1. Verantwortliche und Kontakt für die Datenverarbeitung

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Die Verarbeitung personenbezogener Daten erfolgt durch uns als verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO. Wir tragen die Verantwortung dafür, dass deine Daten im Einklang mit den geltenden datenschutzrechtlichen Vorschriften verarbeitet werden.

Einen gesonderten Datenschutzbeauftragten haben wir nicht bestellt, da hierfür gemäß Art. 37 DSGVO keine gesetzliche Verpflichtung besteht.

2. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach dem Grundsatz der Datenminimierung. Wir verzichten bewusst auf Tracking, Analyse-Tools und Marketing-Cookies. Auf unserer Website werden ausschließlich technisch notwendige Daten verarbeitet.

Erfüllung vertraglicher und vorvertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO)

Dazu zählen insbesondere:

• Bereitstellung unseres Services: Verarbeitung von E-Mail-Adressen zur Abwicklung des Kaufs von Thortoken sowie zur Generierung und Bereitstellung von Thorname und QR-Code.
• Kommunikation: Nutzung von Kontaktdaten sowie der Inhalte von Anfragen, um Support zu leisten und über den Status deines Auftrags zu informieren.
• Zahlungsabwicklung: Verarbeitung von Zahlungsinformationen erfolgt ausschließlich über externe Zahlungsdienstleister (z. B. Stripe oder BTCPayServer). Wir selbst speichern keine sensiblen Zahlungsdaten. Abrechnungsrelevante Transaktionsdaten (Zahlungs-ID, Betrag, Zeitpunkt) werden im Rahmen gesetzlicher Pflichten gespeichert.

Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

• Erfüllung handels- und steuerrechtlicher Pflichten, z. B. Aufbewahrung von Rechnungs- und Buchhaltungsunterlagen.
• Erfüllung sonstiger gesetzlicher Nachweis- oder Dokumentationspflichten.

Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)

• Gewährleistung der IT-Sicherheit und des störungsfreien Betriebs unserer Website.
• Missbrauchs- und Betrugsprävention, z. B. durch Validierung von Thortoken.
• Technische Fehleranalyse und Systemstabilität.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Sofern du ausdrücklich zustimmst, verarbeiten wir personenbezogene Daten auf Grundlage deiner Einwilligung für folgende Zwecke:

• Benachrichtigung bei Verfügbarkeit eines Thorshops in deiner Nähe.
• Bestätigung und Abwicklung der entsprechenden Anfrage.

Die Einwilligung erfolgt freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

3. Welche Daten verarbeiten wir beim Besuch unserer Website?

Automatisch erfasste Daten

Details zu Umfang und Speicherfrist werden noch ergänzt.

Beim Aufruf unserer Website werden bestimmte Daten automatisch durch unsere IT-Systeme erfasst. Diese sind technisch erforderlich, um die Website bereitzustellen sowie deren Sicherheit und Stabilität zu gewährleisten:

• IP-Adresse des aufrufenden Endgeräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seiten bzw. Inhalte
• Browsertyp und -version
• Verwendetes Betriebssystem
• Technische Sicherheits- und Zugriffsdaten

Es erfolgt keine Erstellung von Nutzerprofilen, kein Tracking über mehrere Websitebesuche hinweg und kein Profiling. Eine dauerhafte Speicherung in Form von Server-Logfiles erfolgt nicht — die Verarbeitung findet ausschließlich kurzfristig im Arbeitsspeicher statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung, Sicherung und Fehleranalyse der Website).

Technisch notwendige Cookies und ähnliche Technologien

Konkrete Informationen werden noch ergänzt.

Unsere Website verwendet ausschließlich technisch notwendige Cookies und vergleichbare lokale Speichermechanismen:

• Session-Cookies zur Bereitstellung grundlegender Funktionen
• Lokale Speichermechanismen (z. B. zur Speicherung der gewählten Sprache)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der funktionalen und sicheren Bereitstellung der Website).

Daten, die du uns selbst mitteilst

Wir verarbeiten personenbezogene Daten nur dann, wenn du uns diese aktiv und freiwillig zur Verfügung stellst. Dies betrifft insbesondere:

• E-Mail-Adresse (z. B. im Rahmen von Bestellungen, Einlösung von Thortoken oder Support-Anfragen)
• Telefonnummer (freiwillig, z. B. für Support)
• Benutzernamen oder Kennungen (z. B. Threema-ID, Session-ID, Messenger-Benutzername)
• Inhalte von Anfragen per E-Mail, Formular oder Messenger-Dienste
• Freiwillige Angaben im Rahmen von Benachrichtigungsanfragen

Bei Zahlungen mit Kryptowährungen erfolgt die Zahlungsabwicklung über eine von uns selbst betriebene technische Infrastruktur auf unseren eigenen Servern. Dabei werden keine Zahlungsdaten an externe Zahlungsdienstleister übermittelt. Verarbeitet werden ausschließlich die von dir angegebene E-Mail-Adresse sowie blockchain-typische technische Daten wie Wallet-Adressen und Transaktionskennungen (TX-IDs). Bitte beachte, dass Transaktionen auf der Blockchain grundsätzlich öffentlich einsehbar sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), je nach Kontext.

4. Wer erhält meine Daten?

Deine Daten werden von uns vertraulich behandelt. Eine Weitergabe erfolgt nur, soweit dies für den Betrieb unserer Website und die Erbringung unseres Services erforderlich ist oder wir hierzu gesetzlich verpflichtet sind. Eine Weitergabe zu Werbezwecken oder ein Verkauf von Daten findet nicht statt.

Interne Empfänger

Zugriff auf personenbezogene Daten haben ausschließlich die Betreiber von Thorpaket, und nur soweit dies für die Abwicklung von Bestellungen, die Bereitstellung des Services oder die Bearbeitung von Anfragen erforderlich ist.

Externe Empfänger

Wir arbeiten mit ausgewählten Dienstleistern zusammen, die Daten ausschließlich in unserem Auftrag und nur im erforderlichen Umfang verarbeiten (Auftragsverarbeitung gemäß Art. 28 DSGVO):

• Cloudflare, Inc. und Hetzner Online GmbH — Website-Auslieferung, Sicherheit und Server-Betrieb (Finnland, EU). Alle Eingaben werden über Cloudflare weitergeleitet und auf unseren Hetzner-Servern verarbeitet.
• Proton AG und „mail resend" (Plus Five Five, Inc.) — Versand und Empfang von E-Mails im Rahmen der Bestellabwicklung, Benachrichtigungen und Support-Anfragen.
• Stripe Payments Europe, Ltd. und PayPal — Verarbeitung von Zahlungs- und Abrechnungsinformationen. Wir erhalten keinen Zugriff auf vollständige Kreditkarten- oder Kontodaten.
• Kommunikationsdienste (Support): Signal, Telegram, WhatsApp, Threema, Session, X — Bitte beachte, dass bei der Nutzung dieser Dienste Daten durch die jeweiligen Anbieter verarbeitet werden können, auch außerhalb der Europäischen Union.

Weitergabe an Dritte und Behörden

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich, wenn wir hierzu gesetzlich verpflichtet sind oder eine behördliche oder gerichtliche Anordnung vorliegt. Die Weitergabe beschränkt sich stets auf den erforderlichen Umfang.

5. Datenverarbeitung außerhalb der EU und des EWR

Ein Teil unserer technischen Dienstleister nutzt international verteilte Infrastruktur. Dadurch kann es in einzelnen Fällen dazu kommen, dass Daten auch außerhalb der Europäischen Union verarbeitet werden.

• Serverbetrieb: Unsere zentralen Server werden in Finnland (EU) betrieben. Die wesentlichen Funktionen unseres Services werden vollständig innerhalb der EU verarbeitet.
• Website-Auslieferung und Sicherheit: Für die Auslieferung und Absicherung unserer Website nutzen wir Cloudflare. Dabei werden technische Zugriffsdaten in Rechenzentren verarbeitet, die sich geografisch in der Nähe des jeweiligen Nutzers befinden.
• Zahlungsabwicklung: Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. (Irland). In diesem Zusammenhang kann es zur Übermittlung einzelner Daten in Drittländer (z. B. USA) kommen. Stripe setzt hierfür geeignete Garantien gemäß DSGVO ein, insbesondere EU-Standardvertragsklauseln.

6. Wie lange werden meine Daten gespeichert?

Wir speichern Daten grundsätzlich nur so lange, wie dies für die Bereitstellung unserer Dienste oder zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.

Speicherung während der Nutzung

Während der Nutzung unseres Services werden nur die Daten verarbeitet, die technisch erforderlich sind:

• Thortoken-Status und Zeitpunkt der Nutzung
• Generierte Thornamen (pseudonyme Kennungen)
• Statusinformationen zu Vorgängen
• Zeitstempel der Paketausgabe
• Partner- bzw. Shop-ID des jeweiligen Partnershops

Gesetzliche Aufbewahrungspflichten (10 Jahre)

Bestimmte Daten werden aufgrund gesetzlicher Vorgaben (§ 147 AO, § 257 HGB) für 10 Jahre revisionssicher gespeichert:

Auch wenn einzelne Daten (z. B. die E-Mail-Adresse) aus gesetzlichen Gründen gespeichert werden müssen, werden diese strikt getrennt von Nutzungs- und Leistungsdaten verarbeitet, sodass eine direkte Zuordnung zwischen einer Person und der konkreten Nutzung des Services systemseitig nicht vorgesehen ist.

Technische Benachrichtigungs- und Protokolldaten

• Speicherung ausschließlich für technische Zwecke
• Automatische Löschung nach spätestens 90 Tagen

Backups und Datensicherung

• Tägliche Backups des gesamten Systems
• Aufbewahrung der Backups für 7 Tage
• Automatische Löschung nach Ablauf dieser Frist

7. Deine Rechte im Überblick

Du hast im Rahmen der DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO)

  Du kannst Auskunft darüber verlangen, welche personenbezogenen Daten wir von dir verarbeiten.

• Berichtigung (Art. 16 DSGVO)

  Du kannst die Berichtigung unrichtiger oder unvollständiger Daten verlangen.

• Löschung (Art. 17 DSGVO)

  Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

• Einschränkung der Verarbeitung (Art. 18 DSGVO)

  Du hast das Recht, die Verarbeitung deiner Daten unter bestimmten Voraussetzungen einschränken zu lassen.

• Widerspruch (Art. 21 DSGVO)

  Du kannst der Verarbeitung deiner Daten widersprechen, sofern diese auf Grundlage berechtigter Interessen erfolgt.

• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)

  Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

• Datenübertragbarkeit (Art. 20 DSGVO)

  Du kannst verlangen, dass wir dir die von dir bereitgestellten Daten in einem strukturierten, gängigen Format zur Verfügung stellen.

• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

  Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren.

8. Kontakt und Aufsichtsbehörde

Kontakt bei Fragen oder zur Ausübung deiner Rechte

Aufsichtsbehörde für Datenschutz in Hamburg

Falls du das Gefühl hast, dass wir deine Daten nicht richtig schützen, sag uns bitte direkt Bescheid — wir wollen das klären. Du hast natürlich auch das Recht, dich an die zuständige Aufsichtsbehörde zu wenden: