Datenschutzerklärung

1. Verantwortlicher und Kontakt

Verantwortlicher für die in dieser Erklärung beschriebene Verarbeitung ist:

• QR-Verse
• Betrieben aus der Europäischen Union
• support@qr-verse.com
• Datenschutzbeauftragter (DSB): support@qr-verse.com - bitte schreiben Sie "DPO" in den Betreff, damit die E-Mail korrekt zugewiesen wird.
• EU-Vertreter: Nicht gesondert benannt - der Verantwortliche ist in der Europäischen Union niedergelassen, ein Vertreter nach Artikel 27 ist daher nicht erforderlich.
• Federführende Aufsichtsbehörde: Autoriteit Persoonsgegevens (AP), die niederländische Datenschutzbehörde - https://autoriteitpersoonsgegevens.nl. In Deutschland können Sie sich auch an die für Sie örtlich zuständige Landesdatenschutzbehörde oder an die BfDI wenden.

2. Kategorien personenbezogener Daten, die wir verarbeiten

Wir erheben nur, was wir für die Erbringung des Dienstes benötigen. Jede Kategorie unten beschreibt, was wir speichern und warum.

• Kontodaten

  E-Mail-Adresse, Anzeigename, Spracheinstellung, Passwort-Hash (außer bei OAuth) und OAuth-Identifier von Google oder Apple, sofern Sie sich darüber anmelden.

• Abo- und Abrechnungsdaten

  Stripe-Kundennummer, Tarifstufe, Abo-Status, Rechnungshistorie, Land für die Umsatzsteuer und die letzten 4 Ziffern der Karte. Vollständige Kartennummern sehen oder speichern wir nie - das übernimmt Stripe.

• QR-Code-Metadaten

  Die von Ihnen erstellten QR-Codes, deren Ziel-URLs (bei dynamischen Codes), die von Ihnen vergebenen Namen, Typ (URL, vCard, WLAN usw.) und die Style-Parameter, die Sie wählen.

• Scan-Statistiken

  Zeitstempel jedes Scans, aus der IP-Adresse des Scannenden abgeleitetes Land (die IP selbst wird nie gespeichert), Geräteklasse (Mobil/Desktop/Tablet) und grobe Betriebssystem-Familie. Alle Scan-Datensätze sind pseudonymisiert - sie können nicht auf einzelne Personen zurückgeführt werden.

• AI-Art-Generierungen

  Der von Ihnen eingegebene Text-Prompt, die verwendeten Parameter (Stil, ControlNet-Stärke, Seed) und das resultierende Bild. Gespeichert, damit Sie erneut herunterladen oder regenerieren können. Wird nicht zum Training von Drittmodellen verwendet.

• E-Mail-Logs

  Zustellungs-, Bounce-, Öffnungs- und Klick-Ereignisse für transaktionale und Marketing-E-Mails, geliefert von unserem E-Mail-Anbieter Resend. Verwendet zur Zustellbarkeitsüberwachung und zur Unterdrückung bouncender Adressen.

• Cookie-Einwilligungslog

  Wenn Sie Cookie-Einstellungen akzeptieren, ablehnen oder ändern, speichern wir die gewählten Kategorien, die zu diesem Zeitpunkt aktive consent_version und den Zeitstempel. Dies ist die nach Artikel 7(1) DSGVO erforderliche Nachweisspur.

3. Rechtsgrundlagen (Artikel 6 DSGVO)

Wir stützen uns auf die folgenden Rechtsgrundlagen. Jede ist den oben genannten Datenkategorien zugeordnet:

• Vertragserfüllung (Artikel 6 Abs. 1 lit. b)

  Konto-, Abo- und Abrechnungsdaten sowie QR-Code-Metadaten - ohne sie können wir den Dienst nicht erbringen.

• Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f)

  Aggregierte Scan-Statistiken (Sicherheit, Betrugsprävention, Kapazitätsplanung), Fehlerlogs und Audit-Pfade. Wir haben Ihre Interessen gegen unsere abgewogen und die Abwägung intern dokumentiert.

• Einwilligung (Artikel 6 Abs. 1 lit. a)

  Marketing-E-Mails, nicht-essenzielle Cookies (Analyse, Marketing, Affiliate) und AI-Art-Prompt-Verlauf über aktive Sitzungen hinaus. Sie können die Einwilligung jederzeit widerrufen, ebenso einfach wie die Erteilung.

• Rechtliche Verpflichtung (Artikel 6 Abs. 1 lit. c)

  Rechnungen und Abo-Daten werden 7 Jahre aufbewahrt, um den Steuergesetzen (deutsches AO § 147, niederländisches Belastingdienst, vergleichbare EU-Regeln) zu entsprechen.

4. Empfänger und Auftragsverarbeiter

Wir arbeiten mit einem kleinen, sorgfältig gewählten Kreis von Auftragsverarbeitern. Sie verarbeiten Daten ausschließlich nach unseren schriftlichen Weisungen und auf Basis eines Auftragsverarbeitungsvertrags (AVV/DPA).

Vollständige Liste der Auftragsverarbeiter: /legal/subprocessors

5. Internationale Datenübermittlungen

Der Großteil Ihrer Daten verbleibt in der EU. Einige Auftragsverarbeiter agieren aus den USA. Für jede US-Übermittlung stützen wir uns auf die Standardvertragsklauseln (SCCs, 2021/914) der Europäischen Kommission, die im jeweiligen AVV unterzeichnet sind.

• Stripe (Teil der Zahlungsdaten) - SCCs + ergänzende Maßnahmen von Stripe.
• Resend (E-Mail-Metadaten) - SCCs + EU-US-Datenschutzrahmen (sofern anwendbar).
• Sentry (Fehler-Stacktraces, von personenbezogenen Daten bereinigt) - SCCs + EU-Region als Standard.
• Impact / pxf.io (Affiliate-Cookies, nur nach Einwilligung) - SCCs.
• Cloudflare (Edge-Datentransit) - SCCs.

Wir übermitteln keine personenbezogenen Daten an Auftragsverarbeiter in Ländern ohne Angemessenheitsbeschluss, sofern sie nicht durch SCCs und ergänzende technische Maßnahmen (Verschlüsselung in der Übertragung und im Ruhezustand) abgesichert sind.

6. Speicherfristen

Wir speichern personenbezogene Daten nur so lange, wie es notwendig ist. Konkrete Fristen:

• Aktives Konto

  Unbestimmt, solange Ihr Abo oder kostenloses Konto aktiv ist.

• Gelöschtes Konto

  30-tägige Karenzzeit nach Ihrem Löschwunsch. Während der Karenzzeit ist Ihr Konto gesperrt und wiederherstellbar. Nach 30 Tagen erfolgt die endgültige Löschung und Identifikatoren werden entfernt.

• Abo- und Rechnungsdaten

  7 Jahre ab Rechnungsdatum. Vorgeschrieben durch deutsches Steuerrecht (AO § 147), niederländisches Belastingdienst-Recht und vergleichbare EU-Regeln.

• Scan-Statistiken

  Roh-Datensätze: 90 Tage. Danach Aggregation auf Land/Tag und Löschung der Detail-Datensätze.

• Cookie-Einwilligungslog

  12 Monate ab Datum der Entscheidung. Vorgegeben durch Leitlinien der CNIL und des EDPB zur Einwilligungsdokumentation.

• E-Mail-Logs

  24 Monate. Verwendet für Zustellbarkeitsüberwachung und Bounce-Unterdrückung.

• Backups

  Verschlüsselte Backups laufen nach 35 Tagen aus. Bei einer Löschung stellen wir Ihre Daten nicht aus dem Backup wieder her, sofern nicht gesetzlich erforderlich.

7. Ihre Rechte nach der DSGVO

Sie haben die folgenden Rechte bezüglich Ihrer personenbezogenen Daten. Die meisten können Sie direkt aus Ihrem Konto ausüben; für andere schreiben Sie an support@qr-verse.com - wir antworten innerhalb von 30 Tagen.

• Auskunftsrecht (Artikel 15)

  Laden Sie eine vollständige Kopie Ihrer Daten als ZIP-Archiv herunter.

  Meine Daten exportieren->

• Recht auf Berichtigung (Artikel 16)

  Unrichtige personenbezogene Daten korrigieren.

  Profil bearbeiten->

• Recht auf Löschung (Artikel 17)

  Konto und personenbezogene Daten dauerhaft löschen. Die Löschung hat eine 30-tägige Karenzzeit, in der Sie sie zurückziehen können.

  Mein Konto löschen->

• Recht auf Einschränkung (Artikel 18)

  Wir beschränken die Verarbeitung, solange eine Beschwerde oder Korrektur läuft.

  Mail an support@qr-verse.com->

• Recht auf Datenübertragbarkeit (Artikel 20)

  Erhalten Sie Ihre Daten in strukturiertem, maschinenlesbarem Format (JSON in einem ZIP) und übertragen Sie sie an einen anderen Verantwortlichen.

  Meine Daten exportieren->

• Widerspruchsrecht (Artikel 21)

  Widersprechen Sie der Verarbeitung zu Marketingzwecken oder auf Basis berechtigter Interessen. Marketing-E-Mails können Sie direkt abbestellen.

  E-Mail-Einstellungen->

• Widerruf der Einwilligung (Artikel 7 Abs. 3)

  Cookie- oder Marketing-Einwilligung jederzeit widerrufen. So einfach wie die Erteilung.

  Cookie-Einstellungen->

• Beschwerderecht (Artikel 77)

  Reichen Sie Beschwerde bei der zuständigen Aufsichtsbehörde Ihres EU-Mitgliedstaats ein. Unsere federführende Behörde ist die niederländische AP. Sie können sich auch an Ihre lokale Behörde wenden.

  Aufsichtsbehörde finden->

8. Cookies und ähnliche Technologien

Wir verwenden vier Cookie-Kategorien. Nur notwendige Cookies sind standardmäßig aktiv; alles andere ist strikt einwilligungsbasiert.

Wenn wir einen neuen Anbieter aufnehmen oder eine Kategoriebeschreibung ändern, erhöhen wir CONSENT_VERSION (siehe Audit-Log unter /api/account/cookie-consent), und das Banner fragt alle Besucher erneut um Einwilligung.

9. Sicherheitsmaßnahmen

Wir folgen den üblichen Sicherheitspraktiken für EU-SaaS:

• TLS 1.2+ für den gesamten Datenverkehr zwischen Ihnen und unserem Edge (Cloudflare).
• Verschlüsselung im Ruhezustand für die Supabase-Postgres-Datenbank und die Storage-Buckets.
• Row-Level Security (RLS) auf jeder Nutzer-Tabelle - Nutzer können nur ihre eigenen Daten lesen.
• Geheimnisse werden in Umgebungsvariablen gespeichert, niemals in der Versionskontrolle.
• Sentry-Alarme bei Laufzeitfehlern, mit automatischem PII-Scrubbing.
• Penetrationstest-Review bei größeren Releases; Bug Bounty verfügbar - mailen Sie support@qr-verse.com.
• Backups verschlüsselt mit AES-256, rollierende 35-Tage-Aufbewahrung, ausschließlich EU.
• Zwei-Faktor-Authentifizierung verpflichtend für alle Founder-Konten und für jeden Nutzer verfügbar.

10. Kinder

QR-Verse richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16. Wenn Sie Elternteil oder Vormund sind und glauben, Ihr Kind habe ein Konto erstellt, schreiben Sie an support@qr-verse.com - wir löschen das Konto innerhalb von 5 Werktagen. Wo lokales Recht ein höheres Mindestalter für die digitale Einwilligung vorsieht (z. B. 16 in NL/DE, 15 in FR), gilt das höhere Alter.

11. Änderungen dieser Erklärung

Bei wesentlichen Änderungen:

• Wir aktualisieren Version und Gültigkeitsdatum oben auf dieser Seite.
• Wir benachrichtigen alle Nutzer mindestens 30 Tage vor dem Inkrafttreten per E-Mail.
• Sind Cookie-Kategorien betroffen, erhöhen wir CONSENT_VERSION, sodass das Banner alle Besucher erneut fragt.
• Wir bewahren ein Archiv früherer Versionen auf und verlinken es oben auf dieser Seite.

12. Kontakt

Bei Fragen zum Datenschutz, Anfragen Betroffener oder DPO-Themen:

Wir bestätigen Anfragen in der Regel innerhalb von 72 Stunden und bearbeiten sie innerhalb von 30 Tagen, wie nach Artikel 12 Abs. 3 DSGVO erforderlich.