SpoofScan – Datenschutzerklärung

Kurzzusammenfassung: Statische Website ohne Cookies/Tracking/Google Fonts, nur technisch notwendige Server-Logs beim Hoster (Strato). Telegram-Bot verarbeitet minimal: Telegram-User-ID, @username/Anzeigename, Sprache, Befehls-Parameter und Entitlements; keine Volltext-Chat-Archivierung. Zahlung ausschließlich in SOL (on-chain), buchhalterische Aufbewahrungspflichten werden erfüllt. Telegram ist eigener Verantwortlicher (mögliche Drittlandverarbeitung); Alternativen (Website/E-Mail) stehen bereit.

SpoofScan – Jürgen Kossowski
Windmühlenstraße 9, 04425 Taucha, Deutschland

E-Mail (allgemein): contact@spoofscan.com
E-Mail (Datenschutz): datenschutz@spoofscan.com
E-Mail (Widerruf): widerruf@spoofscan.com

Telefon: keine Hotline; bitte per E-Mail kontaktieren.
Impressum vorhanden; Angaben deckungsgleich.

Diese Erklärung gilt für spoofscan.com und *.spoofscan.com, den Telegram-Bot @SpoofScanBot sowie die offiziellen Telegram-Kanäle/-Gruppen (siehe Ziff. 6).

Zielgruppe: international; Nutzung nur, soweit lokal rechtlich zulässig. Vertragssprachen: Deutsch und Englisch (Bot dialogisch überwiegend EN). Bei Abweichungen ist die deutsche Fassung maßgeblich. Mindestalter: 18 Jahre.

Die genannten Rechtsgrundlagen gelten jeweils abhängig vom konkreten Verarbeitungskontext (siehe unten).

• Art. 6 Abs. 1 lit. b DSGVO – Vertrag/vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Pflichten (z. B. Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (IT-Sicherheit, Betrieb, Missbrauchsprävention, Kommunikation)
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (nur für optionale, derzeit nicht aktive Marketing-DMs)

Keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), kein personenbezogenes Profiling, keine Entscheidungen i. S. v. Art. 22 DSGVO.

Kein Datenschutzbeauftragter bestellt (Art. 37 DSGVO nicht einschlägig). Ansprechpartner: Verantwortlicher (siehe Ziff. 1).

5.1 Hosting/Ort

Hosting durch Strato (Deutschland/EU). Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abgeschlossen.

5.2 Server-Logfiles

Kategorien: IP-Adresse, Datum/Uhrzeit, angeforderte URL/Request-Zeile, HTTP-Status, übertragene Bytes, Referrer (falls übermittelt), User-Agent, ggf. Fehlermeldungen.

Zwecke: Betrieb/Auslieferung, Sicherheit/Missbrauchserkennung, Stabilität/Performance, Fehleranalyse, forensische Nachweise.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: max. 6 Wochen (anlassbezogen länger bis Klärung, danach Löschung/Anonymisierung).

5.3 Cookies & lokale Speicher oder ähnliche Technologien

Wir setzen auf unserer Website keine Cookies oder vergleichbaren Speichertechnologien ein. Ein Cookie-Banner ist daher nicht erforderlich. Es werden außerdem keine lokalen Speichermethoden wie Local Storage, Session Storage oder IndexedDB genutzt. Hinweis: Sollte der Hosting-Provider in Einzelfällen ein technisch erforderliches Cookie (z. B. Load-Balancing/Angriffsabwehr) setzen, erfolgt dies einwilligungsfrei gemäß § 25 Abs. 2 Nr. 2 TDDDG (ehem. TTDSG); keine Profilbildung. Aktueller Status: kein solches Cookie aktiv. Ein evtl. auf der Startseite eingeblendeter „Kein-Cookie“-Hinweis funktioniert rein clientseitig und speichert nichts.

5.4 Externe Inhalte

Keine externen Fonts/Skripte/iFrames/CDN-Assets. Bei künftigen Änderungen wird diese Erklärung mit Anbieter, Ressource, Zweck und Rechtsgrundlage aktualisiert.

5.5 Dienst-Infrastruktur (Produkt-Backend)

Die Produkt- und Backend-Funktionen (Telegram-Bot, Analyse, Entitlements, Abrechnung) laufen auf Infrastruktur der dataforest GmbH (AS58212) im Rechenzentrum maincubes FRA01 (Frankfurt/Offenbach, DE/EU). Es besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Hinweis: Diese Angabe betrifft die Dienst-Infrastruktur und ist vom Webhosting der statischen Website (Strato) zu unterscheiden.

Sofern in dieser Datenschutzerklärung nichts Abweichendes geregelt ist, richten sich die Speicherdauern der in der Dienst-Infrastruktur verarbeiteten personenbezogenen Daten nach den in Ziff. 7 und 8 genannten Fristen.

6.1 Offizielle Struktur (aktiv)

6.2 Beitritts-Quiz (5 Fragen) & Moderation

Beim Eintritt in Kanäle/Gruppen wird ein kurzes Quiz (5 leichte Fragen) genutzt, um Spam zu vermeiden und die Community-Qualität zu sichern.

Daten: Telegram-User-ID, ggf. @username/Anzeigename, Zeitpunkte, Antworten/Score, Entscheidung (Zulassung/Ablehnung), ggf. Moderator-ID/Begründung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 30 Tage rollierend; bei Vorfällen bis Abschluss der Klärung.

Moderation/Anti-Spam: Verarbeitung betroffener Nachricht/Metadaten (Zeitpunkt, Message-ID), User-ID/@username, Verstoßkategorie, Entscheidung. Speicherdauer: 30 Tage; bei Vorfällen bis Abschluss.

6.3 Kanal-Informationen, Direktnachrichten & Opt-out

Kanalposts enthalten produktbezogene Hinweise/Updates. Bot-DMs erfolgen zur Erbringung des Dienstes.

Rechtsgrundlagen: Kanalposts Art. 6 Abs. 1 lit. f; dienstbezogene Bot-DMs Art. 6 Abs. 1 lit. b; Marketing-DMs nur mit Einwilligung (Art. 6 Abs. 1 lit. a) – aktuell nicht aktiv.

Wir speichern Inhalte von Kanalbeiträgen und Direktnachrichten nicht vollumfänglich oder volltextlich in eigenen Systemen. Insoweit gelten die Speicher- und Löschfristen von Telegram als eigenständig Verantwortlichem (vgl. Ziff. 6.4).

Parameter-, Meta- und Nutzungsdaten, die im Rahmen des SpoofScan-Bots verarbeitet werden, unterliegen den in Ziff. 7.5 genannten Speicherfristen.

Opt-out: Kanal/Gruppe verlassen; Bot: /stop oder Blockieren.

6.4 Telegram als eigener Verantwortlicher / Drittland

Telegram ist eigenständiger Verantwortlicher und kann personenbezogene Daten außerhalb des EU/EWR-Raums verarbeiten (u. a. VAE/USA). Wir haben die zum Zeitpunkt der letzten Aktualisierung dieser Datenschutzerklärung öffentlich verfügbaren Datenschutzinformationen von Telegram (https://telegram.org/privacy) geprüft. Auf die tatsächliche Verarbeitung durch Telegram haben wir keinen Einfluss und übernehmen keine Gewähr für deren Inhalte oder Aktualität. Alternativen: Website oder E-Mail. Intern verarbeiten wir nur erforderliche Telegram-Daten (insb. User-ID).

6.5 Premium-Kanäle & Entitlements

Zugang über Entitlements (Zuordnung Telegram-ID ↔ Berechtigung/Zeitraum). Rechtsgrundlage: Art. 6 Abs. 1 lit. b. Speicherdauer: bis 24 Monate nach letzter Aktivität bzw. gemäß gesetzlichen Pflichten (Zahlung/Rechnung s. Ziff. 8).

7.1 Zweck/Funktionen

Onboarding, Entitlements/Freischaltung nach Zahlung, Abruf von Checks/Alerts/Scores, Konfiguration (Symbole/Börsen/Schwellen), Systemhinweise, /stop.

7.2 Datenkategorien

• Stammdaten: Telegram-User-ID (Pflicht), ggf. @username, Anzeigename, Spracheinstellung.
• Inhaltsdaten: Kommandos/Parameter (z. B. Symbol, Börse, Schwellen). Keine Volltext-Archivierung.
• System-/Metadaten: Zeitstempel, Statuscodes, Zustellstatus, Rate-Limit/Anti-Spam-Events.
• Ergebnisdaten: objektbezogene Scores/Alerts (Markt/Symbol/Börse), keine personenbezogenen Profile.

7.3 Persistenz, Orte, Sicherheit

Datenbank: PostgreSQL auf dediziertem Rootserver (dataforest GmbH) im RZ maincubes FRA01 (DE/EU). Volumes verschlüsselt (at rest), alle Verbindungen TLS (in transit), optional feldweise Verschlüsselung (pgcrypto).

Logs: App-Logs (ohne Nachrichtenvolltexte) 30 Tage; Security-Events 90 Tage; Audit-Logs 180 Tage; anlassbezogen länger bis Zweckfortfall. PII-Minimierung/Maskierung umgesetzt.

7.4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b (Vertrag/Erbringung inkl. Tests), Art. 6 Abs. 1 lit. f (IT-Sicherheit/Missbrauchsprävention/Verfügbarkeit). Einwilligung (Art. 6 Abs. 1 lit. a) nur für optionale, derzeit nicht aktive Fälle.

7.5 Löschung/Backups

Telegram-ID/Username/Anzeigename: Löschung spätestens 24 Monate nach letzter Aktivität oder auf Anfrage (sofern keine Pflichten entgegenstehen). Interaktions-/Parameter-Events: 30 Tage. Anti-Spam/Rate-Limit: 30 Tage. Backups: verschlüsselt, Rotation 35 Tage (bis zum Überschreiben technisch rekonstruierbar).

7.6 Pflicht zur Bereitstellung

Die Telegram-User-ID ist zur Nutzung des Bots technisch erforderlich; ohne sie kann der Dienst nicht erbracht werden.

7.7 Externe Markt-/Preisdaten (CEX) – keine Empfänger personenbezogener Daten

Unser System bezieht Markt- und Preisdaten über die öffentlichen/vertraglichen APIs der folgenden Börsen: Binance, Bybit, MEXC, BingX. Die Daten werden auf unserem Server in Frankfurt am Main (DE/EU) verarbeitet, analysiert und anschließend an unsere Telegram-Nutzer ausgegeben.

Dabei werden keine personenbezogenen Daten unserer Nutzer an diese Börsen übermittelt – insbesondere keine Telegram-IDs, E-Mail-Adressen, Nutzer-IP-Adressen, Zahlungs- oder Profildaten. Übermittelt werden ausschließlich die für den Abruf erforderlichen technischen Request-Daten (z. B. die Server-IP unseres Systems).

Die genannten Börsen sind daher im Rahmen dieses Vorgangs keine Empfänger personenbezogener Daten im Sinne der DSGVO. Rechtsgrundlagen der Verarbeitung bei uns: Art. 6 Abs. 1 lit. b DSGVO (Erbringung des Dienstes) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an verlässlichen Datenquellen, IT-Sicherheit und Systembetrieb).

Hinweis: Sollten künftig nutzerbezogene Daten (z. B. API-Keys oder persönliche Handelsdaten) mit Börsen ausgetauscht werden, aktualisieren wir diese Datenschutzerklärung. In diesem Fall würden die Börsen als Empfänger benannt und etwaige internationale Übermittlungen einschließlich geeigneter Garantien (z. B. EU-Standardvertragsklauseln) transparent dargestellt.

8.1 Verfahren & Daten

Zahlung ausschließlich in SOL (Preise in EUR angezeigt; Abrechnung zum SOL-Äquivalent). Verarbeitete Daten: Absender-Wallet, Transaktions-Hash/Signatur, Betrag (SOL), Blockzeit/Zeitpunkt, EUR/SOL-Quote inkl. Kursquelle (z. B. Binance Spot SOLEUR, BBO-Mid) und Gültigkeitsfenster (5 Minuten), Zuordnung Telegram-ID ↔ Rechnung/Entitlement, Rechnungs-/Beleg-ID. Diese Nachweise werden zur ordnungsgemäßen Abrechnung dokumentiert.

8.2 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b (Vertrag), Art. 6 Abs. 1 lit. c (Aufbewahrungspflichten), Art. 6 Abs. 1 lit. f (Betrugsprävention/Nachweis).

8.3 Speicherdauern

• Bücher, Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte: 10 Jahre (vgl. § 147 Abs. 3 S. 1 i. V. m. Abs. 1 Nr. 1 AO; § 257 Abs. 4 i. V. m. Abs. 1 Nr. 1 HGB)
• Buchungsbelege (inkl. Ein- und Ausgangsrechnungen): 8 Jahre (seit 01.01.2025; § 147 Abs. 3 S. 1 i. V. m. Abs. 1 Nr. 4 AO n. F.; § 257 Abs. 4 i. V. m. Abs. 1 Nr. 4 HGB n. F.)
• Geschäfts- und Handelsbriefe (empfangen/versandt) sowie sonstige empfangene Unterlagen: 6 Jahre (§ 147 Abs. 3 S. 1 i. V. m. Abs. 1 Nr. 2, 3, 5, 6 AO; § 257 Abs. 4 i. V. m. Abs. 1 Nr. 2, 3 HGB)
• Operative Zahlungs-Logs (Detail): 90 Tage; danach Aggregation/Anonymisierung (Art. 5 Abs. 1 lit. c, e DSGVO – Datenminimierung/Speicherbegrenzung)
• Mapping Telegram-ID ↔ Zahlung/Rechnung: bis zu 8 Jahre (Rechnungs-/Buchungsbelegnachweis); nur wenn Bestandteil der Handelsbücher/Jahresabschlüsse: bis zu 10 Jahre.

Fristbeginn jeweils mit Ablauf des Kalenderjahres der Entstehung/letzten Eintragung bzw. des Empfangs/Versands (§ 147 Abs. 4 AO; § 257 Abs. 5 HGB). Längere Aufbewahrung, soweit erforderlich zur Geltendmachung/Abwehr zivilrechtlicher Ansprüche (regelmäßig bis zu 3 Jahre, § 195 BGB).

8.4 Empfänger/Dienstleister

• Abrechnungs-Backend/Backups: dataforest GmbH (RZ maincubes FRA01, DE/EU; AVV)
• Solana-RPC: Helius (USA) – Übermittlung nur ohnehin öffentlicher On-Chain-Daten; EU-SCCs, TLS, Datenminimierung
• E-Mail-Beleg (optional): EU-Mail-Provider (AVV)

8.5 Erstattungen

Rückzahlungen in SOL erfolgen an die ursprünglich verwendete Wallet (refund to source). Maßgeblich ist der EUR-Betrag der Erstzahlung; die Umrechnung erfolgt zum Kurszeitpunkt des ursprünglichen Zahlungseingangs in SOL.

Gebührenklarstellung: Wir erheben keine eigenen Service- oder Bearbeitungsentgelte. Die bei Ihrer ursprünglichen Zahlung angefallene Blockchain-Netzwerkgebühr (Drittentgelt) wird nicht erstattet. Die bei der Rückzahlung anfallende Blockchain-Netzwerkgebühr tragen wir; der Erstattungsbetrag wird dadurch nicht gemindert.

8.6 Blockchain-Transparenz & Unveränderbarkeit

Transaktionsdaten in öffentlichen Blockchains sind grundsätzlich öffentlich einsehbar, werden von Dritten indiziert (z. B. Block-Explorer) und sind nachträglich nicht löschbar. Dies liegt außerhalb unseres Verantwortungsbereichs. Interne Zuordnungen (Telegram-ID ↔ Zahlung) werden strikt zweckgebunden und minimiert gespeichert (siehe Fristen oben).

9.1 E-Mail-Kontakt

E-Mails an contact@spoofscan.com (allgemein) und datenschutz@spoofscan.com (DSGVO): Verarbeitung von Absender-E-Mail/Name, Inhalt/Anhänge, Datum/Uhrzeit, Betreff, Header/Metadaten; providerseitig Server-Logs. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/f/c. Speicherdauern: allgemeine Korrespondenz bis 12 Monate; handelsrelevant 6 Jahre; steuerrelevant 10 Jahre; Mail/Server-Logs ca. 6 Wochen.

9.2 Widerrufsformular (PDF, ausfüllbar)

Optionales, ausfüllbares PDF; Versand an widerruf@spoofscan.com.

Angaben (datensparsam): Telegram-ID (Pflicht), ggf. @username/Anzeigename, Rechnungs-/Beleg-ID, Transaktions-Hash, Zahlungszeitpunkt, Widerrufserklärung, Datum, optional Kontakt-E-Mail.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. c (gesetzl. Nachweise), lit. b (Abwicklung), lit. f (Nachweis/Abwehr unberechtigter Ansprüche). Aufbewahrung: idR bis zu 3 Jahre nach Jahresende (Regelverjährung) bzw. 6/10 Jahre, wenn abrechnungsrelevant.

Beta-Zugang via @SpoofScan_Beta; Auswahl mittels Fragebogen für professionelle Trader.

Daten: Telegram-ID, ggf. @username/Anzeigename, Antworten/Ergebnis, Zeitpunkte, Zulassungsentscheidung, zugeteilte Entitlements (Beta-Zugang).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (vorvertragliche Maßnahme/Teilnahmebedingungen; Beta-Testvereinbarung), Art. 6 Abs. 1 lit. f (Qualitäts-/Sicherheitsprüfung).

Anonymisierte Beta-Testvereinbarung in DE/EN vorhanden; namentliche Erwähnung nur mit ausdrücklicher Einwilligung.

Aufbewahrung: Beta-Fragebogen/Entscheidung 12 Monate nach Beta-Ende; Vereinbarung (Nachweis) bis zu 3 Jahre nach Jahresende, sofern keine längeren Pflichten greifen.

Drittland-Bezug besteht insbesondere zu Telegram (eigener Verantwortlicher; mögliche Verarbeitung u. a. in VAE/USA) und zu Helius (USA) als RPC-Provider.

Maßnahmen: Bei Auftragsverarbeitern außerhalb EU/EWR Einsatz geeigneter Garantien (insb. EU-SCCs), TLS-Transport, Verschlüsselung at rest, Datenminimierung/Zugriffsbeschränkung. Restrisiken: ggf. geringeres Schutzniveau/Behördenzugriffe. Alternativen: Web/E-Mail statt Telegram. On-Chain-Daten sind öffentlich; interne Personen-Verknüpfungen werden minimiert.

• Rechte nach Art. 15–22 DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch (insb. gegen Art. 6 Abs. 1 lit. f).
• Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (am Aufenthaltsort/Arbeitsort oder am Sitz des Verantwortlichen).

Kontakt zur Rechteausübung: datenschutz@spoofscan.com oder postalisch (siehe Ziff. 1). Identitätsprüfung kann erforderlich sein (z. B. Abgleich Telegram-ID/Rechnungs-/Transaktionsreferenz). Fristen: Antwort i. d. R. innerhalb eines Monats (Verlängerung um bis zu zwei Monate bei Komplexität mit Begründung).

Praktische Opt-out-Wege: Kanal/Gruppe verlassen; Bot /stop oder Blockieren.

TOMs (Auszug): TLS 1.2+, verschlüsselte Server-Volumes, gehärtetes SSH (Key-Login), 2FA für Admins, hostbasierte Firewalls, Rate-Limits/Fail2ban, RBAC/Least-Privilege, Secrets-Management (Trennung/Rotation), verschlüsselte Backups (Haltezeit 35 Tage) mit regelmäßigen Restore-Tests, self-hosted Observability in EU mit PII-Minimierung/Maskierung und den in Ziff. 7.3 genannten Log-Fristen. Datenminimierung: primär Telegram-ID + erforderliche Vertrags-/Nutzungsmetadaten; keine Volltext-Chat-Speicherung.

Datenpannen: definierte Meldewege/Notfallplan; Meldung meldepflichtiger Vorfälle an die Aufsichtsbehörde möglichst binnen 72 h; ggf. Benachrichtigung Betroffener; vollständige Dokumentation.

Für die Bot-Nutzung ist die Bereitstellung der Telegram-User-ID technisch erforderlich; ohne sie kann der Dienst nicht erbracht werden. Für die Freischaltung kostenpflichtiger Leistungen sind on-chain Transaktionsdaten notwendig; ohne sie keine Entitlements. Eine darüber hinausgehende gesetzliche Pflicht zur Bereitstellung besteht nicht; bei Nichtbereitstellung können einzelne Funktionen nicht genutzt werden.

VVT: geführt (Verantwortlichen-Sicht für Website, Bot, Zahlung, Support; AV-Beziehungen dokumentiert). DPIA: derzeit nicht erforderlich (keine besonderen Kategorien; kein großmaßstäbliches/personenbezogenes Profiling; keine Entscheidungen mit Rechtswirkung).

Diese Datenschutzerklärung ist in der oben angegebenen Fassung gültig. Änderungen (z. B. bei neuen Funktionen/Dienstleistern) werden hier veröffentlicht; zusätzlich erfolgt ein Hinweis auf der Website und im offiziellen EN-Kanal. Bei wesentlichen Änderungen, die eine Einwilligung erfordern, holen wir diese vorab ein.