TCGMARK
Войти Регистрация
Войти Регистрация

Datenschutzerklärung

Stand: 1. Juni 2026. Diese Erklärung gilt für die Website tcgmark.info und alle damit verbundenen Dienste. Eine Zusammenfassung auf Russisch befindet sich am Ende des Dokuments (Краткое содержание на русском).

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

Mark Diner
Leopoldstr. 11B
38302 Wolfenbüttel
Deutschland
E-Mail: legal@tcgmark.info

Der Betrieb erfolgt als Privatperson ohne Handelsregistereintrag.

§ 2 Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionierenden Website und unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), aufgrund gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) oder zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

§ 3 Beim Besuch der Website (Server-Logfiles)

Bei jedem Aufruf unserer Website erfasst unser Hoster automatisch Daten und Informationen, die Ihr Browser übermittelt, und speichert sie vorübergehend in einer sog. Log-Datei:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Referrer und User-Agent (Browser/OS)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Fehleranalyse). Speicherdauer: Logfiles werden nur kurzfristig zur Fehler- und Sicherheitsanalyse vorgehalten und im laufenden Betrieb regelmäßig überschrieben.

§ 4 Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

  • sessionid — Sitzungscookie, hält Sie eingeloggt.
  • csrftoken — Schutz vor Cross-Site-Request-Forgery beim Absenden von Formularen.

Für diese Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich. Tracking-, Analyse- oder Werbe-Cookies setzen wir nicht ein.

§ 5 Registrierung und Nutzerkonto

Bei der Registrierung erfassen wir:

  • Nutzername (pflichtig, öffentlich sichtbar)
  • E-Mail-Adresse (pflichtig bei E-Mail-Registrierung, nur intern sichtbar) — wird zur Bestätigung des Kontos und für Service-E-Mails verwendet.
  • Passwort — wird ausschließlich als nicht umkehrbarer Hash gespeichert (Django PBKDF2).
  • Telegram-User-ID, Telegram-Username (optional, wenn die Anmeldung über Telegram-Login-Widget erfolgt — siehe § 6).
  • Telefonnummer, Anzeigename, Avatar (optional, vom Nutzer selbst eingegeben).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Erfüllung). Ohne diese Daten ist die Nutzung des Marktplatzes nicht möglich.

§ 6 Telegram-Login und Telegram-Bot-Benachrichtigungen

Wir bieten als alternative Anmeldemethode den Telegram Login Widget an. Wenn Sie diesen Login nutzen, werden Ihre Telegram-Daten (User-ID, Username, Vor-/Nachname, ggf. Profilbild-URL, Auth-Datum, kryptografische Signatur) an unseren Server übermittelt. Die Echtheit wird mittels HMAC-Signatur des Bot-Tokens überprüft.

Wenn Sie unseren Telegram-Bot starten, speichern wir Ihre Telegram-Chat-ID, um Ihnen Benachrichtigungen senden zu können (z. B. neue Nachricht, neuer Verkauf). Sie können diese Benachrichtigungen jederzeit im Profil deaktivieren.

Anbieter: Telegram FZ-LLC, Dubai (VAE) bzw. Telegram Messenger Inc., British Virgin Islands.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie wählen Telegram-Login bzw. starten den Bot aktiv).
Datenschutzhinweise des Anbieters: telegram.org/privacy.

§ 7 Veröffentlichte Inhalte (Lots, Auktionen, Mystery Packs)

Wenn Sie als Verkäufer Inhalte einstellen, werden die folgenden Daten anderen Nutzern öffentlich angezeigt: Nutzername, Anzeigename (falls angegeben), Verkäufer-Bewertung, Land/Versandstadt (sofern angegeben), Anzahl aktiver Lots und abgeschlossener Verkäufe. Hochgeladene Fotos werden ebenfalls öffentlich angezeigt und sollten keine personenbezogenen Daten Dritter enthalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Marktplatzfunktion).

§ 8 Bestellungen, Versandadresse, Nachrichten zwischen Nutzern

Bei einer Bestellung speichern wir einen Snapshot der Lieferadresse (Empfängername, Telefon, PLZ, Region, Stadt, Straße, Wohnung/PVZ-Code, Kommentar), Versandart und ggf. Sendungsverfolgungs­nummer. Diese Daten werden ausschließlich dem betreffenden Verkäufer zur Auftragsabwicklung zugänglich gemacht.

Nachrichten zwischen Käufer und Verkäufer werden verschlüsselt übertragen (TLS) und auf unserem Server gespeichert, damit die Konversation für beide Seiten sichtbar bleibt. Wir lesen die Nachrichten nicht aus, außer es ist zur Klärung eines konkreten Konflikts oder zur Erfüllung gesetzlicher Pflichten erforderlich.

Zahlungen erfolgen außerhalb unserer Plattform (direkt zwischen Käufer und Verkäufer). Wir verarbeiten keine Zahlungs- oder Bankdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 9 Bewertungen

Nach Abschluss einer Bestellung kann der Käufer eine Bewertung (Sternbewertung 1–5 + optionaler Kommentar) abgeben. Bewertungen werden öffentlich beim Verkäufer­profil angezeigt mit Nutzername des Bewertenden und Datum. Der Verkäufer kann öffentlich darauf antworten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Marktplatzqualität und Käuferschutz).

§ 10 E-Mail-Versand

Für transaktionalen E-Mail-Versand (Bestätigung der E-Mail-Adresse, Passwort-Zurücksetzen, Benachrichtigungen) nutzen wir den E-Mail-Dienst unseres Hosters IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland). Übermittelt werden Ihre E-Mail-Adresse und der Mailinhalt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei optionalen Benachrichtigungen — Einstellungen im Profil).

§ 11 Eingebettete externe Inhalte

Die Frontend-Bibliotheken der Website (Bootstrap, Bootstrap-Icons, flag-icons, htmx, Alpine.js) werden von unserem eigenen Server ausgeliefert — hierfür entstehen keine Verbindungen zu Dritt-CDN.

Lediglich die Kartenabbildungen der Kataloge werden aus Speicherplatzgründen direkt von den Bild-Servern der jeweiligen Datenquellen geladen. Beim Anzeigen solcher Bilder stellt Ihr Browser eine direkte Verbindung zum jeweiligen Server her und übermittelt dabei zumindest seine IP-Adresse und den Referrer-URL:

  • images.pokemontcg.io — Bilder der Pokémon-Karten (Pokémon TCG API).
  • assets.tcgdex.net — Bilder der japanischen und chinesischen Pokémon-Karten (TCGdex).
  • images.ygoprodeck.com — Bilder der Yu-Gi-Oh!-Karten.
  • cards.scryfall.io — Bilder der Magic-Karten (Scryfall).
  • tcgplayer.com / tcgplayer-cdn.tcgplayer.com — Bilder der versiegelten Produkte und der One-Piece-Karten.
  • telegram.org, oauth.telegram.org — nur auf den Seiten /login/, /signup/, /profile/ beim Laden des Telegram-Login-Widgets.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionierender Darstellung des Marktplatzes und der Kartenkataloge). Wir prüfen laufend, ob wir kritische Inhalte selbst hosten können, um Drittland-Übertragungen weiter zu reduzieren.

§ 12 Backups in der Cloud

Zur Datensicherung der Datenbank legen wir einmal täglich einen verschlüsselten Dump bei Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) auf einem privaten Google-Drive- Konto ab. Die Dumps werden vor der Übertragung clientseitig verschlüsselt (rclone crypt); der private Schlüssel verlässt unseren Server nicht und ist Google nicht zugänglich. Aufbewahrungsdauer 30 Tage, danach automatische Löschung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datenintegrität und Notfallwiederherstellung).

§ 13 Drittlandübermittlung

Ein Teil der oben genannten Dienste ist außerhalb der EU/EWR angesiedelt:

  • Google LLC (USA) — Backups. Übertragen werden ausschließlich client-seitig verschlüsselte Dateien (Schlüssel nicht beim Empfänger). Grundlage: EU-US Data Privacy Framework (Adäquanzbeschluss der EU-Kommission vom 10.07.2023) sowie Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
  • Telegram (VAE / BVI) — nur bei aktiver Nutzung des Telegram-Logins oder Telegram-Benachrichtigungen. Grundlage: Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO (informierte Einwilligung über die ausdrückliche Aktion des Nutzers).
  • Bild-Server der Kartenkataloge (pokemontcg.io, TCGdex, ygoprodeck.com, scryfall.io, tcgplayer-cdn) — Server in den USA und weltweit, zur Auslieferung der Kartenabbildungen. Grundlage: Art. 6 Abs. 1 lit. f i. V. m. Art. 49 Abs. 1 lit. b DSGVO (Erforderlichkeit zur Darstellung der Kataloge).

§ 14 Speicherdauer

  • Nutzerkonto: bis zur Löschung durch den Nutzer. Bei Kontolöschung werden alle personenbezogenen Daten (Login, E-Mail, Telefon, Telegram, Avatar, gespeicherte Adressen) unverzüglich anonymisiert bzw. gelöscht.
  • Lots, Auktionen, Mystery Packs: bis zur Löschung durch den Verkäufer, bis zum Ablauf der Auktion oder bis zur Kontolöschung.
  • Bestellungen (Snapshot der Lieferadresse): so lange, wie es zur Abwicklung der Bestellung und etwaiger Streitbeilegung erforderlich ist; spätestens bei Löschung des Käuferkontos wird der Adress-Snapshot anonymisiert.
  • Nachrichten: für die Dauer des bestehenden Nutzerkontos, damit die Konversation für beide Seiten sichtbar bleibt.
  • Server-Logs: kurzfristig, fortlaufend überschrieben (siehe § 3).
  • Datenbank-Backups: 30 Tage auf Google Drive (verschlüsselt), danach automatische Löschung.

§ 15 Rechte der betroffenen Personen

Sie haben gegenüber uns die folgenden Rechte:

  • Auskunft nach Art. 15 DSGVO über die zu Ihrer Person gespeicherten Daten.
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO) — viele Felder können Sie direkt im Profil ändern.
  • Löschung nach Art. 17 DSGVO (»Recht auf Vergessen­werden«) — sofern keine vertraglichen oder gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — wir stellen Ihre Daten in einem maschinenlesbaren Format zur Verfügung.
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO).
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) — z. B. Abbestellen von Benachrichtigungen.

Zur Ausübung Ihrer Rechte senden Sie eine formlose Anfrage an legal@tcgmark.info. Wir antworten in der Regel innerhalb von 30 Tagen.

§ 16 Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist die Datenschutzbehörde des Bundeslandes, in dem der Verantwortliche seinen Wohnsitz hat. Eine Übersicht aller deutschen Aufsichtsbehörden finden Sie unter bfdi.bund.de.

§ 17 Datensicherheit

Wir verwenden eine TLS-Verschlüsselung (HTTPS) für die gesamte Übertragung der Website. Passwörter werden ausschließlich als kryptografische Hashes gespeichert (PBKDF2 mit SHA-256). Backups werden client-seitig verschlüsselt, bevor sie das Server­system verlassen. Der Zugriff auf Produktivdaten ist auf den Betreiber beschränkt.

§ 18 Aktualität und Änderungen

Diese Datenschutzerklärung kann angepasst werden, wenn sich die Rechtslage oder die eingesetzten Verarbeitungs­vorgänge ändern. Die aktuelle Fassung ist stets unter tcgmark.info/datenschutz/ abrufbar. Datum der letzten Änderung ist oben angegeben.

Краткое содержание на русском

Это краткий пересказ. Юридически обязательной является немецкая редакция выше.

Кто оператор

Сайтом управляет частное лицо (Privatperson), резидент Германии. Контакты — см. § 1 выше.

Какие данные мы собираем

  • При посещении сайта — стандартные веб-логи (IP, дата, URL, браузер) — хранятся до 14 дней.
  • При регистрации — никнейм, email, хеш пароля; опционально телефон, имя для отображения, аватар; либо Telegram-данные при входе через Telegram.
  • При выставлении лотов — название, цена, фото, описание, состояние.
  • При покупке — снимок адреса доставки (имя, телефон, адрес), способ доставки, трек-номер. Передаётся продавцу.
  • Сообщения между пользователями — хранятся на сервере, чтобы переписка была видна обеим сторонам.
  • Отзывы после сделки — публично у профиля продавца.

Кто получает ваши данные

  • Хостер Strato AG (Германия) — все данные сайта.
  • Почтовый провайдер IONOS SE (Германия) — для отправки писем (подтверждение email, сброс пароля и т. п.).
  • Google LLC (США) — резервные копии БД, хранятся в зашифрованном виде (ключ остаётся у нас).
  • Telegram — только если вы используете Telegram- логин или подписаны на уведомления от бота.
  • Серверы картинок карт (pokemontcg.io, TCGdex, ygoprodeck.com, scryfall.io, tcgplayer-cdn) — изображения карт грузятся напрямую с них, браузер передаёт им свой IP. Сами библиотеки сайта (Bootstrap, htmx и т. д.) хостятся у нас, к сторонним CDN браузер не обращается.

Платежи на сайте не проводятся

Расчёты и доставка идут вне сайта — напрямую между покупателем и продавцом. Мы не обрабатываем платёжные/банковские данные.

Ваши права

По европейскому GDPR вы имеете право: получить копию своих данных, исправить ошибки, удалить аккаунт, ограничить или возразить против обработки, отозвать согласие на уведомления, подать жалобу в немецкий орган по защите данных. Запросы — на legal@tcgmark.info, ответ в течение 30 дней. Эти права действуют независимо от вашего гражданства — российские пользователи имеют те же права, что и европейские.

Удаление аккаунта

Аккаунт можно удалить самостоятельно — в профиле есть кнопка «Удаление аккаунта». При удалении логин, email, телефон, Telegram, аватар и сохранённые адреса обезличиваются/удаляются, активные лоты снимаются с публикации. Завершённые заказы и отзывы сохраняются у второй стороны сделки в обезличенном виде (это требование закона). Удалить аккаунт нельзя, пока есть незавершённые заказы — их сначала нужно закрыть.

Сроки хранения

  • Аккаунт — пока вы сами не удалите.
  • Адреса доставки в заказах — пока это нужно для оформления и возможных споров; обезличиваются при удалении аккаунта покупателя.
  • Сообщения — пока существует аккаунт (чтобы переписка была видна обеим сторонам).
  • Серверные логи — кратковременно, постоянно перезаписываются.
  • Бэкапы БД на Google Drive — 30 дней (зашифрованные).

Полный и юридически обязательный текст — на немецком выше.