Datenschutzerklärung

Leon Velten

Liebigstraße 19

80538 München

Deutschland

E-Mail: info@stampro.de

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen. Für datenschutzbezogene Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

Diese Datenschutzerklärung gilt für die unter der Domain stampro.de betriebene Plattform Stampro – einer SaaS-Lösung zur Erstellung und Verwaltung digitaler Treue- und Stempelkarten für lokale Gastronomie- und Einzelhandelsbetriebe.

Rollen im datenschutzrechtlichen Sinne:

• Gegenüber unseren Geschäftskunden („Merchants" – z. B. Cafés, Bars, Pilates-Studios und sonstige lokale Betriebe) treten wir als Anbieter der Plattform auf und verarbeiten deren personenbezogene Daten als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
• Gegenüber den Endkunden der Merchants (also Personen, die digitale Stempelkarten in Apple Wallet oder Google Wallet nutzen) verarbeiten wir personenbezogene Daten ausschließlich im Auftrag des jeweiligen Merchants als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlich für diese Verarbeitung ist der jeweilige Merchant (siehe Abschnitt 7).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Unsere Plattform wird über folgende Infrastruktur bereitgestellt:

• Vercel Inc. (Hosting & Deployment)
• Supabase Inc. (Datenbank- und Authentifizierungs-Infrastruktur, EU-Region Frankfurt)

Verarbeitete Daten:

• IP-Adresse (ggf. gekürzt/anonymisiert)
• Datum und Uhrzeit der Anfrage
• Browsertyp und -version
• Betriebssystem
• Referrer-URL
• abgerufene Inhalte

Zweck: Sichere und stabile Bereitstellung der Plattform sowie Schutz vor Missbrauch und Angriffen.

Drittlandübermittlung: Vercel Inc. und Supabase Inc. haben ihren Sitz in den USA. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO); ergänzend kommen EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO zur Anwendung. Bei Supabase werden Datenbankinhalte ausschließlich in der EU-Region (Frankfurt) gespeichert; ein Zugriff durch die US-Muttergesellschaft im Rahmen administrativer Tätigkeiten kann nicht ausgeschlossen werden.

Hinweis: Es kann nicht ausgeschlossen werden, dass US-Behörden im Rahmen von Überwachungsprogrammen Zugriff auf personenbezogene Daten erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und performanten Bereitstellung unserer Plattform.

Bei der Registrierung als Merchant verarbeiten wir:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert mittels branchenüblicher Hashverfahren)

Zweck: Erstellung und Verwaltung Ihres Merchant-Kontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Bereitstellungspflicht: Die Angabe Ihrer E-Mail-Adresse und eines Passworts ist für die Registrierung erforderlich. Ohne diese Daten ist die Erstellung eines Merchant-Kontos nicht möglich.

Rollenverteilung

Unsere Plattform Stampro ermöglicht es Merchants, digitale Stempel- und Treuekarten für ihre Endkunden zu erstellen und zu verwalten. In diesem Zusammenhang verarbeiten wir personenbezogene Daten der Endkunden ausschließlich im Auftrag und auf Weisung des jeweiligen Merchants.

Die datenschutzrechtliche Rollenverteilung ist wie folgt:

• Verantwortlicher (Art. 4 Nr. 7 DSGVO): Der jeweilige Merchant. Er entscheidet über Zwecke und Mittel der Datenverarbeitung – insbesondere darüber, welche Daten über das Registrierungsformular erhoben werden und wie die Stempelkarte ausgestaltet ist.
• Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): Leon Velten (Inhaber von Stampro) als Betreiber der Plattform. Wir verarbeiten die Endkundendaten ausschließlich zur Erbringung unserer vertraglichen Leistungen gegenüber dem Merchant und nach dessen Weisungen.

Funktionsweise

Endkunden registrieren sich für eine digitale Stempelkarte typischerweise durch Scannen eines QR-Codes im Geschäft des Merchants oder über einen vom Merchant bereitgestellten Registrierungslink. Die digitale Stempelkarte wird anschließend in Apple Wallet oder Google Wallet auf dem Endgerät des Endkunden hinterlegt. Eine separate App ist nicht erforderlich.

Verarbeitete Endkundendaten

Im Rahmen der Plattformnutzung durch Endkunden verarbeiten wir typischerweise:

• Name
• pseudonyme Wallet-Objekt-Identifikatoren (für Apple Wallet bzw. Google Wallet)
• Authentifizierungs-Token zur sicheren Aktualisierung der Wallet-Karte
• pseudonyme Kundennummer (pro Merchant)
• Stempelstand und Belohnungsstatus
• Geräte-Token für Push-Benachrichtigungen
• IP-Adresse, Geräte- und Browserinformationen (technisch bedingt beim Aufruf der Registrierungsseite)
• Zeitstempel der Registrierung und Stempelvorgänge

Soweit der Merchant über die Registrierungsseite weitere Daten (z. B. E-Mail-Adresse, Geburtsdatum) erhebt, geschieht dies in seiner alleinigen Verantwortung; wir haben hierauf keinen Einfluss.

Rechtsgrundlage

Wir verarbeiten Endkundendaten auf Grundlage eines mit jedem Merchant geschlossenen Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Die Rechtmäßigkeit der Datenerhebung gegenüber den Endkunden (z. B. Einwilligung oder Vertragserfüllung) liegt in der Verantwortung des jeweiligen Merchants.

Hinweis für Endkunden

Wenn Sie über Stampro eine digitale Stempelkarte eines Cafés, Studios oder eines anderen Geschäfts nutzen, ist der Betreiber dieses Geschäfts (nicht Stampro) für die Verarbeitung Ihrer Daten verantwortlich. Bitte wenden Sie sich für datenschutzbezogene Anfragen (Auskunft, Löschung, Widerspruch) direkt an das jeweilige Geschäft. Informationen zum Verantwortlichen finden Sie in der Regel auf der Registrierungsseite des Merchants oder in dessen Impressum.

Wir versenden systemrelevante E-Mails (z. B. Registrierungsbestätigung, Passwort-Zurücksetzung, Rechnungsbenachrichtigungen) über:

• Resend, Inc. (E-Mail-Versand-Infrastruktur, Hosting in der EU-Region eu-west-1 / Irland)

Darüber hinaus werden – soweit vom Merchant aktiviert – produktbezogene E-Mails im Auftrag und im Namen des jeweiligen Merchants über dieselbe Infrastruktur an dessen Endkunden versendet. Die Inhalte und Empfänger dieser E-Mails werden durch den jeweiligen Merchant bestimmt; wir handeln insoweit als Auftragsverarbeiter (siehe Abschnitt 7).

Verarbeitete Daten: E-Mail-Adresse, Kommunikationsinhalte, Zeitstempel.

Drittlandübermittlung: Resend, Inc. hat seinen Sitz in den USA. Die E-Mail-Versand-Infrastruktur wird in der EU (Irland) betrieben; eine Übermittlung an die US-Muttergesellschaft im Rahmen administrativer Tätigkeiten kann nicht ausgeschlossen werden. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 28 DSGVO im Auftrag des Merchants.

Zur Bereitstellung der digitalen Stempelkarten in Apple Wallet bzw. Google Wallet werden folgende Dienste eingesetzt:

• Apple Inc. (Apple Wallet, Apple Push Notification Service / APNs)
• Google LLC (Google Wallet API, Google Play Services)

Verarbeitete Daten:

• Geräte-Token
• Betriebssystemversion
• technische Geräteinformationen
• pseudonyme Wallet-Objekt-Identifikatoren

Drittlandübermittlung: Apple Inc. und Google LLC haben ihren Sitz in den USA. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO); für Apple Inc. erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Hinweis: Es kann nicht ausgeschlossen werden, dass US-Behörden im Rahmen von Überwachungsprogrammen Zugriff auf personenbezogene Daten erhalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 28 DSGVO im Auftrag des Merchants.

Wir setzen folgende externe Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein:

Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Eigenständige Verantwortliche: Im Rahmen der Zahlungsabwicklung übermitteln wir personenbezogene Daten an Stripe Payments Europe, Limited (Irland), die diese als eigenständige Verantwortliche im Sinne der DSGVO verarbeitet (siehe Abschnitt 6.2).

Hinweis zu Drittlandübermittlungen: Bei Übermittlungen in die USA besteht grundsätzlich das Risiko, dass US-Behörden im Rahmen von Überwachungsprogrammen (z. B. gemäß Section 702 FISA) auf Daten zugreifen könnten. Durch die Nutzung von DPF-zertifizierten Anbietern und den Abschluss von SCCs setzen wir geeignete Garantien im Sinne der Art. 44 ff. DSGVO ein.

Eine aktuelle, vollständige Liste aller Auftragsverarbeiter kann jederzeit unter info@stampro.de angefragt werden.

Ihnen stehen als betroffene Person die folgenden Rechte zu. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@stampro.de

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO) – siehe Hinweis unten
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde: Die für uns zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, https://www.lda.bayern.de.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Im Falle Ihres Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Nach Ablauf der jeweiligen Speicherfrist werden die Daten gelöscht oder – soweit technisch möglich und gesetzlich zulässig – anonymisiert.

Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen
• Verschlüsselte Speicherung sensibler Daten (z. B. Passwörter mittels branchenüblicher Hashverfahren)
• Zeilenebene-Sicherheit (Row-Level Security) auf Datenbankebene
• Rollenbasierte Zugriffsbeschränkungen nach dem Prinzip der geringsten Berechtigung
• Sichere Cloud-Infrastruktur mit Redundanzen und automatischen Backups

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass Daten eines Kindes unter 16 Jahren ohne Einwilligung des Sorgeberechtigten erhoben wurden, werden wir diese unverzüglich löschen.

Soweit wir im Rahmen der Registrierung oder Vertragsanbahnung personenbezogene Daten erheben, die für die Begründung oder Durchführung des Vertragsverhältnisses erforderlich sind, ist die Bereitstellung dieser Daten freiwillig. Ohne Bereitstellung der als erforderlich gekennzeichneten Daten (z. B. E-Mail-Adresse) können wir den Vertrag jedoch nicht abschließen bzw. unsere Leistungen nicht erbringen.

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen, neue Funktionen oder veränderte Datenverarbeitungsprozesse anzupassen. Die jeweils aktuelle Version ist jederzeit unter stampro.de/datenschutz abrufbar.