← Zur Startseite

Datenschutzerklärung der DAMOSTA-Plattform

Version: 1.0 (geschlossene Testphase) Inkrafttreten: 28. April 2026 Letzte Aktualisierung: 28. April 2026 Verantwortlicher: DAMOSTA (die Plattform befindet sich in der privaten Entwicklungsphase; die vollständigen Angaben zur juristischen Person des Verantwortlichen, das Land der Registrierung, die Registrierungsnummer und die Geschäftsadresse werden in einer aktualisierten Fassung vor dem Datum der öffentlichen Einführung der Plattform angegeben) Kontakt für Datenschutzanfragen: [email protected]

Status des Dokuments. Die vorliegende Fassung ist für die geschlossene Testphase herausgegeben. Der Zugang zur Plattform ist auf eine Liste zugelassener Nutzer beschränkt. Vor der öffentlichen Einführung werden vollständige Angaben zum Verantwortlichen, die Notwendigkeit der Benennung eines Vertreters in der EU und/oder eines Datenschutzbeauftragten (DSB), das endgültige Verzeichnis der Auftragsverarbeiter, die Verarbeitungsregionen, die Auftragsverarbeitungsverträge (AVV), die Mechanismen der internationalen Datenübermittlung und das Zahlungsmodell finalisiert und geprüft. Die Liste offener Entscheidungen ist in docs/legal/launch_checklist.md, Teil 3, aufgeführt.

Präambel

Diese Datenschutzerklärung (nachstehend — die „Erklärung”) beschreibt, welche personenbezogenen Daten wir bei Ihrer Nutzung der Plattform DAMOSTA (nachstehend — die „Plattform”) erheben, wie wir sie verwenden, an wen wir sie übermitteln und wie wir sie schützen.

Wir streben nach größtmöglicher Transparenz. Wenn Ihnen in der Erklärung etwas unklar ist, schreiben Sie an die Adresse [email protected], und wir erläutern es.

Die Erklärung wurde unter Berücksichtigung folgender Anforderungen erstellt:

  • der Verordnung (EU) 2016/679 (DSGVO) — für Nutzer im Europäischen Wirtschaftsraum und für diejenigen, deren Daten im EWR verarbeitet werden;
  • des Gesetzes der Ukraine „Über den Schutz personenbezogener Daten” — für Nutzer in der Ukraine;
  • sonstiger anwendbarer Datenschutzgesetze in Ländern, in denen die Plattform verfügbar ist.

Mit der Nutzung der Plattform bestätigen Sie, dass Sie die Erklärung gelesen haben und verstehen, welche Daten verarbeitet werden und auf welche Weise.

1. Wer Ihre Daten verarbeitet

Verantwortlicher (Controller): DAMOSTA; die vollständigen Angaben zur juristischen Person werden nach der Registrierung angegeben — siehe docs/legal/launch_checklist.md, Teil 3.1.

„Verantwortlicher” ist die juristische oder natürliche Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und für diese Verarbeitung verantwortlich ist.

1.1. Vertreter in der EU (Artikel 27 DSGVO)

Wenn aufgrund der Analyse der endgültigen Registrierungsstruktur des Verantwortlichen und des Targetings der Plattform im Europäischen Wirtschaftsraum (EWR) ein Vertreter gemäß Artikel 27 DSGVO erforderlich ist, werden seine Kontaktdaten hier vor dem Zeitpunkt angegeben, ab dem die Plattform öffentlich für Nutzer im EWR verfügbar wird.

1.2. Datenschutzbeauftragter (Data Protection Officer, DSB)

Der Verantwortliche prüft die Verpflichtung zur Benennung eines DSB anhand der Kriterien des Artikels 37 DSGVO (Art der Kerntätigkeit, Umfang der Verarbeitung, Kategorien der verarbeiteten Daten). Wird ein DSB benannt, werden seine Kontaktdaten in dieser Erklärung veröffentlicht.

2. Welche Daten wir erheben

2.1. Daten von Telegram

Beim Start der Telegram Mini App kann Telegram uns über den Standardmechanismus initData der Telegram Web App folgende Angaben übermitteln, je nach Telegram-Einstellungen, Client-Version und tatsächlich verfügbaren Feldern:

  • Telegram-ID — die numerische Kennung Ihres Kontos in Telegram;
  • Vorname;
  • Nachname, sofern in Telegram angegeben;
  • Benutzername, sofern in Telegram angegeben;
  • Sprachcode (language_code) — die in den Telegram-Einstellungen festgelegte Sprache;
  • URL des Profilbilds in Telegram, sofern es von Telegram in den verfügbaren Feldern übermittelt wird;
  • sonstige technische Profil- oder Interaktionsmerkmale (zum Beispiel Telegram-Premium-Status, Hinweis auf die Erlaubnis des Bots, Ihnen Privatnachrichten zu senden), sofern Telegram sie im Rahmen der Mini App übermittelt.

Wir erhalten von Telegram nicht Ihre Telefonnummer, Ihre E-Mail-Adresse, Ihr Passwort und sonstige Authentifizierungsmittel. Telegram übermittelt uns die Angaben automatisch im Moment des Starts der Plattform.

2.2. E-Mail-Adresse und obligatorische Verifizierung für Geschäftsinhaber

Für Nutzer in der Rolle von Geschäftsinhabern verarbeiten wir zusätzlich:

  • die E-Mail-Adresse, die der Nutzer bei der Erstellung des ersten Geschäftseintrags angegeben hat;
  • die Tatsache und das Datum der Bestätigung der E-Mail durch einen Verifizierungscode, der von unserem Transaktionsanbieter (Resend) versandt wird;
  • die Verknüpfung der E-Mail-Adresse mit der Telegram-ID — zum Zweck der Identifizierung des Nutzers bei formellen Kommunikationen.

Die E-Mail wird als formeller Kommunikationskanal verwendet und ist obligatorisch für die Erstellung eines Geschäftseintrags. Ohne bestätigte E-Mail ist die Funktion zur Erstellung eines Geschäftseintrags nicht verfügbar.

Für Nutzer in der Rolle als Kunden wird beim bloßen Betrachten der Plattform keine E-Mail verlangt. Die E-Mail wird verpflichtend bei der Vornahme formeller Handlungen, die eine Identifizierung erfordern.

2.3. Daten, die Sie selbst angeben

Sie können uns selbständig folgende Angaben mitteilen:

  • Angaben zum Geschäftseintrag: Name, Beschreibung, Kategorie, Geschäftsbereich, Fotografien, Adresse, Öffnungszeiten, Kontaktdaten (einschließlich Telefon, E-Mail, Links zu Websites und sozialen Netzwerken);
  • Einstellungen und Präferenzen (zum Beispiel die Sprache der Benutzeroberfläche, abweichend von Telegram);
  • Mitteilungen, die Sie an den Support-Service senden;
  • sonstige Angaben, die Sie freiwillig auf der Plattform veröffentlichen.

2.4. Technische Daten

Wir erheben automatisch technische Angaben über Ihre Interaktion mit der Plattform:

  • IP-Adresse — zu Zwecken der Sicherheit, des Schutzes vor Angriffen, der Begrenzung der Anfragefrequenz, der Überprüfung der Einhaltung territorialer Beschränkungen (Abschnitt 3.4 der Nutzungsbedingungen);
  • Gerätetyp, Betriebssystem, Version des Telegram-Clients, Version der Plattform — für Kompatibilität und Diagnose;
  • Datum und Uhrzeit der Interaktion mit der Plattform;
  • Aktionen auf der Plattform (Übergänge zwischen Bildschirmen, Klicks oder Tippen auf Schaltflächen, Fehler, Leistungsdaten) — in anonymisierter oder pseudonymisierter Form, sofern dies technisch möglich ist;
  • Fehlerprotokolle — technische Meldungen über Fehler, die im Verlauf des Betriebs der Plattform auftreten.

Terminologische Klarstellung. Wir können technische und produktbezogene Ereignisse der Nutzung der Plattform verarbeiten, einschließlich Übergänge zwischen Bildschirmen, Klicks oder Tippen auf Schaltflächen, Fehler, Leistungsdaten und Angaben zur Kompatibilität, in anonymisierter oder pseudonymisierter Form, sofern dies technisch möglich ist. Wenn solche Angaben mit dem Konto, der Telegram-ID, der IP-Adresse, dem Gerät oder der Sitzung verknüpft werden können, werden sie als personenbezogene Daten betrachtet und gemäß dieser Erklärung verarbeitet.

2.5. Zahlungsdaten

Wenn Sie kostenpflichtige Funktionen der Plattform bezahlen, wird die Zahlung von externen Zahlungsdienstleistern verarbeitet. Der konkrete Anbieter wird in Abschnitt 4 dieser Erklärung nach der Finalisierung des Zahlungsmodells angegeben (siehe docs/legal/launch_checklist.md, Teil 3.5).

Wir speichern keine vollständigen Nummern von Zahlungskarten, CVV-Codes oder sonstige Daten, die im Zahlungsvorgang übermittelt werden. Vom Zahlungsdienstleister können wir nur die Angaben erhalten, die für die Verbuchung der Zahlung erforderlich sind, je nach gewähltem Zahlungsmodell:

  • die Tatsache und den Betrag der Zahlung;
  • die Transaktionskennung;
  • den Zahlungsstatus;
  • den Tarifplan und den Zahlungszeitraum;
  • begrenzte Angaben zum Zahlungsmittel, sofern sie vom Anbieter bereitgestellt werden und für die Anzeige gegenüber dem Nutzer oder die Buchhaltung erforderlich sind;
  • Angaben für die buchhalterische und steuerliche Berichterstattung.

2.6. Annahmeprotokolle von Dokumenten

Bei Ihrer Annahme der Nutzungsbedingungen, der Plattformregeln oder dieser Erklärung protokolliert die Plattform:

  • die Version des angenommenen Dokuments;
  • Datum und Uhrzeit der Annahme (UTC);
  • Ihre Telegram-ID;
  • die IP-Adresse;
  • den Hash (SHA-256) des angenommenen Textes;
  • den Vermerk, ob die Annahme zu Testzwecken (während der geschlossenen Testphase) oder als tatsächliche rechtliche Annahme (nach der öffentlichen Einführung) erfolgt ist.

Die Protokolle werden für die gesetzlich festgelegte Frist aufbewahrt, mindestens jedoch 3 (drei) Jahre nach Beendigung des Kontos. Die Protokolle sind eine Ausnahme vom Recht auf Löschung gemäß Artikel 17 Absatz 3 Buchstabe e DSGVO — sie sind zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

2.7. Email-Adresse und referral Attribution in der Warteliste (waitlist)

Wenn Sie Ihre email im Formular „Warteliste” auf der Website damosta.com oder im Banner des geschlossenen Tests in der Mini App hinterlassen haben, verarbeiten wir die folgenden Kategorien von Daten:

  • die email-Adresse, die Sie im Formular angegeben haben;
  • den Code der Oberflächensprache (locale), in der Sie mit dem Formular interagiert haben, — um die Bestätigungs-email in der entsprechenden Sprache zu senden;
  • Datum und Uhrzeit der Erklärung der Einwilligung zum Erhalt einer Benachrichtigung über den öffentlichen Start — zur Dokumentation der Einwilligung im Sinne von Artikel 7 DSGVO;
  • die Quelle der Anfrage (Website-Seite, Mini App-Banner, sonstiger Einstiegspunkt) — zur Bewertung der Wirksamkeit der Kommunikationskanäle;
  • den referral Code, über den Sie zum Formular gelangt sind, sofern anwendbar, — für die Zwecke des referral program (§ 7.9 der Nutzungsbedingungen);
  • den persönlichen referral Code, der von der Plattform ausschließlich nach Bestätigung Ihrer email durch ein zweistufiges Verfahren (double opt-in) gemäß § 7.9.2 der Nutzungsbedingungen generiert wird, — für Ihre spätere Teilnahme am referral program.

Gesondert führt die Plattform zum Zweck der Verhinderung automatisierter missbräuchlicher Nutzung des Antragsformulars (anti-abuse rate-limiting) einen technischen Eintrag über die Einreichung des Antrags, der einen Hash der IP-Adresse (HMAC-SHA256 mit nicht öffentlichem Salt), minimale technische Merkmale der Formularübermittlung und einen Zeitstempel enthält. Dieser Eintrag wird unabhängig vom Wartelistenantrag erstellt, getrennt davon gespeichert (siehe § 6) und nicht für Zwecke verwendet, die nicht mit dem Schutz des Formulars vor Missbrauch zusammenhängen.

Abgrenzung zur email-Adresse des Business-Inhabers. Die Bestätigung der email in der Warteliste stellt weder die Erstellung eines Accounts, noch die Registrierung eines Business, noch die Bestätigung der email-Adresse des Business-Inhabers im Sinne von § 4.4 der Nutzungsbedingungen dar. Eine in der Warteliste hinterlassene email wird nicht als formeller Kommunikationskanal mit dem Business-Inhaber verwendet und schafft keine Verbindung mit der Telegram ID, bis die betreffende Person eigenständig eine Business-Registrierung mit Bestätigung derselben email über das in § 2.2 dieser Policy beschriebene Verfahren durchläuft.

Sie haben das Recht, Ihre Einwilligung zur Teilnahme an der Warteliste jederzeit durch eine Anfrage an [email protected] zu widerrufen. Der Widerruf der Einwilligung führt zur Löschung Ihrer email-Adresse und der damit verbundenen Wartelistendaten innerhalb einer angemessenen Frist von höchstens 30 (dreißig) Kalendertagen, mit Ausnahme der minimalen Einträge, die zur Bestätigung der referral Attribution (§ 7.9 der Nutzungsbedingungen), zur Erfüllung rechtlicher Verpflichtungen oder zur Verteidigung von Rechtsansprüchen gespeichert werden.

2.8. Cookies und lokaler Speicher

Die Plattform verwendet eine begrenzte Anzahl von cookie Dateien und Mechanismen des lokalen Browserspeichers. Wir verwenden cookies nicht für Werbe-Tracking, websiteübergreifendes Profiling, die Übermittlung von Daten an Werbenetzwerke oder andere Zwecke, die über die nachfolgend ausdrücklich beschriebenen funktionalen Aufgaben hinausgehen.

Aktuelle Zusammensetzung der verwendeten cookies und ähnlichen Technologien:

Technologie Zweck Kategorie Lebensdauer Bedingung für das Setzen
Cookie dps_ref Speicherung des referral Codes, über den der Nutzer auf die Website gelangt ist, zur späteren korrekten Gutschrift eines bonus an den Teilnehmer des referral program (§ 7.9 der Nutzungsbedingungen) Functional / referral attribution 30 (dreißig) Kalendertage ab dem ersten Aufruf über den referral Link Wird nur nach ausdrücklicher Einwilligung des Nutzers gesetzt, die in einem Banner abgefragt wird, der ausschließlich beim Besuch der Website über einen Link mit referral Code angezeigt wird. Ohne Einwilligung wird das cookie nicht gesetzt und referral Attribution nicht angewendet. Wenn das cookie bereits gesetzt ist und seine Laufzeit nicht abgelaufen ist, überschreibt ein erneuter Aufruf über einen anderen referral Link die bestehende Attribution nicht. Die Einwilligung des Nutzers gilt innerhalb der Laufzeit des gesetzten cookie.
Local Storage dps-site-theme Speicherung des vom Nutzer gewählten Website-Designs (hell / dunkel) Strictly necessary — erforderlich zur Anwendung der Anzeigepräferenzen des Nutzers Wird bis zur ausdrücklichen Löschung durch den Nutzer über die Browsereinstellungen gespeichert Wird bei der ersten Änderung des Designs durch den Nutzer gesetzt. Erfordert keine gesonderte Einwilligung, da es ausschließlich zur Bereitstellung der vom Nutzer angeforderten Einstellung verwendet wird, soweit dies nach dem anwendbaren cookie Recht zulässig ist, einschließlich der Anforderungen zur Umsetzung von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG.
Local Storage dps-cookie-consent Speicherung der Auswahl des Nutzers bezüglich des cookie dps_ref (akzeptiert / abgelehnt), damit der Einwilligungsbanner nicht erneut angezeigt wird Strictly necessary — erforderlich zur Umsetzung der vom Nutzer geäußerten Auswahl bezüglich cookies Wird bis zur ausdrücklichen Löschung durch den Nutzer über den Link „Cookies verwalten” im unteren Bereich der Website oder über die Browsereinstellungen gespeichert Wird beim Klick auf eine der Schaltflächen des Einwilligungsbanners gesetzt. Erfordert keine gesonderte Einwilligung, da es ausschließlich zur Umsetzung der Auswahl des Nutzers bezüglich cookies verwendet wird, soweit dies nach dem anwendbaren cookie Recht zulässig ist, einschließlich der Anforderungen zur Umsetzung von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG.

Der Nutzer kann seine Auswahl bezüglich des cookie dps_ref jederzeit über den Link „Cookies verwalten” ändern, der sich im unteren Bereich jeder Seite der Website befindet. Das Öffnen des entsprechenden Bedienfelds lädt die Seite nicht neu und setzt keine neuen cookies vor einer ausdrücklichen Handlung des Nutzers. Die Deaktivierung des cookie dps_ref beeinträchtigt nicht die Möglichkeit, die Plattform zu nutzen und einen Antrag für die Warteliste zu stellen, führt jedoch zum Verlust der referral Attribution — die referral Einladung, über die der Nutzer auf die Website gelangt ist, wird im referral program nicht berücksichtigt.

Im Falle der Hinzufügung neuer cookies oder anderer ähnlicher Technologien wird dieser Abschnitt um Zweck, Kategorie, Lebensdauer und Bedingung für das Setzen ergänzt.

2.9. Webanalyse

Die Plattform verwendet den self-hosted Webanalysedienst Umami, der auf unserer eigenen Infrastruktur in der Europäischen Union betrieben wird. Wir haben uns bewusst für eine self-hosted Lösung mit minimalem Funktionsumfang entschieden, da sie es ermöglicht, ein aggregiertes Bild der Nutzung der Plattform zu verstehen, ohne individuelle Profile zu erstellen, ohne cookies zu verwenden und ohne Daten an externe Analyseanbieter, Werbenetzwerke oder data brokers (Datenvermittler) zu übermitteln.

Was wir erfassen. Die Analyse erfasst ausschließlich aggregierte technische Informationen über den Besuch der Plattform und die Interaktion mit Seiten:

  • Ereignistyp (zum Zeitpunkt des Inkrafttretens dieser Fassung — siehe die nachstehende Kategorienliste);
  • Land (auf Länderebene, ohne genaue Koordinaten und Geolokalisierung);
  • Gerätetyp (Desktop / Tablet / Mobilgerät);
  • Browser und Betriebssystem;
  • Referrer (die vorherige Seite, von der der Besucher gekommen ist);
  • UTM-Parameter, sofern sie in der URL vorhanden sind.

Die IP-Adresse kann während der Anfrage ausschließlich technisch verarbeitet werden, um das Land auf Länderebene zu bestimmen, und wird nicht als Bestandteil des Ereignisses in der Analysedatenbank gespeichert.

Liste der Ereigniskategorien zum Zeitpunkt des Inkrafttretens dieser Fassung:

Kategorie Bedeutung
Seitenaufruf der Umstand, dass eine Seite geöffnet wurde (URL ohne Query-Parameter, die personenbezogene Daten enthalten können)
Ansicht des waitlist-Formulars die Seite mit dem Formular zum Beitritt zur Warteliste wurde geöffnet
Übermittlung des waitlist-Formulars technisches Ergebnis: Sendeversuch, Erfolg, Validierungsfehler (ohne Offenlegung des genauen Fehlercodes), Zustellfehler
Email-Bestätigung Öffnen der Bestätigungs-Landingpage, Klick auf die Bestätigungsschaltfläche, Ansicht der Seite mit erfolgreicher Bestätigung
Änderung der Sprache der Benutzeroberfläche der Nutzer hat die Locale geändert
Änderung des Darstellungsthemas der Nutzer hat zwischen hellem und dunklem Thema gewechselt
Klick auf zentrale CTAs Klick auf die wichtigsten Call-to-Action-Schaltflächen
Klick auf Navigationslinks Klick auf Links im Footer oder Header der Website
Ansicht eines Tarifplans der Block eines bestimmten Tarifs ist in den sichtbaren Bereich des Bildschirms gelangt
Öffnen einer FAQ-Frage der Nutzer hat eine bestimmte Frage in der Liste häufig gestellter Fragen aufgeklappt

Kein Ereignis enthält den Namen des Nutzers, die email-Adresse, telegram_id, Telefonnummer, den Empfehlungscode, Zahlungsstatus, Inhalte von Formularfeldern, den genauen Text von Fehlermeldungen, die personenbezogene Daten enthalten könnten, oder sonstige Identifikatoren einer bestimmten Person. Dies ist ein Invariante der Analysearchitektur, die in unserer internen technischen Dokumentation festgelegt ist.

Neue Ereignisse dürfen keine personenbezogenen Daten oder Identifikatoren einer bestimmten Person enthalten. Eine wesentliche Änderung der Zusammensetzung der Analyse wird in einer aktualisierten Fassung dieses Abschnitts wiedergegeben.

Was wir NICHT erfassen. Die Analyse erhält und speichert nicht:

  • email-Adressen von Nutzern;
  • Telegram ID, telegram username, Namen aus dem Telegram-Profil;
  • Telefonnummern;
  • IP-Adressen als Bestandteil eines Ereignisses (die IP kann ausschließlich „on the fly” zur Bestimmung des Landes verarbeitet werden);
  • Inhalte von Formularfeldern;
  • Inhalte persönlicher Nachrichten;
  • Zahlungsdaten;
  • biometrische Daten, Gesundheitsdaten und andere besondere Kategorien;
  • personenbezogene Identifikatoren (account ID, business ID, referral code);
  • genaue Geolokalisierung (Stadt, Koordinaten).

Wir verwenden die Analyse nicht für Werbeprofiling, seitenübergreifendes Tracking, die Erstellung von Nutzerprofilen, automatisierte Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen oder die Übermittlung von Daten an Werbenetzwerke.

Ereignisse im Zusammenhang mit der Annahme oder Ablehnung von cookies werden nicht an die Webanalyse übermittelt; die Entscheidung des Nutzers wird lokal im Browser gespeichert (siehe § 2.8).

Rechtsgrundlage der Verarbeitung. Rechtsgrundlage für die Verarbeitung von Webanalysedaten ist das berechtigte Interesse des Betreibers (Art. 6(1)(f) GDPR) — das Interesse, die aggregierte Zielgruppe der Plattform zum Zweck ihrer Entwicklung und Verbesserung des Dienstes zu verstehen. Wir gehen davon aus, dass unter diesen Bedingungen das berechtigte Interesse des Betreibers nicht durch die Rechte und Freiheiten der betroffenen Personen überwogen wird: Der Umfang der Daten ist minimiert, cookies werden nicht verwendet, individuelle Profile werden nicht erstellt, und Daten werden nicht an externe Analyseanbieter oder Werbenetzwerke übermittelt.

Cookies und andere Technologien zur Speicherung von Informationen auf dem Gerät. Da die Webanalyse keine cookies, local storage oder andere Mechanismen zur Speicherung oder zum Auslesen von Informationen vom Gerät des Nutzers zu Analysezwecken verwendet, wird für eine solche Analyse keine gesonderte Einwilligung nach Artikel 5(3) der Richtlinie 2002/58/EC eingeholt.

Speicherdauer. Webanalysedaten werden für 180 (einhundertachtzig) Kalendertage ab dem Zeitpunkt ihrer Erhebung gespeichert. Nach Ablauf dieser Frist werden die entsprechenden Einträge automatisch aus der Analysedatenbank gelöscht. Diese Frist wurde als Mindestdauer gewählt, die ausreicht, um saisonale Nutzungstrends der Plattform zu verstehen und gleichzeitig Speicherrisiken zu minimieren.

Datenübermittlung. Die Analyse wird auf unserer eigenen Infrastruktur innerhalb der Europäischen Union betrieben. Webanalysedaten werden nicht an externe Analyseanbieter, Werbenetzwerke oder data brokers übermittelt, nicht verkauft und nicht für verhaltensbezogene Werbung verwendet. Die Verarbeitung kann durch unsere Infrastruktur-Anbieter nur innerhalb der in § 4 dieses Dokuments beschriebenen Grenzen erfolgen.

Beachtung von Do Not Track. Wir beachten den standardmäßigen Browser-Header Do Not Track (DNT). Wenn Ihr Browser den Header DNT: 1 sendet, wird das Webanalyse-Skript auf den Seiten der Plattform nicht initialisiert und es werden keine Daten über Ihre Interaktion erfasst.

Territoriale Verfügbarkeit des Dienstes. Einzelne interaktive Funktionen der Plattform können aus Gebieten, die nicht zu den bedienten Märkten der Plattform gehören, gemäß den Nutzungsbedingungen und Plattformregeln technisch nicht verfügbar sein. Solche Einschränkungen können auf CDN/WAF-Ebene angewendet werden. Minimale CDN/WAF-Sicherheitslogs (timestamp, IP-Adresse, Land, firewall-Entscheidung) können zum Schutz der Infrastruktur erzeugt werden. Dies ist eine von der Webanalyse getrennte Schicht; solche Logs werden nicht für Werbeprofiling oder Webanalyse verwendet.

Ihre Rechte in Bezug auf Webanalysedaten. Da die Webanalyse keine individuellen Identifikatoren speichert, ist die Ausübung des Rechts auf Zugang zu bestimmten Einträgen, die Sie persönlich betreffen, technisch unmöglich — im System besteht keine Verbindung zwischen einem Ereigniseintrag und einer bestimmten Person. Gleichzeitig haben Sie das Recht:

  • der Verarbeitung auf Grundlage des berechtigten Interesses zu widersprechen (Artikel 21 GDPR) — in diesem Fall empfehlen wir, den Do Not Track-Header in den Einstellungen Ihres Browsers zu aktivieren, wodurch Ihre Interaktion automatisch vom Tracking ausgeschlossen wird;
  • zusätzliche Erläuterungen zur Verarbeitung zu erhalten, indem Sie sich an unsere Support-Adresse wenden: [email protected];
  • eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde in Ihrer Gerichtsbarkeit einzureichen.

Änderungen der Ereigniszusammensetzung. Eine wesentliche Änderung der Zusammensetzung der Webanalyse, die Hinzufügung neuer Ereigniskategorien oder eine Änderung der Architektur des Analysedienstes wird in einer aktualisierten Fassung dieses Abschnitts wiedergegeben. Die oben angeführte Kategorienliste gilt zum Zeitpunkt des Inkrafttretens dieser Fassung des Dokuments.

2.10. Daten, die wir NICHT erheben

Wir erheben nicht:

  • Ihren genauen Standort per GPS (sofern Sie nicht die Adresse eines Geschäftseintrags manuell angegeben haben);
  • Angaben über Ihre sonstigen Aktivitäten außerhalb der Plattform;
  • Ihre Kontakte in Telegram, Ihre Korrespondenz in Telegram, sonstige Angaben außerhalb dessen, was Telegram uns im Rahmen der Telegram Mini App übermittelt;
  • biometrische Daten;
  • Gesundheitsdaten;
  • Angaben zur rassischen und ethnischen Herkunft, zu politischen Ansichten, zu religiösen oder weltanschaulichen Überzeugungen, zur Gewerkschaftszugehörigkeit, genetische Daten, Angaben zur sexuellen Orientierung (mit Ausnahme der Fälle, in denen Sie diese Angaben freiwillig im Rahmen eines Geschäftseintrags veröffentlichen — wir empfehlen dies jedoch nicht).

3. Wofür wir Daten verarbeiten (Zwecke und Rechtsgrundlagen)

Gemäß Artikel 6 DSGVO muss jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage haben. Nachstehend geben wir für jeden Verarbeitungszweck die entsprechende Rechtsgrundlage an.

3.1. Bereitstellung der Funktionen der Plattform

Was wir verarbeiten: Telegram-ID, Vorname, Benutzername, Foto, Sprache, E-Mail des Geschäftsinhabers, Inhalt des Geschäftseintrags, technische Daten.

Wofür: um Ihr Konto zu erstellen, Ihnen die Möglichkeit zu geben, Geschäftseinträge zu erstellen und zu verwalten, Ihren Geschäftseintrag anderen Nutzern anzuzeigen, einen formellen Kommunikationskanal mit Geschäftsinhabern über E-Mail bereitzustellen.

Rechtsgrundlage (DSGVO): Artikel 6 Absatz 1 Buchstabe b — Erfüllung eines Vertrages (Nutzungsbedingungen).

3.2. Sicherheit und Schutz vor Missbrauch

Was wir verarbeiten: IP-Adresse, Aktionsprotokolle, technische Daten, Angaben über verdächtige Aktivität, Verbindungsmetadaten zur Überprüfung territorialer Beschränkungen (Abschnitt 3.4 der Nutzungsbedingungen).

Wofür: um Betrug, Cyberangriffe und Verstöße gegen die Regeln aufzudecken und zu unterbinden, die Plattform und andere Nutzer zu schützen; die Einhaltung des Sanktionsrechts und des territorialen Verbots der Russischen Föderation und Belarus zu kontrollieren.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe f — unser berechtigtes Interesse an der Gewährleistung der Sicherheit der Plattform und am Schutz der Nutzer; Artikel 6 Absatz 1 Buchstabe c — Erfüllung einer rechtlichen Verpflichtung zur Einhaltung von Sanktionsregimen.

3.3. Nutzerunterstützung

Was wir verarbeiten: den Inhalt Ihrer Anfragen, Ihre Kontaktdaten.

Wofür: um auf Ihre Fragen zu antworten und Beschwerden zu bearbeiten.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe b — Erfüllung eines Vertrages und vorvertragliche Maßnahmen.

3.4. Verbesserung der Plattform

Was wir verarbeiten: pseudonymisierte Angaben über Aktionen auf der Plattform, technische Angaben, Fehlerprotokolle.

Wofür: um die Funktionalität zu verbessern, Fehler zu beheben, die Leistung zu messen.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe f — berechtigtes Interesse an der Entwicklung und Aufrechterhaltung der Funktionsfähigkeit der Plattform.

3.5. Überwachung von Fehlern und Leistung

Wir können Dienste zur Überwachung von Fehlern, Stabilität und Leistung einsetzen, um Ausfälle zu erkennen, Probleme zu diagnostizieren, die Sicherheit zu schützen und den Betrieb der Plattform zu verbessern. Solche Dienste können technische Daten, Fehlerprotokolle, Geräteangaben, Client-Versionen, Ereigniszeit und einen begrenzten Kontext der Aktion, bei der der Fehler aufgetreten ist, erhalten. Der konkrete Überwachungsdienst wird in Abschnitt 4 dieser Erklärung angegeben.

Überwachungsdienste werden als Auftragsverarbeiter gemäß Artikel 28 DSGVO eingebunden. Vor der öffentlichen Einführung wird der Verantwortliche die entsprechenden Auftragsverarbeitungsverträge (Data Processing Agreements), Verarbeitungsregionen und Garantien für internationale Übermittlungen, sofern anwendbar, prüfen und festschreiben. Wir verwenden diese Daten nicht für Werbeprofilbildung und übermitteln sie nicht an Datenmakler.

3.6. Rechtliche Verpflichtungen

Was wir verarbeiten: Angaben, die nach anwendbarem Recht aufzubewahren sind (buchhalterische und steuerliche Berichterstattung, Annahmeprotokolle der Bedingungen, Angaben zu Zahlungen).

Wofür: um zwingende gesetzliche Anforderungen einzuhalten.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe c — Erfüllung einer rechtlichen Verpflichtung.

3.7. Schutz von Rechten und Rechtsansprüchen

Was wir verarbeiten: Angaben, die Streitigkeiten, Forderungen und Klagen betreffen.

Wofür: um unsere berechtigten Rechte geltend zu machen, auszuüben oder zu verteidigen; Beschwerden zu bearbeiten; auf Ersuchen staatlicher Behörden zu reagieren.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe f — berechtigtes Interesse.

3.8. Servicemitteilungen und Marketing

Servicemitteilungen. Wir können Ihnen Mitteilungen senden, die für den Betrieb der Plattform erforderlich sind: Änderungen der Bedingungen, der Erklärung oder der Regeln, Sicherheitsmitteilungen, Wiederherstellung des Zugangs, Maßnahmen, Zahlungen und sonstige rechtlich oder technisch erhebliche Mitteilungen.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe b DSGVO — Erfüllung eines Vertrages; Artikel 6 Absatz 1 Buchstabe c DSGVO — Erfüllung einer rechtlichen Verpflichtung; Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse an der Aufrechterhaltung der Sicherheit und des ordnungsgemäßen Betriebs der Plattform.

Marketingmitteilungen. Wir können Informationen über neue Funktionen, Aktualisierungen oder Angebote der Plattform nur in dem nach anwendbarem Recht zulässigen Umfang und mit der Möglichkeit zum Widerspruch gegen solche Mitteilungen senden.

Rechtsgrundlage: Artikel 6 Absatz 1 Buchstabe a DSGVO — Einwilligung, sofern erforderlich; oder Artikel 6 Absatz 1 Buchstabe f DSGVO — berechtigtes Interesse an der Information bestehender Nutzer über verbundene Funktionen der Plattform, sofern eine solche Information gesetzlich zulässig ist.

Sie haben jederzeit das Recht, Marketingmitteilungen zu widersprechen (siehe Abschnitt 7). Der Widerspruch gegen Marketing berührt nicht den Empfang von Service-, Sicherheits- oder rechtlich erheblichen Mitteilungen.

3.9. Wofür wir Ihre Daten NICHT verwenden

  • wir verkaufen Ihre personenbezogenen Daten nicht an Dritte;
  • wir verwenden Ihre Daten nicht für gezielte Werbung außerhalb der Plattform;
  • wir übermitteln Ihre Daten nicht an Datenmakler, Werbenetzwerke oder Profilbildungsdienste;
  • wir profilieren Sie nicht für das Treffen automatisierter Entscheidungen mit rechtlichen Folgen (siehe Abschnitt 9).

3.10. Information über den öffentlichen Start der Plattform (Warteliste)

Was wir verarbeiten: email-Adresse, locale, Datum der Einwilligung, Quelle des Antrags, referral Code, persönlicher referral Code sowie Tatsache und Datum der Bestätigung der email durch ein zweistufiges Verfahren.

Gesondert, im Rahmen des anti-abuse Eintrags, — Hash der IP-Adresse und minimale technische Merkmale der Formularübermittlung.

Warum:

(a) um dem Nutzer eine einmalige Benachrichtigung über den öffentlichen Start der Plattform DAMOSTA an die angegebene email-Adresse zu senden;

(b) um dem Nutzer einen persönlichen referral Code für die Teilnahme am referral program gemäß § 7.9 der Nutzungsbedingungen bereitzustellen, sofern der Nutzer die email durch ein zweistufiges Verfahren bestätigt hat;

(c) um referral Attribution korrekt zu berücksichtigen, wenn der Nutzer über den referral Link einer anderen Person zur Warteliste gelangt ist und in das Setzen des cookie dps_ref eingewilligt hat;

(d) um das Antragsformular vor automatisiertem Missbrauch zu schützen, einschließlich massenhafter Antragseinreichungen und Angriffe auf die Zustellbarkeit des email Kanals, unter Anwendung von Datenminimierung und begrenzter Speicherdauer technischer Merkmale.

Rechtsgrundlage:

Artikel 6 Absatz 1 Buchstabe a DSGVO — die ausdrückliche Einwilligung des Nutzers, ausgedrückt durch eine aktive Handlung (Eingabe der email-Adresse und Betätigung der entsprechenden Schaltfläche in einem Formular mit klar angegebenem Zweck), in Bezug auf die Verarbeitung der email-Adresse, des locale, der Tatsache der Einwilligung, der Quelle des Antrags und der referral Attribution;

Artikel 6 Absatz 1 Buchstabe f DSGVO — das berechtigte Interesse der Plattform an der Gewährleistung der Sicherheit des Antragsformulars, der Verhinderung massenhafter automatisierter Missbräuche und dem Schutz der Zustellbarkeit des email Kanals, in Bezug auf den Hash der IP-Adresse und die technischen Metadaten der Antragseinreichung. Die angewendeten Maßnahmen — Pseudonymisierung der IP-Adresse mittels HMAC-SHA256 mit nicht öffentlichem Salt, getrennte Speicherung vom Wartelistenantrag, begrenzte Speicherdauer, keine Verwendung für Zwecke, die nicht mit anti-abuse rate-limiting zusammenhängen — gewährleisten die Verhältnismäßigkeit der Verarbeitung gegenüber dem angegebenen Zweck und den Ausgleich zwischen den Interessen der Plattform und den Rechten der betroffenen Person.

Der Nutzer hat das Recht, seine Einwilligung zur Teilnahme an der Warteliste jederzeit gemäß § 2.7 dieser Policy zu widerrufen, ohne Begründungspflicht und ohne nachteilige Folgen für die Möglichkeit, die Plattform künftig zu nutzen.

4. An wen wir Daten übermitteln

4.1. Auftragsverarbeiter, die in unserem Auftrag handeln

Wir binden Drittanbieter (Auftragsverarbeiter im Sinne der DSGVO) ein, die Daten ausschließlich nach unseren Weisungen und in unserem Interesse verarbeiten.

Für die geschlossene Testphase ist nachstehend der aktuelle technische Stack und die erwarteten Kategorien von Auftragsverarbeitern angegeben. Vor der öffentlichen Einführung wird der Verantwortliche die endgültigen Angaben zu den Auftragsverarbeitern, die Verarbeitungsregionen, das Vorliegen von AVV, SVK oder sonstigen erforderlichen Garantien für internationale Übermittlungen prüfen und festschreiben.

Aktuelle Zusammensetzung der Auftragsverarbeiter (zum Datum der letzten Aktualisierung der Erklärung):

Kategorie Anbieter Land der Zuständigkeit / Standort der Server Auftragsverarbeitungsvertrag / Garantien
DNS, Proxy, Routing eingehender E-Mails, Hosting der öffentlichen Webseite Cloudflare, Inc. USA (Hauptsitz); globales Netzwerk, EU-Zentren verfügbar Unterliegt der Prüfung und Festschreibung vor der öffentlichen Einführung
Hosting des Backends und der Datenbanken DigitalOcean, LLC USA (Hauptsitz); Server in Frankfurt (FRA1, Deutschland) Unterliegt der Prüfung und Festschreibung vor der öffentlichen Einführung
Transaktions-E-Mail und SMTP-Versand im Namen der Domain Resend (Resend, Inc.) USA (Hauptsitz); Verarbeitungsregion eu-west-1 (Irland) Unterliegt der Prüfung und Festschreibung vor der öffentlichen Einführung
Überwachung von Fehlern und Leistung Sentry (Functional Software, Inc., d/b/a Sentry) USA (Hauptsitz); Region sentry.io/eu (Irland/Deutschland) Unterliegt der Prüfung und Festschreibung vor der öffentlichen Einführung
Zahlungsvorgänge (bei kostenpflichtigen Tarifen) Wird nach der Finalisierung des Zahlungsmodells angegeben — siehe docs/legal/launch_checklist.md, Teil 3.5 TBD TBD
Rechtliche, buchhalterische und Wirtschaftsprüfungsberater Bei Bedarf Nach der Zuständigkeit des Beraters Vertraulichkeitsvereinbarungen

Vor der öffentlichen Einführung werden mit allen ständigen Auftragsverarbeitern Verträge zur Verarbeitung personenbezogener Daten (Auftragsverarbeitungsvertrag, AVV) abgeschlossen, die diese zur Einhaltung der Standards der DSGVO verpflichten.

4.2. Telegram

Telegram Messenger Inc. erhebt selbst bestimmte Angaben über Ihre Interaktion mit dem Bot und der Mini App gemäß seiner Datenschutzerklärung. Telegram ist nicht unser Auftragsverarbeiter — Telegram ist eigenständiger Verantwortlicher für die von Telegram verarbeiteten Daten. Wenn Sie wissen möchten, was Telegram erhebt, wenden Sie sich an die Datenschutzerklärung von Telegram.

4.3. Offenlegung aufgrund gesetzlicher Anforderung

Wir legen personenbezogene Daten offen:

  • auf zwingendes Ersuchen einer zuständigen staatlichen Behörde (Gericht, Staatsanwaltschaft, Polizei, Steuerbehörden und sonstige) — in dem nach anwendbarem Recht ausdrücklich vorgesehenen Umfang;
  • zum Schutz von Leben und Gesundheit von Menschen in Notsituationen;
  • zur Verhinderung und Unterbindung von Straftaten;
  • zum Schutz unserer berechtigten Rechte in gerichtlichen, verwaltungsrechtlichen und sonstigen Verfahren;
  • zur Einhaltung des Sanktionsrechts, der Rechtsvorschriften zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung.

In solchen Fällen sind wir bestrebt, den minimal erforderlichen Umfang an Angaben offenzulegen und den betroffenen Nutzer zu benachrichtigen, sofern dies gesetzlich zulässig ist.

4.4. Übermittlung im Falle einer Reorganisation

Im Falle einer Verschmelzung, Übernahme, eines Verkaufs des Geschäfts, einer Reorganisation oder einer Insolvenz können wir personenbezogene Daten an den neuen Eigentümer oder Rechtsnachfolger übermitteln. In diesem Fall benachrichtigen wir die Nutzer im Voraus, und der neue Eigentümer ist verpflichtet, ein Schutzniveau zu gewährleisten, das nicht unter dem in dieser Erklärung festgelegten liegt.

4.5. Wir übermitteln nicht an beliebige Dritte

Wir übermitteln Ihre Daten nicht:

  • an Werbetreibende;
  • an Datenmakler;
  • an andere Plattformen zu kommerziellen Zwecken;
  • an andere Nutzer, mit Ausnahme der Fälle, in denen die Nutzer selbst freiwillig Angaben im Rahmen eines Geschäftseintrags veröffentlichen.

5. Wo wir Daten speichern

5.1. Hauptspeicherung

Die Server, auf denen die Daten der Nutzer gespeichert werden, befinden sich in Deutschland (Frankfurt, Rechenzentrum DigitalOcean FRA1). Bei der Wahl des Speicherortes bevorzugen wir Rechtsordnungen mit zuverlässigem Schutz personenbezogener Daten und entsprechenden EU-Standards.

Zusätzlich können einzelne Datenkategorien durch folgende Infrastruktur geleitet werden:

  • Cloudflare (globales Proxy- und DNS-Netzwerk mit Möglichkeit zum Routing über EU-Zentren);
  • Resend (Region eu-west-1, Irland) — für Transaktions-E-Mails;
  • Sentry (Region EU, Irland / Deutschland) — für Fehlerprotokolle.

5.2. Internationale Übermittlung

Wenn im Verlauf des Betriebs der Plattform Daten in ein Land außerhalb Ihrer Rechtsordnung übermittelt werden (zum Beispiel für Nutzer im EWR — außerhalb des EWR über Infrastrukturpartner mit globaler Präsenz), gewährleisten wir angemessene Garantien:

  • Übermittlung in Länder, für die die EU ein angemessenes Schutzniveau anerkannt hat (Angemessenheitsbeschluss);
  • Standardvertragsklauseln (Standard Contractual Clauses, SCC), die von der Europäischen Kommission genehmigt wurden;
  • sonstige in Kapitel V der DSGVO vorgesehene Mechanismen.

Wenn ein Anbieter seinen Hauptsitz oder seine Unternehmensgruppe außerhalb des EWR hat, können in bestimmten Fällen Zugriff auf die Daten oder deren technische Wartung von außerhalb des EWR erfolgen, auch wenn die Hauptregion der Speicherung in der EU gewählt wurde. In solchen Fällen wenden wir entsprechende Garantien gemäß Kapitel V der DSGVO an, einschließlich SCC und zusätzlicher technischer und organisatorischer Maßnahmen, sofern erforderlich.

Die Liste der aktuellen internationalen Übermittlungen und der anwendbaren Garantien ist auf Anfrage unter [email protected] verfügbar.

6. Wie lange wir Daten speichern

Die nachstehend angegebenen Fristen sind Basisfristen für die Speicherung während der geschlossenen Testphase und können vor der öffentlichen Einführung je nach gewählter Rechtsordnung des Verantwortlichen, Zahlungsmodell sowie steuerlichen und buchhalterischen Anforderungen präzisiert werden. Wenn das Gesetz eine längere Speicherfrist verlangt oder die Daten für eine Streitigkeit, eine Untersuchung oder den Schutz von Rechten erforderlich sind, speichern wir sie für die erforderliche Frist.

Datenkategorie Speicherfrist
Basisdaten des Kontos (Telegram-ID, Vorname, Sprache) Solange das Konto aktiv ist; nach Löschung — bis zu 30 Tage in der Hauptdatenbank, bis zu 90 Tage in Sicherungskopien
E-Mail des Geschäftsinhabers und Verknüpfung mit der Telegram-ID Solange das Konto aktiv ist; nach Löschung — bis zu 30 Tage (unter Berücksichtigung von Ausnahmen, wenn die E-Mail in Annahmeprotokollen von Dokumenten erscheint)
Inhalt des Geschäftseintrags Solange der Geschäftseintrag aktiv ist; nach Löschung — bis zu 30 Tage (danach — Anonymisierung oder Löschung)
Aktionsprotokolle und technische Logs Bis zu 12 Monate (zu Sicherheits- und Diagnosezwecken)
Annahmeprotokolle der Bedingungen, Regeln und Erklärung Mindestens 3 Jahre nach Beendigung des Kontos (zur Verteidigung in möglichen Streitigkeiten)
Angaben zu Zahlungen und Finanzberichterstattung In den nach anwendbarem Steuer- und Bilanzrecht vorgesehenen Fristen (in der Regel 3–7 Jahre)
Korrespondenz mit dem Support Bis zu 2 Jahre ab dem Zeitpunkt des Abschlusses der Anfrage
Angaben im Zusammenhang mit der Untersuchung von Vorfällen oder einem aktiven Rechtsstreit Bis zum Abschluss der entsprechenden Verfahren und dem Ablauf der Anfechtungsfristen

Nach Ablauf der Fristen werden die Daten gelöscht oder anonymisiert (in eine Form gebracht, die keine Identifizierung mit einer bestimmten Person ermöglicht).

6.1. Daten der Warteliste (waitlist) und zugehörige technische Einträge

Unbestätigte Anträge (email vom Nutzer angegeben, aber Bestätigung über den Link in der email nicht ausgeführt): werden für 24 (vierundzwanzig) Stunden ab Einreichung gespeichert und danach automatisch gelöscht. Der technische Bestätigungs-token wird in Hash-Form gespeichert und zusammen mit dem Antrag gelöscht.

Bestätigte Anträge hinsichtlich der email-Adresse: werden bis zum Datum des öffentlichen Starts der Plattform und für 30 (dreißig) Kalendertage nach der einmaligen Versendung der Startbenachrichtigung gespeichert. Nach Ablauf dieser Frist werden die email-Adresse und die damit verbundenen Identifikationsdaten der Warteliste gelöscht. Wenn die betreffende Person zum Zeitpunkt der Löschung eigenständig eine Business-Registrierung mit Bestätigung derselben email-Adresse nach dem in § 2.2 dieser Policy und § 4.4 der Nutzungsbedingungen beschriebenen Verfahren durchlaufen hat, wird die email-Adresse im Rahmen des Lebenszyklus des Accounts des Business-Inhabers verarbeitet. Die übrigen Wartelistendaten werden gemäß diesem Abschnitt gelöscht.

Minimale Einträge zur referral Attribution: der persönliche referral Code des Nutzers, Informationen über von ihm geworbene Nutzer und Informationen über die referral Attribution, über die der Nutzer selbst zur Warteliste gelangt ist, werden getrennt für die Dauer der jeweiligen referral bonuses und den Zeitraum gespeichert, der zur Überprüfung der korrekten Gutschrift erforderlich ist, gemäß den in § 7.9 der Nutzungsbedingungen festgelegten Fristen, insbesondere § 7.9.9, — jedoch höchstens 12 (zwölf) Kalendermonate ab Bestätigung der email des Nutzers, sofern sich aus der Anwendung der bonuses auf ein aktives Abonnement nichts anderes ergibt.

Anti-abuse Eintrag zur Antragseinreichung (Hash der IP-Adresse und minimale technische Merkmale): wird getrennt vom Wartelistenantrag für 30 (dreißig) Kalendertage ab Einreichung gespeichert und danach automatisch gelöscht. Das System speichert die ursprüngliche IP-Adresse nicht als Bestandteil des waitlist Antrags oder des anti-abuse Eintrags; der Hash wird ausschließlich verwendet, um wiederholte Anträge innerhalb der angegebenen Speicherfrist zum Zweck des rate-limiting abzugleichen.

Cookie dps_ref auf dem Gerät des Besuchers: 30 (dreißig) Kalendertage ab dem Zeitpunkt des Setzens. Local Storage dps-cookie-consent und dps-site-theme: bis zur ausdrücklichen Löschung durch den Nutzer über den Link „Cookies verwalten” oder die Browsereinstellungen.

Anfragen zum Widerruf der Einwilligung: werden innerhalb von höchstens 30 (dreißig) Kalendertagen ab Eingang bearbeitet, unter Berücksichtigung der oben genannten Ausnahmen bezüglich minimaler Einträge zur referral Attribution, sofern solche Einträge zum Zeitpunkt des Widerrufs erforderlich sind, um bereits gutgeschriebene oder gutzuschreibende bonuses zugunsten Dritter — Teilnehmer des referral program — zu bestätigen.

6.2. Lebenszyklus des Abonnements und Löschung von Daten

Die Aufbewahrungsfristen und das Verfahren zur Löschung personenbezogener Daten des Geschäftsinhabers, der Inhalte des Geschäftseintrags und der damit verbundenen Kundendaten im Falle des Ablaufs des Probezeitraums ohne Zahlung des kostenpflichtigen Abonnements, der Kündigung des kostenpflichtigen Abonnements oder dessen Nichtverlängerung sind in § 7.4 der Nutzungsbedingungen beschrieben, insbesondere in den Bestimmungen über den eingefrorenen Modus, den Archivmodus, die 90-tägige Aufbewahrungsfrist, die Datenlöschung, Ausnahmen für rechtlich erforderliche Aufzeichnungen und sensible Handlungen, die nur dem Geschäftsinhaber zur Verfügung stehen.

Schutzidentifikatoren, die auf Grundlage der Telegram-Kennung und der Email-Adresse gebildet werden, dürfen für den Zeitraum gespeichert werden, der erforderlich ist, um Missbrauch des Probezeitraums zu verhindern und die berechtigten Interessen des Betreibers zu schützen. Die Email-Adresse wird nicht im Klartext gespeichert, sondern als kryptografischer Hash verarbeitet. Diese Speicherung erfolgt auf Grundlage des berechtigten Interesses des Betreibers gemäß Art. 6(1)(f) GDPR, und das Hashing der Email-Adresse stellt eine Pseudonymisierungsmaßnahme im Sinne von Art. 4(5) GDPR dar.

7. Ihre Rechte

Gemäß der DSGVO (Artikel 12–22) und entsprechenden Vorschriften des anwendbaren Rechts haben Sie hinsichtlich Ihrer personenbezogenen Daten folgende Rechte:

7.1. Recht auf Auskunft (Artikel 15 DSGVO)

Sie haben das Recht, von uns eine Bestätigung darüber zu erhalten, ob Sie betreffende personenbezogene Daten verarbeitet werden, und falls ja — eine Kopie der verarbeiteten Daten sowie Angaben zu den Zwecken, Kategorien, Empfängern, Speicherfristen, Quellen und zum Vorliegen einer automatisierten Entscheidungsfindung.

7.2. Recht auf Berichtigung (Artikel 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder unvollständiger Daten zu verlangen. Den größten Teil der Angaben können Sie selbständig über die Benutzeroberfläche der Plattform berichtigen.

7.3. Recht auf Löschung („Recht auf Vergessenwerden”, Artikel 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn:

  • die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind;
  • Sie die Einwilligung widerrufen, auf die sich die Verarbeitung stützt, und keine andere Rechtsgrundlage besteht;
  • Sie der Verarbeitung widersprechen und keine vorrangigen berechtigten Gründe vorliegen;
  • die Daten unrechtmäßig verarbeitet werden;
  • die Daten aufgrund einer rechtlichen Verpflichtung zu löschen sind.

Das Recht auf Löschung gilt nicht, wenn die Speicherung erforderlich ist für:

  • die Erfüllung einer rechtlichen Verpflichtung (zum Beispiel steuerliche Berichterstattung);
  • die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (einschließlich der Annahmeprotokolle von Dokumenten — Abschnitt 2.6);
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit;
  • archivarische, wissenschaftliche, Forschungs- oder statistische Zwecke mit angemessenen Garantien;
  • die Freiheit der Meinungsäußerung und Information.

7.4. Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)

Sie haben das Recht, eine Einschränkung der Verarbeitung in Fällen zu verlangen, in denen Sie die Richtigkeit der Daten bestreiten, die Verarbeitung für unrechtmäßig halten oder wir die Daten nicht mehr benötigen, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung Ihrer Rechte benötigen.

7.5. Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (zum Beispiel JSON oder CSV) zu erhalten und sie einem anderen Verantwortlichen zu übermitteln.

7.6. Widerspruchsrecht (Artikel 21 DSGVO)

Sie haben das Recht, der Verarbeitung, die auf unseren berechtigten Interessen beruht (siehe Abschnitt 3), zu widersprechen. Wir stellen die Verarbeitung ein, sofern wir nicht das Vorliegen vorrangiger berechtigter Gründe nachweisen oder die Verarbeitung nicht zur Verteidigung von Rechtsansprüchen erforderlich ist.

In Bezug auf Direktwerbung haben Sie das Recht, ohne Begründung zu widersprechen, und wir werden die Verarbeitung zu diesen Zwecken unverzüglich einstellen.

7.7. Recht auf Widerruf der Einwilligung (Artikel 7 DSGVO)

Wenn die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

7.8. Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden (Artikel 22 DSGVO)

Sie haben das Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, wenn solche Entscheidungen Ihnen gegenüber rechtliche oder ähnlich erhebliche Folgen entfalten. Siehe Abschnitt 9.

7.9. Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77 DSGVO)

Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen, in erster Linie bei der Behörde des Mitgliedstaats Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes der mutmaßlichen Verletzung.

Liste der Aufsichtsbehörden im EWR: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

In der Ukraine — der Beauftragte der Werchowna Rada der Ukraine für Menschenrechte: https://www.ombudsman.gov.ua.

7.10. Wie Sie Ihre Rechte ausüben

Um eines der genannten Rechte auszuüben, senden Sie eine Anfrage:

  • über die Benutzeroberfläche der Plattform (für einzelne Funktionen — Löschung des Kontos, Datenexport);
  • an die Adresse [email protected].

Wir antworten auf Anfragen innerhalb von 30 (dreißig) Kalendertagen. In komplexen Fällen kann diese Frist um weitere 60 Tage verlängert werden, wobei wir Sie über die Gründe der Verlängerung informieren.

Die Ausübung der Rechte ist unentgeltlich, mit Ausnahme der Fälle offenkundig unbegründeter oder übermäßiger Anfragen (zum Beispiel wiederholter Anfragen), in denen wir berechtigt sind, entweder ein angemessenes Entgelt zu verlangen oder die Bearbeitung mit Begründung abzulehnen.

Zur Bestätigung Ihrer Identität vor der Bearbeitung der Anfrage können wir zusätzliche Angaben anfordern. Wenn die Anfrage von einer verifizierten E-Mail-Adresse, die mit dem Konto verknüpft ist, gesendet wird, kann dies als einer der Faktoren der Identitätsbestätigung berücksichtigt werden, wir können jedoch eine zusätzliche Überprüfung anfordern, wenn die Anfrage die Löschung, den Export oder die Änderung kritischer Daten betrifft oder wenn ein Risiko unbefugten Zugriffs besteht.

8. Cookies und ähnliche Technologien

8.1. Was wir verwenden

Die Plattform funktioniert überwiegend als Telegram Mini App, weshalb traditionelle „Cookies” begrenzt verwendet werden. Wir setzen folgende Technologien zur Speicherung von Angaben auf Ihrem Gerät ein:

  • localStorage und sessionStorage in der Telegram Mini App — zur Speicherung der Spracheinstellungen, des Vermerks über die Annahme der Bedingungen, des Cache der Benutzeroberfläche;
  • technische Sitzungskennungen — ausschließlich zur Autorisierung, ohne Werbeverfolgung zwischen verschiedenen Diensten.

Wir verwenden keine Cookies zur Verfolgung Ihrer Aktivität in anderen Anwendungen und auf anderen Websites und übermitteln Cookies nicht zu Werbezwecken an Dritte.

8.2. Verwaltung

Sie können den lokalen Speicher über die Einstellungen des Browsers oder der Telegram-App löschen. Die Löschung führt dazu, dass beim nächsten Start eine erneute Sprachauswahl und eine erneute Annahme der Bedingungen erforderlich sind.

9. Automatisierte Entscheidungsfindung und Profilbildung

9.1. Was wir tun

Wir wenden eine automatisierte Verarbeitung an für:

  • den technischen Betrieb der Plattform (zum Beispiel die Anzeige von Geschäftseinträgen je nach gewählter Kategorie und Sprache);
  • die Erkennung von Missbrauch (zum Beispiel Anzeichen von Manipulation, Spam, Betrug);
  • die Begrenzung der Anfragefrequenz (Rate Limiting) zum Schutz vor Angriffen;
  • die Überprüfung der Einhaltung territorialer Beschränkungen (Abschnitt 3.4 der Nutzungsbedingungen).

9.2. Was wir nicht tun

Wir treffen keine automatisierten Entscheidungen, die Ihnen gegenüber rechtliche Folgen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, ausschließlich auf der Grundlage automatisierter Verarbeitung.

Entscheidungen über die Anwendung von Maßnahmen mit erheblichen Folgen (dauerhafte Sperrung des Kontos, Löschung eines Geschäftseintrags) werden unter Beteiligung eines Menschen getroffen oder unterliegen auf Ihre Anfrage hin einer Überprüfung unter Beteiligung eines Menschen. Wenn Sie der Auffassung sind, dass Ihnen gegenüber eine Entscheidung getroffen wurde, die ausschließlich auf automatisierter Verarbeitung beruht, und Sie deren Überprüfung wünschen — wenden Sie sich an die Adresse [email protected].

10. Datensicherheit

Wir wenden technische und organisatorische Maßnahmen an, die in angemessener Weise den Risiken der Verarbeitung entsprechen:

  • Verschlüsselung übertragener Daten (HTTPS/TLS);
  • Verschlüsselung gespeicherter Daten, soweit dies für den jeweiligen Infrastrukturanbieter technisch möglich ist;
  • Zugangsbeschränkung für Mitarbeiter und Auftragnehmer nach dem Prinzip der Erforderlichkeit;
  • Zugangsprotokolle für sensible Daten;
  • Sicherungskopien mit regelmäßiger Integritätsprüfung;
  • Aktualisierung von Abhängigkeiten und Audit von Schwachstellen;
  • Zwei-Faktor-Authentifizierung für administrative Konten;
  • Überwachung von Fehlern und Vorfällen über einen spezialisierten Dienst, vorrangig unter Nutzung der EU-Region, sofern eine solche Region verfügbar und konfiguriert ist;
  • Schulung der Mitarbeiter in den Regeln der Verarbeitung personenbezogener Daten (mit zunehmendem Wachstum des Teams).

10.1. Mitteilungen über Datenschutzverletzungen (Data Breach)

Im Falle einer Verletzung der Sicherheit personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten der Nutzer darstellen kann, gehen wir wie folgt vor:

  • Wir benachrichtigen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab dem Zeitpunkt der Feststellung (Artikel 33 DSGVO);
  • wenn die Verletzung ein hohes Risiko darstellt — benachrichtigen wir die betroffenen Nutzer direkt und ohne unbegründete Verzögerung an ihre verifizierte E-Mail-Adresse (Artikel 34 DSGVO);
  • wir untersuchen die Ursachen und treffen Maßnahmen zur Verhinderung einer Wiederholung.

11. Kinder

Die Plattform ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine Daten über Kinder. Erfahren wir, dass Daten einer Person unter 18 Jahren über die Nutzung der Plattform erhoben wurden, löschen wir solche Daten zum frühestmöglichen Zeitpunkt, mit Ausnahme von Angaben, die vorübergehend zur Sicherheit, zur Verhinderung von Missbrauch oder zur Erfüllung einer rechtlichen Verpflichtung aufzubewahren sind.

Wenn Sie ein Elternteil oder gesetzlicher Vertreter sind und der Auffassung sind, dass Ihr Kind Zugang zur Plattform erhalten und uns Angaben übermittelt hat, wenden Sie sich an die Adresse [email protected], und wir löschen die Daten.

12. Änderungen der Erklärung

Wir sind berechtigt, Änderungen an der Erklärung vorzunehmen. Über wesentliche Änderungen informieren wir die Geschäftsinhaber an deren verifizierte E-Mail-Adresse mindestens 14 Kalendertage vor deren Inkrafttreten. Zusätzlich werden die Änderungen auf der Plattform veröffentlicht. Das Datum der letzten Aktualisierung ist am Anfang des Dokuments angegeben.

Versionsverlauf. Die aktuelle Version der Erklärung wird auf der Seite https://damosta.com/privacy veröffentlicht. Alle früheren Versionen werden aufbewahrt und sind über permanente Links im Versionsarchiv auf der Seite https://damosta.com/privacy/history verfügbar. Auf Anfrage werden Ihnen frühere Versionen der Erklärung bereitgestellt.

13. Jurisdiktionelle Hinweise

13.1. Für Nutzer in der Europäischen Union

Anwendbares Datenschutzrecht: DSGVO (Verordnung (EU) 2016/679) und nationale Gesetze der Mitgliedstaaten des EWR. Aufsichtsbehörde: angegeben in Abschnitt 7.9.

13.2. Für Nutzer in der Ukraine

Anwendbares Recht: Gesetz der Ukraine „Über den Schutz personenbezogener Daten”. Aufsichtsbehörde: der Beauftragte der Werchowna Rada der Ukraine für Menschenrechte.

13.3. Für Nutzer im Vereinigten Königreich

Anwendbares Recht: UK GDPR und Data Protection Act 2018. Aufsichtsbehörde: Information Commissioner’s Office (ICO).

13.4. Für Nutzer in anderen Ländern

Das anwendbare Datenschutzrecht des Landes Ihres Wohnsitzes, soweit seine zwingenden Vorschriften Anwendung finden.

14. Sprachen

Die Erklärung wird in mehreren Sprachen veröffentlicht. Die ukrainischsprachige Fassung ist die maßgebliche Rechtsversion. Übersetzungen werden zur Bequemlichkeit der Nutzer bereitgestellt und haben keinen Vorrang vor der maßgeblichen Fassung. Wenn das anwendbare zwingende Recht des Wohnsitzlandes eines Verbraucher-Nutzers die Bereitstellung des Dokuments in der Amtssprache dieses Landes verlangt oder dem Verbraucher Schutz unabhängig von der gewählten Sprache gewährt, bleiben solche Anforderungen im verbindlichen Teil in Kraft.

15. Kontakte

Zu Fragen der Verarbeitung personenbezogener Daten: [email protected] Ausübung der Rechte des Datensubjekts: [email protected] Mitteilungen über Sicherheitsvorfälle: [email protected] Vertreter in der EU (sofern anwendbar, Artikel 27 DSGVO): wird nach der Bewertung der Notwendigkeit angegeben — siehe Teil 1.1 DSB (sofern anwendbar): wird nach der Bewertung der Notwendigkeit angegeben — siehe Teil 1.2

Juristische Angaben des Verantwortlichen: werden nach der Registrierung der juristischen Person angegeben — siehe docs/legal/launch_checklist.md, Teil 3.1.

Anhang A: Kurzzusammenfassung (TL;DR)

Falls Sie keine Zeit haben, alles zu lesen — das Wichtigste:

  1. Wir erhalten von Telegram nur grundlegende Angaben, die Telegram über die Mini App übermittelt: ID, Vorname, Benutzername, Sprache sowie Profilbild oder sonstige technische Merkmale — sofern Telegram solche Felder übermittelt.
  2. Für Geschäftsinhaber ist zusätzlich eine verifizierte E-Mail-Adresse erforderlich — sie ist der formelle Kommunikationskanal und obligatorisch für die Erstellung eines Geschäftseintrags.
  3. Wir speichern, was Sie selbst im Rahmen eines Geschäftseintrags veröffentlichen (Texte, Fotografien, Kontakte).
  4. Wir verkaufen Ihre Daten nicht.
  5. Wir zeigen Ihnen keine Werbung Dritter.
  6. Wir übermitteln Daten nicht an Werbenetzwerke.
  7. Wir speichern Daten auf Servern in Deutschland (Frankfurt, DigitalOcean).
  8. Wir nutzen Auftragsverarbeiter (Cloudflare, DigitalOcean, Resend, Sentry). Vor der öffentlichen Einführung werden das endgültige Verzeichnis der Auftragsverarbeiter, die Verarbeitungsregionen und die Auftragsverarbeitungsverträge geprüft und festgeschrieben.
  9. Sie haben das Recht, Ihre Daten einzusehen, zu berichtigen, zu löschen und in einer Datei abzurufen. Schreiben Sie an [email protected] — wir prüfen Ihre Anfrage gemäß dieser Erklärung.
  10. Wenn etwas nicht in Ordnung ist — schreiben Sie an [email protected] oder beschweren Sie sich bei der Aufsichtsbehörde Ihres Wohnsitzlandes.
  11. Wenn Sie unter 18 Jahre alt sind — die Plattform ist nicht für Sie, nutzen Sie sie nicht.

Ende des Dokuments „Datenschutzerklärung der DAMOSTA-Plattform”, Version 1.0 (geschlossene Testphase).

Alle offenen Entscheidungen, die vor der öffentlichen Einführung zu schließen sind, sind in docs/legal/launch_checklist.md, Teil 3, aufgeführt.

Archiv früherer Versionen: Versionsgeschichte