TRADELYST //

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei Nutzung der Marketing-Website unter https://tradelyst.ai sowie der SaaS-Anwendung „Tradelyst" unter https://app.tradelyst.ai. Sie gilt für Besucher der Website, registrierte Nutzer und Anfragen über das Kontaktformular. Grundlage ist die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
Core Structure Trading - Thomas Seifert
Silberweidenweg 10
10365 Berlin
Germany
E-Mail: privacy@tradelyst.ai

Aufgrund der Unternehmensgröße besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten. Datenschutzanfragen richten Sie bitte direkt an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:

  • Server-Logfiles beim Aufruf der Website (technische Daten, anonymisiert)
  • Bestandsdaten (Name, E-Mail-Adresse, gewählte Sprache, Zeitzone)
  • Authentifizierungsdaten (Passwort-Hash; im JWT-Cookie gespeicherte Session-Tokens)
  • Nutzungsdaten (eingegebene Trade-Datensätze, Setup-Definitionen, Regelverletzungen, Journal-Notizen, Screenshots)
  • Abrechnungsdaten (über Stripe; bei uns nur Kunden-ID und Subscription-Status)
  • KI-Verarbeitungsdaten (statistische Zusammenfassungen ohne personenbezogene Inhalte)
  • Kommunikationsdaten (Kontaktformular, transaktionale E-Mails)

3. Server-Logfiles

Beim Aufruf unserer Website werden durch den Hosting-Anbieter folgende Daten in Server-Logfiles erfasst: anonymisierte IP-Adresse (letztes Oktett entfernt), Datum und Uhrzeit der Anfrage, abgerufene URL, übertragene Datenmenge, Referrer-URL, User-Agent-String, HTTP-Statuscode.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit, Missbrauchsabwehr, Statistik).
Speicherdauer: 30 Tage, anschließend automatische Löschung.
Empfänger: Hosting-Anbieter (siehe Abschnitt 12).

4. Cookies und ähnliche Technologien

Wir setzen folgende Cookies und vergleichbare Speichermechanismen ein:

NameZweckDauerGrundlage
authjs.session-token Auth.js-Session (JWT). Nur in der Anwendung nach Login gesetzt. 30 Tage Art. 6 Abs. 1 lit. b DSGVO
authjs.callback-url / authjs.csrf-token CSRF-Schutz und Rück-Routing beim Login. Session Art. 6 Abs. 1 lit. f DSGVO

Auf der Marketing-Website (https://tradelyst.ai) werden keine Cookies und keine Daten auf Ihrem Endgerät gespeichert. Die Sprachauswahl (de/en) erfolgt über URL-Präfixe (z. B. /de/pricing), nicht über ein Cookie. Tarif- und Anzeigeeinstellungen werden ausschließlich für die Dauer Ihres Seitenbesuchs im Arbeitsspeicher des Browsers gehalten und beim Verlassen verworfen.

Wir setzen keine Tracking-Cookies, keine Werbenetzwerke und keine Social-Media-Plugins ein.

4a. Reichweitenmessung (Umami, cookielos)

Auf der Marketing-Website setzen wir eine selbst gehostete Instanz der Open-Source- Software Umami (umami.tradelyst.ai) zur statistischen Reichweiten- messung ein. Umami arbeitet vollständig cookielos und schreibt keine Daten auf Ihr Endgerät — weder Cookies noch localStorage, sessionStorage oder IndexedDB. Daher ist nach § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich.

Erfasst werden ausschließlich aggregierte Daten: aufgerufene Seite, Referrer, grobes Land/Region (aus der IP, nicht gespeichert), Browser-Klasse, Bildschirmauflösungsbereich, Zeitstempel. Zur Unterscheidung wiederkehrender Besucher innerhalb eines Tages bildet Umami serverseitig einen Hash aus IP-Adresse, User-Agent und einem täglich rotierenden geheimen Schlüssel; dieser Hash wird nach 24 Stunden gelöscht und ist nicht rückrechenbar. Eine Wiedererkennung über mehrere Tage findet ausdrücklich nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an statistischer Reichweitenmessung zur Verbesserung des Angebots).
Speicherdauer: Aggregierte Statistiken unbegrenzt. Die tagesrotierende Hash-ID wird nach 24 Stunden gelöscht.
Empfänger: niemand. Umami läuft auf demselben Server wie die Tradelyst-Anwendung in Deutschland; eine Datenübermittlung an Dritte oder ins Ausland findet nicht statt.
Widerspruch: Sie können der Reichweitenmessung jederzeit per E-Mail an privacy@tradelyst.ai widersprechen, oder die Domain umami.tradelyst.ai in Ihrem Browser oder einer Erweiterung wie uBlock Origin blockieren. In der Anwendung (eingeloggter Bereich, app.tradelyst.ai) findet keine Reichweitenmessung statt.

5. Registrierung und Konto

Für die Nutzung der SaaS-Anwendung ist ein Konto erforderlich. Während der Beta-Phase ist die Registrierung nur per Einladungs-Code möglich. Bei der Registrierung erheben wir:

  • E-Mail-Adresse (Pflichtangabe, dient als Login)
  • Passwort (gespeichert als bcrypt-Hash, Kostenfaktor 12)
  • Optional: Anzeigename
  • Sprachpräferenz, Zeitzone (Standard: aus Browser ermittelt)
  • Eingelöster Einladungs-Code, Zeitpunkt der Einlösung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer der Vertragsbeziehung. Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht (siehe Abschnitt 13).

6. Authentifizierung und Session-Management

Authentifizierungs-Sessions werden als JSON Web Token (JWT) in einem HTTP-only-, Secure- und SameSite-Lax-Cookie gespeichert. Das Token enthält die Nutzer-ID und einen Ausstellungs-Zeitstempel, jedoch keine personenbezogenen Daten im Klartext. Bei Verdacht auf Kompromittierung kann der Nutzer über „Überall abmelden" alle bestehenden Sessions serverseitig ungültig machen.

Brute-Force-Schutz: bei wiederholten fehlgeschlagenen Login-Versuchen werden weitere Versuche für 15 Minuten unterbunden (5 Versuche pro E-Mail, 25 pro IP). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

7. Trading-Daten und KI-Verarbeitung

Im Rahmen der Anwendung verarbeiten wir die von Ihnen eingegebenen oder importierten Trade-Datensätze, Setup-Definitionen, Regelverletzungen, Journal-Notizen, hochgeladene Screenshots sowie daraus abgeleitete Statistiken. Diese Daten sind ausschließlich für Sie und für die Bereitstellung der Funktion einsehbar.

Wenn Sie die KI-Coach-Funktion aktivieren, werden aggregierte und statistisch zusammengefasste Daten (R-Multiples, Setup-Erwartungswerte, Tageszeit-Performance, Streaks) an OpenAI Ireland Ltd. übermittelt, um die Texte des Morning Brief und der Post-Trade-Reviews zu generieren. Im Privacy-Mode (für Pro-Tier und höher standardmäßig aktiv) werden vor der Übermittlung sämtliche Dollar-Beträge und Kontogrößen entfernt; übertragen werden ausschließlich Verhältniszahlen, Prozentwerte und R-Multiples.

OpenAI hat sich vertraglich verpflichtet, API-Eingaben nicht für eigene Modelltrainings zu verwenden (siehe OpenAI API Data Usage Policies). Anfragen werden auf OpenAI-Servern in den USA für maximal 30 Tage zur Missbrauchserkennung aufbewahrt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Internationale Übermittlung: EU-Standardvertragsklauseln (SCC) + EU-US Data Privacy Framework. OpenAI Ireland Ltd. ist der primäre Vertragspartner.
Widerspruch: Die KI-Funktion lässt sich jederzeit unter „KI-Coach → Einstellungen" abschalten; sie wird dann durch eine deterministische, rein lokale Heuristik ersetzt.

8. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abonnements nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Sie werden für den Bezahlvorgang zu Stripe weitergeleitet (Stripe Checkout). Zahlungs- und Kartendaten werden ausschließlich von Stripe verarbeitet — wir erhalten lediglich Status-Informationen (Stripe-Kunden-ID, Subscription-Status, Periodenende, Zahlmethode) per Webhook.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Internationale Übermittlung: Stripe verarbeitet teilweise in den USA; Stripe Payments Europe Ltd. (Irland) ist Vertragspartner, EU-SCCs + DPF.
Speicherdauer bei uns: Solange das Konto besteht. Bei Stripe gelten deren eigene Aufbewahrungsfristen (gesetzliche Pflichten im Zahlungsverkehr).

9. Marktdaten (Databento)

Historische Marktdaten (NQ, ES, MNQ, MES, GC, MGC) beziehen wir von Databento, Inc. Es werden keine personenbezogenen Daten an Databento übermittelt; der Abruf erfolgt anonym über einen API-Schlüssel auf unserem Server.

10. Transaktionale E-Mails (Resend)

Für den Versand transaktionaler E-Mails (Willkommen, Morning Brief, Bestätigungslinks bei E-Mail-Änderung, Zahlungsausfälle, Konto-Kündigung) nutzen wir Resend, Inc., USA. Übermittelt werden Empfänger-Adresse, Betreff und Inhalt der jeweiligen E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Internationale Übermittlung: EU-SCCs + EU-US Data Privacy Framework.

11. Kontaktformular

Bei Nutzung des Kontaktformulars verarbeiten wir Name, E-Mail-Adresse, Betreff und Nachricht sowie technisch IP-Adresse, Zeitpunkt der Absendung und eine Bot-Erkennungs-Zeit. Spam-Schutz erfolgt über ein Honeypot-Feld und eine Plausibilitäts-Zeitprüfung; wir setzen keine externen Dienste wie reCAPTCHA ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anfrage zu vorvertraglichen Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: 12 Monate, anschließend Löschung — sofern nicht aus handels- oder steuerrechtlichen Gründen eine längere Aufbewahrung erforderlich ist.

12. Auftragsverarbeiter und Empfänger

Wir setzen folgende sorgfältig ausgewählte Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein:

  • Hosting: [Hosting-Anbieter Name + Sitz], AVV abgeschlossen.
  • Stripe Payments Europe Ltd., Irland — Zahlungsabwicklung. SCCs + DPF.
  • OpenAI Ireland Ltd., Irland — KI-Modelle. SCCs + DPF.
  • Resend, Inc., USA — E-Mail-Versand. SCCs + DPF.
  • Databento, Inc., USA — Marktdaten (keine personenbezogenen Daten).

Über die Auftragsverarbeiter hinaus geben wir Ihre Daten nicht an Dritte weiter — außer aufgrund gesetzlicher Pflichten (z. B. Steuer, Strafverfolgung). Eine Datenweitergabe zu Werbe- oder Marketingzwecken an Dritte findet nicht statt.

13. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur, solange dies für den genannten Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Kontodaten und Trade-Historie: Für die Dauer der Vertragsbeziehung.
  • Kontolöschung: Nach Auslösung der Löschung durch Sie wird das Konto für 30 Tage in einem Pre-Delete-Status gehalten (Sie können die Löschung in dieser Zeit jederzeit zurücknehmen). Nach Ablauf werden sämtliche Trades, Setups, Regeln, KI-Reviews, Morning-Briefs und Trading-Konten unwiderruflich aus der Datenbank entfernt; ein laufendes Stripe-Abonnement wird gleichzeitig gekündigt.
  • Rechnungs- und Steuerdaten: 10 Jahre gemäß § 147 AO, §§ 238, 257 HGB. Diese Daten werden bei Stripe geführt; wir halten lediglich Kunden-IDs.
  • Server-Logs: 30 Tage.
  • Kontaktformular-Anfragen: 12 Monate.

14. Ihre Rechte

Ihnen stehen unter den gesetzlichen Voraussetzungen folgende Rechte zu:

  • Auskunft über die Sie betreffenden Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — exportieren Sie alle Ihre Daten jederzeit über Einstellungen → Datenexport als ZIP-Archiv
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
  • Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Anfragen zur Wahrnehmung Ihrer Rechte richten Sie bitte an privacy@tradelyst.ai.

Zuständige Aufsichtsbehörde für unser Unternehmen ist die Datenschutzaufsicht des Bundeslandes, in dem unser Sitz liegt; eine vollständige Liste finden Sie unter bfdi.bund.de.

15. Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO ein: HTTPS-Verschlüsselung der gesamten Anwendung (TLS 1.2+), Passwort-Hashing mit bcrypt, Verschlüsselung sensibler Geheimnisse at rest (AES-256-GCM), Datenbank-Sicherungen mit eingeschränktem Zugriff, Rate-Limiting auf Authentifizierungs- und Mutations-Endpoints, regelmäßige Updates der eingesetzten Bibliotheken.

16. Automatisierte Entscheidungen

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. KI-generierte Texte (Morning Brief, Post-Trade-Review) sind ausschließlich informative Hilfestellungen und treffen keine rechtlich verbindlichen Entscheidungen.

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche oder tatsächliche Gegebenheiten ändern. Die jeweils aktuelle Version ist unter https://tradelyst.ai/legal/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Stand: 12.05.2026 (Reichweitenmessung 4a hinzugefügt)