Datenschutzerklärung

Stand: Juni 2026

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, wie wir sie verarbeiten und welche Rechte Ihnen zustehen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Schubertmedia
Nico Schubert
E-Mail: info@schubertmedia.de

2. Hosting

Diese Website wird bei einem externen Dienstleister gehostet. Beim Besuch der Website erfasst der Server automatisch sogenannte Server-Logfiles, die Ihr Browser übermittelt. Dazu gehören:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Seite
  • Referrer-URL (zuvor besuchte Seite)
  • Verwendeter Browser und Betriebssystem

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb der Website).

3. Cookies

Diese Website verwendet ausschließlich technisch notwendige Session-Cookies. Diese Cookies sind erforderlich, damit Sie sich anmelden, das Kontaktformular nutzen und weitere Kernfunktionen der Website verwenden können.

  • Name: PHPSESSID (oder ähnlich)
  • Zweck: Sitzungsverwaltung (Login-Status, CSRF-Schutz)
  • Dauer: Wird beim Schließen des Browsers gelöscht (Session-Cookie)
  • Sicherheit: HttpOnly, Secure, SameSite=Lax

Es werden keine Marketing-, Tracking- oder Analyse-Cookies eingesetzt. Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich (Art. 6 Abs. 1 lit. f DSGVO).

4. Registrierung und Benutzerkonto

Für die Nutzung bestimmter Funktionen (Anzeigen erstellen, Nachrichten senden) ist eine Registrierung erforderlich. Dabei erheben wir:

Pflichtangaben:

  • Benutzername
  • E-Mail-Adresse
  • Passwort (wird nur als kryptografischer Hash gespeichert)

Freiwillige Angaben:

  • Anzeigename
  • Stadt und Postleitzahl (für Umkreissuche)
  • Telefonnummer
  • Profilbeschreibung (Über mich)
  • Profilbild (Avatar)

Ihre E-Mail-Adresse muss nach der Registrierung verifiziert werden. Der dafür generierte Verifizierungslink ist 24 Stunden gültig. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Altersverifizierung (18+)

Inhalte altersbeschränkter Kategorien (z. B. Erotik) sind nur für volljährige, verifizierte Benutzer zugänglich (geschlossene Benutzergruppe im Sinne von § 4 Abs. 2 JMStV). Für die Verifizierung bieten wir zwei Wege an:

a) Prüfziffern-Verfahren (Standardweg): Sie geben die Seriennummer, das Geburtsdatum und das Gültigkeitsdatum Ihres Personalausweises oder Reisepasses samt der drei aufgedruckten Prüfziffern aus der maschinenlesbaren Zone ein. Die Prüfung erfolgt automatisiert nach ICAO 9303 direkt auf unserem Server.

  • Die Ausweisnummer wird nicht gespeichert und nicht an Dritte übermittelt.
  • Gespeichert wird ausschließlich ein kryptografischer Hash (SHA-256) aus Seriennummer und Geburtsdatum. Er dient allein dazu, die Mehrfachverwendung derselben Ausweisnummer für verschiedene Konten zu verhindern, und lässt keinen Rückschluss auf die Nummer zu.
  • Außerdem gespeichert: Dokumenttyp, Datum und Ergebnis der Prüfung.
  • Die Zahl der Prüfversuche ist begrenzt (Rate-Limiting, siehe Sicherheitsmaßnahmen).

b) Dokumentprüfung (optionaler Weg): Alternativ können Sie ein Foto oder einen Scan Ihres Personalausweises oder Reisepasses hochladen, das von einem Administrator manuell geprüft wird.

  • Die Datei wird in einem nicht öffentlich zugänglichen Bereich gespeichert und ist ausschließlich für Administratoren einsehbar.
  • Die Datei wird unmittelbar mit der Entscheidung gelöscht (Freigabe oder Ablehnung). Gespeichert bleiben nur Dokumenttyp, Datum, Ergebnis und ggf. der Ablehnungsgrund.
  • Unbearbeitete Anträge werden nach spätestens 90 Tagen automatisch geschlossen und die Datei gelöscht.

Der Verifizierungsstatus bleibt bis zur Löschung Ihres Kontos bestehen. Bei der Kontolöschung werden sämtliche Verifizierungsdaten einschließlich etwaiger Dateien entfernt. Über das Ergebnis der Prüfung informieren wir Sie per E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 4 Abs. 2 JMStV (rechtliche Verpflichtung zum Jugendschutz) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Geodaten und Umkreissuche

Wenn Sie freiwillig eine Postleitzahl angeben, wird daraus ein ungefährer Standort (Breitengrad/Längengrad) ermittelt. Dies geschieht ausschließlich anhand einer lokal gespeicherten PLZ-Datenbank – es werden keine externen Geolocation-Dienste verwendet und keine IP-basierte Standortermittlung durchgeführt.

Zweck: Ermöglichung der Umkreissuche, um Anzeigen in Ihrer Nähe zu finden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Angabe).

7. Anzeigen und Inserate

Wenn Sie eine DVD-Anzeige erstellen, werden folgende Daten gespeichert:

  • Anzeigentitel, Beschreibung, Preis, Zustand
  • Hochgeladene Bilder (Cover und Zusatzbilder)
  • EAN/Barcode (falls angegeben)
  • Verknüpfung mit Ihrem Benutzerkonto

Hochgeladene Bilder werden serverseitig verarbeitet (Konvertierung zu WebP, Thumbnail-Erstellung) und im Verzeichnis /uploads/ gespeichert. Erlaubte Dateitypen sind JPEG, PNG und WebP mit einer maximalen Größe von 5 MB. Beim Löschen einer Anzeige werden auch die zugehörigen Bilder entfernt.

8. Nachrichtensystem

Registrierte Benutzer können über das interne Nachrichtensystem miteinander kommunizieren. Dabei werden gespeichert:

  • Betreff und Nachrichteninhalt
  • Absender und Empfänger
  • Bezug zur DVD-Anzeige
  • Zeitstempel und Lesestatus

Nachrichten können von beiden Seiten gelöscht werden (Soft-Delete). Zum Schutz vor Spam ist das Nachrichtensystem auf maximal 20 Nachrichten pro Minute begrenzt. Bei neuen Nachrichten wird der Empfänger optional per E-Mail benachrichtigt.

9. E-Mail-Versand

Wir versenden E-Mails ausschließlich für folgende Zwecke:

  • E-Mail-Verifizierung bei Registrierung
  • Passwort-Zurücksetzen (Link ist 1 Stunde gültig)
  • Benachrichtigung über neue Nachrichten
  • Information über Freischaltung oder Ablehnung von Anzeigen
  • Ergebnis der Altersverifizierung
  • Willkommens-E-Mail nach Registrierung

Es werden keine Werbe- oder Marketing-E-Mails versendet. Der E-Mail-Versand erfolgt über unseren eigenen SMTP-Server.

10. Zahlungsabwicklung (Stripe)

Für kostenpflichtige Funktionen (Featured-Anzeigen, Premium-Abonnements, Käuferschutz) nutzen wir den Zahlungsdienstleister Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA).

Bei einer Zahlung werden Sie auf die sichere Zahlungsseite von Stripe weitergeleitet. Wir selbst speichern keine Kreditkarten- oder Bankdaten. Stripe erhält die für die Zahlungsabwicklung notwendigen Daten (Name, E-Mail, IP-Adresse, Zahlungsinformationen).

Verfügbare Zahlungsmethoden: Kreditkarte, giropay, Sofortüberweisung (SEPA), SEPA-Lastschrift.

Für Verkäufer mit Auszahlungsfunktion wird ein Stripe Connect-Konto eingerichtet. Stripe ist PCI DSS Level 1 zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

11. Content Delivery Network (CDN)

Für die Bereitstellung von Frameworks und Bibliotheken nutzen wir das Content Delivery Network jsDelivr (Prospect One Sp. z o.o., Polen). Beim Laden der Website werden folgende Ressourcen von den jsDelivr-Servern abgerufen:

  • Bootstrap (CSS-Framework und JavaScript)
  • Bootstrap Icons (Icon-Schriftart)
  • Font Awesome (Icon-Schriftart)
  • GLightbox (Bildergalerie)

Dabei wird Ihre IP-Adresse an jsDelivr übermittelt. Dies ist technisch notwendig, um die Ressourcen auszuliefern. Die Icon-Schriftart Font Awesome kann vom Betreiber alternativ selbst gehostet werden; in diesem Fall erfolgt kein Abruf von jsDelivr.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und sicheren Bereitstellung).

Datenschutzerklärung von jsDelivr: https://www.jsdelivr.com/terms/privacy-policy-jsdelivr-net

12. Service Worker und Progressive Web App

Diese Website kann als Progressive Web App (PWA) installiert werden. Ein Service Worker speichert dabei statische Ressourcen (CSS, JavaScript, Bilder) lokal in Ihrem Browser-Cache, um die Ladezeit zu verbessern und eingeschränkte Offline-Funktionalität zu ermöglichen. Es werden keine personenbezogenen Daten im Service-Worker-Cache gespeichert. Sie können den Service Worker jederzeit über die Browser-Einstellungen deregistrieren.

App-Verknüpfungen (Shortcuts): Nach der Installation bietet die App Schnellzugriffe auf das Veröffentlichen einer Anzeige, auf „Meine Anzeigen" und auf Ihre Merkliste an. Diese Verknüpfungen sind reine Navigationslinks innerhalb der App; mit ihrer Nutzung ist keine zusätzliche Datenverarbeitung verbunden. Auf zugangsbeschränkte Bereiche gelangen Sie nur in angemeldetem Zustand, andernfalls werden Sie zur Anmeldung geleitet.

Installations-Hinweis (Install-Banner): Nach einer gewissen Verweildauer kann ein Hinweis erscheinen, der die Installation der App anbietet. Damit dieser Hinweis nicht wiederholt erscheint und Ihre Ablehnung respektiert wird, speichern wir ausschließlich in Ihrem Browser (lokaler Speicher / localStorage, keine Übertragung an uns) technisch notwendige Werte: die Zahl der Seitenaufrufe, ob und wann Sie den Hinweis geschlossen haben sowie – sofern aktiviert – eine zufällige Variantenzuordnung. Diese Werte enthalten keinen Personenbezug und können von Ihnen jederzeit über die Browser-Einstellungen gelöscht werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer nutzerfreundlichen, nicht aufdringlichen Hinweisgestaltung).

Anonyme Nutzungsstatistik des Hinweises: Um die Wirksamkeit des Installations-Hinweises zu beurteilen, zählen wir serverseitig, wie oft der Hinweis angezeigt, bestätigt, abgelehnt oder die App installiert wurde. Gespeichert werden ausschließlich aggregierte Tageszähler ohne jeden Personenbezug – es werden weder IP-Adresse noch Benutzerkonto, Gerätekennung oder sonstige identifizierende Merkmale erfasst. Eine Rückführung auf einzelne Personen ist ausgeschlossen. Diese Erhebung lässt sich vom Betreiber vollständig deaktivieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Kamerazugriff beim Barcode-Scan: Beim Erstellen einer Anzeige können Sie den Barcode (EAN) einer DVD mit der Kamera Ihres Geräts einscannen. Der Kamerazugriff erfolgt erst nach Ihrer ausdrücklichen Erlaubnis durch den Browser. Das Kamerabild wird ausschließlich lokal in Ihrem Browser ausgewertet (Barcode-Erkennung); es werden keine Bilder oder Videodaten an uns übertragen oder gespeichert. An unseren Server wird lediglich die erkannte Ziffernfolge (EAN) übermittelt, um die Eingabemaske vorauszufüllen.

Produktdatenabgleich: Zur Ermittlung der Produktangaben (z. B. Titel) gleichen wir die erkannte Barcode-Nummer mit externen Produktdatenbanken ab – konkret mit opengtindb.org (betrieben in Deutschland) und UPCitemdb (api.upcitemdb.com, betrieben in den USA). Die Abfrage erfolgt serverseitig durch uns; an die externen Dienste wird ausschließlich die Barcode-Nummer des Produkts übermittelt, nicht jedoch Ihre IP-Adresse oder sonstige personenbezogene Daten. Bei der Abfrage von UPCitemdb erfolgt dabei eine Übermittlung in die USA (Drittland) – auch hier ausschließlich die Produkt-Ziffernfolge ohne Personenbezug. Bereits abgefragte Barcodes werden zur Reduzierung externer Anfragen für eine begrenzte Zeit zwischengespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer komfortablen, fehlerarmen Anzeigenerstellung).

13. Sicherheitsmaßnahmen

Wir setzen folgende technische Maßnahmen zum Schutz Ihrer Daten ein:

  • Verschlüsselte Übertragung (HTTPS/TLS)
  • Kryptografisches Passwort-Hashing (bcrypt)
  • CSRF-Schutz bei allen Formularen
  • Schutz vor SQL-Injection durch Prepared Statements
  • XSS-Schutz durch HTML-Escaping
  • Rate-Limiting gegen Brute-Force-Angriffe
  • Session-Timeout nach Inaktivität
  • Sichere Cookie-Konfiguration (HttpOnly, Secure, SameSite)

14. Login-Protokollierung

Zum Schutz vor unbefugtem Zugriff protokollieren wir Anmeldeversuche. Dabei werden gespeichert:

  • E-Mail-Adresse des Anmeldeversuchs
  • IP-Adresse
  • Browser-Kennung (User-Agent)
  • Zeitpunkt und Ergebnis (erfolgreich/fehlgeschlagen)

Diese Daten dienen ausschließlich der Erkennung und Abwehr von Brute-Force-Angriffen und werden nach 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Benutzerkonten).

15. Beobachtungsliste

Registrierte Benutzer können Anzeigen auf ihre Beobachtungsliste setzen. Dabei wird lediglich die Verknüpfung zwischen Ihrem Benutzerkonto und der jeweiligen Anzeige gespeichert. Sie können Einträge jederzeit entfernen.

16. Meldungen und Moderation

Benutzer können Anzeigen, Nachrichten oder andere Benutzer melden. Meldungen werden von der Moderation geprüft. Im Falle eines Verstoßes können Verwarnungen ausgesprochen oder Konten gesperrt werden. Meldungen und Verwarnungen werden zur Nachvollziehbarkeit gespeichert.

17. Speicherdauer

  • Benutzerkonto: Bis zur Löschung durch den Benutzer oder Administrator. Gelöschte Konten werden per Soft-Delete markiert.
  • Anzeigen: Bis zur Löschung durch den Benutzer oder nach Ablauf. Gelöschte Anzeigen werden per Soft-Delete markiert.
  • Nachrichten: Bis zur Löschung durch beide Gesprächsteilnehmer.
  • Login-Protokolle: 30 Tage.
  • Altersverifizierung: Hochgeladene Ausweisdokumente werden mit der Entscheidung gelöscht, unbearbeitete Anträge nach 90 Tagen; Prüf-Metadaten (Datum, Ergebnis, Dokumenttyp) und der Nummern-Hash bleiben bis zur Kontolöschung.
  • Zahlungsdaten: Gemäß handels- und steuerrechtlicher Aufbewahrungsfristen (bis zu 10 Jahre).
  • Anonyme Statistik des Installations-Hinweises: Aggregierte Tageszähler ohne Personenbezug; werden nach einer vom Betreiber festgelegten Frist (standardmäßig 90 Tage) automatisch gelöscht.
  • Server-Logfiles: Maximal 14 Tage.

18. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit widerrufen.

Selbstbedienung: Eingeloggte Benutzer können ihre Rechte direkt online ausüben:

  • Auskunft und Datenübertragbarkeit: Unter Meine Daten sehen Sie alle gespeicherten Datenkategorien und können sämtliche Daten als maschinenlesbare JSON-Datei herunterladen.
  • Löschung: Unter Konto löschen können Sie Ihr Konto selbst löschen. Ihre persönlichen Daten werden dabei anonymisiert; Nachrichten, Bewertungen und Transaktionsdaten bleiben aus Nachweisgründen mit anonymisiertem Namen erhalten.
  • Einwilligungen: Die bei der Registrierung erteilte Einwilligung in AGB und Datenschutzerklärung wird mit Datum und Fassung protokolliert und ist unter Meine Daten einsehbar.

Zur Ausübung Ihrer Rechte können Sie sich auch jederzeit an uns wenden: info@schubertmedia.de

19. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Die jeweils aktuelle Fassung finden Sie immer auf dieser Seite.

Wir verwenden ausschließlich technisch notwendige Cookies (Sitzung und dieser Hinweis) — kein Tracking, keine Werbung. Mehr erfahren