Datenschutzrichtlinie — Toveria
Version 2.0 — Juni 2026
Konform mit der DSGVO (EU) 2016/679, dem Datenschutzgesetz und
den geltenden Vorschriften für internationale Datenübertragungen
1. Identität des Verantwortlichen
Toveria — Einzelunternehmen (EI) betrieben von Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, Frankreich
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) ist der Verantwortliche für die Verarbeitung personenbezogener Daten, die über die Plattform Toveria (toveria.com) und ihre mobile Anwendung erfasst werden, im Rahmen eines BtoC-, CtoC-, CtoB- und BtoB-Marktplatzes, der von Europa aus weltweit tätig ist.
2. Datenschutzbeauftragter (DPO)
Der Datenschutzbeauftragte ist Ihr Ansprechpartner für alle Fragen zum Schutz Ihrer personenbezogenen Daten.
3. Erfasste Daten
3.1 Registrierungsdaten — Alle Benutzer
| Daten | Erforderlich | Zweck |
|---|---|---|
| Vor- und Nachname | Ja | Identifizierung, DAC7, Abrechnung |
| Geburtsdatum | Ja (Privatpersonen) | Volljährigkeitsprüfung, DAC7 |
| E-Mail-Adresse | Ja | Authentifizierung, Benachrichtigungen |
| Telefonnummer | Ja | Identitätsprüfung, Sicherheit, OTP |
| Vollständige Postadresse | Ja | Versand, Abrechnung, DAC7 |
| Wohnland | Ja | Steuerkonformität, internationale MwSt. |
| Benutzername | Ja | Anzeige auf der Plattform |
| Avatar | Nein | Personalisierung |
| Biografie | Nein | Öffentliches Verkäuferprofil |
3.2 Zusätzliche Daten — Geschäftskonten
| Daten | Erforderlich | Zweck |
|---|---|---|
| Unternehmensname | Ja | Rechtliche Konformität, BtoB-Abrechnung |
| Rechtsform | Ja | Rechtliche Konformität |
| SIRET / Äquivalentes EU-Register | Ja | Unternehmensidentitätsprüfung |
| Umsatzsteuer-Identifikationsnummer | Ja (falls steuerpflichtig) | VIES, BtoB-Abrechnung |
| Land der Warenlagerung | Ja | DAC7-Konformität, MwSt. |
| Kbis oder europäisches Äquivalent | Ja | Identitätsprüfung |
| IBAN (Überweisungskonto) | Über Stripe | Verkäuferzahlung (Stripe Connect) |
| DAC7-Zertifizierung | Ja | Behördliche Verpflichtung |
| Stripe KYC-Dokumente | Über Stripe | Connect-Identitätsprüfung |
3.3 Bei der Nutzung erfasste Daten
- Angebote : Titel, Beschreibung, Preis, Fotos, Videos, Kategorie, Standort
- Transaktionen : Kauf-/Verkaufsverlauf, Beträge, Zahlungsreferenzen, Spediteure, Verfolgungsnummern
- Konversationen : zwischen Mitgliedern ausgetauschte Nachrichten
- Verhalten : besuchte Seiten, Suchanfragen, angesehene Angebote, Favoriten
- Technisch : IP-Adresse, Gerätetyp, Browser, Betriebssystem, Sprache, Zeitzone
- Zollanmeldungen : Informationen aus CN22/CN23-Erklärungen für internationale Versände
3.4 Zahlungsdaten
Werden ausschließlich von Stripe verarbeitet. Toveria speichert keine Bankdaten. Toveria erhält nur tokenisierte Identifikatoren und Transaktionsbestätigungen.
3.5 Daten internationaler Käufer
Für Käufer außerhalb der EU erfasst Toveria nur die für die Transaktion erforderlichen Daten: Name, E-Mail, Lieferadresse, Land. Diese Daten werden unter Einhaltung der DSGVO und gegebenenfalls der geltenden lokalen Datenschutzgesetze verarbeitet (PDPA Thailand, LGPD Brasilien, PIPEDA Kanada usw.).
3.6 Steuernummer (NIF / Tax ID)
Erfasst für Verkäufer, die die DAC7-Schwellenwerte überschreiten (30 Transaktionen oder 2.000 €/Jahr). Auch erfasst für BtoB-Transaktionen, die eine Rechnung mit Steueridentifizierung erfordern.
3.7 Push-Benachrichtigungsdaten
Wenn Sie Push-Benachrichtigungen aktivieren, wird ein Geräteidentifikator (FCM-Token) von Firebase Cloud Messaging (Google) generiert und gespeichert, um Ihnen Benachrichtigungen zu Ihrer Aktivität zu senden (Nachrichten, Angebote, Verkäufe, Bestellverfolgung). Dieser Identifikator enthält keine direkten personenbezogenen Daten. Die Aktivierung ist optional und basiert auf Ihrer ausdrücklichen Zustimmung (Genehmigung durch Ihren Browser, vorher in der Anwendung informiert); kein Identifikator wird an Google übertragen, bevor diese Zustimmung vorliegt. Sie können Push-Benachrichtigungen jederzeit über Ihr Gerät oder das Anwendungsmenü deaktivieren.
4. Rechtsgrundlagen der Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Kontoverwaltung | Vertragserfüllung (Art. 6.1.b) |
| Zahlungsverarbeitung | Vertragserfüllung (Art. 6.1.b) |
| Transaktionsbenachrichtigungen | Vertragserfüllung (Art. 6.1.b) |
| BtoB-Abrechnung | Vertragserfüllung + gesetzliche Verpflichtung |
| DAC7-Konformität | Gesetzliche Verpflichtung (Art. 6.1.c) |
| MwSt.-Prüfung VIES | Gesetzliche Verpflichtung (Art. 6.1.c) |
| Zollanmeldungen | Gesetzliche Verpflichtung (Art. 6.1.c) |
| Konformität internationale Sanktionen | Gesetzliche Verpflichtung (Art. 6.1.c) |
| Betrugsprävention | Berechtigtes Interesse (Art. 6.1.f) |
| Serviceverbesserung | Berechtigtes Interesse (Art. 6.1.f) |
| Marketing-E-Mails | Zustimmung (Art. 6.1.a) |
| Analyse-Cookies | Zustimmung (Art. 6.1.a) |
| Personalisierte Empfehlungen | Zustimmung (Art. 6.1.a) |
| Push-Benachrichtigungen (Firebase Cloud Messaging) | Zustimmung (Art. 6.1.a) |
5. Zwecke der Verarbeitung
5.1 Kontoverwaltung und Authentifizierung
Kontoerstellung, Identitätsprüfung (E-Mail-OTP, SMS-OTP), sichere Anmeldung, Multi-Faktor-Authentifizierung (TOTP), Kontowiederherstellung.
5.2 Funktionsweise des Marktplatzes
Online-Stellung und Verwaltung von Angeboten, Echtzeit-Messaging zwischen Mitgliedern, Transaktionsverarbeitung (alle Arten: BtoC, CtoC, CtoB, BtoB), Losverwaltung, Bestellverlauf.
5.3 Zahlungen und Verkäufertransfers
Sichere Zahlungsverarbeitung (Stripe), Quittungsgenerierung, Geldtransfer an Verkäufer (Stripe Connect), Verwaltung von Pro-Abonnements, Abrechnung von Boosts.
5.4 BtoB-Abrechnung
Automatische Generierung konformer Rechnungen (sequenzielle Nummer, vollständige Steuerdaten beider Parteien, anwendbare MwSt.) für Transaktionen zwischen Geschäftskonten.
5.5 Behördliche Konformität
DAC7-Meldungen an die DGFiP, MwSt.-Prüfung über VIES, DSA-Konformität, Prüfung internationaler Sanktionslisten (über OpenSanctions, vor Zahlung), Einhaltung von Zollvorschriften. Eine geografische Beschränkung schließt darüber hinaus Länder unter Embargo aus (Registrierung und Versand blockiert), gemäß geltenden internationalen Sanktionen (OFAC, EU, UN) und Exportkontrolle; das angegebene Land wird zu diesem Zweck verarbeitet.
5.6 Internationale Transaktionen
Verwaltung der für Zollanmeldungen erforderlichen Daten (CN22/CN23), Berechnung anwendbarer Steuern (IOSS, Zollgebühren), Prüfung von Export-/Importbeschränkungen.
5.7 Sicherheit und Betrugsprävention
Erkennung betrügerischer Verhaltensweisen, Authentizitätsprüfung von Konten, Schutz vor illegalen Inhalten, Anti-Betrugs-Kontrollen bei Empfehlungen, Prüfung internationaler Sanktionen.
5.8 Kundenservice und Streitigkeiten
Bearbeitung von Support-Anfragen, Vermittlung zwischen Käufer und Verkäufer, Archivierung von Austauschvorgängen, die zur Streitbeilegung erforderlich sind, einschließlich internationaler Streitigkeiten.
5.9 Geschäftskommunikation
Versand erforderlicher Transaktions-E-Mails, Versand von Marketing-E-Mails mit vorheriger Zustimmung (jederzeit widerrufbar).
6. Empfänger der Daten
6.1 Technische Dienstleister (Auftragsverarbeiter)
| Dienstleister | Rolle | Standort | Garantien |
|---|---|---|---|
| Supabase | Datenbank, Auth, Speicher | EU (Frankfurt) | DSGVO-DPA-Vertrag |
| Stripe | Zahlungen, KYC, Connect | Vereinigte Staaten | EU-SCC — Privacy Shield 2.0 |
| Resend | Transaktions-E-Mails | Vereinigte Staaten | EU-SCC |
| Google (Firebase Cloud Messaging) | Push-Benachrichtigungen | Vereinigte Staaten | EU-SCC |
| Anthropic | KI-Unterstützung (Bildsuche, Angebotsbeschreibungsgenerierung, Support-Assistent), auf Benutzeranfrage | Vereinigte Staaten | EU-SCC |
| Vercel | Anwendungs-Hosting | Vereinigte Staaten / EU | EU-SCC |
| OpenSanctions | Filterung internationaler Sanktionslisten (OFAC, UN, EU) vor Zahlung | EU (Deutschland) | Daten begrenzt auf Identität — DSGVO-DPA |
6.2 Behörden
- DGFiP (Frankreich) : jährliche DAC7-Meldungen
- ARCOM (Frankreich) : DSA-Anfragen
- Zollbehörden : Daten aus CN22/CN23-Erklärungen
- Zuständige Behörden : Reaktion auf gerichtliche Anordnungen
- Regulatoren von Drittländern : falls gesetzlich erforderlich für die anwendbare Transaktion
6.3 Austausch zwischen Mitgliedern
Nur das öffentliche Profil ist sichtbar: Benutzername, Avatar, Stadt, Biografie, Bewertung, Anzahl der Verkäufe. Der echte Name, die Adresse, E-Mail und Telefonnummer werden niemals direkt mit anderen Mitgliedern geteilt (Lieferkoordinaten werden dem Verkäufer nur nach bestätigter Zahlung zu Versandzwecken übermittelt).
6.4 Käufer außerhalb der EU
Wenn ein Käufer außerhalb der EU eine Transaktion durchführt, werden die für den Versand erforderlichen Daten (Name, Lieferadresse) mit dem Verkäufer und gegebenenfalls mit dem Spediteur geteilt. Diese Daten können den Zollvorschriften des Bestimmungslandes unterliegen.
7. Übertragungen außerhalb der Europäischen Union
Übertragungen in Drittländer (insbesondere die Vereinigten Staaten) werden geregelt durch:
- Standardvertragsklauseln (SCC) genehmigt durch die Europäische Kommission (Angemessenheitsbeschluss 2021/914)
- EU-US Privacy Shield 2.0-Rahmen (Angemessenheitsbeschluss vom Juli 2023) für Übertragungen in die Vereinigten Staaten
Für Daten von Käufern außerhalb der EU wendet Toveria die gleichen Schutzstandards wie für europäische Einwohner an, soweit dies die geltenden lokalen Gesetze zulassen.
8. Aufbewahrungsdauer der Daten
Jedes Datum wird für die Dauer aufbewahrt, die für seinen Zweck erforderlich ist, und wird dann gelöscht oder anonymisiert. Gemäß den Empfehlungen der CNIL durchlaufen bestimmte Daten nach ihrer aktiven Nutzungsphase eine Zwischenarchivierung mit eingeschränktem Zugriff (zugänglich nur zur Erfüllung gesetzlicher Verpflichtungen oder zur Streitbeilegung), bevor sie endgültig gelöscht werden.
| Kategorie | Aufbewahrungsdauer |
|---|---|
| Daten des aktiven Kontos | Lebensdauer des Kontos |
| Daten nach Kontoschliessung | Löschung personenbezogener Daten bei Schliessung; Daten, die einer gesetzlichen Verpflichtung unterliegen, werden separat für ihre jeweilige Dauer aufbewahrt |
| Transaktions-/Bestelldaten | 10 Jahre (Handelsgesetzbuch, Steuergesetzbuch) |
| BtoB-Rechnungen | 10 Jahre (Handelsgesetzbuch) |
| Konversationen (Nachrichten) | Aktive Phase von 6 Monaten nach der letzten Nachricht, dann Zwischenarchivierung mit eingeschränktem Zugriff, dann Löschung: 24 Monate (Konversation ohne Bestellung) oder 5 Jahre (Konversation mit Bestellung verknüpft) |
| Nachrichtenanhänge (Fotos) | Gelöscht mit der entsprechenden Nachricht |
| Vom Mitglied gelöschte Angebote | Medien sofort entfernt; endgültige Löschung des Angebots 180 Tage danach |
| Verkaufte Angebote / mit Bestellung verknüpft | Aufbewahrt als Transaktionsnachweis (bis zu 5 Jahren / Buchhaltungsverpflichtungen) |
| Bewertungen und Rezensionen | Anonymisierung nach 5 Jahren (Bewertung und Kommentar aufbewahrt, Identität des Autors getrennt) |
| DAC7- und Steuerdaten | 10 Jahre |
| Zolldaten | 5 Jahre (Zollgesetzbuch) |
| Technische Protokolle (API-Fehler) | 90 Tage (automatische tägliche Bereinigung) |
| Zahlungsversuchsprotokoll (Anti-Betrug) | 7 Tage (automatische tägliche Bereinigung) |
| Andere Sicherheitsprotokolle | Maximal 12 Monate |
| Analyse-Cookies | Maximal 13 Monate |
| Empfehlungsdaten | 3 Jahre |
| Stripe KYC (Identitätsdokumente) | Gemäss Stripe-Verpflichtungen / 5 Jahre |
| Push-Benachrichtigungstoken (FCM) | Bis zur Deaktivierung oder Ungültigmachung; abgelaufene Tokens automatisch bereinigt |
Laufender Streit oder gesetzliche Verpflichtung (« legal hold ») : Alle Daten, die zur Streitbeilegung, zur Erfüllung einer gesetzlichen Verpflichtung oder zur Reaktion auf eine Anfrage einer zuständigen Behörde erforderlich sind, werden bis zum Ende dieser Verpflichtung aufbewahrt, abweichend von den obigen Fristen.
9. Ihre Rechte
Gemäss der DSGVO (EU-Einwohner) und soweit anwendbar gemäss lokalen Datenschutzgesetzen (Einwohner außerhalb der EU) haben Sie folgende Rechte:
9.1 DSGVO-Rechte (EU-Einwohner)
- Auskunft (Art. 15) — Kopie Ihrer Daten erhalten
- Berichtigung (Art. 16) — ungenaue Daten korrigieren
- Löschung (Art. 17) — Löschung ausser gesetzlicher Aufbewahrungsverpflichtung
- Einschränkung (Art. 18) — vorübergehende Aussetzung der Verarbeitung
- Datenportabilität (Art. 20) — Export in strukturiertem Format (JSON/CSV)
- Widerspruch (Art. 21) — Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses
- Widerruf der Zustimmung — jederzeit widerrufbar
9.2 Rechte von Einwohnern außerhalb der EU
Toveria erweitert die DSGVO-Schutzbestimmungen soweit möglich auf Einwohner außerhalb der EU. Einwohner von Ländern mit spezifischen Gesetzen (LGPD Brasilien, PDPA Thailand, PIPEDA Kanada, CCPA Kalifornien usw.) können die Rechte ihrer Gesetze ausüben, indem sie dpo@toveria.com kontaktieren.
9.3 Ausübung der Rechte
📧 dpo@toveria.com — Betreff: [DSGVO-Rechte] Ihre Anfrage
Antwortfrist: 30 Tage (verlängerbar um 2 Monate für komplexe Anfragen). Ein Ausweisdokument kann angefordert werden.
9.4 Beschwerde
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 Paris
10. Cookies und Tracker
Unbedingt erforderliche Cookies (keine Zustimmung erforderlich)
| Cookie | Zweck | Dauer |
|---|---|---|
| Session-Auth | Anmeldung aufrechterhalten | Sitzung |
| Benutzereinstellungen | Sprache, Anzeige | 1 Jahr |
| Warenkorb / Los | Auswahl speichern | Sitzung |
| Sicherheit | CSRF, Anti-Betrug | Sitzung |
Cookie-Zustimmung (toveria_cookie_consent) | Ihre Wahl speichern | 6 Monate |
Analyse-Cookies (mit Zustimmung)
| Cookie | Zweck | Dauer |
|---|---|---|
| Zielgruppenanalyse | Serviceverbesserung | 13 Monate |
Derzeit sind keine Analyse- oder Werbe-Cookies aktiv: Sie werden nur nach Ihrer ausdrücklichen Zustimmung gespeichert.
Für vollständige Details (Kategorien, Dauer, Widerruf) konsultieren Sie unsere Cookie-Verwaltungsrichtlinie. Die Verwaltung ist jederzeit über die Schaltfläche « Cookies verwalten » (Menü und Fußzeile jeder Seite mit Rechtsinformationen) verfügbar.
11. Datensicherheit
- Verschlüsselung bei der Übertragung : HTTPS / TLS 1.3
- Verschlüsselung im Ruhezustand : Supabase-Datenbank verschlüsselt
- Authentifizierung : E-Mail-OTP + SMS-OTP + TOTP (2FA)
- Zugriffskontrolle : Row Level Security (RLS) Supabase
- Zahlungen : Stripe PCI DSS Level 1
- Eingeschränkter Zugriff : personenbezogene Daten zugänglich nur für autorisierte Mitarbeiter
- Protokollierung : Sicherheitsprotokolle 12 Monate aufbewahrt
- Anti-Betrug : Stripe Radar, Empfehlungskontrollen, Sanktionsprüfung
Im Falle einer Datenverletzung, die ein Risiko darstellen könnte, werden Sie innerhalb von 72 Stunden informiert.
12. Daten von Minderjährigen
Die Plattform ist Personen ab 18 Jahren vorbehalten. Meldung: dpo@toveria.com.
13. Änderungen
Wesentliche Änderungen werden per E-Mail mit einer Vorankündigung von 30 Tagen mitgeteilt.
14. Kontakt
📧 dpo@toveria.com — Datenschutz
📧 dpo@toveria.com — Datenschutzbeauftragter
Toveria — Europäischer BtoC-, CtoC-, CtoB- und BtoB-Marktplatz
SIRET : [Auszufüllen] — CNIL-Registrierungsnummer : [Auszufüllen]
Letzte Aktualisierung : Juni 2026
Deutsche Version — im Falle von Abweichungen mit einer Übersetzung gilt die französische Version.