Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

IDENTIC Projects eGbR

Kreuzberg 71

59846 Sundern

Deutschland

E-Mail: julia.wiegenstein@identic.pro

Wir sind nach Art. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen, da wir weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen und keine Verarbeitungstätigkeiten durchführen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.

Bei Fragen zum Datenschutz wenden Sie sich bitte an: julia.wiegenstein@identic.pro

Wir verarbeiten personenbezogene Daten unserer Nutzer im Rahmen des Betriebs der Plattform CosHive (erreichbar unter https://coshive.app). Im Folgenden informieren wir Sie über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten.

4.1 Serverhosting

Die Plattform wird auf Servern der Google Cloud Platform (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) in der Region europe-west1 (Belgien, EU) betrieben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Bereitstellung der Plattform).

4.2 Server-Logdaten

Bei jedem Zugriff auf unsere Plattform werden durch den Webserver automatisch folgende Daten erhoben und in Server-Logdaten gespeichert:

• IP-Adresse des zugreifenden Geräts
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Seite
• Übertragene Datenmenge
• Meldung, ob der Abruf erfolgreich war
• Verwendeter Browser und Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs der Plattform, zur Erkennung und Abwehr von Angriffen sowie zur technischen Fehleranalyse verarbeitet. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der Plattform).

Speicherdauer: Server-Logdaten werden nach 30 Tagen automatisch gelöscht, sofern keine weitergehende Aufbewahrung zu Beweiszwecken bei konkreten Sicherheitsvorfällen erforderlich ist.

5.1 Registrierung mit E-Mail und Passwort

Bei der Erstellung eines Benutzerkontos erheben wir folgende Pflichtdaten:

• E-Mail-Adresse
• Benutzername (Display Name)
• Passwort (wird mittels bcrypt gehasht gespeichert; das Klartext-Passwort wird nicht gespeichert)
• Zeitstempel der Zustimmung zu den Nutzungsbedingungen und dieser Datenschutzerklärung (termsAcceptedAt)

Zweck: Erstellung und Verwaltung des Benutzerkontos, Authentifizierung, Kommunikation mit dem Nutzer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

5.2 Registrierung und Anmeldung über OAuth-Provider (Social Login)

Sie können sich alternativ über folgende externe Dienste registrieren und anmelden:

a) Google (Google Ireland Limited)

• Übermittelte Daten: E-Mail-Adresse, Name, Profilbild
• Umfang der Berechtigung (Scope): openid, email, profile
• Datenschutzerklärung: https://policies.google.com/privacy

b) Discord (Discord Inc., USA)

• Übermittelte Daten: E-Mail-Adresse, Name, Avatar
• Umfang der Berechtigung (Scope): identify, email, guilds.join
• Zusätzlich wird der Scope guilds.join angefragt, der es ermöglicht, Sie optional dem CosHive Discord-Server hinzuzufügen
• Datenschutzerklärung: https://discord.com/privacy
• Drittlandtransfer: siehe Abschnitt 12

c) Twitch (Amazon.com, Inc., USA)

• Übermittelte Daten: E-Mail-Adresse, Name, Profilbild
• Umfang der Berechtigung (Scope): user:read:email, openid, offline_access
• Der Scope offline_access ermöglicht die Nutzung eines Refresh Tokens zur Aufrechterhaltung der Verknüpfung
• Datenschutzerklärung: https://www.twitch.tv/p/de-de/legal/privacy-notice/
• Drittlandtransfer: siehe Abschnitt 12

Bei der Nutzung eines OAuth-Providers werden die vom Provider übermittelten Daten (E-Mail, Name, Profilbild) bei uns gespeichert. Die Verwaltung der OAuth-Sessions (Tokens, Refresh Tokens) erfolgt durch unseren Authentifizierungsdienst Supabase Auth (siehe Abschnitt 11.2). Die Nutzung von Social Login ist freiwillig; eine Registrierung per E-Mail und Passwort ist stets möglich.

Zweck: Vereinfachte Registrierung und Anmeldung, Identifizierung des Nutzers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des OAuth-Providers) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wenn Sie sich mit verschiedenen Social-Login-Anbietern anmelden, die mit derselben verifizierten E-Mail-Adresse verknüpft sind, werden diese Konten automatisch zusammengeführt (Automatic Identity Linking). Dies dient der Benutzerfreundlichkeit, damit Sie nicht an den ursprünglich genutzten Anbieter gebunden sind. Nur verifizierte E-Mail-Adressen werden für die automatische Verknüpfung herangezogen.

Nach der Registrierung können Nutzer freiwillig zusätzliche Profilinformationen angeben:

• Profilbild und Bannerbild
• Biografie / Headline
• Pronomen
• Land und Postleitzahl
• Website-URL
• Social-Media-Links

Die Sichtbarkeit dieser Daten kann der Nutzer über die Privatsphäreeinstellungen (Privacy Settings) granular steuern. Folgende Sichtbarkeitsoptionen stehen zur Verfügung:

• Headline anzeigen
• Land anzeigen
• Postleitzahl anzeigen
• Biografie anzeigen
• Pronomen anzeigen
• Website anzeigen
• Social-Media-Links anzeigen

Zweck: Selbstdarstellung in der Community, Kommunikation und Vernetzung mit anderen Nutzern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Eingabe und Konfiguration der Sichtbarkeit).

Speicherdauer: Bis zur Änderung oder Löschung durch den Nutzer bzw. bis zur Löschung des Benutzerkontos.

7.1 Inserate (Produkte/Marktplatz)

Beim Erstellen eines Inserats werden folgende Daten verarbeitet:

• Titel, Beschreibung, Kategorie
• Bilder (hochgeladene Produktbilder)
• Preisangabe
• Zuordnung zum Benutzerkonto (Autor)

Zweck: Bereitstellung der Marktplatzfunktion.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Chat-Nachrichten

Nutzer können über das plattformeigene Chat-System miteinander kommunizieren. Dabei werden gespeichert:

• Nachrichteninhalt (Text)
• Absender und Empfänger
• Zeitstempel
• Lesestatus

Zweck: Ermöglichung der Kommunikation zwischen Nutzern, insbesondere bei Marktplatz-Transaktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.3 Bewertungen

Nutzer können andere Nutzer bewerten:

• Sternebewertung (1 bis 5)
• Bewertungstext
• Zuordnung zum bewertenden und bewerteten Nutzer

Zweck: Vertrauensbildung und Transparenz innerhalb der Community.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Bewertungssystem zur Förderung des Vertrauens auf der Plattform).

7.4 Bookmarks und Follows

Nutzer können Inserate als Lesezeichen speichern (Bookmarks) und anderen Nutzern folgen (Follows).

Zweck: Personalisierung der Plattformnutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.5 Transaktionen

Beim Abschluss einer Transaktion über den Marktplatz werden folgende Daten gespeichert:

• Produkt-Referenz
• Verkäufer und Käufer (Zuordnung zum Benutzerkonto)
• Optionale Notizen
• Zeitstempel

Zweck: Dokumentation abgeschlossener Geschäfte zwischen Nutzern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.6 Nutzerblockierungen

Nutzer können andere Nutzer blockieren. Dabei werden folgende Daten gespeichert:

• Blockierender Nutzer und blockierter Nutzer (Zuordnung zum Benutzerkonto)
• Zeitstempel

Zweck: Schutz vor unerwünschter Kontaktaufnahme und Wahrung der Nutzersicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Nutzer).

8.1 In-App-Benachrichtigungen

Die Plattform zeigt Ihnen In-App-Benachrichtigungen über relevante Ereignisse an (z. B. neue Nachrichten, Bewertungen, Follower). Sie können die Art der Benachrichtigungen in Ihren Einstellungen konfigurieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8.2 E-Mail-Benachrichtigungen

Sofern Sie E-Mail-Benachrichtigungen in Ihren Einstellungen aktiviert haben, erhalten Sie E-Mails über relevante Plattformereignisse. Sie können E-Mail-Benachrichtigungen jederzeit in Ihren Kontoeinstellungen deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Benachrichtigungen; Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails (z. B. E-Mail-Verifizierung, Passwort-Zurücksetzung).

8.3 Push-Benachrichtigungen (Web Push)

Sofern Sie Push-Benachrichtigungen in Ihrem Browser aktivieren, wird ein Service Worker registriert und eine Push-Subscription erstellt. Dabei werden folgende technische Daten auf unserem Server gespeichert:

• Endpoint-URL des Push-Dienstes Ihres Browsers
• Verschlüsselungsschlüssel (P256DH, Auth)

Sie können Push-Benachrichtigungen jederzeit in Ihren Browser-Einstellungen oder den Kontoeinstellungen deaktivieren. Bei Deaktivierung werden die gespeicherten Subscription-Daten gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Aktivierung der Push-Berechtigung im Browser).

9.1 Allgemeines

Wir verwenden ausschließlich technisch notwendige Cookies und Browser-Speichermechanismen. Es werden KEINE Tracking-, Analyse-, Werbe- oder Third-Party-Cookies eingesetzt. Es kommt KEIN Google Analytics, kein Facebook Pixel und kein sonstiges Tracking zum Einsatz.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Da ausschließlich technisch notwendige Cookies verwendet werden, ist eine Einwilligung nicht erforderlich.

9.2 Eingesetzte Cookies und Speichermechanismen

a) Authentifizierungs-Cookie (sb-*-auth-token)

• Art: Technisch notwendig (Authentifizierung)
• Inhalt: Access Token und Refresh Token für die Sitzungsauthentifizierung (Supabase Auth)
• Eigenschaften: HttpOnly, Secure, SameSite=Lax
• Laufzeit: 7 Tage, mit automatischer Erneuerung durch Refresh Token
• Zweck: Identifizierung des angemeldeten Nutzers, Aufrechterhaltung der Sitzung

b) theme (localStorage)

• Art: Technisch notwendig (Nutzeroberfläche)
• Inhalt: Präferenz für die Darstellung (Dark Mode / Light Mode)
• Speicherort: Lokaler Browserspeicher (localStorage)
• Laufzeit: Unbefristet (bis zur manuellen Löschung durch den Nutzer)
• Zweck: Darstellung der Benutzeroberfläche gemäß Nutzerpräferenz

c) invite_code (sessionStorage)

• Art: Technisch notwendig (Registrierungsvorgang)
• Inhalt: Temporärer Einladungscode während des OAuth-Registrierungsvorgangs
• Speicherort: Sitzungsspeicher des Browsers (sessionStorage)
• Laufzeit: Wird automatisch beim Schließen des Browser-Tabs gelöscht
• Zweck: Zuordnung eines Einladungscodes während der OAuth-Registrierung

d) Service Worker (Push-Benachrichtigungen)

• Art: Technisch notwendig (Push-Benachrichtigungen)
• Inhalt: Service Worker für den Empfang von Push-Nachrichten; registriert nur bei aktiver Zustimmung des Nutzers
• Speicherort: Lokaler Browser-Cache
• Laufzeit: Bis zur manuellen Deregistrierung oder Deaktivierung der Push-Benachrichtigungen
• Zweck: Empfang und Anzeige von Push-Benachrichtigungen

Für den Versand transaktionaler E-Mails (z. B. E-Mail-Verifizierung, Passwort-Zurücksetzung, Kontobenachrichtigungen) nutzen wir den Dienst Resend (Resend Inc., USA).

Die in E-Mail-Templates eingebetteten Schriftarten werden von Google Fonts geladen. Auf der Website selbst werden KEINE externen Schriftarten eingebunden.

Zweck: Zustellung transaktionaler und optionaler Benachrichtigungs-E-Mails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Benachrichtigungs-E-Mails.

Drittlandtransfer: siehe Abschnitt 12.

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

11.1 Google Cloud Platform (Hosting, Origin-Speicherung)

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Leistung: Hosting der Plattform (Cloud Run), Origin-Speicherung von Medien (Cloud Storage), Infrastruktur
• Standort: europe-west1 (Belgien, EU)
• AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO
• Datenschutzinformationen: https://cloud.google.com/privacy

11.2 Supabase (Datenbank und Authentifizierung)

• Anbieter: Supabase Inc., USA (Datenverarbeitung in der EU)
• Leistung: Hosting der PostgreSQL-Datenbank, Authentifizierungsdienst (Supabase Auth) einschließlich Passwort-Hashing (bcrypt), Session-Management und OAuth-Vermittlung, Echtzeit-Kommunikation (Realtime-Websockets)
• Standort: eu-central-1 (Frankfurt, Deutschland, EU)
• AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO
• Datenschutzinformationen: https://supabase.com/privacy

11.3 Resend (E-Mail-Versand)

• Anbieter: Resend Inc., USA
• Leistung: Versand transaktionaler E-Mails
• AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO
• Drittlandtransfer: siehe Abschnitt 12
• Datenschutzinformationen: https://resend.com/legal/privacy-policy

11.4 Bunny CDN (Bildauslieferung)

• Anbieter: BunnyWay d.o.o., Cesta komandirja Staneta 4A, 1215 Medvode, Slowenien (EU)
• Leistung: Content Delivery Network für die Auslieferung und Optimierung von Bildern (Produktbilder, Profilbilder)
• Standort: EU-Rechenzentren; Edge-Server weltweit für schnelle Auslieferung
• AV-Vertrag: Abgeschlossen gemäß Art. 28 DSGVO
• Datenschutzinformationen: https://bunny.net/privacy

Bestimmte Auftragsverarbeiter und OAuth-Provider haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR):

12.1 Resend Inc. (USA)

Für den E-Mail-Versand werden personenbezogene Daten (E-Mail-Adresse, Name) an Resend Inc. in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, die ein angemessenes Datenschutzniveau gewährleisten.

12.2 Discord Inc. (USA)

Bei Nutzung des Discord-Social-Logins werden Daten an Discord Inc. in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO, die Sie durch die aktive Auswahl des Discord-Logins erteilen.

12.3 Twitch / Amazon (USA)

Bei Nutzung des Twitch-Social-Logins werden Daten an Amazon.com, Inc. (Betreiber von Twitch) in die USA übermittelt. Die Übermittlung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO, die Sie durch die aktive Auswahl des Twitch-Logins erteilen.

12.4 Google Fonts in E-Mails

In E-Mail-Templates eingebettete Schriftarten werden von Google Fonts (Google LLC, USA) geladen. Beim Öffnen einer E-Mail kann Ihre IP-Adresse an Google übermittelt werden. Dies betrifft ausschließlich E-Mails und nicht die Website selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen Darstellung der E-Mails).

13.1 Allgemeine Grundsätze

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder wie gesetzliche Aufbewahrungsfristen dies vorsehen (Art. 5 Abs. 1 lit. e DSGVO).

13.2 Speicherdauer nach Datenkategorien

• Benutzerkonto (E-Mail, Benutzername): Bis zur Löschung des Kontos durch den Nutzer
• Profildaten (Biografie, Bilder, etc.): Bis zur Änderung oder Löschung durch den Nutzer bzw. Kontolöschung
• Inserate / Produkte: Bis zur Löschung durch den Nutzer bzw. Kontolöschung
• Chat-Nachrichten: Bis zur Kontolöschung; bei Kontolöschung werden Nachrichten pseudonymisiert (Absender wird entfernt)
• Bewertungen: Bis zur Kontolöschung; bei Kontolöschung werden Bewertungen pseudonymisiert (Verfasser wird entfernt)
• Bookmarks und Follows: Bis zur Löschung durch den Nutzer bzw. Kontolöschung
• Transaktionen: Bis zur Kontolöschung; bei Kontolöschung werden Transaktionen gelöscht
• Server-Logdaten (IP-Adressen): 30 Tage
• OAuth-Sessions: Bis zur Trennung der Verknüpfung durch den Nutzer bzw. Kontolöschung
• Authentifizierungs-Cookie (sb-*-auth-token): 7 Tage (mit automatischer Erneuerung)

13.3 Account-Löschung und Pseudonymisierung (Art. 17 DSGVO)

Bei der Löschung Ihres Kontos gehen wir wie folgt vor:

a) Nach Beantragung der Kontolöschung oder nach Widerruf der Einwilligung wird die Löschung zum nächsten planmäßigen Löschungszeitpunkt (täglich um 03:00 Uhr) eingeplant. Bis dahin können Sie die Löschung abbrechen.

b) Zum geplanten Löschungszeitpunkt erfolgt automatisch:

• Pseudonymisierung von Chat-Nachrichten: Der Absender wird aus allen Nachrichten entfernt (auf null gesetzt); der Nachrichteninhalt bleibt für den Gesprächspartner erhalten
• Pseudonymisierung von Bewertungen: Der bewertende Nutzer wird aus allen Bewertungen entfernt; die Bewertung (Sterne und Text) bleibt erhalten
• Löschung aller Inserate (Produkte) einschließlich zugehöriger Bilder aus dem Cloud Storage
• Löschung aller Bookmarks und Follows
• Löschung aller Transaktionsdaten
• Löschung aller Blockierungen
• Löschung aller Reports
• Vollständige Löschung des Benutzerkontos aus der Datenbank
• Löschung aller hochgeladenen Medien (Profilbild, Bannerbild, Produktbilder) aus dem Cloud Storage

Die automatische Durchführung erfolgt über einen DSGVO-konformen Cron-Job, der planmäßig ausgeführt wird.

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

14.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger, die Speicherdauer und Ihre Rechte.

14.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder die Vervollständigung Ihrer personenbezogenen Daten zu verlangen. Viele Daten können Sie selbst in Ihren Kontoeinstellungen ändern.

14.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Konto selbstständig in den Kontoeinstellungen löschen. Alternativ können Sie auf der Datenschutzseite Ihre Einwilligung widerrufen, was ebenfalls zur Löschung führt (siehe Abschnitt 13.3).

14.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist, wir die Daten nicht mehr benötigen oder Sie Widerspruch eingelegt haben.

14.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

14.6 Widerspruchsrecht (Art. 21 DSGVO)

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

14.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird hierdurch nicht berührt.

Sie können Ihre Einwilligung auf der Datenschutzseite der Plattform widerrufen. Nach dem Widerruf wird Ihr Konto zum nächsten planmäßigen Löschungszeitpunkt gelöscht (täglich um 03:00 Uhr, siehe Abschnitt 13.3).

Alternativ können Sie Ihre Einwilligung per E-Mail an julia.wiegenstein@identic.pro widerrufen.

14.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde für den Bereich Datenschutz ist der Landesdatenschutzbeauftragte des Bundeslandes, in dem unser Unternehmen seinen Sitz hat.

Eine Liste der Datenschutzbeauftragten sowie deren Kontaktdaten finden Sie unter: www.bfdi.bund.de

Die Nutzung von CosHive ist ausschließlich ab einem Alter von 16 Jahren gestattet. Personen unter 16 Jahren dürfen die Plattform nicht nutzen. Bei der Registrierung wird das Mindestalter nicht technisch verifiziert; die Nutzer bestätigen jedoch mit der Zustimmung zu den Nutzungsbedingungen, dass sie mindestens 16 Jahre alt sind.

Sollte uns bekannt werden, dass ein Nutzer unter 16 Jahren ein Konto erstellt hat, werden wir das Konto unverzüglich löschen und die zugehörigen Daten vollständig entfernen.

Rechtsgrundlage: Art. 8 Abs. 1 DSGVO i. V. m. § 25 Abs. 2 BDSG (Deutschland hat das Mindestalter bei 16 Jahren belassen).

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst unter anderem:

• Verschlüsselte Übertragung aller Daten mittels TLS/HTTPS
• Gehashte Speicherung von Passwörtern (bcrypt)
• Sichere Token-Verwaltung durch Supabase Auth
• Zugriffskontrolle und Berechtigungssystem
• Sichere Cookie-Konfiguration (HttpOnly, Secure, SameSite)
• Regelmäßige automatische Bereinigung abgelaufener Sitzungen und Rate Limits
• GDPR-Audit-Trail für datenschutzrelevante Vorgänge
• Moderationssystem zur Durchsetzung der Plattformregeln

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Wesentliche Änderungen werden wir den Nutzern über eine In-App-Benachrichtigung oder per E-Mail mitteilen. Die jeweils aktuelle Fassung ist stets unter https://coshive.app/privacy abrufbar.

Stand: 06.03.2026