Zurück zu BayManager

Datenschutzerklärung

Stand: März 2026

Verantwortlicher

Timm Fink

BayManager

Moselstr. 6

64347 Griesheim

Deutschland

E-Mail: contact@baymanager.de

Ein Datenschutzbeauftragter ist für diese Verarbeitung gesetzlich nicht vorgeschrieben.

1. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website von BayManager, die Webanwendung, die API-basierten Plattformfunktionen, die Kundenkommunikation, den Paketkauf, den Rechnungsversand, die eBay-Integration, die automatisierten Bestell- und Nachrichtenverarbeitungssysteme sowie alle dazugehörigen Support- und Sicherheitsprozesse.

2. Verarbeitete Datenkategorien

Je nach Nutzung unserer Dienste verarbeiten wir insbesondere: Konto- und Kontaktdaten (E-Mail-Adresse, Name, Unternehmensname, Postadresse, Telefonnummer), Abrechnungs- und Steuerdaten (Steuer-ID, USt-IdNr., Zahlungs- und Abonnementstatus), eBay-Integrationsdaten (OAuth-Tokens, eBay-Kontoidentifikatoren, Listing-Daten, Bestelldaten, Käuferkennungen, Käufer-E-Mail-Adressen, Nachrichteninhalte, Versandstatus), Digitalschlüssel- und Zustelldaten (verschlüsselte Produktschlüssel, Zustellbestätigungen, Zustellnachweise), Rechnungsdaten (Rechnungsnummern, PDF-Dateien, Versandstatus), technische Protokoll- und Sicherheitsdaten (IP-Adressen in Audit-Logs, Server-Zugriffsdaten, Token-Daten), Kommunikationsdaten (Nachrichteninhalte, Thread-Kennungen, automatisierte Antwortprotokolle) sowie Einwilligungsdaten (Analytics-Einwilligung, KI-Verarbeitungseinwilligung mit Zeitstempel und Version).

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zur Erbringung unserer vertraglichen Leistungen, zur Absicherung der Plattform, zur Erfüllung gesetzlicher Pflichten und zur Verbesserung des Produkts. Maßgebliche Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für Vertragsanbahnung und -erfüllung, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten), Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen wie Plattformsicherheit, Missbrauchsprävention, Produktstabilität, interne Dokumentation und Betrugsprävention sowie Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erforderlich ist, insbesondere für optionale Analytics und KI-gestützte Chatbot-Funktionen.

3a. Kontaktformular und Kommunikation

Wenn Sie uns ueber das Kontaktformular kontaktieren, verarbeiten wir die dort von Ihnen eingegebenen Daten, insbesondere Name, E-Mail-Adresse, Betreff und Nachricht, um Ihre Anfrage zu bearbeiten und zu beantworten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit sich die Anfrage auf den Abschluss oder die Anbahnung eines Vertrags bezieht, im Uebrigen Art. 6 Abs. 1 lit. f DSGVO auf Grundlage unseres berechtigten Interesses an geordneter Kommunikation und Anfragenbearbeitung.

Kontaktformular-Nachrichten werden in der Anwendung nicht als eigener CRM-Datensatz gespeichert. Sie werden ueber die konfigurierte Mail-Infrastruktur an unser Kontaktpostfach uebermittelt. Sofern sich daraus kein Vertrag, kein laufender Supportfall und keine gesetzliche Aufbewahrungspflicht ergibt, werden Kontaktanfragen spaetestens 180 Tage nach der letzten inhaltlichen Bearbeitung geloescht oder archiviert.

4. Websiteaufruf und Hosting

Beim Aufruf unserer Website übermittelt der verwendete Browser automatisch technische Zugriffsdaten an unseren Server. Hierzu gehören insbesondere IP-Adresse, Datum und Uhrzeit, aufgerufene Inhalte, Referrer-URL, Browser-Informationen und das Betriebssystem. Die Verarbeitung ist erforderlich, um die Website auszuliefern, die Systemsicherheit zu gewährleisten und die Stabilität des Angebots sicherzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Unsere Server sowie die gesamte zugehörige Datenbank- und Cache-Infrastruktur werden ausschließlich in Deutschland durch die Netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, betrieben. Im Zusammenhang mit dem Hosting findet keine Übermittlung personenbezogener Daten außerhalb der Europäischen Union statt.

5. Registrierung, Login und Kontoverwaltung

Wenn Sie sich registrieren oder ein Nutzerkonto verwenden, verarbeiten wir Ihre E-Mail-Adresse, Ihr Passwort (gespeichert als bcrypt-Hashwert, nie im Klartext), optionale Namen- und Unternehmensdaten, Postadresse, Telefonnummer, Steuer-ID und USt-IdNr. sofern angegeben, Kontoeinstellungen, Paket- und Abonnementstatus, Billing-Einstellungen sowie sicherheitsrelevante Login-Daten. Die Verarbeitung ist erforderlich, um Ihr Konto bereitzustellen, Sie zu authentifizieren und das Vertragsverhältnis zu verwalten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Für die Sitzungsverwaltung speichert die Anwendung Zugriffs- und Aktualisierungstoken im Browser. Die Tokenrevokation ist auf Kontoebene unterstützt. Für das Consent-Banner speichern wir Ihre Einwilligungsentscheidung lokal im Browser und protokollieren den Consent-Status zusätzlich serverseitig mit pseudonymer Consent-ID, Zeitstempel, Policy-Version, Banner-Konfigurations-Hash, Vendor-Kontext, User-Agent und IP-Hash. Technisch notwendige Speicherungen erfolgen auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG; die daran anschließende Verarbeitung nach Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

6. eBay-Integration

Wenn Sie ein eBay-Konto mit BayManager verbinden, verarbeiten wir OAuth-Freigabedaten, Access- und Refresh-Tokens (verschlüsselt gespeichert), eBay-Kontoidentifikatoren, Listing-Daten, Bestelldaten, Käuferkennungen, soweit von eBay übermittelte Käufer-E-Mail-Adressen, Nachrichteninhalte, Versand- und Fulfillment-Statusinformationen sowie erstattungsbezogene Daten, um die angeforderten Plattformfunktionen zu erbringen. Dazu zählen insbesondere Bestellimport, Listing-Synchronisierung, Verarbeitung von Käufernachrichten, Versand konfigurierter Kommunikation, Erzeugung von Rechnungsbezügen und die Dokumentation lieferbezogener Aktionen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Solange eine eBay-Verbindung besteht, werden Bestellungen und Nachrichten in regelmäßigen Abständen durch automatisierte Hintergrundprozesse abgefragt. Chatbot-abhängige Autoantworten werden nur ausgelöst, wenn die entsprechende Funktion in den Kontoeinstellungen ausdrücklich aktiviert ist.

7. Bestellungen, Käuferkommunikation, Keys und Rechnungen

Zur Abwicklung von Bestellungen speichern wir Bestellreferenzen, Produktbezüge, Käuferkennungen, soweit vorhanden Käufer-E-Mail-Adressen, Lieferkanäle, Zustellbestätigungen, Zustellnachweise, Rechnungsstatus, Rechnungsnummern, PDF-Rechnungen und Kommunikationsprotokolle. Digitale Produktschlüssel werden im Ruhezustand verschlüsselt gespeichert (AES-128/Fernet). Die Verarbeitung ist erforderlich, um den Vertrag durchzuführen, die Leistungserbringung zu dokumentieren, Support zu leisten und handels- sowie steuerrechtlichen Aufbewahrungspflichten nachzukommen. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. c DSGVO.

Wenn Sie E-Mail-Zustellung oder Rechnungsversand nutzen, werden Empfängerdaten und Nachrichteninhalte über die konfigurierte SMTP-Infrastruktur verarbeitet (derzeit Turbo SMTP EU, betrieben innerhalb der Europäischen Union). Als Standard-Absender sind no-reply@baymanager.de und invoice@baymanager.de vorgesehen. Ausgestellte Rechnungen werden als feste Dokument-Snapshots zusammen mit strukturiertem E-Rechnungs-XML, Hashwerten und Validierungsmetadaten archiviert, um gesetzliche Aufbewahrungs- und Nachweispflichten zu erfüllen.

8. Paketkäufe und Zahlungen

Für kostenpflichtige Pakete, Nachkäufe und die Zahlungsabwicklung arbeiten wir mit Stripe (Stripe Payments Europe Ltd., Dublin, Irland) und PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg) zusammen. Dabei verarbeiten wir Paketreferenzen, Nutzerkennungen, Transaktionskennungen, Zahlungsstatusdaten, Laufzeitdaten, Betrags- und Währungsdaten sowie providerspezifische Checkout- und Webhook-Daten. Vollständige Zahlungskartendaten werden von BayManager selbst nicht verarbeitet oder gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

9. Chatbot- und KI-gestützte Funktionen

Wenn Chatbot-Funktionen aktiviert sind, können Kundennachrichten, Produkt-Wissensdatenbankinhalte, kontobezogener Support-Kontext und bestellbezogener Kontext an einen KI-Dienst übermittelt werden, um Antwortentwürfe oder automatische Antworten zu erzeugen. Der derzeit eingesetzte KI-Dienst ist Mistral AI (Mistral AI SAS, Paris, Frankreich), ein Anbieter mit Sitz innerhalb der Europäischen Union. Die Datenverarbeitung durch Mistral AI erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Gemäß den Nutzungsbedingungen von Mistral AI werden über die API übermittelte Daten nicht zum Training von Modellen verwendet.

Vor der Aktivierung der externen KI-Verarbeitung müssen Plattformnutzer (Verkäufer) in den Kontoeinstellungen ausdrücklich ihre Einwilligung erteilen. Diese Einwilligung wird mit Zeitstempel und Version dokumentiert. Plattformnutzer sind eigenverantwortlich dafür, ihre eigenen Käufer (Endkunden) gemäß dem anwendbaren Datenschutzrecht über die KI-gestützte Nachrichtenverarbeitung zu informieren.

Automatisierte Antworten werden nur ausgelöst, wenn das entsprechende Paket aktiv und die Funktion in den Kontoeinstellungen aktiviert ist. Rechtsgrundlage für die Einwilligung des Verkäufers ist Art. 6 Abs. 1 lit. a DSGVO; die operative Verarbeitung bei aktivierten Funktionen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

10. Analytics, Einwilligung und lokale Speicherung

BayManager verwendet ein Consent-Banner. Optionale Analytics werden erst dann aktiviert, wenn Sie ausdrücklich eingewilligt haben. Die aktuelle Implementierung unterstuetzt administrativ konfigurierte Analytics-Integrationen wie Google Analytics oder Plausible. Ohne Einwilligung werden optionale Analytics-Skripte nicht geladen. Die Einwilligung kann jederzeit ueber den Link fuer Cookie-Einstellungen auf der Website erneut angepasst werden. Rechtsgrundlage fuer das Speichern und Auslesen von Informationen auf Endgeraeten ist § 25 Abs. 1 TDDDG; die anschliessende Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Soweit eine Speicherung technisch erforderlich ist — etwa fuer Einwilligungspraeferenzen, Sitzungstoken, Authentifizierungsinformationen und ausgewaehlte lokale Cache-Daten im Dashboard — erfolgt sie auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG. Consent-Aenderungen werden zusaetzlich serverseitig als Nachweis protokolliert.

11. Technische Sicherheitsmaßnahmen

Wir setzen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 25 und Art. 32 DSGVO um. Diese umfassen insbesondere: Transportverschlüsselung via HTTPS/TLS für alle Verbindungen; symmetrische AES-128-Verschlüsselung (Fernet) im Ruhezustand für alle sensiblen Zugangsdaten einschließlich eBay-OAuth-Tokens, Lieferanten-API-Schlüssel und SMTP-Zugangsdaten; bcrypt-Hashing mit Stärkevalidierung für Passwörter; JWT-basierte Authentifizierung mit serverseitiger Token-Revokation; IP-Adress-Protokollierung in Audit-Logs zur Missbrauchserkennung; automatisierte Datenlöschung und -anonymisierung durch ein Retention-System (siehe Abschnitt 13) sowie Zugriffskontrollen, die den Datenzugriff auf authentifizierte Nutzer und autorisierte Systemprozesse beschränken.

12. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies rechtlich zulässig und erforderlich ist. Soweit wir Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO einsetzen, haben wir mit diesen Auftragsverarbeitungsverträge geschlossen. Aktuelle Auftragsverarbeiter und Empfänger:

  • Netcup GmbH, Karlsruhe, Deutschland — Server-Hosting, Datenbank- und Cache-Infrastruktur (EU/DE)
  • Turbo SMTP EU — transaktionaler E-Mail-Versand (EU)
  • Mistral AI SAS, Paris, Frankreich — KI-Verarbeitung für Chatbot-Funktionen bei Aktivierung (EU)
  • eBay GmbH, Dreilinden, Deutschland / eBay Inc., USA — eBay-Plattformintegration
  • Stripe Payments Europe Ltd., Dublin, Irland — Zahlungsabwicklung (EU)
  • PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg — Zahlungsabwicklung (EU)

13. Drittlandübermittlungen

Der überwiegende Teil unserer Dienstleister — darunter Netcup (Deutschland), Turbo SMTP EU, Mistral AI (Frankreich), Stripe Payments Europe (Irland) und PayPal Europe (Luxemburg) — hat seinen Sitz innerhalb der Europäischen Union. Im Zusammenhang mit diesen Anbietern findet keine Drittlandübermittlung statt.

Im Zusammenhang mit der eBay-Integration können Daten an eBay Inc. in den Vereinigten Staaten übermittelt werden. eBay Inc. nimmt am EU-US-Data-Privacy-Framework teil und setzt ergänzend Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO ein. Bei Nutzung optionaler Analytics-Dienste wie Google Analytics können ebenfalls Daten in die USA übermittelt werden; diese Übermittlungen erfolgen auf Grundlage der jeweiligen Standardvertragsklauseln des Anbieters.

14. Speicherdauer und automatisierte Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck, das Vertragsverhältnis, gesetzliche Aufbewahrungspflichten oder berechtigte Dokumentations- und Sicherheitsinteressen erforderlich ist.

BayManager betreibt ein automatisiertes Datenhaltungssystem, das nicht mehr erforderliche Daten regelmäßig löscht oder anonymisiert: Käufernachrichten werden nach Ablauf der konfigurierten Aufbewahrungsfrist automatisch gelöscht (Standard: 12 Monate). Bestelldatensätze werden nach Ablauf der konfigurierten Aufbewahrungsfrist automatisch anonymisiert (Standard: 12 Monate); dabei werden die personenbezogenen Felder Käufer-ID, Käufer-E-Mail, Zustell-E-Mail, Fehlermeldungen und Zustellnachweise auf Null gesetzt, während der anonymisierte Transaktionsdatensatz zur Dokumentation erhalten bleibt. Audit-Log-Einträge werden nach Ablauf der konfigurierten Aufbewahrungsfrist automatisch gelöscht (Standard: 12 Monate).

Ausnahme: Mit Rechnungsdokumenten verknüpfte Daten werden für die gesetzlich vorgeschriebene Dauer nach Handels- und Steuerrecht aufbewahrt (derzeit 10 Jahre gemäß §§ 147 AO, 257 HGB). Sicherheits- und Systemprotokolle werden nur so lange vorgehalten, wie dies für Fehleranalyse und Missbrauchsprävention erforderlich ist.

15. Betroffenenrechte

Sie haben nach Maßgabe der gesetzlichen Voraussetzungen das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Soweit eine Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Sie haben das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die für den Verantwortlichen zuständige Aufsichtsbehörde ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Postfach 3163, 65021 Wiesbaden, www.datenschutz.hessen.de.

16. Kontakt für Datenschutzanliegen

Für datenschutzbezogene Anliegen kontaktieren Sie uns bitte per E-Mail an contact@baymanager.de.