Aktualisiert am 4. Juni 2026

Datenschutz

Wie betspread Kundendaten, API-Nutzungsdaten, Abrechnungsdaten und Support-Anfragen verarbeitet.

Daten, die wir erheben

Für den Account-Zugang speichern wir E-Mail, Name, Passwort-Hash, OAuth-Verknüpfungen, Sitzungsmetadaten, Organisationsname und API-Key-Metadaten. API-Keys im Klartext werden serverseitig nicht gespeichert; betspread speichert Hash, Prefix und die letzten vier Zeichen, damit Keys sicher geprüft und im Dashboard angezeigt werden können.

Nutzung, Logs und Aufbewahrung

REST- und WebSocket-Nutzung wird in aggregierten täglichen Nutzungszeilen für Abrechnung und Support gespeichert. Request-bezogene Support-Logs werden standardmäßig 90 Tage und maximal 180 Tage aufbewahrt; IP-Adresse und User-Agent werden in api_request_logs als hashed IP und hashed user agent gespeichert, nicht als rohe Browser-Identifier. Odds-Daten und rohe Markthistorie sind operative Produktdaten und enthalten keine Kundendaten-PII.

Auftragsverarbeiter

Stripe verarbeitet Abrechnungsidentität, Rechnungen, Subscriptions und Customer-Portal-Zugriff. Resend verarbeitet Empfänger, Betreff, Inhalte und tokenisierte Aktionslinks für transaktionale E-Mails wie Passwort-Reset oder Verifizierung. Netcup hostet die Produktionsanwendung und Datenbankinfrastruktur. Raw API keys, Stripe-Secrets und langlebige Secrets dürfen nicht an Resend, Support-Tickets oder Smoke-Evidence gesendet werden.

Löschung und Export

Account-Löschung oder Datenexport können über die Kontaktseite angefragt werden. Wir bestätigen die Account-Inhaberschaft vor der Bearbeitung. Bestätigte Lösch- und Exportanfragen werden innerhalb von 30 Tagen bearbeitet; eine operative Rückmeldung ist innerhalb von 5 Werktagen angestrebt. Einzelne Datensätze können für dokumentierte Abrechnungs-, Sicherheits-, Betrugspräventions- oder rechtliche Audit-Zeiträume erhalten bleiben; Stripe-seitige Datensätze folgen der Stripe-Aufbewahrung.

Admin-Zugriff

Kundendaten sind über authentifizierte Sessions oder API-Key-Organisationen begrenzt. Interner administrativer Zugriff ist auf eine explizite Allowlist autorisierter Mitarbeitender beschränkt und wird standardmäßig verweigert, wenn niemand autorisiert ist. Operator-Aktionen mit Kundendaten laufen über auditierte Anwendungspfade.

Fragen zu diesen Angaben? Kontaktieren Sie betspread.