Public alpha
Sign in

English version

Privacy policy

Last updated: 13 June 2026. This English version is a summary. If German or EU law applies to you, please also read the full German section below (open the box).

Who we are and what this is

Data controller (GDPR): Silas Nutz, operating as Mandavo Softwareentwicklung, Daimlerstraße 50, 74211 Leingarten, Germany. kontakt@mandavo.app

We have not appointed a data protection officer because we are not currently legally required to do so.

TCG Atlas is a web-based market-intelligence and comparison service for trading card products (currently focused on Pokémon). The product may include cross-venue price views, spreads and modeled fees, catalog lookup, alerts, account tools, exports and third-party integrations—only as offered in the application for your tier, region and release at the time you use or subscribe. General card and price information from public and commercial sources is not personal data about you unless you save it in your account.

Data we may process

  • Account details (e-mail, password stored in protected form, profile fields, two-factor settings where you turn them on).
  • Technical logs (e.g. access times, session identifiers, IP address, browser type) to run the service safely and reliably and to prevent abuse.
  • Account-level application event logs when you use account features (for example saved lists, collection or inventory inputs, alerts, billing actions, support tickets, optional integrations you connect, or notification settings you enable): type and time of the action, functional metadata the feature needs (e.g. related identifiers), and your IP address and browser information where sent with the request.
  • Information you enter (e.g. watchlist, portfolio, uploads) only to provide the feature you use.
  • Billing and payment data when you use paid plans: processed by our payment provider Stripe(including transfers outside the EU/EEA where Stripe operates; see Stripe's privacy notice). See also our Terms.

Why we process data (legal bases, short overview)

Website and hosting: Art. 6(1)(f) GDPR (secure, stable operation); Art. 6(1)(b) where we are preparing or performing a contract with you. Account, sign-in, two-factor: Art. 6(1)(b) and, where needed, Art. 6(1)(f) (security, misuse prevention). Transactional email via Postmark (United States): Art. 6(1)(b) and/or Art. 6(1)(f) GDPR; transfers outside the EU/EEA may use the EU-U.S. Data Privacy Framework where applicable, otherwise or additionally Standard Contractual Clauses and other safeguards where required. Paid plans and checkout via Stripe: Art. 6(1)(b) GDPR for payment processing and subscription management; Stripe may process data in the United States and other countries under the EU-U.S. Data Privacy Framework where applicable and/or its agreements and safeguards. Optional browser push notifications: if you enable them in a supported browser, we store subscription endpoints and related technical keys tied to your account to deliver alerts you asked for — Art. 6(1)(a) GDPR (consent via the browser prompt), with Art. 6(1)(b) and/or Art. 6(1)(f) where needed for delivery. You can turn push off in your device or in-app settings. Hosting and storage: as a rule in the EU/EEA (e.g. Hetzner), including database, backups, and routine monitoring — Art. 6(1)(b) and/or Art. 6(1)(f) GDPR.

Third-party sign-in

If you sign in with Google, we receive—depending on the provider—your email address, a provider user ID, and where applicable your name, profile picture, and verification status. Purpose: authentication and account management. Legal bases: Art. 6(1)(b) GDPR (contract/pre-contract), supplemented by Art. 6(1)(f) GDPR (security and misuse prevention). Data may be transferred outside the EU/EEA; the provider's privacy terms govern those transfers.

Occasional product-update emails (marketing, double opt-in)

If you tick the optional product-update checkbox at registration or in your profile (never pre-checked), we log your request with timestamp, IP (if sent), checkbox text version, and source. We send a confirmation email; only after you click the link do we enable marketing mail. Until then, consent stays pending. Legal basis after confirmation: Art. 6(1)(a) GDPR. Every product-update email includes an unsubscribe link. Transactional and security mail (signup, password, alerts) uses a separate Postmark stream and is not product marketing.

Account-related event logs

We may keep structured logs linked to your account for selected actions you perform in the application (technical and functional metadata about each action). Purposes include secure and traceable delivery of free and paid features, misuse detection, day-to-day operation (including support and proportionate troubleshooting), and product improvement. We evaluate account-linked event logs on a per-account basis to improve reliability, prevent abuse, debug issues, and understand aggregate product usage for features we offer. We do not use them for cross-site advertising profiling. This is not a complete history of every page view; scope follows the features and API actions we actually provide. Access in our internal, password- and role-protected admin area is limited to these purposes. Legal bases: Art. 6(1)(b) GDPR where logging is part of performing the contract or clearly assigned account features; Art. 6(1)(f) GDPR for secure, stable, abuse-resistant operation and reasonable internal review (including operations and support).

Recipients and processors

We share personal data with the following categories of recipients only where needed to run the service. Where they act as processors, we use appropriate data-processing agreements under Art. 28 GDPR.

ProviderPurposeRegion / transfer
HetznerHosting, database, backupsEU/EEA
PostmarkTransactional emailUnited States / EU-U.S. Data Privacy Framework where applicable; otherwise or additionally Standard Contractual Clauses and supplementary safeguards
StripePayments and billingUnited States / EU-U.S. Data Privacy Framework where applicable; otherwise or additionally Standard Contractual Clauses and supplementary safeguards
GoogleOptional sign-inDepending on provider; see Google privacy terms

International transfers

Where required for transfers outside the EU/EEA, we rely on the EU-U.S. Data Privacy Framework where the processor is certified and the transfer qualifies; otherwise or additionally on the European Commission's 2021 Standard Contractual Clauses, the provider's data-processing terms, and supplementary technical and organisational safeguards agreed with each processor. Further details may be provided on request where legally required and commercially reasonable.

Advertising, profiling, and use of your data for AI

We do not use cross-site advertising networks to profile your browsing on other websites. Market and price information is used to show the product and to keep accounts secure. We do not use your account content, uploads, watchlists, or portfolio inputs to train third-party or public artificial-intelligence models. If we add important new partners (e.g. payments or error monitoring), we will update this page in good time before new processing begins, where that is reasonable.

Cookies and local storage

We currently use only first-party storage that is necessary for login, security, account functionality, or user-requested interface preferences (for example recent catalog search, sidebar state, news read markers, or push prompt snooze). We do not use advertising or cross-site tracking cookies. If we add non-essential analytics, advertising, or tracking technologies, we will request consent where required.

For storing information on your device or accessing it, § 25 TDDDG (German Telecommunications Digital Services Act) also applies. We use technically necessary cookies and local storage on the basis of § 25(2) TDDDG insofar as they are strictly required to provide the digital service you request. For non-essential technologies we would obtain consent in advance.

In practice we use: (1) first-party httpOnly session, MFA-challenge, and short-lived OAuth-state cookies for Google sign-in; (2) browser localStorage/sessionStorage for the interface preferences described above; (3) Stripe Checkout via redirect (no Stripe.js tracking on our pages); (4) Google sign-in via server redirect only; push only after browser permission.

Retention

We keep personal data only as long as necessary for the purposes above:

  • Account data: for the life of your account; after deletion or anonymisation, residual copies may remain in backups until the next backup rotation (typically up to about 60 days across our daily, weekly, and monthly tiers) and in records we must keep for legal or security reasons.
  • Payment and invoicing data: for the statutory retention periods that apply in Germany, typically six or ten years depending on the document type.
  • Server and application logs: typically 14 to 30 days, unless a longer period is needed to investigate a security incident.
  • Support tickets and related messages: for the duration of the support relationship and typically up to 24 months after the ticket is closed, unless longer retention is required for legal claims.
  • Marketing consent logs: for as long as we need them to demonstrate valid consent, including after you unsubscribe.
  • Account event logs: for the duration of your account and, where technically or legally necessary, for a reasonable follow-on period for operations, support, and misuse clarification.

Requirement to provide data

Providing certain data is required to use TCG Atlas. Without an email address, login credentials, and technically necessary security data we cannot provide an account. Without payment and billing data, paid tiers cannot be purchased or managed. Optional entries, watchlists, portfolio data, uploads, push notifications, and product-update emails are voluntary; if you do not provide them or do not enable the feature, those functions cannot be used or only in a limited way.

Your rights

You have GDPR rights (access, correction, erasure, restriction, objection in applicable cases, data portability, withdrawal of consent). Contact the e-mail above. You may lodge a complaint with a supervisory authority. For our registered office in Baden-Württemberg, Germany, the competent authority is the Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart, Germany (lfdi-bw.de). Some processing outside the EU/EEA occurs for e-mail delivery (Postmark) and payment processing (Stripe); your main account data is normally stored in the EU/EEA in production use.

Where to find this page: https://thetcgatlas.com/legal/datenschutz. The German section below goes into more detail for readers under German and EU law.

Deutsche Fassung (bei anwendbarem deutschen Recht maßgeblich) (open for German)

Stand: 13.06.2026. Diese Informationen informieren Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Website und Plattform TCG Atlas (Mandavo Softwareentwicklung).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Silas Nutz
handelnd unter Mandavo Softwareentwicklung
Daimlerstraße 50, 74211 Leingarten, Deutschland
kontakt@mandavo.app

Wir haben keinen Datenschutzbeauftragten bestellt, weil wir derzeit gesetzlich nicht dazu verpflichtet sind (insbesondere keine Pflicht nach § 38 BDSG für unser derzeitiges Angebot). Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Adresse.

2. Produkt und Anwendungsfall

TCG Atlas ist ein webbasierter Marktinformations- und Vergleichsdienst für Trading- und Sammelkarten (derzeit Schwerpunkt Pokémon). Die Anwendung kann u. a. marktübergreifende Preisansichten, Spreads und modellierte Gebühren, Katalogsuche, Hinweise/Alerts, Kontofunktionen, Exporte und Drittanbindungen umfassen—jeweils nur, soweit sie in der Anwendung für Ihren Tarif, Ihre Region und Ihre Version zum Zeitpunkt der Nutzung oder des Abschlusses angeboten werden. Soweit Karten, Sets, Marktpreise oder daraus abgeleitete Werte angezeigt werden, stützen wir uns auf zusammengeführte Informationen aus öffentlichen und gewerblichen Quellen. Personenbezogene Bestands- oder Sammlungsangaben verarbeiten wir nur, wenn Sie sie aktiv in der Anwendung hinterlegen.

3. Kategorien personenbezogener Daten

Je nach Nutzung verarbeiten wir insbesondere:

  • Stammdaten & Kontodaten (E-Mail, ggf. Name o. Profilangaben, Passwort in technisch geschützter Form, Angaben zur Zwei-Faktor-Anmeldung, soweit von Ihnen aktiviert; bei Anmeldung über einen Drittanbieter zusätzlich Daten vom jeweiligen Anbieter, siehe Ziffer 4.2a).
  • Nutzungs- und Sicherheitsprotokolle (z. B. Anmelde-, Zugriffs- und Serverprotokolle, Sitzungskennungen, Zeitstempel, IP-Adressen, Browsertyp), soweit für Betrieb, Schutz und Missbrauchsvorbeugung erforderlich.
  • Kontobezogene Ereignisprotokolle auf Anwendungsebene, soweit Sie Kontofunktionen nutzen (z. B. gespeicherte Listen, Bestands- oder Sammlungseingaben, Hinweise/Alerts, Abrechnungsvorgänge, Support-Anfragen, von Ihnen verbundene optionale Integrationen oder von Ihnen aktivierte Benachrichtigungseinstellungen): Art und Zeitpunkt der Aktion, ggf. fachliche Metadaten (z. B. betroffene Kennungen, die für die jeweilige Funktion technisch nötig sind) sowie, soweit bei der Anfrage mitübermittelt, IP-Adresse und Browsertyp bzw. vergleichbare Client-Hinweise.
  • Von Ihnen eingegebene Bestands- oder Wunschlisten-Daten (z. B. Portfolios, Merklisten-Einträge, hochgeladene Dateien) - ausschließlich so weit, wie die jeweiligen Funktionen in der Anwendung dies vorsehen.
  • Optional: Push-Benachrichtigungen - technische Abonnementdaten Ihres Browsers (z. B. Endpoint und zugehörige Schlüssel), nur wenn Sie Push in der App aktivieren, soweit die Funktion angeboten und technisch eingebunden ist.
  • Abrechnungs- und Zahlungsdaten bei kostenpflichtigen Tarifen, insbesondere über den Zahlungsdienstleister Stripe (siehe Ziffer 4.5 und die AGB).

4. Zwecke, Rechtsgrundlagen

4.1 Aufruf der Website / technische Infrastruktur

Beim Aufruf unserer Website bzw. App werden technische Daten verarbeitet (u. a. IP-Adresse, Zeitstempel, angeforderte Seiten, übertragene Datenmenge, technischer Erfolg der Anfrage, Browsertyp), damit Inhalte ausgeliefert, der Dienst stabil betrieben und (z. B. Zugriffsbegrenzung, Firewall, verschlüsselte Verbindung) abgesichert werden können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sichere und betriebsfähige Bereitstellung) sowie ggf. Art. 6 Abs. 1 lit. b, soweit Sie klar eine Nutzerinteraktion beginnen (Kontoanlage, Formular), die einen Vertrags- oder Vorbereitungskontext hat.

4.2 Konto, Authentifizierung, 2-Faktor

E-Mail, Passwort in geschützter Form und Sicherheitsinformationen zur Anmeldung werden verarbeitet, um Zugang zu prüfen, normale Nutzer- von Administratorzugängen zu unterscheiden und Zwei-Faktor-Anmeldung (falls von Ihnen eingeschaltet) anzubieten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzend Art. 6 Abs. 1 lit. f DSGVO (Integrität, Missbrauchsvorbeugung, nachvollziehbare Sicherheitsvorgänge). Soweit Sie sich über einen Drittanbieter anmelden, gilt zusätzlich Ziffer 4.2a.

4.2a Anmeldung über Drittanbieter

Wenn Sie sich mit Google anmelden, erhalten wir je nach Anbieter Ihre E-Mail-Adresse, eine Anbieter-ID, ggf. Namen, Profilbild und Verifizierungsstatus. Zweck ist die Authentifizierung und Kontoverwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzend lit. f DSGVO für Sicherheit und Missbrauchsschutz. Es kann zu Drittlandübermittlungen kommen; maßgeblich sind die Datenschutzbedingungen des jeweiligen Anbieters.

4.3 Plattformfunktionen, Merkliste, Portfolio, Hinweise (sofern buchbar)

Soweit Sie Eingaben tätigen oder Aktionen auslösen, verarbeiten wir die von Ihnen in den dafür vorgesehenen Eingabefeldern/Uploads bereitgestellten Daten, um Ihnen die gewählten Funktionen der Plattform bereitzustellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. a, soweit reine, widerrufliche Einwilligung in nicht vertraglich eingerichtete Optionen erforderlich wäre.

4.3a Kontobezogene Funktions- und Ereignisprotokolle

Für ausgewählte, in der Anwendung ausgelöste Vorgänge führen wir strukturierte, kontobezogene Protokolle (technische und sachliche Metadaten zu der jeweiligen Aktion). Das dient der sicheren und nachvollziehbaren Bereitstellung der gebuchten oder frei nutzbaren Funktionen, der Missbrauchserkennung, der internen Betriebsführung (inkl. Support und Fehleranalyse in zumutbarem Umfang) sowie der Weiterentwicklung der Plattform. Kontobezogene Ereignisprotokolle werten wir im Regelfall kontobezogen aus, um Zuverlässigkeit zu verbessern, Missbrauch zu verhindern, Fehler zu beheben und die Nutzung unserer Funktionen in aggregierter Form besser zu verstehen. Eine werbliche Profilbildung über Websites hinweg findet damit nicht statt. Es handelt sich nicht um ein vollständiges Protokoll sämtlicher Seitenaufrufe; Umfang und Spezifik folgen den tatsächlich angebotenen Schnittstellen und werden nur erhoben, soweit die jeweilige Aktion von Ihnen in der Anwendung ausgelöst wird. Die Auswertung in einem internen, passwort- und rollengeschützten Administrationsbereich ist auf das Erreichen dieser Zwecke beschränkt. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, soweit die Protokolle der Vertragsdurchführung oder der Nutzung klar zugeordneter Kontofunktionen dienen; ergänzend Art. 6 Abs. 1 lit. f DSGVO für die sichere, stabile und missbrauchsfeste Bereitstellung des Dienstes sowie für die interne Einsichtnahme im zumutbaren Rahmen (z. B. Betrieb, Support).

4.4 Transaktionale E-Mails über Postmark, Support

Zum Versand notwendiger System- und Sicherheitsmails (Registrierung, E-Mail-Bestätigung, Passwort-Reset, wichtige Kontomitteilungen) nutzen wir den Dienstleister Postmark (Anbieter mit Sitz in den USA; soweit anwendbar EU-U.S. Data Privacy Framework, ergänzend oder alternativ Standardvertragsklauseln). Dabei werden ausschließlich die technisch erforderlichen Empfänger- und Inhaltsdaten übermittelt. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b bzw. f DSGVO. Support-Anfragen per E-Mail: Art. 6 Abs. 1 lit. b bzw. f.

4.4a Gelegentliche Produktupdates per E-Mail (Marketing, Doppel-Opt-in)

Wenn Sie bei der Registrierung oder im Profil freiwillig die Option „gelegentliche Produktupdates per E-Mail“ aktivieren (Checkbox nicht vorangekreuzt), speichern wir Ihre Anfrage mit Zeitpunkt, IP-Adresse (soweit übermittelt), Textversion der Checkbox und Quelle (z. B. Registrierung oder Profil). Wir senden Ihnen eine Bestätigungs-E-Mail (Doppel-Opt-in); erst nach Klick auf den Bestätigungslink setzen wir marketing_consent und versenden werbliche Produktupdates. Bis dahin bleibt der Status „ausstehend“. Rechtsgrundlage für den Versand nach Bestätigung: Art. 6 Abs. 1 lit. a DSGVO; für die Bestätigungsmail und Protokollierung: Art. 6 Abs. 1 lit. b bzw. f DSGVO. Jede Produktupdate-Mail enthält einen Abmeldelink; Sie können die Einwilligung auch im Profil widerrufen. Transaktions- und Sicherheitsmails (Registrierung, Passwort, Alerts) laufen über einen separaten Postmark-Nachrichtenstrom und gelten nicht als Werbung.

4.5 Abrechnung und Zahlungen (Stripe)

Soweit Sie kostenpflichtige Tarife buchen oder Zahlungen über TCG Atlas abwickeln, setzen wir den Zahlungsdienstleister Stripe ein (Stripe, Inc./Stripe Technology Europe Ltd.; Verarbeitung u. a. in den USA und weiteren Staaten entsprechend der Stripe-Dokumentation; soweit anwendbar kann Stripe das EU-U.S. Data Privacy Framework nutzen, ergänzend oder alternativ Standardvertragsklauseln). Hierbei verarbeitet Stripe vor allem Zahlungs- und Identifikationsdaten sowie transaktionsbezogene Metadaten; wir erhalten zurück, was zur Vertragsabwicklung, Berechtigung und Buchhaltung erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ergänzend lit. f für Missbrauchsvorbeugung und sichere Abwicklung soweit anwendbar. Die datenschutzrechtlichen Hinweise von Stripe finden Sie bei Stripe; für Ihr Vertragsverhältnis zu uns gelten zusätzlich die AGB.

4.6 Browser-Push-Benachrichtigungen (optional)

Wenn Sie in unterstützten Browsern Push-Benachrichtigungen aktivieren (z. B. zu Markthinweisen oder Alerts), speichern wir die von der Push-Infrastruktur bereitgestellten technischen Daten (z. B. Endpoint-URL, Schlüsselmaterial des Browsers/Zwischenanbieters) verknüpft mit Ihrem Nutzerkonto, um Nachrichten zuzustellen. Die Zustimmung erfolgt über die jeweilige Browser-/Systemabfrage; Sie können Push jederzeit in den Geräteeinstellungen und/oder den Einstellungen der Anwendung abbestellen – ohne dass dadurch das übrige Nutzerkonto zwingend beendet wird. Ohne Aktivierung findet keine entsprechende Verarbeitung statt. Rechtsgrundlage bei Nutzung: Art. 6 Abs. 1 lit. a DSGVO; bei rein technisch notwendiger Minimalverarbeitung im Anschluss an wirksame Einwilligung ergänzend Art. 6 Abs. 1 lit. b bzw. f DSGVO.

4.7 Hosting, Speicherung, Sicherungskopien (eigener Betrieb)

TCG Atlas nutzt in der Regel Server in der EU (z. B. bei Hetzner) mit Datenbank, Website-Zugriff und automatisierten Hintergrundaufgaben (z. B. für Auswertungen und Wartung) sowie verschlüsselten Verbindungen. Personenbezogene Daten, die dafür technisch nötig sind (Betrieb, Protokolle, Sicherungskopien, Wiederherstellung, Überwachung der Systemsicherheit), verarbeiten wir ausschließlich, um den Dienst sicher und nachvollziehbar betreiben zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO.

4.8 Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter Daten ist erforderlich, um TCG Atlas nutzen zu können. Ohne E-Mail-Adresse, Zugangsdaten und technisch notwendige Sicherheitsdaten können wir kein Nutzerkonto bereitstellen. Ohne Zahlungs- und Abrechnungsdaten können kostenpflichtige Tarife nicht gebucht oder verwaltet werden. Optionale Angaben, Watchlists, Portfolio-Daten, Uploads, Push-Benachrichtigungen und Produktupdate-E-Mails sind freiwillig; wenn Sie diese Daten nicht bereitstellen oder die jeweilige Funktion nicht aktivieren, können die entsprechenden Funktionen nicht oder nur eingeschränkt genutzt werden.

5. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an die folgenden Empfänger bzw. Auftragsverarbeiter weiter, soweit dies für den Betrieb erforderlich ist. Soweit diese als Auftragsverarbeiter handeln, schließen wir mit ihnen Vereinbarungen nach Art. 28 DSGVO ab.

ProviderZweckRegion / Übermittlung
HetznerHosting, Datenbank, SicherungskopienEU/EWR
PostmarkTransaktions-E-MailUSA / EU-U.S. Data Privacy Framework, soweit anwendbar; andernfalls bzw. ergänzend Standardvertragsklauseln und zusätzliche Garantien
StripeZahlungen und AbrechnungUSA / EU-U.S. Data Privacy Framework, soweit anwendbar; andernfalls bzw. ergänzend Standardvertragsklauseln und zusätzliche Garantien
GoogleOptionale AnmeldungJe nach Anbieter; siehe Google-Datenschutzhinweise

6. Auswertung zu Werbezwecken, KI

Soweit nicht in dieser Erklärung, den AGB oder gesonderten Einstellungen in der Anwendung anders beschrieben, setzen wir kein werbliches Profil über Ihr Surfverhalten auf anderen Websites ein (z. B. über übergreifende Anzeigen-Netzwerke). Die Verarbeitung von Markt- und Angebotsdaten dient der Darstellung in der App, der Bewertung von Marktlagen (z. B. Hinweise auf Chancen oder fairen Wert) und dem Schutz vor Missbrauch. Wir verwenden Ihre Kontoinhalte, Uploads, Merklisten oder Portfolio-Eingaben nicht zum Training von KI-Modellen Dritter oder allgemein zugänglicher KI-Systeme. Wenn wir später wichtige neue Dienstleister ergänzen oder wechseln (z. B. für Zahlungen, Fehleranalyse oder E-Mail-Versand), nennen wir Dienst, Zweck und, soweit nötig, die Rechtsgrundlage, bevor wesentlich neue personenbezogene Verarbeitung beginnt, oder aktualisieren diese Seite rechtzeitig davor.

7. Cookies, lokale Speicher und Skripte (Stand der Technik)

Derzeit setzen wir ausschließlich First-Party-Speicher ein, die für Anmeldung, Sicherheit, Kontofunktionen oder von Ihnen gewünschte Oberflächeneinstellungen erforderlich sind (z. B. zuletzt genutzte Katalogsuche, Seitenleistenstatus, als gelesen markierte News oder Snooze für Push-Hinweise). Werbe- oder Cross-Site-Tracking-Cookies verwenden wir nicht. Sollten wir nicht erforderliche Analytics-, Werbe- oder Tracking-Technologien einführen, holen wir die erforderliche Einwilligung ein.

Für die Speicherung von Informationen in Ihrer Endeinrichtung oder den Zugriff darauf gilt zusätzlich § 25 TDDDG. Technisch notwendige Cookies und lokale Speicherungen setzen wir auf Grundlage von § 25 Abs. 2 TDDDG ein, soweit sie unbedingt erforderlich sind, um den von Ihnen gewünschten digitalen Dienst bereitzustellen. Für nicht erforderliche Technologien würden wir vorab eine Einwilligung einholen.

  • Technisch notwendige HTTP-Cookies (First-Party): Sitzungs-Cookie für die Anmeldung (httpOnly), kurzlebiges Cookie für Zwei-Faktor-Herausforderungen sowie ein kurzlebiges Cookie für den OAuth-Anmeldestatus (Google-Anmeldung) während des Redirects. Zweck: Anmeldung, Sicherheit, Missbrauchsschutz. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO.
  • Lokaler Speicher im Browser (localStorage / sessionStorage): für die in Absatz 1 genannten Oberflächeneinstellungen auf Ihrem Gerät. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (nutzerfreundlicher Betrieb).
  • Zahlungen (Stripe): Checkout erfolgt per Weiterleitung zu Stripe; wir binden kein Stripe-JavaScript für Tracking auf unseren Seiten ein. Es gelten die Datenschutzhinweise von Stripe auf deren Checkout-Seiten (Ziffer 4.5).
  • OAuth (Google): Anmeldung per Server-Redirect zum jeweiligen Anbieter; wir laden keine eingebetteten Login-Skripte der Anbieter auf unseren Seiten. Es gelten die Datenschutzbedingungen des jeweiligen Anbieters (Ziffer 4.2a).
  • Push-Benachrichtigungen: nur nach ausdrücklicher Browser-/Gerätefreigabe; technische Abo-Daten siehe Ziffer 4.6.

8. Drittlandübermittlungen

Soweit Postmark, Stripe, die von uns angebotenen Anmeldedienste (Google) oder später weitere Auftragsverarbeiter Daten mit möglichem Sitz oder Verarbeitung in Drittländern (insbesondere USA) betreffen, stellen wir, soweit nötig, geeignete Garantien nach Art. 44 ff. DSGVO sicher. Soweit für Übermittlungen in Drittländer erforderlich, stützen wir uns auf das EU-U.S. Data Privacy Framework, soweit der Auftragsverarbeiter zertifiziert ist und die Übermittlung dafür in Betracht kommt; andernfalls bzw. ergänzend auf die Standardvertragsklauseln der EU-Kommission (Fassung 2021), die Auftragsverarbeitungsbedingungen des jeweiligen Anbieters sowie ergänzende technische und organisatorische Maßnahmen. Weitere Einzelheiten stellen wir auf Anfrage bereit, soweit gesetzlich erforderlich und wirtschaftlich zumutbar. Die Hauptdatenbank mit Ihren Kontoinformationen liegt im üblichen Produktivbetrieb in der EU/EWR und wird von uns selbst betrieben.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist. Konkret gilt insbesondere:

  • Kontodaten: für die Dauer Ihres Kontos; nach Löschung oder Anonymisierung können Restkopien in Sicherungen bis zur nächsten Backup-Rotation verbleiben (typischerweise bis zu etwa 60 Tage über tägliche, wöchentliche und monatliche Stufen) sowie in Aufzeichnungen, die wir aus rechtlichen oder Sicherheitsgründen vorhalten müssen.
  • Zahlungs- und Rechnungsdaten: für die gesetzlichen Aufbewahrungsfristen in Deutschland, typischerweise sechs oder zehn Jahre je nach Dokumentart.
  • Server- und Anwendungsprotokolle: typischerweise 14 bis 30 Tage, sofern kein längerer Zeitraum zur Untersuchung eines Sicherheitsvorfalls erforderlich ist.
  • Support-Tickets und zugehörige Nachrichten: für die Dauer der Support-Beziehung und typischerweise bis zu 24 Monate nach Schließung des Tickets, sofern keine längere Aufbewahrung aus Rechtsansprüchen folgt.
  • Marketing-Einwilligungsprotokolle: solange wir sie benötigen, um eine wirksame Einwilligung nachweisen zu können, auch nach Abmeldung.
  • Kontobezogene Ereignisprotokolle: für die Dauer Ihres Kontos und – soweit technisch oder rechtlich erforderlich – für eine angemessene Nachlaufzeit zu Betrieb, Support und Missbrauchsklärung.

Danach löschen oder anonymisieren wir die Daten, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Sicherheitsinteressen entgegenstehen.

10. Ihre Rechte

Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerde bei einer Aufsichtsbehörde, Widerruf einer erteilten Einwilligung - im Rahmen des jeweils geltenden Art. 12–22 DSGVO / Art. 77 DSGVO. Ihre Anfrage richten Sie bevorzugt an: kontakt@mandavo.app.

Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Für unseren Sitz in Baden-Württemberg ist zuständig: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart (lfdi-bw.de).

11. Änderungen

Wir passen die Datenschutzerklärung an, wenn rechtlich oder fachlich erforderlich, und veröffentlichen die jeweils aktuelle Fassung auf dieser Datenschutzseite.