Datenschutz

Datenschutz­erklärung.

Diese Erklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten beim Besuch dieser Website und bei der Nutzung unseres Dienstes StampPass.

Stand: 26. Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze ist:

[VOLLER NAME]
[STRASSE UND HAUSNUMMER]
[PLZ STADT]
Deutschland
E-Mail: support@stamppass.de

2. Datenschutzbeauftragter

Da wir die Schwellenwerte des § 38 BDSG nicht erreichen, ist die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannten Kontaktdaten.

3. Geltungsbereich dieser Erklärung

Diese Datenschutzerklärung gilt für die Marketing-Website unter[DOMAIN], für das angemeldete Händler-Dashboard sowie für alle technischen Hilfsdienste, die wir zur Bereitstellung unserer Stempelkarten-Lösung „StampPass" einsetzen.

Wichtiger Hinweis zur Rollenverteilung: Soweit über StampPass Daten von Endkundinnen und Endkunden eines Händlers (z. B. Stempelkarten-Inhaberinnen und -Inhaber) verarbeitet werden, ist der jeweilige Händler datenschutzrechtlich Verantwortlicher; wir treten insoweit ausschließlich als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf. Für die Verarbeitung dieser Endkundendaten gilt der mit dem Händler geschlossene Auftragsverarbeitungsvertrag.

4. Allgemeines zur Datenverarbeitung

Wir erheben und verwenden personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der Nutzerin bzw. des Nutzers oder soweit eine gesetzliche Erlaubnis besteht.

Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Newsletter-Anmeldung, optionale Marketing-Push-Nachrichten via Double-Opt-In).
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung oder vorvertragliche Maßnahmen (z. B. Registrierung im Händler-Dashboard, Bereitstellung der Stempelkarten-Funktion).
  • Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (z. B. handels- und steuerrechtliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (z. B. Server-Logs zur IT-Sicherheit, Missbrauchsabwehr).

5. Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unserer Internetseite erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

  • IP-Adresse (gekürzt gespeichert, soweit technisch möglich)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • Referrer-URL (Website, von der aus zugegriffen wird)
  • Verwendeter Browser und Betriebssystem

Diese Daten werden in den Logfiles unseres Hosting-Anbieters (Vercel Inc., siehe Ziffer 9) gespeichert. Eine Speicherung gemeinsam mit anderen personenbezogenen Daten der Nutzerin oder des Nutzers findet nicht statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse ist die Gewährleistung der Funktionsfähigkeit und Sicherheit unserer IT-Systeme sowie die Aufklärung etwaiger Missbrauchsversuche.

Speicherdauer: in der Regel maximal 30 Tage, danach automatisierte Löschung beim Hosting-Anbieter.

6. Cookies und ähnliche Technologien

Wir setzen auf unserer Website ausschließlich technisch notwendige Cookies und ähnliche Technologien ein, die zur Bereitstellung des angemeldeten Bereichs (Session, CSRF-Schutz, Login) erforderlich sind. Diese Cookies bedürfen keiner Einwilligung nach § 25 Abs. 2 Nr. 2 TDDDG.

Marketing-, Tracking- oder Analyse-Cookies setzen wir derzeit nicht ein. Sofern wir solche Cookies in Zukunft einsetzen, holen wir vorab Ihre Einwilligung über ein Consent-Banner ein.

7. Registrierung und Händler-Dashboard

Sie können sich auf unserer Website als Händler registrieren, um digitale Stempelkarten zu erstellen und zu verwalten. Bei der Registrierung und Nutzung des Dashboards erheben wir:

  • E-Mail-Adresse
  • Passwort (nur als Hash, niemals im Klartext)
  • Name bzw. Firmenname und Anschrift
  • Stempelkarten-Designs, Logos und hochgeladene Mediendateien
  • Abrechnungsdaten (siehe Ziffer 10 — Stripe)
  • Login-, Aktivitäts- und Sitzungsprotokolle

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen).

Speicherdauer: für die Dauer der aktiven Vertragsbeziehung sowie anschließend, soweit gesetzliche Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB — bis zu 10 Jahre) bestehen.

8. Wallet-Pässe und Push-Benachrichtigungen

Wenn Endkundinnen und Endkunden eines unserer Händler-Kunden eine digitale Stempelkarte zu Apple Wallet oder Google Wallet hinzufügen, werden technische Identifikatoren verarbeitet, damit der Pass auf dem Gerät aktualisiert werden kann:

  • Pass-Seriennummer und Authentifizierungs-Token
  • Device-Library-Identifier (Apple) bzw. Geräte-Kennung (Google)
  • APNs-Push-Token (Apple) zur Auslieferung von Aktualisierungen
  • Stempelstand und Pass-Version

Diese Verarbeitung erfolgt im Auftrag des jeweiligen Händlers; wir sind Auftragsverarbeiter (siehe Ziffer 3 und der AVV).

Optional kann der Endkunde im Wallet-Pass weitere Daten angeben (z. B. Name, E-Mail, Geburtstag) und in den Empfang von Marketing-Push-Benachrichtigungen ausdrücklich einwilligen (Double-Opt-In). Diese Einwilligung kann jederzeit über den Abmelde-Link in jeder Marketing-Push-Nachricht widerrufen werden, ohne dass für den Widerruf andere als Übermittlungskosten nach den Basistarifen entstehen.

9. Empfänger und Subprozessoren

Zur Bereitstellung unseres Dienstes setzen wir sorgfältig ausgewählte Auftragsverarbeiter und Drittdienste ein. Mit allen Anbietern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO bzw. die nachfolgend genannten Garantien für Drittland-Transfers.

DienstAnbieter / SitzZweckGarantie
Hosting & CDNVercel Inc., San Francisco, USABereitstellung von Website, Dashboard und API; Server-LogsSCC (Art. 46) + EU-US Data Privacy Framework
DatenbankNeon Inc., USA (Region: EU, AWS Frankfurt)Speicherung aller AnwendungsdatenSCC + EU-Region; Anbieter-Sitz USA
Datei-SpeicherVercel Blob (Vercel Inc.), USASpeicherung von Logos und Pass-GrafikenSCC + EU-US Data Privacy Framework
E-Mail-VersandResend Inc., USATransaktionale E-Mails (Login, Bestätigung, Double-Opt-In, Marketing-Bestätigungen)SCC + EU-US Data Privacy Framework
ZahlungsabwicklungStripe Payments Europe Ltd., Dublin, IrlandAbonnement-Verwaltung, SEPA/KreditkarteEU-Sitz; eigene Datenschutzerklärung Stripe
Apple Wallet & APNsApple Inc., Cupertino, USABereitstellung und Aktualisierung von Apple-Wallet-Pässen, Push-NachrichtenSCC + EU-US Data Privacy Framework
Google WalletGoogle Ireland Ltd., Dublin (Konzern: Google LLC, USA)Bereitstellung von Google-Wallet-PässenSCC + EU-US Data Privacy Framework

Drittlandübermittlung

Soweit personenbezogene Daten an Empfänger in Drittländern (insb. in die USA) übertragen werden, erfolgt dies auf Basis der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) und – soweit der Empfänger zertifiziert ist – ergänzend auf Grundlage des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework (Art. 45 DSGVO). Eine vollständige Liste unserer Subprozessoren finden Sie zudem in unserem AVV.

10. Zahlungsabwicklung (Stripe)

Für die Abwicklung kostenpflichtiger Abonnements setzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland ein. Bei einer Zahlung übermitteln wir an Stripe die für die Abwicklung erforderlichen Daten (Name, E-Mail, Rechnungsanschrift, ggf. Steuernummer, Vertragsdaten). Zahlungsdaten (z. B. Kreditkartennummer, IBAN) werden direkt zwischen Ihnen und Stripe ausgetauscht und auf Servern von Stripe verarbeitet; wir erhalten diese Daten nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen zum Datenschutz bei Stripe finden Sie unter stripe.com/de/privacy.

11. Kontaktaufnahme per E-Mail

Sie können sich per E-Mail an die im Impressum angegebene Adresse an uns wenden. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten (Name, E-Mail-Adresse, Inhalt der Nachricht, Zeitpunkt) ausschließlich zur Bearbeitung Ihrer Anfrage verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. – soweit Ihre Anfrage auf den Abschluss eines Vertrags abzielt – Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Erhebung nicht mehr erforderlich sind und keine Aufbewahrungspflichten entgegenstehen.

12. Automatisierte Entscheidungsfindung / Profiling

Im Rahmen des Kampagnen-Systems (z. B. Geburtstagsgutscheine, Reaktivierungs-Nachrichten) erfolgt eine regelbasierte Segmentierung von Endkundinnen und Endkunden anhand vorab vom Händler definierter Kriterien (Geburtstag, Inaktivität, Stempelstand etc.). Diese Verarbeitung erfolgt im Auftrag des Händlers. Eine automatisierte Entscheidung im Einzelfall, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt.

13. Ihre Rechte als betroffene Person

Wenn personenbezogene Daten von Ihnen verarbeitet werden, sind Sie betroffene Person im Sinne der DSGVO und es stehen Ihnen die folgenden Rechte gegenüber dem Verantwortlichen zu:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO) — insbesondere gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an die im Impressum genannte Kontaktadresse. Die zuständige Aufsichtsbehörde in Deutschland ist die Datenschutzbehörde des Bundeslandes, in dem wir unseren Sitz haben ([ZUSTÄNDIGE AUFSICHTSBEHÖRDE]).

14. Pflicht zur Bereitstellung der Daten

Die Bereitstellung der für die Vertragserfüllung notwendigen Daten (z. B. E-Mail, Rechnungsdaten) ist Voraussetzung für den Vertragsabschluss. Stellen Sie diese Daten nicht bereit, kann der Vertrag nicht zustande kommen. Im Übrigen ist die Bereitstellung Ihrer personenbezogenen Daten freiwillig.

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOM) ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Die Datenübertragung zwischen Ihrem Browser und unseren Servern erfolgt verschlüsselt per TLS 1.2 oder höher. Passwörter werden ausschließlich als gesalzene Hashes gespeichert. Eine Übersicht unserer TOM finden Sie als Anlage des AVV.

16. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den oben angegebenen Stand. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Fassung kann jederzeit unter [DOMAIN]/legal/datenschutz abgerufen werden.