Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

IDENTIC Projects eGbR

Kreuzberg 71

59846 Sundern

Deutschland

E-Mail: julia.wiegenstein@identic.pro

2. Datenschutzbeauftragter

Wir sind nach Art. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen, da wir weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen und keine Verarbeitungstätigkeiten durchführen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.

Bei Fragen zum Datenschutz wenden Sie sich bitte an: julia.wiegenstein@identic.pro

3. Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten unserer Nutzer im Rahmen des Betriebs der Plattform CosHive (erreichbar unter https://coshive.app). Im Folgenden informieren wir Sie über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten.

4. Hosting und Bereitstellung der Plattform

4.1 Serverhosting

Die Plattform wird auf Servern der Google Cloud Platform (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) in der Region europe-west1 (Belgien, EU) betrieben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Bereitstellung der Plattform).

4.2 Server-Logdaten

Bei jedem Zugriff auf unsere Plattform werden durch den Webserver automatisch folgende Daten erhoben und in Server-Logdaten gespeichert:

- IP-Adresse des zugreifenden Geräts

- Datum und Uhrzeit des Zugriffs

- Name und URL der abgerufenen Seite

- Übertragene Datenmenge

- Meldung, ob der Abruf erfolgreich war

- Verwendeter Browser und Betriebssystem

- Referrer-URL (zuvor besuchte Seite)

Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs der Plattform, zur Erkennung und Abwehr von Angriffen sowie zur technischen Fehleranalyse verarbeitet. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der Plattform).

Speicherdauer: Server-Logdaten werden nach 30 Tagen automatisch gelöscht, sofern keine weitergehende Aufbewahrung zu Beweiszwecken bei konkreten Sicherheitsvorfällen erforderlich ist.

5. Registrierung und Benutzerkonto

5.1 Registrierung mit E-Mail und Passwort

Bei der Erstellung eines Benutzerkontos erheben wir folgende Pflichtdaten:

- E-Mail-Adresse

- Benutzername (Display Name)

- Passwort (wird mittels bcrypt gehasht gespeichert; das Klartext-Passwort wird nicht gespeichert)

- Zeitstempel der Zustimmung zu den Nutzungsbedingungen und dieser Datenschutzerklärung (termsAcceptedAt)

Zweck: Erstellung und Verwaltung des Benutzerkontos, Authentifizierung, Kommunikation mit dem Nutzer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

5.2 Registrierung und Anmeldung über OAuth-Provider (Social Login)

Sie können sich alternativ über folgende externe Dienste registrieren und anmelden:

a) Google (Google Ireland Limited)

- Übermittelte Daten: E-Mail-Adresse, Name, Profilbild

- Umfang der Berechtigung (Scope): openid, email, profile

- Datenschutzerklärung: https://policies.google.com/privacy

b) Facebook (Meta Platforms Ireland Limited)

- Übermittelte Daten: E-Mail-Adresse, Name, Profilbild

- Umfang der Berechtigung (Scope): email, public_profile

- Datenschutzerklärung: https://www.facebook.com/privacy/policy/

c) Discord (Discord Inc., USA)

- Übermittelte Daten: E-Mail-Adresse, Name, Avatar

- Umfang der Berechtigung (Scope): identify, email

- Datenschutzerklärung: https://discord.com/privacy

- Drittlandtransfer: siehe Abschnitt 12

d) Twitch (Amazon.com, Inc., USA)

- Übermittelte Daten: E-Mail-Adresse, Name, Profilbild

- Umfang der Berechtigung (Scope): user:read:email

- Datenschutzerklärung: https://www.twitch.tv/p/de-de/legal/privacy-notice/

- Drittlandtransfer: siehe Abschnitt 12

Bei der Nutzung eines OAuth-Providers werden die vom Provider übermittelten Daten (E-Mail, Name, Profilbild) bei uns gespeichert. Die OAuth-Zugangs-Tokens werden mittels AES-Verschlüsselung in unserer Datenbank gespeichert. Die Nutzung von Social Login ist freiwillig; eine Registrierung per E-Mail und Passwort ist stets möglich.

Zweck: Vereinfachte Registrierung und Anmeldung, Identifizierung des Nutzers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des OAuth-Providers) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Profildaten

Nach der Registrierung können Nutzer freiwillig zusätzliche Profilinformationen angeben:

- Profilbild und Bannerbild

- Biografie / Headline

- Land und Postleitzahl

- Website-URL

- Social-Media-Links

- Cosplay-Charaktere und Fandoms

Die Sichtbarkeit dieser Daten kann der Nutzer über die Privatsphäreeinstellungen (Privacy Settings) granular steuern. Folgende Sichtbarkeitsoptionen stehen zur Verfügung:

- Headline anzeigen

- Land anzeigen

- Postleitzahl anzeigen

- Biografie anzeigen

- Website anzeigen

- Social-Media-Links anzeigen

- Verknüpfte OAuth-Provider anzeigen

Zweck: Selbstdarstellung in der Community, Kommunikation und Vernetzung mit anderen Nutzern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Eingabe und Konfiguration der Sichtbarkeit).

Speicherdauer: Bis zur Änderung oder Löschung durch den Nutzer bzw. bis zur Löschung des Benutzerkontos.

7. Nutzungsdaten (Plattformfunktionen)

7.1 Inserate (Produkte/Marktplatz)

Beim Erstellen eines Inserats werden folgende Daten verarbeitet:

- Titel, Beschreibung, Kategorie

- Bilder (hochgeladene Produktbilder)

- Preisangabe

- Zuordnung zum Benutzerkonto (Autor)

Zweck: Bereitstellung der Marktplatzfunktion.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Chat-Nachrichten

Nutzer können über das plattformeigene Chat-System miteinander kommunizieren. Dabei werden gespeichert:

- Nachrichteninhalt (Text)

- Absender und Empfänger

- Zeitstempel

- Lesestatus

Zweck: Ermöglichung der Kommunikation zwischen Nutzern, insbesondere bei Marktplatz-Transaktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.3 Bewertungen

Nutzer können andere Nutzer bewerten:

- Sternebewertung (1 bis 5)

- Bewertungstext

- Zuordnung zum bewertenden und bewerteten Nutzer

Zweck: Vertrauensbildung und Transparenz innerhalb der Community.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Bewertungssystem zur Förderung des Vertrauens auf der Plattform).

7.4 Bookmarks und Follows

Nutzer können Inserate als Lesezeichen speichern (Bookmarks) und anderen Nutzern folgen (Follows).

Zweck: Personalisierung der Plattformnutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Benachrichtigungen

8.1 In-App-Benachrichtigungen

Die Plattform zeigt Ihnen In-App-Benachrichtigungen über relevante Ereignisse an (z. B. neue Nachrichten, Bewertungen, Follower). Sie können die Art der Benachrichtigungen in Ihren Einstellungen konfigurieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8.2 E-Mail-Benachrichtigungen

Sofern Sie E-Mail-Benachrichtigungen in Ihren Einstellungen aktiviert haben, erhalten Sie E-Mails über relevante Plattformereignisse. Sie können E-Mail-Benachrichtigungen jederzeit in Ihren Kontoeinstellungen deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Benachrichtigungen; Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails (z. B. E-Mail-Verifizierung, Passwort-Zurücksetzung).

9. Cookies und Browser-Speicher

9.1 Allgemeines

Wir verwenden ausschließlich technisch notwendige Cookies und Browser-Speichermechanismen. Es werden KEINE Tracking-, Analyse-, Werbe- oder Third-Party-Cookies eingesetzt. Es kommt KEIN Google Analytics, kein Facebook Pixel und kein sonstiges Tracking zum Einsatz.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Da ausschließlich technisch notwendige Cookies verwendet werden, ist eine Einwilligung nicht erforderlich.

9.2 Eingesetzte Cookies und Speichermechanismen

a) payload-token (Cookie)

- Art: Technisch notwendig (Authentifizierung)

- Inhalt: JSON Web Token (JWT) für die Sitzungsauthentifizierung

- Eigenschaften: HttpOnly, Secure, SameSite=Lax

- Laufzeit: 12 Stunden

- Zweck: Identifizierung des angemeldeten Nutzers, Aufrechterhaltung der Sitzung

b) payload-theme (localStorage)

- Art: Technisch notwendig (Nutzeroberfläche)

- Inhalt: Präferenz für die Darstellung (Dark Mode / Light Mode)

- Speicherort: Lokaler Browserspeicher (localStorage)

- Laufzeit: Unbefristet (bis zur manuellen Löschung durch den Nutzer)

- Zweck: Darstellung der Benutzeroberfläche gemäß Nutzerpräferenz

c) invite_code (sessionStorage)

- Art: Technisch notwendig (Registrierungsvorgang)

- Inhalt: Temporärer Einladungscode während des OAuth-Registrierungsvorgangs

- Speicherort: Sitzungsspeicher des Browsers (sessionStorage)

- Laufzeit: Wird automatisch beim Schließen des Browser-Tabs gelöscht

- Zweck: Zuordnung eines Einladungscodes während der OAuth-Registrierung

10. E-Mail-Versand

Für den Versand transaktionaler E-Mails (z. B. E-Mail-Verifizierung, Passwort-Zurücksetzung, Kontobenachrichtigungen) nutzen wir den Dienst Resend (Resend Inc., USA).

Die in E-Mail-Templates eingebetteten Schriftarten werden von Google Fonts geladen. Auf der Website selbst werden KEINE externen Schriftarten eingebunden.

Zweck: Zustellung transaktionaler und optionaler Benachrichtigungs-E-Mails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Benachrichtigungs-E-Mails.

Drittlandtransfer: siehe Abschnitt 12.

11. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

11.1 Google Cloud Platform (Hosting, Speicherung)

- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland

- Leistung: Hosting der Plattform (Cloud Run), Speicherung von Medien (Cloud Storage), Infrastruktur

- Standort: europe-west1 (Belgien, EU)

- AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO

- Datenschutzinformationen: https://cloud.google.com/privacy

11.2 Supabase (Datenbank)

- Anbieter: Supabase Inc.

- Leistung: Hosting der PostgreSQL-Datenbank

- Standort: EU (Deutschland)

- AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO

- Datenschutzinformationen: https://supabase.com/privacy

11.3 Resend (E-Mail-Versand)

- Anbieter: Resend Inc., USA

- Leistung: Versand transaktionaler E-Mails

- AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO

- Drittlandtransfer: siehe Abschnitt 12

- Datenschutzinformationen: https://resend.com/legal/privacy-policy

12. Drittlandtransfer

Bestimmte Auftragsverarbeiter und OAuth-Provider haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR):

12.1 Resend Inc. (USA)

Für den E-Mail-Versand werden personenbezogene Daten (E-Mail-Adresse, Name) an Resend Inc. in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, die ein angemessenes Datenschutzniveau gewährleisten.

12.2 Discord Inc. (USA)

Bei Nutzung des Discord-Social-Logins werden Daten an Discord Inc. in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO, die Sie durch die aktive Auswahl des Discord-Logins erteilen.

12.3 Twitch / Amazon (USA)

Bei Nutzung des Twitch-Social-Logins werden Daten an Amazon.com, Inc. (Betreiber von Twitch) in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO, die Sie durch die aktive Auswahl des Twitch-Logins erteilen.

12.4 Google Fonts in E-Mails

In E-Mail-Templates eingebettete Schriftarten werden von Google Fonts (Google LLC, USA) geladen. Beim Öffnen einer E-Mail kann Ihre IP-Adresse an Google übermittelt werden. Dies betrifft ausschließlich E-Mails und nicht die Website selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung der E-Mails).

13. Speicherdauer und Löschung

13.1 Allgemeine Grundsätze

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder wie gesetzliche Aufbewahrungsfristen dies vorsehen (Art. 5 Abs. 1 lit. e DSGVO).

13.2 Speicherdauer nach Datenkategorien

- Benutzerkonto (E-Mail, Benutzername): Bis zur Löschung des Kontos durch den Nutzer

- Profildaten (Biografie, Bilder, etc.): Bis zur Änderung oder Löschung durch den Nutzer bzw. Kontolöschung

- Inserate / Produkte: Bis zur Löschung durch den Nutzer bzw. Kontolöschung

- Chat-Nachrichten: Bis zur Kontolöschung; bei Kontolöschung werden Nachrichten pseudonymisiert (Absender wird entfernt)

- Bewertungen: Bis zur Kontolöschung; bei Kontolöschung werden Bewertungen pseudonymisiert (Verfasser wird entfernt)

- Bookmarks und Follows: Bis zur Löschung durch den Nutzer bzw. Kontolöschung

- Server-Logdaten (IP-Adressen): 30 Tage

- OAuth-Tokens (verschlüsselt): Bis zur Trennung der Verknüpfung durch den Nutzer bzw. Kontolöschung

- payload-token (Cookie): 12 Stunden

13.3 Account-Löschung und Pseudonymisierung (Art. 17 DSGVO)

Bei der Löschung Ihres Kontos gehen wir wie folgt vor:

a) Nach Beantragung der Kontolöschung oder nach Widerruf der Einwilligung läuft eine Widerrufsfrist von 24 Stunden. Während dieser Frist können Sie die Löschung abbrechen.

b) Nach Ablauf der 24-Stunden-Frist erfolgt automatisch:

- Pseudonymisierung von Chat-Nachrichten: Der Absender wird aus allen Nachrichten entfernt (auf null gesetzt); der Nachrichteninhalt bleibt für den Gesprächspartner erhalten

- Pseudonymisierung von Bewertungen: Der bewertende Nutzer wird aus allen Bewertungen entfernt; die Bewertung (Sterne und Text) bleibt erhalten

- Löschung aller Inserate (Produkte) einschließlich zugehöriger Bilder aus dem Cloud Storage

- Löschung aller Bookmarks und Follows

- Löschung aller Reports

- Vollständige Löschung des Benutzerkontos aus der Datenbank

- Löschung aller hochgeladenen Medien (Profilbild, Bannerbild, Produktbilder) aus dem Cloud Storage

Die automatische Durchführung erfolgt über einen DSGVO-konformen Cron-Job, der planmäßig ausgeführt wird.

14. Betroffenenrechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

14.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger, die Speicherdauer und Ihre Rechte.

14.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung Ihrer personenbezogenen Daten zu verlangen. Viele Daten können Sie selbst in Ihren Kontoeinstellungen ändern.

14.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Konto selbstständig in den Kontoeinstellungen löschen. Alternativ können Sie auf der Datenschutzseite Ihre Einwilligung widerrufen, was ebenfalls zur Löschung führt (siehe Abschnitt 13.3).

14.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder Sie Widerspruch eingelegt haben.

14.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

14.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

14.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

Sie können Ihre Einwilligung auf der Datenschutzseite der Plattform (https://coshive.app/privacy) widerrufen. Nach dem Widerruf wird Ihr Konto innerhalb von 24 Stunden gelöscht (siehe Abschnitt 13.3).

Alternativ können Sie Ihre Einwilligung per E-Mail an julia.wiegenstein@identic.pro widerrufen.

14.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde für den Bereich Datenschutz ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat.

Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

15. Minderjährige (Art. 8 DSGVO)

Die Nutzung von CosHive ist ab einem Alter von 16 Jahren gestattet. Personen unter 16 Jahren benötigen die Einwilligung eines Erziehungsberechtigten. Bei der Registrierung wird das Mindestalter nicht technisch verifiziert; die Nutzer bestätigen jedoch mit der Zustimmung zu den Nutzungsbedingungen, dass sie mindestens 16 Jahre alt sind oder die Einwilligung eines Erziehungsberechtigten vorliegt.

Sollte uns bekannt werden, dass ein Nutzer unter 16 Jahren ohne entsprechende Einwilligung ein Konto erstellt hat, werden wir das Konto unverzüglich löschen und die zugehörigen Daten vollständig entfernen.

Rechtsgrundlage: Art. 8 Abs. 1 DSGVO i. V. m. § 25 Abs. 2 BDSG (Deutschland hat das Mindestalter bei 16 Jahren belassen).

16. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst unter anderem:

- Verschlüsselte Übertragung aller Daten mittels TLS/HTTPS

- Gehashte Speicherung von Passwörtern (bcrypt)

- AES-Verschlüsselung von OAuth-Tokens in der Datenbank

- Zugriffskontrolle und Berechtigungssystem

- Sichere Cookie-Konfiguration (HttpOnly, Secure, SameSite)

- Regelmäßige automatische Bereinigung abgelaufener Sitzungen und Rate Limits

- GDPR-Audit-Trail für datenschutzrelevante Vorgänge

- Moderationssystem zur Durchsetzung der Plattformregeln

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Wesentliche Änderungen werden wir den Nutzern über eine In-App-Benachrichtigung oder per E-Mail mitteilen. Die jeweils aktuelle Fassung ist stets unter https://coshive.app/privacy abrufbar.

Stand: 09.02.2026