Diese Datenschutzerklärung beschreibt, wie CoinKirin (der „Dienst", „wir", „uns" oder „unser") personenbezogene Daten von Besuchern und registrierten Nutzern („Sie") erhebt, verwendet, weitergibt und schützt. Sie ist so verfasst, dass sie der EU-Datenschutz-Grundverordnung (DSGVO), dem California Consumer Privacy Act (CCPA/CPRA) und dem chinesischen Personal Information Protection Law (PIPL) entspricht. Durch die Nutzung von CoinKirin bestätigen Sie, dass Sie diese Richtlinie gelesen und verstanden haben.
1. Verantwortlicher
Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle (der „Verantwortliche" nach DSGVO bzw. der „Personal Information Handler" nach PIPL) ist:
- Stelle: CoinKirin.com
- Allgemeiner Datenschutz-Kontakt: privacy@coinkirin.com
- Datenschutzbeauftragter (DSB): dpo@coinkirin.com
- EU-Vertreter (Art. 27 DSGVO): Wir sind dabei, einen EU-Vertreter zu benennen. Bis dahin kontaktieren Sie uns bitte unter privacy@coinkirin.com.
- PIPL-Vertreter in China: Noch nicht benannt. Chinesische Nutzer können privacy@coinkirin.com mit dem Betreff „PIPL Request" kontaktieren.
2. Kategorien der erhobenen personenbezogenen Daten
Wir erheben die minimal notwendigen Daten zum Betrieb des Services. Konkret verarbeiten wir folgende Kategorien personenbezogener Daten:
Kontodaten
E-Mail-Adresse, Passwort (nur als bcrypt-Hash mit Kostenfaktor 12 gespeichert — wir sehen oder speichern niemals den Klartext), TOTP-Geheimnis für die Zwei-Faktor-Authentifizierung (AES-GCM-verschlüsselt im Ruhezustand), Anzeigename, Zeitstempel der Kontoerstellung.
Nutzereinstellungen
Sprache, Theme, Region, Benachrichtigungseinstellungen, Währungsauswahl.
Finanzdaten (vom Nutzer eingegeben)
Portfolio-Bestände, Watchlist-Einträge, Regeln für Preisalarme. Diese Daten werden freiwillig von Ihnen eingegeben und niemals an externe Broker oder Börsen übertragen — sie werden ausschließlich verwendet, um die von Ihnen angeforderten Funktionen bereitzustellen.
Geräte- und technische Daten
IP-Adresse (vor der Verwendung in Analytics auf /24 gekürzt), User-Agent-String, Gerätefingerabdruck / Geräte-ID des Refresh-Tokens, Bildschirmauflösung und Sprache (optional, nur clientseitig).
Nutzungsdaten
Aufgerufene Seiten, genutzte Funktionen, Suchanfragen, Klick-Events, Core Web Vitals (LCP, CLS, INP) und anonymisierte Fehlermeldungen.
Cookies und ähnliche Technologien
Unbedingt erforderliche Cookies (Sitzung, CSRF, Sprache), Präferenz-Cookies (Theme) und — nur mit Ihrer ausdrücklichen Einwilligung — Analytics-Cookies. Die vollständige Liste finden Sie in unserer Cookie-Richtlinie.
Wir erheben nicht vorsätzlich Daten besonderer Kategorien (Rasse, Religion, Gesundheit, sexuelle Orientierung, politische Meinungen, biometrische oder genetische Daten). Bitte übermitteln Sie uns solche Daten nicht.
3. Wie wir Ihre Daten erheben
Wir erhalten personenbezogene Daten auf folgende Weise:
Direkt von Ihnen
Wenn Sie ein Konto registrieren, Ihr Profil bearbeiten, Portfolio-Bestände eingeben, eine Support-Anfrage einreichen oder anderweitig mit dem Service interagieren.
Automatisch
Über Cookies, Serverprotokolle und Nutzungsanalysen, wenn Sie den Service besuchen.
Von Dritten
Cloudflare stellt uns aus Ihrer IP-Adresse abgeleitete ungefähre Länderinformationen zur Sicherheit und Lokalisierung zur Verfügung. Wir kaufen keine personenbezogenen Daten von Datenhändlern.
4. Verarbeitungszwecke und Rechtsgrundlagen
Gemäß Art. 6 DSGVO verarbeiten wir Ihre personenbezogenen Daten nur, wenn mindestens eine Rechtsgrundlage vorliegt. Die folgende Tabelle listet unsere Zwecke und die jeweilige Rechtsgrundlage auf:
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Services (Kontoerstellung, Authentifizierung, Bereitstellung von Marktdaten, Portfolio- und Watchlist-Funktionen) | Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) |
| Sicherheit, Missbrauchsprävention und Betrugserkennung (Rate-Limiting, CAPTCHA, Anomalieerkennung, Audit-Logging) | Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) |
| Transaktionale E-Mails (E-Mail-Verifizierung, Passwort-Reset, Sicherheitswarnungen, Willkommens-Mails) | Erfüllung eines Vertrags / berechtigte Interessen |
| Produktanalyse und Verbesserung des Services | Berechtigte Interessen, Widerspruchsmöglichkeit über Cookie-Einstellungen |
| Marketing-E-Mails und Werbeinhalte (zukünftige Funktion) | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); Sie können Ihre Einwilligung jederzeit widerrufen |
| Einhaltung rechtlicher Verpflichtungen (Steuerunterlagen, Beantwortung rechtmäßiger Anfragen) | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) |
5. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es zur Erfüllung der oben beschriebenen Zwecke erforderlich oder gesetzlich vorgeschrieben ist. Konkret:
- Kontodaten: über die Lebensdauer Ihres aktiven Kontos. Nachdem Sie die Löschung beantragen, geht Ihr Konto in eine 30-tägige Soft-Delete-Karenzzeit über, in der Sie es wiederherstellen können; danach wird es endgültig gelöscht.
- Audit-Logs (allgemein): 1 Jahr.
- Audit-Logs zu kritischen Ereignissen (Admin-Aktionen, Kontolöschungen, Sicherheitsvorfälle): bis zu 7 Jahre, soweit für die regulatorische Compliance erforderlich.
- Client-Fehlerberichte: 90 Tage (automatische TTL).
- Analytics-Daten: 90 Tage (automatische TTL), danach entweder gelöscht oder vollständig aggregiert / anonymisiert.
- Refresh-Tokens: maximal 30 Tage; abgelaufene Tokens werden automatisch bereinigt.
- Backups: bis zu 35 Tage, im Ruhezustand verschlüsselt, danach ausrotiert.
6. Wie wir Ihre Daten weitergeben
Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre personenbezogenen Daten auch nicht für kontextübergreifendes verhaltensbezogenes Marketing im Sinne des CCPA/CPRA weiter.
Wir verlassen uns auf eine begrenzte Anzahl vertrauenswürdiger Unterauftragsverarbeiter, die auf unsere Weisung im Rahmen schriftlicher Auftragsverarbeitungsverträge (AV-Verträge) mit Standardvertragsklauseln (SCCs), sofern anwendbar, handeln:
Aktive Unterauftragsverarbeiter
| Anbieter | Leistung | Verarbeitete Daten | Standort | DPA/SCC |
|---|---|---|---|---|
| Cloudflare, Inc. | DNS, CDN, DDoS-Schutz, WAF, Turnstile (Bot-Schutz), Access (Zero-Trust-Tunnel) | IP-Adressen, User-Agent, TLS-Metadaten, Anforderungspfade, Turnstile-Challenge-Tokens | USA (globales Edge; EU-PoPs verfügbar) | DPA + SCC (Modul 2) |
Wir geben neue Unterauftragsverarbeiter mindestens 30 Tage vor ihrer Aktivierung über einen Blogbeitrag und auf dieser Seite bekannt. Sie haben das Recht, einem neuen Unterauftragsverarbeiter gemäß Art. 28 Abs. 2 DSGVO zu widersprechen.
Geplante / bedingte Unterauftragsverarbeiter
Die folgenden sind derzeit nicht beauftragt, stehen aber auf unserer Roadmap. Wir kündigen die Aktivierung 30 Tage im Voraus an.
- Grafana Labs, Inc. (Grafana Cloud) — Bei Migration der Observability vom Eigenbetrieb
- Anthropic, PBC — Bei Einführung von KI- / MCP-Funktionen
Keine Unterauftragsverarbeiter
Die folgenden Anbieter verarbeiten keine personenbezogenen Nutzerdaten und werden daher nicht als Unterauftragsverarbeiter geführt: GitHub (nur Code-Hosting), npm / Go module proxy (Abhängigkeiten), Let's Encrypt (TLS-Zertifikate), Docker Hub (Image-Verteilung).
Ihr Widerspruchsrecht
Sie können jederzeit per E-Mail an dpo@coinkirin.com Widerspruch gegen einen neuen Unterauftragsverarbeiter einlegen. Sollten wir Ihrem Widerspruch nicht angemessen entsprechen können, behalten Sie das Recht, Ihr Konto zu löschen und Ihre Daten vorher zu exportieren.
Rechtliche Offenlegungen
Wir können personenbezogene Daten offenlegen, wenn dies durch geltendes Recht, gerichtliche Anordnung oder ein gültiges rechtliches Verfahren erforderlich ist — zum Beispiel als Antwort auf eine Vorladung oder eine behördliche Anfrage. Soweit rechtlich zulässig, informieren wir betroffene Nutzer vor der Offenlegung.
Geschäftsübertragungen
Sollte CoinKirin an einer Fusion, Übernahme oder einem Verkauf von Vermögenswerten beteiligt sein, können Ihre personenbezogenen Daten als Teil dieser Transaktion übertragen werden. Wir werden die Nutzer informieren und, wo gesetzlich erforderlich, eine sinnvolle Wahlmöglichkeit bieten.
7. Internationale Datenübermittlungen
Backups und Auftragsverarbeiter-Infrastruktur können sich ebenfalls in den USA befinden.
Für Nutzer im Europäischen Wirtschaftsraum, im Vereinigten Königreich und in der Schweiz erfolgt die Übermittlung personenbezogener Daten in die USA auf Grundlage der Standardvertragsklauseln (SCC) der Europäischen Kommission als geeignete Garantie nach Art. 46 DSGVO. Eine Kopie der SCC kann unter privacy@coinkirin.com angefordert werden.
Für UK-Nutzer stützen wir uns auf das UK International Data Transfer Addendum zu den SCCs.
Für Nutzer in der Volksrepublik China werden Ihre personenbezogenen Daten außerhalb des chinesischen Festlands übertragen, gespeichert und verarbeitet, hauptsächlich in den Vereinigten Staaten. Indem Sie ein Konto erstellen und CoinKirin nutzen, willigen Sie ausdrücklich in diese grenzüberschreitende Übermittlung Ihrer personenbezogenen Daten ein, wie in den Art. 38–39 PIPL gefordert. Sie können diese Einwilligung jederzeit durch Löschen Ihres Kontos widerrufen; beachten Sie, dass wir den Service ohne eine solche Übermittlung nicht bereitstellen können.
8. Ihre Rechte
Je nach Ihrem Wohnort haben Sie folgende Rechte in Bezug auf Ihre personenbezogenen Daten. Wir respektieren diese Rechte für alle Nutzer soweit wie praktikabel, unabhängig von der Rechtsordnung.
Auskunftsrecht
Sie können eine Kopie der personenbezogenen Daten anfordern, die wir über Sie gespeichert haben. Registrierte Nutzer können ihre Daten jederzeit über /api/v1/auth/me/export exportieren („Meine Daten exportieren" in den Profileinstellungen). (Art. 15 DSGVO / CCPA Right to Know / Art. 45 PIPL.)
Recht auf Berichtigung
Sie können unrichtige oder unvollständige personenbezogene Daten über Ihre Profilseite berichtigen. Für Daten, die Sie nicht direkt bearbeiten können, wenden Sie sich an privacy@coinkirin.com. (Art. 16 DSGVO.)
Recht auf Löschung
Sie können Ihr Konto von der Profilseite aus löschen. Die Löschung löst eine 30-tägige Soft-Delete-Phase aus, nach deren Ablauf Ihr Konto und die zugehörigen personenbezogenen Daten dauerhaft aus den Produktionssystemen entfernt werden. Backups mit Ihren Daten werden innerhalb von 35 Tagen ausgemustert. (Art. 17 DSGVO / CCPA Right to Delete / Art. 47 PIPL.)
Recht auf Einschränkung der Verarbeitung
Sie können uns in bestimmten Situationen (z. B. wenn Sie die Richtigkeit Ihrer Daten bestreiten) auffordern, die Verarbeitung Ihrer personenbezogenen Daten einzuschränken. Wenden Sie sich an privacy@coinkirin.com. (Art. 18 DSGVO.)
Recht auf Datenübertragbarkeit
Der Datenexport-Endpunkt liefert Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren JSON-Format. (Art. 20 DSGVO / Art. 45 PIPL.)
Widerspruchsrecht
Sie können der auf berechtigten Interessen beruhenden Verarbeitung widersprechen, einschließlich Direktmarketing. Jede Marketing-E-Mail enthält einen Ein-Klick-Abmeldelink. (Art. 21 DSGVO.)
Recht auf Widerruf der Einwilligung
Wenn die Verarbeitung auf einer Einwilligung beruht (z. B. Analytics-Cookies, Marketing-E-Mails), können Sie die Einwilligung jederzeit über unser Cookie-Banner („Alle ablehnen") oder durch Abmeldung widerrufen.
Recht bezüglich automatisierter Entscheidungsfindung
Wir unterwerfen Nutzer keiner ausschließlich automatisierten Entscheidungsfindung, die rechtliche oder ähnlich erhebliche Auswirkungen hat.
Kalifornien-spezifische Rechte (CCPA/CPRA)
Einwohner Kaliforniens können zusätzlich die Offenlegung der Kategorien erhobener personenbezogener Daten, der Quellen solcher Daten, des Geschäftszwecks der Erhebung sowie der Kategorien Dritter, mit denen sie geteilt werden, verlangen. Wir verkaufen Ihre personenbezogenen Daten nicht und haben dies auch in den letzten 12 Monaten nicht getan.
PIPL-spezifische Rechte
Nutzer in China haben die oben genannten Rechte in gleichwertiger Form, zusätzlich das Recht, eine Kopie ihrer personenbezogenen Daten an einen anderen Handler übertragen zu lassen, sowie das Recht, sich bei der Cyberspace Administration of China (CAC) zu beschweren.
Beschwerderecht
Sie können eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einreichen. EU-Nutzer finden ihre Behörde unter https://edpb.europa.eu/about-edpb/about-edpb/members_en. Wir würden uns jedoch freuen, wenn Sie uns zuerst die Möglichkeit geben, Ihre Bedenken direkt zu adressieren — schreiben Sie bitte an privacy@coinkirin.com.
Wie Sie diese Rechte ausüben
Wo möglich haben wir Self-Service-Tools in den Dienst integriert (Export, Löschung, Abmeldung). Für alle anderen Anfragen senden Sie eine E-Mail an privacy@coinkirin.com. Wir antworten innerhalb von 30 Tagen (DSGVO / PIPL) bzw. 45 Tagen (CCPA). Wir behalten uns vor, Ihre Identität zu verifizieren, bevor wir einer Anfrage nachkommen.
9. Daten von Kindern
CoinKirin richtet sich nicht an Personen unter 18 Jahren, und wir richten den Dienst auch nicht wissentlich an solche Personen. Insbesondere erheben wir nicht wissentlich personenbezogene Daten von Kindern unter 13 Jahren (COPPA in den USA) oder unter 16 Jahren (Art. 8 DSGVO in der EU). Sollten wir erfahren, dass wir ohne elterliche Einwilligung personenbezogene Daten eines Kindes erhoben haben, löschen wir diese umgehend und informieren gegebenenfalls den Elternteil oder Erziehungsberechtigten. Wenn Sie vermuten, dass wir Daten eines Kindes erhoben haben, wenden Sie sich bitte an privacy@coinkirin.com.
10. Sicherheitsmaßnahmen
Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor versehentlicher oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, darunter:
- TLS-1.2+-Verschlüsselung für alle Daten während der Übertragung.
- AES-GCM-Verschlüsselung im Ruhezustand für TOTP-Geheimnisse und andere hochsensible Felder.
- Passwörter mit bcrypt bei Kostenfaktor 12 gehasht — niemals im Klartext gespeichert oder übertragen.
- Ausschließlich HTTPS, HSTS-Preloaded, strikte Content Security Policy (CSP) und moderne Sicherheits-Header.
- Rate-Limiting, Cloudflare Turnstile CAPTCHA auf sensiblen Endpunkten und optionale TOTP-Zwei-Faktor-Authentifizierung für Nutzerkonten.
- Umfassendes Audit-Logging für alle administrativen Aktionen.
- Prinzip der geringsten Rechte für Mitarbeiterzugriffe, mit Zugriffsüberprüfungen und rollenbasierten Berechtigungen.
- Regelmäßiges Abhängigkeits-Scanning und Sicherheits-Patching.
Auch wenn wir Sicherheit sehr ernst nehmen, ist kein System zu 100 % sicher. Sie sind dafür verantwortlich, Ihre Kontozugangsdaten vertraulich zu halten.
11. Meldung von Datenschutzverletzungen
Im unwahrscheinlichen Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir die zuständige Aufsichtsbehörde ohne unangemessene Verzögerung und nach Möglichkeit innerhalb von 72 Stunden nach Kenntnisnahme, gemäß Art. 33 DSGVO. Besteht voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten, benachrichtigen wir Sie zudem unverzüglich direkt per E-Mail und per In-App-Benachrichtigung.
12. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Technologie, rechtlicher Anforderungen oder anderer Faktoren widerzuspiegeln. Registrierte Nutzer werden über wesentliche Änderungen per E-Mail (sofern uns eine Adresse vorliegt) und über einen deutlich sichtbaren Hinweis im Service mindestens 14 Tage vor Inkrafttreten informiert. Das „Zuletzt aktualisiert"-Datum oben auf dieser Seite spiegelt immer die aktuelle Version wider.
Frühere Versionen dieser Erklärung werden archiviert. Um eine Kopie einer historischen Version anzufordern, schreiben Sie an privacy@coinkirin.com.
13. Kontakt
Für datenschutzbezogene Fragen oder die Ausübung Ihrer Rechte nutzen Sie bitte den passenden Kanal unten:
- Allgemeine Datenschutzanfragen: privacy@coinkirin.com
- Datenschutzbeauftragter: dpo@coinkirin.com
- Kalifornische CCPA-Anfragen: privacy@coinkirin.com — Betreff: „CCPA Request"
- Chinesische PIPL-Anfragen: privacy@coinkirin.com — Betreff: „PIPL Request"
- Postalische Zustellung: Kontaktieren Sie uns zuerst per E-Mail; eine Postanschrift wird auf Anfrage mitgeteilt.