Datenschutzerklärung

English translation

Hinweis zur Sprachfassung: Diese deutsche Fassung ist die rechtlich verbindliche Fassung. Die englische Übersetzung dient ausschließlich der Verständlichkeit für internationale Nutzer. Im Falle von Widersprüchen gilt die deutsche Fassung.

Stand: Mai 2026

Inhaltsverzeichnis

  1. Verantwortlicher und Kontakt
  2. Allgemeines zu dieser Datenschutzerklärung
  3. Welche Daten wir verarbeiten und warum
    • 3.1 Aufruf der Website
    • 3.2 Cookies und ähnliche Speichertechnologien
    • 3.3 Registrierung mit E-Mail und Passwort
    • 3.4 Anmeldung über Google
    • 3.5 Profilangaben und öffentliches Profil
    • 3.6 Browsen, Warenkorb und Länderauswahl
    • 3.7 Bestellung und Bezahlung
    • 3.8 STL-Käufe (digitale Inhalte)
    • 3.9 Physische Bestellungen
    • 3.10 Bewertungen und Kommentare
    • 3.11 Rückerstattungsverfahren und Beweisuploads
    • 3.12 Benachrichtigungs-Inbox
    • 3.13 E-Mails und E-Mail-Einstellungen
    • 3.14 Onboarding als Designer oder Maker (Stripe Connect; Maker-Plattformbewerbung)
    • 3.15 Designer-Rechtebestätigung und Inhaltsmeldungen
    • 3.16 GPSR und Verpackungsregister (LUCID)
    • 3.17 Kontaktaufnahme per E-Mail
    • 3.18 Steuerliche Meldepflichten (DAC7)
  4. Empfänger und Auftragsverarbeiter
  5. Übermittlung in Drittländer
  6. Speicherdauer
  7. Ihre Rechte
  8. Beschwerderecht bei einer Aufsichtsbehörde
  9. Pflicht zur Bereitstellung personenbezogener Daten
  10. Automatisierte Entscheidungsfindung
  11. Datensicherheit
  12. Minderjährige
  13. Hinweis zur Beta-Phase
  14. Änderungen dieser Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Ludovicus Gees Aryo Herwastho

Rudi-Arndt-Straße 14

10407 Berlin

Germany

E-Mail: contact@asdf-club.com Website: https://www.asdf-club.com

Ein Datenschutzbeauftragter ist nicht bestellt. Eine gesetzliche Pflicht zur Bestellung besteht für asdf club nicht (Art. 37 DSGVO i.V.m. § 38 BDSG).

2. Allgemeines zu dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung der Plattform asdf club, abrufbar unter https://www.asdf-club.com (im Folgenden „Plattform"). Sie gilt für alle Nutzergruppen der Plattform: Käufer („Shopper"), Designer und Maker.

asdf club ist eine Online-Marktplatzplattform für 3D-druckbare Designs (STL-Dateien) und gedruckte Produkte. Designer verkaufen digitale STL-Dateien, Maker verkaufen physische, 3D-gedruckte Produkte. Der Betreiber agiert als Vermittler und als Zahlungsabwickler („Merchant of Record") über Stripe Connect.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Diese Datenschutzerklärung verwendet die Begriffe der DSGVO.

3. Welche Daten wir verarbeiten und warum

3.1 Aufruf der Website

Bei jedem Aufruf unserer Plattform werden technisch notwendige Daten an unseren Hosting-Anbieter (Vercel) übermittelt und kurzfristig in Serverlogs verarbeitet:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene URL,
  • HTTP-Statuscode,
  • übertragene Datenmenge,
  • Referrer (verweisende Website, sofern vorhanden),
  • User-Agent (Browser- und Betriebssystemkennung).

Beim ersten Besuch ermitteln wir auf Grundlage des Hosting-IP-Headers (x-vercel-ip-country / cf-ipcountry) das mutmaßliche Land des Nutzers, um die Voreinstellung des Einkaufslandes („Shopping Location") in der Navigationsleiste vorzuschlagen. Die IP-Adresse selbst wird hierfür nicht dauerhaft gespeichert; lediglich der abgeleitete Ländercode (z. B. „DE", „US") wird in einem Cookie gespeichert, siehe Cookie-Richtlinie.

Zwecke: Bereitstellung der Website, Sicherheit, Fehleranalyse, Vorauswahl der Einkaufsregion.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen und sicheren Dienst).

Speicherdauer: Beim aktuellen Hosting-Tarif (Vercel Hobby) werden Laufzeit- und Edge-Logs standardmäßig nach ca. 1 Stunde automatisch verworfen. Build-Logs werden je Deployment vorgehalten. Bei einem späteren Wechsel des Hosting-Tarifs aktualisieren wir diese Angabe entsprechend.

3.2 Cookies und ähnliche Speichertechnologien

Wir setzen Cookies und Speichertechnologien (z. B. localStorage) nur in dem Umfang ein, der für den Betrieb der Plattform erforderlich ist. Eine vollständige Übersicht – einschließlich Rechtsgrundlage, Speicherdauer und Verwaltungsmöglichkeiten – finden Sie in unserer separaten Cookie-Richtlinie.

3.3 Registrierung mit E-Mail und Passwort

Wenn Sie sich mit E-Mail-Adresse und Passwort registrieren, verarbeiten wir:

  • E-Mail-Adresse,
  • gewähltes Passwort (gespeichert als Hash, nicht im Klartext),
  • den gewählten Username,
  • Zeitpunkt der Registrierung,
  • IP-Adresse zum Zeitpunkt der Registrierung (Auftragsverarbeitung durch Supabase, Sicherheits- und Missbrauchsschutz).

Zwecke: Anlage und Verwaltung Ihres Nutzerkontos, Authentifizierung, Schutz vor Missbrauch.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Nutzungsvertrag) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).

3.4 Anmeldung über Google („Mit Google fortfahren")

Sie können sich alternativ über Ihr Google-Konto anmelden. Dafür werden Sie an Google weitergeleitet und melden sich dort an. Nach erfolgreicher Anmeldung übermittelt Google folgende Daten an uns:

  • E-Mail-Adresse,
  • Vor- und Nachname (sofern bei Google hinterlegt),
  • Profilbild-URL (sofern bei Google hinterlegt),
  • eindeutige Google-Nutzer-ID („sub").

Die Verarbeitung dieser von Google empfangenen Daten erfolgt auf der Grundlage von Art. 14 DSGVO (Verarbeitung von nicht beim Betroffenen erhobenen Daten).

Anschließend werden Sie auf eine Profilvervollständigungs-Seite weitergeleitet, auf der Sie – falls noch nicht vorhanden – einen Username und ein Land angeben müssen.

Google ist eigenverantwortlicher Verantwortlicher für die Datenverarbeitung im Rahmen des Anmeldevorgangs auf Google-Seite. Es gelten die Datenschutzerklärung von Google sowie deren Cookie-Richtlinien.

Zwecke: Vereinfachte Registrierung und Anmeldung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Nutzungsvertrag).

3.5 Profilangaben und öffentliches Profil

Nach der Registrierung können bzw. müssen Sie folgende Profildaten angeben:

  • Username (Pflicht): ein einmaliger öffentlicher Name (3–30 Zeichen, Kleinbuchstaben/Ziffern/Unterstrich). Wird auf öffentlichen Profilseiten und in Bewertungen/Kommentaren angezeigt.
  • Voller Name: Pflichtfeld bei der Registrierung über E-Mail/Passwort; bei Anmeldung über Google wird der Name von Google übernommen, sofern dort hinterlegt. Wird ausschließlich auf Ihrer öffentlichen Profilseite (/users/{uuid}) angezeigt, nicht in URLs und nicht in Showcase-Karten.
  • Avatar (optional): Profilbild, das Sie hochladen oder das von Google bei OAuth-Anmeldung übernommen wird.
  • Land („Shopping Location"): Das von Ihnen gewählte Einkaufsland.

Öffentliches Profil: Auf /users/{uuid} sind öffentlich sichtbar: Avatar, Username, voller Name (sofern angegeben), Rolle (Designer/Maker, sofern aktiviert), abgegebene öffentliche Bewertungen und Kommentare sowie eigene Produktlistings.

Ihre E-Mail-Adresse, Ihr Passwort, Ihre Adresse und Ihre Bestellungen sind niemals öffentlich sichtbar.

Zwecke: Identifizierung gegenüber anderen Nutzern, Vertrauen im Marktplatz, Verknüpfung von Bewertungen und Listings mit Personen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Nutzungsvertrag).

3.6 Browsen, Warenkorb und Länderauswahl

  • Einkaufsland (Shopping Location): Wird im Cookie asdf-club-country und im localStorage-Eintrag asdf-club-currency-country gespeichert. Sie können in der Navigationsleiste ein beliebiges Land wählen. Dies steuert die Anzeigewährung für unverbindliche Preisschätzungen und ob physische Produkte angeboten werden (nur in Vollmärkten: EU-Mitgliedstaaten, Vereinigte Staaten, Kanada) oder ausschließlich STL-Downloads verfügbar sind.
  • Gast-Warenkorb: Sie können STL- und Physik-Artikel auch ohne Anmeldung in den Warenkorb legen. Der Warenkorbinhalt wird ausschließlich lokal in Ihrem Browser im localStorage (asdf_club_cart) gespeichert und nicht an unsere Server übertragen, bevor Sie den Bezahlvorgang einleiten. Für die Bezahlung ist eine Anmeldung erforderlich.

Zwecke: Bereitstellung der Marktplatzfunktion, korrekte regionale Anzeige, Warenkorbverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung und Durchführung des Kaufvertrags), § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Speicherung).

3.7 Bestellung und Bezahlung

Beim Abschluss einer Bestellung verarbeiten wir folgende Daten:

  • Identität (Username, voller Name, E-Mail-Adresse),
  • gewählte Artikel (STL und/oder physisch) und Mengen,
  • gewählter Maker (bei physischen Artikeln),
  • Lieferadresse (bei physischen Artikeln),
  • Bestellbetrag (in EUR, Abrechnungs-/Buchungsbasis),
  • soweit zutreffend: auf Stripe Checkout angezeigter Betrag und Währung,
  • Bestellnummer und Bestellzeitpunkt,
  • bei STL-Käufen zusätzlich: Bestätigung des Widerrufsverzichts (mit Zeitstempel und Bestellnummer als Nachweis nach § 312f Abs. 3 BGB).

Bezahlung: Die Bezahlung erfolgt über Stripe Checkout (einschließlich Stripe Adaptive Pricing, soweit verfügbar). Je nach Standort und Stripe-Einstellungen können Sie in Ihrer lokalen Währung oder in EUR belastet werden; maßgeblich sind der Betrag und die Währung, die Ihnen auf Stripe unmittelbar vor der Zahlung angezeigt werden. Der Betreiber erfasst den EUR-Abrechnungsbetrag für die Buchhaltung; der auf Checkout angezeigte Betrag und die Währung werden, soweit zutreffend, für Bestellanzeige und Rückerstattungen gespeichert. Sie werden während des Bezahlvorgangs auf eine Seite von Stripe weitergeleitet. Zahlungsdaten (Karten- oder Kontodaten) geben Sie ausschließlich gegenüber Stripe ein; wir verarbeiten und speichern diese nicht. Stripe ist eigener Verantwortlicher hinsichtlich der Zahlungsabwicklung. Es gilt die Datenschutzerklärung von Stripe.

Weitergabe an Maker (bei physischen Bestellungen): An den von Ihnen ausgewählten Maker werden ausschließlich die zur Produktion und zum Versand erforderlichen Daten übermittelt: Vor- und Nachname (bzw. der von Ihnen angegebene Empfängername), Lieferadresse sowie ggf. Kontaktdaten für die Versandbenachrichtigung. Der Maker erhält keine Zahlungsdaten und keine darüber hinausgehenden Informationen über Sie.

Weitergabe an Designer: Designer erhalten keine personenbezogenen Daten von Käufern. Sie sehen lediglich aggregierte Verkaufszahlen und Erlöse.

Zwecke: Vertragsabwicklung, Zahlungsabwicklung, Vermittlung an den Maker, Erstellung der gesetzlich erforderlichen Belege.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten, insbesondere § 147 AO und § 14b UStG).

3.8 STL-Käufe (digitale Inhalte)

Beim Kauf einer STL-Datei verarbeiten wir zusätzlich:

  • Widerrufsverzicht: Zeitpunkt und Wortlaut des bestätigten Widerrufsverzichts. Wird Ihnen in der Bestellbestätigungs-E-Mail vor Freischaltung des Downloads dokumentiert.
  • Download-Zugriff: Eintrag in Ihrer persönlichen Bibliothek (stl_access), der Ihnen den Zugriff auf die jeweils gekaufte STL-Datei dauerhaft ermöglicht.
  • Download-Protokoll: Technische Aufzeichnung von Downloads (z. B. Zeitpunkt, Anzahl) zum Schutz vor Missbrauch.
  • Versions-Benachrichtigungen: Wenn der Designer eine neue Version der STL veröffentlicht, erhalten Sie eine Benachrichtigung per E-Mail und in Ihrer Inbox.

Zwecke: Erfüllung des Vertrags über digitale Inhalte, Nachweis des Widerrufsverzichts, Bereitstellung von Aktualisierungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. c DSGVO (Nachweispflicht nach § 312f Abs. 3 BGB).

3.9 Physische Bestellungen

Bei physischen Bestellungen verarbeiten wir zusätzlich:

  • Lieferadresse (Name, Straße, PLZ, Ort, Land),
  • Kontaktdaten für die Versandbenachrichtigung (E-Mail, ggf. Telefon),
  • Bestellverlauf (Status: pending → processed → shipped → delivered),
  • gewählter Maker und ggf. Versanddienstleister-Tracking-Information (vom Maker eingegeben),
  • Produktsicherheitsangaben gemäß GPSR (Verordnung (EU) 2023/988), die vom jeweiligen Maker zum Produkt bereitgestellt werden.

Same-country-Versand: Aus rechtlichen und logistischen Gründen erfolgt der Versand physischer Produkte ausschließlich innerhalb desselben Landes (z. B. US-Maker → US-Käufer, DE-Maker → DE-Käufer). Eine grenzüberschreitende Lieferung innerhalb der EU oder zwischen Kontinenten findet im aktuellen MVP nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

3.10 Bewertungen und Kommentare

Nach Abschluss einer Bestellung können Sie eine Bewertung abgeben. Bewertungen und Kommentare auf Produktseiten sind öffentlich lesbar (auch für nicht angemeldete Besucher); zum Verfassen einer Bewertung oder eines Kommentars ist eine Anmeldung erforderlich.

Verarbeitete Daten:

  • Username (öffentlich angezeigt),
  • Sternebewertung,
  • Bewertungstext,
  • optional hochgeladene Bilder,
  • Zeitpunkt der Veröffentlichung,
  • Verknüpfung zur Bestellung (intern, nicht öffentlich).

Wir behalten uns vor, Bewertungen und Kommentare zu entfernen, die gegen unsere AGB oder geltendes Recht verstoßen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem vertrauenswürdigen Marktplatz).

3.11 Rückerstattungsverfahren und Beweisuploads

Bei Rückerstattungsanträgen (Liefermängel, mangelhafte STL-Dateien, mangelhafte physische Produkte, Stornierungen) verarbeiten wir:

  • Identifikationsdaten der beteiligten Parteien (Käufer, Maker, Designer),
  • Bestelldaten,
  • Kommunikationsverlauf zur Rückerstattung,
  • Beweisuploads (z. B. Fotos eines mangelhaften Produkts, Screenshots), die in einem geschützten Storage-Bucket (evidence) abgelegt und nur autorisierten Personen (beteiligte Parteien und Administration) zugänglich gemacht werden.

Zwecke: Bearbeitung von Rückerstattungs- und Gewährleistungsansprüchen, Streitbeilegung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Gewährleistungspflichten nach BGB), Art. 6 Abs. 1 lit. f DSGVO (Beweissicherung bei Streitigkeiten).

3.12 Benachrichtigungs-Inbox

Innerhalb der Plattform betreiben wir eine persistente Benachrichtigungs-Inbox (user_notifications), in der relevante Vorgänge zu Ihrem Konto angezeigt werden (Bestellungen, Versand, Rückerstattungen, Auszahlungen, Maker-Bewerbungen, neue Produktversionen u. a.). Einträge bleiben nach Lesen und nach Abschluss des zugrundeliegenden Vorgangs weiterhin in der Inbox sichtbar, können jedoch durch Sie archiviert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

3.13 E-Mails und E-Mail-Einstellungen

Wir versenden transaktionale E-Mails über den Dienstleister Resend (siehe Auftragsverarbeiterliste), zum Beispiel:

  • Registrierungs- und Anmeldebestätigungen,
  • Bestellbestätigungen (einschließlich Widerrufsverzichts-Dokumentation bei STL-Käufen),
  • Versand- und Liefermitteilungen,
  • Rückerstattungsmitteilungen,
  • Auszahlungsmitteilungen (für Designer/Maker),
  • Bewerbungs- und Anwendungsstatus (Maker → Designer),
  • Mitteilungen zu Preisaktualisierungen oder neuen Produktversionen,
  • Hinweise zu Streitfällen (Disputes / Chargebacks).

In Ihrem Konto unter „Einstellungen" können Sie viele dieser E-Mails (z. B. Bestellbestätigungen, Versionshinweise) abbestellen.

Hinweis: Die Bestellbestätigung für STL-Käufe wird aus gesetzlichen Gründen (§ 312f Abs. 3 BGB – Nachweis des Widerrufsverzichts auf dauerhaftem Datenträger) immer versandt, auch wenn Sie Bestellbestätigungen abbestellt haben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Nachweispflicht), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei optionalen Mitteilungen).

3.14 Onboarding als Designer oder Maker (Stripe Connect)

Wenn Sie sich als Designer oder Maker registrieren, um auf der Plattform zu verkaufen, müssen Sie ein Stripe-Connect-Express-Konto erstellen. Die hierfür erforderlichen Identifizierungs- und Kontodaten (KYC) geben Sie ausschließlich gegenüber Stripe ein. Stripe ist hinsichtlich dieser Daten eigener Verantwortlicher. Es gelten der Stripe Connected Account Agreement sowie die Stripe-Datenschutzerklärung.

Wir erhalten von Stripe nur die zur Auszahlung und Identifikation erforderlichen Statusinformationen (z. B. „onboarding completed", Auszahlungsfähigkeit, ggf. Land und Anzeigename des Kontos).

Zusätzlich verarbeiten wir auf Plattformseite:

  • Maker-Profil: Druckermodell, unterstützte Materialien, Bauvolumen, wöchentliche Kapazität, ggf. LUCID-Registrierungsnummer (siehe Ziffer 3.16),
  • Designer-Profil: Selbstauskünfte, Rechtebestätigungen je Listing.

Zwecke: Ermöglichung des Verkaufs auf der Plattform, Auszahlungen, Compliance.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – Creator-Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen).

Maker-Plattformbewerbung und Geräteverifizierung

Bevor Sie als Maker auf der Plattform physische Aufträge annehmen können, müssen Sie in der Beta-Phase eine einmalige Plattformbewerbung einreichen. Diese Prüfung ist von der gesonderten Stripe-Connect-Identifizierung (KYC) getrennt (siehe oben) und betrifft ausschließlich unsere Entscheidung, ob wir Ihnen die Maker-Rolle auf der Plattform gewähren.

Verarbeitete Daten:

  • Bewerbungstext und optional ein Link zu Website oder Social-Media-Profil,
  • Verifizierungsart: entweder Fotos mit Ihnen und Ihrem Drucker (bevorzugt) oder nur Arbeitsplatzfotos ohne Gesicht — in letzterem Fall ist ein Website- oder Social-Media-Link erforderlich,
  • Geräteverifizierungsfotos (ein oder mehrere Bilder Ihres Druckers bzw. Ihrer Druckumgebung; bei der Variante „mit Person“ kann auch Ihr Gesicht erkennbar sein),
  • Technische Angaben: Druckermodell(e) und Anzahl, unterstützte Materialien, maximales Bauvolumen, wöchentliche Kapazität,
  • Ihr Profil-Land (aus Ihrem Nutzerprofil),
  • Bearbeitungsstatus (ausstehend / genehmigt / abgelehnt), Zeitpunkt und Bearbeiter der Entscheidung, ggf. Ablehnungsgrund (wird Ihnen mitgeteilt).

Die Fotos werden in unserem Supabase-Storage (Bucket images, Pfadpräfix maker-applications/{Ihre Nutzer-ID}/…) gespeichert. Zugriff haben ausschließlich berechtigte Administratoren und Mitarbeiter mit Collaborator-Rolle im Admin-Bereich; die Bilder werden nicht in Ihrem öffentlichen Profil oder für andere Nutzer angezeigt.

Zwecke: Prüfung, ob Sie über die angegebene Ausstattung und Kapazität verfügen; Missbrauchs- und Betrugsprävention; Schutz der Plattform und der Käufer vor unehrlichen Maker-Angaben.

Ablauf: Die Prüfung erfolgt manuell durch unser Team; es findet keine automatisierte Bewertung oder biometrische Erkennung statt. Bei Ablehnung können Sie eine neue Bewerbung einreichen; bereits übermittelte Formularfelder und vorhandene Verifizierungsfotos werden dabei vorausgefüllt, damit Sie nur geänderte Angaben nachreichen müssen.

Mitteilungen: Sie erhalten E-Mail- und In-App-Benachrichtigungen zum Eingang, zur Genehmigung oder Ablehnung Ihrer Bewerbung (siehe Ziffer 3.12 und 3.13).

Empfänger: Betreiber (Inhaber und berechtigte Collaborators); Supabase Inc. als Auftragsverarbeiter für Speicherung und Datenbank (siehe Ziffer 4).

Speicherdauer: Siehe Tabelle in Ziffer 6 („Maker-Plattformbewerbung").

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen und Durchführung des Creator-Vertrags); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Integrität des Marktplatzes und der Betrugsprävention). Sofern Sie freiwillig ein Foto mit erkennbarem Gesicht übermitteln, erfolgt die Verarbeitung Ihres Abbilds auf derselben Rechtsgrundlage zur manuellen Identitäts- und Ausstattungsprüfung; eine automatische Gesichtserkennung findet nicht statt.

3.15 Designer-Rechtebestätigung und Inhaltsmeldungen

Beim Hochladen eines Designs muss der Designer bestätigen, dass er die erforderlichen Rechte an der STL-Datei besitzt. Diese Bestätigung wird mit Zeitpunkt und Bezug zum jeweiligen Produkt gespeichert (Beweissicherung).

Inhaltsmeldungen: Über contact@asdf-club.com können Rechteinhaber oder andere Nutzer rechtswidrige Inhalte (z. B. IP-Verletzungen) melden. Wir verarbeiten die übermittelten Daten (Identifizierung des Meldenden, Kontaktdaten, beanstandetes Material, Begründung) zur Prüfung der Meldung und ggf. Entfernung des Inhalts.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Designer-Vertrag), Art. 6 Abs. 1 lit. c DSGVO (Verpflichtungen aus DSA / DDG), Art. 6 Abs. 1 lit. f DSGVO (Schutz der Plattform und Dritter).

3.16 GPSR und Verpackungsregister (LUCID)

GPSR: Maker müssen je physischem Listing produktsicherheitsrechtliche Angaben gemäß Verordnung (EU) 2023/988 („General Product Safety Regulation") bereitstellen. Diese Angaben werden zusammen mit dem Listing veröffentlicht.

LUCID (Verpackungsregister): Sobald deutsche Maker physische Produkte über die Plattform verkaufen, verpflichten wir uns als elektronischer Marktplatz nach § 3 Abs. 14b VerpackG, die Einhaltung der Registrierungspflicht zu prüfen. Hierzu verarbeiten wir die LUCID-Registrierungsnummer des jeweiligen Makers und gleichen sie mit dem öffentlichen Verpackungsregister (ZSVR) ab.

Hinweis: Im MVP (Beta) verkaufen derzeit keine deutschen Maker physische Produkte. Die Verarbeitung der LUCID-Nummer findet erst statt, sobald wir DE-Maker für den Verkauf physischer Produkte freischalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).

3.17 Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail an contact@asdf-club.com kontaktieren, verarbeiten wir Ihre E-Mail-Adresse, Ihren Namen (soweit angegeben) und den Inhalt Ihrer Nachricht zur Bearbeitung Ihrer Anfrage. Wir nutzen für unseren E-Mail-Betrieb Google Workspace (siehe Auftragsverarbeiterliste).

Speicherdauer: Geschäftliche Korrespondenz wird gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen sowie zur Geltendmachung oder Abwehr von Ansprüchen für die Dauer der Verjährungsfristen (regelmäßig 3 Jahre) aufbewahrt. Vertragsrelevante Korrespondenz, die zugleich als Buchungsbeleg dient, wird 8 Jahre aufbewahrt (§ 147 Abs. 3 AO i.d.F. des Vierten Bürokratieentlastungsgesetzes; § 257 HGB).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche bzw. vertragliche Maßnahmen), Art. 6 Abs. 1 lit. f DSGVO (Bearbeitung von Anfragen), Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungsfristen).

3.18 Steuerliche Meldepflichten (DAC7)

Als Betreiber eines digitalen Marktplatzes können wir gemäß Plattformen-Steuertransparenzgesetz (PStTG) verpflichtet sein, bestimmte Identifikations- und Erlösdaten unserer Designer und Maker an das Bundeszentralamt für Steuern (BZSt) zu melden. Dies betrifft Verkäufer, die bestimmte jährliche Schwellenwerte (z. B. 30 Transaktionen oder 2.000 € Umsatz im Kalenderjahr) überschreiten.

Sofern eine Meldepflicht ausgelöst wird, übermitteln wir die gesetzlich vorgeschriebenen Daten (z. B. Name, Anschrift, Steuer-Identifikationsnummer, Bankverbindung, Quartalsumsätze) an das BZSt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. PStTG.

4. Empfänger und Auftragsverarbeiter

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) bzw. gleichrangig Verantwortliche ein:

DienstleisterFunktionSitz / DatenverarbeitungsortRolle
Supabase Inc.Datenbank, Authentifizierung, Datei-StorageHosting in Frankfurt (EU); Unternehmenssitz USAAuftragsverarbeiter
Stripe Payments Europe, Limited (Irland); Stripe Technology Europe, Limited (Irland)Zahlungsabwicklung, Auszahlungen via Stripe Connect; reguliertes E-Geld-Institut (STEL)Irland (EU)Eigener Verantwortlicher
Stripe, Inc. (USA)Konzernweite Datenverarbeitung als Mit-Verantwortlicher / Auftragsverarbeiter im Stripe-KonzernUSAAuftragsverarbeiter im Rahmen der Stripe-Konzernverarbeitung
Resend, Inc.Versand transaktionaler E-MailsUSAAuftragsverarbeiter
Vercel Inc.Hosting der Website, Edge-Auslieferung, ServerlogsUSA / EU-Edge-StandorteAuftragsverarbeiter
Google Ireland Limited / Google LLCE-Mail-Betrieb (Google Workspace, contact@asdf-club.com) und Anmeldedienst (Google OAuth)Irland (EU) und USAAuftragsverarbeiter (Workspace) bzw. eigener Verantwortlicher (OAuth)

Mit allen Auftragsverarbeitern bestehen schriftliche Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Domain und DNS: Unser Domainregistrar Hostinger International Ltd. (Litauen, EU) verwaltet die Registrierung der Domain asdf-club.com. Da Hostinger nicht in die Verarbeitung von Nutzerdaten eingebunden ist (kein Hosting, kein E-Mail-Verkehr über Hostinger), erfolgt insoweit keine Auftragsverarbeitung.

5. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums (insbesondere die USA) findet im Rahmen der Nutzung der folgenden Dienstleister statt:

  • Stripe, Inc. (USA),
  • Resend, Inc. (USA),
  • Vercel Inc. (USA),
  • Google LLC (USA),
  • Supabase Inc. (USA – Unternehmenssitz; die Datenverarbeitung selbst erfolgt jedoch in Frankfurt (EU)).

Die Übermittlung erfolgt auf der Grundlage:

  • des EU-US Data Privacy Framework (DPF), sofern der jeweilige Empfänger zertifiziert ist (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023), und/oder
  • der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) in der aktuellen Fassung.

Zertifizierungen unter dem EU-US DPF können unter https://www.dataprivacyframework.gov eingesehen werden.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben:

DatenkategorieSpeicherdauer
Kontodaten (Profil, Username, Avatar etc.)Bis 30 Tage nach Löschungsantrag; danach werden personenbezogene Identifier anonymisiert oder gelöscht
Bestell-, Rechnungs- und Zahlungsdaten8 Jahre ab Ende des Geschäftsjahres (§ 147 Abs. 3 AO i.d.F. des Vierten Bürokratieentlastungsgesetzes vom 29.10.2024, BGBl. 2024 I Nr. 323; § 14b Abs. 1 UStG; § 257 HGB) – diese gesetzliche Aufbewahrungspflicht hat Vorrang vor Löschungsanträgen
Widerrufsverzichts-Bestätigung (STL)Mit dem zugehörigen Bestelldatensatz (8 Jahre)
Beweisuploads im RückerstattungsverfahrenDauer des Falls + 3 Jahre (gesetzliche Gewährleistungsfrist); bei Verknüpfung mit Rechnungsdaten bis zu 8 Jahre
Benachrichtigungs-InboxWährend Bestand des Kontos; Löschung mit Kontolöschung
Cookie-Einwilligungs-Nachweise3 Jahre
Serverlogs (Hosting, Vercel Hobby)Laufzeit-/Edge-Logs ca. 1 Stunde; Build-Logs je Deployment
Resend-Versandprotokolle (Versanddiagnostik, beim Anbieter Resend gespeichert)bis zu 30 Tage beim Anbieter (Resend Free); auf der Plattform werden keine Versandprotokolle gespeichert
E-Mail-Korrespondenz an contact@asdf-club.com3 Jahre (allgemeine Geschäftskorrespondenz, regelmäßige Verjährung); 6 Jahre bei Geschäftsbrief-Charakter (§ 257 Abs. 4 i. V. m. Abs. 1 Nr. 2/3 HGB; § 147 Abs. 3 AO); 8 Jahre bei Buchungsbeleg-Charakter (§ 147 Abs. 3 AO i.d.F. des BEG IV; § 257 HGB)
Daten bei Stripe (Zahlungsdienstleister)Gemäß Stripe-eigener Aufbewahrungspolitik (außerhalb unserer Kontrolle)
Maker-Plattformbewerbung (Formulardaten, Verifizierungsfotos)Ausstehend: bis zur Entscheidung; bei Genehmigung: für die Dauer der Maker-Rolle und danach 3 Jahre (Nachweis, Missbrauchsprävention); bei Ablehnung: bis zur Einreichung einer neuen Bewerbung oder 24 Monate nach Ablehnung, je nachdem welcher Zeitraum länger ist; Verifizierungsbilder im Storage folgen demselben Zeitraum; bei Kontolöschung: Profil-Identifikatoren werden anonymisiert (siehe Kontodaten) — Bewerbungsdaten und Verifizierungsfotos können zur Erfüllung gesetzlicher Pflichten oder zur Wahrung berechtigter Interessen (z. B. Nachweis bei Streitigkeiten oder bereits abgeschlossenen Aufträgen) länger gespeichert bleiben

Auch nach Schließung Ihres Kontos bleiben für die Buchhaltung relevante Daten (insbesondere Bestelldaten und Rechnungsunterlagen) in pseudonymisierter Form weiterhin gespeichert, bis die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Die Verarbeitung dieser Daten wird gemäß Art. 18 DSGVO auf das gesetzlich erforderliche Maß beschränkt (insbesondere Aufbewahrung zu Nachweiszwecken gegenüber Steuer- und Aufsichtsbehörden).

7. Ihre Rechte

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir zu Ihrer Person verarbeiten.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten widersprechen, soweit sie auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) gestützt ist,
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte genügt eine E-Mail an: contact@asdf-club.com

8. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

Für den Verantwortlichen ist die zuständige Aufsichtsbehörde:

Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Alt-Moabit 59–61 10555 Berlin Telefon: +49 30 13889-0 E-Mail: mailbox@datenschutz-berlin.de Website: https://www.datenschutz-berlin.de

Eine Liste aller deutschen Landesdatenschutzbehörden finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

9. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, uns Daten bereitzustellen. Ohne die zur Vertragsdurchführung erforderlichen Daten (z. B. Username, E-Mail-Adresse, ggf. Lieferadresse) können wir den jeweiligen Vertrag (Nutzungs-, Kauf- oder Creator-Vertrag) jedoch nicht abschließen oder durchführen.

10. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO – einschließlich Profiling – findet nicht statt.

11. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen. Dazu zählen insbesondere:

  • Transportverschlüsselung mittels TLS sowohl auf der Plattform als auch im Datenverkehr mit allen Dienstleistern,
  • Speicherung von Passwörtern ausschließlich als Hash (nicht im Klartext),
  • Zugriffsbeschränkungen auf interne Systeme nach dem Prinzip der minimalen Rechtevergabe,
  • Trennung von Produktiv- und Test-/Staging-Umgebungen,
  • regelmäßige Aktualisierung der eingesetzten Software,
  • sorgfältige Auswahl von Auftragsverarbeitern mit dokumentierten Sicherheitsmaßnahmen.

Wir passen unsere Sicherheitsmaßnahmen laufend an die technische Entwicklung an.

12. Minderjährige

Unser Angebot richtet sich nicht an Personen unter 16 Jahren. Personen unter 16 Jahren dürfen sich nicht auf der Plattform registrieren und keine Bestellungen aufgeben. Sollte uns bekannt werden, dass ohne Einwilligung des/der Erziehungsberechtigten ein Konto für eine minderjährige Person angelegt wurde, werden wir das Konto sperren bzw. löschen.

13. Hinweis zur Beta-Phase

Die Plattform befindet sich derzeit in einer Beta-Phase. Funktionen, Abläufe und die damit verbundenen Datenverarbeitungsvorgänge können sich kurzfristig ändern. Wir aktualisieren diese Datenschutzerklärung entsprechend und informieren Sie über wesentliche Änderungen gemäß Ziffer 14.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern sich Änderungen an der eingesetzten Technologie, an unseren Diensten oder an den gesetzlichen Vorgaben dies erfordern. Die jeweils aktuelle Fassung ist auf dieser Seite veröffentlicht und mit dem oben angegebenen Datum versehen.

Wesentliche Änderungen, insbesondere solche, die neue Verarbeitungszwecke oder neue Empfängerkategorien betreffen, werden wir Ihnen rechtzeitig vorher mitteilen, z. B. per E-Mail oder durch einen deutlichen Hinweis auf der Plattform.

Ende der Datenschutzerklärung.