Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie NumisCAN nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

3. Welche Daten erfassen wir?

3.1 Kontodaten (bei Registrierung)

Je nach gewählter Anmeldemethode speichern wir:

Bei E-Mail-Registrierung:

Hinweis: Passwörter werden mit bcrypt gehasht gespeichert und können nicht im Klartext ausgelesen werden.

Bei Google-Anmeldung:

3.2 Sammlungsdaten

Wenn Sie Münzen erfassen, speichern wir:

• Bilder: Fotos der Münzen (Vorder- und Rückseite)
• Metadaten: Name, Land, Jahr, Erhaltung, Notizen
• Lagerorte: Wo Sie Ihre Münzen aufbewahren (optional)
• Kaufinformationen: Preis, Datum, Händler (optional)
• Dokumente: optional von Ihnen hochgeladene Dateien (PDF oder Bilder) zu einer Münze oder einem Exemplar – z. B. Echtheits-/Grading-Zertifikate, Kaufbelege/Rechnungen, Behälter-Fotos (jeweils mit Dokumenttyp und optionalem Titel)

Hinweis: Freitextfelder wie "Notizen" können von Ihnen eingegebene personenbezogene Daten enthalten. Bitte geben Sie dort keine sensiblen Daten Dritter ein.

3.3 Nutzungs- und Sicherheitsdaten

Zur Bereitstellung und Absicherung des Dienstes erfassen wir:

• API-Nutzung: Anzahl und Art der KI-Analysen, Token-Verbrauch, Kosten
• Login-Historie: Zeitpunkt, IP-Adresse, Browser/Gerät für Sicherheitsüberprüfungen
• Audit-Logs: Protokollierung sicherheitsrelevanter Aktionen (Login, Passwortänderung, Kontolöschung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität des Dienstes sowie Missbrauchsprävention).

3.4 Server-Logs

Bei jedem Zugriff auf unsere Server werden automatisch erfasst:

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• Browsertyp und -version
• Betriebssystem
• Aufgerufene Seite

Diese Daten werden für die Sicherheit und Stabilität des Dienstes benötigt und nach 30 Tagen automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht.

4. Externe Dienste und Datenübermittlung

4.1 Anmeldung und Registrierung

E-Mail-Registrierung

Bei der Registrierung mit E-Mail-Adresse senden wir Ihnen eine Verifizierungs-E-Mail. Der E-Mail-Versand erfolgt über unseren SMTP-Server in Deutschland.

Einladungen: Wenn Sie über die App eine andere Person einladen, senden wir an die von Ihnen angegebene Adresse eine einmalige Einladungs-E-Mail. Diese Adresse nutzen wir ausschließlich für den Versand der Einladung und nicht für eigene Werbung. Bitte laden Sie nur Personen ein, die mit der Kontaktaufnahme einverstanden sind.

Rechtsgrundlagen: Konto-, Sicherheits- und Abrechnungs-E-Mails sind zur Vertragserfüllung bzw. aus rechtlicher Verpflichtung erforderlich (Art. 6 Abs. 1 lit. b und c DSGVO). Credit- und Community-Hinweise sowie Einladungen beruhen auf unserem berechtigten Interesse an einem nutzbaren Dienst (Art. 6 Abs. 1 lit. f DSGVO). Den Newsletter erhalten Sie nur auf Grundlage Ihrer Einwilligung bzw. § 7 Abs. 3 UWG; Sie können ihm jederzeit über den Abmeldelink widersprechen (Art. 6 Abs. 1 lit. a DSGVO, Art. 21 DSGVO).

Google OAuth (alternative Anmeldung)

Alternativ können Sie sich mit Ihrem Google-Konto anmelden. Dabei werden Sie auf Google-Server weitergeleitet, wo Sie sich authentifizieren. Google übermittelt uns anschließend Ihre E-Mail-Adresse, Ihren Namen und eine eindeutige ID.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Datenschutz: https://policies.google.com/privacy

„Anmelden mit Apple" (alternative Anmeldung)

Alternativ können Sie sich mit Ihrer Apple-ID anmelden. Sie werden dabei auf Apple-Server weitergeleitet und authentifizieren sich dort. Apple übermittelt uns anschließend eine eindeutige Kennung sowie – sofern von Ihnen freigegeben – Ihren Namen und Ihre E-Mail-Adresse. Apple bietet die Funktion „E-Mail verbergen" an; in diesem Fall erhalten wir nur eine anonyme Weiterleitungs-Adresse (@privaterelay.appleid.com). Es wird kein Apple-Skript im Hintergrund geladen – die Weiterleitung erfolgt erst auf aktiven Klick.

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA
Datenschutz: https://www.apple.com/legal/privacy/

Facebook-Login (Meta, alternative Anmeldung)

Alternativ können Sie sich mit Ihrem Facebook-Konto anmelden. Sie werden dabei auf Facebook-Server weitergeleitet und authentifizieren sich dort. Meta übermittelt uns anschließend eine eindeutige Kennung, Ihren Namen und – sofern von Ihnen freigegeben – Ihre E-Mail-Adresse. Es wird kein Facebook-/Meta-Skript im Hintergrund geladen – die Weiterleitung erfolgt erst auf aktiven Klick.

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
Datenschutz: https://www.facebook.com/privacy/policy

4.2 KI-Verarbeitung durch Anthropic Claude (KI-Analyse)

Für die automatische Münzerkennung werden Ihre hochgeladenen Münz-Fotos an die Claude API von Anthropic übermittelt. Die KI analysiert die Bilder und extrahiert Informationen wie Land, Jahr und Nominal.

Optionale Recherche-Funktion (Web-Suche): Wenn Sie eine vertiefte Markt-/Hintergrund-Recherche zu einer Münze starten, werden die dafür nötigen Angaben (z. B. Land, Jahr, Nominal, Bezeichnung) als Text an die Claude API übermittelt; die KI führt dazu im Internet Web-Suchen durch und kann diese Suchbegriffe an Suchmaschinen weitergeben. Verarbeitet werden dabei Münz- und Sammlungsdaten (keine Bilder erforderlich). Die Funktion ist optional und wird nur auf Ihre aktive Anforderung hin ausgeführt.

Anbieter: Anthropic PBC, San Francisco, USA
Datenschutz: https://www.anthropic.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die KI-Analyse ist eine Kernfunktion des Dienstes); soweit die KI-Analyse als gesondert aktivierbare Zusatzfunktion ausgestaltet ist, kann sie zusätzlich oder alternativ auf Ihrer Einwilligung beruhen (Art. 6 Abs. 1 lit. a DSGVO), die Sie mit der Auslösung der Analyse erteilen und jederzeit mit Wirkung für die Zukunft widerrufen können. Die KI-Analyse ist optional; Münzdaten können auch manuell ohne KI eingegeben werden.

4.3 Push-Benachrichtigungen

NumisCAN bietet optionale Push-Benachrichtigungen an, um Sie über wichtige Ereignisse zu informieren (z.B. Admin-Nachrichten).

Push-Benachrichtigungen werden über den Web Push-Standard zugestellt. Die Zustellung erfolgt über die Push-Server Ihres Browsers (z.B. Google für Chrome, Mozilla für Firefox). Sie können Push-Benachrichtigungen jederzeit in den App-Einstellungen oder in Ihren Browser-Einstellungen deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Aktivierung).

4.4 Feature-Sponsoring

NumisCAN bietet die Möglichkeit, Feature-Vorschläge finanziell zu unterstützen (Sponsoring). Bei einem Sponsoring werden folgende Daten erfasst:

Öffentliche Anzeige: Sofern Sie nicht "anonym" wählen, wird Ihr Name als Sponsor bei dem Feature angezeigt. Bei umgesetzten Features werden Sponsoren namentlich genannt (sofern nicht anonym).

Hinweis: Für das Sponsoring erfolgt keine externe Zahlungsabwicklung über NumisCAN. Das Sponsoring ist eine Unterstützungszusage; die tatsächliche Zahlung erfolgt auf direktem Wege (z.B. Überweisung). Für entgeltliche Credit-Käufe siehe Abschnitt 4.8 (Zahlungsabwicklung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Erstellen des Sponsorings).

4.5 Externe Ressourcen

NumisCAN lädt keine externen Ressourcen von Drittanbietern. Alle Stylesheets, Skripte und Medien werden von unseren eigenen Servern in Deutschland bereitgestellt. Es findet keine Übermittlung Ihrer IP-Adresse an CDN-Anbieter statt.

4.6 Münz-Recherche-Dienste (optional)

Wenn Sie die optionale Münz-Recherche-Funktion nutzen, werden Daten an folgende externe Dienste übermittelt, um technische und historische Informationen zu Ihren Münzen zu ermitteln:

Numista API

Für technische Münzdaten wie Katalognummern, Gewicht und Maße.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Recherche-Funktion).

Wikidata (Wikimedia Foundation)

Für historischen Kontext wie Informationen zu Herrschern und Zeitperioden.

Hinweis: Es werden keine personenbezogenen Daten an Wikidata übermittelt, nur öffentliche Suchanfragen zu Münzen und historischen Personen.

4.7 Community-Funktionen

Bug-Reports (Fehlermeldungen)

Bei der Meldung von Fehlern werden folgende Daten erfasst:

Diese Daten helfen uns, Fehler zu identifizieren und zu beheben. Sie werden nur intern für die Softwareentwicklung verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Verbesserung des Dienstes) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Erstellung des Bug-Reports).

Feature-Vorschläge & Abstimmungen

Bei Feature-Vorschlägen und Abstimmungen werden gespeichert:

Diese Daten ermöglichen die transparente Priorisierung von Features basierend auf Community-Feedback. Ihr Name wird öffentlich als Autor angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Teilnahme).

4.8 Zahlungsabwicklung (Mollie)

Für die Abwicklung entgeltlicher Käufe (Credit-Pakete und -Abonnements) nutzen wir den Zahlungsdienstleister Mollie. Dabei werden die für die Zahlung erforderlichen Daten verarbeitet bzw. an Mollie übermittelt.

Mollie verarbeitet die Zahlungsdaten als eigenständig Verantwortlicher nach Maßgabe seiner eigenen Datenschutzerklärung. Rechnungs- und Transaktionsdaten bewahren wir aufgrund steuer- und handelsrechtlicher Pflichten auf.

Anbieter: Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande
Datenschutz: https://www.mollie.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die Aufbewahrung von Rechnungsdaten Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, §§ 147 AO, 257 HGB).
Drittlandübermittlung: Keine – Mollie hat seinen Sitz in den Niederlanden (EWR).

4.9 Datenübermittlung in Drittländer (Art. 44-49 DSGVO)

Bei der Nutzung bestimmter Funktionen werden personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt:

Rechtsgrundlagen für Drittlandübermittlungen:

• EU-US Data Privacy Framework: Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (Art. 45 DSGVO) für zertifizierte US-Unternehmen
• Standardvertragsklauseln (SCCs): Von der EU-Kommission genehmigte Vertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO

Hinweis: Die USA verfügen über Überwachungsgesetze (z. B. FISA 702), die US-Behörden unter bestimmten Umständen Zugriff auf personenbezogene Daten ermöglichen können. Durch die Nutzung der KI-Analyse willigen Sie in die damit verbundene Datenübermittlung ein. Die KI-Analyse ist optional; Münzdaten können auch manuell eingegeben werden.

5. Teilen-Funktion (Share Links)

NumisCAN ermöglicht es Ihnen, Münzen, Exemplare oder Ihre gesamte Sammlung über Sharing-Links mit anderen Personen zu teilen.

Was wird geteilt?

• Münzdaten: Name, Land, Jahr, Material, Erhaltung, Notizen
• Bilder: Vorder- und Rückseite der Münzen
• Exemplar-Details: Kaufpreis, Kaufdatum, Händler, Lagerort (falls erfasst)
• Dokumente: nur solche, die Sie ausdrücklich als „Im Share sichtbar“ markiert haben (z. B. ein Zertifikat); andere Dokumente bleiben privat
• Ihr Name: Wird als "Geteilt von [Name]" angezeigt

Ihre Kontrolle

• Passwortschutz: Sie können Links mit einem Passwort schützen
• Ablaufdatum: Links können zeitlich begrenzt werden (1h, 24h, 7 Tage, 30 Tage)
• Widerrufen: Sie können Links jederzeit deaktivieren
• Löschen: Gelöschte Links sind sofort ungültig

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Erstellen des Links).

6. Speicherung und Sicherheit

6.1 Speicherort

Alle Ihre Daten werden auf Servern in Deutschland gespeichert. Es findet keine Speicherung in Drittländern statt (mit Ausnahme der temporären Verarbeitung durch Anthropic, siehe oben).

6.2 Speicherdauer

6.3 Sicherheitsmaßnahmen

• Verschlüsselte Übertragung (HTTPS/TLS)
• Passwort-geschützte Datenbank
• Regelmäßige Sicherheitsupdates
• Zugriffsbeschränkung auf autorisierte Administratoren

6.4 Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten melden wir diese unverzüglich (innerhalb von 72 Stunden) der zuständigen Aufsichtsbehörde, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Betroffene Personen werden benachrichtigt, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

7. Cookies & Lokale Speicherung

Was wir ohne Einwilligung NICHT verwenden

• Kein Google Analytics oder vergleichbare Analyse-Dienste
• Keine Werbe-Cookies ohne Ihre Einwilligung
• Das Meta Pixel wird ausschließlich nach aktiver Einwilligung geladen

Meta Pixel & Conversions API (nur mit Einwilligung)

Mit Ihrer Einwilligung nutzen wir das Meta Pixel sowie die serverseitige Conversions API des Anbieters Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin, Irland). Damit messen wir den Erfolg unserer Werbeanzeigen (z. B. Registrierung, Kauf) und optimieren deren Ausspielung. Dabei werden ein pseudonymer Browser-Identifier (Cookies _fbp/_fbc) sowie – bei der Conversions API – gehashte (unkenntlich gemachte) Angaben wie Ihre E-Mail-Adresse an Meta übermittelt. Eine Übermittlung in die USA ist möglich; Grundlage sind die EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TDDDG. Die Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar (über „Cookie-Einstellungen").

localStorage (Lokale Browserspeicherung)

Für die Authentifizierung nutzen wir ausschließlich localStorage – eine lokale Speicherung direkt in Ihrem Browser. Diese Daten werden nicht an Server gesendet und verbleiben auf Ihrem Gerät.

Hinweis: Sie können diese Daten jederzeit in den Browser-Einstellungen löschen (Entwicklertools → Application → Local Storage). Bei Abmeldung werden die Authentifizierungsdaten automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer funktionierenden Anmeldung). Da localStorage technisch notwendig ist und keine Tracking-Funktionen hat, ist keine Einwilligung erforderlich.

8. Ihre Rechte

Sie haben jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Konto und Daten selbst löschen

Sie können jederzeit in der App Ihre gesamte Sammlung und Ihr Benutzerkonto löschen. Dabei werden unwiderruflich gelöscht:

• Ihr Benutzerkonto und alle Kontodaten
• Alle Münzeinträge und Exemplare
• Alle hochgeladenen Bilder
• Alle hochgeladenen Dokumente (Zertifikate, Belege usw.)
• Alle erstellten Sharing-Links

9. Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO)

NumisCAN verwendet Künstliche Intelligenz (KI) zur automatischen Analyse von Münzbildern. Diese Verarbeitung fällt unter den Begriff der automatisierten Entscheidungsfindung.

Die KI-Analyse hat keine rechtlichen Wirkungen für Sie und beeinträchtigt Sie auch nicht in ähnlicher Weise erheblich im Sinne von Art. 22 Abs. 1 DSGVO, da:

• die Ergebnisse ausschließlich unverbindliche Informationen darstellen,
• alle Ergebnisse vom Nutzer bearbeitet und überschrieben werden können,
• keine automatischen Vertrags- oder Zahlungsentscheidungen getroffen werden,
• die manuelle Dateneingabe ohne KI-Analyse jederzeit möglich ist.

10. Minderjährige

NumisCAN richtet sich nicht an Personen unter 16 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie Eltern oder Erziehungsberechtigter sind und glauben, dass Ihr Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.