Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Gradedmoments
Marcus Messer
c/o autorenglück.de #90446
Albert-Einstein-Str. 47
02977 Hoyerswerda
Deutschland

E-Mail: info@cardflirt.de
Umsatzsteuer-ID: DE 318109619

2. Überblick der verarbeiteten Daten

Im Rahmen der Nutzung von CardFlirt verarbeiten wir folgende personenbezogene Daten:

3. Zweck und Rechtsgrundlage der Verarbeitung

ZweckRechtsgrundlage
Bereitstellung des Tauschdienstes (Registrierung, Swipes, Matches, Chat)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Profilbild, Standort-PLZ, SammelkategorienArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sicherheit, Missbrauchsprävention, ModerationArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Absturz- und Fehlererfassung (Sentry)Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Push-BenachrichtigungenArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Steuerliche Pflichten (Premium-Abonnement)Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

4. Speicherdauer

Nach Löschung des Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Weitergabe an Dritte

Wir geben Daten nur weiter, soweit dies für den Betrieb der App erforderlich ist. Folgende Dienstleister sind eingebunden:

5.1 Supabase (Datenbank, Authentifizierung, Dateispeicher)

Supabase, Inc., 970 Tresser Blvd, Stamford, CT 06901, USA

Supabase speichert alle Nutzerdaten, Karten, Nachrichten, Chat-Bilder, Cardshow-Anmeldungen, Bewertungen und Referral-Verknüpfungen sowie alle hochgeladenen Bilder. Die Daten werden in der EU-Region (Frankfurt, AWS eu-central-1) gespeichert. Für Datenübermittlungen in die USA gilt der Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework) sowie ein Datenverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO.

Datenschutz: supabase.com/privacy

5.2 Google Gemini AI (KI-gestützte Kartenerkennung)

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Bei Nutzung der automatischen Kartenerkennung werden Fotos temporär an die Google Gemini API übermittelt. Fotos werden nicht dauerhaft bei Google gespeichert.

Datenschutz: policies.google.com/privacy

5.3 RapidAPI / eBay (Marktwert-Schätzung)

RapidAPI, Inc., San Francisco, USA

Bei Nutzung der Wertschätzung wird der Kartenname zur Preisabfrage an die eBay-API via RapidAPI übermittelt. Es werden keine personenbezogenen Daten übertragen.

Datenschutz: rapidapi.com/privacy

5.4 PSA (Professional Sports Authenticator)

Collectors Universe, Inc., Santa Ana, CA, USA

Bei Eingabe einer PSA-Zertifikatsnummer wird diese zur Abfrage an die PSA-API übermittelt.

Datenschutz: psacard.com/privacy

5.5 Amazon CloudFront (Bildauslieferung)

Amazon Web Services, Inc., 410 Terry Ave North, Seattle, WA 98109, USA

Alle hochgeladenen Kartenfotos werden über das Content Delivery Network (CDN) von Amazon CloudFront ausgeliefert. Die Bilder liegen im Supabase-Speicher (AWS S3, Region EU-Frankfurt) und werden über CloudFront-Edge-Nodes weltweit verteilt. Amazon verarbeitet im Rahmen der Auslieferung technisch notwendige Daten (z. B. IP-Adresse), jedoch keine darüber hinausgehenden personenbezogenen Daten zu eigenen Zwecken.

Datenschutz: aws.amazon.com/privacy

5.6 Sentry (Absturz- und Fehlererfassung)

Functional Software, Inc. (Sentry), 45 Fremont Street, San Francisco, CA 94105, USA

Wir nutzen Sentry zur Erfassung von Abstürzen und technischen Fehlern in der App. Bei einem Fehler werden technische Daten übermittelt (Fehlermeldung, Stack Trace, Gerätetyp, Betriebssystem, App-Version). Dabei werden keine vollständigen IP-Adressen gespeichert und keine personenbezogenen Inhalte übermittelt. Sentry ist ausschließlich in Produktions-Builds aktiv — nicht in der Entwicklungsumgebung.

Datenschutz: sentry.io/privacy

5.7 Expo / Firebase (Push-Benachrichtigungen)

Expo Technology, Inc., USA, und Google Firebase (Google LLC)

Für Push-Benachrichtigungen wird ein gerätespezifischer Token über Expo und den jeweiligen Plattformdienst (Apple APNs / Google FCM) übermittelt. Der Token wird in unserer Datenbank gespeichert und dient ausschließlich der Zustellung von Benachrichtigungen.

Datenschutz Expo: expo.dev/privacy
Datenschutz Firebase: firebase.google.com/support/privacy

5.8 Apple App Store / Google Play Store

Bei Kauf eines Premium-Abonnements erfolgt die Zahlungsabwicklung ausschließlich über Apple (App Store) bzw. Google (Play Store). Wir erhalten keine vollständigen Zahlungsdaten.

5.9 Cardshow-Daten aus öffentlichen Quellen (gradedmoments.de)

Die Liste der angezeigten Cardshows wird automatisch wöchentlich aus dem öffentlichen RSS-Feed von gradedmoments.de importiert. Bei diesem Import werden keine personenbezogenen Daten unserer Nutzer an gradedmoments.de übermittelt — der Datenfluss erfolgt einseitig aus dem öffentlichen Feed in unsere Datenbank.

5.10 Instagram / Meta (optionales Teilen)

Die App bietet die Möglichkeit, Karten oder Matches als gebrandetes Bild auf Instagram Stories zu teilen. Die Bilderzeugung erfolgt vollständig lokal auf deinem Gerät. Die anschließende Übertragung an Instagram erfolgt über das System-Share-Sheet deines Betriebssystems und liegt allein in deiner Hand. Wir übermitteln selbst keine Daten an Meta. Für die Verarbeitung der geteilten Inhalte durch Instagram gelten ausschließlich die Datenschutzbestimmungen von Meta Platforms, Inc.: privacycenter.instagram.com/policy

6. Internationale Datenübermittlung

Einige der oben genannten Dienstleister sind in den USA ansässig. Die Übermittlung erfolgt auf Basis des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) oder EU-Standardvertragsklauseln (Art. 46 DSGVO). Zusätzlich setzen wir — soweit erforderlich — EU-Standardvertragsklauseln (SCC) ein und treffen technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Minimierung der Datenübertragung), um ein angemessenes Datenschutzniveau sicherzustellen.

7. Öffentlich sichtbare Daten

Folgende Daten sind für andere eingeloggte Nutzer sichtbar:

Chatnachrichten und Chat-Bilder sind ausschließlich für die jeweiligen Match-Partner sichtbar.

Dein Referral-Code ist ausschließlich für dich selbst sichtbar; eingeloggte Inviter-/Invitee-Verknüpfungen werden nicht öffentlich angezeigt.

8. Minderjährigenschutz

CardFlirt richtet sich ausschließlich an Personen ab 16 Jahren. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren. Sollte uns bekannt werden, dass ein Nutzer jünger als 16 Jahre ist, wird das Konto unverzüglich gelöscht.

9. Deine Rechte

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

Anfragen richtest du bitte an: info@cardflirt.de

Du hast außerdem das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. In Sachsen ist dies:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Postfach 3163, 65021 Wiesbaden
datenschutz.hessen.de

10. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS/HTTPS). Passwörter werden nicht im Klartext gespeichert. Der Zugriff auf die Datenbank ist durch Row-Level-Security (RLS) abgesichert — jeder Nutzer kann nur auf seine eigenen Daten zugreifen.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der App oder der gesetzlichen Anforderungen anzupassen. Die aktuelle Version ist stets in der App unter Profil → Datenschutz abrufbar. Bei wesentlichen Änderungen werden Nutzer per In-App-Hinweis informiert.

12. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich oder vertraglich vorgeschrieben (z. B. für die Erstellung eines Nutzerkontos). Ohne diese Daten kann die Nutzung der App nicht oder nur eingeschränkt erfolgen.

13. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

Gradedmoments · Marcus Messer · info@cardflirt.de