Stand: 20. April 2026 · Gilt für https://stempelkarte.app und alle Sub-Domains.
Verantwortlich für die Datenverarbeitung auf dieser Website und im Produkt Stempelkarte.app ist:
candybytes GmbH
Sophiengutstraße 20
4020 Linz, Österreich
E-Mail: support@stempelkarte.app
Datenschutz-Anfragen: support@stempelkarte.app
Wir verarbeiten personenbezogene Daten ausschließlich zweck- und datensparsam auf Grundlage der DSGVO. Diese Erklärung informiert gemäß Art. 13 & 14 DSGVO, welche Daten wir in welchem Kontext verarbeiten.
Beim Aufruf unserer Seiten werden Server-Logs erzeugt (IP-Adresse, User-Agent, aufgerufene URL, Zeitstempel, Referrer). Diese Daten sind technisch notwendig zur Auslieferung der Website und werden nach 30 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am sicheren Betrieb der Website.
Cookies: Wir verwenden keine Marketing-, Tracking- oder Analyse-Cookies. Deshalb zeigen wir auch keinen Cookie-Banner. Einzig ein technisch notwendiges Session-Cookie wird beim Login gesetzt (Art. 6 Abs. 1 lit. b DSGVO).
Für die Nutzung des Stempelkarte.app-Dashboards benötigen wir: Name, E-Mail-Adresse, Merchant-Name, optional USt-ID und Zahlungsinformationen. Authentifizierung erfolgt über Firebase Authentication (Google LLC, siehe Abschnitt 10).
Zweck: Vertragserfüllung (SaaS-Bereitstellung), Abrechnung, Support-Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. §§ 124 ff. BAO zur Aufbewahrung steuerlicher Unterlagen).
Speicherdauer: Für die Dauer des Vertragsverhältnisses plus gesetzliche Aufbewahrungsfristen (7 Jahre nach österreichischem UGB / BAO für Rechnungen).
Wenn du als Gast eine Stempelkarte erstellst, generieren wir eine anonyme Karten-ID. Eine E-Mail-Adresse ist nur optional erforderlich, wenn du deine Karte auf einem neuen Gerät wiederherstellen willst. Wir verkaufen oder vermieten diese Daten nicht und kombinieren sie nicht mit Daten anderer Quellen.
Zweck: Betrieb des Loyalty-Programms — Wiedererkennen der Karte beim Stempeln, Push-Benachrichtigung bei erreichter Belohnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsverhältnis zwischen dir und dem Merchant, bei dem du die Karte führst — wir sind Auftragsverarbeiter).
Speicherdauer: Solange die Karte aktiv ist. Nach 90 Tagen Inaktivität werden personenbezogene Daten automatisch gelöscht (Art. 17 DSGVO). Anonymisierte statistische Aggregate (ohne Personenbezug) bleiben erhalten.
Bei jedem Stempel-Vorgang protokollieren wir Zeitstempel, ID des stempelnden Staff-Users, IP-Adresse (zur Fraud-Erkennung), die betroffene Karten-ID und den programmspezifischen Zählerstand. Ohne dieses Audit-Log ließen sich betrügerische Stempel (z. B. Gäste, die sich selbst stempeln) nicht erkennen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse des Merchants an Missbrauchsschutz.
Speicherdauer: Maximal 24 Monate ab Transaktion.
Zur Integration in Apple Wallet und Google Wallet übermitteln wir Pass-relevante Daten (Kartenname, Farbe, Stempelstand, Belohnung, QR-Code) an die entsprechenden Wallet-APIs. Die Wallet-Anbieter verarbeiten diese Daten eigenverantwortlich gemäß ihren Datenschutzbestimmungen (siehe Abschnitt 10). Für Push-Updates auf dein Gerät speichern wir die von der Wallet bereitgestellte Push-Token-ID.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — ohne Wallet-Pass kein Produkt).
Wir geben personenbezogene Daten nur an Auftragsverarbeiter weiter, mit denen ein AVV gemäß Art. 28 DSGVO besteht, oder wenn wir rechtlich dazu verpflichtet sind.
Alle Produktiv-Daten (Merchant-Konten, Karten, Stempel-Transaktionen) liegen ausschließlich auf Google-Cloud-Servern in Frankfurt am Main (Region europe-west3). Eine Übermittlung in Drittländer findet im Produktbetrieb nicht statt.
Apple Wallet und Google Wallet sind jedoch US-Dienste: Zur Bereitstellung der Pässe übermitteln wir bestimmte Pass-Daten an diese Anbieter. Beide haben gemäß EU-US Data Privacy Framework die Angemessenheit bestätigt bekommen (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Alle Dienste werden in der Region europe-west3 (Frankfurt) bzw. europe-west4 (Niederlande) betrieben. AVV ist abgeschlossen.
Datenschutzerklärung: https://policies.google.com/privacy
Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Übermittelt werden Pass-Daten und Push-Token.
Datenschutzerklärung: https://www.apple.com/legal/privacy/
Anbieter: Google Ireland Limited. Übermittelt werden Pass-Klasse, Pass-Objekt, Stempelstand, Bild-URLs.
Datenschutzerklärung: https://policies.google.com/privacy
Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Für die Abrechnung von Business- und Scale-Tarifen.
Datenschutzerklärung: https://stripe.com/at/privacy
Du hast nach DSGVO jederzeit folgende Rechte uns gegenüber:
Self-Service für Endkunden: stempelkarte.app/datenschutz/anfrage — E-Mail eingeben, wir schicken dir einen Magic-Link; darüber kannst du deine Daten als JSON-Export herunterladen oder die komplette Löschung beantragen. Bearbeitung in Echtzeit, ohne Support-Ticket.
Für alle anderen Fälle (Berichtigung, Einschränkung, Widerspruch): formlos an support@stempelkarte.app — wir beantworten Anfragen innerhalb der gesetzlichen 30-Tage-Frist (Art. 12 Abs. 3 DSGVO).
Dir steht zudem das Recht auf Beschwerde bei der Datenschutzbehörde zu. Die zuständige österreichische Behörde ist die Datenschutzbehörde (dsb.gv.at), Barichgasse 40–42, 1030 Wien.
Wenn du als Merchant Stempelkarte.app einsetzt, bist du im Sinne der DSGVO der Verantwortliche für die Daten deiner Gäste. Wir sind Auftragsverarbeiter. Der dafür notwendige AVV-Vertrag steht auf Anfrage zur Verfügung und wird Teil deiner Nutzungsvereinbarung mit uns:
AVV (Auftragsverarbeitungsvertrag) anfordern
Du bekommst beim Onboarding automatisch eine digital gegengezeichnete Kopie per E-Mail.
Wir verwenden TLS-1.3 für sämtliche Verbindungen, HMAC-SHA256 zur Signatur von Wallet-Tokens, und Datenbank-Verschlüsselung at-rest über Google Cloud. Zugriff auf Produktiv-Daten ist auf das notwendige Personal beschränkt (Principle of Least Privilege). Jede interne Änderung wird via Audit-Log protokolliert.
Wir passen diese Erklärung an, wenn sich die verarbeiteten Daten, Rechtsgrundlagen oder eingesetzten Dienste ändern. Die jeweils aktuelle Version findest du stets unter stempelkarte.app/datenschutz. Wesentliche Änderungen kommunizieren wir aktiv per E-Mail an alle aktiven Merchants.
