Datenschutzerklärung für Stempely Admin

1. Verantwortlicher

2. Übersicht der Datenverarbeitung

Stempely Admin ist ein cloudbasiertes B2B-Portal zur Verwaltung digitaler Treueprogramme. Bei der Nutzung werden verschiedene Daten verarbeitet:

2.1 Kategorien verarbeiteter Daten

Datenkategorie	Beispiele
Geschäftsdaten	Firmenname, Adresse, E-Mail, Logo
Zugangsdaten	E-Mail, verschlüsseltes Passwort
Zahlungsdaten	Stripe Customer ID, Abo-Status
Kundendaten (Ihrer Kunden)	Kunden-ID, Stempelstand, FCM-Token
Nutzungsdaten	Login-Zeitpunkte, Aktionen im Portal

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer Daten erfolgt auf folgenden Rechtsgrundlagen gemäß DSGVO:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Bereitstellung des Stempely Admin Portals und seiner Funktionen
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung für Support, Sicherheit und Verbesserung unserer Dienste
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Aufbewahrung von Rechnungsdaten gemäß steuerrechtlicher Vorschriften

4. Verarbeitungszwecke im Detail

4.1 Kontoerstellung und -verwaltung

Zweck: Einrichtung und Verwaltung Ihres Geschäftskontos

Daten: Firmenname, E-Mail, Passwort (gehasht), Adresse

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Bis zur Kontolöschung, dann 30 Tage Karenzzeit

4.2 Zahlungsabwicklung über Stripe

Zweck: Abrechnung kostenpflichtiger Abonnements

Daten: E-Mail, Stripe Customer ID, Zahlungsmethode (bei Stripe gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: Rechnungsdaten 10 Jahre (§ 147 AO)

4.3 Cloud-Speicherung über Firebase/Firestore

Zweck: Speicherung von Geschäfts- und Kundendaten

Daten: Alle in Firestore gespeicherten Daten (Shops, Kunden, Stempel)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

4.4 Push-Benachrichtigungen über Firebase Cloud Messaging (FCM)

Zweck: Versand von Push-Nachrichten an Ihre Kunden

Daten: FCM-Token der App-Nutzer, Nachrichteninhalt

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

4.5 Authentifizierung

Zweck: Sichere Anmeldung im Admin-Portal

Daten: E-Mail, Passwort-Hash, Session-Token

Technologie: NextAuth.js mit JWT (30 Tage Gültigkeit)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

5. Auftragsverarbeitung (Ihre Kundendaten)

Wenn Sie das Stempely Admin Portal nutzen, verarbeiten wir auch Daten Ihrer Kunden (App-Nutzer) in Ihrem Auftrag:

• Kunden-UUID (anonyme Kennung)
• Stempelstand und Belohnungen
• FCM-Token für Push-Nachrichten
• Letzte Aktivität (Zeitstempel)

Ihre Rolle: Sie sind Verantwortlicher für diese Daten gemäß Art. 4 Nr. 7 DSGVO.
Unsere Rolle: Wir sind Auftragsverarbeiter gemäß Art. 28 DSGVO.

Die Auftragsverarbeitung ist im Auftragsverarbeitungsvertrag (AVV) geregelt, der Bestandteil unserer AGB ist.

6. Empfänger und Drittländer

6.1 Kategorien von Empfängern

Empfänger	Zweck	Standort
Google Firebase	Datenbank, Push-Nachrichten	EU (Belgien) / USA
Stripe	Zahlungsabwicklung	USA
Vercel	Hosting	EU / USA

6.2 Drittlandtransfer (USA)

Einige unserer Dienstleister haben ihren Sitz in den USA. Der Datentransfer erfolgt auf Grundlage von:

• EU-US Data Privacy Framework: Für zertifizierte US-Unternehmen (Google, Stripe)
• Standardvertragsklauseln (SCCs): Als ergänzende Schutzmaßnahme

7. Speicherdauer

Datenkategorie	Speicherdauer
Kontodaten	Bis Kontolöschung + 30 Tage
Kundendaten (Ihrer Kunden)	Bis Kontolöschung + 60 Tage
Rechnungsdaten	10 Jahre (steuerrechtlich)
Log-Daten	90 Tage

8. Cookies und Tracking

Das Stempely Admin Portal verwendet:

• Notwendige Cookies: Session-Cookie für Authentifizierung (NextAuth)
• Keine Marketing-Cookies: Wir verwenden keine Tracking- oder Werbe-Cookies
• Keine Analytics: Keine Integration von Google Analytics oder ähnlichen Diensten

9. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über die von uns verarbeiteten Daten verlangen.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger Daten verlangen. Im Portal können Sie Ihre Daten selbst ändern unter Einstellungen.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9.4 Recht auf Einschränkung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen.

9.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten Format erhalten. Export-Funktion ist im Portal verfügbar.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung aus Gründen Ihrer besonderen Situation widersprechen.

9.7 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein:

• Verschlüsselung: TLS 1.3 für alle Datenübertragungen
• Passwort-Hashing: bcrypt mit Salt
• Zugangskontrolle: JWT-basierte Authentifizierung
• Firestore Security Rules: Zugriffskontrolle auf Datenbankebene
• Regelmäßige Backups: Durch Firebase automatisiert

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Bei wesentlichen Änderungen informieren wir Sie per E-Mail. Die aktuelle Version finden Sie immer unter dieser URL.

12. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter: