Datenschutz

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten nach Art. 13 und 14 DSGVO sowie § 19 Digitale-Dienste-Gesetz (DDG). Stand: April 2026.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:

[Firma / Rechtsform]
[Straße und Hausnummer]
[PLZ Ort]
Deutschland
E-Mail: datenschutz@booqmarkt.com

Kontakt des/der Datenschutzbeauftragten: dsb@booqmarkt.com

2. Verarbeitungszwecke

Wir verarbeiten personenbezogene Daten, um den Betrieb des Marktplatzes zu ermöglichen. Konkret:

Bereitstellung, Wartung und Sicherheit der Plattform
Anlage und Verwaltung von Nutzerkonten
Veröffentlichung von Inseraten und Vermittlung zwischen Nutzer:innen
Abwicklung von Zahlungen über unser Treuhand-System
Identitäts- und Altersverifizierung (Trust-Level Silber und Gold)
Moderation von Inhalten (inkl. KI-gestützter Bildprüfung)
Versandlabel-Vermittlung an Paketdienste
Kommunikation über Nachrichten-System und E-Mail
Erfüllung gesetzlicher Pflichten (insb. DSA, DAC7, GwG, HGB, AO)
Durchsetzung der AGB und Plattform-Regeln

3. Erhobene Daten

Registrierung & Konto

Name, E-Mail-Adresse, Passwort (gehasht)
Geburtsdatum (Altersverifizierung, Schutz Minderjähriger)
Profilbild (freiwillig)
Ort / Postleitzahl für lokale Suche

Silber-Verifizierung (Bankkonto-Verknüpfung)

IBAN, Kontoinhaber:in über Stripe Financial Connections
Bestätigung der Kontenübereinstimmung (kein Kontostand, keine Transaktionen)

Gold-Verifizierung (Ausweis & Selfie)

Bilder von amtlichem Lichtbildausweis (Personalausweis, Reisepass)
Selfie mit Lebenderkennung (Liveness-Check)
Biometrischer Abgleich Ausweisbild ↔ Selfie (nur als Hash gespeichert, nicht als Biometrie-Template im Sinne Art. 9 DSGVO)
Verifizierungsdatum und Anbieter-Prüfbestätigung

Inserat & Transaktion

Inseratstext, Fotos, Kategorie, Preis, Ort
Chat-Nachrichten zwischen Nutzer:innen
Zahlungs-Transaktions-IDs (nicht die vollständige Kartennummer)
Versandadresse, Tracking-ID

Technisch

IP-Adresse (gekürzt gespeichert), User-Agent, Datum/Uhrzeit des Zugriffs
Geräteinformationen zur Betrugserkennung
Cookies (siehe Abschnitt 11)

4. Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Nutzungsvertrag, Treuhand)
Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (DSA, GwG, Steuerrecht, DAC7)
Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Betrugsprävention, Plattform-Sicherheit, Direktwerbung im begrenzten Umfang)
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. nicht-essenzielle Cookies, Newsletter)
§ 25 TDDDG — Einwilligung für Zugriff auf Informationen im Endgerät (Cookies)

5. Empfänger & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter nach Art. 28 DSGVO ein:

Hosting: IONOS SE (Deutschland)
Zahlungsabwicklung: Stripe Payments Europe Ltd. (Irland) — inkl. Financial Connections für Silber-Verifizierung
Identitätsverifizierung: [AutoIdent-Anbieter, z. B. IDnow GmbH oder WebID Solutions GmbH] (Deutschland)
Versand: DHL Paket GmbH, Hermes Germany, DPD Deutschland, Swiss Post, Österreichische Post
E-Mail-Versand: [Transaktions-Mail-Provider]
KI-Bildcheck: Verarbeitung auf eigenen Servern in DE; zusätzlich Abgleich mit externen Katalog-Datenbanken
Analytics: [Matomo on-premise oder ähnlicher DSGVO-freundlicher Dienst]

6. Datenübermittlung in Drittländer

Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet grundsätzlich nicht statt. Sollten einzelne Auftragsverarbeiter Subunternehmer in Drittländern einsetzen, geschieht dies ausschließlich auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und — soweit erforderlich — unter zusätzlichen technisch-organisatorischen Schutzmaßnahmen (Transfer Impact Assessment).

7. Speicherdauer

Konto-Stammdaten: für die Dauer des bestehenden Nutzungsverhältnisses; nach Löschung des Kontos weitere 30 Tage zur Wiederherstellung
Inserate (privat): bis zu 12 Monate Laufzeit, danach archiviert im Account bis zur Re-Aktivierung oder Löschung
Transaktionsdaten: 10 Jahre aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB)
Verifizierungsdaten (Gold): für Dauer der Kontonutzung + 5 Jahre (GwG-Vorgaben)
Nachrichten-Chat: 3 Jahre nach letzter Nachricht
Log-Daten: 7 Tage für Sicherheitsanalyse, danach anonymisiert
Dokumentationspaket bei Konfliktfällen: 5 Jahre (zur Beweisverfügbarkeit)

8. Identitätsverifizierung (Trust-Level)

Für die Trust-Level Silber, Gold und Platin verarbeiten wir zusätzliche Daten, die teilweise besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO darstellen können:

Silber: Bankverbindung über Stripe Financial Connections — Bestätigung ist eine Ein-Wege-Prüfung, wir erhalten keine Kontoumsätze
Gold: Ausweiskopie (Pass, Personalausweis) und Live-Selfie. Diese Daten werden ausschließlich beim Verifizierungs-Partner verarbeitet. Wir speichern lediglich: Hash der Prüfung, Verifizierungszeitpunkt, Gültigkeitsdatum des Ausweises (nicht die Nummer), bestätigter Name und bestätigtes Geburtsdatum
Platin: Gewerbeanmeldung, Handelsregisterauszug, USt-ID

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. Geldwäschegesetz (GwG) für hochpreisige Transaktionen; Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention) für alle anderen Fälle.

9. KI-Bildcheck

Jedes hochgeladene Inserats-Bild wird automatisiert geprüft. Die KI-Analyse umfasst:

Prüfung der EXIF-Metadaten auf Original-Aufnahme
Reverse Image Search gegen Hersteller-Kataloge und Stock-Bilddatenbanken
Erkennung von Wasserzeichen und Screenshot-Artefakten
Vergleich mehrerer Bilder desselben Inserats auf Konsistenz (Licht, Hintergrund)
Erkennung von Waffen, verbotenen Symbolen, Drogen (Kategorien-Moderation)

Die Entscheidung „Freigegeben / Abgelehnt" wird automatisiert getroffen. Bei einer Ablehnung haben Sie das Recht auf menschliche Nachprüfung gemäß Art. 22 Abs. 3 DSGVO — der Widerspruch erfolgt über den Report-Button oder per E-Mail an support@booqmarkt.com.

10. Treuhand & Zahlungsdaten

Zahlungen zwischen Nutzer:innen werden über unseren Zahlungsdienstleister Stripe Payments Europe Ltd. abgewickelt. Das Geld wird bis zur Bestätigung der Lieferung auf einem segregierten Treuhand-Konto verwahrt. Wir selbst erhalten keine vollständigen Kartendaten — lediglich Transaktions-Referenzen.

Im Rahmen der DAC7-Richtlinie (Plattformen-Steuertransparenzgesetz, PStTG) sind wir gesetzlich verpflichtet, Umsätze von Anbieter:innen ab bestimmten Schwellen (30 Verkäufe p. a. oder 2.000 € Jahresumsatz pro Nutzer:in) an das Bundeszentralamt für Steuern zu melden. Betroffene Nutzer:innen werden vor der ersten Meldung gesondert informiert.

11. Cookies & Tracking

Wir setzen nur technisch notwendige Cookies ohne Einwilligung ein (Session, Warenkorb, Treuhand-Token, CSRF-Schutz). Alle anderen Cookies — insbesondere für Reichweitenmessung — werden nur nach Ihrer ausdrücklichen Einwilligung im Cookie-Banner gesetzt (§ 25 Abs. 1 TDDDG).

Einstellungen können Sie jederzeit im Footer unter „Cookie-Einstellungen" ändern.

12. Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

Auskunft (Art. 15)Welche Daten über Sie gespeichert sind

Berichtigung (Art. 16)Korrektur falscher Daten

Löschung (Art. 17)Recht auf Vergessenwerden

Einschränkung (Art. 18)Sperrung statt Löschung

Übertragbarkeit (Art. 20)Export Ihrer Daten

Widerspruch (Art. 21)Gegen bestimmte Verarbeitungen

Widerruf (Art. 7 Abs. 3)Rücknahme von Einwilligungen

Keine automatisierte Entscheidung (Art. 22)Menschliche Nachprüfung

Anfragen richten Sie bitte an datenschutz@booqmarkt.com. Wir antworten binnen eines Monats (Art. 12 Abs. 3 DSGVO).

13. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig ist in der Regel die Aufsichtsbehörde Ihres Wohnorts. Für unseren Sitz ist zuständig:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
datenschutz-berlin.de

14. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, insbesondere:

TLS-Verschlüsselung (HTTPS) auf allen Seiten
Passwort-Hashing (bcrypt mit Cost-Faktor ≥ 12)
Verschlüsselung sensibler Daten in der Datenbank (AES-256)
Zwei-Faktor-Authentifizierung (TOTP) für Admins; optional für Nutzer:innen
Regelmäßige Backups an geografisch getrenntem Standort in DE
Least-Privilege-Prinzip für Mitarbeiter-Zugänge
Penetrationstests mindestens einmal jährlich

Datenpanne? Bei Verdacht auf einen Datenschutzvorfall kontaktieren Sie uns unter security@booqmarkt.com. Wir bestätigen den Eingang binnen 24 Stunden und melden bei Bedarf innerhalb von 72 Stunden an die Aufsichtsbehörde (Art. 33 DSGVO).

15. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um rechtlichen oder tatsächlichen Änderungen Rechnung zu tragen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail und über einen Hinweis in der Plattform.

Versionen

Änderungshistorie

20.04.2026 Update v 1.3

DAC7 / GwG / KI-Bildcheck-Transparenz

Abschnitt 9 (KI-Bildcheck mit Art. 22 DSGVO Widerspruchsrecht), Abschnitt 8 (Verifizierung mit GwG-Bezug) und Abschnitt 10 (DAC7-Meldepflicht ab 30 Verkäufen oder 2.000 €) ergänzt.
15.04.2026 Update v 1.2

Auftragsverarbeiter & Speicherdauer

Abschnitt 5 um Stripe Financial Connections, Abschnitt 7 um differenzierte Speicherdauern für Verifizierungs-, Transaktions- und Chat-Daten erweitert.
10.04.2026 Update v 1.1

TDDDG-Cookie-Hinweis & TOMs nach Art. 32

Abschnitt 11 (Cookies nach § 25 TDDDG) und Abschnitt 14 (technisch-organisatorische Maßnahmen, Datenpanne-Meldung Art. 33 DSGVO) detailliert.
01.04.2026 Neu v 1.0

Erstveröffentlichung

Erste Fassung der Datenschutzerklärung nach Art. 13/14 DSGVO und § 19 DDG.

Stand: 20. April 2026 · Gilt für DE, AT, CH · Wie Änderungen mitgeteilt werden →

Hinweis: Dieses Dokument ist eine sorgfältig erstellte Vorlage, die vor Veröffentlichung zwingend durch eine:n auf Datenschutzrecht spezialisierte:n Rechtsanwält:in geprüft werden muss. Länderspezifische Anpassungen für AT (DSG) und CH (revDSG) sind separat vorzunehmen.