Datenschutzerklärung

Stand: [TT.MM.JJJJ]

1. Verantwortlicher

[Unternehmensname / Rechtsform]
[Straße Hausnr.]
[PLZ Ort]
[Land]

E‑Mail:
Telefonnummer:

2. Überblick: Welche Daten wir verarbeiten

Wir betreiben ein webbasiertes Backtest‑Tool. Je nach Nutzung verarbeiten wir insbesondere:

• Account‑Daten: Benutzername, E‑Mail‑Adresse, Passwort‑Hash, Login‑Zeitpunkte, 2FA‑Daten (TOTP‑Secret/Recovery‑Codes oder E‑Mail‑OTP).
• Backtest‑/Strategie‑Daten: Strategie‑Konfigurationen (JSON), Backtest‑Parameter, Runs und Ergebnisse/Trades (teilweise als JSON).
• Social‑/Community‑Daten (falls genutzt): veröffentlichte Strategien inkl. Snapshot, Kommentare/Antworten, Reactions (Likes/Dislikes), Meldungen/Reports, Moderationsmaßnahmen (z.B. Verwarnungen, Sperrstatus‑Metadaten).
• Abo‑/Quota‑Daten (falls genutzt): Abo‑Typ, Laufzeiten, Quota‑Verbrauch (z.B. Runs/AI‑Messages pro Zeitraum).
• AI‑Chat‑Daten (falls genutzt): Chat‑Inhalte, Chat‑Metadaten (Titel), sowie Memory/Summaries zur Verbesserung der Chat‑Kontinuität.
• Technische Daten: Session‑ID (Cookie), Consent‑Einstellungen, Protokoll-/Logdaten (z.B. IP‑Adresse in Server‑Logs), Geräte-/Browserinformationen (User‑Agent).

3. Zwecke und Rechtsgrundlagen

3.1 Server‑Log‑Dateien (technische Zugriffsdaten)

Beim Aufruf unserer Website werden aus technischen Gründen (u.a. zur Gewährleistung von Stabilität und Sicherheit) Daten verarbeitet, die dein Browser automatisch übermittelt. Diese Daten können in Server‑Log‑Dateien (z.B. beim Hosting‑Provider und/oder Webserver) anfallen.

• IP‑Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene Seite/URL
• Referrer‑URL
• Browsertyp/-version, Betriebssystem, User‑Agent

Zweck: Betrieb, Fehleranalyse, Missbrauchs-/Angriffserkennung, IT‑Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: [z.B. X Tage/Wochen] bzw. nach den Vorgaben unseres Hosting‑Providers.

4. Empfänger / Dienstleister

Wir setzen Dienstleister ein, die Daten in unserem Auftrag oder als Empfänger erhalten können:

• E‑Mail‑Versand (SMTP): Für System‑E‑Mails (Verifizierung, Passwort‑Reset, 2FA) nutzen wir einen externen SMTP‑Dienst (z.B. IONOS). Dabei werden E‑Mail‑Adresse und E‑Mail‑Inhalte verarbeitet.
• Webanalyse (Google Analytics 4): Sofern wir Google Analytics 4 einsetzen (nur mit entsprechender Einwilligung über unseren Consent‑Manager), werden Nutzungsdaten (z.B. aufgerufene Seiten, Interaktionen, grobe Geräte-/Browserinformationen, Online‑Kennungen wie Cookie‑IDs) verarbeitet, um die Nutzung unserer Website zu messen und zu verbessern. Anbieter ist Google (z.B. Google Ireland Limited / Google LLC). Eine Verarbeitung/Übermittlung in Drittländer (z.B. USA) ist möglich.
• AI‑Chat (OpenAI): Bei Nutzung des AI‑Chats werden Eingaben und Kontextdaten an OpenAI übertragen und dort verarbeitet, um Antworten zu generieren. Hinweis: Eine Verarbeitung in Drittländern (z.B. USA) ist möglich. Wenn keine geeigneten Garantien (z.B. EU‑Standardvertragsklauseln) bestehen, kann ein erhöhtes Datenschutz‑Risiko vorliegen.

5. Drittlandübermittlung (z.B. USA)

Wenn wir Dienste einsetzen, deren Verarbeitung auch außerhalb der EU/des EWR erfolgt (z.B. AI‑Chat), können personenbezogene Daten in Drittländer übermittelt werden. Dabei können Risiken bestehen, weil dort ggf. kein mit der EU vergleichbares Datenschutzniveau gewährleistet ist.

Soweit erforderlich, können für solche Übermittlungen geeignete Garantien eingesetzt werden (z.B. EU‑Standardvertragsklauseln) oder es wird eine Einwilligung eingeholt. Details stellen wir auf Anfrage bereit.

6. Speicherdauer / Löschung

• Sessions: Session‑Daten werden typischerweise bis zu 7 Tage gespeichert (serverseitige Session‑Dateien) und dann verworfen.
• Account‑Daten: Solange der Account besteht bzw. bis zur Löschung (z.B. auf Anfrage), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Strategien & Runs (Backtests): Wir speichern Strategien, Backtest‑Runs und zugehörige Ergebnisse grundsätzlich solange der Nutzeraccount besteht. Wenn ein Account gelöscht wird, werden diese Daten in der Regel mit dem Account gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• AI‑Chat‑Inhalte (Chats, Nachrichten, Memory): Wenn du den AI‑Chat nutzt, speichern wir deine Chat‑Konversationen und zugehörige technische Daten (z.B. Chat‑Titel, Nachrichten, ggf. Memory/Summaries) grundsätzlich solange der Nutzeraccount besteht, damit du die Chats später wieder nutzen kannst. Du kannst Chats jederzeit manuell löschen; dabei werden die zugehörigen Nachrichten und Memory‑Daten ebenfalls entfernt. Wenn ein Account gelöscht wird, werden diese Daten in der Regel mit dem Account gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Social‑Inhalte (optional): Öffentliche Inhalte bleiben grundsätzlich sichtbar, bis sie gelöscht oder moderiert werden.
• Moderation/Reports/Audit: Zur Missbrauchsprävention, Sicherheit und zur Nachvollziehbarkeit von Moderationsmaßnahmen speichern wir Moderationsdaten nur so lange wie erforderlich. In unserem System gelten (Stand heute) u.a. folgende Zeiträume:
  • Reports (offen / in Prüfung): 6 Monate bei Inaktivität (Auto‑Löschung anhand updated_at).
  • Reports (abgeschlossen): 8 Monate ab updated_at.
  • Snapshot‑Archiv (Beweis‑Momentaufnahme): 12 Monate ab updated_at des Reports.
  • Audit‑Trail: 12 Monate ab created_at.
  • Social‑Sperr‑Metadaten: bis Ende der Sperre + 12 Monate (z.B. suspended_*, inkl. Bezug zum auslösenden Report).
• Beschwerden/Einsprüche gegen Moderationsmaßnahmen: Wenn du eine Beschwerde gegen eine Social‑Sperre einreichst, speichern wir diese zur Bearbeitung und Dokumentation. Erledigte Beschwerden werden in der Regel nach 12 Monaten ab Entscheidung (resolved_at) gelöscht.
• Verwarnungen / Moderations‑Antworten (In‑App‑Popups): Verwarnungen und Moderations‑Antworten (Text, Zeitpunkte, ggf. Bezug zu einem Report) werden zur Dokumentation und Missbrauchsprävention für 8 Monate gespeichert (ab Erstellung/Bestätigung).
• Progress‑Dateien: Technische Fortschrittsdateien zu Runs werden nur temporär benötigt und werden regelmäßig bereinigt (typischerweise innerhalb von Tagen).

7. Cookies, Consent & lokale Speicherung

Wir setzen Cookies ein, die für den Betrieb erforderlich sind, sowie ein Consent‑Tool zur Verwaltung von Einwilligungen. Tracking-/Marketing‑Dienste sind nur aktiv, wenn sie konfiguriert sind und – falls nötig – eine Einwilligung vorliegt.

Rechtsgrundlagen (Cookies/Endgeräte‑Speicher):
- Erforderliche Cookies/technische Speicherung: § 25 Abs. 2 Nr. 2 TDDDG (soweit anwendbar) und Art. 6 Abs. 1 lit. f DSGVO.
- Nicht erforderliche Cookies/Technologien: § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7.1 Cookies

7.2 LocalStorage (funktionale Einstellungen)

Zusätzlich speichern wir einige Komfort‑Einstellungen lokal im Browser (LocalStorage), z.B.:

• Sprache: bbt_lang, bbt_browser_lang, bbt_lang_manual
• Zeitzone: bbt.userTimezone
• UI‑Zustand/Design: DASH_TAB_STORAGE_KEY, DASH_THEME_STORAGE_KEY, bbtStrategyCardScale, BBT_IV_THEME_KEY
• Promo (optional): bbtPromoCode
• AI‑Chat UI‑Modus: bbt_ai_chat_assistant_mode
• AI‑Chat Datenschutzhinweis (Bestätigung): bbt_ai_chat_disclosure_ack_v1

Du kannst diese Daten jederzeit über die Einstellungen deines Browsers löschen.

7.3 Consent‑Manager (Cookie‑Einstellungen / Widerruf)

Wir verwenden einen Consent‑Manager (tarteaucitron.js), um Einwilligungen für nicht erforderliche Dienste zu verwalten. Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Cookie‑Einstellungen öffnest (z.B. über das Cookie‑Icon in der Anwendung oder über den Link/Hash #tarteaucitron) und deine Auswahl anpasst.

8. Betroffenenrechte

Du hast – soweit die gesetzlichen Voraussetzungen vorliegen – insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Außerdem hast du das Recht, dich bei einer Datenschutz‑Aufsichtsbehörde zu beschweren. Zuständig ist in der Regel die Aufsichtsbehörde deines Aufenthaltsorts oder unseres Unternehmenssitzes.

9. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für die Nutzung unseres Dienstes vertraglich erforderlich (Art. 13 Abs. 2 lit. e DSGVO):

• Registrierung/Login: Benutzername, E‑Mail‑Adresse und Passwort sind erforderlich, um einen Account anzulegen und sich anzumelden. Ohne diese Angaben ist eine Registrierung nicht möglich.
• Backtests: Strategie‑Parameter und ‑Konfigurationen sind erforderlich, damit wir Backtests durchführen können. Ohne diese Daten kann der Dienst seine Kernfunktion nicht erbringen.
• AI‑Chat (optional): Die Nutzung des AI‑Chats setzt voraus, dass du Eingaben übermittelst. Ohne Eingaben kann keine Antwort generiert werden. Die Nutzung des AI‑Chats ist freiwillig.
• Social/Community (optional): Wenn du Inhalte veröffentlichst, müssen diese zusammen mit deinem Benutzernamen gespeichert werden. Die Nutzung der Community‑Funktionen ist freiwillig.

Eine gesetzliche Pflicht zur Bereitstellung besteht nicht. Wenn du die erforderlichen Daten nicht bereitstellst, können wir die jeweiligen Funktionen jedoch nicht anbieten.

10. Automatisierte Entscheidungsfindung / Profiling

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 DSGVO, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.

11. Hinweise für Nutzer in den USA („US Residents“)

Wenn du dich in den USA befindest oder dort ansässig bist, gelten ergänzend zu den obigen Informationen die folgenden Hinweise. TRAIL ist nur für Personen ab 18 Jahren bestimmt.

• Keine „Sales“ personenbezogener Daten: Wir verkaufen keine personenbezogenen Daten im üblichen Sinn.
• Kein Ad‑Retargeting (kein „Sharing“ für Cross‑Context Behavioral Advertising): Wir nutzen nach aktuellem Stand keine Werbenetzwerke/kein Retargeting und geben Daten nicht für Cross‑Context Behavioral Advertising weiter. (Wenn wir dies künftig einsetzen, aktualisieren wir diese Hinweise.)
• Analytics (GA4): Sofern du über den Consent‑Manager zustimmst, nutzen wir Google Analytics 4 zur Reichweitenmessung und Produktverbesserung. Dabei können Online‑Kennungen (z.B. Cookies; typischerweise _ga, _ga_*) und Nutzungsdaten verarbeitet werden. Du kannst deine Einwilligung jederzeit über die Cookie‑Einstellungen widerrufen (z.B. über #tarteaucitron).
• Datenschutzanfragen: Du kannst uns unter den in Abschnitt „Verantwortlicher“ genannten Kontaktdaten kontaktieren. Wir bearbeiten Anfragen (z.B. Auskunft, Löschung, Berichtigung) nach Maßgabe der anwendbaren Gesetze und können zur Verifizierung zusätzliche Angaben anfordern.

Hinweis zu US‑Bundesstaaten: Je nach Bundesstaat (z.B. CA/CO/VA/CT/UT) können zusätzliche Rechte und Informationspflichten gelten. Wir werden diese Datenschutzhinweise bei Bedarf entsprechend erweitern.

12. Sicherheit

Wir treffen technische und organisatorische Maßnahmen zum Schutz deiner Daten, u.a. Passwort‑Hashing, optionale Zwei‑Faktor‑Authentifizierung, sowie gehärtete Session‑Einstellungen (HttpOnly, SameSite‑Policy, Session‑Strict‑Mode). Soweit verfügbar, erfolgt die Datenübertragung über eine TLS‑verschlüsselte Verbindung (https).

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienstleister oder Datenverarbeitungen ändern. Die jeweils aktuelle Version ist unter dieser Seite verfügbar.

---

Privacy Policy

Version date: [DD.MM.YYYY]

1. Controller

[Company name / Legal form]
[Street, No.]
[ZIP City]
[Country]

Email:
Phone number:

2. Overview: What data we process

We operate a web-based backtesting tool. Depending on how you use it, we process in particular:

• Account data: username, email address, password hash, login timestamps, 2FA data (TOTP secret/recovery codes or email OTP).
• Backtest / strategy data: strategy configurations (JSON), backtest parameters, runs and results/trades (partly as JSON).
• Social / community data (if used): published strategies incl. snapshot, comments/replies, reactions (likes/dislikes), reports, moderation actions (e.g. warnings, suspension metadata).
• Subscription / quota data (if used): subscription type, terms, quota usage (e.g. runs/AI messages per period).
• AI chat data (if used): chat contents, chat metadata (title), and memory/summaries to improve chat continuity.
• Technical data: session ID (cookie), consent settings, protocol/log data (e.g. IP address in server logs), device/browser information (user agent).

3. Purposes and legal bases

3.1 Server log files (technical access data)

When you access our website, data is processed for technical reasons (including to ensure stability and security) that your browser transmits automatically. This data may be stored in server log files (e.g. by the hosting provider and/or web server).

• IP address
• Date and time of the request
• Accessed page/URL
• Referrer URL
• Browser type/version, operating system, user agent

Purpose: operation, error analysis, detection of abuse/attacks, IT security.
Legal basis: Art. 6(1)(f) GDPR (legitimate interests).
Retention: [e.g. X days/weeks] or per the requirements of our hosting provider.

4. Recipients / service providers

We use service providers who may process data on our behalf or receive data as recipients:

• Email delivery (SMTP): For system emails (verification, password reset, 2FA) we use an external SMTP service (e.g. IONOS). Email address and email contents are processed for this purpose.
• Web analytics (Google Analytics 4): If we use Google Analytics 4 (only with appropriate consent via our consent manager), usage data (e.g. pages viewed, interactions, coarse device/browser information, online identifiers such as cookie IDs) is processed to measure and improve usage. Provider: Google (e.g. Google Ireland Limited / Google LLC). Transfers to third countries (e.g. the USA) may occur.
• AI chat (OpenAI): When using the AI chat, inputs and context data are transmitted to OpenAI and processed there to generate responses. Note: Processing in third countries (e.g. the USA) is possible. If no suitable safeguards (e.g. EU Standard Contractual Clauses) are in place, there may be an increased data protection risk.

5. Third-country transfers (e.g. USA)

If we use services whose processing also takes place outside the EU/EEA (e.g. AI chat), personal data may be transferred to third countries. This can involve risks because an EU-equivalent level of data protection may not be guaranteed there.

Where required, suitable safeguards can be used for such transfers (e.g. EU Standard Contractual Clauses) or consent is obtained. Details are available upon request.

6. Retention period / deletion

• Sessions: Session data is typically stored for up to 7 days (server-side session files) and then discarded.
• Account data: As long as the account exists or until deletion (e.g. upon request), unless statutory retention obligations apply.
• Strategies & runs (backtests): We generally store strategies, backtest runs and related results as long as the user account exists. If an account is deleted, these data are usually deleted with the account, unless statutory retention obligations apply.
• AI chat contents (chats, messages, memory): If you use the AI chat, we store your conversations and related technical data (e.g. chat title, messages, possibly memory/summaries) generally as long as the user account exists so that you can use them later. You can manually delete chats at any time; related messages and memory data will also be removed. If an account is deleted, these data are usually deleted with the account, unless statutory retention obligations apply.
• Social content (optional): Public content generally remains visible until deleted or moderated.
• Moderation / reports / audit: For abuse prevention, security, and traceability of moderation actions, we store moderation data only as long as necessary. In our system (as of today), the following periods apply, among others:
  • Reports (open / under review): 6 months of inactivity (auto-deletion based on updated_at).
  • Reports (closed): 8 months from updated_at.
  • Snapshot archive (evidence snapshot): 12 months from the report’s updated_at.
  • Audit trail: 12 months from created_at.
  • Social suspension metadata: until the end of the suspension + 12 months (e.g. suspended_*, incl. reference to the triggering report).
• Complaints/appeals against moderation actions: If you submit a complaint against a social suspension, we store it for processing and documentation. Resolved complaints are usually deleted after 12 months from the decision (resolved_at).
• Warnings / moderation replies (in-app popups): Warnings and moderation replies (text, timestamps, possibly linked to a report) are stored for documentation and abuse prevention for 8 months (from creation/confirmation).
• Progress files: Technical progress files for runs are only needed temporarily and are regularly cleaned up (typically within days).

7. Cookies, consent & local storage

We use cookies that are necessary for operation, as well as a consent tool to manage consents. Tracking/marketing services are only active if configured and—where required—consent has been given.

Legal bases (cookies/device storage):
- Necessary cookies/technical storage: § 25(2) No. 2 TDDDG (where applicable) and Art. 6(1)(f) GDPR.
- Non-essential cookies/technologies: § 25(1) TDDDG and Art. 6(1)(a) GDPR (consent).

7.1 Cookies

7.2 LocalStorage (functional settings)

In addition, we store certain convenience settings locally in your browser (LocalStorage), e.g.:

• Language: bbt_lang, bbt_browser_lang, bbt_lang_manual
• Time zone: bbt.userTimezone
• UI state/theme: DASH_TAB_STORAGE_KEY, DASH_THEME_STORAGE_KEY, bbtStrategyCardScale, BBT_IV_THEME_KEY
• Promo (optional): bbtPromoCode
• AI chat UI mode: bbt_ai_chat_assistant_mode
• AI chat privacy notice (acknowledgement): bbt_ai_chat_disclosure_ack_v1

You can delete this data at any time via your browser settings.

7.3 Consent manager (cookie settings / withdrawal)

We use a consent manager (tarteaucitron.js) to manage consents for non-essential services. You can withdraw your consent at any time with effect for the future by opening the cookie settings (e.g. via the cookie icon in the app or the link/hash #tarteaucitron) and adjusting your selection.

8. Data subject rights

Subject to the legal requirements, you have in particular the following rights:

• Right of access (Art. 15 GDPR)
• Right to rectification (Art. 16 GDPR)
• Right to erasure (Art. 17 GDPR)
• Right to restriction of processing (Art. 18 GDPR)
• Right to data portability (Art. 20 GDPR)
• Right to object (Art. 21 GDPR)
• Right to withdraw consent (Art. 7(3) GDPR)

You also have the right to lodge a complaint with a data protection supervisory authority. The competent authority is generally the authority of your place of residence or our company’s registered office.

9. Obligation to provide personal data

Providing certain personal data is contractually required to use our service (Art. 13(2)(e) GDPR):

• Registration/login: Username, email address and password are required to create an account and log in. Without this, registration is not possible.
• Backtests: Strategy parameters and configurations are required for us to run backtests. Without this, the service cannot perform its core function.
• AI chat (optional): Using the AI chat requires you to submit inputs. Without input, no response can be generated. AI chat use is voluntary.
• Social/community (optional): If you publish content, it must be stored together with your username. Community features are voluntary.

There is no legal obligation to provide the data. However, if you do not provide the required data, we cannot offer the respective features.

10. Automated decision-making / profiling

We do not carry out solely automated decision-making, including profiling, within the meaning of Art. 22(1) GDPR that produces legal effects for you or similarly significantly affects you.

11. Notes for users in the USA (“US residents”)

If you are located in the USA or reside there, the following notes apply in addition to the information above. TRAIL is intended for persons aged 18 or older only.

• No “sale” of personal data: We do not sell personal data in the usual sense.
• No ad retargeting (no “sharing” for cross-context behavioral advertising): As of now, we do not use ad networks/retargeting and do not disclose data for cross-context behavioral advertising. (If we introduce this in the future, we will update this notice.)
• Analytics (GA4): If you consent via the consent manager, we use Google Analytics 4 to measure reach and improve the product. Online identifiers (e.g. cookies; typically _ga, _ga_*) and usage data may be processed. You can withdraw your consent at any time via the cookie settings (e.g. using #tarteaucitron).
• Privacy requests: You can contact us using the details under “Controller”. We handle requests (e.g. access, deletion, correction) under applicable laws and may request additional details for verification.

Note on US states: Depending on the state (e.g. CA/CO/VA/CT/UT), additional rights and disclosure obligations may apply. We will extend this privacy policy as needed.

12. Security

We implement technical and organizational measures to protect your data, including password hashing, optional two-factor authentication, and hardened session settings (HttpOnly, SameSite policy, session strict mode). Where available, data is transmitted via a TLS-encrypted connection (https).

13. Changes to this privacy policy

We may update this privacy policy if the legal situation, service providers or processing activities change. The current version is available on this page.

---