Datenschutz
Wir nehmen den Schutz deiner Daten ernst. Hier erfährst du was wir speichern und warum.
Stand: 30.05.2026
Verantwortlicher
Marcel Wulf, Anschrift wie im Impressum angegeben. Kontakt: kontakt@driftbot.de.
Welche Daten wir verarbeiten
Account-Daten
- E-Mail-Adresse (für Login und 2FA-Codes)
- Passwort (gehasht mit bcrypt, nicht im Klartext)
- Zeitstempel deiner Anmeldung
Börsen-API-Keys
Wenn du DriftBot mit einer Börse (Coinbase, Kraken oder Bitvavo) verbindest, speichern wir deine API-Keys AES-256-GCM-verschlüsselt in unserer Datenbank. Der Master-Key liegt in einer Umgebungsvariable und ist nicht in der Datenbank. Die Keys werden nie an den Browser zurückgeschickt — sie verlassen den Server nur als signierte Anfragen an die jeweilige Börse.
Bot- und Trade-Daten
- Deine Bot-Konfigurationen (Coin, Spanne, Levels, Einsatz)
- Trade-Historie (Käufe, Verkäufe, Gebühren)
- Snapshots deines Portfolios (für die Chart-Anzeige)
- Tick-Logs der Bot-Aktivität
Was wir nicht speichern
- Dein eigentliches Krypto-Guthaben — das liegt bei deiner Börse
- Tracking-Cookies oder Analytics von Drittanbietern
- Werbe-IDs oder Profile für Marketing
Email-Versand (STRATO)
System-E-Mails (z. B. Login-/2FA-Codes, Passwort-Reset, Bestätigungen) versenden wir über unser eigenes E-Mail-Postfach bei der STRATO AG(Deutschland). Deine E-Mail-Adresse und der Nachrichteninhalt werden dabei über die Mailserver von STRATO verarbeitet. Server-Standort Deutschland/EU.
Zahlungsabwicklung (Stripe)
Für die Abwicklung kostenpflichtiger Pläne und Token-Pakete nutzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., Irland). Wenn du einen kostenpflichtigen Kauf tätigst, werden deine Zahlungsdaten (z. B. Kreditkartennummer, Name, Rechnungsdaten) direkt an Stripe übermittelt und ausschließlich von Stripe verarbeitet. Wir erhalten und speichern keine vollständigen Kartendaten, sondern nur eine pseudonyme Kunden-/Abo-Kennung (Stripe-IDs) sowie den Status deines Abonnements, um deinen Plan freizuschalten.
Stripe kann personenbezogene Daten auch in Drittländer (u. a. USA) übermitteln; die Übermittlung ist durch die EU-Standardvertragsklauseln abgesichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Details findest du in der Datenschutzerklärung von Stripe.
KI-Assistent (Anthropic / Claude)
Der optionale KI-Assistent „DriftBot AI" nutzt die Technologie von Anthropic (Claude). Wenn du den Assistenten verwendest, werden deine Chat-Eingaben sowie relevanter Kontext (z. B. deine Bot-Konfiguration) zur Verarbeitung an Anthropic übermittelt. Anthropic verarbeitet diese Daten als Auftragsverarbeiter und nutzt sie laut eigenen Angaben nicht zum Training der Modelle. Eine Übermittlung in Drittländer (USA) ist durch EU-Standardvertragsklauseln abgesichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Verwende den Assistenten nicht für die Eingabe sensibler personenbezogener Daten.
Eingesetzte Dienstleister (Auftragsverarbeiter)
Zur Bereitstellung unseres Dienstes setzen wir die folgenden Dienstleister ein. Mit allen wurde — soweit erforderlich — ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen. Übermittlungen in Drittländer (insb. USA) sind durch die EU-Standardvertragsklauseln abgesichert.
| Dienstleister | Zweck | Übermittelte Daten | Sitz | Rechtsgrundlage |
|---|---|---|---|---|
| Stripe (Stripe Payments Europe, Ltd.) | Zahlungsabwicklung für Pläne & Token | Name, Zahlungs- & Rechnungsdaten, E-Mail | Irland / USA | Art. 6 Abs. 1 lit. b DSGVO |
| Anthropic (Anthropic PBC) | Optionaler KI-Assistent „DriftBot AI" | Chat-Eingaben & relevanter Konto-Kontext | USA | Art. 6 Abs. 1 lit. b DSGVO |
| STRATO (STRATO AG) | Versand von 2FA- & System-E-Mails | E-Mail-Adresse, Inhalt der Nachricht | Deutschland | Art. 6 Abs. 1 lit. b / f DSGVO |
| Coinbase (Coinbase, Inc.) | Ausführung deiner Trades (falls du Coinbase verbindest) | Handelsaufträge über deine eigenen API-Keys | USA | Art. 6 Abs. 1 lit. b DSGVO |
| Kraken (Payward Ltd) | Ausführung deiner Trades (falls du Kraken verbindest) | Handelsaufträge über deine eigenen API-Keys | EU / USA | Art. 6 Abs. 1 lit. b DSGVO |
| Bitvavo (Bitvavo B.V.) | Ausführung deiner Trades (falls du Bitvavo verbindest) | Handelsaufträge über deine eigenen API-Keys | Niederlande (EU) | Art. 6 Abs. 1 lit. b DSGVO |
| STRATO / Server-Hosting | Betrieb der Anwendung & Datenbank | Alle technisch verarbeiteten Daten, Server-Logs | Deutschland (EU) | Art. 6 Abs. 1 lit. f DSGVO |
Dein Krypto-Guthaben selbst liegt zu keinem Zeitpunkt bei uns, sondern ausschließlich bei deiner Börse. Deine Börsen-API-Keys verwenden wir nur, um in deinem Auftrag Trades auszuführen — eine Auszahlung ist mit ihnen technisch nicht möglich.
Cookies und lokale Speicherung
Auf unserer Website setzen wir einen einzigen, technisch notwendigen httpOnly-Cookie zur Login-Session (driftbot_session). Zusätzlich speichern wir deine Sprach- und Anzeige-Einstellungen lokal in deinem Browser (localStorage, z. B. lang). Wir setzen keine Tracking-Cookies, keine Analytics und keine Werbe-Cookies.
Bei einer Zahlung wirst du auf die von Stripe gehostete Checkout-Seite weitergeleitet. Dort kann Stripe auf seiner eigenen Domain eigene, für die sichere Zahlungsabwicklung und Betrugsprävention erforderliche Cookies setzen. Auf den Inhalt dieser Cookies haben wir keinen Einfluss.
Deine Rechte
- Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung falscher Daten (Art. 16 DSGVO)
- Löschung deines Accounts und aller Daten (Art. 17 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
Schreib uns an kontakt@driftbot.de und wir kümmern uns innerhalb von 14 Tagen.
Speicherort
Alle Daten liegen in einer SQLite-Datenbank auf einem von uns betriebenen Server in Deutschland. Keine eigene Cloud, kein Datenexport an Dritte über die oben genannten Auftragsverarbeiter hinaus.
Speicher- und Löschfristen
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
- Account-Daten (E-Mail, Passwort-Hash): bis zur Löschung deines Accounts. Nach Löschung werden sie unverzüglich, spätestens innerhalb von 30 Tagen, entfernt.
- Börsen-API-Keys: bis du sie selbst entfernst oder deinen Account löschst — dann sofort.
- Bot- & Trade-Daten, Statistiken: für die Dauer der Account-Nutzung, danach mit dem Account gelöscht.
- Tick-Logs (technische Entscheidungs-Protokolle des Bots): werden automatisch nach 48 Stunden gelöscht.
- Rechnungs- & Zahlungsdaten: soweit wir sie verarbeiten, bewahren wir sie zur Erfüllung handels- und steuerrechtlicher Pflichten bis zu 10 Jahre auf (§ 147 AO, § 257 HGB). Die eigentlichen Zahlungsdaten liegen bei Stripe.
- Server-Logs: zur Sicherheit und Fehleranalyse, in der Regel maximal 30 Tage.