Datenschutzerklärung

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und Diensteanbieter im Sinne des Digitale-Dienste-Gesetzes (DDG, vormals TMG) ist die Datargo GmbH, Omniturm, Neue Mainzer Str. 52-58, 60311 Frankfurt am Main, Deutschland, vertreten durch den Geschäftsführer Andreas Mallek. Eintragung im Handelsregister des Amtsgerichts Friedberg (Hessen) unter HRB 9742.

Sie erreichen den Verantwortlichen per E-Mail unter hello@parkett.io.

In allen Datenschutzfragen erreichen Sie uns per E-Mail unter privacy@datargo.com. Bei sämtlichen Fragen zur Verarbeitung Ihrer personenbezogenen Daten und zur Ausübung Ihrer Rechte können Sie sich unmittelbar an diese Adresse wenden.

2. Geltungsbereich, Begriffe und Grundsätze der Verarbeitung

Diese Datenschutzerklärung gilt für sämtliche Websites und Dienste von Parkett, insbesondere die Plattform unter parkett.io, das Verkäufer-Backend (App), die Programmierschnittstelle (API) sowie die für geparkte Kundendomains über unsere eigene Edge ausgelieferten Verkaufs- und Parking-Landingpages.

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Verarbeiten Sie als Unternehmen die Plattform, betreffen viele der hier beschriebenen Verarbeitungen Kontaktdaten Ihrer handelnden Personen (etwa Ansprechpartner, Mitarbeitende, Bevollmächtigte).

Wir verarbeiten ausschließlich diejenigen Daten, die für den jeweiligen Zweck erforderlich sind, schützen sie durch geeignete technische und organisatorische Maßnahmen (Ziffer 14) und löschen sie nach einem dokumentierten Löschkonzept (Ziffer 13). Eine Verarbeitung zu nicht genannten oder unvereinbaren Zwecken findet nicht statt.

Soweit wir nachfolgend eine Verarbeitung auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) stützen, haben wir die jeweils einschlägigen Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen gegen unsere berechtigten Interessen abgewogen; das Ergebnis der Abwägung ist beim jeweiligen Verarbeitungszweck benannt.

3. Bereitstellung der Website und Server-/Zugriffs-Logdaten

Beim Aufruf unserer Seiten und beim Zugriff auf unsere API werden technisch bedingt automatisch Zugriffsdaten in Server-Logfiles gespeichert. Erfasst werden insbesondere: die IP-Adresse des anfragenden Systems, Datum und Uhrzeit der Anfrage, die konkret angefragte Ressource (URL/Endpunkt) und die HTTP-Methode, der HTTP-Statuscode, die übertragene Datenmenge, die Referrer-URL sowie die Browser- und Betriebssystem-Kennung (User-Agent).

Zweck der Verarbeitung ist die technische Auslieferung der Inhalte, die Gewährleistung der Stabilität und Sicherheit unserer Systeme, die Erkennung und Abwehr von Angriffen sowie die Fehleranalyse.

Rechtsgrundlage ist unser berechtigtes Interesse am sicheren, stabilen und missbrauchsfreien Betrieb unserer Dienste (Art. 6 Abs. 1 lit. f DSGVO). Unser Interesse an der Aufrechterhaltung der IT-Sicherheit überwiegt; die Verarbeitung beschränkt sich auf das technisch Notwendige und ist für die Betroffenen mit geringen Auswirkungen verbunden.

Die Logdaten werden regelmäßig nach 7 Tagen gelöscht oder anonymisiert. Bei einem konkreten Sicherheitsvorfall oder Missbrauchsverdacht behalten wir uns vor, die betroffenen Logdaten bis zur abschließenden Aufklärung des Vorfalls aufzubewahren.

4. Plattformweites Audit-Log (Sicherheits- und Nachweisprotokoll)

Sicherheitsrelevante und vertragsrelevante Vorgänge auf der Plattform protokollieren wir in einem internen Audit-Log. Erfasst werden insbesondere: An- und Abmeldungen, Änderungen an Konten und Listings, Eigentumsprüfungen und deren Ergebnis, die Abgabe und Bearbeitung von Geboten, operative Aktionen (z. B. Sperrung, erneute Prüfung, Zurückziehen, Wiedereinstellung) sowie Zeitstempel, die handelnde Kennung und die IP-Adresse.

Zwecke sind die Gewährleistung der IT-Sicherheit, die Aufdeckung und Aufklärung von Missbrauch und Betrug, die Wahrung der Integrität der Plattform sowie die Nachweisbarkeit (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Nachweis im Streitfall).

Rechtsgrundlage ist unser berechtigtes Interesse an Sicherheit, Missbrauchsprävention und Nachweisführung (Art. 6 Abs. 1 lit. f DSGVO) sowie, soweit das Protokoll der Erfüllung gesetzlicher Pflichten dient, Art. 6 Abs. 1 lit. c DSGVO. Das Audit-Log ist nur einem eng begrenzten, berechtigten Personenkreis zugänglich.

Audit-Log-Einträge werden regelmäßig nach 12 Monaten gelöscht, sofern sie nicht zur Aufklärung eines konkreten Vorfalls oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen länger benötigt werden.

5. Cookies, lokale Speicherung und Einwilligung

Wir setzen ausschließlich technisch notwendige Cookies und vergleichbare Speichertechniken ein. „parkett_theme“ und „parkett_lang“ sind reine Komfort- bzw. Personalisierungs-Cookies; sie speichern ausschließlich die von Ihnen selbst ausdrücklich getroffene Darstellungs- und Sprachwahl (Laufzeit bis zu 12 Monate) und dienen allein dazu, diese ausdrückliche Nutzerauswahl beim nächsten Aufruf bereitzustellen. Da sie damit nur eine von Ihnen ausdrücklich gewünschte Funktion umsetzen und keinerlei Tracking, Profilbildung oder Auswertung Ihres Verhaltens ermöglichen, sind sie für die Erbringung des von Ihnen ausdrücklich gewünschten Dienstes unbedingt erforderlich i. S. d. § 25 Abs. 2 Nr. 2 TDDDG. „parkett_session“ hält im Verkäuferbereich Ihre Anmeldung aufrecht (bis zum Sitzungsende bzw. zur Abmeldung). Zum Schutz vor Cross-Site-Request-Forgery setzen wir zudem ein sitzungsgebundenes Sicherheitsmerkmal ein.

Es werden keine Tracking-, Analyse- oder Marketing-Cookies und keine Dienste zur Reichweitenmessung eingesetzt. Beim Aufruf unserer Seiten werden standardmäßig keine externen Inhalte (kein externes CDN, keine externen Schriftarten) nachgeladen.

Da die eingesetzten Cookies für die Erbringung des von Ihnen ausdrücklich gewünschten Dienstes unbedingt erforderlich sind, ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung und kein Cookie-Banner erforderlich. Rechtsgrundlage für die mit den notwendigen Cookies einhergehende Verarbeitung ist unser berechtigtes Interesse an der funktionsfähigen Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO) bzw. die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Sollten wir künftig nicht zwingend erforderliche Speichertechniken (etwa für optionale Komfort- oder Support-Funktionen) einsetzen, erfolgt deren Speicherung und Auslesen ausschließlich nach Ihrer vorherigen, aktiven Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.

6. Verkäuferkonto, Stammdaten und E-Mail-Verifizierung

Für die Registrierung und Nutzung als Verkäufer verarbeiten wir Ihre E-Mail-Adresse und Ihr Passwort (ausschließlich als kryptografischer Argon2-Hash, niemals im Klartext) sowie kontobezogene Metadaten (z. B. Registrierungs- und Anmeldezeitpunkte, Verifizierungsstatus, Spracheinstellung). Soweit Sie als Unternehmen handeln, verarbeiten wir zusätzlich die von Ihnen angegebenen Firmen- und Ansprechpartnerdaten.

Zur Bestätigung der Inhaberschaft der E-Mail-Adresse versenden wir eine Verifizierungs-Nachricht mit einem zeitlich befristeten Bestätigungs-Token (Double-Opt-in). Ohne bestätigte E-Mail-Adresse kann kein Verkauf abgewickelt werden.

Zwecke sind die Begründung, Durchführung und Verwaltung des Nutzungsverhältnisses, die Authentifizierung sowie die Missbrauchs- und Betrugsprävention.

Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags sowie die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) und ergänzend unser berechtigtes Interesse an der Sicherheit der Konten und der Verhinderung von Missbrauch (Art. 6 Abs. 1 lit. f DSGVO).

7. Domain- und Listing-Daten

Stellen Sie eine Domain ein, verarbeiten wir die zugehörigen Listing-Daten: den Domainnamen, die gewählte Verkaufsart (Festpreis oder Angebotsmodus; eine Auktion ist geplant), den festgelegten Preis bzw. Mindestbetrag, optionale Beschreibungstexte und Sichtbarkeits-/Statusangaben sowie die Verknüpfung mit Ihrem Konto.

Diese Daten dienen der Darstellung des Angebots auf der Plattform und der Verkaufs-Landingpage, der Vermittlung an Kaufinteressenten und der Verwaltung Ihrer Listings. Domainnamen können ausnahmsweise einen Personenbezug aufweisen (etwa bei Namensdomains).

Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) hinsichtlich des Vermittlungs- und Parking-Dienstes Ihnen gegenüber.

Hinweis zur Reihenfolge und Sichtbarkeit (Rangkriterien): Die Reihenfolge, in der Listings auf der Plattform dargestellt werden, richtet sich nach sachlichen Kriterien wie Relevanz zur Suchanfrage, Aktualität, Vollständigkeit der Angaben und Verkaufsart. Eine bevorzugte Platzierung gegen Entgelt findet derzeit nicht statt. Die maßgeblichen Hauptparameter für das Ranking legen wir gegenüber gewerblichen Nutzern in unseren Allgemeinen Geschäftsbedingungen transparent dar (Art. 5 der Verordnung (EU) 2019/1150 – P2B-Verordnung).

8. Eigentums-/Verfügungsberechtigungs-Verifikation (DNS, RDAP)

Um die Verfügungsberechtigung über eine eingestellte Domain zu prüfen, fragen wir öffentlich zugängliche DNS-Einträge dieser Domain ab (insbesondere Nameserver-, TXT-, CNAME- und CAA-Einträge) und werten ergänzend öffentlich verfügbare Registrierungsdaten über RDAP aus. Zur Verifikation erzeugen und prüfen wir Verifizierungs-Token. Für geparkte Domains stellen wir über unsere eigene Edge automatisch eine Verkaufs-/Parking-Landingpage samt TLS-Zertifikat bereit und prüfen verifizierte Domains regelmäßig erneut (Schutz vor „Dangling“-Zuständen und Übernahmen).

Diese Abfragen betreffen primär technische Daten der Domain, die ausnahmsweise einen Personenbezug aufweisen können (etwa wenn öffentliche RDAP-Daten personenbezogene Angaben enthalten). Soweit hierbei personenbezogene Daten Dritter verarbeitet werden, die wir nicht bei der betroffenen Person selbst erhoben haben (insbesondere des tatsächlichen, im öffentlichen RDAP ausgewiesenen Domaininhabers), stammen diese aus öffentlich zugänglichen Quellen (RDAP der zuständigen Registry bzw. des Registrars). Eine gesonderte Information dieser Personen nach Art. 14 DSGVO unterbleibt, soweit sie sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde (Art. 14 Abs. 5 lit. b DSGVO); die wesentlichen Informationen ergeben sich im Übrigen aus dieser Datenschutzerklärung.

Zwecke sind die Verhinderung unberechtigter Listings, der Schutz tatsächlicher Domaininhaber, die Sicherstellung einer korrekten Auslieferung der Landingpages sowie die Missbrauchsvermeidung.

Rechtsgrundlage ist die Vertragserfüllung gegenüber dem Verkäufer (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse und das berechtigte Interesse Dritter an der Integrität der Plattform und der Missbrauchsvermeidung (Art. 6 Abs. 1 lit. f DSGVO).

9. Gebote, anonyme Käuferverhandlung und Vertragsanbahnung

Geben Sie als Kaufinteressent ein Gebot ab, verarbeiten wir Ihre E-Mail-Adresse, den gebotenen Betrag, die betroffene Domain sowie Zeitstempel und Status des Gebots. Ein Käuferkonto ist für die Gebotsabgabe nicht erforderlich.

Zur Wahrung der Anonymität ermöglichen wir eine pseudonyme Käuferverhandlung: Die Kommunikation zwischen Käufer und Verkäufer erfolgt über einen nicht erratbaren Link mit Zugriffs-Token, ohne dass die E-Mail-Adresse des Interessenten dem Verkäufer offengelegt werden muss. Vor der ersten Übermittlung Ihrer Kontaktangabe bzw. zur Bestätigung der Erreichbarkeit setzen wir ein Double-Opt-in ein.

Im Verhandlungs-Thread verarbeiten wir die ausgetauschten Nachrichten, Gegenangebote, Annahmen und Ablehnungen sowie die zugehörigen Metadaten, um die Vermittlung zwischen Verkäufer und Kaufinteressent abzuwickeln.

Rechtsgrundlage für die Abgabe und Bearbeitung von Geboten ist die Durchführung vorvertraglicher Maßnahmen auf Veranlassung der betroffenen Person (Art. 6 Abs. 1 lit. b DSGVO). Hinsichtlich der Übermittlung der Käufer-E-Mail im Rahmen anonymer Gebote sowie der Verwaltung der Verhandlung stützen wir uns ergänzend auf unser berechtigtes Interesse und das berechtigte Interesse der Beteiligten an der Anbahnung und Abwicklung eines Domainkaufs (Art. 6 Abs. 1 lit. f DSGVO); die Interessen der Beteiligten an einer geschützten, pseudonymen Anbahnung überwiegen.

10. E-Mail-Versand, transaktionale Benachrichtigungen und Double-Opt-in

Wir versenden transaktionale E-Mails über die eigene Mailinfrastruktur der Datargo-Gruppe, insbesondere zu eingegangenen Geboten, Gegenangeboten, Annahmen/Ablehnungen, Statusänderungen, Ergebnissen der Eigentums-Re-Checks, Verifizierungs- und Bestätigungslinks (Double-Opt-in) sowie Warnmitteilungen vor automatisierten Löschungen (etwa vor der Löschung eines inaktiven Kontos).

Zur Verarbeitung gehören die Empfänger-E-Mail-Adresse, der Nachrichteninhalt sowie technische Versand- und Zustellprotokolle (Versandzeitpunkt, Zustell-/Fehlerstatus). Eine Übermittlung an externe E-Mail-Marketing-Dienstleister findet nicht statt; ein Newsletter wird nicht versendet, und die genannten Nachrichten stellen keine Werbung dar.

Rechtsgrundlage ist die Vertragserfüllung und die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an einer ordnungsgemäßen Vertrags-, Konto- und Datenverwaltung und an der Zustellnachweisbarkeit (Art. 6 Abs. 1 lit. f DSGVO).

Das Double-Opt-in dient dem Nachweis der Erreichbarkeit und der Verhinderung von Missbrauch durch fremde E-Mail-Adressen; insoweit besteht ein berechtigtes Interesse an einem missbrauchssicheren Verfahren.

11. KI-/Heuristik-gestützte Preisschätzung

Wir bieten eine unverbindliche, KI-/heuristikgestützte Preisschätzung als reine Orientierungshilfe an. Hierzu verarbeiten wir Merkmale der jeweiligen Domain (z. B. Länge, Endung/TLD, sprachliche Merkmale, Marktindikatoren). Die Inferenz erfolgt ausschließlich auf eigener Infrastruktur der Datargo-Gruppe (on-premise); es findet keine Übermittlung an externe Anbieter und keine Übermittlung in ein Drittland statt.

Die Schätzung ist ausdrücklich unverbindlich und stellt weder ein Angebot noch eine Bewertungsgarantie dar. Die Festlegung des Preises und jede Kauf- oder Verkaufsentscheidung treffen allein Sie.

Es handelt sich nicht um eine ausschließlich automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO: Die Preisschätzung entfaltet keine rechtliche Wirkung, ist unverbindlich und ersetzt keine menschliche Entscheidung; verbindliche Entscheidungen treffen ausschließlich die handelnden Personen.

Rechtsgrundlage ist, soweit ein Personenbezug betroffen ist, unser berechtigtes Interesse an der Bereitstellung eines hilfreichen, unverbindlichen Orientierungswerts (Art. 6 Abs. 1 lit. f DSGVO) bzw. die Vertragserfüllung im Rahmen der angeforderten Funktion (Art. 6 Abs. 1 lit. b DSGVO).

12. Empfänger, Auftragsverarbeiter und Übermittlung in Drittländer

Hosting, Betrieb und Datenhaltung erfolgen auf Servern in Deutschland innerhalb der Infrastruktur der Datargo-Gruppe; hierzu zählt auch die eigene Edge, über die die Verkaufs-/Parking-Landingpages mit automatischem TLS ausgeliefert werden. Der Versand transaktionaler E-Mails erfolgt über die eigene Mailinfrastruktur der Datargo-Gruppe. Die KI-/Heuristik-Inferenz erfolgt on-premise auf eigener Infrastruktur (Ziffer 11).

Soweit Stellen innerhalb der Datargo-Gruppe oder Dienstleister weisungsgebunden in unserem Auftrag personenbezogene Daten verarbeiten (etwa Hosting und Mailinfrastruktur der eigenen Gruppe), geschieht dies auf Grundlage von Verträgen zur Auftragsverarbeitung nach Art. 28 DSGVO mit Weisungsbindung, Vertraulichkeit und geeigneten technischen und organisatorischen Maßnahmen. Bestimmte Empfänger handeln demgegenüber als eigene Verantwortliche und nicht als Auftragsverarbeiter, insbesondere die TLS-Zertifizierungsstelle (Ziffer 12 Abs. 3), der für die Zahlungsabwicklung beauftragte Zahlungsdienstleister (Ziffer 20) sowie Behörden, an die wir aufgrund gesetzlicher Verpflichtung Daten übermitteln (etwa die Finanzbehörde nach DAC7, Ziffer 17).

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des EWR (Drittländer) findet, soweit nachfolgend nichts anderes ausgewiesen ist, nicht statt. Im Zusammenhang mit der für unsere Edge erforderlichen TLS-Zertifizierung werden die Zertifikate über eine automatisierte ACME-Domain-Validierung von einer Zertifizierungsstelle (Certificate Authority) bezogen, die ihren Sitz auch in den USA haben kann (insbesondere Let's Encrypt der Internet Security Research Group, ISRG, USA). Dabei wird der vollständige Domainname (FQDN) der jeweiligen Kundendomain an die Zertifizierungsstelle übermittelt; ausgestellte Zertifikate werden zudem öffentlich und dauerhaft in Certificate-Transparency-Logs veröffentlicht. Ein Domainname weist in aller Regel keinen Personenbezug auf, sodass die Übermittlung des FQDN regelmäßig keine Verarbeitung personenbezogener Daten und damit auch keine Drittlandübermittlung darstellt. Nur im seltenen Ausnahmefall, in dem ein Domainname ausnahmsweise einen Personenbezug aufweist (etwa bei Namensdomains, vgl. Ziffern 7 und 8), liegt insoweit eine Drittlandübermittlung vor. Die Zertifizierungsstelle handelt dabei als eigene Verantwortliche. In diesem Ausnahmefall stützt sich die Übermittlung darauf, dass sie zur Erfüllung des Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, namentlich zur Bereitstellung der verschlüsselt ausgelieferten Landingpage (Art. 49 Abs. 1 lit. b DSGVO). Über das Bestehen oder Nichtbestehen geeigneter Garantien sowie die Möglichkeit, eine Kopie der Garantien zu erhalten oder zu erfahren, wo sie verfügbar sind, informieren wir Sie auf Anfrage (Art. 13 Abs. 1 lit. f DSGVO). Eine weitere Drittlandübermittlung ergibt sich aus der treuhänderischen Zahlungsabwicklung über Stripe (Ziffer 20): Stripe Payments Europe, Limited (Dublin, Irland) kann Daten an die Stripe, Inc. (USA) übermitteln; Garantien sind der Angemessenheitsbeschluss EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln (Art. 44 ff., Art. 46 DSGVO; Einzelheiten in Ziffer 20).

Eine Weitergabe Ihrer Daten zu Werbezwecken erfolgt nicht. Eine Offenlegung gegenüber Dritten kommt darüber hinaus nur in Betracht, soweit wir gesetzlich dazu verpflichtet sind oder dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

13. Speicherdauer und Löschkonzept (DIN 66398)

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen; danach werden sie gelöscht oder anonymisiert. Wir setzen ein dokumentiertes Löschkonzept (angelehnt an DIN 66398) mit festen Regelfristen und automatisierten Löschläufen um. Die nachfolgenden Fristen sind Regelfristen:

Server-/Zugriffs-Logdaten: 7 Tage, danach Löschung oder Anonymisierung (bei konkretem Sicherheitsvorfall bis zur Aufklärung).

Plattformweites Audit-Log: 12 Monate, sofern nicht zur Aufklärung eines Vorfalls oder zur Rechtsverteidigung länger erforderlich.

Verkäuferkonto (Stammdaten): für die Dauer des Nutzungsverhältnisses; nach Kontolöschung spätestens innerhalb von 30 Tagen, soweit keine handels- oder steuerrechtlichen Aufbewahrungspflichten entgegenstehen. Soweit solche Pflichten bestehen (etwa weil dieselben Stammdaten zugleich in aufbewahrungspflichtigen Abrechnungs- und Rechnungsdaten enthalten sind), werden die betroffenen Daten nicht gelöscht, sondern bis zum Ablauf der gesetzlichen Frist in der Verarbeitung eingeschränkt (gesperrt) und sodann gelöscht. Bei Inaktivität löschen wir das Konto nach 24 Monaten ohne Anmeldung, nachdem wir zuvor per E-Mail (30 und 7 Tage im Voraus) gewarnt haben.

Domain- und Listing-Daten: für die Dauer der Listung; nach Entfernung Löschung oder Anonymisierung innerhalb von 90 Tagen.

Eigentumsnachweis (DNS-/RDAP-Prüfdaten, Verifizierungs-Token): bis zur Beendigung der Listung, danach Löschung.

Gebote und Verhandlungs-Threads (Käufer-E-Mail, Betrag, Nachrichten): bis zum Abschluss der Vertragsanbahnung; kommt kein Vertrag zustande, Anonymisierung spätestens nach 12 Monaten.

Versand-/Zustellprotokolle der Benachrichtigungs-E-Mails: 90 Tage.

Support-Kommunikation: bis zur abschließenden Bearbeitung, längstens bis zum Ablauf der gesetzlichen Verjährungsfristen (regelmäßig 3 Jahre).

Abrechnungs-, Provisions- und Rechnungsdaten bei erfolgreichem Verkauf: Buchungsbelege und Rechnungen (auch i. S. d. § 14b UStG) werden 8 Jahre aufbewahrt (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB, § 14b Abs. 1 UStG jeweils i. d. F. des Vierten Bürokratieentlastungsgesetzes); Bücher, Inventare, Jahresabschlüsse und Lageberichte 10 Jahre; empfangene und abgesandte Handelsbriefe 6 Jahre. Nach DAC7 erhobene meldepflichtige Daten werden für die gesetzlich vorgeschriebene Dauer aufbewahrt (§ 13 Abs. 2 PStTG; vgl. Ziffer 17).

Während gesetzlicher Aufbewahrungsfristen wird die Verarbeitung eingeschränkt (Sperrung) statt gelöscht. Das operative Löschkonzept halten wir intern vor und passen es bei Änderungen der Verarbeitung an.

14. Datensicherheit (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Verbindung ist durchgehend per TLS verschlüsselt; die hierfür erforderlichen Zertifikate werden automatisiert ausgestellt und erneuert.

Passwörter speichern wir ausschließlich als Argon2-Hash. Wir setzen rollenbasierte Zugriffsbeschränkungen nach dem Prinzip der geringsten Rechte, eine strikte Mandantentrennung (Row-Level-Security), Anmelde-Drosselung und Sperren gegen Brute-Force-Angriffe, Schutz gegen Cross-Site-Request-Forgery, Protokollierung sicherheitsrelevanter Vorgänge (Audit-Log) sowie laufende Härtungs- und Aktualisierungsmaßnahmen ein.

Die Maßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst. Im Falle einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten erfüllen wir unsere Pflichten nach Art. 33 und 34 DSGVO.

15. Betroffenenrechte

Sie haben jederzeit das Recht auf Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO), auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie auf Datenübertragbarkeit hinsichtlich der von Ihnen bereitgestellten Daten (Art. 20 DSGVO).

Widerspruchsrecht: Soweit wir Ihre Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen (Art. 21 DSGVO). Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an privacy@datargo.com; Ihr Verkäuferkonto können Sie zudem jederzeit selbst löschen. Wir bearbeiten Anträge unverzüglich, spätestens innerhalb der gesetzlichen Frist von einem Monat; bei besonderer Komplexität kann sich diese Frist nach Maßgabe des Art. 12 Abs. 3 DSGVO verlängern.

16. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

Für den Verantwortlichen zuständig ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, E-Mail poststelle@datenschutz.hessen.de.

17. DAC7-bedingte Verarbeitung und Meldepflichten

Als Betreiberin einer digitalen Plattform unterliegt die Datargo GmbH den Melde- und Sorgfaltspflichten nach der Richtlinie (EU) 2021/514 (DAC7) und dem zu ihrer Umsetzung erlassenen Plattformen-Steuertransparenzgesetz (PStTG). Mit Aufnahme meldepflichtiger Tätigkeiten (insbesondere der entgeltlichen Vermittlung von Verkäufen) sind wir verpflichtet, bestimmte Informationen über meldepflichtige Anbieter zu erheben, zu überprüfen und an die zuständige Finanzbehörde zu melden.

Hierzu zählen je nach Anbieterstatus insbesondere Identifikations- und Kontaktdaten (Name bzw. Firma, Anschrift, Steueridentifikationsnummer, USt-IdNr., Handelsregisterdaten), die erzielten Vergütungen sowie die Anzahl der relevanten Tätigkeiten. Wir erheben nur die hierfür erforderlichen Daten.

Rechtsgrundlage ist die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. dem PStTG). Diese Daten werden für die nach § 13 Abs. 2 PStTG gesetzlich vorgeschriebene Dauer aufbewahrt. Für über unsere treuhänderische Zahlungsabwicklung vermittelte und abgewickelte Verkäufe erheben und melden wir die DAC7-relevanten Daten, sobald und soweit die gesetzlichen Schwellenwerte und Meldepflichten erfüllt sind.

18. Auftragsverarbeitung durch Parkett (Angebot eines AVV)

Im Regelfall ist die Datargo GmbH eigenverantwortliche Stelle (Verantwortlicher) für die in dieser Erklärung beschriebenen Verarbeitungen.

Soweit Sie als Geschäftskunde über Parkett personenbezogene Daten Dritter verarbeiten (etwa eigene Kontakt- oder Interessentendaten) und wir diese ausschließlich weisungsgebunden in Ihrem Auftrag verarbeiten, werden wir insoweit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO für Sie tätig.

Für diesen Fall stellen wir Ihnen auf Anfrage einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO bereit, der insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien betroffener Personen, technische und organisatorische Maßnahmen sowie die Regelungen zu Unterauftragsverarbeitern enthält. Anfragen richten Sie bitte an privacy@datargo.com.

19. Pflichten als Online-Vermittlungsdienst (DSA, P2B)

Als Anbieter eines Online-Vermittlungsdienstes und Marktplatzes beachten wir die einschlägigen Vorgaben des Digital Services Act (Verordnung (EU) 2022/2065) und der P2B-Verordnung (Verordnung (EU) 2019/1150). Wir unterhalten eine Kontaktstelle für Nutzer und Behörden (erreichbar über hello@parkett.io), gestalten unsere Allgemeinen Geschäftsbedingungen transparent und stellen Verfahren zur Meldung rechtswidriger Inhalte (Notice-and-Action) sowie ein internes Beschwerdemanagement bereit.

Entfernen oder beschränken wir ein Listing oder ein Konto, begründen wir dies gegenüber dem betroffenen Nutzer, soweit gesetzlich vorgesehen. Änderungen unserer Bedingungen gegenüber gewerblichen Nutzern teilen wir mit angemessener Frist (mindestens 15 Tage) mit und benennen die wesentlichen Parameter, die das Ranking bestimmen.

Soweit im Rahmen dieser Pflichten personenbezogene Daten verarbeitet werden (etwa bei Meldungen, Beschwerden und Begründungen), erfolgt dies zur Erfüllung unserer rechtlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) sowie zur Wahrung unserer berechtigten Interessen an einem rechtskonformen Plattformbetrieb (Art. 6 Abs. 1 lit. f DSGVO).

20. Treuhänderische Zahlungsabwicklung und Vollzug des Domain-Kaufs

Für die Abwicklung eines Verkaufs bieten wir eine treuhänderische Zahlungsabwicklung (Escrow) über einen zugelassenen Zahlungsdienstleister sowie die Unterstützung beim Vollzug des Eigentums- bzw. Inhaberschaftsübergangs an. Nutzen Sie diese Dienste, verarbeiten wir die hierfür erforderlichen Daten, insbesondere Identifikations- und Kontaktdaten der Beteiligten, die betroffene Domain, Kaufpreis und Transaktionsstatus sowie die zur Veranlassung der Zahlungs- und Auszahlungsabwicklung erforderlichen Angaben. Den Kaufpreis vereinnahmt, verwahrt und zahlt ausschließlich der beauftragte Zahlungsdienstleister auf einem nach aufsichtsrechtlichen Safeguarding-Vorgaben geführten Konto aus; die Verwahrung ist transaktionsbezogen und zweckgebunden und stellt kein aufladbares Guthaben und kein E-Geld dar. Parkett verwahrt keine Kundengelder auf eigenen Konten und veranlasst im Rahmen der Abwicklung die Auszahlung; eine etwaige Provision zieht der Zahlungsdienstleister vor der Auszahlung an den Verkäufer ab. Der Kaufvertrag über die Domain kommt weiterhin zwischen Verkäufer und Käufer zustande; Parkett tritt als Vermittler (offene Stellvertretung) und als Anbieter der nicht-zahlungsdienstlichen Abwicklungs- und Vermittlungsleistungen auf und erbringt keine erlaubnispflichtigen Zahlungsdienste in eigenem Namen.

Die eigentliche Zahlungs- und Treuhandabwicklung erfolgt über den von uns beauftragten, für Zahlungsdienste zugelassenen Zahlungsdienstleister Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (reguliert durch die Central Bank of Ireland; nachfolgend „Stripe“), der die zur Zahlungsabwicklung erforderlichen Daten verarbeitet. Hinsichtlich der Zahlungsabwicklung ist Stripe datenschutzrechtlich eigener Verantwortlicher (nicht Auftragsverarbeiter in unserem Auftrag); Stripe verarbeitet Ihre Daten insbesondere auch zur Erfüllung eigener gesetzlicher Pflichten, etwa der geldwäscherechtlichen Identifizierung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. dem Geldwäschegesetz). Stripe kann hierbei personenbezogene Daten an die Stripe, Inc., 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA, übermitteln; Garantien für diese Drittlandübermittlung sind der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Stripe, Inc. ist zertifiziert) sowie ergänzend EU-Standardvertragsklauseln nach Art. 46 DSGVO. Eine Kopie dieser geeigneten Garantien, insbesondere der EU-Standardvertragsklauseln, ist bei uns erhältlich und kann unter den oben genannten Kontaktdaten angefordert werden; ergänzend halten wir Sie über die Möglichkeit, eine Kopie zu erhalten oder zu erfahren, wo sie verfügbar ist, auf dem Laufenden (Art. 13 Abs. 1 lit. f DSGVO). Für die Verarbeitung durch Stripe gelten dessen eigene Datenschutzhinweise, abrufbar unter https://stripe.com/de/privacy. Rechtsgrundlagen unserer eigenen Verarbeitung sind die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie die Erfüllung rechtlicher Verpflichtungen, insbesondere steuer- und handelsrechtlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).

Transaktions-, Abrechnungs- und Rechnungsdaten eines erfolgreichen Verkaufs werden für die gesetzlichen Aufbewahrungsfristen gespeichert (vgl. Abschnitt 13); im Übrigen verarbeiten wir Zahlungs- und Treuhanddaten nur, soweit Sie die Abwicklungsdienste in Anspruch nehmen.

21. Anwendbares Recht und Änderungen dieser Erklärung

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts; zwingende verbraucherschützende Vorschriften des Aufenthaltsstaats etwaiger Verbraucher bleiben unberührt. Gerichtsstand und Sitz des Verantwortlichen ist Frankfurt am Main, Deutschland.

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Verarbeitung ändert. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung. Maßgeblich ist die deutsche Fassung dieser Erklärung.