Datenschutzerklärung
Zuletzt aktualisiert: Juni 2026
⚠️ Bitte ersetze alle [PLATZHALTER] durch deine tatsächlichen Angaben, bevor du die App veröffentlichst. Markiere insbesondere das zuständige Bundesland bei der Aufsichtsbehörde in Abschnitt 9.
Pluspunkt ist eine Kundenbindungs-App, mit der Kunden bei lokalen Geschäften Punkte sammeln und einlösen können. Der Schutz deiner personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert dich gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) sowie § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.

1Verantwortlicher

Verantwortlicher im Sinne der DSGVO und des TTDSG ist:

[FIRMENNAME / VOLLSTÄNDIGER NAME]

[STRASSE UND HAUSNUMMER]

[PLZ] [ORT], Deutschland

E-Mail: [E-MAIL]

Telefon: [TELEFON]

Weitere Pflichtangaben gemäß § 5 TMG (Telemediengesetz) findest du in unserem Impressum.

Einen Datenschutzbeauftragten sind wir gesetzlich nicht zur Benennung verpflichtet, sofern wir als kleines Unternehmen keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vornehmen und in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Sollte sich dies ändern, wird ein Datenschutzbeauftragter benannt und diese Erklärung entsprechend aktualisiert.

2Welche Daten wir erheben

2.1 Kundenkonto

Bei der Registrierung als Kunde erheben wir folgende Daten:

  • E-Mail-Adresse (Pflichtfeld) – für Anmeldung und 2-Faktor-Authentifizierung
  • Benutzername (Pflichtfeld) – für die Darstellung im Profil
  • Geburtsdatum (optional) – für personalisierte Inhalte
  • Passwort – wird ausschließlich als kryptografischer Hash (bcrypt, Kostenfaktor 12) gespeichert; das Klartext-Passwort verlässt niemals dein Gerät und ist uns zu keiner Zeit bekannt
  • Login-Zeitstempel – Zeitpunkt der letzten Anmeldung
  • Gesammelte Punkte und Transaktionen je teilnehmendem Geschäft – werden serverseitig in unserer Datenbank gespeichert (Earn- und Redeem-Vorgänge)

2.2 Unternehmenskonto

Bei der Registrierung als Unternehmen erheben wir:

  • Unternehmensname, Kategorie, Beschreibung
  • E-Mail-Adresse
  • Adresse (Straße, Hausnummer, PLZ, Ort) – wird als Kartenmarkierung in der App angezeigt
  • Telefonnummer (optional)
  • Website (optional)
  • Öffnungszeiten
  • Logo – wird in unserem Speicherdienst (Supabase Storage) abgelegt
  • Passwort-Hashes (bcrypt) für Mitarbeiter- und Masterpasswort
  • Freischaltungsstatus – neu registrierte Unternehmen werden manuell durch den Betreiber geprüft, bevor sie auf der Plattform aktiv werden (siehe 2.7)

2.3 Adminzugriff auf Nutzerdaten

Als Betreiber der Plattform haben wir über ein passwortgeschütztes Verwaltungspanel Zugriff auf folgende Daten aller registrierten Nutzer und Unternehmen:

  • Kunden: E-Mail-Adresse, Name, Stadt, Anzahl der Logins, Zeitpunkt des letzten Logins, Anmeldemethode, Registrierungsdatum
  • Unternehmen: Alle Registrierungsdaten, Freischaltungsstatus
  • Transaktionen: Aggregierte Statistiken über Punkte-Vergabe und -Einlösung (ohne Einsicht in individuelle Transaktionsdetails)

Dieser Zugriff erfolgt ausschließlich zu folgenden Zwecken:

  • Prüfung und Freischaltung von Unternehmens-Registrierungen
  • Missbrauchsprävention und Plattformsicherheit
  • Bearbeitung von Nutzeranfragen (z. B. Datenlöschung)
  • Betriebsmonitoring und Fehlerbehebung

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung als Plattformbetreiber) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Qualitätssicherung der Plattform). Passwörter sind für uns zu keiner Zeit einsehbar.

2.4 Technische Daten im Browser

Wir verwenden localStorage und sessionStorage deines Browsers für folgende Zwecke (näheres in Abschnitt 3):

  • Sitzungs-Token nach Anmeldung (sessionStorage, wird beim Schließen des Tabs gelöscht)
  • „Eingeloggt bleiben"-Session (localStorage, maximal 30 Tage)
  • Liste verifizierter E-Mail-Adressen zur Vermeidung wiederholter 2FA-Abfragen (localStorage, maximal 30 Tage)
  • Punkte-Stand je Geschäft (localStorage, nur lokal auf deinem Gerät)
  • Fehlgeschlagene Anmeldeversuche zur Brute-Force-Erkennung (sessionStorage, temporär)

Diese Daten verlassen deinen Browser nicht, sofern sie nicht für eine der nachfolgend beschriebenen Funktionen an unsere Server übertragen werden.

2.5 Server-Protokolldaten und IP-Adressen

Bei jeder Nutzung unserer App werden automatisch technische Verbindungsdaten an unseren Authentifizierungsserver (Render.com) sowie an die Supabase-Datenbank übermittelt. Diese sogenannten Server-Logs können enthalten:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit der Anfrage
  • Art der HTTP-Anfrage und aufgerufene Ressource
  • HTTP-Statuscode der Antwort
  • Browsertyp und -version (User-Agent)

Diese Daten sind technisch notwendig, um die App zu betreiben und Fehler zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität und Sicherheit). Protokolldaten werden nach spätestens 30 Tagen automatisch gelöscht, sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert.

2.6 Kontaktformular

Wenn du uns über das Kontaktformular auf der Kontaktseite schreibst, erheben wir folgende Daten:

  • Name (Pflichtfeld)
  • E-Mail-Adresse (Pflichtfeld)
  • Betreff
  • Nachrichteninhalt

Diese Daten verwenden wir ausschließlich zur Bearbeitung deiner Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Nutzern) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage vertragsrelevant ist. Die Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

2.7 Google-Anmeldung (optional)

Wenn du die optionale Google-Anmeldefunktion nutzt, übermitteln wir folgende Daten an Google und erhalten diese zurück:

  • Google-Konto-E-Mail-Adresse
  • Anzeigename des Google-Kontos
  • Profilbild-URL (optional, abhängig von deinen Google-Einstellungen)

Näheres zur Google-Anmeldung findest du in Abschnitt 5 unter „Google Identity Services".

3Browser-Speicher gemäß § 25 TTDSG

Gemäß § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) ist für das Speichern von und den Zugriff auf Informationen im Endgerät des Nutzers entweder dessen Einwilligung oder ein gesetzlich anerkannter Ausnahmetatbestand erforderlich.

Was ist der Unterschied zu Cookies?
Wir verwenden kein klassisches Cookie-Tracking. Stattdessen nutzen wir localStorage und sessionStorage – browser-eigene Speichermechanismen, die dieselben rechtlichen Anforderungen wie Cookies erfüllen müssen.

Speicherung auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG (technisch notwendig)

Folgende Daten werden ohne gesonderte Einwilligung gespeichert, da sie technisch unbedingt erforderlich sind, um die von dir ausdrücklich angeforderten Dienste zu erbringen:

  • sessionStorage – Sitzungs-Token (JWT): Notwendig, damit du nach dem Login angemeldet bleibst. Der Token wird ausschließlich in sessionStorage gespeichert und beim Schließen des Tabs automatisch gelöscht. Er wird nicht in localStorage abgelegt.
  • sessionStorage – Anmeldeversuche (Brute-Force-Schutz): Technisch notwendige Sicherheitsmaßnahme; Daten werden beim Schließen des Browsers automatisch gelöscht.
  • localStorage – 2FA-Verifizierungsstatus: Speichert, ob deine E-Mail-Adresse bereits verifiziert wurde (max. 30 Tage), um wiederholte 2FA-Abfragen zu vermeiden. Dies ist für den reibungslosen Betrieb des Authentifizierungsdienstes erforderlich.
  • localStorage – Punkte-Stand: Deine gesammelten Punkte je Geschäft werden lokal auf deinem Gerät gespeichert. Diese Daten verlassen dein Gerät nicht.

Speicherung auf Grundlage deiner Einwilligung (§ 25 Abs. 1 TTDSG)

Folgende Daten werden nur gespeichert, wenn du dies ausdrücklich anforderst:

  • localStorage – „Eingeloggt bleiben"-Session: Wenn du die Funktion „Eingeloggt bleiben" beim Login aktivierst, speichern wir eine verschlüsselte Sitzungs-Information für bis zu 30 Tage. Deine Einwilligung erteilst du durch aktives Anklicken der entsprechenden Option; du kannst sie jederzeit widerrufen, indem du dich abmeldest oder den Browser-Speicher löschst.

Darüber hinaus können Drittanbieter, die in dieser App eingebunden sind (insbesondere Google Identity Services und OpenStreetMap/Leaflet), beim Laden ihrer Inhalte eigene Speichermechanismen auf deinem Gerät nutzen. Näheres dazu findest du in Abschnitt 5.

4Zweck und Rechtsgrundlage der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Registrierung, Anmeldung, Verwaltung von Kundenkonten und Unternehmenskonten, Versand von 2FA-Codes sowie Darstellung teilnehmender Unternehmen sind zur Erbringung unserer vertraglich geschuldeten Dienste erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Schutz vor Missbrauch (Brute-Force-Schutz, 2-Faktor-Authentifizierung), Systemstabilität, Fehlerdiagnose und Verarbeitung von Server-Protokolldaten. Unsere berechtigten Interessen überwiegen dabei deine Grundrechte und Grundfreiheiten, da wir nur das für den Betrieb unbedingt erforderliche Minimum verarbeiten.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für optionale Funktionen wie „Eingeloggt bleiben" und optionale Profilangaben (z. B. Geburtsdatum). Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Daten, die aufgrund handels- oder steuerrechtlicher Pflichten nicht sofort gelöscht werden dürfen.

Grundsatz der Zweckbindung: Deine personenbezogenen Daten werden nur für die Zwecke verwendet, für die sie erhoben wurden. Eine Weiterverarbeitung für andere Zwecke findet nicht statt, soweit keine gesetzliche Grundlage dies ausdrücklich erlaubt (Art. 5 Abs. 1 lit. b DSGVO).

5Eingesetzte Drittanbieter

Wir setzen folgende Dienstleister ein, an die personenbezogene Daten übermittelt werden können:

Supabase

Anbieter: Supabase Inc., 970 Tresser Blvd, Stamford, CT 06901, USA

Zweck: Speicherung von Unternehmensprofildaten (Name, Adresse, Öffnungszeiten, Logo, Passwort-Hashes) in einer PostgreSQL-Datenbank

Verarbeitete Daten: Alle Unternehmensregistrierungsdaten sowie Verbindungsmetadaten (IP-Adressen, Zeitstempel)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer in die USA auf Basis von Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO)

Auftragsverarbeitungsvertrag (AVV): abgeschlossen gemäß Art. 28 DSGVO

Datenschutzerklärung von Supabase →  |  DPA →

Render

Anbieter: Render Services, Inc., 525 Brannan Street Suite 300, San Francisco, CA 94107, USA

Zweck: Hosting unseres Authentifizierungsservers für Registrierung, Anmeldung und Versand von 2FA-Codes

Verarbeitete Daten: E-Mail-Adresse, Passwort-Hash, temporäre 2FA-Codes (max. 10 Minuten), IP-Adressen und Server-Protokolldaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Drittlandtransfer in die USA auf Basis von Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO)

Auftragsverarbeitungsvertrag (AVV): abgeschlossen gemäß Art. 28 DSGVO

Datenschutzerklärung von Render →

Brevo (ehemals Sendinblue)

Anbieter: Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich

Zweck: Transaktionaler E-Mail-Versand – Bestätigungs-E-Mails und 2-Faktor-Authentifizierungscodes

Verarbeitete Daten: E-Mail-Adresse des Empfängers, Inhalt der versendeten E-Mail

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Anbieter in der EU (Frankreich), kein Drittlandtransfer

Auftragsverarbeitungsvertrag (AVV): abgeschlossen gemäß Art. 28 DSGVO

Datenschutzerklärung von Brevo →

OpenStreetMap / Leaflet.js

Anbieter der Kartendaten: OpenStreetMap Foundation (OSMF), St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich

Zweck: Darstellung einer interaktiven Karte in der App, auf der teilnehmende Unternehmen in deiner Nähe angezeigt werden. Kartenkacheln werden direkt von den Servern von OpenStreetMap geladen.

Verarbeitete Daten: IP-Adresse deines Geräts (technisch bedingt beim Laden der Kartenkacheln), aufgerufene Kartenausschnitte

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung einer ortsbezogenen Kartenfunktion); § 25 Abs. 2 Nr. 2 TTDSG für Informationen auf dem Endgerät

Drittlandtransfer: Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) – kein besonderer Schutzmechanismus erforderlich.

Datenschutzerklärung von OpenStreetMap →

Die JavaScript-Bibliothek Leaflet.js wird von einem CDN (unpkg.com) geladen. Dabei wird deine IP-Adresse an den CDN-Anbieter übertragen. Die Bibliothek selbst überträgt keine Nutzerdaten.

Google Identity Services (Google Sign-In)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (verantwortlich für Nutzer in der EU/EWR); Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Zweck: Optionale Anmeldung mit einem bestehenden Google-Konto. Wenn du diese Funktion nutzt, authentifiziert Google deine Identität und übermittelt uns deinen Google-Kontonamen und deine E-Mail-Adresse.

Verarbeitete Daten: Google-Konto-E-Mail, Anzeigename, ggf. Profilbild-URL; beim Laden der Google-Bibliothek auch IP-Adresse und User-Agent

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kontoerstellung und Login); § 25 Abs. 2 Nr. 2 TTDSG für technisch notwendige Speicherungen

Drittlandtransfer: Google LLC ist unter dem EU-US-Datenschutzrahmen (Data Privacy Framework, DPF) zertifiziert – Rechtsgrundlage Art. 45 DSGVO (Angemessenheitsbeschluss).

Hinweis: Die Einbindung von accounts.google.com/gsi/client erfolgt bereits beim Laden der Anmelde-Seite. Google kann dadurch technische Daten (IP-Adresse) erhalten, auch wenn du die Google-Anmeldung nicht nutzt.

Datenschutzerklärung von Google →

6Auftragsverarbeitung (Art. 28 DSGVO)

Mit unseren Dienstleistern Supabase, Render und Brevo haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Diese Verträge verpflichten die Dienstleister:

  • Personenbezogene Daten ausschließlich nach unserer Weisung zu verarbeiten
  • Geeignete technische und organisatorische Sicherheitsmaßnahmen zu ergreifen (Art. 32 DSGVO)
  • Unterauftragnehmer nur mit unserer Genehmigung einzusetzen
  • Uns bei der Erfüllung deiner Betroffenenrechte zu unterstützen
  • Nach Beendigung der Zusammenarbeit alle personenbezogenen Daten zu löschen oder zurückzugeben

OpenStreetMap Foundation und Google Ireland Limited sind im Rahmen der Kartenintegration bzw. des Google-Logins als eigenständige Verantwortliche anzusehen, nicht als Auftragsverarbeiter – da sie die Daten auch für eigene Zwecke verarbeiten. Die Datenverarbeitung durch diese Anbieter unterliegt deren eigenen Datenschutzerklärungen.

7Datenübermittlung in Drittländer

USA – Supabase und Render (Standardvertragsklauseln)

Supabase Inc. und Render Services Inc. haben ihren Sitz in den USA. Die USA gelten nicht als sicheres Drittland im Sinne der DSGVO (kein Angemessenheitsbeschluss für US-Unternehmen im Allgemeinen). Die Übermittlung erfolgt daher auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, die von der EU-Kommission durch Durchführungsbeschluss vom 4. Juni 2021 genehmigt wurden. Beide Anbieter haben diese SCCs unterzeichnet und sind über ihre jeweiligen Auftragsverarbeitungsverträge (DPA) daran gebunden.

USA – Google (EU-US Data Privacy Framework)

Google LLC ist seit dem 10. Juli 2023 unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die EU-Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss (Art. 45 DSGVO) für DPF-zertifizierte US-Unternehmen gefasst. Für Google LLC ist die Übermittlung in die USA daher auf Basis dieses Angemessenheitsbeschlusses zulässig.

Vereinigtes Königreich – OpenStreetMap Foundation

Die EU-Kommission hat für das Vereinigte Königreich am 28. Juni 2021 einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO gefasst. Datenübermittlungen an die OpenStreetMap Foundation (UK) sind daher ohne besondere Schutzmaßnahmen zulässig.

Frankreich – Brevo

Brevo (Sendinblue SAS) ist in Frankreich ansässig und unterliegt vollständig der DSGVO als EU-Mitgliedstaat – kein Drittlandtransfer erforderlich.

8Speicherdauer

  • Kontodaten (E-Mail, Passwort-Hash, Profil): Bis zur Löschung des Kontos auf Anfrage oder nach gesetzlicher Vorgabe; spätestens nach Ablauf von 3 Jahren Inaktivität prüfen wir eine Löschung
  • 2FA-Codes: Automatisch nach 10 Minuten gelöscht
  • „Eingeloggt bleiben"-Session: Maximal 30 Tage, danach automatisch ungültig
  • Verifizierungsstatus der E-Mail (2FA-Bypass): Maximal 30 Tage im Browser-Speicher; nach Ablauf ist eine erneute E-Mail-Bestätigung erforderlich – Konto und Punkte bleiben unberührt
  • Fehlgeschlagene Anmeldeversuche: Nur für die Dauer der Browser-Sitzung (sessionStorage)
  • Punkte-Daten: Lokal im Browser bis zur manuellen Löschung oder Gerätewechsel
  • Login-Zeitstempel: Maximal 90 Tage auf unserem Authentifizierungsserver
  • Server-Protokolldaten / IP-Adressen: Maximal 30 Tage, danach automatisch gelöscht
  • Kontaktformular-Nachrichten: Nach abschließender Bearbeitung der Anfrage, spätestens nach 6 Monaten, sofern keine gesetzliche Aufbewahrungspflicht besteht
  • Unternehmensregistrierungsdaten: Bis zur Löschung des Unternehmenskontos; danach Anonymisierung oder Löschung innerhalb von 30 Tagen

Nach Ablauf der jeweils angegebenen Fristen werden die Daten routinemäßig gelöscht, sofern sie nicht zur Erfüllung eines Vertrags oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden.

9Deine Rechte als betroffene Person

Du hast folgende Rechte gegenüber uns bezüglich deiner personenbezogenen Daten (Art. 15–22, Art. 77 DSGVO). Diese Rechte können dir gegenüber eingeschränkt werden, soweit sie die Rechte anderer Personen oder gesetzliche Verpflichtungen beeinträchtigen würden.

📋
Auskunft (Art. 15 DSGVO) Du kannst jederzeit Auskunft darüber verlangen, welche personenbezogenen Daten wir über dich gespeichert haben, zu welchem Zweck, für wie lange und an wen sie ggf. weitergegeben wurden.
✏️
Berichtigung (Art. 16 DSGVO) Du hast das Recht, unrichtige oder unvollständige personenbezogene Daten unverzüglich berichtigen oder vervollständigen zu lassen.
🗑️
Löschung (Art. 17 DSGVO) Du kannst die Löschung deiner personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.
⏸️
Einschränkung der Verarbeitung (Art. 18 DSGVO) Du kannst die Einschränkung der Verarbeitung verlangen, z. B. wenn du die Richtigkeit der Daten bestreitest oder wenn du die Verarbeitung für unrechtmäßig hältst, aber statt Löschung Einschränkung wünschst.
📤
Datenübertragbarkeit (Art. 20 DSGVO) Du hast das Recht, deine uns bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON oder CSV) zu erhalten oder direkt an einen anderen Verantwortlichen übertragen zu lassen.
🚫
Widerspruch (Art. 21 DSGVO) Du kannst der Verarbeitung deiner Daten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) jederzeit widersprechen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
↩️
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) Einwilligungen (z. B. „Eingeloggt bleiben") können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
🏛️
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO) Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns als Verantwortlichen zuständige Behörde richtet sich nach unserem Unternehmenssitz (siehe unten). Als Verbraucher kannst du dich auch an die Behörde deines Wohnorts wenden.

Zuständige Datenschutz-Aufsichtsbehörde

[AUFSICHTSBEHÖRDE DES UNTERNEHMENSBUNDESLANDES – BITTE AKTUALISIEREN]

Beispiele je nach Bundesland:

  • Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach – www.lda.bayern.de
  • Baden-Württemberg: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) – www.baden-wuerttemberg.datenschutz.de
  • Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit – www.datenschutz-berlin.de
  • NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW – www.ldi.nrw.de

Eine vollständige Übersicht aller Landesbehörden findest du beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): bfdi.bund.de

Zur Ausübung deiner Rechte wende dich per E-Mail an: [E-MAIL]
Wir beantworten deine Anfrage innerhalb von 30 Tagen nach Eingang (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann diese Frist auf bis zu 3 Monate verlängert werden; wir informieren dich in diesem Fall rechtzeitig.

10Datensicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Sicherheitsmaßnahmen (TOMs) ein, um deine Daten vor Verlust, Manipulation, unbefugtem Zugriff und unbefugter Weitergabe zu schützen:

  • Passwörter werden ausschließlich als bcrypt-Hash (Kostenfaktor 12) gespeichert – das Klartextpasswort ist uns zu keiner Zeit bekannt und kann aus dem Hash nicht wiederhergestellt werden
  • 2-Faktor-Authentifizierung (2FA) per E-Mail für alle Kundenkonten und Unternehmenskonten
  • Brute-Force-Schutz: Rate Limiting auf allen Login- und Code-Routen; automatische Sperrung bei zu vielen Fehlversuchen
  • HTTPS / TLS für alle Datenübertragungen zwischen deinem Gerät und unseren Servern (HSTS aktiviert)
  • JWT-Token: Sitzungstoken werden ausschließlich in sessionStorage gespeichert (nicht localStorage) und laufen nach 30 Tagen automatisch ab
  • Row-Level Security (RLS) in der Datenbank: Zugriff auf Datenbankeinträge ist auf das für den jeweiligen Dienst notwendige Minimum beschränkt
  • HMAC-SHA256-signierte QR-Codes: QR-Codes für Punkte und Coupons sind kryptografisch signiert und können nicht gefälscht werden
  • Einmalige QR-Token: Jeder QR-Code kann nur einmal eingelöst werden (Replay-Schutz durch Datenbank-Nonce)
  • Security-Header: X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy sind serverseitig gesetzt
  • Wegwerf-E-Mail-Sperre: Registrierungen mit bekannten Wegwerf-E-Mail-Domains werden automatisch abgelehnt
  • Manuelle Unternehmens-Prüfung: Neue Unternehmen werden vor Freischaltung manuell durch den Betreiber geprüft
  • Kein Klartext-Passwort-Logging: Passwörter werden niemals in Server-Logs aufgezeichnet

Diese Maßnahmen werden regelmäßig überprüft und dem aktuellen Stand der Technik angepasst. Bei einem Datenschutzvorfall, der deine Rechte und Freiheiten voraussichtlich beeinträchtigt, werden wir dich gemäß Art. 34 DSGVO unverzüglich informieren.

11Grundsätze der Datenverarbeitung (Art. 5 DSGVO)

Wir verarbeiten personenbezogene Daten gemäß den Grundsätzen des Art. 5 DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Wir verarbeiten Daten nur auf einer klaren Rechtsgrundlage und informieren dich transparent darüber (Art. 5 Abs. 1 lit. a DSGVO).
  • Zweckbindung: Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet (Art. 5 Abs. 1 lit. b DSGVO).
  • Datenminimierung: Wir erheben nur die Daten, die für den jeweiligen Zweck tatsächlich erforderlich sind. Beispiele: Punkte-Daten verbleiben lokal auf deinem Gerät; Logos werden komprimiert und nicht als Originaldatei gespeichert (Art. 5 Abs. 1 lit. c DSGVO).
  • Richtigkeit: Wir ergreifen angemessene Maßnahmen, um sicherzustellen, dass unrichtige Daten berichtigt oder gelöscht werden (Art. 5 Abs. 1 lit. d DSGVO).
  • Speicherbegrenzung: Personenbezogene Daten werden nicht länger gespeichert als für den Zweck erforderlich (Art. 5 Abs. 1 lit. e DSGVO). Konkrete Fristen sind in Abschnitt 8 angegeben.
  • Integrität und Vertraulichkeit: Wir schützen Daten durch geeignete technische und organisatorische Maßnahmen (Art. 5 Abs. 1 lit. f DSGVO, näheres in Abschnitt 10).
  • Rechenschaftspflicht: Als Verantwortlicher sind wir in der Lage, die Einhaltung dieser Grundsätze nachzuweisen (Art. 5 Abs. 2 DSGVO).

12Minderjährige

Unsere App richtet sich nicht an Kinder unter 16 Jahren. Gemäß Art. 8 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten nicht zulässig. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.

Sollte uns bekannt werden, dass ein Kind unter 16 Jahren uns Daten übermittelt hat, werden diese unverzüglich gelöscht. Erziehungsberechtigte, die Kenntnis davon haben, dass ihr Kind uns Daten übermittelt hat, können sich unter der in Abschnitt 1 genannten E-Mail-Adresse an uns wenden.

13Automatisierte Entscheidungsfindung und Profiling

Wir nutzen keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt. Insbesondere werden keine Nutzerprofile für Werbezwecke, Scoring oder ähnliche Anwendungen erstellt.

14Keine Weitergabe zu Werbezwecken

Wir verkaufen deine personenbezogenen Daten nicht und geben sie nicht zu Werbezwecken an Dritte weiter. Eine Weitergabe an Dritte erfolgt ausschließlich:

  • an die in Abschnitt 5 genannten Auftragsverarbeiter im Rahmen der beschriebenen Zwecke,
  • wenn wir gesetzlich dazu verpflichtet sind (z. B. auf behördliche Anordnung),
  • oder wenn du ausdrücklich eingewilligt hast.

15Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version ist in der App abrufbar. Das Datum der letzten Aktualisierung ist in der Kopfzeile angegeben.

Bei wesentlichen Änderungen, die deine Rechte als betroffene Person berühren, werden wir dich per E-Mail informieren oder beim nächsten Login auf die Änderungen hinweisen. Unwesentliche redaktionelle Änderungen bedürfen keiner gesonderten Benachrichtigung.

16Kontakt bei Datenschutzfragen

Bei Fragen zum Datenschutz, zur Ausübung deiner Rechte oder zu unserer Datenschutzerklärung erreichst du uns unter:

[FIRMENNAME / VOLLSTÄNDIGER NAME]

E-Mail: [E-MAIL]

Telefon: [TELEFON]

Adresse: [STRASSE], [PLZ] [ORT]

Alternativ kannst du unser Kontaktformular verwenden.

Wir beantworten deine Anfrage kostenlos innerhalb von 30 Tagen nach Eingang (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen kann diese Frist um weitere zwei Monate verlängert werden; wir informieren dich in diesem Fall innerhalb der ersten 30 Tage über die Verlängerung und deren Gründe.

← Zurück zur App  ·  Impressum  ·  Nutzungsbedingungen  ·  Kontakt