So Geht TCG Logo
So Geht TCG
Warenkorb
Zurück zur Übersicht

Datenschutzerklärung

Informationen zur Datenverarbeitung

Stand: 20.06.2026

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:
So Geht TCG
Inhaberin: Sevgi Yurdakul
Am Hasenpfad 11
65451 Kelsterbach
Deutschland
E-Mail: info@sogehttcg.de

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Durchführung vorvertraglicher Maßnahmen, zur Vertragsabwicklung, zur Bearbeitung von Anfragen sowie zur Gewährleistung der Sicherheit und Stabilität unseres Angebots erforderlich ist. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.

3. Hosting und Server-Logfiles

Diese Website wird auf einem von uns verwalteten Server bei IONOS gehostet. Beim Aufruf der Website werden technisch erforderliche Verbindungsdaten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Inhalte, übertragene Datenmenge, Browsertyp, Betriebssystem und Referrer-URL. Die Verarbeitung erfolgt zur Auslieferung der Website, zur Fehleranalyse sowie zur Gewährleistung der Systemsicherheit auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Server-Logs werden nur so lange gespeichert, wie dies zur Sicherstellung des technischen Betriebs, zur Fehleranalyse und zur Abwehr von Missbrauch erforderlich ist. Weitere Informationen findest du in der Datenschutzerklärung von IONOS.

4. Verschlüsselung

Die Datenübertragung zwischen deinem Browser und unserer Website erfolgt verschlüsselt per TLS/SSL. Du erkennst dies an der Adresszeile deines Browsers mit "https://".

5. Cookies und Einwilligungsverwaltung

a) Cookie-Consent

Beim ersten Besuch unserer Website wird dir ein Cookie-Banner angezeigt, über das du deine Einwilligungen verwalten kannst. Deine Auswahl wird im Cookie "cookie_consent" gespeichert (Speicherdauer: 1 Jahr). Das Setzen dieses Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG zulässig, da es für die Speicherung deiner Einwilligungsentscheidung technisch erforderlich ist.

Du kannst deine Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer unserer Website ändern.

b) Technisch notwendige Cookies

Für die Nutzung geschützter Bereiche (Login, Dashboard) setzen wir technisch notwendige Cookies ein. Diese sind gemäß § 25 Abs. 2 Nr. 2 TDDDG von der Einwilligungspflicht ausgenommen, da sie für die Bereitstellung des Dienstes unbedingt erforderlich sind. Rechtsgrundlage für die zugehörige Datenverarbeitung ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Im Einzelnen:

  • sb-*-auth-token (ggf. .0, .1, …) — Supabase Authentifizierung und Session-Verwaltung. Speicherdauer: Session bzw. bis zum Logout.
  • cookie_consent — Speichert deine Cookie-Einstellungen. Speicherdauer: 1 Jahr.

Ohne diese technisch erforderlichen Cookies kann insbesondere die Anmeldung, die Verwaltung deines Kontos und die Nutzung des Dashboards nicht bereitgestellt werden.

c) Optionale Cookies (Analyse)

Wir nutzen PostHog in einer cookieless Grundkonfiguration, um allgemeine, nicht identifizierte Nutzungsereignisse (z. B. Seitenaufrufe oder Warenkorb-Interaktionen) zu messen. Dabei speichern wir ohne deine Analyse-Einwilligung keine PostHog-Cookies und keine PostHog-Daten im Local Storage deines Browsers, erstellen kein Nutzerprofil, rufen keine Identify-Funktion auf und aktivieren keine Session-Replay-Aufzeichnung. Rechtsgrundlage fuer diese cookieless, nicht identifizierende Messung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung, Fehleranalyse und Verbesserung unseres Angebots).

Wenn du im Cookie-Banner "Alle akzeptieren" wählst, setzen wir den Analysedienst PostHog ein. PostHog verwendet dabei u. a. ein persistentes Cookie (ph_*) zur pseudonymen Wiederkennung von Sitzungen und zur Analyse des Nutzungsverhaltens. Speicherdauer: bis zu 1 Jahr. Rechtsgrundlage ist § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Deine Einwilligung kannst du jederzeit über "Cookie-Einstellungen" im Footer widerrufen.

Bei erteilter Analyse-Einwilligung aktivieren wir ausserdem die Session-Replay-Funktion von PostHog. Dabei werden Sitzungsablöufe wie Seitenwechsel, Klicks, Scroll- und Mausbewegungen aufgezeichnet, um Nutzungsprobleme und technische Fehler besser nachvollziehen zu können. Texteingaben, Passwortfelder und sensible Inhalte werden maskiert. Session Replays können auch fuer Besucher ohne Nutzerkonto entstehen; in diesem Fall wird kein identifiziertes Nutzerprofil erstellt. Wenn du eingeloggt bist und Analyse-Cookies akzeptiert hast, kann PostHog deine Ereignisse mit deiner Nutzer-ID verknuepfen und ein pseudonymes Personenprofil erstellen.

Zusätzlich aktivieren wir bei erteilter Einwilligung die Session-Replay-Funktion von Sentry, die Interaktionen auf der Website (z. B. Klicks und Mausbewegungen) aufzeichnet, um die Fehlerreproduktion zu erleichtern. Auch hierfür werden keine zusätzlichen Cookies gesetzt; die Datenübertragung erfolgt über unseren eigenen Tunnel-Endpunkt. Rechtsgrundlage ist § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Ohne deine Zustimmung werden keine optionalen Analyse-Cookies oder Local-Storage-Einträge gesetzt, PostHog Session Replay bleibt deaktiviert, es werden keine PostHog-Personenprofile erstellt und Sentry Session Replay bleibt deaktiviert.

6. Registrierung, Login und Nutzerkonto

Wenn du ein Nutzerkonto anlegst oder dich einloggst, verarbeiten wir die hierfür erforderlichen Daten, insbesondere E-Mail-Adresse, verschlüsselte Authentifizierungsinformationen, technische Session-Daten und Kontoeinstellungen. Die Authentifizierung und Datenbankbereitstellung erfolgt über Supabase (siehe Datenschutzerklärung von Supabase). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Für unser Projekt ist bei Supabase der Rechenzentrumsstandort Frankfurt am Main gewählt. Es kann jedoch nicht ausgeschlossen werden, dass im Rahmen von Support-, Wartungs- oder konzerninternen Leistungen auch Verarbeitungen in Drittländern, insbesondere in den USA, stattfinden. Soweit dies der Fall ist, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

7. Einladungssystem, Bestellungen und Vertragsabwicklung

Wenn du eine Einladung für ein Produkt anfragst, verarbeiten wir insbesondere deine Nutzer-ID, E-Mail-Adresse, die angefragten Produkte, Statusinformationen zur Einladung sowie Zeitpunkte der Anfrage und Einladung. Dies dient der Bereitstellung unseres Einladungssystems und der Vorbereitung möglicher Käufe. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Im Fall einer Bestellung verarbeiten wir zusätzlich Bestelldaten, gekaufte Produkte, Menge, Rechnungs- und Versandinformationen, Zahlungsstatus, Versandadresse, Sendungsnummer sowie die für die Rechnungsstellung erforderlichen Angaben. Der Versand erfolgt je nach Versandart über DHL (DHL Paket, Kleinpaket) oder die Deutsche Post AG (Standardbrief, Kompaktbrief, Großbrief, Maxibrief, Einschreiben Einwurf). Im Rahmen der Versandabwicklung werden Name und Versandadresse an den jeweiligen Versanddienstleister übermittelt (siehe Datenschutzhinweise von DHL sowie Datenschutzhinweise der Deutschen Post). Diese Verarbeitung ist zur Vertragsdurchführung, Lieferung, Rechnungsstellung und Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. c DSGVO.

8. Zahlungsabwicklung über Stripe

Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe, Limited sowie verbundene Unternehmen von Stripe. Stripe wird in zwei Szenarien eingesetzt: (a) beim Aufladen deines Guthaben-Kontos (Einzweck-Gutschein) und (b) bei der Direktzahlung per Stripe-Checkout ohne vorherige Guthaben-Aufladung. In beiden Fällen werden die für die Zahlungsabwicklung erforderlichen Daten an Stripe übermittelt. Dazu können insbesondere Name, E-Mail-Adresse, Zahlungsdaten, Rechnungs- und Versanddaten, Bestellwert sowie Transaktionskennungen gehören. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Stripe kann Daten auch in Drittländern, insbesondere in den USA, verarbeiten. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, soweit erforderlich. Weitere Informationen findest du in der Datenschutzerklärung von Stripe.

8a. Adress-Autocomplete über Mapbox

Zur komfortablen und korrekten Erfassung deiner Lieferadresse setzen wir bei der Adresseingabe (z. B. im Warenkorb-Checkout und in den Kontoeinstellungen) den Dienst Mapbox Search Boxder Mapbox, Inc., 740 15th Street NW, 5th Floor, Washington, DC 20005, USA, ein. Wenn du im Adressfeld zu tippen beginnst, wird deine Eingabe an Mapbox übermittelt und es werden passende Adressvorschläge zurückgegeben. Übermittelt werden insbesondere der eingegebene Suchtext, eine sitzungsbezogene Kennung (Session-Token), deine IP-Adresse sowie technische Browser-Daten. Bei Auswahl eines Vorschlags werden die strukturierten Adressbestandteile (Straße, Hausnummer, Postleitzahl, Ort, Land) in das Formular übernommen.

Zwecke: Adress-Autocomplete und Adressvalidierung zur Reduktion von Fehleingaben und unzustellbaren Sendungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vorbereitung und Durchführung des Vertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, fehlerarmen Bestellabwicklung).

Mit Mapbox besteht ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO). Mapbox verarbeitet Daten auch in Drittländern, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln und weiterer geeigneter Garantien gemäß Art. 44 ff. DSGVO. Weitere Informationen findest du in den Datenschutzhinweisen von Mapbox.

9. Kontaktformular und E-Mail-Versand über Resend

Wenn du uns über das Kontaktformular kontaktierst oder wir dir transaktionale E-Mails senden, verarbeiten wir die von dir angegebenen Kontaktdaten und Inhalte deiner Nachricht. Dazu zählen insbesondere Name, E-Mail-Adresse, Nachrichtentext sowie technische Metadaten zur Zustellung. Der Versand erfolgt über den Dienst Resend (siehe Privacy Policy von Resend). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, bei allgemeinen Anfragen außerdem Art. 6 Abs. 1 lit. f DSGVO.

Resend ist ein Dienst mit möglichem Bezug zu Drittländern, insbesondere den USA. Es kann daher nicht ausgeschlossen werden, dass Daten im Zusammenhang mit dem E-Mail-Versand auch außerhalb der Europäischen Union verarbeitet werden. Soweit dies geschieht, erfolgt die Verarbeitung auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

10a. Fehlerüberwachung über Sentry

Zur Erkennung und Behebung technischer Fehler, Abstürze und Laufzeitprobleme setzen wir den Dienst Sentryder Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA, ein. Sentry erfasst im Fehlerfall technische Informationen wie Fehlermeldungen, Stacktraces, Browsertyp, Betriebssystem und die aufgerufene URL. Es werden keine zusätzlichen Cookies gesetzt. Clientseitig werden keine personenbezogenen Daten (z. B. IP-Adresse) übermittelt; serverseitig verarbeitet Sentry Verbindungsdaten wie IP-Adresse und Request-Header zur Fehlerzuordnung.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer stabilen und fehlerfreien Website). Wir verwenden den europäischen Sentry-Endpunkt (ingest.de.sentry.io); ein Zugriff aus den USA im Rahmen von Support und Wartung durch Sentry kann nicht vollständig ausgeschlossen werden. Mit Sentry besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Weitere Informationen findest du in der Datenschutzerklärung von Sentry.

Session Replay:Bei erteilter Cookie-Einwilligung („Alle akzeptieren“) aktivieren wir zusätzlich die Session-Replay-Funktion von Sentry. Diese zeichnet Interaktionen auf der Website auf, um die Fehlerreproduktion zu erleichtern. Ohne Einwilligung bleibt Session Replay deaktiviert.

10. Newsletter und Produktinformationen

Wenn du in deinen Kontoeinstellungen dem Erhalt von Newslettern und weiteren Informationen zustimmst, speichern wir diese Einwilligung in deinem Nutzerprofil. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Deine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft in deinem Dashboard oder per E-Mail an uns widerrufen.

11. Eingesetzte Dienstleister und Empfänger

Zur Bereitstellung unseres Angebots setzen wir insbesondere folgende Dienstleister ein:

  • IONOS als Infrastruktur- bzw. Hosting-Anbieter für den von uns betriebenen Server
  • Supabase für Datenbank, Authentifizierung und Speicherfunktionen, Rechenzentrumsstandort Frankfurt am Main
  • Stripe zur Zahlungsabwicklung
  • Resend für den Versand von Kontakt- und System-E-Mails
  • Mapbox für das Adress-Autocomplete (Search Box API), Verarbeitung u. a. in den USA
  • DHL für den Paketversand innerhalb Deutschlands
  • PostHog (PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114 / EU-Cloud auf eu.posthog.com) fuer cookieless Web-Analytics ohne optionale Speicherung sowie, nur bei erteilter Analyse-Einwilligung, fuer persistente Web-Analytics, Session Replay und pseudonyme Personenprofile. Daten werden in der EU verarbeitet; ein Zugriff aus den USA kann im Rahmen von Support und Wartung nicht vollstöndig ausgeschlossen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO fuer cookieless Messung sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) fuer optionale Analyse-Cookies, Session Replay und identifizierte Profile. Ein AVV nach Art. 28 DSGVO ist mit PostHog geschlossen.
  • Sentry (Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA / EU-Ingest-Endpunkt ingest.de.sentry.io) für technische Fehlerüberwachung — läuft grundsätzlich ohne Cookie-Einwilligung (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO); Session Replay nur bei erteilter Einwilligung. Ein AVV nach Art. 28 DSGVO ist mit Sentry geschlossen.

Mit Dienstleistern werden, soweit erforderlich, Verträge zur Auftragsverarbeitung abgeschlossen.

Soweit einzelne Dienstleister Daten in Drittländern verarbeiten oder ein Zugriff aus Drittländern nicht ausgeschlossen werden kann, erfolgt dies nur unter Beachtung der Voraussetzungen der Art. 44 ff. DSGVO.

11a. Auftragsverarbeitung nach Art. 28 DSGVO

Soweit wir personenbezogene Daten durch externe Dienstleister verarbeiten lassen (z. B. Hosting, Zahlungsabwicklung, E-Mail-Versand, Adressen-Autovervollständigung), geschieht dies ausschließlich auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Dienstleister verarbeiten die Daten nur nach unserer Weisung und ausschließlich zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Nutzung deiner Daten zu eigenen Werbe- oder Profilbildungszwecken oder eine Weitergabe an Dritte zu kommerziellen Zwecken findet nicht statt.

Wir wählen unsere Auftragsverarbeiter sorgfältig aus und prüfen, ob sie geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen haben. Verträge mit Auftragsverarbeitern verpflichten diese insbesondere zur Vertraulichkeit, zur Datenminimierung, zur Sicherstellung der Betroffenenrechte und zur Löschung oder Rückgabe der Daten nach Beendigung des Auftrags.

Wir verkaufen keine personenbezogenen Daten und geben sie nicht zu Marketingzwecken an Dritte weiter. Eine Übermittlung an Behörden erfolgt ausschließlich im Rahmen gesetzlicher Verpflichtungen.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Kontodaten bleiben grundsätzlich gespeichert, solange dein Nutzerkonto besteht. Vertrags- und Rechnungsdaten speichern wir darüber hinaus im Rahmen gesetzlicher Aufbewahrungspflichten (in der Regel 10 Jahre gemäß § 147 AO, § 257 HGB). Daten aus Kontaktanfragen werden gelöscht, sobald die Bearbeitung abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Restguthaben bei Kontoschließung:Schließt du dein Nutzerkonto, obwohl noch ein Restguthaben (Einzweck-Gutschein) vorhanden ist, speichern wir zur Zuordnung etwaiger Ansprüche ausschließlich deine E-Mail-Adresse und den Restbetrag in einem internen Archiv. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Die Speicherung erfolgt längstens bis zum Ablauf der gesetzlichen Verjährungsfrist (in der Regel drei Jahre zum Jahresende, §§ 195, 199 BGB); danach werden die Einträge gelöscht.

13. Deine Rechte

Du hast im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft über deine gespeicherten Daten (Art. 15 DSGVO), auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO), auf Datenübertragbarkeit (Art. 20 DSGVO) sowie auf Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO). Bereits erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Zur Ausübung deiner Rechte wende dich bitte per E-Mail an info@sogehttcg.de.

14. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder unseres Unternehmenssitzes. Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
Link zur Website der Aufsichtsbehörde

15. Keine Pflicht zur Bereitstellung und keine automatisierte Entscheidungsfindung

Soweit die Bereitstellung personenbezogener Daten nicht für die Nutzung einzelner Funktionen oder zur Vertragsabwicklung erforderlich ist, bist du nicht verpflichtet, diese Daten bereitzustellen. Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.