Datenschutzerklärung

Wir freuen uns über Ihr Interesse an SecretUndies.com, einer von SecretUndies Ltd. betriebenen C2C-Plattform zum diskreten Handel mit getragener Unterwäsche. Der Schutz Ihrer personenbezogenen Daten hat für uns hohe Priorität. Nachfolgend informieren wir Sie umfassend über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten sowie über Ihre Rechte gemäß der Datenschutz-Grundverordnung (DSGVO), den Bestimmungen der Republik Zypern und den zwingenden Verbraucherrechten Ihres Wohnsitzstaates. Stand: 17. Februar 2026

1. Verantwortliche Stelle

SecretUndies Ltd.
Pentadaktilou Street 35
7081 Larnaca, Republik Zypern
Telefon: +357 94 049233
E-Mail: (siehe Impressum)

Vertretungsberechtigte Personen sowie handelsregisterliche Angaben werden auf Anfrage bereitgestellt. Für Datenschutzanfragen benutzen Sie bitte die oben genannten Kontaktdaten mit dem Betreff „Datenschutz“.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für sämtliche Online-Angebote von SecretUndies.com, einschließlich verbundener Domains, Unterseiten, mobilen Anwendungen, Kommunikations- und Zahlungsfunktionen. Sie beschreibt die Verarbeitung personenbezogener Daten von Besucher:innen, registrierten Nutzer:innen (Verkäufer:innen, Käufer:innen), Affiliates und weiteren Vertragspartner:innen.

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage der DSGVO, des zyprischen Datenschutzrechts, des Digital Services Act (DSA), des Digital Markets Act (DMA), der E-Commerce-Richtlinie sowie der jeweils anwendbaren nationalen Verbraucherschutzgesetze. Je nach Verarbeitungsvorgang stützen wir uns insbesondere auf folgende Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. Plattformbetrieb, IT-Sicherheit, Betrugsprävention)

4. Kategorien verarbeiteter Daten

Je nach Nutzung der Plattform verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

• Stammdaten (Name bzw. Pseudonym, Kontaktdaten, Altersnachweise)
• Kontodaten (Login, Passworthashes, Konto-ID, Rangstatus, Coin-Salden)
• Transaktionsdaten (Artikelinformationen, Verkaufspreise, Bestellhistorie, Gebührenabrechnungen, Erstattungs-/Chargeback-Informationen)
• Kommunikationsdaten (Chat-Inhalte, Support-Anfragen, DSA-Meldungen inkl. Metadaten)
• Zahlungs- und Abrechnungsdaten (grundsätzlich nur pseudonymisierte Referenzen/Token, Zahlungsstatus, Buchungs- und Abrechnungsinformationen)
• Auszahlungs-/Verifizierungsdaten von Verkäufer:innen (z. B. Kontoinhaber, IBAN/BIC oder andere Auszahlungsdaten, Adresse, Geburtsdatum, Steuer-/Identifikationsdaten, Verifizierungsstatus; je nach Auszahlungsmodell auch Ausweis-/Selfie-Checks), soweit dies für Auszahlungen/KYC/AML erforderlich ist
• Technische Daten (IP-Adresse, Zeitstempel, Geräteinformationen, Cookies, Logfiles)

5. Zwecke der Datenverarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

1. Bereitstellung und Personalisierung der Plattformfunktionen
2. Durchführung von Registrierung, Accountverwaltung und Rangsystem
3. Abwicklung von C2C-Transaktionen inklusive Coins-Services und Gebühren
4. Moderation, Missbrauchserkennung und Durchsetzung der Nutzungsbedingungen
5. Erfüllung gesetzlicher Pflichten (Steuer-, Handels-, DSA- und Verbraucherschutzrecht)
6. Sicherstellung der IT-Sicherheit, Fehleranalyse und Produktverbesserung
7. Kommunikation mit Nutzer:innen, Support und Streitbeilegung
8. Marketingkommunikation im zulässigen Umfang (z. B. Newsletter, sofern erlaubt)

6. Hosting & Betrieb

Unsere Plattform wird auf Servern der IONOS SE, Elgendorfer Str. 57, 56410 Montabaur (Deutschland) gehostet. Mit IONOS besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. IONOS verarbeitet Server-Logfiles (IP-Adresse, Zugriffszeit, User-Agent, Referrer) zur Sicherstellung des Betriebs und der Sicherheit.

7. Registrierung & Altersverifikation

Die Nutzung von SecretUndies.com setzt ein Mindestalter von 18 Jahren voraus. Wir verarbeiten bei Bedarf Alters- und Identitätsnachweise zur Erfüllung gesetzlicher Verpflichtungen und zum Schutz Minderjähriger. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. c DSGVO.

8. Coins-System & digitale Zusatzleistungen

Beim Erwerb von Coins verarbeiten wir Bestellinformationen, Zahlungsreferenzen und Nutzungsdaten der freigeschalteten Funktionen. Zahlungsdaten werden grundsätzlich durch den eingebundenen Zahlungsdienstleister verarbeitet. Wir erhalten lediglich transaktionsbezogene Token/Referenzen, Statusmeldungen und abrechnungsrelevante Informationen, nicht jedoch vollständige Kartendaten.

9. Zahlungsabwicklung (insbesondere Stripe)

9.1 Eingesetzter Zahlungsdienstleister

Für die Zahlungsabwicklung (Käuferzahlungen) und – sofern vorgesehen – Auszahlungen an Verkäufer:innen nutzen wir Stripe als Zahlungsdienstleister. Je nach Zahlungsart, Land und Produkt kann die Verarbeitung durch Unternehmen der Stripe-Gruppe erfolgen.

9.2 Rollenverteilung (DSGVO)

Stripe verarbeitet Käufer-Zahlungsdaten im Rahmen der Zahlungsabwicklung regelmäßig als Auftragsverarbeiter (Art. 28 DSGVO) in unserem Auftrag, damit Zahlungen technisch durchgeführt und zugeordnet werden können.

Wichtig: Soweit Stripe bestimmte Daten zur Erfüllung eigener rechtlicher Pflichten (z. B. Finanz-, Steuer- oder Geldwäsche-/KYC-Pflichten) oder zur eigenständigen Betrugsprävention/Risikobewertung verarbeitet, kann Stripe hierfür auch als eigener Verantwortlicher handeln. In diesen Fällen gelten ergänzend die Datenschutzhinweise von Stripe.

9.3 Käuferdaten: Verarbeitung durch Stripe

Bei einer Zahlung verarbeitet Stripe insbesondere:

• Zahlungsdaten (z. B. Kartendaten, Bank-/Wallet-Daten, Ablaufdatum, CVC, tokenisierte Zahlungskennungen)
• Abrechnungsdaten (z. B. Name, Rechnungsadresse, ggf. E-Mail/Telefon)
• Transaktionsdaten (Betrag, Währung, Zeitpunkt, Zahlungsstatus, ggf. Erstattungen/Chargebacks)
• Technische Daten zur Sicherheits- und Betrugsprävention (z. B. Geräte-/Browserinformationen, IP-Adresse, Risikosignale)

Wir selbst speichern keine vollständigen Kartendaten. Wir speichern typischerweise nur Referenzen/Token, Zahlungsstatus, Buchungsinformationen sowie Informationen, die für Support, Abgleich und Abrechnung erforderlich sind.

9.4 Verkäuferdaten: Übermittlung an Stripe für Auszahlungen

Damit Auszahlungen an Verkäufer:innen erfolgen können, übermitteln wir – je nach Auszahlungsmodell – erforderliche Verkäuferdaten an Stripe bzw. veranlassen, dass Verkäufer:innen diese direkt in einer von Stripe bereitgestellten Onboarding-/Verifizierungsstrecke eingeben. Dazu können gehören:

• Identitäts- und Kontaktdaten (z. B. Name, Anschrift, Geburtsdatum, E-Mail, Telefon)
• Auszahlungsdaten (z. B. Kontoinhaber, IBAN/BIC bzw. lokale Bankdaten)
• Steuer-/Verifizierungsdaten und Nachweise (z. B. Steuer-ID, Ausweisdokumente, ggf. Selfie/Verifizierungsstatus), soweit regulatorisch erforderlich
• Kontostatus-/Payout-Informationen (z. B. Stripe-Account-ID, Verifizierungsstatus, Auszahlungsstatus)

Zweck ist die Durchführung von Auszahlungen sowie die Einhaltung regulatorischer Anforderungen (insbesondere KYC/AML), Missbrauchsprävention und Betrugsschutz.

9.5 Rechtsgrundlagen

Die Verarbeitung und Weitergabe erfolgt je nach Fall auf Basis von:

• Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung, Erfüllung des Nutzungsvertrags, Durchführung von Auszahlungen)
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Geldwäsche-/Steuer-/Handelsrecht, soweit anwendbar)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Zahlungsabwicklung, Betrugsprävention, Missbrauchsvermeidung)

9.6 Auftragsverarbeitung

Soweit Stripe im Auftrag personenbezogene Daten verarbeitet, besteht eine entsprechende Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) bzw. werden die hierfür vorgesehenen Vertragsbedingungen eingebunden.

10. Community, Chat & Moderation

Nachrichten, Bewertungen und Community-Beiträge werden zur Durchführung des Kommunikationsdienstes gespeichert. Eine automatisierte Moderation erfolgt mittels Bannwortlisten und algorithmischer Filter, um rechtswidrige Inhalte zu identifizieren. Manuelle Prüfungen finden anlassbezogen statt. Grundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO sowie Art. 14 und 17 DSA.

11. DSA-Konforme Verfahren

• Notice-&-Action-System: Meldungen rechtswidriger Inhalte werden dokumentiert, geprüft und mit Maßnahmen verknüpft.
• Statement of Reasons: Betroffene Nutzer:innen erhalten eine begründete Mitteilung zu Moderationsentscheidungen.
• Internes Beschwerdeverfahren: Innerhalb von sechs Monaten kann gegen Moderationsentscheidungen Beschwerde eingelegt werden.
• Trusted Flaggers: Meldungen vertrauenswürdiger Hinweisgeber:innen werden priorisiert bearbeitet.

12. Cookies & Tracking-Technologien

Wir verwenden technisch notwendige Cookies für Login, Warenkorb, Rang- und Coin-Verwaltung. Optionale Cookies (z. B. für Statistik oder Marketing) setzen wir nur mit Ihrer Einwilligung. Einstellungen können über das Consent-Management-Tool angepasst werden. Details zu eingesetzten Technologien, Speicherdauern und Widerrufsmöglichkeiten entnehmen Sie bitte der ausführlichen Cookie-Übersicht auf der Plattform.

13. Kommunikation & Newsletter

Kontaktanfragen, Supportfälle oder Beschwerden werden zur Bearbeitung gespeichert. Für Newsletter oder Marketing-E-Mails nutzen wir Ihre Daten nur mit Einwilligung oder auf Basis bestehender Kundenbeziehungen im Einklang mit § 7 Abs. 3 UWG. Ein Widerruf ist jederzeit möglich, etwa über den Abmeldelink.

14. Weitergabe von Daten

Wir geben personenbezogene Daten nur weiter, wenn dies für die Vertragserfüllung erforderlich, gesetzlich vorgeschrieben oder durch Einwilligung gedeckt ist. Kategorien von Empfänger:innen:

• Hosting- und IT-Dienstleister (z. B. IONOS)
• Zahlungsdienstleister (insbesondere Stripe) und beteiligte Banken/Finanzinstitute
• Logistik- und Versanddienstleister (im Rahmen von Verkäufen, sofern Verkäufer:innen diese einsetzen)
• Rechtsberater:innen, Steuerberater:innen, Behörden
• Trusted Flaggers und Streitbeilegungsstellen gemäß DSA

15. Datenübermittlung in Drittländer

Eine Übermittlung in Drittstaaten außerhalb der EU bzw. des EWR erfolgt nur, wenn dies für die Leistungserbringung erforderlich ist oder Sie eingewilligt haben. Bei Dienstleistern wie Stripe kann eine Verarbeitung/Übermittlung in Drittländer (z. B. USA) nicht ausgeschlossen werden.

In solchen Fällen stellen wir geeignete Garantien nach Kapitel V DSGVO sicher, insbesondere:

• EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) und ggf. ergänzende Maßnahmen
• ggf. Teilnahme an anerkannten Transfermechanismen (z. B. EU-U.S. Data Privacy Framework), soweit anwendbar

16. Speicherdauer

Personenbezogene Daten werden so lange gespeichert, wie dies zur Erfüllung der jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Transaktions- und steuerrelevante Daten werden regelmäßig für bis zu 10 Jahre aufbewahrt. Accounts, die dauerhaft gesperrt oder geschlossen wurden, werden anonymisiert, sobald keine gesetzlichen Pflichten entgegenstehen.

17. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten gegen Verlust, Veränderung und unbefugten Zugriff zu schützen. Hierzu gehören u. a. Verschlüsselung, Zugriffsbeschränkungen, Sicherheits- und Updatekonzepte sowie regelmäßige Schulungen.

18. Betroffenenrechte

Sie haben jederzeit die folgenden Rechte nach den Art. 15–22 DSGVO:

• Auskunft über die von uns verarbeiteten personenbezogenen Daten
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten
• Löschung („Recht auf Vergessenwerden“)
• Einschränkung der Verarbeitung
• Datenübertragbarkeit
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruhen
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Bitte richten Sie entsprechende Anfragen an uns (Kontaktdaten siehe Impressum) oder nutzen Sie das Formular im Nutzerkonto. Wir beantworten Anfragen innerhalb eines Monats.

19. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist insbesondere die zyprische Datenschutzbehörde (Office of the Commissioner for Personal Data Protection). Darüber hinaus stehen Ihnen die Aufsichtsbehörden Ihres Wohnsitzlandes zur Verfügung.

20. Minderjährige

Die Plattform richtet sich ausschließlich an volljährige Personen. Bei Kenntnis einer unberechtigten Nutzung durch Minderjährige sperren wir das Konto und löschen personenbezogene Daten, sofern kein gesetzlicher Aufbewahrungsgrund besteht.

21. Automatisierte Entscheidungen

Wir verwenden keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen würden. Entscheidungen zum Rangstatus können algorithmische Bewertungen enthalten, werden jedoch anlassbezogen und/oder stichprobenartig manuell überprüft.

22. Änderung der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Entwicklungen oder neue Services anzupassen. Über wesentliche Änderungen informieren wir registrierte Nutzer:innen mindestens 14 Tage vor Inkrafttreten per Mitteilung auf der Plattform oder per E-Mail.

23. Kontakt für Datenschutz & DSA-Anfragen

Datenschutz: (siehe Impressum)
DSA-Kontaktstelle: (für Behörden, Nutzer:innen und Trusted Flaggers; siehe Impressum/Hausordnung)
Beschwerden: (siehe Impressum)
Sicherheit & Missbrauch: (siehe Impressum)

24. Versionshistorie

08.11.2025 – Vollständige Überarbeitung, Integration DSA-Prozesse, Coins-System, Rangmechanik und aktualisierte Kontaktkanäle.
17.02.2026 – Ergänzung/Präzisierung Zahlungsabwicklung & Auszahlungen über Stripe (Käuferzahlungen, Verkäuferauszahlungen, Rollen/Transfers).