TCG Atlas
Sign in

English version

Privacy policy

Last updated: 3 May 2026. This English part is a summary. If German or EU law applies to you, please also read the full German section below (open the box).

Who we are and what this is

Data controller (GDPR): Silas Nutz, operating as Mandavo Softwareentwicklung, Daimlerstraße 50, 74211 Leingarten, Germany. kontakt@mandavo.app

TCG Atlas is a website and online service you use in the browser: search, market information, your account, watchlist, portfolio, and related features depending on your plan. General card and price information from public and commercial sources is not personal data about you unless you save it in your account.

Data we may process

  • Account details (e-mail, password stored in protected form, profile fields, two-factor settings where you turn them on).
  • Technical logs (e.g. access times, session identifiers, IP address, browser type) to run the service safely and reliably and to prevent abuse.
  • Account-level application event logs when you trigger certain features (e.g. watchlist, portfolio or inventory, price or spread alerts, optional third-party catalogue connections such as Shopify if you enable them, billing-related actions, support tickets, push notification settings, display currency): type and time of the action, functional metadata the feature needs (e.g. related identifiers), and your IP address and browser information where sent with the request.
  • Information you enter (e.g. watchlist, portfolio, uploads) only to provide the feature you use.
  • Billing and payment data when you use paid plans: processed by our payment provider Stripe(including transfers outside the EU/EEA where Stripe operates; see Stripe's privacy notice). See also our Terms.

Why we process data (legal bases, short overview)

Website and hosting: Art. 6(1)(f) GDPR (secure, stable operation); Art. 6(1)(b) where we are preparing or performing a contract with you. Account, sign-in, two-factor: Art. 6(1)(b) and, where needed, Art. 6(1)(f) (security, misuse prevention). Transactional e-mail via Postmark (United States): Art. 6(1)(b/f); we use Standard Contractual Clauses and other safeguards where the law requires them for transfers outside the EU/EEA. Paid plans and checkout via Stripe: Art. 6(1)(b) GDPR for payment processing and subscription management; Stripe may process data in the United States and other countries under its agreements and safeguards. Optional browser push notifications: if you enable them in a supported browser, we store subscription endpoints and related technical keys tied to your account to deliver alerts you asked for — Art. 6(1)(a) GDPR (consent via the browser prompt), with Art. 6(1)(b/f) where needed for delivery. You can turn push off in your device or in-app settings. Hosting and storage: as a rule in the EU/EEA (e.g. Hetzner), including database, backups, and routine monitoring - Art. 6(1)(b/f) GDPR.

Third-party sign-in

If you sign in with Google, we receive—depending on the provider—your email address, a provider user ID, and where applicable your name, profile picture, and verification status. Purpose: authentication and account management. Legal bases: Art. 6(1)(b) GDPR (contract/pre-contract), supplemented by Art. 6(1)(f) GDPR (security and misuse prevention). Data may be transferred outside the EU/EEA; the provider's privacy terms govern those transfers.

Occasional product-update emails (marketing, double opt-in)

If you tick the optional product-update checkbox at registration or in your profile (never pre-checked), we log your request with timestamp, IP (if sent), checkbox text version, and source. We send a confirmation email; only after you click the link do we enable marketing mail. Until then, consent stays pending. Legal basis after confirmation: Art. 6(1)(a) GDPR. Every product-update email includes an unsubscribe link. Transactional and security mail (signup, password, alerts) uses a separate Postmark stream and is not product marketing.

Account-related event logs

We may keep structured logs linked to your account for selected actions you perform in the application (technical and functional metadata about each action). Purposes include secure and traceable delivery of free and paid features, misuse detection, day-to-day operation (including support and proportionate troubleshooting), and product development in substance related to the metrics and workflows we offer. This is not a complete history of every page view; scope follows the features and API actions we actually provide. Access in our internal, password- and role-protected admin area is limited to these purposes. Legal bases: Art. 6(1)(b) GDPR where logging is part of performing the contract or clearly assigned account features; Art. 6(1)(f) GDPR for secure, stable, abuse-resistant operation and reasonable internal review (including operations and support).

Advertising, profiling, and use of your data for AI

We do not use cross-site advertising networks to profile your browsing on other websites. Market and price information is used to show the product and to keep accounts secure; we do not use what you type in TCG Atlas to train public artificial-intelligence models. If we add important new partners (e.g. payments or error monitoring), we will update this page in good time before new processing begins, where that is reasonable.

Cookies, storage, scripts, retention, your rights

As of the current build we do not use third-party advertising or analytics cookies, so no marketing consent banner is required. We use: (1) first-party httpOnly session, MFA-challenge, and short-lived OAuth-state cookies; (2) browser localStorage/sessionStorage only for UX (recent catalog search, sidebar state, news read markers, push prompt snooze — not ad profiling); (3) Stripe Checkout via redirect (no Stripe.js tracking on our pages); (4) Google/GitHub sign-in via server redirect only; (5) push only after browser permission. If we add analytics or ad cookies later, we will ask for consent first. How long we keep data depends on your contract, legal duties, and what we reasonably need to run the service. Account-related event logs are generally kept for the duration of the account relationship and, where technically or legally necessary, for an appropriate follow-on period for operations, support, and misuse clarification; specific technical deletion cycles may align with backup and recovery concepts without overriding legal limits on processing. You have GDPR rights (access, correction, erasure, restriction, objection in applicable cases, data portability, complaint to a supervisory authority, withdrawal of consent). Contact the e-mail above. Some processing outside the EU/EEA occurs for e-mail delivery (Postmark) and payment processing (Stripe); your main account data is normally stored in the EU/EEA in production use.

Where to find this page: https://thetcgatlas.com/legal/datenschutz. The German section below goes into more detail for readers under German and EU law.

Deutsche Fassung (bei anwendbarem deutschen Recht maßgeblich) (open for German)

Stand: 03.05.2026. Diese Informationen informieren Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Website und Plattform TCG Atlas (Mandavo Softwareentwicklung).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Silas Nutz
handelnd unter Mandavo Softwareentwicklung
Daimlerstraße 50, 74211 Leingarten, Deutschland
kontakt@mandavo.app

Für unser derzeitiges Angebot ist in der Regel keine gesonderte Benennung eines Datenschutzbeauftragten erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Adresse.

2. Produkt und Anwendungsfall

TCG Atlas ist eine Website und ein Online-Dienst, den wir selbst betreiben. Je nach Konto, Tarif (sofern eingeführt) und Funktionsumfang bieten wir u. a. Suche, Marktdaten, Merklisten, Hinweise auf Markt- und Angebotslagen sowie kontobezogene Einstellungen (Profil, Sitzungen, Sicherheit). Soweit Karten, Sets, Marktpreise oder daraus abgeleitete Werte angezeigt werden, stützen wir uns auf zusammengeführte Informationen aus öffentlichen und gewerblichen Quellen. Es besteht keine Verpflichtung, eine physische Sammlung zu erfassen oder einzupflegen; personenbezogen werden Bestands- oder Sammlungsangaben nur verarbeitet, wenn Sie sie aktiv in den dafür vorgesehenen (Portfolio-/Upload-)Funktionen hinterlegen.

3. Kategorien personenbezogener Daten

Je nach Nutzung verarbeiten wir insbesondere:

  • Stammdaten & Kontodaten (E-Mail, ggf. Name o. Profilangaben, Passwort in technisch geschützter Form, Angaben zur Zwei-Faktor-Anmeldung, soweit von Ihnen aktiviert; bei Anmeldung über einen Drittanbieter zusätzlich Daten vom jeweiligen Anbieter, siehe Ziffer 4.2a).
  • Nutzungs- und Sicherheitsprotokolle (z. B. Anmelde-, Zugriffs- und Serverprotokolle, Sitzungskennungen, Zeitstempel, IP-Adressen, Browsertyp), soweit für Betrieb, Schutz und Missbrauchsvorbeugung erforderlich.
  • Kontobezogene Ereignisprotokolle auf Anwendungsebene, soweit Sie bestimmte Funktionen auslösen oder Einstellungen ändern (z. B. Merkliste, Portfolio/Bestand, Preis- oder Spreads-Hinweise/Alerts, optionale Anbindung von Drittanbieter-Katalogen wie Shopify nach Ihrer Auswahl, Abwicklung kostenpflichtiger Tarife, Support-Tickets, Push-Benachrichtigungen, Anzeigewährung): Art und Zeitpunkt der Aktion, ggf. fachliche Metadaten (z. B. betroffene Kennungen, die für die jeweilige Funktion technisch nötig sind) sowie, soweit bei der Anfrage mitübermittelt, IP-Adresse und Browsertyp bzw. vergleichbare Client-Hinweise.
  • Von Ihnen eingegebene Bestands- oder Wunschlisten-Daten (z. B. Portfolios, Merklisten-Einträge, hochgeladene Dateien) - ausschließlich so weit, wie die jeweiligen Funktionen in der Anwendung dies vorsehen.
  • Optional: Push-Benachrichtigungen - technische Abonnementdaten Ihres Browsers (z. B. Endpoint und zugehörige Schlüssel), nur wenn Sie Push in der App aktivieren, soweit die Funktion angeboten und technisch eingebunden ist.
  • Abrechnungs- und Zahlungsdaten bei kostenpflichtigen Tarifen, insbesondere über den Zahlungsdienstleister Stripe (siehe Ziffer 4.5 und die AGB).

4. Zwecke, Rechtsgrundlagen

4.1 Aufruf der Website / technische Infrastruktur

Beim Aufruf unserer Website bzw. App werden technische Daten verarbeitet (u. a. IP-Adresse, Zeitstempel, angeforderte Seiten, übertragene Datenmenge, technischer Erfolg der Anfrage, Browsertyp), damit Inhalte ausgeliefert, der Dienst stabil betrieben und (z. B. Zugriffsbegrenzung, Firewall, verschlüsselte Verbindung) abgesichert werden können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sichere und betriebsfähige Bereitstellung) sowie ggf. Art. 6 Abs. 1 lit. b, soweit Sie klar eine Nutzerinteraktion beginnen (Kontoanlage, Formular), die einen Vertrags- oder Vorbereitungskontext hat.

4.2 Konto, Authentifizierung, 2-Faktor

E-Mail, Passwort in geschützter Form und Sicherheitsinformationen zur Anmeldung werden verarbeitet, um Zugang zu prüfen, normale Nutzer- von Administratorzugängen zu unterscheiden und Zwei-Faktor-Anmeldung (falls von Ihnen eingeschaltet) anzubieten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzend Art. 6 Abs. 1 lit. f DSGVO (Integrität, Missbrauchsvorbeugung, nachvollziehbare Sicherheitsvorgänge). Soweit Sie sich über einen Drittanbieter anmelden, gilt zusätzlich Ziffer 4.2a.

4.2a Anmeldung über Drittanbieter

Wenn Sie sich mit Google anmelden, erhalten wir je nach Anbieter Ihre E-Mail-Adresse, eine Anbieter-ID, ggf. Namen, Profilbild und Verifizierungsstatus. Zweck ist die Authentifizierung und Kontoverwaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzend lit. f DSGVO für Sicherheit und Missbrauchsschutz. Es kann zu Drittlandübermittlungen kommen; maßgeblich sind die Datenschutzbedingungen des jeweiligen Anbieters.

4.3 Plattformfunktionen, Merkliste, Portfolio, Hinweise (sofern buchbar)

Soweit Sie Eingaben tätigen oder Aktionen auslösen, verarbeiten wir die von Ihnen in den dafür vorgesehenen Eingabefeldern/Uploads bereitgestellten Daten, um Ihnen die gewählten Funktionen der Plattform bereitzustellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. a, soweit reine, widerrufliche Einwilligung in nicht vertraglich eingerichtete Optionen erforderlich wäre.

4.3a Kontobezogene Funktions- und Ereignisprotokolle

Für ausgewählte, in der Anwendung ausgelöste Vorgänge führen wir strukturierte, kontobezogene Protokolle (technische und sachliche Metadaten zu der jeweiligen Aktion). Das dient der sicheren und nachvollziehbaren Bereitstellung der gebuchten oder frei nutzbaren Funktionen, der Missbrauchserkennung, der internen Betriebsführung (inkl. Support und Fehleranalyse in zumutbarem Umfang) sowie der Weiterentwicklung der Plattform in sachlichem Bezug zu den angebotenen Kennzahlen und Arbeitsabläufen. Es handelt sich nicht um ein vollständiges Protokoll sämtlicher Seitenaufrufe; Umfang und Spezifik folgen den tatsächlich angebotenen Schnittstellen und werden nur erhoben, soweit die jeweilige Aktion von Ihnen in der Anwendung ausgelöst wird. Die Auswertung in einem internen, passwort- und rollengeschützten Administrationsbereich ist auf das Erreichen dieser Zwecke beschränkt. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO, soweit die Protokolle der Vertragsdurchführung oder der Nutzung klar zugeordneter Kontofunktionen dienen; ergänzend Art. 6 Abs. 1 lit. f DSGVO für die sichere, stabile und missbrauchsfeste Bereitstellung des Dienstes sowie für die interne Einsichtnahme im zumutbaren Rahmen (z. B. Betrieb, Support).

4.4 E-Mail (transaktionell, Postmark), Support

Zum Versand notwendiger System- und Sicherheitsmails (Registrierung, E-Mail-Bestätigung, Passwort-Reset, wichtige Kontomitteilungen) nutzen wir den Dienstleister Postmark (Anbieter mit Sitz in den USA; ggf. mit EU-Standardvertragsklauseln bzw. den vom Angebot bekanntgegebenen Zusicherungen, soweit ein Auftragsverarbeiterverhältnis vorliegt bzw. für technische Drittlandsübermittlung geeignete Garantien im Sinne des Art. 46 DSGVO). Dabei werden ausschließlich die technisch erforderlichen Empfänger- und Inhaltsdaten übermittelt. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b bzw. f DSGVO. Support-Anfragen per E-Mail: Art. 6 Abs. 1 lit. b bzw. f.

4.4a Gelegentliche Produktupdates per E-Mail (Marketing, Doppel-Opt-in)

Wenn Sie bei der Registrierung oder im Profil freiwillig die Option „gelegentliche Produktupdates per E-Mail“ aktivieren (Checkbox nicht vorangekreuzt), speichern wir Ihre Anfrage mit Zeitpunkt, IP-Adresse (soweit übermittelt), Textversion der Checkbox und Quelle (z. B. Registrierung oder Profil). Wir senden Ihnen eine Bestätigungs-E-Mail (Doppel-Opt-in); erst nach Klick auf den Bestätigungslink setzen wir marketing_consent und versenden werbliche Produktupdates. Bis dahin bleibt der Status „ausstehend“. Rechtsgrundlage für den Versand nach Bestätigung: Art. 6 Abs. 1 lit. a DSGVO; für die Bestätigungsmail und Protokollierung: Art. 6 Abs. 1 lit. b bzw. f DSGVO. Jede Produktupdate-Mail enthält einen Abmeldelink; Sie können die Einwilligung auch im Profil widerrufen. Transaktions- und Sicherheitsmails (Registrierung, Passwort, Alerts) laufen über einen separaten Postmark-Nachrichtenstrom und gelten nicht als Werbung.

4.5 Abrechnung und Zahlungen (Stripe)

Soweit Sie kostenpflichtige Tarife buchen oder Zahlungen über TCG Atlas abwickeln, setzen wir den Zahlungsdienstleister Stripe ein (Stripe, Inc./Stripe Technology Europe Ltd.; Verarbeitung u. a. in den USA und weiteren Staaten entsprechend der Stripe-Dokumentation). Hierbei verarbeitet Stripe vor allem Zahlungs- und Identifikationsdaten sowie transaktionsbezogene Metadaten; wir erhalten zurück, was zur Vertragsabwicklung, Berechtigung und Buchhaltung erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ergänzend lit. f für Missbrauchsvorbeugung und sichere Abwicklung soweit anwendbar. Die datenschutzrechtlichen Hinweise von Stripe finden Sie bei Stripe; für Ihr Vertragsverhältnis zu uns gelten zusätzlich die AGB.

4.6 Browser-Push-Benachrichtigungen (optional)

Wenn Sie in unterstützten Browsern Push-Benachrichtigungen aktivieren (z. B. zu Markthinweisen oder Alerts), speichern wir die von der Push-Infrastruktur bereitgestellten technischen Daten (z. B. Endpoint-URL, Schlüsselmaterial des Browsers/Zwischenanbieters) verknüpft mit Ihrem Nutzerkonto, um Nachrichten zuzustellen. Die Zustimmung erfolgt über die jeweilige Browser-/Systemabfrage; Sie können Push jederzeit in den Geräteeinstellungen und/oder den Einstellungen der Anwendung abbestellen – ohne dass dadurch das übrige Nutzerkonto zwingend beendet wird. Ohne Aktivierung findet keine entsprechende Verarbeitung statt. Rechtsgrundlage bei Nutzung: Art. 6 Abs. 1 lit. a DSGVO; bei rein technisch notwendiger Minimalverarbeitung im Anschluss an wirksame Einwilligung ergänzend Art. 6 Abs. 1 lit. b bzw. f DSGVO.

4.7 Hosting, Speicherung, Sicherungskopien (eigener Betrieb)

TCG Atlas nutzt in der Regel Server in der EU (z. B. bei Hetzner) mit Datenbank, Website-Zugriff und automatisierten Hintergrundaufgaben (z. B. für Auswertungen und Wartung) sowie verschlüsselten Verbindungen. Personenbezogene Daten, die dafür technisch nötig sind (Betrieb, Protokolle, Sicherungskopien, Wiederherstellung, Überwachung der Systemsicherheit), verarbeiten wir ausschließlich, um den Dienst sicher und nachvollziehbar betreiben zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO.

5. Auswertung zu Werbezwecken, KI

Soweit nicht in dieser Erklärung, den AGB oder gesonderten Einstellungen in der Anwendung anders beschrieben, setzen wir kein werbliches Profil über Ihr Surfverhalten auf anderen Websites ein (z. B. über übergreifende Anzeigen-Netzwerke). Die Verarbeitung von Markt- und Angebotsdaten dient der Darstellung in der App, der Bewertung von Marktlagen (z. B. Hinweise auf Chancen oder fairen Wert) und dem Schutz vor Missbrauch - nicht dem Training allgemein zugänglicher KI-Systeme anhand Ihrer Eingaben auf dieser Plattform. Wenn wir später wichtige neue Dienstleister ergänzen oder wechseln (z. B. für Zahlungen, Fehleranalyse oder E-Mail-Versand), nennen wir Dienst, Zweck und, soweit nötig, die Rechtsgrundlage, bevor wesentlich neue personenbezogene Verarbeitung beginnt, oder aktualisieren diese Seite rechtzeitig davor.

6. Cookies, lokale Speicher und Skripte (Stand der Technik)

Nach aktuellem Stand setzen wir kein Werbe-Tracking, keine Reichweitenmessung durch Drittanbieter-Cookies und keinen Cookie-Banner für Marketing/Analytics ein, weil entsprechende Technologien in der Web-App nicht eingebunden sind. Es gelten die folgenden Kategorien:

  • Technisch notwendige HTTP-Cookies (First-Party): Sitzungs-Cookie für die Anmeldung (httpOnly), kurzlebiges Cookie für Zwei-Faktor-Herausforderungen sowie ein kurzlebiges Cookie für den OAuth-Anmeldestatus (Google/GitHub) während des Redirects. Zweck: Anmeldung, Sicherheit, Missbrauchsschutz. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. f DSGVO.
  • Lokaler Speicher im Browser (localStorage / sessionStorage): ausschließlich für Komfortfunktionen auf Ihrem Gerät (z. B. zuletzt genutzte Katalogsuche, eingeklappte Seitenleiste, als gelesen markierte News, Snooze für Push-Hinweise, temporäre UI-Hervorhebung im Support). Diese Daten werden nicht für Werbeprofilierung genutzt und nicht an Drittanbieter zu Marketingzwecken übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (nutzerfreundlicher Betrieb).
  • Zahlungen (Stripe): Checkout erfolgt per Weiterleitung zu Stripe; wir binden kein Stripe-JavaScript für Tracking auf unseren Seiten ein. Es gelten die Datenschutzhinweise von Stripe auf deren Checkout-Seiten (Ziffer 4.5).
  • OAuth (Google/GitHub): Anmeldung per Server-Redirect zu Google bzw. GitHub; wir laden keine eingebetteten Login-Skripte der Anbieter auf unseren Seiten. Es gelten die Datenschutzbedingungen des jeweiligen Anbieters (Ziffer 4.2a).
  • Push-Benachrichtigungen: nur nach ausdrücklicher Browser-/Gerätefreigabe; technische Abo-Daten siehe Ziffer 4.6.

Sollten wir künftig Analytics, Werbe-Cookies oder vergleichbares einführen, holen wir vorab eine aktive Einwilligung ein (z. B. über ein Consent-Banner) und passen diese Erklärung an.

7. Drittlandübermittlungen

Soweit Postmark, Stripe, die von uns angebotenen Anmeldedienste (Google) oder später weitere Auftragsverarbeiter Daten mit möglichem Sitz oder Verarbeitung in Drittländern (insbesondere USA) betreffen, stellen wir, soweit nötig, geeignete Garantien nach Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln und ergänzende technische und organisatorische Maßnahmen) sicher, wie mit dem jeweiligen Anbieter vereinbart. Die Hauptdatenbank mit Ihren Kontoinformationen liegt im üblichen Produktivbetrieb in der EU/EWR und wird von uns selbst betrieben.

8. Speicherdauer

So lange, wie Ihr Vertrag, berechtigtes Interesse oder Rechtsvorgabe es erfordern, danach Löschung, Anonymisierung oder sperrende Einschränkung, soweit rechtlich noch Aufbewahrungszwecke bestehen (häufig z. B. 6-10 J. kaufmanns-/ steuerrelevante Belege, falls vollzogene Zahlungen vorliegen). Kontobezogene Ereignisprotokolle zu Aktionen in der Plattform werden grundsätzlich für die Dauer der Kontoverbindung und – soweit technisch oder rechtlich erforderlich – für eine angemessene Nachlaufzeit zu Betrieb, Support und Missbrauchsklärung gespeichert; konkrete technische Löschintervalle können sich an Backup- und Wiederherstellungskonzepten orientieren, ohne die Pflicht zur Einschränkung der Verarbeitung zu verletzen.

9. Ihre Rechte

Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerde bei einer Aufsichtsbehörde, Widerruf einer erteilten Einwilligung - im Rahmen des jeweils geltenden Art. 12–22 DSGVO / Art. 77 DSGVO. Ihre Anfrage richten Sie bevorzugt an: kontakt@mandavo.app.

10. Änderungen

Wir passen die Datenschutzerklärung an, wenn rechtlich oder fachlich erforderlich, und veröffentlichen die jeweils aktuelle Fassung unter: diese Datenschutzseite