellungen. Er ist nicht mit Ihrer Gerätekennung verknüpft und wird bei Deinstallation gelöscht.
- Netzwerkzugriff: Die App benötigt uneingeschränkten Internetzugriff, um Kursdaten und Watchlisten von unseren Servern zu laden.
- Geräte-Berechtigungen: Berechtigungen wie z. B. für Push-Nachrichten werden bei Bedarf explizit abgefragt. Sie können diese Berechtigungen jederzeit über die Systemeinstellungen Ihres Smartphones widerrufen.
6. Internationale Datentransfers
Sofern personenbezogene Daten in ein Drittland außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) übermittelt werden (z. B. USA), stellen wir sicher, dass angemessene Garantien zum Schutz Ihrer Daten vorliegen.
Wir stützen uns hierbei vorrangig auf das EU-US Data Privacy Framework (DPF), welches von der EU-Kommission am 10.07.2023 als Angemessenheitsbeschluss verabschiedet wurde. Für Anbieter, die nicht nach dem DPF zertifiziert sind oder falls das DPF ungültig wird, schließen wir standardisierte Vertragsklauseln (Standard Contractual Clauses, SCC) ab, um das europäische Datenschutzniveau vertraglich abzusichern.
7. Allgemeine Speicherfristen & Löschung
Wir verarbeiten und speichern Ihre personenbezogenen Daten nur für den Zeitraum, der zur Erfüllung des Verarbeitungszwecks erforderlich ist oder solange gesetzliche Aufbewahrungspflichten dies vorschreiben.
Nach Fortfall des Verarbeitungszwecks oder Ablauf der anwendbaren gesetzlichen Aufbewahrungsfrist, insbesondere nach zypriotischem Steuer- und Handelsrecht für Rechnungen und Buchungsdaten, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.
8. Rechte der betroffenen Personen
Sie haben im Rahmen der gesetzlichen Bestimmungen der DSGVO jederzeit folgende Rechte bezüglich Ihrer bei uns verarbeiteten personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen, falls die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.
- Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung zur Datenverarbeitung jederzeit mit Wirkung für die Zukunft uns gegenüber widerrufen.
- Widerspruchsrecht (Art. 21 DSGVO): Sofern Ihre Daten auf Grundlage von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet werden, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen.
- Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde für uns ist dasOffice of the Commissioner for Personal Data Protectionin Zypern.
Keine automatisierte Entscheidungsfindung: Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.
9. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an veränderte rechtliche Rahmenbedingungen oder bei technischen Anpassungen unseres Onlineangebots anzupassen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung.