Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO: siehe Impressum.
2. Welche Daten verarbeiten wir?
2.1 Account-Daten
- E-Mail-Adresse (Pflicht; für Login, Sicherheits-Benachrichtigungen, Passwort-Reset)
- Passwort-Hash (nie Klartext)
- OAuth-ID (bei Login via Google; keine Passwort-Speicherung)
- Anzeigename, Avatar-URL (optional)
- Sprache, Theme-Präferenz
- Akzeptanz von AGB / Datenschutz (Zeitstempel + Version)
2.2 Trading-Daten
- Exchange-API-Keys — verschlüsselt (AES-128 / Fernet) mit Schlüssel, der nicht in der DB liegt
- Bot-Konfigurationen, Handelshistorie, Orders, offene Positionen
- Einstellungen für Grid, DCA, Futures-Bots
2.3 Abrechnungsdaten (Stripe)
- Stripe-Customer- und Subscription-IDs
- Zahlungsdaten selbst speichern wir nicht — sie liegen ausschließlich bei Stripe.
2.4 Technische Daten
- IP-Adresse (gekürzt in Logs, vollständig nur in Sicherheits-Audits)
- User-Agent, Browser, Sprache (anonymisiert in Metriken)
- Session-/CSRF-/Theme-Cookies (technisch notwendig, Art. 6 Abs. 1 lit. f)
3. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO — Vertragsdurchführung (Registrierung, Bots, Orders, Abrechnung).
- Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflichten (Handelsrecht, AO: 10 Jahre Archivierung für Finanzdaten).
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Sicherheit, Fraud-Prevention, Log-Aufbewahrung max. 90 Tage).
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Marketing-E-Mails, Analytics-Cookies).
4. Wer bekommt Daten?
- Exchanges (Bitget, Hyperliquid, Phemex, …) — ausschließlich die von Dir konfigurierten API-Endpunkte, via verschlüsselter TLS.
- Stripe Payments Europe Ltd. (IE) — Zahlungsabwicklung, DPA gemäß DSGVO vorhanden.
- Resend / Mail-Provider — Transactional E-Mails.
- Hosting: Hetzner Online GmbH, Deutschland — AV-Vertrag gemäß Art. 28 DSGVO.
- Sentry (nur wenn aktiviert) — Error-Tracking, PII-Scrubbing vor Übermittlung.
5. Drittland-Übermittlungen
Stripe und Sentry können Daten in die USA übermitteln. Grundlage: EU-Standardvertragsklauseln (SCC) und ergänzende Maßnahmen (Verschlüsselung, PII-Scrubbing). Bei aktivierten OAuth-Logins übermittelt der jeweilige Provider (z. B. Google) Daten nach seinen Bedingungen.
6. Speicherdauer
- Account-Daten: bis Account-Löschung + 30 Tage Grace
- Finanzdaten (Orders, Trades, Rechnungen): 10 Jahre (§ 257 HGB, § 147 AO), danach anonymisiert
- Security-Logs: 90 Tage
- Analytics (wenn opt-in): 12 Monate
7. Deine Rechte (Art. 15–21 DSGVO)
- Auskunft (Art. 15) — Export deiner Daten unter /api/account/export (eingeloggt).
- Berichtigung (Art. 16) — Account-Seite oder per Support.
- Löschung (Art. 17) — unter /api/account/delete. 30 Tage Grace-Periode, danach anonymisiert.
- Einschränkung (Art. 18) — via Support.
- Datenübertragbarkeit (Art. 20) — siehe Export-Endpoint.
- Widerspruch (Art. 21) — insb. Marketing-Consent jederzeit per E-Mail-Footer widerrufbar.
- Beschwerde (Art. 77) — bei der für dich zuständigen Aufsichtsbehörde.
8. Automatisierte Entscheidungen
Die Plattform wendet keine Profiling- oder automatisierten Entscheidungen gemäß Art. 22 DSGVO auf dich an. Trading-Bots handeln ausschließlich auf Basis der von dir konfigurierten Regeln.
9. Cookies
Technisch notwendige Cookies (Session, CSRF, Theme, Locale) setzen wir ohne Einwilligung
gemäß § 25 Abs. 2 TTDSG. Analyse-/Marketing-Cookies werden nur nach ausdrücklicher Einwilligung
über unseren Cookie-Banner aktiviert. Die Einwilligung ist jederzeit widerruflich unter
localStorage.removeItem('mgb_cookie_consent') oder per Klick auf "Cookie-Einstellungen"
im Footer.
10. Kontakt Datenschutz
Datenschutz-Anfragen: privacy@multigrid.io
Ein benannter Datenschutzbeauftragter ist aktuell [nicht erforderlich / noch zu ergänzen].