Datenschutzerklärung
Überblick
Informationen zur Verarbeitung personenbezogener Daten durch DESA GmbH beim Betrieb von MonaxPay.
Kernangaben
Verantwortlicher und Kontakt
Verantwortlicher im Sinne der DSGVO ist DESA GmbH, Am Hauptbahnhof 16, 60329 Frankfurt am Main, Deutschland. Datenschutzanfragen, Löschersuchen und Auskunftsersuchen können an mail@monaxpay.com gesendet werden.
Ein Datenschutzbeauftragter ist nicht benannt. Die Datenschutzkommunikation erfolgt über DESA GmbH unter der oben genannten Adresse.
Datenkategorien
- Konto- und Login-Daten: E-Mail, Passwort-Hash, TOTP-Status, Recovery-Status, Rollen, Team-Mitglieder, Social-Login-IDs.
- Profil- und Händlerdaten: Display Name, Logo, rechtlicher Name, Geschäftszweck, Länder, Kategorien, Support- und Rechnungsinformationen.
- KYC/KYB- und Risikodaten: Identitätsangaben, Dokumentenmetadaten, Liveness-/Prüfergebnisse, Sanktions-, PEP-, Adverse-Media-, Wallet- und Prohibited-Use-Signale.
- Zahlungs- und Belegdaten: Link, Betrag, Währung, Asset, Wallet, Provider-Status, Onchain-Signatur, Gebühren, Netto-Settlement, Belege, Dispute- und Supportstatus.
- Technische Daten: IP-Adresse, User-Agent, Geräte-/Sessiondaten, Sicherheitslogs, CSRF-/Sessionkennungen, API-Nutzung, Webhook- und Auditlogs.
- Kommunikation: E-Mails, Supportanfragen, Zustellnachweise und gesetzliche Mitteilungen.
Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Konto, Login, Dashboard, Wallet-Verifizierung | Art. 6 Abs. 1 lit. b DSGVO |
| KYC/KYB, Risiko-, Sanktions-, Betrugs- und Prohibited-Use-Kontrollen | Art. 6 Abs. 1 lit. b, c und f DSGVO |
| Zahlungslinks, Belege, Settlement, Support und Dispute-Bearbeitung | Art. 6 Abs. 1 lit. b und f DSGVO |
| Buchhaltung, Steuer-, Handels- und Nachweispflichten | Art. 6 Abs. 1 lit. c DSGVO |
| Sicherheit, Missbrauchsverhinderung, Audit und Rechtsverteidigung | Art. 6 Abs. 1 lit. f DSGVO |
| Google Analytics | Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG |
Empfänger und Anbieter
- Hostinger für Hosting, E-Mail und Backups innerhalb der gewählten Hosting-Umgebung.
- Onramper und angeschlossene Onramp-/Payment-Provider für Zahlungs-, KYC-, Provider-, Betrugs- und Dispute-Prozesse.
- Google für Google Login und Google Analytics, sofern Analytics-Einwilligung erteilt wurde.
- Telegram für Telegram Login, wenn der Nutzer diese Login-Methode verwendet.
- WalletConnect/Reown für Wallet-Verbindung, wenn der Nutzer diese Verbindung verwendet.
- Helius für Solana-RPC, Webhooks und Onchain-Verifikation.
- OpenRouter für KI-gestützte Triage und Qualitätskontrolle, soweit aktiviert und datenschutzrechtlich freigegeben.
Anbieter- und Transfermatrix
Die folgende Matrix beschreibt die produktiven Anbieterklassen. Konkrete Unteranbieter können je nach Land, Zahlungsmethode, Wallet, Route und Anbieterentscheidung variieren.
| Anbieter | Rolle | Zweck | Daten | Ort/Garantie |
|---|---|---|---|---|
| Hostinger | Auftragsverarbeiter | Hosting, E-Mail, Datenbank, Backups | Konto-, technische, E-Mail-, Audit- und Backupdaten | EU/Deutschland soweit konfiguriert; AVV/DPA und technische Schutzmaßnahmen |
| Onramper und angeschlossene Onramp-/Payment-Provider | Eigenständiger Verantwortlicher oder Auftragsverarbeiter je nach Route | Checkout, Zahlungsmethoden, Provider-KYC, Betrug, Disputes | Zahlungs-, Identitäts-, Risiko-, Provider- und Transaktionsdaten | Provider-abhängig; Anbieterbedingungen, DPA/SCC/DPF oder vergleichbare Garantien |
| Eigenständiger Verantwortlicher/Anbieter | Google Login und Google Analytics G-WFNYVEW258 nach Einwilligung | Login-Claims, technische Analytics-Events, Geräte-/Nutzungsdaten | EU/USA möglich; DPF/SCC und Google-Datenschutzhinweise | |
| Telegram | Eigenständiger Anbieter | Telegram Login, wenn gewählt | Telegram-ID, Profil-/Login-Claims, technische Auth-Daten | Drittlandverarbeitung möglich; Anbieterbedingungen und geeignete Garantien |
| WalletConnect/Reown | Eigenständiger Anbieter/technischer Vermittler | Wallet-Verbindung, Session Relay, QR/Deep Link | Wallet-Adresse, Verbindungsmetadaten, Geräte-/Relaydaten | Drittlandverarbeitung möglich; Anbieterbedingungen und geeignete Garantien |
| Helius | Auftragsverarbeiter/technischer Anbieter | Solana RPC, Webhooks, Onchain-Verifikation | Wallet-Adressen, Transaktionssignaturen, Netzwerkmetadaten | USA/EU möglich; DPA/SCC/DPF oder vergleichbare Garantien |
| OpenRouter | Auftragsverarbeiter/technischer Anbieter, soweit aktiviert | KI-gestützte Triage und Qualitätskontrolle | Reduzierte oder abgeleitete Review-Daten; keine Rohbiometrie standardmäßig | Drittlandverarbeitung möglich; DPA/ZDR/SCC/DPF oder vergleichbare Garantien |
Drittlandübermittlungen
MonaxPay wählt EU-/Deutschland-Speicherung, soweit dies für die eigene Anwendung möglich ist. Einige Anbieter können jedoch Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten, wenn dies für Login, Analytics, Zahlungs-, Wallet-, KI- oder Infrastrukturleistungen technisch oder vertraglich erforderlich ist.
In solchen Fällen stützt sich MonaxPay auf geeignete Garantien wie EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse, EU-U.S. Data Privacy Framework-Zertifizierungen, Auftragsverarbeitungsverträge oder vergleichbare Schutzmechanismen.
Automatisierte Entscheidungen und KI
MonaxPay kann automatisierte Prüfungen und KI-gestützte Triage zur Qualitätssicherung, Betrugserkennung, Dokumentenklassifikation und Risiko-Vorprüfung einsetzen. Eine Ablehnung oder Live-Freigabe mit rechtlich oder ähnlich erheblichen Wirkungen erfolgt nicht ausschließlich durch ein LLM; riskante Fälle fallen in manuelle Admin-/Compliance-Prüfung.
Rohdaten wie Ausweisdokumente, Selfies oder biometrische Medien werden nicht standardmäßig an LLM-Anbieter gesendet. Wenn ein späterer Prozess dies erfordert, sind gesonderte Freigaben, Hinweise und Schutzmaßnahmen erforderlich.
Speicherdauer
| Datenart | Regelaufbewahrung |
|---|---|
| Session-, CSRF- und technische Kurzzeitdaten | Bis Sitzungsende oder bis zu 180 Tage für Sicherheitszwecke |
| Konto-, Wallet-, Profil- und Sicherheitsnachweise | Für die Dauer der Beziehung und bis zu 6 Jahre danach |
| KYC/KYB- und Risiko-Nachweise | Regelmäßig 5 Jahre nach Ende der Beziehung, länger bei Streit, Pflicht oder Risiko |
| Belege, Buchhaltung, Ledger, Gebühren und Auditlogs | Bis zu 10 Jahre nach handels- und steuerrechtlichen Vorgaben |
| Support-, Dispute- und Rechtsverteidigungsunterlagen | Bis zur Klärung und danach nach Verjährungs-/Nachweisfristen |
| Cookie-/Analytics-Einwilligung | Bis zu 12 Monate oder bis zum Widerruf |
Betroffenenrechte
Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Widerruf erteilter Einwilligungen. Ein Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf.
Anfragen können an mail@monaxpay.com gesendet werden. Löschung kann eingeschränkt sein, soweit Aufbewahrungs-, Audit-, Betrugspräventions-, Dispute-, Steuer- oder Rechtsverteidigungspflichten entgegenstehen.
Beschwerderecht
Betroffene Personen können sich bei einer Datenschutzaufsichtsbehörde beschweren. Für DESA GmbH ist regelmäßig der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, poststelle@datenschutz.hessen.de, zuständig.
Sicherheit
MonaxPay verwendet rollenbasierte Zugriffe, TOTP, signierte Sitzungen, CSRF-Schutz, gescopte API-Zugangsdaten, Auditlogs, Zugriffstrennung, Verschlüsselung, Backup-Prozesse und Sicherheitsprüfungen. Kein System ist absolut sicher; Sicherheitsvorfälle werden nach den gesetzlichen Pflichten bearbeitet.
Cookie-Richtlinie
Erforderliche Speicherung, Google-Analytics-Einwilligung und Präferenzsteuerung.
AnsehenAllgemeine Geschäftsbedingungen
Bedingungen für Nutzer, Zahler, Empfänger, Konten, Wallets und öffentliche Abläufe.
Ansehen