Zurück zum Login
Inside GZCInside GZC Admin

Rechtliches

Datenschutzerklaerung

Version 5 · 30. Mai 2026

1. Verantwortlicher

Global Z Capital FZCO Dubai Silicon Oasis, Dubai, Vereinigte Arabische Emirate

IFZA Commercial License Nr. 57461

Kontakt: legal@globalzcapital.com · +971 52 450 0000

Datenschutzbeauftragter: Es ist kein gesonderter Datenschutzbeauftragter bestellt, da die gesetzlichen Bestellungsvoraussetzungen nicht vorliegen.


2. Was ist Inside GZC?

Inside GZC ist eine iOS-App für Bestandskunden von Global Z Capital. Sie liefert strukturierte Handlungsempfehlungen („Signale"), ermöglicht die Dokumentation eigenverantwortlicher Trades, zeigt eine Portfolio-Übersicht und stellt Verträge und Rechnungen bereit.

Inside GZC ist keine Anlageberatung und kein Vermögensmanagement — alle Entscheidungen trifft der Kunde eigenverantwortlich.


3. Welche Daten wir verarbeiten

3.1 Stammdaten

  • Vor- und Nachname
  • E-Mail-Adresse
  • Vertragsnummer
  • Beteiligungsrate (vertraglich vereinbarter Prozentsatz)

Rechtsgrundlage: Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)

3.2 Authentifizierungs- und Sicherheitsdaten

  • Supabase Auth Session-Tokens (verschlüsselt im iOS-Keychain)
  • Geräte-Token für Push-Benachrichtigungen (APNs)
  • PIN-Hash (SHA-256 + Salt, 100.000 Iterationen — Klartext-PIN verlässt nie das Gerät)
  • Biometrie-Enrollment-Status (lokal, kein biometrisches Material)

Rechtsgrundlage: Vertragsdurchführung und berechtigtes Interesse (Art. 6 Abs. 1 lit. b und f DSGVO)

3.3 Portfolio- und Transaktionsdaten

  • Empfangene Signale (Ticker, Richtung, Preis, Begründung, Zeitstempel)
  • Dokumentierte Trades (Menge, Preis, Datum — vom Kunden eingegeben)
  • Positionen (berechnete Bestände und Durchschnittskurse)

Rechtsgrundlage: Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)

3.4 Vertragsdokumente und Unterschriften

  • Hauptvertrag, Nachträge, Ergänzungsvereinbarungen (PDF)
  • Unterschriftsbild (PNG, mit PencilKit erstellt)
  • SHA-256-Prüfsumme des Dokuments zum Zeitpunkt der Signatur
  • IP-Adresse und Zeitstempel der Unterschrift (zur Nachweispflicht)

Rechtsgrundlage: Vertragsdurchführung und rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. b und c DSGVO)

3.5 Abrechnungsdaten

  • Rechnungsnummer, Zeitraum, realisierter Gewinn, Rechnungsbetrag
  • Zahlungsstatus (paid/overdue)

Rechtsgrundlage: Vertragsdurchführung und steuerrechtliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. b und c DSGVO, § 147 AO)

3.6 Was wir NICHT verarbeiten

  • Keine Tracking-Pixel in E-Mails
  • Keine Werbe-Cookies
  • Keine Standortdaten
  • Keine biometrischen Rohdaten (Face ID / Touch ID verbleiben in der Secure Enclave des Geräts)
  • Keine externen Analytics-Dienste (Google Analytics, Mixpanel etc.)

4. Auftragsverarbeiter (Art. 28 DSGVO)

DienstleisterZweckDatenstandort
Supabase Inc. (via AWS Ireland)Datenbank, Auth, Storage, Edge FunctionsEU (eu-west-1, Irland)
Resend Inc. (via AWS)Transaktionale E-MailsEU (eu-west-1, Irland)
Apple Inc.APNs Push-Infrastruktur, App-Store-DistributionUSA (EU-US Data Privacy Framework)
Google LLC (Firebase Cloud Messaging)Push-Notifications-RouterGlobal (SCCs)
Polygon.io Inc.Marktdaten-Validierung (nur Ticker, keine Kundendaten)USA

Alle Kundendaten werden ausschließlich in der EU (Irland) verarbeitet — mit Ausnahme von Polygon.io (keine Kundendaten) und Apple/Google Push-Routing (nur anonymes Device-Token).


5. Speicherdauer

DatentypDauer
Stammdaten, VertragsdokumenteWährend Vertragsdauer + 10 Jahre (§ 147 AO)
Rechnungen10 Jahre (§ 147 AO)
Audit-LogsWährend Vertragsdauer + 3 Jahre
E-Mail-Logs24 Monate, danach automatische Löschung
Session-TokensBis zum Logout oder Token-Ablauf (max. 7 Tage)
Push-Device-TokensBis zum Logout oder App-Deinstallation

6. Ihre Rechte

  • Auskunft (Art. 15): Was wir über Sie gespeichert haben
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Löschung (Art. 17): „Recht auf Vergessenwerden" — mit den gesetzlichen Ausnahmen für Steuerdaten
  • Einschränkung (Art. 18): Verarbeitung vorübergehend aussetzen
  • Datenübertragbarkeit (Art. 20): Strukturierter Export Ihrer Daten
  • Widerspruch (Art. 21): Gegen Verarbeitung auf Grundlage berechtigten Interesses
  • Beschwerde (Art. 77): Bei der zuständigen Aufsichtsbehörde

Kontakt: legal@globalzcapital.com — Wir beantworten Anfragen innerhalb von 30 Tagen.


7. Sicherheit

  • Transport-Verschlüsselung: TLS 1.2+ für alle Verbindungen (iOS App ↔ Supabase)
  • Authentifizierung: Supabase Auth mit JWT + Refresh-Tokens
  • Lokale Daten: Keychain mit kSecAttrAccessibleWhenUnlockedThisDeviceOnly (nicht iCloud-synced)
  • PIN-Schutz: 100.000 Iterationen SHA-256 + Salt, mit Rate-Limiting
  • Biometrie: Face ID / Touch ID / Optic ID über Apple Secure Enclave, Opt-in
  • Row-Level-Security: Postgres-RLS — Kunde sieht nur eigene Daten
  • Signatur-Integrität: SHA-256-Prüfsumme jedes signierten Dokuments

8. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Funktionsänderungen der App anzupassen. Wesentliche Änderungen kündigen wir über die App und per E-Mail mit mindestens 14 Tagen Vorlauf an. Test 123

Dieser Text wird zentral über das Admin-Panel gepflegt. · legal@globalzcapital.com