Datenschutzerklärung

Stand: Mai 2026 · Gemäß DSGVO / BDSG

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

M. Bouchuari
Einsteinstr. 4
53123 Bonn
Deutschland

E-Mail: hello@stamp2go.de

2. Welche Daten wir erheben

Bei der Nutzung von Stamp2Go werden folgende Daten verarbeitet:

Bei der Registrierung:

  • Name bzw. Nickname
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Rolle (Betreiber oder Kunde)
  • Für Betreiber: Betriebsname, Adresse, Branche
  • Für Kunden (freiwillig): Postleitzahl und Geburtsjahr — zur anonymisierten Auswertung für Betreiber (keine Weitergabe als Rohdaten)

Bei der Nutzung:

  • Stempel-Scan-Zeitpunkte und zugehörige Promotionen
  • Stempelkartenstand (Anzahl gesammelter Stempel)
  • Eingelöste Belohnungen
  • Rechnungsadressdaten inkl. PLZ und Ort (nur für Betreiber, freiwillig)

3. Zweck und Rechtsgrundlage der Verarbeitung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung von Name, E-Mail und Nutzungsdaten ist erforderlich, um den Dienst bereitzustellen (Stempelkarten, QR-Code-Validierung, Rechnungsstellung).

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Zur Sicherheit des Dienstes und zur Missbrauchsprävention speichern wir QR-Token-Hashes und Scan-Zeitpunkte.

4. Datenspeicherung und Auftragsverarbeiter

Alle Daten werden in der Datenbank von Supabase gespeichert. Supabase ist ein US-amerikanischer Anbieter (Supabase Inc., 970 Trestle Glen Rd, Oakland, CA 94610, USA). Die Datenspeicherung erfolgt auf Servern in der EU (Frankfurt). Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Die Webapplikation wird auf der Plattform Vercel (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet technische Verbindungsdaten im Rahmen des Hostings. Es besteht ein DPA (Data Processing Agreement).

Zahlungen werden über Stripe (Stripe Payments Europe Ltd.) abgewickelt. Dabei übermitteln wir notwendige Rechnungsdaten an Stripe. Es gelten die Datenschutzbestimmungen von Stripe.

Transaktions-E-Mails (z. B. Registrierungsbestätigung, Rechnungen) werden über Resend (Resend Inc., USA) versendet. Es besteht ein Auftragsverarbeitungsvertrag. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Marketing- und Benachrichtigungs-E-Mails werden über Brevo (Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin) versandt. Es besteht ein Auftragsverarbeitungsvertrag. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Servicekommunikation).

5. Datenweitergabe innerhalb der Plattform

Betreiber, bei denen ein Endkunde eine Stempelkarte aktiviert hat, können im Rahmen des Dienstes folgende Daten einsehen:

  • Pseudonymisierte Kundennummer (Format: KD-YYYY-XXXX) — kein echter Name, keine E-Mail-Adresse
  • Aktueller Stempelstand und Anzahl eingelöster Belohnungen
  • Zeitpunkte der Stempel-Scans (Datum, für Auslösung der Belohnung)
  • Aggregierte Verhaltensauswertungen über alle Kunden: Scan-Verteilung nach Wochentag und Tageszeit, Einlösungsrate, aktive Kundenzahl, Neukunden-Trend — ausschließlich als anonymisierter Gesamtüberblick ohne Personenbezug
  • Anonymisierte Demografie-Auswertungen (Altersgruppen, häufigste PLZ-Gebiete) — nur wenn Endkunden freiwillig Geburtsjahr und Postleitzahl angegeben haben, und nur wenn eine Mindestanzahl an Datenpunkten vorhanden ist; niemals Rohdaten einzelner Personen

Diese Datenverarbeitung dient der Erbringung des Stempelkarten-Diensts und ist für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Betreiber sind verpflichtet, diese Daten nur im Rahmen des Stempelkartenprogramms zu verwenden und nicht an Dritte weiterzugeben.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Rechnungsdaten werden gemäß § 147 AO für 10 Jahre aufbewahrt. Nach Kündigung des Kontos werden alle persönlichen Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

7. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Löschung deiner Daten ("Recht auf Vergessenwerden")
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt deiner Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung

Zur Ausübung deiner Rechte wende dich an: hello@stamp2go.de

Du hast außerdem das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), www.ldi.nrw.de.

8. Cookies und Tracking

Stamp2Go verwendet ausschließlich technisch notwendige Cookies zur Aufrechterhaltung der Anmeldesitzung (Session-Cookie von Supabase Auth). Es werden keine Tracking-Cookies, keine Analyse-Tools und keine Werbecookies eingesetzt.

9. Sicherheit

Alle Datenübertragungen erfolgen verschlüsselt über HTTPS/TLS. QR-Codes sind mit JWT signiert und haben eine maximale Gültigkeit von 10 Minuten. Passwörter werden ausschließlich als bcrypt-Hash gespeichert und niemals im Klartext übertragen oder gespeichert.

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der Rechtslage anzupassen. Die aktuelle Version ist stets unter stamp2go.de/datenschutz abrufbar.