Datenschutzerklärung
Stand: 04.04.2026
Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienstleister oder Datenverarbeitungen ändern. Die jeweils aktuelle Version ist unter dieser Seite verfügbar.
1. Verantwortlicher
glowline GmbH i.G., Am Bichel 10, 82234 Weßling, Deutschland; Telefon: xxx xxxxxxxxxx, E-Mail: contact@spaike-sf.com („wir“).
2. Gegenstand der Verarbeitung personenbezogener Daten
Wir betreiben ein webbasiertes Backtest-Tool. Je nach Nutzung verarbeiten wir insbesondere:
- Account-Daten: Benutzername, E-Mail-Adresse, Passwort-Hash, Login-Zeitpunkte, 2FA-Daten (TOTP-Secret/Recovery-Codes oder E-Mail-OTP).
- Newsletter-/Waitlist-Daten (falls genutzt): E-Mail-Adresse, optional Name, Sprache, Quelle der Anmeldung, Audience (z.B. Newsletter oder Waitlist), Double-Opt-In-Token-Hash samt Ablaufzeit, Abmelde-Token, Status- und Zeitstempel (z.B. Anmeldung, Bestätigung, Abmeldung), Zustell- und Bounce-Informationen.
- Beta-Tester-Bewerbungen (falls genutzt): E-Mail-Adresse, Name, freiwillige Motivation, angegebene Trading-Erfahrung, Sprache, Quelle der Bewerbung, Double-Opt-In-Token-Hash samt Ablaufzeit, Bewerbungsstatus, Bestätigungs- und Review-Zeitpunkte sowie interne Bearbeitungsvermerke.
- Backtest-/Strategie-Daten: Strategie-Konfigurationen (JSON), Backtest-Parameter, Runs und Ergebnisse/Trades (teilweise als JSON).
- Social-/Community-Daten (falls genutzt): veröffentlichte Strategien inkl. Snapshot, Kommentare/Antworten, Reactions (Likes/Dislikes), Meldungen/Reports, Moderationsmaßnahmen (z.B. Verwarnungen, Sperrstatus-Metadaten).
- Abo-/Zahlungsdaten (falls genutzt): Abo-Typ, Laufzeiten, Quota-Verbrauch (z.B. Runs/AI-Messages pro Zeitraum), Stripe-Kundennummer, Zahlungsstatus, Transaktionskennungen. Kreditkarten- oder Bankverbindungsdaten werden ausschließlich durch unseren Zahlungsdienstleister (Stripe) verarbeitet und sind für uns nicht einsehbar.
- Waitlist-Promocode-Daten (falls genutzt): reservierter persönlicher Promocode, verknüpfte interne Promo-Code-ID, Stripe-Coupon-/Promotion-Code-IDs, Rabattwert, Status sowie Zeitstempel für Reservierung, Versand und Einlösung.
- AI-Chat-Daten (falls genutzt): Chat-Inhalte, Chat-Metadaten (Titel), sowie Memory/Summaries zur Verbesserung der Chat-Kontinuität.
- Technische Daten: Session-ID (Cookie), Consent-Einstellungen, Protokoll-/Logdaten (z.B. IP-Adresse in Server-Logs), Geräte-/Browserinformationen (User-Agent).
3. Überblick über die Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten
| Verarbeitung | Zweck | Rechtsgrundlage |
|---|---|---|
| Bereitstellung der Website | Auslieferung von Inhalten, Stabilität, Sicherheit, Fehleranalyse | Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: Darstellung unserer Leistungen; Gewährleistung der Systemsicherheit) |
| Registrierung, Login, 2FA | Account-Verwaltung und Zugriffsschutz | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f (berechtigtes Interesse: Verhinderung von Missbrauch) |
| Newsletter, Waitlist, Double-Opt-In | Versand von Produktupdates, Launch-Benachrichtigungen, Verwaltung von Einwilligungen, Abmeldungen sowie Zustell- und Missbrauchsmanagement | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und lit. f DSGVO (berechtigtes Interesse: Nachweis der Einwilligung, Zustellbarkeit, Missbrauchsprävention) |
| Beta-Tester-Bewerbungen | Bearbeitung freiwilliger Beta-Bewerbungen, Double-Opt-In, Auswahl geeigneter Tester und Kommunikation zum Beta-Programm | Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung deiner Anfrage zur Teilnahme am Beta-Programm) und lit. f DSGVO (berechtigtes Interesse: Organisation des Bewerbungsprozesses, Missbrauchsprävention) |
| Backtests/Strategien | Durchführung und Speicherung von Backtests und Auswertungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Social/Community (optional) | Veröffentlichung, Interaktion, Moderation (z.B. Reports, Snapshots, Audit-Trail, Verwarnungen, Ausschluss von Social-Funktionen) | Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. f (berechtigte Interessen: Moderation; Verhinderung von Missbrauch; Gewährleistung der Systemsicherheit) |
| Abo/Quota (optional) | Abrechnung/Feature-Freischaltung und Quota-Durchsetzung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Waitlist-Promocodes (optional) | Reservierung und Verwaltung persönlicher Launch-Rabattcodes für bestätigte Waitlist-Subscriber | Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des angeforderten Waitlist-Vorteils) und lit. f DSGVO (berechtigtes Interesse: Missbrauchsvermeidung, technische Nachvollziehbarkeit) |
| AI-Chat (optional) | Unterstützung bei Strategie-Erstellung/Analyse | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); ggf. lit. a (Einwilligung) |
4. Server-Log-Dateien (technische Zugriffsdaten)
Beim Aufruf unserer Website werden aus technischen Gründen (u.a. zur Gewährleistung von Stabilität und Sicherheit) Daten verarbeitet, die Dein Browser automatisch übermittelt. Diese Daten können in Server-Log-Dateien (z.B. beim Hosting-Provider und/oder Webserver) anfallen.
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- aufgerufene Seite/URL
- Referrer-URL
- Browsertyp/-version, Betriebssystem, User-Agent
Zweck: Betrieb, Fehleranalyse, Missbrauchs-/Angriffserkennung, IT-Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Gewährleistung der Systemsicherheit).
Speicherdauer: max. 7 Tage
5. Cookies und ähnliche Technologien
Wir setzen Cookies ein, die für den Betrieb erforderlich sind, sowie ein Consent-Tool zur Verwaltung von Einwilligungen. Tracking-/Marketing-Dienste sind nur aktiv, wenn sie konfiguriert sind und – falls nötig – eine Einwilligung vorliegt.
Rechtsgrundlagen (Cookies und Local Stoarge):
• Erforderliche Cookies/technische Speicherung: § 25 Abs. 2 Nr. 2 TDDDG
• Nicht erforderliche Cookies/Technologien: § 25 Abs. 1 TDDDG (Einwilligung).
Überblick über die verwendeten Cookies:
| Name | Kategorie | Zweck | Speicherdauer |
|---|---|---|---|
bbt_session |
Erforderlich | Login-Session / Authentifizierung (HttpOnly, SameSite=Lax; Secure bei HTTPS) | bis zu 7 Tage |
tarteaucitron |
Erforderlich | Speichert deine Cookie-Einwilligungs-Einstellungen | bis 12 Monate |
bbt_dummy_consent_test |
nur mit Einwilligung | Nur für interne Consent-Tests (Dummy-Service) | bis 12 Monate |
LocalStorage
Wir speichern bestimmte Komfort-Einstellungen lokal im Browser (LocalStorage):
- Sprache:
bbt_lang,bbt_browser_lang,bbt_lang_manual - Zeitzone:
bbt.userTimezone - UI-Zustand/Design:
DASH_TAB_STORAGE_KEY,DASH_THEME_STORAGE_KEY,bbtStrategyCardScale,BBT_IV_THEME_KEY - Promo (optional):
bbtPromoCode - AI-Chat UI-Modus:
bbt_ai_chat_assistant_mode - AI-Chat Datenschutzhinweis (Bestätigung):
bbt_ai_chat_disclosure_ack_v1
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG
Du kannst diese Daten jederzeit über die Einstellungen deines Browsers löschen.
Consent-Manager
Wir verwenden einen Consent-Manager (tarteaucitron.js), um Deine Einwilligungen für nicht erforderliche Dienste zu verwalten.
Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du die Cookie-Einstellungen öffnest
(z.B. über das Cookie-Icon in SPAIKE) und deine Auswahl anpasst.
6. Empfänger von personenbezogenen Daten
Wir setzen Dienstleister ein, die Daten in unserem Auftrag oder als Empfänger erhalten können:
- E-Mail-Versand (SMTP): Für System-E-Mails (Verifizierung, Passwort-Reset, 2FA), Newsletter-/Waitlist-Double-Opt-In, Beta-Bewerbungs-Bestätigungen sowie Newsletter-/Waitlist-Kampagnen nutzen wir einen externen SMTP-Dienst (z.B. IONOS). Dabei werden E-Mail-Adresse und E-Mail-Inhalte verarbeitet.
- Webanalyse (Google Analytics 4): Sofern wir Google Analytics 4 einsetzen (nur mit entsprechender Einwilligung über unseren Consent-Manager), werden Nutzungsdaten (z.B. aufgerufene Seiten, Interaktionen, grobe Geräte-/Browserinformationen, Online-Kennungen wie Cookie-IDs) verarbeitet, um die Nutzung unserer Website zu messen und zu verbessern. Anbieter ist Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Eine Übermittlung in Drittländer ist möglich (Google LLC hat seinen Sitz in Mountain View, CA, USA).
- Zahlungsabwicklung und Promo-Code-Verwaltung (Stripe): Für kostenpflichtige Abonnements nutzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., One Wilton Park, Wilton Place, Dublin 2, D02 FX04 Irland). Zusätzlich können wir für bestätigte Waitlist-Subscriber persönliche Launch-Promocodes in Stripe reservieren und verwalten. Dabei werden je nach Prozess zahlungs- und promotionsbezogene Daten verarbeitet (z.B. Zahlungsart, Transaktionsstatus, Stripe-Kundennummer, Coupon-/Promotion-Code-IDs). Kredit-/Debitkartendaten oder Bankverbindungsdaten werden direkt von Stripe erhoben und verarbeitet; wir haben keinen Zugriff auf vollständige Kartennummern. Eine Datenübermittlung in Drittländer ist möglich (Stripe, LLC hat seinen Sitz in 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Bereitstellung angeforderter Waitlist-Vorteile). Weitere Informationen: https://stripe.com/de/privacy
- AI-Chat (OpenAI): Bei Nutzung des AI-Chats werden Eingaben und Kontextdaten an OpenAI (OpenAI Ireland Limited, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43 Ireland) übertragen und dort verarbeitet, um Antworten zu generieren. Eine Übermittlung in Drittländer ist möglich (OpenAI OpCo, LLC hat seinen Sitz in 1455 3rd Street, San Francisco, CA 94158, USA).
7. Übermittlung in Drittländer
Wenn wir Dienste einsetzen, bei denen die Verarbeitung auch in „Drittländern“ außerhalb des Geltungsbereichs der DSGVO, d.h. außerhalb des Europäischen Wirtschaftsraums („EWR“: EU plus Island, Liechtenstein, Norwegen) erfolgt, können personenbezogene Daten in Drittländer übermittelt werden.
Wir stellen sicher, dass eine Übermittlung nur erfolgt, wenn für das Drittland durch einen Angemessenheitsbeschluss der Europäischen Kommission ein angemessenes Datenschutzniveau verbindlich festgestellt ist (Art. 45 DSGVO; bei Unternehmen in den USA dann, wenn das Unternehmen nach dem EU-U.S. Data Privacy Framework zertifiziert ist) oder geeignete Garantien bestehen, insbesondere durch Vereinbarung der EU-Standardvertragsklausel mit dem Empfänger der Daten im Drittland (Art. 46 DSGVO). Andernfalls holen wir für die Übermittlung in ein Drittland Deine ausdrückliche Einwilligung ein (Art. 49 Abs. 1 lit. a DSGVO).
8. Speicherdauer
Sofern nicht oben für bestimmte Daten eine Speicherdauer genannt ist, gilt:
- Sessions: max. 7 Tage
- Account-Daten: Solange der Account besteht bzw. bis zur Löschung (z.B. auf Anfrage), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Newsletter-/Waitlist-Anmeldungen: Bestätigte Anmeldungen speichern wir grundsätzlich, bis du dich abmeldest oder der Verarbeitung für Direktwerbung widersprichst. Status-, Bestätigungs-, Versand-, Bounce- und Abmeldeinformationen speichern wir darüber hinaus, soweit dies erforderlich ist, um Einwilligungen nachzuweisen, Zustellungen technisch zu steuern und weitere Zusendungen nach einer Abmeldung zu verhindern. Bestätigungslinks für das Double-Opt-In sind derzeit 48 Stunden gültig.
- Newsletter-Kampagnen und Zustellprotokolle: Betreff, Inhalte, Zielgruppenselektion, Versandstatus, Fehler- und Zustellinformationen speichern wir, solange dies für den Betrieb des Newsletter-/Waitlist-Systems, die Fehleranalyse und den Nachweis ordnungsgemäßer Aussendungen erforderlich ist.
- Beta-Tester-Bewerbungen: Bewerbungsdaten speichern wir bis zur Entscheidung über die Bewerbung, einem Widerruf oder solange wir sie zur Organisation und Dokumentation des Beta-Programms benötigen. Bestätigungslinks für Beta-Bewerbungen sind derzeit 24 Stunden gültig.
- Waitlist-Promocodes: Reservierte oder versendete persönliche Waitlist-Promocodes speichern wir, solange sie zur Einlösung, Missbrauchsverhinderung, technischen Nachvollziehbarkeit oder zur Abwicklung des zugehörigen Rabattvorteils erforderlich sind.
- Strategien & Runs (Backtests): Wir speichern Strategien, Backtest-Runs und zugehörige Ergebnisse grundsätzlich, solange der Nutzeraccount besteht. Wenn ein Account gelöscht wird, werden diese Daten in der Regel mit dem Account gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- AI-Chat-Inhalte (Chats, Nachrichten, Memory): Wenn du den AI-Chat nutzt, speichern wir Deine Chat-Konversationen und zugehörige technische Daten (z.B. Chat-Titel, Nachrichten, ggf. Memory/Summaries) grundsätzlich, solange der Nutzeraccount besteht, damit du die Chats später wieder nutzen kannst. Du kannst Chats jederzeit manuell löschen; dabei werden die zugehörigen Nachrichten und Memory-Daten ebenfalls entfernt. Wenn ein Account gelöscht wird, werden diese Daten in der Regel mit dem Account gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Social-Inhalte (optional): Öffentliche Inhalte bleiben grundsätzlich sichtbar, bis sie gelöscht oder moderiert werden. Nach der Löschung eines Accounts wird der Nutzername unkenntlich gemacht („gelöschter Account“).
- Moderation/Reports/Audit: Zur Missbrauchsprävention, Sicherheit und zur Nachvollziehbarkeit von Moderationsmaßnahmen speichern wir Moderationsdaten nur so lange wie erforderlich. In unserem System gelten (Stand heute) u.a. folgende Zeiträume:
- Reports (offen / in Prüfung): 6 Monate bei Inaktivität
- Reports (abgeschlossen): 8 Monate nach Abschluss.
- Snapshot-Archiv (Beweis-Momentaufnahme): 12 Monate ab der letzten Aktualisierung des Reports.
- Audit-Trail: 12 Monate ab Erstellung
- Social-Sperr-Metadaten: 12 Monate nach Ende der Sperre
- Beschwerden/Einsprüche gegen Moderationsmaßnahmen: Wenn du eine Beschwerde gegen eine Social-Sperre einreichst, speichern wir diese zur Bearbeitung und Dokumentation. Erledigte Beschwerden werden in der Regel nach 12 Monaten ab Entscheidung gelöscht.
- Verwarnungen / Moderations-Antworten : Verwarnungen und Moderations-Antworten (Text, Zeitpunkte, ggf. Bezug zu einem Report) werden zur Dokumentation und Missbrauchsprävention für 8 Monate gespeichert (ab Erstellung/Bestätigung).
- Progress-Dateien: Technische Fortschrittsdateien zu Runs werden nur temporär benötigt und werden nach max. 5 Tagen gelöscht (Lösch-Routine).
9. Pflicht zur Bereitstellung personenbezogener Daten
Die Bereitstellung bestimmter personenbezogener Daten ist für die Nutzung von SPAIKE vertraglich erforderlich (Art. 13 Abs. 2 lit. e DSGVO):
- Registrierung/Login: Benutzername, E-Mail-Adresse und Passwort sind erforderlich, um einen Account anzulegen und sich einzuloggen. Ohne Account kannst Du kein Abonnement abschließen und SPAIKE nicht nutzen.
- Newsletter/Waitlist (optional): Für eine Newsletter- oder Waitlist-Anmeldung ist mindestens Deine E-Mail-Adresse erforderlich. Ein Name ist optional.
- Beta-Programm (optional): Für eine Beta-Bewerbung benötigen wir Name, E-Mail-Adresse und eine Angabe zu Deiner Trading-Erfahrung; die Motivation ist freiwillig.
- Backtests: Strategie-Parameter und -Konfigurationen sind erforderlich, damit wir Backtests durchführen können. Ohne diese Daten kann SPAIKE seine Kernfunktion nicht erbringen.
- AI-Chat (optional): Die Nutzung des AI-Chats setzt voraus, dass Du Eingaben übermittelst. Ohne Eingaben kann keine Antwort generiert werden. Die Nutzung des AI-Chats ist freiwillig.
- Social/Community (optional): Wenn Du Inhalte veröffentlichst, müssen diese zusammen mit deinem Benutzernamen gespeichert werden. Die Nutzung der Community-Funktionen ist freiwillig.
Eine gesetzliche Pflicht zur Bereitstellung besteht nicht. Wenn Du die erforderlichen Daten nicht bereitstellst, können wir die jeweiligen Funktionen jedoch nicht anbieten.
10. Automatisierte Entscheidungsfindung / Profiling
Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 DSGVO, die Dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt.
11. Rechte der betroffenen Person
Du hast – soweit die jeweiligen Voraussetzungen vorliegen – folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerrufsrecht: Du kannst eine Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO).
- Beschwerderecht: Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Du der Auffassung bist, dass die Verarbeitung Deiner personenbezogenen Daten gegen Datenschutzrecht verstößt (Art. 77 DSGVO). Die für uns örtlich zuständige Behörde ist: Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach, Deutschland (https://www.lda.bayern.de/).
12. Sicherheit
Wir treffen technische und organisatorische Maßnahmen zum Schutz deiner Daten, u.a. Passwort-Hashing, optionale Zwei-Faktor-Authentifizierung, sowie gehärtete Session-Einstellungen (HttpOnly, SameSite-Policy, Session-Strict-Mode). Soweit verfügbar, erfolgt die Datenübertragung über eine TLS-verschlüsselte Verbindung (https).
13. Hinweise für Nutzer in den USA („US Residents“)
Wenn du dich in den USA befindest oder dort ansässig bist, gelten ergänzend zu den obigen Informationen die folgenden Hinweise. SPAIKE ist nur für Personen ab 18 Jahren bestimmt.
- Keine „Sales“ personenbezogener Daten: Wir verkaufen keine personenbezogenen Daten im üblichen Sinn.
- Kein Ad-Retargeting (kein „Sharing“ für Cross-Context Behavioral Advertising): Wir nutzen nach aktuellem Stand keine Werbenetzwerke/kein Retargeting und geben Daten nicht für Cross-Context Behavioral Advertising weiter. (Wenn wir dies künftig einsetzen, aktualisieren wir diese Hinweise.)
- Analytics (GA4): Sofern du über den Consent-Manager zustimmst, nutzen wir Google Analytics 4 zur Reichweitenmessung und Produktverbesserung. Dabei können Online-Kennungen (z.B. Cookies; typischerweise
_ga,_ga_*) und Nutzungsdaten verarbeitet werden. Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen (z.B. über#tarteaucitron). - Datenschutzanfragen: Du kannst uns unter den in Abschnitt „Verantwortlicher“ genannten Kontaktdaten kontaktieren. Wir bearbeiten Anfragen (z.B. Auskunft, Löschung, Berichtigung) nach Maßgabe der anwendbaren Gesetze und können zur Verifizierung zusätzliche Angaben anfordern.
Hinweis zu US-Bundesstaaten: Je nach Bundesstaat (z.B. CA/CO/VA/CT/UT) können zusätzliche Rechte und Informationspflichten gelten. Wir werden diese Datenschutzhinweise bei Bedarf entsprechend erweitern.
Privacy Policy
Version as of: 04.04.2026
We may amend this Privacy Policy if the legal situation, service providers or data processing operations change. The current version is always available on this page.
1. Controller
glowline GmbH i.G., Am Bichel 10, 82234 Weßling, Germany; telephone: xxx xxxxxxxxxx, email: contact@spaike-sf.com ("we").
2. Subject Matter of the Processing of Personal Data
We operate a web-based backtesting tool. Depending on how you use it, we process in particular:
- Account data: username, email address, password hash, login timestamps, 2FA data (TOTP secret/recovery codes or email OTP).
- Newsletter/waitlist data (if used): email address, optional name, language, source of registration, audience (e.g. newsletter or waitlist), double opt-in token hash including expiry time, unsubscribe token, status data and timestamps (e.g. registration, confirmation, unsubscribe), delivery and bounce information.
- Beta tester applications (if used): email address, name, voluntary motivation, stated trading experience, language, source of the application, double opt-in token hash including expiry time, application status, confirmation and review timestamps, and internal processing notes.
- Backtest/strategy data: strategy configurations (JSON), backtest parameters, runs and results/trades (partly as JSON).
- Social/community data (if used): published strategies including snapshot, comments/replies, reactions (likes/dislikes), notices/reports, moderation measures (e.g. warnings, suspension status metadata).
- Subscription/payment data (if used): subscription type, terms, quota consumption (e.g. runs/AI messages per period), Stripe customer number, payment status, transaction identifiers. Credit card, debit card or bank account data are processed exclusively by our payment service provider (Stripe) and are not visible to us.
- Waitlist promo code data (if used): reserved personal promo code, linked internal promo code ID, Stripe coupon/promotion code IDs, discount value, status, and timestamps for reservation, dispatch and redemption.
- AI chat data (if used): chat content, chat metadata (title), and memory/summaries to improve chat continuity.
- Technical data: session ID (cookie), consent settings, protocol/log data (e.g. IP address in server logs), device/browser information (user agent).
3. Overview of the Purposes and Legal Bases for the Processing of Personal Data
| Processing | Purpose | Legal basis |
|---|---|---|
| Provision of the website | Delivery of content, stability, security, error analysis | Art. 6(1)(f) GDPR (legitimate interests: presentation of our services; ensuring system security) |
| Registration, login, 2FA | Account management and access protection | Art. 6(1)(b) GDPR (performance of a contract) and (f) (legitimate interest: prevention of misuse) |
| Newsletter, waitlist, double opt-in | Sending product updates, launch notifications, managing consents, unsubscribes, and delivery/misuse management | Art. 6(1)(a) GDPR (consent) and Art. 6(1)(f) GDPR (legitimate interest: proof of consent, deliverability, misuse prevention) |
| Beta tester applications | Processing voluntary beta applications, double opt-in, selecting suitable testers, and communication regarding the beta program | Art. 6(1)(b) GDPR (processing your request to participate in the beta program) and Art. 6(1)(f) GDPR (legitimate interest: organization of the application process, misuse prevention) |
| Backtests/strategies | Carrying out and storing backtests and analyses | Art. 6(1)(b) GDPR (performance of a contract) |
| Social/community (optional) | Publication, interaction, moderation (e.g. reports, snapshots, audit trail, warnings, exclusion from social features) | Art. 6(1)(b) GDPR (performance of a contract) and (f) (legitimate interests: moderation; prevention of misuse; ensuring system security) |
| Subscription/quota (optional) | Billing/feature activation and quota enforcement | Art. 6(1)(b) GDPR (performance of a contract) |
| Waitlist promo codes (optional) | Reservation and management of personal launch discount codes for confirmed waitlist subscribers | Art. 6(1)(b) GDPR (provision of the requested waitlist benefit) and Art. 6(1)(f) GDPR (legitimate interest: prevention of misuse, technical traceability) |
| AI chat (optional) | Support for strategy creation/analysis | Art. 6(1)(b) GDPR (performance of a contract); where applicable Art. 6(1)(a) GDPR (consent) |
4. Server Log Files (Technical Access Data)
When you access our website, data that your browser automatically transmits are processed for technical reasons (including to ensure stability and security). These data may be generated in server log files (e.g. with the hosting provider and/or web server).
- IP address
- Date and time of the request
- Requested page/URL
- Referrer URL
- Browser type/version, operating system, user agent
Purpose: operation, error analysis, misuse/attack detection, IT security.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest: ensuring system security).
Storage period: max. 7 days
5. Cookies and Similar Technologies
We use cookies that are required for operation, as well as a consent tool for managing consents. Tracking/marketing services are only active if they are configured and, where necessary, consent has been given.
Legal bases (cookies and local storage):
• Necessary cookies/technical storage: Section 25 para. 2 no. 2 TDDDG
• Non-essential cookies/technologies: Section 25 para. 1 TDDDG (consent).
Overview of the Cookies Used:
| Name | Category | Purpose | Storage period |
|---|---|---|---|
bbt_session |
Necessary | Login session/authentication (HttpOnly, SameSite=Lax; Secure with HTTPS) | up to 7 days |
tarteaucitron |
Necessary | Stores your cookie consent settings | up to 12 months |
bbt_dummy_consent_test |
only with consent | Only for internal consent tests (dummy service) | up to 12 months |
Local Storage
We store certain convenience settings locally in the browser (local storage):
- Language:
bbt_lang,bbt_browser_lang,bbt_lang_manual - Time zone:
bbt.userTimezone - UI state/design:
DASH_TAB_STORAGE_KEY,DASH_THEME_STORAGE_KEY,bbtStrategyCardScale,BBT_IV_THEME_KEY - Promo (optional):
bbtPromoCode - AI chat UI mode:
bbt_ai_chat_assistant_mode - AI chat privacy notice (acknowledgement):
bbt_ai_chat_disclosure_ack_v1
Legal basis: Section 25 para. 2 no. 2 TDDDG
You can delete these data at any time via your browser settings.
Consent Manager
We use a consent manager (tarteaucitron.js) to manage your consents for non-essential services.
You may withdraw any consent you have given at any time with effect for the future by opening the cookie settings
(e.g. via the cookie icon in SPAIKE) and adjusting your selection.
6. Recipients of Personal Data
We use service providers that may receive data on our behalf or as recipients:
- Email dispatch (SMTP): For system emails (verification, password reset, 2FA), newsletter/waitlist double opt-in, beta application confirmations, and newsletter/waitlist campaigns, we use an external SMTP service (e.g. IONOS). In this context, email address and email content are processed.
- Web analytics (Google Analytics 4): If we use Google Analytics 4 (only with corresponding consent via our consent manager), usage data (e.g. pages accessed, interactions, rough device/browser information, online identifiers such as cookie IDs) are processed in order to measure and improve the use of our website. The provider is Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland). A transfer to third countries is possible (Google LLC is based in Mountain View, CA, USA).
- Payment processing and promo code management (Stripe): We use the payment service provider Stripe for paid subscriptions (Stripe Payments Europe, Ltd., One Wilton Park, Wilton Place, Dublin 2, D02 FX04 Ireland). In addition, for confirmed waitlist subscribers we may reserve and manage personal launch promo codes in Stripe. Depending on the process, payment-related and promotion-related data are processed (e.g. payment method, transaction status, Stripe customer number, coupon/promotion code IDs). Credit/debit card data or bank account data are collected and processed directly by Stripe; we do not have access to full card numbers. A transfer to third countries is possible (Stripe, LLC is based at 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA). Legal basis: Art. 6(1)(b) GDPR (performance of a contract or provision of requested waitlist benefits). Further information: https://stripe.com/de/privacy
- AI chat (OpenAI): When the AI chat is used, inputs and context data are transmitted to OpenAI (OpenAI Ireland Limited, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43 Ireland) and processed there to generate responses. A transfer to third countries is possible (OpenAI OpCo, LLC is based at 1455 3rd Street, San Francisco, CA 94158, USA).
7. Transfers to Third Countries
If we use services for which processing also takes place in "third countries" outside the territorial scope of the GDPR, i.e. outside the European Economic Area ("EEA": EU plus Iceland, Liechtenstein and Norway), personal data may be transferred to third countries.
We ensure that such transfer only takes place if an adequate level of data protection has been bindingly established for the third country by an adequacy decision of the European Commission (Art. 45 GDPR; for companies in the USA, if the company is certified under the EU-U.S. Data Privacy Framework) or if appropriate safeguards exist, in particular by agreeing the EU Standard Contractual Clauses with the recipient of the data in the third country (Art. 46 GDPR). Otherwise, we obtain your explicit consent for the transfer to a third country (Art. 49(1)(a) GDPR).
8. Storage Period
Unless a specific storage period is stated above for certain data, the following applies:
- Sessions: max. 7 days
- Account data: For as long as the account exists or until deletion (e.g. upon request), unless statutory retention obligations prevent this.
- Newsletter/waitlist registrations: As a rule, we store confirmed registrations until you unsubscribe or object to processing for direct marketing purposes. We also store status, confirmation, dispatch, bounce and unsubscribe information to the extent necessary to prove consent, technically control deliveries and prevent further mailings after an unsubscribe. Confirmation links for the double opt-in are currently valid for 48 hours.
- Newsletter campaigns and delivery logs: Subject, content, target group selection, dispatch status, error and delivery information are stored for as long as this is necessary for operating the newsletter/waitlist system, error analysis and proof of proper dispatches.
- Beta tester applications: We store application data until a decision on the application, a withdrawal, or for as long as we need them to organize and document the beta program. Confirmation links for beta applications are currently valid for 24 hours.
- Waitlist promo codes: We store reserved or dispatched personal waitlist promo codes for as long as they are required for redemption, prevention of misuse, technical traceability, or handling of the related discount benefit.
- Strategies & runs (backtests): As a rule, we store strategies, backtest runs and related results for as long as the user account exists. If an account is deleted, these data are usually deleted with the account, unless statutory retention obligations prevent this.
- AI chat content (chats, messages, memory): If you use the AI chat, we generally store your chat conversations and related technical data (e.g. chat title, messages, where applicable memory/summaries) for as long as the user account exists so that you can use the chats again later. You can manually delete chats at any time; the related messages and memory data are then also removed. If an account is deleted, these data are usually deleted with the account, unless statutory retention obligations prevent this.
- Social content (optional): Public content generally remains visible until it is deleted or moderated. After deletion of an account, the username is anonymized ("deleted account").
- Moderation/reports/audit: For misuse prevention, security and traceability of moderation measures, we store moderation data only for as long as necessary. In our system (as of today), the following periods apply, among others:
- Reports (open / under review): 6 months in case of inactivity
- Reports (completed): 8 months after completion.
- Snapshot archive (evidentiary snapshot): 12 months from the last update of the report.
- Audit trail: 12 months from creation
- Social suspension metadata: 12 months after the end of the suspension
- Complaints/appeals against moderation measures: If you submit a complaint against a social suspension, we store it for processing and documentation. Resolved complaints are generally deleted 12 months after the decision.
- Warnings / moderation replies: Warnings and moderation replies (text, timestamps, where applicable reference to a report) are stored for 8 months (from creation/confirmation) for documentation and misuse prevention.
- Progress files: Technical progress files for runs are only needed temporarily and are deleted after a maximum of 5 days (deletion routine).
9. Obligation to Provide Personal Data
The provision of certain personal data is contractually required for the use of SPAIKE (Art. 13(2)(e) GDPR):
- Registration/login: Username, email address and password are required to create an account and log in. Without an account, you cannot conclude a subscription and cannot use SPAIKE.
- Newsletter/waitlist (optional): For a newsletter or waitlist registration, at least your email address is required. A name is optional.
- Beta program (optional): For a beta application, we require your name, email address and information about your trading experience; motivation is voluntary.
- Backtests: Strategy parameters and configurations are required so that we can run backtests. Without these data, SPAIKE cannot provide its core function.
- AI chat (optional): Use of the AI chat requires you to submit inputs. Without inputs, no response can be generated. Use of the AI chat is voluntary.
- Social/community (optional): If you publish content, it must be stored together with your username. Use of the community features is voluntary.
There is no legal obligation to provide data. However, if you do not provide the required data, we cannot offer the respective functions.
10. Automated Decision-Making / Profiling
No solely automated decision-making, including profiling, pursuant to Art. 22(1) GDPR takes place that produces legal effects concerning you or similarly significantly affects you.
11. Rights of the Data Subject
You have the following rights, provided that the respective legal requirements are met:
- Right of access (Art. 15 GDPR)
- Right to rectification (Art. 16 GDPR)
- Right to erasure (Art. 17 GDPR)
- Right to restriction of processing (Art. 18 GDPR)
- Right to data portability (Art. 20 GDPR)
- Right to withdraw consent: You may withdraw any consent at any time (Art. 7(3) GDPR).
- Right to lodge a complaint: You have the right to lodge a complaint with a data protection supervisory authority if you believe that the processing of your personal data violates data protection law (Art. 77 GDPR). The authority with local jurisdiction for us is: Bayerisches Landesamt für Datenschutzaufsicht, Promenade 18, 91522 Ansbach, Germany (https://www.lda.bayern.de/).
12. Security
We implement technical and organizational measures to protect your data, including password hashing, optional two-factor authentication, and hardened session settings (HttpOnly, SameSite policy, session strict mode). Where available, data are transmitted via a TLS-encrypted connection (https).
13. Information for Users in the United States ("US Residents")
If you are located in or resident in the United States, the following information applies in addition to the information above. SPAIKE is intended only for persons aged 18 or older.
- No "sales" of personal data: We do not sell personal data in the ordinary sense.
- No ad retargeting (no "sharing" for cross-context behavioral advertising): At present, we do not use advertising networks/retargeting and do not disclose data for cross-context behavioral advertising. (If we introduce this in the future, we will update this information.)
- Analytics (GA4): If you consent via the consent manager, we use Google Analytics 4 for audience measurement and product improvement. In this context, online identifiers (e.g. cookies; typically
_ga,_ga_*) and usage data may be processed. You may withdraw your consent at any time via the cookie settings (e.g. via#tarteaucitron). - Privacy requests: You may contact us using the contact details stated in the "Controller" section. We process requests (e.g. access, deletion, rectification) in accordance with applicable laws and may request additional information for verification purposes.
Note regarding US states: Depending on the state (e.g. CA/CO/VA/CT/UT), additional rights and information obligations may apply. We will expand these privacy notices accordingly where necessary.