Rechtliches
Datenschutzerklaerung
Version 5 · 30. Mai 2026
1. Verantwortlicher
Global Z Capital FZCO Dubai Silicon Oasis, Dubai, Vereinigte Arabische Emirate
IFZA Commercial License Nr. 57461
Kontakt: legal@globalzcapital.com · +971 52 450 0000
Datenschutzbeauftragter: Es ist kein gesonderter Datenschutzbeauftragter bestellt, da die gesetzlichen Bestellungsvoraussetzungen nicht vorliegen.
2. Was ist Inside GZC?
Inside GZC ist eine iOS-App für Bestandskunden von Global Z Capital. Sie liefert strukturierte Handlungsempfehlungen („Signale"), ermöglicht die Dokumentation eigenverantwortlicher Trades, zeigt eine Portfolio-Übersicht und stellt Verträge und Rechnungen bereit.
Inside GZC ist keine Anlageberatung und kein Vermögensmanagement — alle Entscheidungen trifft der Kunde eigenverantwortlich.
3. Welche Daten wir verarbeiten
3.1 Stammdaten
- Vor- und Nachname
- E-Mail-Adresse
- Vertragsnummer
- Beteiligungsrate (vertraglich vereinbarter Prozentsatz)
Rechtsgrundlage: Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)
3.2 Authentifizierungs- und Sicherheitsdaten
- Supabase Auth Session-Tokens (verschlüsselt im iOS-Keychain)
- Geräte-Token für Push-Benachrichtigungen (APNs)
- PIN-Hash (SHA-256 + Salt, 100.000 Iterationen — Klartext-PIN verlässt nie das Gerät)
- Biometrie-Enrollment-Status (lokal, kein biometrisches Material)
Rechtsgrundlage: Vertragsdurchführung und berechtigtes Interesse (Art. 6 Abs. 1 lit. b und f DSGVO)
3.3 Portfolio- und Transaktionsdaten
- Empfangene Signale (Ticker, Richtung, Preis, Begründung, Zeitstempel)
- Dokumentierte Trades (Menge, Preis, Datum — vom Kunden eingegeben)
- Positionen (berechnete Bestände und Durchschnittskurse)
Rechtsgrundlage: Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)
3.4 Vertragsdokumente und Unterschriften
- Hauptvertrag, Nachträge, Ergänzungsvereinbarungen (PDF)
- Unterschriftsbild (PNG, mit PencilKit erstellt)
- SHA-256-Prüfsumme des Dokuments zum Zeitpunkt der Signatur
- IP-Adresse und Zeitstempel der Unterschrift (zur Nachweispflicht)
Rechtsgrundlage: Vertragsdurchführung und rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. b und c DSGVO)
3.5 Abrechnungsdaten
- Rechnungsnummer, Zeitraum, realisierter Gewinn, Rechnungsbetrag
- Zahlungsstatus (paid/overdue)
Rechtsgrundlage: Vertragsdurchführung und steuerrechtliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. b und c DSGVO, § 147 AO)
3.6 Was wir NICHT verarbeiten
- Keine Tracking-Pixel in E-Mails
- Keine Werbe-Cookies
- Keine Standortdaten
- Keine biometrischen Rohdaten (Face ID / Touch ID verbleiben in der Secure Enclave des Geräts)
- Keine externen Analytics-Dienste (Google Analytics, Mixpanel etc.)
4. Auftragsverarbeiter (Art. 28 DSGVO)
| Dienstleister | Zweck | Datenstandort |
|---|---|---|
| Supabase Inc. (via AWS Ireland) | Datenbank, Auth, Storage, Edge Functions | EU (eu-west-1, Irland) |
| Resend Inc. (via AWS) | Transaktionale E-Mails | EU (eu-west-1, Irland) |
| Apple Inc. | APNs Push-Infrastruktur, App-Store-Distribution | USA (EU-US Data Privacy Framework) |
| Google LLC (Firebase Cloud Messaging) | Push-Notifications-Router | Global (SCCs) |
| Polygon.io Inc. | Marktdaten-Validierung (nur Ticker, keine Kundendaten) | USA |
Alle Kundendaten werden ausschließlich in der EU (Irland) verarbeitet — mit Ausnahme von Polygon.io (keine Kundendaten) und Apple/Google Push-Routing (nur anonymes Device-Token).
5. Speicherdauer
| Datentyp | Dauer |
|---|---|
| Stammdaten, Vertragsdokumente | Während Vertragsdauer + 10 Jahre (§ 147 AO) |
| Rechnungen | 10 Jahre (§ 147 AO) |
| Audit-Logs | Während Vertragsdauer + 3 Jahre |
| E-Mail-Logs | 24 Monate, danach automatische Löschung |
| Session-Tokens | Bis zum Logout oder Token-Ablauf (max. 7 Tage) |
| Push-Device-Tokens | Bis zum Logout oder App-Deinstallation |
6. Ihre Rechte
- Auskunft (Art. 15): Was wir über Sie gespeichert haben
- Berichtigung (Art. 16): Korrektur unrichtiger Daten
- Löschung (Art. 17): „Recht auf Vergessenwerden" — mit den gesetzlichen Ausnahmen für Steuerdaten
- Einschränkung (Art. 18): Verarbeitung vorübergehend aussetzen
- Datenübertragbarkeit (Art. 20): Strukturierter Export Ihrer Daten
- Widerspruch (Art. 21): Gegen Verarbeitung auf Grundlage berechtigten Interesses
- Beschwerde (Art. 77): Bei der zuständigen Aufsichtsbehörde
Kontakt: legal@globalzcapital.com — Wir beantworten Anfragen innerhalb von 30 Tagen.
7. Sicherheit
- Transport-Verschlüsselung: TLS 1.2+ für alle Verbindungen (iOS App ↔ Supabase)
- Authentifizierung: Supabase Auth mit JWT + Refresh-Tokens
- Lokale Daten: Keychain mit
kSecAttrAccessibleWhenUnlockedThisDeviceOnly(nicht iCloud-synced) - PIN-Schutz: 100.000 Iterationen SHA-256 + Salt, mit Rate-Limiting
- Biometrie: Face ID / Touch ID / Optic ID über Apple Secure Enclave, Opt-in
- Row-Level-Security: Postgres-RLS — Kunde sieht nur eigene Daten
- Signatur-Integrität: SHA-256-Prüfsumme jedes signierten Dokuments
8. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Funktionsänderungen der App anzupassen. Wesentliche Änderungen kündigen wir über die App und per E-Mail mit mindestens 14 Tagen Vorlauf an. Test 123
Dieser Text wird zentral über das Admin-Panel gepflegt. · legal@globalzcapital.com