EUCX
European Union Commodity Exchange
KatalogMarktbereicheSo funktioniert'sRegulierungTeilnehmer werdenMarktpreise
AnmeldenRegistrieren
BaFin-regulierte Handelsplattform · Frankfurt am Main · MiFID II OTF
TLS 1.3 DSGVO-konform
EUCX
European Union Commodity Exchange
AnmeldenRegistrieren
Rechtliches

Datenschutzerklärung

Informationen gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) - Stand: März 2026

Der Schutz Ihrer personenbezogenen Daten hat für die EUCX GmbH höchste Priorität. Als BaFin-regulierter Betreiber eines Organisierten Handelssystems (OTF) unterliegen wir strengen datenschutzrechtlichen und aufsichtsrechtlichen Anforderungen. Diese Datenschutzerklärung informiert Sie umfassend darüber, welche Daten wir erheben, wie wir diese verarbeiten und welche Rechte Ihnen zustehen.

1. Verantwortlicher und Datenschutzbeauftragter

1.1 Verantwortlicher (Art. 4 Nr. 7 DSGVO)

EUCX GmbH
Taunusanlage 18
60325 Frankfurt am Main
Telefon: +49 (0) 69 / 123 456-0
E-Mail: datenschutz@eucx.eu

1.2 Datenschutzbeauftragter (Art. 37 DSGVO)

Gemäß Art. 37 Abs. 1 lit. b DSGVO ist die EUCX GmbH zur Bestellung eines Datenschutzbeauftragten verpflichtet, da die Kerntätigkeit in der umfangreichen systematischen Verarbeitung personenbezogener Daten besteht.

Dr. Petra Hofmann, Zertifizierte Datenschutzbeauftragte (TÜV)
EUCX GmbH, Taunusanlage 18, 60325 Frankfurt am Main
E-Mail: dsb@eucx.eu
PGP-Fingerprint: A1B2 C3D4 E5F6 7890 ABCD EF01 2345 6789 ABCD EF01

2. Kategorien personenbezogener Daten

Im Rahmen unserer Tätigkeit als OTF-Betreiber verarbeiten wir folgende Kategorien personenbezogener Daten:

KategorieBeispiele
IdentifikationsdatenName, Vorname, Geburtsdatum, Staatsangehörigkeit, Lichtbildausweis (KYC)
KontaktdatenGeschäftliche Adresse, E-Mail-Adresse, Telefonnummer
UnternehmensdatenFirmenname, Handelsregisternummer, Umsatzsteuer-ID, LEI-Nummer
FinanzdatenBankverbindung (IBAN/BIC), Sicherheitsleistungen, Handelsvolumina, Kreditwürdigkeit
HandelsdatenAuftragshistorie, Transaktionsdaten, Positionen, Marktdaten-Nutzung
KommunikationsdatenNachrichten über die Handelsplattform, E-Mail-Korrespondenz, Support-Anfragen
Technische DatenIP-Adresse, Browser-Typ, Session-ID, Zugriffszeitpunkte, Gerätekennungen
Compliance-DatenGeldwäscheverdachtsmeldungen, KYC-Unterlagen, PEP-Status, Sanktionslistenabgleich

3. Zwecke und Rechtsgrundlagen der Verarbeitung

3.1 Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)

Wir verarbeiten personenbezogene Daten zur Erfüllung des Vertrages über die Nutzung der EUCX-Handelsplattform sowie zur Durchführung vorvertraglicher Maßnahmen:

  • Registrierung und Kontoeröffnung für Marktteilnehmer
  • Akkreditierung und Zulassung zum Handelsbetrieb
  • Auftragsannahme, -abwicklung und -bestätigung
  • Abwicklung von Handelstransaktionen (Settlement)
  • Verwaltung von Sicherheitsleistungen (Margin)
  • Ausstellung von Handelsbestätigungen und Abrechnungen
  • Kundensupport und Beschwerdemanagement

3.2 Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Zahlreiche Verarbeitungen sind durch gesetzliche Pflichten als OTF-Betreiber zwingend vorgeschrieben:

  • Transaktionsmeldepflichten gemäß Art. 26 MiFIR an die BaFin und ESMA
  • Aufzeichnung und Aufbewahrung von Aufträgen und Transaktionen (§ 83 WpHG, Art. 25 MiFID II)
  • Identifizierung und Verifizierung von Geschäftskunden (§§ 10–17 GwG - KYC/AML)
  • Geldwäscheverdachtsmeldungen an die Financial Intelligence Unit (FIU) gemäß § 43 GwG
  • Abgleich mit EU-Sanktionslisten (Art. 11 VO (EU) 269/2014 etc.)
  • Buchführungs- und Aufbewahrungspflichten (§§ 238 ff. HGB, §§ 140 ff. AO)
  • Marktmissbrauchsüberwachung und -meldung (Art. 16 MAR, § 23 WpHG)
  • Einhaltung der Best-Execution-Dokumentation (§ 69 WpHG, Art. 27 MiFID II)
  • Aufzeichnung von Telefongesprächen und elektronischer Kommunikation (§ 83 Abs. 3 WpHG)

3.3 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Soweit keine vertragliche oder gesetzliche Grundlage besteht, stützen wir bestimmte Verarbeitungen auf unsere berechtigten Interessen:

  • IT-Sicherheit: Protokollierung von Zugriffen zur Erkennung und Abwehr von Angriffen
  • Betrugsprävention und Risikoüberwachung im Handelsgeschäft
  • Verbesserung und Weiterentwicklung der Handelsplattform durch Nutzungsanalysen (anonymisiert)
  • Durchsetzung und Verteidigung von Rechtsansprüchen
  • Konzernweite Compliance-Überwachung und interne Revision

3.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Für bestimmte Verarbeitungen holen wir Ihre gesonderte Einwilligung ein, insbesondere für den Versand von Markt-Newsletter und produktbezogenen Informationen. Eine erteilte Einwilligung können Sie jederzeit ohne Angabe von Gründen widerrufen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Widerruf per E-Mail an: datenschutz@eucx.eu

4. Speicherdauer und Löschfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.

DatenkategorieAufbewahrungsfristRechtsgrundlage
Transaktions- und Auftragsdaten5 Jahre nach Transaktionsdatum§ 83 WpHG, Art. 25 MiFID II
Handelskommunikation (Telefon, E-Mail)5 Jahre§ 83 Abs. 3 WpHG
KYC-/AML-Unterlagen5 Jahre nach Beendigung der Geschäftsbeziehung§ 8 Abs. 4 GwG
Buchungsbelege, Rechnungen10 Jahre§ 257 HGB, § 147 AO
Handelsbücher, Bilanzen10 Jahre§ 257 HGB
Sonstige Geschäftskorrespondenz6 Jahre§ 257 HGB, § 147 AO
Transaktionsmeldungen (MiFIR)5 JahreArt. 26 Abs. 7 MiFIR
Server-Logfiles (IP-Adressen)7 Tage (Sicherheitsprotokoll: 90 Tage)Art. 6 Abs. 1 lit. f DSGVO
Einwilligungsnachweise3 Jahre nach WiderrufArt. 7 Abs. 1 DSGVO i.V.m. § 195 BGB

5. Empfänger und Weitergabe personenbezogener Daten

5.1 Pflichtmäßige Übermittlung an Behörden

Wir sind gesetzlich verpflichtet, Daten an folgende Behörden zu übermitteln:

  • BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) - Transaktionsmeldungen, Marktmissbrauchsverdacht
  • ESMA (European Securities and Markets Authority) - Handelsberichte, MiFIR Art. 26
  • FIU (Financial Intelligence Unit) - Geldwäscheverdachtsmeldungen gem. § 43 GwG
  • Deutsche Bundesbank - Zahlungsverkehrsmeldungen, statistisches Meldewesen
  • Finanzämter und Steuerbehörden - bei Betriebsprüfungen und nach AO
  • Staatsanwaltschaft und Gerichte - bei gesetzlicher Verpflichtung

5.2 Auftragsverarbeiter (Art. 28 DSGVO)

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen haben:

  • Cloud-Infrastruktur (Serverhosting) - ausschließlich in der EU (Deutschland)
  • E-Mail-Versanddienstleister für transaktionale Benachrichtigungen
  • KYC/AML-Identifizierungsdienstleister für die Kundenverifizierung
  • IT-Sicherheitsdienstleister für Penetrationstests und Security Operations

5.3 Drittlandübermittlungen (Art. 44 ff. DSGVO)

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt nur, wenn ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vorliegt oder geeignete Garantien gemäß Art. 46 DSGVO (z.B. EU-Standardvertragsklauseln) vereinbart wurden. Soweit möglich, vermeiden wir Drittlandübermittlungen.

6. Technische Datenverarbeitung und Sicherheit

6.1 Server-Logfiles

Beim Zugriff auf unsere Plattform erfasst der Webserver automatisch technische Daten: IP-Adresse, Datum und Uhrzeit, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL sowie Informationen über Browser und Betriebssystem. Diese Daten dienen der Systemsicherheit und werden nach 7 Tagen (Sicherheitsvorfälle: 90 Tage) gelöscht.

6.2 Cookies und Session-Management

Wir verwenden ausschließlich technisch notwendige Session-Cookies, die nach Schließen des Browsers gelöscht werden. Persistente Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Marketing-Cookies oder Third-Party-Tracking werden auf unserer Plattform nicht eingesetzt.

6.3 Technisch-organisatorische Maßnahmen (TOMs)

Wir haben umfangreiche Sicherheitsmaßnahmen gemäß Art. 32 DSGVO implementiert:

  • Transportverschlüsselung: TLS 1.3 für alle Datenübertragungen
  • Datenverschlüsselung at rest: AES-256 für alle gespeicherten personenbezogenen Daten
  • Zugangskontrolle: Rollenbasiertes Berechtigungskonzept (RBAC), Zwei-Faktor-Authentifizierung (2FA)
  • Netzwerksicherheit: Firewall, IDS/IPS, regelmäßige Penetrationstests
  • Verfügbarkeit: Georedundante Rechenzentren in Deutschland (Tier IV)
  • Incident Response Plan: Meldeprozesse gemäß Art. 33 DSGVO (72-Stunden-Frist)

7. Ihre Rechte als betroffene Person

Sie haben gegenüber der EUCX GmbH folgende Rechte nach der DSGVO:

RechtRechtsgrundlageInhalt
AuskunftArt. 15 DSGVOBestätigung, ob Daten verarbeitet werden; Kopie der verarbeiteten Daten
BerichtigungArt. 16 DSGVOKorrektur unrichtiger oder unvollständiger Daten
LöschungArt. 17 DSGVOLöschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht
EinschränkungArt. 18 DSGVOEinschränkung der Verarbeitung in bestimmten Situationen
DatenübertragbarkeitArt. 20 DSGVOErhalt Ihrer Daten in maschinenlesbarem Format (JSON/CSV)
WiderspruchArt. 21 DSGVOWiderspruch gegen Verarbeitungen auf Basis berechtigter Interessen
WiderrufArt. 7 Abs. 3 DSGVOWiderruf einer erteilten Einwilligung mit Wirkung für die Zukunft
BeschwerdeArt. 77 DSGVOBeschwerde bei der zuständigen Aufsichtsbehörde (s.u.)

Zur Geltendmachung Ihrer Rechte wenden Sie sich schriftlich oder per E-Mail an unseren Datenschutzbeauftragten: dsb@eucx.eu. Wir beantworten Ihren Antrag binnen 30 Tagen (Art. 12 Abs. 3 DSGVO); in begründeten Ausnahmefällen kann diese Frist um weitere 60 Tage verlängert werden.

Bitte beachten Sie: Das Recht auf Löschung und das Recht auf Einschränkung können durch aufsichtsrechtliche Aufbewahrungspflichten (WpHG, GwG, HGB, AO) begrenzt sein.

8. Zuständige Datenschutz-Aufsichtsbehörde

Die für die EUCX GmbH zuständige Datenschutz-Aufsichtsbehörde ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI):

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163 · 65021 Wiesbaden
Telefon: +49 (0) 611 / 1408-0
E-Mail: poststelle@datenschutz.hessen.de
Internet: datenschutz.hessen.de

Sie haben das Recht, sich jederzeit ohne vorherige Kontaktaufnahme mit uns an die Aufsichtsbehörde zu wenden (Art. 77 DSGVO).

9. Automatisierte Entscheidungsfindung und Profiling

Die EUCX GmbH nimmt automatisierte Entscheidungen einschließlich Profiling im Sinne des Art. 22 DSGVO nur in folgenden Fällen vor:

  • Sanktionslistenabgleich (automatisierter Abgleich mit EU- und UN-Sanktionslisten gem. Art. 22 Abs. 2 lit. b DSGVO - gesetzliche Verpflichtung)
  • Risikobewertung im Rahmen des KYC-Prozesses (Risikoklassifizierung LOW/MEDIUM/HIGH gem. § 14 GwG - notwendig für Vertragsschluss, Art. 22 Abs. 2 lit. a DSGVO)

Sie haben das Recht, eine menschliche Überprüfung automatisierter Entscheidungen zu verlangen, Ihren Standpunkt darzulegen und die Entscheidung anzufechten (Art. 22 Abs. 3 DSGVO).

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslage, geänderte Verarbeitungszwecke oder neue technische Entwicklungen anzupassen. Die aktuelle Version ist stets unter eucx.eu/datenschutz abrufbar. Bei wesentlichen Änderungen werden aktive Marktteilnehmer per E-Mail informiert.

Stand: März 2026 | Version 1.0