DSGVO · Art. 13 & 14

Datenschutzerklärung

Der Schutz deiner persönlichen Daten ist uns wichtig. Diese Datenschutzerklärung informiert dich darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte du hast — gemäß der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG).

1. Verantwortlicher

Ein gesonderter Datenschutzbeauftragter ist nach § 38 BDSG nicht verpflichtend, da das Unternehmen weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

2. Hosting & Server-Log-Dateien

Diese Website wird auf einem dedizierten Server der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) in einem Rechenzentrum innerhalb der Bundesrepublik Deutschland gehostet. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Dabei werden technisch notwendige Server-Log-Dateien automatisch erhoben. Diese enthalten: IP-Adresse (gekürzt / pseudonymisiert nach Verarbeitung), Datum und Uhrzeit, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge sowie Browsertyp und Betriebssystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der stabilen, sicheren Bereitstellung der Plattform sowie der Abwehr von Angriffen). Speicherdauer: Maximal 14 Tage; danach werden die Logs gelöscht oder vollständig anonymisiert.

Datei-Speicher (Cloudflare R2): Hochgeladene Dateien (Avatare, Trade- und Journal-Anhänge) werden über das S3-kompatible Object-Storage Cloudflare R2 in einem EU-Bucket gespeichert. Anbieter: Cloudflare Germany GmbH, Rosental 7, 80331 München, mit Auftragsverarbeitungsvertrag und EU-Datenresidenz. Standard-Vertragsklauseln (SCCs) gemäß Art. 46 DSGVO sind über die Cloudflare Data Processing Addendum abgedeckt.

3. Registrierung & Nutzerkonto

Bei der Registrierung erheben wir: Benutzername, E-Mail-Adresse, Passwort (Bcrypt-Hash, niemals im Klartext), Registrierungszeitpunkt, letzten Login sowie optional ein selbst hochgeladenes Profilbild.

Zweck: Bereitstellung des Nutzerkontos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Für die Dauer der Kontonutzung; nach Löschung innerhalb von 30 Tagen.

3.1 Minderjährige (Art. 8 DSGVO)

Die Plattform richtet sich ausschließlich an Personen ab 18 Jahren (vgl. AGB § 3). Wir verarbeiten Daten von Minderjährigen nicht wissentlich. Erlangen wir Kenntnis, dass wir Daten einer Person unter 18 Jahren verarbeiten, löschen wir diese unverzüglich (Art. 17 DSGVO). Eltern oder Erziehungsberechtigte, die annehmen, dass ihr Kind ein Konto angelegt hat, können sich an [email protected] wenden.

4. Handelsdaten (Trading Journal)

Im Rahmen der Plattformnutzung speicherst du folgende Daten, ausschließlich deinem Konto zugeordnet und für andere Nutzer nicht einsehbar:

• Trade-Daten (Symbol, Richtung, Volumen, Preise, Zeitstempel, P&L)
• Journal-Einträge (Pre-Market-Plan, Marktnotizen, Post-Market-Reflexion, Stimmungs-Werte, Lessons Learned)
• Trade-Reviews (Execution-Grade, Stimmung vor/nach Trade, Plan-Befolgt-Status, Notizen)
• Tags, Playbooks und Trade↔Playbook-Zuordnungen
• Hochgeladene Screenshots (lokal auf unserem Server; nur von dir selbst abrufbar)
• Symbol-Zuordnungen pro Handelskonto
• XP- und Level-Events, Trading-Konten-Konfiguration

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Du kannst deine Daten jederzeit selbst löschen; die Löschung eines Handelskontos entfernt auch dessen Symbol-Zuordnungen, die Löschung aller Trades entfernt die zugehörigen Mappings pro Account.

4.1 Audit-Log

Jede Änderung an Journal-Einträgen, Reviews, Tags und Playbooks wird mit Zeitstempel, Altwert und Neuwert in einem internen Audit-Log protokolliert. Dies ermöglicht dir eine vollständige Nachvollziehbarkeit deiner Änderungen und ist Voraussetzung für spätere Coach-/Team-Funktionen. Das Audit-Log ist rein intern und deinem Konto zugeordnet; es wird mit dem Konto gelöscht.

4.2 Hochgeladene Bilder / Screenshots

Screenshots, die du an Trades oder Journal-Einträge anhängst, werden im verschlüsselten Dateisystem unseres Servers unter einem zufälligen Pfad gespeichert. Der Zugriff erfolgt ausschließlich über eine authentifizierte Route, die das Eigentum sowohl auf Nutzer-Ebene als auch auf Entity-Ebene prüft. Andere Nutzer — inklusive eingeloggter Accounts — können diese Dateien nicht abrufen. Maximale Dateigröße: 6 MB, zulässige Formate: PNG, JPEG, WebP, GIF.

4.3 Zeitzonen-Daten

Trade-Zeitstempel werden serverseitig als UTC gespeichert und erst zur Anzeige in die von dir konfigurierte IANA-Zeitzone umgewandelt. Beim Import aus Broker-Dateien kannst du pro Datei die Quell-Zeitzone angeben. Eine Zeitzonen-Änderung in den Einstellungen ändert nur die Anzeige, nicht die Speicherung.

4.4 Steuer-Export-Berechnung (Anlage KAP)

Zweck: Aufbereitung deiner geschlossenen Trades als Hilfe zur Eintragung in die Anlage KAP der Einkommensteuererklärung. Methodik: Buy- und Sell-Fills werden je Symbol und Konto nach dem FIFO-Verfahren(First In, First Out) zu Round-Trip-Trades gepaart. Pro Trade werden Brutto-P&L, Kommissionen und Swaps summiert und in der Anzeige in die von dir gewählte Konto-Zeitzone umgerechnet. Datenquelle: ausschließlich deine gespeicherten Trade-Daten (vgl. Abschnitt 4); es findet keine Anreicherung durch Dritte statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Eine ausführliche Beschreibung der Berechnungs-Methodik sowie ein ausdrücklicher Haftungsausschluss finden sich in unseren AGB § 11a (Anlage-KAP-Export — Haftungsausschluss).

4.5 Algorithmische Mustererkennung und Profiling (Art. 13 Abs. 2 lit. f DSGVO)

(1) Was passiert. Die Plattform analysiert deine Trade- und Journal-Daten mit regelbasierten Detektoren („Onyx-Engine"), die statistische Muster in deinem Trading-Verhalten erkennen und dir als „Patterns" (z. B. revenge_trading, overtrading, position_sizing_drift, hold_time_asymmetry) zurückspiegeln. Diese Analyse ist Profiling im Sinne von Art. 4 Nr. 4 DSGVO.

(2) Logik. Die Detektoren vergleichen einzelne Trades gegen deine eigenen Baseline-Werte (Volume, Hold-Time, Tageszeit, Risiko-Profil) und markieren Trades, die signifikant abweichen. Die jeweiligen Schwellenwerte und Algorithmen sind in unserer öffentlichen Architektur-Dokumentation offen einsehbar.

(3) Tragweite. Die Erkenntnisse dienen ausschließlich deiner persönlichen Selbst-Reflexion. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung gegenüber dir statt (Art. 22 Abs. 1 DSGVO ist nicht anwendbar). Du bleibst alleiniger Entscheider über alle Trading-Aktionen; die Plattform spricht keine Anlageempfehlungen aus.

(4) Widerspruch. Du kannst der Profilbildung jederzeit widersprechen (Art. 21 Abs. 1 DSGVO). In diesem Fall wird die Onyx-Engine-Analyse für deinen Account deaktiviert; die zugrunde liegenden Trade-Daten bleiben unberührt. Schreibe dazu an [email protected].

(5) KI-Analysen (Pro Plus). Zusätzlich zur regelbasierten Onyx-Engine kannst du einzelne Trades oder Journal-Einträge durch einen KI-Anbieter analysieren lassen (siehe Abschnitt 6 „KI-gestützte Analysen"). Auch diese Verarbeitung ist Profiling; sie wird ausschließlich auf deinen aktiven Klick ausgelöst (Art. 6 Abs. 1 lit. a DSGVO).

5. Cookies, Lokaler Speicher & Einwilligung

Beim ersten Besuch unserer Website blenden wir einen Einwilligungs-Banner am unteren Bildschirmrand ein. Du entscheidest dort granular pro Kategorie, was wir laden dürfen — drei gleich prominente Schalter („Nur essenzielle“ · „Einstellungen“ · „Alle akzeptieren“) sowie ein Schließen-Symbol, das einer Ablehnung der nicht-essenziellen Kategorien entspricht. Deine Wahl wird lokal in deinem Browser gespeichert und gilt für 12 Monate; danach fragen wir erneut. Über den Link Cookie-Einstellungen im Footer kannst du deine Wahl jederzeit ändern oder vollständig widerrufen — so einfach, wie du sie erteilt hast (Art. 7 Abs. 3 DSGVO).

5.1 Essenziell (immer aktiv)

• Session-Cookie (session): Verschlüsselte Session-ID zur Anmeldeerkennung. Wird beim Abmelden oder Browser-Schließen gelöscht. Anbieter: TradeOnyx UG (haftungsbeschränkt) i.G., Server EU-Hetzner.
• CSRF-Schutz: Versteckter Token zur Abwehr von Cross-Site-Request-Forgery-Angriffen. Wird pro Session neu vergeben.

Zahlungsabwicklung (Stripe) — geplant, derzeit nicht aktiv: In der aktuellen kostenlosen Beta gibt es keine Bezahlfunktion; es werden daher keine Stripe-Cookies gesetzt. Erst wenn die kostenpflichtige Tarif-Abwicklung nach der Eintragung der UG freigeschaltet wird (vgl. AGB § 4), kann der Zahlungsdienstleister zur Betrugsabwehr Cookies setzen (__stripe_mid, __stripe_sid; Anbieter dann: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland) — ausschließlich, wenn du selbst einen Bezahlvorgang startest. Wir aktualisieren diesen Abschnitt vor der Aktivierung.

5.2 Komfort (opt-in)

• Spracheinstellung (tradeonyx_lang): Speichert die gewählte Sprache (DE/EN) im localStorage. Kein Tracking, kein Serverzugriff.
• Theme (tradeonyx_theme): Speichert die gewählte Farbpräferenz (hell/dunkel) im localStorage.

5.3 Statistik (opt-in)

Aktuell keine Statistik-Cookies aktiv. Geplant ist eine selbst gehostete Reichweiten-Messung (Plausible Analytics auf eigenem EU-Server), die ausschließlich anonyme Aggregat-Statistiken erfasst — keine personenbezogene Profilbildung, kein Cross-Site-Tracking, keine Drittland- Übertragung. Bis dahin ist der Schalter im Banner Platzhalter.

5.4 Externe Inhalte (opt-in)

Eingebettete YouTube-Videos werden standardmäßig im Click-to-Load-Modus ausgeliefert (siehe Abschnitt „Eingebettete Walkthrough-Videos“ weiter unten). Erst wenn du auf Play klickst, wird der YouTube-Player im erweiterten Datenschutzmodus nachgeladen. Wenn du diesen Schalter aktivierst, entfällt der Click-to-Load- Schutz für eingebettete Videos und Drittanbieter-Inhalte können direkt beim Seitenaufruf laden.

Rechtsgrundlage: Essenzielle Cookies: Art. 6 Abs. 1 lit. b und lit. f DSGVO i.V.m. § 25 Abs. 2 Nr. 2 TDDDG (technisch zwingend erforderlich für die Vertragsabwicklung). Komfort, Statistik und Externe Inhalte: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (deine aktive Einwilligung über das Banner).

6. Externe Dienste

Schriftarten (lokal gehostet)

Die auf dieser Seite verwendeten Schriftarten (Google-Fonts-Lizenz) werden vollständig auf unseren eigenen Servern gehostet und direkt von dort ausgeliefert. Beim Aufruf der Seite wird keine Verbindung zu Servern von Google aufgebaut; es werden keine personenbezogenen Daten an Google übermittelt.

Marktdaten (Yahoo Finance)

Die Plattform ruft Kursdaten (Kerzen) und Symbol-Suchergebnisse serverseitig von der Yahoo Finance API ab (query1.finance.yahoo.com, query2.finance.yahoo.com). Die Anfragen erfolgen vom Server aus, nicht vom Browser — an Yahoo werden keine personenbezogenen Daten, IP-Adressen oder Identifikatoren unserer Nutzer übermittelt. Die abgerufenen Kursdaten werden lokal zwischengespeichert, um Yahoo-Anfragen zu minimieren.

KI-gestützte Analysen (optional, plan-abhängig)

Für bestimmte Funktionen — insbesondere die KI-Analyse einzelner Trades, die Analyse von Journal-Einträgen, tägliche Markt-Briefings sowie Nachrichten- und Kalender-Zusammenfassungen — ruft die Plattform die API eines externen KI-Anbieters auf (aktuell Anthropic PBC, api.anthropic.com, Rechenzentren in den USA). Dabei werden deine Trade-Daten, Journal-Inhalte, Review-Notizen, Tags, Playbook-Beschreibungen und Konto-Währung als Prompt-Kontext an den KI-Anbieter übermittelt. Die Antwort (Markdown-Text) wird bei uns für die Dauer deines Abonnements zwischengespeichert (Cache, damit du sie ohne erneute API-Anfrage abrufen kannst) und mit der Kontolöschung entfernt. Mit Anthropic PBC besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) mit Zero-Retention-Klausel, der eine Verwendung der Daten zum Modell-Training vertraglich ausschließt. Bei einem Wechsel des KI-Anbieters verpflichten wir uns, eine entsprechende vertragliche Garantie vorab sicherzustellen.

Wir behalten uns vor, den KI-Anbieter zu wechseln (z. B. OpenAI, Google, Mistral oder selbst gehostete Modelle), um Kosten, Leistung oder Datenschutz zu optimieren. Ein Wechsel wird hier aktualisiert und bestehende Nutzer bei wesentlichen Änderungen informiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Klicken des „Analyse starten"-Buttons je Trade / Journal-Eintrag). Drittland-Transfer: erfolgt primär gestützt auf den Angemessenheits­beschluss der EU-Kommission zum EU-US Data Privacy Framework (Beschluss 2023/1795; Anthropic PBC ist DPF-zertifiziert), ergänzend auf EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO zuzüglich technischer Schutzmaßnahmen (TLS 1.2+, Zero-Retention-Addendum). Die KI-Analyse kann vom Administrator deaktiviert und vom Nutzer einfach nicht verwendet werden. Weiterführende Informationen: Anthropic Privacy Policy.

Hinweis gemäß EU AI Act: KI-generierte Inhalte sind in der Oberfläche als „KI-Analyse" gekennzeichnet. Die Ergebnisse sind algorithmisch erzeugt, stellen keine Anlageberatung dar und sind ohne Gewähr.

Transaktionale E-Mails (Postmark)

Für transaktionale E-Mails (Konto-Bestätigung, Passwort-Reset, Wochen-Digest, System-Benachrichtigungen) nutzen wir den E-Mail-Versand-Dienst Postmark der ActiveCampaign, LLC, 1 N Dearborn St, 5th Floor, Chicago, IL 60602, USA. Übermittelt werden ausschließlich deine E-Mail-Adresse, der Name (sofern hinterlegt) und der Inhalt der jeweiligen Mail. Mit Postmark besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) inklusive EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (Sicherheits-/Service-Mails).

Fehlerprotokollierung (Sentry)

Zur Sicherstellung des stabilen Betriebs und schnellen Behebung von Fehlern verwenden wir Sentry der Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA mit EU-Datenresidenz (de.sentry.io, Frankfurt). Bei einem auftretenden Fehler werden die Fehlermeldung, der Stack-Trace, die aufgerufene URL, Browser- und Betriebssystem-Information sowie deine gekürzte IP-Adresse erhoben. Die Daten dienen ausschließlich der technischen Fehlerbehebung; eine Profilbildung oder Werbeauswertung findet nicht statt. Speicherdauer in Sentry: 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Plattform-Stabilität). Drittland-Transfer: Datenresidenz EU; mit Sentry besteht ein Auftragsverarbeitungsvertrag inklusive EU-Standardvertragsklauseln. Weiterführend: Sentry Privacy Policy.

Content-Delivery-Network & Zugriffsschutz (Cloudflare)

Sämtlicher Web-Traffic an tradeonyx.io sowie die Subdomains app.tradeonyx.io, uploads.tradeonyx.io und assets.tradeonyx.io läuft über das CDN der Cloudflare Germany GmbH, Rosental 7, 80331 München (Vertragspartner) bzw. Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA (Konzernmutter). Cloudflare betreibt ein global verteiltes Edge-Netzwerk, in dem zur Auslieferung von Inhalten und zur Abwehr von Angriffen technisch zwingend IP-Adresse, User-Agent und angeforderte URL verarbeitet werden. Für administrative Bereiche (Staging und Admin-Inbox) kommt zusätzlich Cloudflare Access zum Einsatz; dabei wird ein kurzlebiges JWT-Cookie (CF_Authorization) im Browser des berechtigten Administrators gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, performanter und sicherer Bereitstellung der Plattform) sowie Art. 6 Abs. 1 lit. b DSGVO für die vertragsbezogenen Subdomains. Drittland-Transfer: Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) inklusive EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: Cloudflare Privacy Policy.

Bot-Schutz (Cloudflare Turnstile): Auf den Formularen Kontakt (/kontakt) und Registrierung (/register) setzen wir Cloudflare Turnstile ein. Turnstile ist eine datenschutzfreundliche Alternative zu CAPTCHA-Diensten (insbesondere Google reCAPTCHA), die ohne Klick-Rätsel, Tracking-Cookies und ohne Auswertung des Browser-Verlaufs auskommt. Bei Aufruf des Formulars wird ein Skript von challenges.cloudflare.com geladen, das im Hintergrund prüft, ob die Anfrage von einem Menschen oder automatisiert (Bot) erfolgt; dabei werden IP-Adresse, User-Agent und einige Browser-Eigenschaften an Cloudflare übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Spam und Bot-Registrierungen). Drittland-Transfer und AVV gelten analog zum Cloudflare-CDN oben.

Eingebettete Walkthrough-Videos (YouTube)

Auf einzelnen Seiten unserer Website (z.B. /walkthrough/<name> sowie auf einzelnen Akademie-Artikeln) betten wir Walkthrough-Videos vom YouTube-Kanal der TradeOnyx UG (haftungsbeschränkt) i.G. ein. Anbieter von YouTube ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, ein Tochterunternehmen der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Wir nutzen ein zweistufiges Verfahren: Erst zeigen wir ein bei uns selbst gehostetes Vorschaubild mit Play-Button (Click-to-Load). Solange du nicht aktiv auf Play klickst, baut dein Browser keinerlei Verbindung zu Google auf — es werden weder Cookies gesetzt noch IP-Adresse, User-Agent oder andere Daten übertragen. Erst dein aktiver Klick lädt den eigentlichen YouTube-Player im erweiterten Datenschutzmodus (youtube-nocookie.com) nach. Ab diesem Moment verbindet sich dein Browser direkt mit Servern von Google und es werden technisch zwingend IP-Adresse, User-Agent, Referrer-URL und Geräte-Informationen übertragen, damit das Video ausgeliefert werden kann. Bist du währenddessen in einem Google-Konto angemeldet, kann Google das Abruf-Verhalten zusätzlich diesem Konto zuordnen — du kannst das verhindern, indem du dich vor dem Klick aus deinem Google-Konto ausloggst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer niedrigschwelligen, audiovisuellen Produkt-Vorführung). Drittland-Transfer: Sobald das Video gestartet wird, erfolgt eine Übermittlung in die USA. Mit Google besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) inklusive EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Weiterführend: Google Privacy Policy.

Webanalyse

Wir setzen weder Google Analytics noch Meta-Pixel, LinkedIn Insight, TikTok-Pixel oder vergleichbare Tracking-Lösungen ein. Eigene Nutzungsstatistiken werden ausschließlich aus den Server-Logs (siehe Abschnitt 2) abgeleitet und enthalten keine personenbeziehbaren Identifikatoren. Eine Identifizierung einzelner Nutzer ist nicht möglich und nicht beabsichtigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Ein Cookie-Banner ist gemäß § 25 Abs. 2 TDDDG nicht erforderlich.

7. Datenweitergabe an Dritte

Wir geben deine personenbezogenen Daten nicht an Dritte weiter, es sei denn, du hast eingewilligt, die Weitergabe ist zur Vertragserfüllung erforderlich, eine gesetzliche Verpflichtung besteht oder ein berechtigtes Interesse überwiegt.

8. Deine Rechte als betroffene Person

• Auskunft (Art. 15 DSGVO): Welche Daten wir über dich gespeichert haben.
• Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten (im Profil selbst möglich).
• Löschung (Art. 17 DSGVO): Anfrage an [email protected] oder direkt im Profil über die Konto-löschen-Funktion.
• Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Handelsdaten als CSV und Journal-Einträge inkl. Reviews und Tags als JSON-Export im Profil herunterladen. Für Daten, die nicht in der Export-Funktion enthalten sind (z. B. Audit-Log), genügt eine formlose Anfrage an [email protected].
• Widerspruch (Art. 21 DSGVO).
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft.

Kontakt für alle Datenschutz-Anliegen: [email protected]

9. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für die TradeOnyx UG (haftungsbeschränkt) i.G. zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:

Eine Liste aller deutschen Datenschutzbehörden: www.bfdi.bund.de

10. Datensicherheit

• Passwörter werden ausschließlich als Bcrypt-Hash gespeichert — niemals im Klartext.
• Datenbankzugriffe erfolgen über verschlüsselte Verbindungen innerhalb des Servernetzwerks.
• Session-Tokens sind verschlüsselt und haben eine begrenzte Gültigkeitsdauer.
• HTTPS/TLS 1.2+ Verschlüsselung für alle übertragenen Daten
• Server-seitige Verschlüsselung at-rest für hochgeladene Dateien (Cloudflare R2)
• Bcrypt-Hashing für Passwörter (niemals im Klartext)
• Optionale Zwei-Faktor-Authentifizierung (TOTP, RFC 6238) in den Einstellungen. Admin-Konten verwenden 2FA verpflichtend (Art. 32 DSGVO — angemessene technische Maßnahme bei privilegierten Zugängen).
• Sicherheits-E-Mails bei Anmeldungen von neuen Geräten und bei kritischen Aktionen (Passwort-Änderung, 2FA aktiviert / deaktiviert). Der Geräte-Fingerprint wird nur als SHA-256-Hash über Browser-Familie, Betriebssystem-Familie, Land und IP-Präfix (/24 IPv4, /48 IPv6) gespeichert — keine Klartext-IP. Vertraute Geräte können in den Einstellungen jederzeit eingesehen und einzeln entzogen werden (Art. 16 + Art. 17 DSGVO).

Stand: 14. Mai 2026 · Diese Datenschutzerklärung wird bei Änderungen der Plattform oder der Rechtslage aktualisiert.

GDPR · Art. 13 & 14

Privacy Policy

Protecting your personal data is important to us. This Privacy Policy informs you about what data we collect, how we use it and what rights you have — in accordance with the General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG).

Note: The German version of this Privacy Policy is the legally binding version. This English translation is provided for convenience only.

1. Data Controller

A separate Data Protection Officer is not required under § 38 BDSG: the company employs fewer than 20 persons in continuous automated processing of personal data.

2. Hosting & Server Log Files

This website is hosted on a dedicated server of Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Germany) in a data centre located within the Federal Republic of Germany. A data processing agreement (DPA) pursuant to Art. 28 GDPR is in place with Hetzner. Technically necessary server log files are collected automatically. These contain: IP address (truncated / pseudonymised after processing), date and time, requested URL, HTTP status code, data volume transferred, browser type and operating system.

Legal basis: Art. 6 (1)(f) GDPR (legitimate interest in stable, secure operation and defence against attacks). Retention: Maximum 14 days; afterwards logs are deleted or fully anonymised.

File storage (Cloudflare R2): Uploaded files (avatars, trade and journal attachments) are stored in an EU bucket of the S3-compatible object storage service Cloudflare R2. Provider: Cloudflare Germany GmbH, Rosental 7, 80331 Munich, with data processing agreement and EU data residency. Standard Contractual Clauses (SCC) under Art. 46 GDPR are covered by the Cloudflare Data Processing Addendum.

3. Registration & User Account

When you register, we collect: username, email address, password (Bcrypt hash, never in plain text), registration timestamp, last login, and optionally a profile picture you upload yourself.

Purpose: Providing and managing your user account. Legal basis: Art. 6 (1)(b) GDPR. Retention: For the duration of your account; deleted within 30 days of account closure.

3.1 Minors (Art. 8 GDPR)

The platform is intended exclusively for persons aged 18 and over (see Terms § 3). We do not knowingly process data of minors. If we become aware that we are processing data of a person under 18, we will delete it without delay (Art. 17 GDPR). Parents or guardians who suspect their child has created an account can contact [email protected].

4. Trading Data (Trading Journal)

As part of using the platform, you store the following data. All of it is exclusively linked to your account and is not visible to other users:

• Trade data (symbol, direction, volume, prices, timestamps, P&L)
• Journal entries (pre-market plan, market notes, post-market reflection, mood ratings, lessons learned)
• Trade reviews (execution grade, mood before/after, plan-followed flag, notes)
• Tags, playbooks and trade↔playbook assignments
• Uploaded screenshots (stored locally on our server; retrievable only by you)
• Per-account symbol mappings
• XP / level events, trading-account configuration

Legal basis:Art. 6 (1)(b) GDPR. You can delete your data at any time; deleting a trading account also removes its symbol mappings, clearing all trades on an account removes that account's mappings.

4.1 Audit Log

Every mutation of journal entries, reviews, tags and playbooks is written to an internal audit log with timestamp, old value and new value. This gives you complete change traceability and is the foundation for planned coach/team features. The audit log is strictly internal and linked to your account; it is deleted together with your account.

4.2 Uploaded Images / Screenshots

Screenshots attached to trades or journal entries are stored on our server under a randomised path. Access is only possible through an authenticated route that verifies ownership both at the user level and at the entity level. Other users — including authenticated ones — cannot retrieve these files. Maximum file size: 6 MB, permitted formats: PNG, JPEG, WebP, GIF.

4.3 Timezone Data

Trade timestamps are stored server-side as UTC and only converted to your configured IANA timezone for display. When importing broker files you can set the source timezone per file. Changing the timezone in settings affects only display, not storage.

4.4 Tax-export calculation (Anlage KAP)

Purpose: aggregation of your closed trades as preparation for entry into the Anlage KAP form of the German income-tax return. Methodology: buy and sell fills are paired per symbol and per account using the FIFO method(First In, First Out) into round-trip trades. Per trade we sum gross P&L, commission and swap, and convert display times to the account timezone you selected. Data source: exclusively your stored trade data (see section 4); no third-party enrichment occurs. Legal basis: Art. 6 (1) (b) GDPR (performance of a contract).

A detailed description of the calculation methodology together with an explicit limitation of liability is provided in our Terms § 11a (Anlage-KAP Export — Disclaimer).

4.5 Algorithmic pattern detection and profiling (Art. 13 (2)(f) GDPR)

(1) What happens. The platform analyses your trade and journal data using rule-based detectors ("Onyx Engine") that surface statistical patterns in your trading behaviour and report them back to you as "Patterns" (e.g. revenge_trading, overtrading, position_sizing_drift, hold_time_asymmetry). This analysis constitutes profiling within the meaning of Art. 4 (4) GDPR.

(2) Logic. The detectors compare individual trades against your own baseline values (volume, hold time, time of day, risk profile) and flag trades that deviate significantly. The thresholds and algorithms are documented openly in our public architecture documentation.

(3) Scope. The insights serve exclusively your personal self-reflection. No automated decision producing legal effects or similarly significantly affecting you takes place (Art. 22 (1) GDPR does not apply). You remain the sole decision-maker for all trading actions; the platform does not issue investment recommendations.

(4) Right to object. You can object to the profiling at any time (Art. 21 (1) GDPR). In that case the Onyx Engine analysis is disabled for your account; the underlying trade data is unaffected. Write to [email protected].

(5) AI analyses (Pro Plus). In addition to the rule-based Onyx Engine you can run individual trades or journal entries through an AI provider (see section 6 "AI-Powered Analyses"). That processing is also profiling; it is triggered exclusively by your active click (Art. 6 (1)(a) GDPR).

5. Cookies, Local Storage & Consent

On your first visit we display a consent bannerat the bottom of the screen. You decide there per category what we may load — three equally-prominent buttons (“Only essential” · “Settings” · “Accept all”) plus a close button that maps to rejecting the non-essential categories. Your choice is stored locally in your browser and is valid for 12 months; afterwards we ask again. Via the Cookie settings link in the footer you can change or fully revoke your choice at any time — as easily as you gave it (Art. 7 (3) GDPR).

5.1 Essential (always on)

• Session cookie (session): Encrypted session ID to recognise your login. Deleted on logout or when the browser is closed. Provider: TradeOnyx UG (haftungsbeschränkt) i.G., EU-Hetzner servers.
• CSRF protection: Hidden token to defend against cross-site request forgery. Reissued per session.

Payment processing (Stripe) — planned, not yet active: The current free beta has no payment surface, so no Stripe cookies are set. Only once paid plan checkout is enabled after the UG is registered (see Terms § 4) may the payment provider set fraud-prevention cookies (__stripe_mid, __stripe_sid; provider then: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Ireland) — and only when you start a payment yourself. We will update this section before activation.

5.2 Comfort (opt-in)

• Language preference (tradeonyx_lang): Stores your chosen language (DE/EN) in localStorage. No tracking, no server access.
• Theme (tradeonyx_theme): Stores your colour preference (light/dark) in localStorage.

5.3 Analytics (opt-in)

Currently no analytics cookies are active. We plan a self-hosted reach-measurement (Plausible Analytics on our own EU server) that records only anonymous aggregate statistics — no personal profile building, no cross-site tracking, no third-country transfer. Until then, the toggle in the banner is a placeholder.

5.4 External content (opt-in)

Embedded YouTube videos are delivered in click-to-load mode by default (see the “Embedded walkthrough videos” section below). Only when you click play does the YouTube player load in privacy-enhanced mode. Activating this toggle disables the click-to-load shield for embedded videos so third-party content may load directly on page open.

Legal basis: Essential cookies: Art. 6 (1)(b) and (f) GDPR in conjunction with § 25 (2) (2) TDDDG (technically required for contract performance). Comfort, Analytics and External content: Art. 6 (1)(a) GDPR in conjunction with § 25 (1) TDDDG (your active consent via the banner).

6. External Services

Google Fonts

This website loads fonts asynchronously from Google Fonts. Google may process the IP address of your browser in doing so. Legal basis: Art. 6 (1)(f) GDPR. More information: Google Privacy Policy.

Market Data (Yahoo Finance)

The platform fetches price data (candles) and symbol search results server-side from the Yahoo Finance API (query1.finance.yahoo.com, query2.finance.yahoo.com). All requests originate from our server, not your browser — no personal data, IP addresses or identifiers of our users are transmitted to Yahoo. Fetched price data is cached locally to minimise Yahoo requests.

AI-Powered Analyses (optional, plan-dependent)

For certain features — in particular the AI analysis of individual trades and journal entries, daily market briefings, and news/calendar summaries — the platform calls a third-party AI provider's API (currently Anthropic PBC, api.anthropic.com, data centres in the United States). This transmits your trade data, journal content, review notes, tags, playbook descriptions and account currency as prompt context to the AI provider. The response (Markdown text) is cached on our side for the duration of your subscription so you can re-access it without a new API call, and is deleted together with your account. A Data Processing Addendum with Anthropic PBC including a zero-retention clause contractually prohibits use of the data for model training. If we switch AI provider, we commit to securing an equivalent contractual guarantee in advance.

We reserve the right to change the AI provider (e.g. to OpenAI, Google, Mistral or self-hosted models) to optimise cost, performance or privacy. Any change will be reflected here and existing users will be notified of material changes.

Legal basis:Art. 6 (1)(b) GDPR (performance of contract) and Art. 6 (1)(a) GDPR (consent, given by actively clicking the "Run analysis" button for each trade/journal entry). Third-country transfer: conducted primarily under the EU Commission's adequacy decision for the EU-US Data Privacy Framework (Decision 2023/1795; Anthropic PBC is DPF-certified), and additionally under EU Standard Contractual Clauses (SCC) pursuant to Art. 46(2)(c) GDPR, plus technical safeguards (TLS 1.2+, zero-retention addendum). The AI analysis can be disabled by the administrator and simply not used by individual users. Further information: Anthropic Privacy Policy.

Notice under the EU AI Act: AI-generated content is clearly labelled "AI analysis" in the UI. Results are algorithmically generated, do not constitute financial advice, and come without warranty.

Transactional emails (Postmark)

For transactional emails (account confirmation, password reset, weekly digest, system notifications) we use the email-delivery service Postmark, operated by ActiveCampaign, LLC, 1 N Dearborn St, 5th Floor, Chicago, IL 60602, USA. We transmit only your email address, name (where stored) and the email content. A data-processing agreement (DPA) including EU Standard Contractual Clauses is in place under Art. 46 (2)(c) GDPR. Legal basis: Art. 6 (1)(b) GDPR (contract performance) or Art. 6 (1)(f) GDPR (security / service notifications).

Error monitoring (Sentry)

To ensure stable operation and quick error resolution we use Sentry by Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA, with EU data residency (de.sentry.io, Frankfurt). When an error occurs we collect the error message, stack trace, requested URL, browser and OS information and a truncated IP address. The data serves solely for technical debugging; no profiling or ad-targeting takes place. Retention in Sentry: 30 days. Legal basis: Art. 6 (1)(f) GDPR (legitimate interest in platform stability). Third-country transfer: EU data residency; a DPA including EU Standard Contractual Clauses is in place. Further information: Sentry Privacy Policy.

Content delivery network & access protection (Cloudflare)

All web traffic to tradeonyx.io and the subdomains app.tradeonyx.io, uploads.tradeonyx.io and assets.tradeonyx.io is routed via the Cloudflare CDN, operated by Cloudflare Germany GmbH, Rosental 7, 80331 Munich (contracting party) and its parent Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Cloudflare runs a globally distributed edge network in which IP address, user agent and requested URL are technically processed for content delivery and DDoS mitigation. Administrative areas (staging, admin inbox) additionally use Cloudflare Access; a short-lived JWT cookie (CF_Authorization) is set in the authorised administrator's browser.

Legal basis: Art. 6 (1)(f) GDPR (legitimate interest in stable, performant and secure delivery of the platform) and Art. 6 (1)(b) GDPR for the contract-related subdomains. Third-country transfer: A data-processing addendum including EU Standard Contractual Clauses under Art. 46 (2)(c) GDPR is in place with Cloudflare. Further information: Cloudflare Privacy Policy.

Bot protection (Cloudflare Turnstile): On the contact form (/kontakt) and the registration form (/register) we use Cloudflare Turnstile. Turnstile is a privacy-friendly alternative to CAPTCHA services (notably Google reCAPTCHA): no click puzzles, no tracking cookies, no browser-history evaluation. When the form is opened, a script from challenges.cloudflare.com is loaded that checks in the background whether the request is human or automated; in the process the IP address, user agent and a few browser properties are transmitted to Cloudflare. Legal basis: Art. 6 (1)(f) GDPR (legitimate interest in preventing spam and bot registrations). Third-country transfer and DPA apply analogously to the Cloudflare CDN entry above.

Embedded walkthrough videos (YouTube)

On selected pages (e.g. /walkthrough/<name> and individual Academy articles) we embed walkthrough videos from the TradeOnyx UG (haftungsbeschränkt) i.G. YouTube channel. The YouTube service is operated by Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, a subsidiary of Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

We use a two-step pattern: we first show a preview image and play button hosted on our own servers (click-to-load). Until you actively click play, your browser does not connect to Google at all — no cookies are set, no IP address, user agent or other data is transmitted. Only your active click loads the actual YouTube player in privacy-enhanced mode (youtube-nocookie.com). From that moment on your browser connects directly to Google's servers — at that moment your IP address, user agent, referrer URL and device information are technically required to deliver the video. If you are signed in to a Google account at the time, Google may associate the playback with that account — you can avoid this by signing out of your Google account before clicking play.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a low-friction, audiovisual product demonstration). Third-country transfer: Once the video is started, data is transferred to the USA. We have a Data Processing Addendum with Google covering EU Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR. Further information: Google Privacy Policy.

Web Analytics

We do not use Google Analytics, Meta Pixel, LinkedIn Insight, TikTok Pixel or any comparable tracking solution. Our own usage statistics are derived exclusively from the server logs (see section 2) and contain no personally identifiable identifiers. Identification of individual users is neither possible nor intended. A self-hosted reach- measurement (Plausible Analytics on our own EU server) is planned and will be documented here before activation; it will appear as opt-in in the cookie banner. Legal basis: Art. 6 (1)(f) GDPR. No cookie consent banner is required under § 25 (2) TDDDG for the server-log-based measurement.

7. Data Sharing with Third Parties

We do not share your personal data with third parties unless you have consented, sharing is necessary to perform the contract, a legal obligation exists, or a legitimate interest prevails.

8. Your Rights as a Data Subject

• Right of access (Art. 15 GDPR): What data we hold about you.
• Right to rectification (Art. 16 GDPR): Correction of inaccurate data (also available in your profile).
• Right to erasure (Art. 17 GDPR): Request via [email protected] or directly in your profile via the delete-account function.
• Right to restriction of processing (Art. 18 GDPR).
• Right to data portability (Art. 20 GDPR): You can export your trading data as CSV and your journal entries (including reviews and tags) as JSON from the profile. For data not covered by the export function (e.g. audit log) an informal request to [email protected] is sufficient.
• Right to object (Art. 21 GDPR).
• Right to withdraw consent (Art. 7 (3) GDPR): At any time with effect for the future.

Contact for all data-protection enquiries: [email protected]

9. Right to Lodge a Complaint

You have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR):

A list of all German data protection authorities: www.bfdi.bund.de

10. Data Security

• Passwords are stored exclusively as Bcrypt hashes — never in plain text.
• Database access is conducted via encrypted connections within the server network.
• Session tokens are encrypted and have a limited validity period.
• HTTPS/TLS 1.2+ encryption for all data in transit
• Server-side encryption at rest for uploaded files (Cloudflare R2)
• Bcrypt password hashing (never plain text)
• Optional two-factor authentication (TOTP, RFC 6238) in the settings. Admin accounts use 2FA mandatorily (Art. 32 GDPR — appropriate technical measure for privileged access).
• Security emails on sign-ins from new devices and on critical actions (password change, 2FA enabled / disabled). The device fingerprint is stored only as a SHA-256 hash over browser family, OS family, country, and IP prefix (/24 IPv4, /48 IPv6) — never a raw IP. Trusted devices can be reviewed and revoked individually in the settings (Art. 16 + Art. 17 GDPR).

Last updated: 14 May 2026 · This Privacy Policy will be updated when the platform or applicable law changes.