Datenschutz.

Diese Datenschutzerklärung (diese „Richtlinie“) gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit sämtlichen von der Cryptonow GmbH erbrachten Dienstleistungen. Die Cryptonow GmbH ist eine im Republik Österreich eingetragene Gesellschaft mit Sitz in Marc-Aurel-Str. 10-12, 1010 Wien, Österreich („Cryptonow“, „das Unternehmen“, „wir“, „uns“ oder „unser“), die ihre Dienstleistungen über unsere elektronische Brokerage-Plattform (einschließlich aller damit verbundenen mobilen Anwendungen und Websites, die für den Zugriff darauf genutzt werden) (zusammen die „Plattform“) erbringt.

Diese Richtlinie beschreibt, wie wir personenbezogene Daten im Zuge der Erbringung unserer Dienstleistungen erheben, verwenden und offenlegen. Dies umfasst unter anderem:

  • Kontoerstellung und -verwaltung;

  • Identitätsprüfung (KYC);

  • Ausführung von Transaktionen;

  • Kundensupport;

  • Werbeaktionen; und

  • jede Interaktion mit der Plattform (zusammen die „Dienstleistungen“).

Diese Richtlinie ergänzt unsere sonstigen Richtlinien und ist nicht dazu bestimmt, diese zu ersetzen.

Die hierin verwendeten Begriffe haben die ihnen in der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO) sowie im österreichischen Datenschutzgesetz (Datenschutzgesetz – DSG) jeweils zugewiesene Bedeutung.

Für die Zwecke dieser Richtlinie gilt:

  • „Personenbezogene Daten“ bezeichnet sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

  • „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung).

  • „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

  • „Aufsichtsbehörde“ bezeichnet die Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien (T +43 1 52 152-0, M [email protected]).

  • „Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person.

1. Unser Verhältnis zu Ihnen

Cryptonow handelt als Verantwortlicher für Ihre personenbezogenen Daten in Bezug auf die Dienstleistungen und gewährleistet die Sicherheit Ihrer personenbezogenen Daten sowie die Einhaltung der anwendbaren regulatorischen Anforderungen.

Da wir für die im Rahmen der Erbringung unserer Dienstleistungen verarbeiteten personenbezogenen Daten verantwortlich sind, haben wir einen Datenschutzbeauftragten (DPO) bestellt, der unsere Einhaltung des Datenschutzrechts überwacht und als primäre Kontaktstelle für die Aufsichtsbehörde sowie für betroffene Personen in Datenschutzangelegenheiten fungiert.

Sie können uns im Zusammenhang mit Dienstleistungen kontaktieren, die Sie in Erwägung ziehen oder von uns erhalten möchten (wie etwa die Konvertierung zwischen Krypto-Assets und Fiatgeld).

Durch die Registrierung für und die Nutzung der Plattform bestätigen Sie, dass Ihre personenbezogenen Daten wie in dieser Richtlinie und in den für die Plattform geltenden Geschäftsbedingungen („AGBs“) sowie den Datenschutzbestimmungen unserer Identifikations-Partner beschrieben verarbeitet werden.

Wenn Sie Fragen oder Bedenken hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben, können Sie unseren Datenschutzbeauftragten unter folgender Adresse kontaktieren: [email protected]

2. Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten

Wir können Ihre personenbezogenen Daten auf einer oder mehreren der folgenden Rechtsgrundlagen gemäß Artikel 6 DSGVO verarbeiten:

2.1 Vertragserfüllung – Art. 6 Abs. 1 lit. b DSGVO

Soweit die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei Sie sind, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage erfolgen (z. B. Bereitstellung der Dienstleistungen über unsere Plattform).

2.2 Erfüllung rechtlicher Verpflichtungen – Art. 6 Abs. 1 lit. c DSGVO

Soweit die Verarbeitung erforderlich ist, um einer rechtlichen oder regulatorischen Verpflichtung nachzukommen, der wir unterliegen (z. B. Geldwäschebekämpfung (AML), Know-your-Customer (KYC), Identifikationspflichten, Steuerberichterstattung und sonstige Compliance-Anforderungen).

2.3 Berechtigte Interessen – Art. 6 Abs. 1 lit. f DSGVO

Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen (oder der berechtigten Interessen eines Dritten) erforderlich ist, sofern nicht Ihre Grundrechte und Grundfreiheiten überwiegen. Zu unseren berechtigten Interessen können zählen:

  • die Bereitstellung, Aufrechterhaltung und Verbesserung unserer Dienstleistungen;

  • die Gewährleistung der Sicherheit der Plattform, IT- und steuerlichen Compliance sowie interner Kontrollen;

  • die Verhinderung von Betrug und Missbrauch; und

  • die Aufrechterhaltung effizienter Geschäftsabläufe.

2.4 Einwilligung – Art. 6 Abs. 1 lit. a DSGVO

In bestimmten, begrenzten Fällen stützen wir uns auf Ihre freiwillig erteilte, spezifische, informierte und unmissverständliche (und soweit erforderlich ausdrückliche) Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten (z. B. für Direktmarketing oder optionale Funktionen). Soweit die Verarbeitung auf einer Einwilligung beruht:

  • sind Sie nicht verpflichtet, eine Einwilligung zu erteilen;

  • entsteht Ihnen kein Nachteil, wenn Sie nicht einwilligen oder Ihre Einwilligung später widerrufen; und

  • können Sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie uns über die in dieser Richtlinie angegebenen Kontaktdaten kontaktieren.

Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung. Bitte beachten Sie, dass wir Ihre personenbezogenen Daten je nach konkretem Zweck auf mehrere Rechtsgrundlagen stützen können. Wenn Sie Informationen zur Rechtsgrundlage einer bestimmten Verarbeitungstätigkeit wünschen, können Sie uns jederzeit kontaktieren.

3. Welche personenbezogenen Daten wir erheben und wie wir sie erheben

Wir stellen sicher, dass wir personenbezogene Daten gemäß dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO nur in dem Umfang verarbeiten, der angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist.

3.1 Daten, die wir direkt von Ihnen erhalten

Zum Beispiel:

  • wenn Sie sich zur Nutzung der Plattform registrieren oder Informationen im Rahmen des KYC-Prozesses übermitteln;

  • wenn Sie Formulare ausfüllen oder Dokumente auf der Plattform hochladen;

  • wenn Sie uns per E-Mail oder über andere Kommunikationskanäle kontaktieren;

  • wenn Sie Supportanfragen stellen, an Streitbeilegungsverfahren teilnehmen oder Unterstützung anfordern;

  • wenn Sie unsere Büros physisch besuchen.

3.2 Automatisch erhobene Daten

  • durch Ihre Nutzung der Plattform und unserer Dienstleistungen (z. B. Protokolldaten, Gerätedaten, Nutzungsdaten).

3.3 Daten, die wir von Dritten erhalten

Zum Beispiel:

  • von unseren Partnern und verbundenen Unternehmen, die Ihnen die Nutzung unserer Dienstleistungen ermöglichen;

  • von Anbietern von Background-Screenings, Identitätsprüfungsdiensten, EU-Travel-Rule-(TFR)-Dienstleistern, Kreditauskunfteien, Anbietern von PEP- und Sanktionsprüfungen;

  • aus öffentlich zugänglichen Quellen (z. B. amtliche Register oder Unternehmensdatenbanken innerhalb der EU, On-Chain-Blockchain-Daten);

  • von Datenbrokern und Datenaggregatoren, soweit rechtlich zulässig.

3.4 Kategorien der verarbeiteten personenbezogenen Daten

Beim Betrieb unserer Plattform und der Erbringung unserer Dienstleistungen können wir die folgenden Kategorien personenbezogener Daten verarbeiten:

  • Identifikationsdaten:

    Vollständiger Name, Geburtsdatum und -ort, Staatsangehörigkeit, amtliche Identifikationsnummer, Reisepass-/Ausweisdaten.

  • Kontaktdaten:

    Wohnanschrift, E-Mail-Adresse, Telefonnummer.

  • Finanz- und Transaktionsdaten:

    Herkunft der Mittel und des Vermögens, Bankkontodaten, Zahlungskartendaten (einschließlich Kartennummer, Ablaufdatum und CVC), Steueridentifikationsnummer (TIN), Beschäftigungsstatus und Einkommensangaben.

  • Verifizierungsdaten:

    Ergebnisse von PEP-/Sanktionsprüfungen, Identitätsdokumente, Bescheinigungen (z. B. Beschäftigung, Erbschaft).

  • Berufsbezogene Informationen:

    Beschäftigungsverlauf, Bildungsweg, Arbeitgeberreferenzen, soweit anwendbar.

  • Nutzungsdaten der Plattform:

    Login-Historie, Gerätetyp, Nutzereinstellungen, Interaktionshistorie.

  • Gerätedaten:

    Gerätetyp, Betriebssystem, eindeutige Gerätekennungen, Absturzprotokolle, Browsertyp.

  • Protokolldaten:

    IP-Adresse, Zeitstempel, Login-Standort, Protokolle der Nutzeraktivitäten.

  • Konto- und Transaktionsdaten:

    Kontostände, Handelshistorie, Einzahlungs-Snapshots, Verifizierungs-Sicherungsmaßnahmen.

  • Daten zu Vor-Ort-Besuchen:

    Bild- oder Videoaufzeichnungen, die während Besuchen in unseren Büroräumlichkeiten erstellt werden.

Bitte beachten Sie, dass einige der von uns verarbeiteten personenbezogenen Daten zur Einhaltung der anwendbaren Geldwäschevorschriften und unserer internen KYC/AML-Richtlinien gegen Risikoprofile und regulatorische Watchlists geprüft werden (z. B. Prüfungen durch Kreditauskunfteien, Anti-Betrugsstellen, Sanktionsprüfungen und PEP-Listen).

4. Zwecke, zu denen wir Ihre personenbezogenen Daten verarbeiten

Wir verarbeiten Ihre personenbezogenen Daten zu den nachstehend beschriebenen Zwecken auf Grundlage der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen:

  • Bereitstellung von Dienstleistungen und Kontoverwaltung

    Zur Bereitstellung und Verwaltung des Zugangs zu unseren Dienstleistungen und Ihrem Konto auf der Plattform, einschließlich der Abwicklung von Transaktionen, Nutzer-Authentifizierung, Kundenservice und technischem Support

    → Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung.

  • Erfüllung gesetzlicher und regulatorischer Verpflichtungen

    Zur Einhaltung von Geldwäschebekämpfungs- (AML) und Terrorismusfinanzierungsbekämpfungsvorschriften, steuer- und buchhalterischen Pflichten sowie Aufbewahrungspflichten

    → Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (z. B. Finanzmarkt-Geldwäschegesetz, Bundesabgabenordnung, Unternehmensgesetzbuch, Bundesgesetz gegen den unlauteren Wettbewerb).

  • Sicherheit und Integrität der Systeme

    Zur Gewährleistung der Sicherheit und Integrität unserer Systeme, einschließlich Betrugserkennung, IT-Sicherheitsmaßnahmen, Notfallwiederherstellung und Audits

    → Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen.

  • Dienstleistungsbezogene Kommunikation

    Zur Kommunikation mit Ihnen über Updates, Änderungen oder rechtliche/administrative Mitteilungen in Bezug auf Ihr Konto oder Ihre Nutzung der Plattform

    → Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. c DSGVO, je nach Anwendbarkeit.

  • Betrieb und Wartung von Websites und Anwendungen

    Zum Betrieb, zur Wartung und zur Verbesserung unserer Websites und mobilen Anwendungen, einschließlich Anpassung der Benutzeroberfläche, Fehlerbehebung und Sicherstellung der Kompatibilität über Geräte und Systeme hinweg

    → Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen.

  • Social Media und Community-Management

    Zur Kommunikation in sozialen Medien und zum Community-Management, zur Beantwortung von Nutzeranfragen, zur Moderation von Inhalten und zur Aufrechterhaltung einer sicheren Umgebung auf unseren offiziellen Kanälen

    → Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen.

  • Videoüberwachung in den Büroräumlichkeiten

    Wenn Sie unsere Büros besuchen, zur Durchführung von Videoüberwachung zum Schutz von Unternehmenseigentum, zur Sicherheit von Mitarbeitern, Kunden und Besuchern sowie zur Verhinderung von Betrug, Vandalismus oder anderen rechtswidrigen Handlungen

    → Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen; und soweit erforderlich Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (vorbehaltlich nationalen Rechts, z. B. §§ 12 und 13 DSG).

  • Marketing und Werbung
    Zur Bewerbung unserer Dienstleistungen und Produkte durch Marketing, Nutzerwachstumsinitiativen und Werbekampagnen (einschließlich zielgerichteter Werbung, Performance-Tracking und Outreach), sofern erforderlich auf Grundlage Ihrer Einwilligung

    → Art. 6 Abs. 1 lit. a DSGVO – Einwilligung; oder Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen.

  • Newsletter und optionale Kommunikation

    Soweit Sie Ihre Einwilligung erteilt haben, zum Versand von Newslettern, Marketingkommunikation und sonstigen optionalen Inhalten

    → Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (die Sie jederzeit widerrufen können).

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich in dem Umfang, der für die genannten Zwecke erforderlich ist, und im Einklang mit den Grundsätzen der Datenminimierung und Zweckbindung.

Wenn Sie personenbezogene Daten, die vertraglich oder gesetzlich erforderlich sind, nicht bereitstellen, können wir die mit diesen Daten verbundenen Dienstleistungen gegebenenfalls nicht erbringen.

5. Wie wir Ihre personenbezogenen Daten weitergeben

Gemäß Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO können wir Ihre personenbezogenen Daten an die folgenden Kategorien von Empfängern weitergeben:

  • Konzernunternehmen und verbundene Unternehmen

    Zum Zweck der Bereitstellung und Verbesserung unserer Dienstleistungen und der Plattform.

  • IT-Dienstleister

    Externe Anbieter, die unsere technischen Systeme und Infrastrukturen hosten, warten und absichern.

  • Zahlungs- und Finanzdienstleister

    Anbieter von Zahlungsabwicklung, Bankdienstleistungen und Finanzinfrastruktur zur Ermöglichung von Transaktionen.

  • Anbieter für Kundensupport und Kommunikation

    Anbieter von Kommunikationsplattformen, Callcentern oder Ticketingsystemen, die für den Kundensupport genutzt werden.

  • Anbieter für Identitätsprüfung und Compliance

    Externe Dienstleister für Identitätsprüfungen, AML/CTF-Screening, Travel Rule (TFR), PEP- und Sanktionslistenprüfungen sowie Betrugsprävention.

  • Rechtsberater und Abschlussprüfer

    Rechtsanwälte, Abschlussprüfer und andere Fachleute, soweit dies für die Einhaltung von Vorschriften oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

  • Aufsichts- und öffentliche Behörden

    Staatliche oder regulatorische Stellen sowie Strafverfolgungsbehörden, soweit dies gesetzlich erforderlich ist oder auf rechtmäßige Anfrage erfolgt.

  • Potenzielle Erwerber oder Investoren

    Im Zusammenhang mit Unternehmenstransaktionen wie Fusionen, Übernahmen oder Vermögensübertragungen, vorbehaltlich Vertraulichkeitsverpflichtungen.

  • Cloud- und Datenspeicheranbieter

    Anbieter von Cloud-Infrastruktur und sicherer Datenspeicherung.

  • Externe Steuerberater

    Soweit dies für steuerliche Compliance und interne Kontrollen erforderlich ist.

Soweit solche Empfänger personenbezogene Daten in unserem Auftrag verarbeiten, handeln sie als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Wir schließen mit diesen Auftragsverarbeitern Auftragsverarbeitungsverträge, die sie verpflichten:

  • nur auf Grundlage unserer dokumentierten Weisungen zu handeln;

  • geeignete technische und organisatorische Maßnahmen umzusetzen; und

  • Vertraulichkeit und Sicherheit der personenbezogenen Daten zu wahren.

In manchen Fällen handeln Empfänger als eigenständige Verantwortliche und verarbeiten personenbezogene Daten für eigene Zwecke (z. B. bestimmte Finanzdienstleister, die eigenen AML-Verpflichtungen unterliegen). In diesen Fällen erfolgen Datenübermittlungen auf Grundlage der jeweiligen Rechtsgrundlage nach Art. 6 DSGVO; ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist nicht erforderlich.

In bestimmten Konstellationen können Daten auch im Rahmen einer gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DSGVO verarbeitet werden, wenn zwei oder mehr Parteien gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. In solchen Fällen schließen wir eine Vereinbarung über gemeinsame Verantwortlichkeit, die die jeweiligen Verantwortlichkeiten insbesondere im Hinblick auf Betroffenenrechte und Informationspflichten festlegt. Das Wesentliche einer solchen Vereinbarung wird betroffenen Personen auf Anfrage zur Verfügung gestellt.

Offenlegungen gegenüber öffentlichen Behörden, Gerichten und Regulierungsbehörden erfolgen ausschließlich auf Grundlage einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO; diese Stellen handeln als eigenständige Verantwortliche.

6. Internationale Datenübermittlungen

Soweit wir Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) einsetzen, können Ihre personenbezogenen Daten in Drittländer übermittelt und dort verarbeitet werden, die möglicherweise nicht das gleiche Datenschutzniveau wie der EWR gewährleisten.

In solchen Fällen stellen wir sicher, dass geeignete Garantien gemäß Kapitel V DSGVO implementiert werden, insbesondere:

  • die Stützung auf einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO); oder

  • sofern kein Angemessenheitsbeschluss vorliegt, der Abschluss von Standardvertragsklauseln (SCCs), die von der Europäischen Kommission angenommen wurden (Art. 46 Abs. 2 lit. c DSGVO); oder

  • sonstige geeignete Garantien gemäß Art. 46 DSGVO, soweit anwendbar.

Wir nutzen zudem renommierte Cloud-Anbieter (z. B. Infrastrukturdienste, deren Server sich in Drittländern wie Singapur befinden können), was grenzüberschreitende Übermittlungen beinhalten kann.

In Übereinstimmung mit dem Urteil des EuGH in der Rechtssache C-311/18 („Schrems II“) führen wir Transfer Impact Assessments (TIAs) durch, um das rechtliche Umfeld in Empfängerländern zu bewerten und ein im Wesentlichen gleichwertiges Schutzniveau für Ihre personenbezogenen Daten sicherzustellen. Soweit erforderlich, implementieren wir ergänzende Maßnahmen (wie Verschlüsselung und strenge Zugriffskontrollen), um SCCs zu ergänzen und Risiken aus lokalen Gesetzen zu mindern.

Sie können weitere Informationen oder eine Kopie der relevanten Garantien anfordern, indem Sie unseren Datenschutzbeauftragten unter [email protected] kontaktieren.

7. Sicherheit Ihrer personenbezogenen Daten

Wir nehmen die Sicherheit Ihrer personenbezogenen Daten sehr ernst. Gemäß Art. 32 DSGVO setzen wir geeignete technische und organisatorische Maßnahmen (TOMs) um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Zu solchen Maßnahmen gehören unter anderem:

  • Zugriffskontrollen;

  • Verschlüsselung;

  • regelmäßige Sicherheitsbewertungen und Audits;

  • sichere Softwareentwicklungspraktiken.

Unsere Sicherheitskontrollen werden regelmäßig überprüft und entsprechend branchenüblicher Best Practices und technischer Entwicklungen aktualisiert.

Zur weiteren Erhöhung der Sicherheit Ihres Kontos und Ihrer personenbezogenen Daten empfehlen wir Ihnen dringend:

  • sehr starke und eindeutige Login-Zugangsdaten (Benutzername, Passwort, PIN) zu wählen und vertraulich zu behandeln;

  • Anti-Virus-, Anti-Spyware- und Firewall-Software zu installieren und regelmäßig zu aktualisieren;

  • Ihr Betriebssystem und Ihre Sicherheitssoftware aktuell zu halten;

  • unnötige Datei- und Druckerfreigaben zu deaktivieren, insbesondere auf mit dem Internet verbundenen Geräten;

  • regelmäßige Backups kritischer Daten zu erstellen;

  • die Verwendung von Verschlüsselungstechnologien für besonders sensible Informationen in Betracht zu ziehen;

  • sich nach jeder Online-Sitzung vollständig abzumelden und den Browser-Cache zu löschen;

  • keine Software aus unbekannten Quellen zu installieren oder auszuführen;

  • Junk- oder Ketten-E-Mails zu löschen und keine Anhänge von unbekannten Absendern zu öffnen;

  • keine personenbezogenen oder finanziellen Daten an nicht verifizierte Websites offenzulegen;

  • keine Computer oder Geräte zu verwenden, denen nicht vertraut werden kann;

  • nicht über öffentliche oder gemeinsam genutzte Computer (z. B. Internetcafés) auf Ihr Konto zuzugreifen.

Sie sollten uns unverzüglich unter [email protected] benachrichtigen, wenn Sie von einer unbefugten Nutzung oder einem unbefugten Zugriff auf Ihr Konto oder Ihre Login-Zugangsdaten Kenntnis erlangen.

Während wir alle geeigneten Maßnahmen gemäß Art. 32 DSGVO ergreifen, sind Sie für die Wahrung der Vertraulichkeit und Sicherheit Ihrer Login-Zugangsdaten verantwortlich. Wir haften nicht für unbefugten Zugriff oder Missbrauch Ihres Kontos, der aus Ihrer unzureichenden Sicherung Ihrer Zugangsdaten resultiert, es sei denn, ein solcher Zugriff beruht auf unserem eigenen Versäumnis, geeignete Sicherheitsmaßnahmen umzusetzen.

8. Ihre Datenschutzrechte

Gemäß den Artikeln 13–22 DSGVO stehen Ihnen in Bezug auf Ihre personenbezogenen Daten die folgenden Rechte zu, vorbehaltlich der in der DSGVO festgelegten Voraussetzungen und Beschränkungen:

  • Auskunftsrecht (Art. 15 DSGVO)

    Bestätigung darüber zu erhalten, ob wir personenbezogene Daten über Sie verarbeiten, und falls ja, Zugang zu diesen Daten und weiteren Informationen (z. B. Zwecke der Verarbeitung, Kategorien der Daten, Empfänger).

  • Recht auf Berichtigung (Art. 16 DSGVO)

    Berichtigung unrichtiger personenbezogener Daten und Vervollständigung unvollständiger Daten zu erwirken.

  • Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)

    Unter bestimmten Umständen die Löschung Ihrer personenbezogenen Daten zu verlangen (z. B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder wenn Sie Ihre Einwilligung widerrufen und keine andere Rechtsgrundlage besteht).

  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    Die Einschränkung der Verarbeitung zu verlangen, wenn beispielsweise die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist und Sie der Löschung widersprechen.

  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

    Soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mittels automatisierter Verfahren erfolgt, die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

  • Widerspruchsrecht (Art. 21 DSGVO)

    Soweit die Verarbeitung auf berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) beruht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einzulegen. Wir stellen die Verarbeitung ein, es sei denn, wir weisen zwingende schutzwürdige Gründe nach, die Ihre Interessen, Rechte und Freiheiten überwiegen.

  • Recht auf Widerruf der Einwilligung

    Soweit die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und/oder Art. 9 Abs. 2 lit. a DSGVO) beruht, Ihre Einwilligung jederzeit zu widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung.

  • Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)

    Nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, außer in den nach der DSGVO zulässigen Fällen.

  • Recht auf Beschwerde (Art. 77 DSGVO)

    Beschwerde bei der Aufsichtsbehörde einzulegen, insbesondere bei der Österreichischen Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, Österreich (https://www.dsb.gv.at).

  • Recht auf Schadenersatz (Art. 82 DSGVO)

    Wenn Ihnen infolge eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entsteht, Schadenersatz vom verantwortlichen oder auftragsverarbeitenden Unternehmen zu verlangen.

Sie können diese Rechte unentgeltlich ausüben. Sind Anträge offensichtlich unbegründet oder exzessiv (z. B. aufgrund ihres wiederholten Charakters), können wir:

  • ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen; oder

  • die Bearbeitung des Antrags verweigern.

Wir werden ohne unangemessene Verzögerung, jedenfalls aber innerhalb eines Monats nach Eingang Ihres Antrags, gemäß Art. 12 Abs. 3 DSGVO antworten. Diese Frist kann erforderlichenfalls um weitere zwei Monate verlängert werden, wobei die Komplexität und Anzahl der Anträge zu berücksichtigen sind. Sie werden über eine solche Verlängerung und die Gründe für die Verzögerung informiert.

Wenn wir Ihrem Antrag nicht nachkommen können, informieren wir Sie innerhalb eines Monats nach Eingang und teilen die Gründe mit. Bestehen begründete Zweifel an Ihrer Identität, können wir zusätzliche Informationen zur Überprüfung anfordern (Art. 12 Abs. 6 DSGVO).

Bitte beachten Sie, dass wir in bestimmten Fällen Ihrem Antrag nicht nachkommen können, beispielsweise wenn:

  • wir Daten zur Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. AML, Steuer, Buchhaltung) aufbewahren müssen;

  • wir Daten im Zusammenhang mit zivil-, straf- oder verwaltungsrechtlichen Verfahren aufbewahren oder offenlegen müssen;

  • wir Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen aufbewahren müssen;

  • Löschung oder Einschränkung mit gesetzlichen Geheimhaltungsrechten oder durch Gesetz geschützten Unternehmens-/Eigentumsinformationen kollidieren würde.

Wenn Sie Bedenken hinsichtlich unserer Verwendung Ihrer personenbezogenen Daten haben, können Sie uns unter folgender Adresse kontaktieren: [email protected].

9. Verwendung von Cookies

Wir verwenden Cookies, um ein sicheres, benutzerfreundliches und technisch optimiertes Surferlebnis auf unserer Website (der „Website“) bereitzustellen. Insbesondere ermöglichen Cookies uns:

  • Nutzersitzungen über Seitenanfragen hinweg aufrechtzuerhalten;

  • Ihre Präferenzen zu speichern;

  • Benutzerfreundlichkeit und Leistung zu verbessern;

  • die Navigation zu erleichtern;

  • Funktionen wie den Login-Status zu unterstützen.

Für technisch notwendige Cookies erfolgt die Verarbeitung zur Wahrung unserer berechtigten Interessen an der Bereitstellung einer ordnungsgemäß funktionierenden Website

→ Art. 6 Abs. 1 lit. f DSGVO.

Soweit Cookies für Analyse-, Marketing- oder Personalisierungszwecke eingesetzt werden, verarbeiten wir Ihre Daten ausschließlich auf Grundlage Ihrer informierten und freiwillig erteilten Einwilligung (§ 165 Abs. 3 Telekommunikationsgesetz 2021, Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

  • Session-Cookies werden gelöscht, wenn Sie Ihren Browser schließen.

  • Persistente Cookies bleiben für einen definierten Zeitraum gespeichert oder bis Sie sie löschen.

  • Sie haben über die Einstellungen Ihres Browsers die volle Kontrolle über die Verwendung von Cookies. Die meisten Browser ermöglichen Ihnen:

  • Cookies vollständig zu blockieren;

  • vor dem Speichern eines Cookies benachrichtigt zu werden;

  • Cookies nur in bestimmten Fällen zu akzeptieren;

  • Cookies automatisch zu löschen, wenn der Browser geschlossen wird.

Bitte beachten Sie: Wenn Sie Cookies blockieren, funktionieren Teile unserer Website möglicherweise nicht mehr wie vorgesehen.

10. Datenschutz im Zusammenhang mit Krypto-Assets und Blockchains

Bei der Nutzung unserer Dienstleistungen im Zusammenhang mit Krypto-Assets können bestimmte personenbezogene Daten über öffentliche Blockchain-Netzwerke verarbeitet werden.

Öffentliche Blockchains sind dezentralisierte Register, die Transaktionen unveränderlich über verteilte Netzwerke aufzeichnen. Obwohl öffentliche Schlüssel oder Wallet-Adressen eine Person nicht unmittelbar identifizieren, können sie unter der DSGVO als personenbezogene Daten gelten, insbesondere wenn sie mit zusätzlichen Informationen einer Person zugeordnet werden können.

Im Einklang mit Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) bemühen wir uns, die Aufzeichnung personenbezogener Daten auf Blockchains auf das strikt Erforderliche zu beschränken. Soweit möglich, speichern wir zusätzliche identifizierende Daten off-chain und schreiben on-chain nur pseudonyme Kennungen (z. B. öffentliche Schlüssel).

Blockchain-Netzwerke stehen typischerweise nicht unter unserer Kontrolle. In öffentlichen Blockchains besteht kein hierarchisches Verhältnis zwischen den Teilnehmern. Miner, Validatoren und Node-Betreiber handeln grundsätzlich unabhängig und gelten als separate Verantwortliche im Sinne der DSGVO.

Aufgrund der unveränderlichen Natur öffentlicher Blockchains ist die Löschung oder Änderung von on-chain gespeicherten personenbezogenen Daten technisch möglicherweise nicht durchführbar. Folglich können bestimmte Betroffenenrechte (z. B. Berichtigung oder Löschung nach Art. 16 und 17 DSGVO) in der Praxis für Daten, die in eine Blockchain geschrieben wurden, eingeschränkt sein. Wir informieren Sie stets im Voraus, wenn eine blockchainbasierte Verarbeitung erfolgt, und erläutern etwaige daraus resultierende Einschränkungen.

Soweit blockchainbasierte Transaktionen internationale Übermittlungen personenbezogener Daten beinhalten, können solche Übermittlungen gemäß Art. 49 Abs. 1 lit. b oder lit. c DSGVO legitimiert sein, soweit dies für die Erfüllung eines Vertrags oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage erfolgen.

11. Aufbewahrung Ihrer personenbezogenen Daten

Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie dies zur Erfüllung der Zwecke erforderlich ist, für die sie erhoben wurden, einschließlich zur Erfüllung rechtlicher, buchhalterischer oder Berichtspflichten.

Insbesondere:

  • Vertragsbezogene Daten – Art. 6 Abs. 1 lit. b DSGVO

    In der Regel für die Dauer der Vertragsbeziehung und bis zum Ablauf der anwendbaren Verjährungsfristen (typischerweise 3 Jahre nach österreichischem Zivilrecht – § 1486 Allgemeines Bürgerliches Gesetzbuch), sofern keine längere Aufbewahrung erforderlich ist (z. B. bei laufenden Rechtsstreitigkeiten). Soweit die verlängerte 30-jährige Verjährung nach § 1487 Allgemeines Bürgerliches Gesetzbuch anwendbar ist, können Daten aus praktischen

  • Steuer- und Buchhaltungsdaten

    Aufbewahrung für mindestens 7 Jahre nach Ende des jeweiligen Kalenderjahres gemäß § 132 Bundesabgabenordnung und § 212 Unternehmensgesetzbuch.

  • Auf Grundlage einer Einwilligung verarbeitete Daten – Art. 6 Abs. 1 lit. a DSGVO

    Aufbewahrung bis zum Widerruf der Einwilligung oder bis die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind. Jede weitere Verarbeitung erfolgt nur, soweit gesetzlich erforderlich (z. B. steuerliche Aufbewahrungspflichten oder Verjährungsfristen).

  • KYC/AML-Daten

    Können über Standardfristen hinaus aufbewahrt werden, beispielsweise bis zu 10 Jahre nach Beendigung der Geschäftsbeziehung, gemäß dem Finanzmarkt-Geldwäschegesetz und einschlägigen Vorschriften.

Nach Ablauf der jeweiligen Aufbewahrungsfrist und sofern kein weiterer legitimer Zweck besteht, werden die Daten gemäß anwendbarem Recht sicher gelöscht oder anonymisiert.

12. Automatisierte Entscheidungsfindung und Profiling

Wir verwenden Ihre personenbezogenen Daten nicht für automatisierte Entscheidungsfindung, einschließlich Profiling, im Sinne von Art. 22 Abs. 1 und Abs. 4 DSGVO. Sie unterliegen keiner Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht und Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

13. Kinder unter 14 Jahren

Unsere Dienstleistungen sind nicht für Kinder unter 14 Jahren bestimmt.

Soweit wir Dienste der Informationsgesellschaft unmittelbar einem Kind anbieten und uns auf eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO stützen, ist eine solche Einwilligung nur wirksam, wenn das Kind gemäß § 4 Abs. 4 DSG mindestens 14 Jahre alt ist. Ist das Kind jünger als 14 Jahre, ist die Verarbeitung nur rechtmäßig, wenn und soweit die Einwilligung durch den Inhaber der elterlichen Verantwortung erteilt oder genehmigt wird.

Wenn wir Kenntnis davon erlangen, dass wir personenbezogene Daten eines Kindes unter 14 Jahren ohne wirksame Einwilligung erhoben haben, werden wir diese Daten ohne unangemessene Verzögerung löschen, sofern wir nicht gesetzlich zu deren Aufbewahrung verpflichtet sind.

14. Kontakt

Wenn Sie Fragen zu dieser Richtlinie oder dazu haben, wie wir Ihre personenbezogenen Daten verarbeiten, oder wenn Sie Ihre Rechte nach Art. 15–22 DSGVO (z. B. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) ausüben möchten, können Sie uns kontaktieren unter:

E-Mail: [email protected]

15. Änderungen der Richtlinie

Diese Richtlinie ist zum unten genannten Geltungsdatum aktuell. Wir können diese Richtlinie von Zeit zu Zeit ändern. Etwaige Änderungen werden auf der Cryptonow-Website veröffentlicht.

Gültig ab: 1. Februar 2026

© Copyright 2026 Cryptonow GmbH. Alle Rechte vorbehalten.

Cryptonow GmbH, Marc-Aurel-Straße 10-12/15a, 1010 Wien, Österreich, erbringt den regulierten Dienst der Umwechslung von Krypto-Assets in andere Krypto-Assets und/oder Fiat-Währungen als Hauptvertragspartnerin der Kunden und Kundinnen. Die Cryptonow GmbH ist nach österreichischem Recht als Crypto-Asset Service Provider (CASP) lizenziert.

Der Handel mit Krypto-Assets ist mit erheblichen Risiken verbunden und möglicherweise nicht für alle Investoren und Investorinnen geeignet. Vor der Durchführung einer Transaktion sollten Investoren und Investorinnen ihre Anlageziele, ihre Erfahrung sowie ihre Risikobereitschaft sorgfältig prüfen. Der Wert von Krypto-Assets unterliegt hohen Schwankungen und kann innerhalb kurzer Zeit zu erheblichen Verlusten führen. Jedes Krypto-Asset weist spezifische Eigenschaften auf; Investoren und Investorinnen sollten daher gründliche Recherchen durchführen und sicherstellen, dass sie ein Asset vollständig verstehen, bevor sie einen Handel tätigen. Die vergangene Wertentwicklung ist kein verlässlicher Indikator für zukünftige Ergebnisse. Dieser Inhalt stellt eine Marketingkommunikation im Sinne der Markets in Crypto-Assets Regulation (MiCAR) dar, enthält keine Anlageempfehlung oder Finanzberatung, und Investoren und Investorinnen müssen sicherstellen, dass sie alle damit verbundenen Risiken verstehen – einschließlich des möglichen Verlusts des gesamten investierten Kapitals. Gelder sollten nicht investiert werden, wenn ein möglicher Verlust finanziell nicht tragbar wäre.