Datenschutzerklärung für GoStox

Zuletzt aktualisiert: 19.04.2026 · Wirksam ab: Datum der Veröffentlichung im App Store / Play Store

Diese Datenschutzerklärung beschreibt, wie GoStox („wir", „uns", „die App") deine personenbezogenen Daten erhebt, verwendet, weitergibt und schützt, wenn du die mobile Anwendung nutzt. Wir halten uns an die EU-Datenschutz-Grundverordnung (DSGVO) und das geltende nationale Datenschutzrecht.

1. Wer wir sind

Verantwortlicher für deine personenbezogenen Daten:

Thomas Zenkner
Bergweg 20b
61440 Oberursel
Deutschland

Kontakt in Datenschutzfragen:

E-Mail: privacy@gostox.app
Allgemeiner Support: support@gostox.app

Wir haben keinen Datenschutzbeauftragten (DPO) benannt, da wir die Schwellenwerte des Artikels 37 DSGVO nicht erreichen.

2. Geltungsbereich

Diese Erklärung gilt für die mobile Anwendung GoStox auf iOS und Android. Sie erfasst alle personenbezogenen Daten, die wir verarbeiten, wenn du die App installierst, dich registrierst, die App nutzt oder uns kontaktierst.

GoStox ist eine gamifizierte Simulation zur Finanzbildung. Wir bieten keine Anlageberatung, keine Brokerage-Dienste und keinen Handel mit echtem Geld. Alle in der App gezeigten Aktien, Portfolios und Ranglisten sind simuliert.

3. Welche Daten wir erheben und warum

3.1 Daten, die du uns direkt gibst

Daten	Zweck	Rechtsgrundlage (Art. 6 DSGVO)
E-Mail-Adresse (für E-Mail-Login oder Sign in with Apple)	Kontoerstellung, Anmeldung, Service-Kommunikation	6 Abs. 1 lit. b — Vertragserfüllung
Benutzername / Anzeigename	In-App-Identifikation, Ranglisten, soziale Funktionen	6 Abs. 1 lit. b — Vertragserfüllung
Passwort (gehasht; wir sehen nie das Klartext-Passwort)	Anmeldung	6 Abs. 1 lit. b
Apple-ID- / Google-ID-Token	Single-Sign-On-Authentifizierung	6 Abs. 1 lit. b

3.2 Daten, die durch die Nutzung entstehen

Daten	Zweck	Rechtsgrundlage
Virtuelles Portfolio, Watchlists, Spielverlauf, Matches, Freundesbeziehungen, Abzeichen, Lernfortschritt, Ranglistenposition, Einstellungen	Bereitstellung der Kernfunktionen	6 Abs. 1 lit. b
Absturzdiagnosen, Performance-Messungen, anonymisierte Nutzungsereignisse	Stabilität verbessern, Fehler finden, Feature-Nutzung messen	6 Abs. 1 lit. f — berechtigtes Interesse an zuverlässigem Service
Gerätekennung, Betriebssystemversion, App-Version, Sprache, Land	Lokalisierung, Kompatibilität, Betrugsprävention	6 Abs. 1 lit. f

3.3 Daten, die wir NICHT erheben

Echte Bankkonto- oder Kreditkartendaten — Abonnements werden von Apple / Google abgewickelt; wir sehen deine Zahlungsdaten nie.
Genaue Standortdaten — wir fragen keine Standortberechtigung ab.
Kontakte, Fotos, Mikrofon, Kamera — darauf greifen wir nicht zu.
Echte Depots — GoStox ist eine Simulation. Wir haben keine Verbindung zu echten Brokern oder Marktinfrastrukturen.

4. Dienste von Drittanbietern (Auftragsverarbeiter)

Wir nutzen folgende Drittanbieter zur Bereitstellung von GoStox. Jeder Anbieter ist ein eigener Auftragsverarbeiter, mit dem wir einen Auftragsverarbeitungsvertrag (AVV) geschlossen haben. Jeder Anbieter hat eine eigene Datenschutzerklärung.

4.1 Google Firebase (Google Ireland Limited — EU)

Firebase-Dienst	Funktion	Verarbeitete Daten
Firebase Authentication	Anmeldung (E-Mail, Google, Apple, anonym)	E-Mail, Auth-Tokens, User-UID
Realtime Database	Speicherung von Profil, Portfolio, Spielstand, Freunden, Rangliste	Alle in der App erzeugten Daten
Cloud Functions	Serverseitige Logik (Kursabfragen, Matchmaking, Ranglisten-Updates)	Eingehende Anfragen + serverseitige Verarbeitung
Cloud Storage	Speicherung von Nutzer-Assets (z. B. Avatare, falls vorhanden)	Hochgeladene Bilder
Analytics for Firebase	Aggregierte Nutzungsmetriken (anonymisiert)	Pseudonyme Nutzer-ID, Screen Views, Feature-Events
Crashlytics	Absturz- und Fehlerberichte	Gerätemodell, OS, Stack Traces, pseudonyme Nutzer-ID

Anbieter: Google Ireland Limited (EU-Sitz für europäische Nutzer; für etwaige US-Transfers gelten SCCs + Angemessenheitsbeschluss)
Datenschutzerklärung: policies.google.com/privacy
AVV: cloud.google.com/terms/data-processing-addendum
Datenregion: europe-west1 (Belgien) für Cloud Functions; global für Analytics & Crashlytics

4.2 Apple — Sign in with Apple (Apple Distribution International Ltd. — Irland)

Zweck: Anmeldeoption für iOS-Nutzer
Daten: Apple-Nutzerkennung, E-Mail (echt oder Apple Private Relay), Name (nur beim ersten Login)
Datenschutzerklärung: apple.com/legal/privacy

4.3 Google Sign-In (Google Ireland Limited)

Zweck: Anmeldeoption
Daten: Google-Konto-ID-Token, E-Mail, Name
Datenschutzerklärung: policies.google.com/privacy

4.4 RevenueCat (RevenueCat, Inc. — USA)

Zweck: Abonnementverwaltung, Berechtigungsprüfung, Beleg-Validierung
Daten: Pseudonyme RevenueCat-Nutzer-ID, Abonnementstatus, Transaktions-Metadaten (keine Kartendaten)
Datenschutzerklärung: revenuecat.com/privacy
AVV: Durch Verweis in den Nutzungsbedingungen von RevenueCat einbezogen (revenuecat.com/dpa)
Rechtsgrundlage für Drittlandübermittlung: Standardvertragsklauseln (SCCs)

4.5 Google AdMob (Google Ireland Limited)

Zweck: Anzeige von Werbung im kostenlosen Tarif der App
Daten: Werbekennung des Geräts, Interaktions-Events, für die Werbeauslieferung nötige ungefähre Informationen. Entspricht dem IAB Transparency & Consent Framework (TCF) und Googles EU-Nutzereinwilligungs-Richtlinie.
Deine Kontrolle: Du kannst das Ad-Tracking jederzeit in deinen Geräteeinstellungen zurücksetzen oder einschränken (iOS: Einstellungen → Datenschutz → Tracking; Android: Einstellungen → Google → Werbung).
Datenschutzerklärung: policies.google.com/technologies/ads
DSGVO-Grundlage: 6 Abs. 1 lit. a — Einwilligung über In-App-Consent-Dialog beim ersten Start im EWR

4.6 Apple App Store und Google Play (Zahlungsabwicklung)

Beim Abschluss eines Abonnements:

Wird deine Zahlung von Apple (iOS) oder Google (Android) verarbeitet
Erhalten wir einen anonymisierten Beleg / Berechtigungsnachweis — wir sehen deine Zahlungsdaten nie
Apple: apple.com/legal/privacy/data/de/app-store
Google: pay.google.com policy

4.7 Finanzmarktdaten (nur serverseitig — keine personenbezogenen Daten übermittelt)

GoStox nutzt EOD Historical Data (EODHD) für Aktienkurse, Fundamentaldaten und Marktindikatoren. Diese Daten werden serverseitig über unsere Cloud Functions abgerufen — deine personenbezogenen Daten werden nie an EODHD übermittelt. Der Anbieter sieht nur Server-zu-Server-Traffic von unserer Infrastruktur.

5. Wie lange wir deine Daten speichern

Datenkategorie	Speicherdauer
Profil, Portfolio, Spielverlauf, Freunde	Solange dein Konto existiert, bis zu dessen Löschung
Analytics-Events (Firebase Analytics)	Bis zu 14 Monate (Google-Standard), aggregiert
Absturzberichte	Bis zu 90 Tage
Abonnementdaten (RevenueCat)	Dauer des Abonnements + so lange wie nach Verbraucherschutz- und Steuerrecht erforderlich (bis zu 10 Jahre nach § 257 HGB)
Backups	Rolling Backups können Daten bis zu 35 Tage nach Löschung aufbewahren

Löschrechte — du kannst dein Konto jederzeit in der App löschen (Funktion ab Version 1.x verfügbar, gemäß Art. 17 DSGVO). Nach Löschung entfernen wir deine personenbezogenen Daten innerhalb von 30 Tagen kaskadierend aus unseren Systemen, außer wenn wir gesetzlich zur Aufbewahrung verpflichtet sind (z. B. steuerrechtliche Aufbewahrung von Abonnement-Transaktionen).

6. Deine Rechte (Art. 15–22 DSGVO)

Recht	Wie du es ausübst
Auskunft (Art. 15) — Kopie der über dich gespeicherten Daten	E-Mail an privacy@gostox.app
Berichtigung (Art. 16) — Korrektur falscher Daten	In-App-Einstellungen oder per E-Mail
Löschung / „Recht auf Vergessenwerden" (Art. 17)	In-App: Einstellungen → Konto → Konto löschen (ab v1.x). Auch per E-Mail.
Einschränkung (Art. 18) — Verarbeitung begrenzen	Per E-Mail
Übertragbarkeit (Art. 20) — Daten in strukturiertem, maschinenlesbarem Format erhalten	Per E-Mail
Widerspruch (Art. 21) — gegen Verarbeitung auf Basis berechtigten Interesses	Per E-Mail
Widerruf der Einwilligung (Art. 7) — für Werbung / einwilligungsbasierte Verarbeitung	Ad-Tracking-Geräteeinstellungen + In-App-Consent-Dialog
Beschwerde bei einer Aufsichtsbehörde (Art. 77)	Siehe Abschnitt 10

Wir beantworten Anfragen zu deinen Rechten innerhalb von einem Monat (um zwei Monate verlängerbar bei komplexen Anfragen gemäß Art. 12 Abs. 3).

7. Internationale Datenübermittlung

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb der EU/des EWR (insbesondere RevenueCat in den USA). Für jede solche Übermittlung stützen wir uns auf eine oder mehrere der folgenden Rechtsgrundlagen:

Standardvertragsklauseln (SCCs) gemäß EU-Kommission (Art. 46 Abs. 2 lit. c)
Angemessenheitsbeschlüsse, sofern anwendbar (z. B. EU-US Data Privacy Framework für teilnehmende US-Unternehmen)
Deine ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a), wenn keine andere Grundlage gilt

Google Ireland Limited verarbeitet den Großteil unserer Daten innerhalb der EU und verfügt über eigene SCC- und angemessenheitsbasierte Mechanismen für etwaige Weitergaben an Google LLC (USA).

8. Minderjährige

GoStox richtet sich an Nutzer ab 16 Jahren. Dies entspricht dem digitalen Einwilligungsalter in Deutschland gemäß § 8 BDSG (entsprechend dem Standard nach Art. 8 DSGVO).

Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 16. Wenn du Elternteil oder Erziehungsberechtigter bist und vermutest, dass dein Kind unter 16 uns personenbezogene Daten übermittelt hat, kontaktiere uns bitte unter privacy@gostox.app — wir löschen die Daten zeitnah.

9. Sicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten um, u. a.:

Verschlüsselung bei der Übertragung (HTTPS / TLS 1.2+)
Verschlüsselung im Ruhezustand (Google-Cloud-Standardverschlüsselung für Firebase-Dienste)
Strenge Zugriffskontrollen — nur autorisiertes Personal kann auf Produktionsdaten zugreifen
Regelmäßige Sicherheitsaudits unserer Cloud Functions und Firebase-Sicherheitsregeln
Keine Speicherung von Klartext-Passwörtern (Firebase hasht und salzt alle Passwörter)

Trotz dieser Maßnahmen ist kein System zu 100 % sicher. Sollten wir Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangen, die voraussichtlich ein Risiko für deine Rechte darstellt, informieren wir dich und die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO).

10. Aufsichtsbehörde

Du hast das Recht, bei einer Datenschutz-Aufsichtsbehörde Beschwerde einzulegen, wenn du der Ansicht bist, dass wir deine Daten unrechtmäßig verarbeitet haben.

Zuständige Aufsichtsbehörde für GoStox (Sitz des Verantwortlichen in Hessen):

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Deutschland
Website: datenschutz.hessen.de

Wenn du in einem anderen EU-Mitgliedstaat wohnst, kannst du dich alternativ an deine nationale Datenschutzbehörde wenden — das vollständige EDSA-Verzeichnis findest du unter edpb.europa.eu/about-edpb/about-edpb/members_en.

11. Cookies und Tracking auf unserer Website

Wenn du gostox.app (unsere Website) besuchst, verwenden wir ggf. unbedingt erforderliche Cookies für die Funktionalität. Wir nutzen auf der Website selbst keine Analytics- oder Werbe-Cookies. Die mobile App verwendet keine Web-Cookies.

12. Änderungen dieser Erklärung

Wir können diese Erklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Dienste oder des geltenden Rechts zu berücksichtigen. Das Datum „Zuletzt aktualisiert" oben zeigt, wann die letzte Überarbeitung stattgefunden hat.

Bei wesentlichen Änderungen informieren wir dich vor Inkrafttreten per In-App-Hinweis oder E-Mail. Die fortgesetzte Nutzung der App nach dem Wirksamkeitsdatum gilt als Annahme der aktualisierten Erklärung.

13. Automatisierte Entscheidungsfindung

GoStox trifft keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung für dich (Art. 22 DSGVO). Unsere Ranking- und Matchmaking-Algorithmen arbeiten auf simulierten In-App-Daten und beeinflussen weder deine rechtliche Stellung, noch deine Kreditwürdigkeit, noch reale Umstände.

14. Kontakt

Bei Fragen, Anliegen oder Rechtsausübung zu dieser Erklärung:

Datenschutz-Postfach: privacy@gostox.app
Allgemeiner Support: support@gostox.app
Postanschrift: Thomas Zenkner, Bergweg 20b, 61440 Oberursel, Deutschland