So Geht TCG Logo
So Geht TCG
← Zurück zur Übersicht

Datenschutzerklärung

Stand: 01.05.2026

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:
So Geht TCG
Inhaberin: Sevgi Yurdakul
Am Hasenpfad 11
65451 Kelsterbach
Deutschland
E-Mail: info@sogehttcg.de

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Durchführung vorvertraglicher Maßnahmen, zur Vertragsabwicklung, zur Bearbeitung von Anfragen sowie zur Gewährleistung der Sicherheit und Stabilität unseres Angebots erforderlich ist. Personenbezogene Daten sind alle Daten, mit denen du persönlich identifiziert werden kannst.

3. Hosting und Server-Logfiles

Diese Website wird auf einem von uns verwalteten Server bei IONOS gehostet. Beim Aufruf der Website werden technisch erforderliche Verbindungsdaten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Inhalte, übertragene Datenmenge, Browsertyp, Betriebssystem und Referrer-URL. Die Verarbeitung erfolgt zur Auslieferung der Website, zur Fehleranalyse sowie zur Gewährleistung der Systemsicherheit auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Server-Logs werden nur so lange gespeichert, wie dies zur Sicherstellung des technischen Betriebs, zur Fehleranalyse und zur Abwehr von Missbrauch erforderlich ist. Weitere Informationen findest du in der Datenschutzerklärung von IONOS.

4. Verschlüsselung

Die Datenübertragung zwischen deinem Browser und unserer Website erfolgt verschlüsselt per TLS/SSL. Du erkennst dies an der Adresszeile deines Browsers mit "https://".

5. Cookies und Einwilligungsverwaltung

a) Cookie-Consent

Beim ersten Besuch unserer Website wird dir ein Cookie-Banner angezeigt, über das du deine Einwilligungen verwalten kannst. Deine Auswahl wird im Cookie "cookie_consent" gespeichert (Speicherdauer: 1 Jahr). Das Setzen dieses Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG zulässig, da es für die Speicherung deiner Einwilligungsentscheidung technisch erforderlich ist.

Du kannst deine Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer unserer Website ändern.

b) Technisch notwendige Cookies

Für die Nutzung geschützter Bereiche (Login, Dashboard) setzen wir technisch notwendige Cookies ein. Diese sind gemäß § 25 Abs. 2 Nr. 2 TDDDG von der Einwilligungspflicht ausgenommen, da sie für die Bereitstellung des Dienstes unbedingt erforderlich sind. Rechtsgrundlage für die zugehörige Datenverarbeitung ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Im Einzelnen:

  • sb-*-auth-token (ggf. .0, .1, …) — Supabase Authentifizierung und Session-Verwaltung. Speicherdauer: Session bzw. bis zum Logout.
  • cookie_consent — Speichert deine Cookie-Einstellungen. Speicherdauer: 1 Jahr.

Ohne diese technisch erforderlichen Cookies kann insbesondere die Anmeldung, die Verwaltung deines Kontos und die Nutzung des Dashboards nicht bereitgestellt werden.

c) Optionale Cookies

Derzeit setzen wir keine optionalen Cookies (z. B. für Analyse oder Marketing) ein. Sollten wir künftig optionale Cookies nutzen, werden diese nur mit deiner ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TDDDG aktiviert.

6. Registrierung, Login und Nutzerkonto

Wenn du ein Nutzerkonto anlegst oder dich einloggst, verarbeiten wir die hierfür erforderlichen Daten, insbesondere E-Mail-Adresse, verschlüsselte Authentifizierungsinformationen, technische Session-Daten und Kontoeinstellungen. Die Authentifizierung und Datenbankbereitstellung erfolgt über Supabase (siehe Datenschutzerklärung von Supabase). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Für unser Projekt ist bei Supabase der Rechenzentrumsstandort Frankfurt am Main gewählt. Es kann jedoch nicht ausgeschlossen werden, dass im Rahmen von Support-, Wartungs- oder konzerninternen Leistungen auch Verarbeitungen in Drittländern, insbesondere in den USA, stattfinden. Soweit dies der Fall ist, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

7. Einladungssystem, Bestellungen und Vertragsabwicklung

Wenn du eine Einladung für ein Produkt anfragst, verarbeiten wir insbesondere deine Nutzer-ID, E-Mail-Adresse, die angefragten Produkte, Statusinformationen zur Einladung sowie Zeitpunkte der Anfrage und Einladung. Dies dient der Bereitstellung unseres Einladungssystems und der Vorbereitung möglicher Käufe. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Im Fall einer Bestellung verarbeiten wir zusätzlich Bestelldaten, gekaufte Produkte, Menge, Rechnungs- und Versandinformationen, Zahlungsstatus, Versandadresse, Sendungsnummer sowie die für die Rechnungsstellung erforderlichen Angaben. Der Versand erfolgt je nach Versandart über DHL (DHL Paket, Kleinpaket) oder die Deutsche Post AG (Standardbrief, Kompaktbrief, Großbrief, Maxibrief, Einschreiben Einwurf). Im Rahmen der Versandabwicklung werden Name und Versandadresse an den jeweiligen Versanddienstleister übermittelt (siehe Datenschutzhinweise von DHL sowie Datenschutzhinweise der Deutschen Post). Diese Verarbeitung ist zur Vertragsdurchführung, Lieferung, Rechnungsstellung und Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. c DSGVO.

8. Zahlungsabwicklung über Stripe

Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe, Limited sowie verbundene Unternehmen von Stripe. Wenn du eine Bestellung bezahlst, werden die für die Zahlungsabwicklung erforderlichen Daten an Stripe übermittelt. Dazu können insbesondere Name, E-Mail-Adresse, Zahlungsdaten, Rechnungs- und Versanddaten, Bestellwert sowie Transaktionskennungen gehören. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Stripe kann Daten auch in Drittländern, insbesondere in den USA, verarbeiten. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, soweit erforderlich. Weitere Informationen findest du in der Datenschutzerklärung von Stripe.

8a. Adress-Autocomplete über Mapbox

Zur komfortablen und korrekten Erfassung deiner Lieferadresse setzen wir bei der Adresseingabe (z. B. im Warenkorb-Checkout und in den Kontoeinstellungen) den Dienst Mapbox Search Boxder Mapbox, Inc., 740 15th Street NW, 5th Floor, Washington, DC 20005, USA, ein. Wenn du im Adressfeld zu tippen beginnst, wird deine Eingabe an Mapbox übermittelt und es werden passende Adressvorschläge zurückgegeben. Übermittelt werden insbesondere der eingegebene Suchtext, eine sitzungsbezogene Kennung (Session-Token), deine IP-Adresse sowie technische Browser-Daten. Bei Auswahl eines Vorschlags werden die strukturierten Adressbestandteile (Straße, Hausnummer, Postleitzahl, Ort, Land) in das Formular übernommen.

Zwecke: Adress-Autocomplete und Adressvalidierung zur Reduktion von Fehleingaben und unzustellbaren Sendungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vorbereitung und Durchführung des Vertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, fehlerarmen Bestellabwicklung).

Mit Mapbox besteht ein Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO). Mapbox verarbeitet Daten auch in Drittländern, insbesondere in den USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln und weiterer geeigneter Garantien gemäß Art. 44 ff. DSGVO. Weitere Informationen findest du in den Datenschutzhinweisen von Mapbox.

9. Kontaktformular und E-Mail-Versand über Resend

Wenn du uns über das Kontaktformular kontaktierst oder wir dir transaktionale E-Mails senden, verarbeiten wir die von dir angegebenen Kontaktdaten und Inhalte deiner Nachricht. Dazu zählen insbesondere Name, E-Mail-Adresse, Nachrichtentext sowie technische Metadaten zur Zustellung. Der Versand erfolgt über den Dienst Resend (siehe Privacy Policy von Resend). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, bei allgemeinen Anfragen außerdem Art. 6 Abs. 1 lit. f DSGVO.

Resend ist ein Dienst mit möglichem Bezug zu Drittländern, insbesondere den USA. Es kann daher nicht ausgeschlossen werden, dass Daten im Zusammenhang mit dem E-Mail-Versand auch außerhalb der Europäischen Union verarbeitet werden. Soweit dies geschieht, erfolgt die Verarbeitung auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO.

10. Newsletter und Produktinformationen

Wenn du in deinen Kontoeinstellungen dem Erhalt von Newslettern und weiteren Informationen zustimmst, speichern wir diese Einwilligung in deinem Nutzerprofil. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Deine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft in deinem Dashboard oder per E-Mail an uns widerrufen.

11. Eingesetzte Dienstleister und Empfänger

Zur Bereitstellung unseres Angebots setzen wir insbesondere folgende Dienstleister ein:

  • IONOS als Infrastruktur- bzw. Hosting-Anbieter für den von uns betriebenen Server
  • Supabase für Datenbank, Authentifizierung und Speicherfunktionen, Rechenzentrumsstandort Frankfurt am Main
  • Stripe zur Zahlungsabwicklung
  • Resend für den Versand von Kontakt- und System-E-Mails
  • Mapbox für das Adress-Autocomplete (Search Box API), Verarbeitung u. a. in den USA
  • DHL für den Paketversand innerhalb Deutschlands

Mit Dienstleistern werden, soweit erforderlich, Verträge zur Auftragsverarbeitung abgeschlossen.

Soweit einzelne Dienstleister Daten in Drittländern verarbeiten oder ein Zugriff aus Drittländern nicht ausgeschlossen werden kann, erfolgt dies nur unter Beachtung der Voraussetzungen der Art. 44 ff. DSGVO.

11a. Auftragsverarbeitung nach Art. 28 DSGVO

Soweit wir personenbezogene Daten durch externe Dienstleister verarbeiten lassen (z. B. Hosting, Zahlungsabwicklung, E-Mail-Versand, Adressen-Autovervollständigung), geschieht dies ausschließlich auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Dienstleister verarbeiten die Daten nur nach unserer Weisung und ausschließlich zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Nutzung deiner Daten zu eigenen Werbe- oder Profilbildungszwecken oder eine Weitergabe an Dritte zu kommerziellen Zwecken findet nicht statt.

Wir wählen unsere Auftragsverarbeiter sorgfältig aus und prüfen, ob sie geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen haben. Verträge mit Auftragsverarbeitern verpflichten diese insbesondere zur Vertraulichkeit, zur Datenminimierung, zur Sicherstellung der Betroffenenrechte und zur Löschung oder Rückgabe der Daten nach Beendigung des Auftrags.

Wir verkaufen keine personenbezogenen Daten und geben sie nicht zu Marketingzwecken an Dritte weiter. Eine Übermittlung an Behörden erfolgt ausschließlich im Rahmen gesetzlicher Verpflichtungen.

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Kontodaten bleiben grundsätzlich gespeichert, solange dein Nutzerkonto besteht. Vertrags- und Rechnungsdaten speichern wir darüber hinaus im Rahmen gesetzlicher Aufbewahrungspflichten (in der Regel 10 Jahre gemäß § 147 AO, § 257 HGB). Daten aus Kontaktanfragen werden gelöscht, sobald die Bearbeitung abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Restguthaben bei Kontoschließung:Schließt du dein Nutzerkonto, obwohl noch ein Restguthaben (Einzweck-Gutschein) vorhanden ist, speichern wir zur Zuordnung etwaiger Ansprüche ausschließlich deine E-Mail-Adresse und den Restbetrag in einem internen Archiv. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Die Speicherung erfolgt längstens bis zum Ablauf der gesetzlichen Verjährungsfrist (in der Regel drei Jahre zum Jahresende, §§ 195, 199 BGB); danach werden die Einträge gelöscht.

13. Deine Rechte

Du hast im Rahmen der gesetzlichen Voraussetzungen das Recht auf Auskunft über deine gespeicherten Daten (Art. 15 DSGVO), auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO), auf Datenübertragbarkeit (Art. 20 DSGVO) sowie auf Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO). Bereits erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO).

Zur Ausübung deiner Rechte wende dich bitte per E-Mail an info@sogehttcg.de.

14. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder unseres Unternehmenssitzes. Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
https://datenschutz.hessen.de

15. Keine Pflicht zur Bereitstellung und keine automatisierte Entscheidungsfindung

Soweit die Bereitstellung personenbezogener Daten nicht für die Nutzung einzelner Funktionen oder zur Vertragsabwicklung erforderlich ist, bist du nicht verpflichtet, diese Daten bereitzustellen. Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.