Sicherheit & Datenschutz bei QR-Verse
Sie haben das Recht zu wissen, wie Ihre Daten gespeichert, verarbeitet und geschützt werden. Keine vagen Versprechen - nur Fakten. QR-Verse läuft auf EU-gehosteter Infrastruktur, ist DSGVO-konform und gibt Ihnen die volle Kontrolle über Ihre Daten.
Infrastruktur
Wo Ihre Daten gespeichert sind und wie sie bereitgestellt werden.
EU-Hosting (Hetzner, Deutschland)
Die Anwendungsserver laufen in den Hetzner-Cloud-Rechenzentren in Deutschland. Ihre Daten verlassen die Europäische Union nicht.
Hetzner Online GmbH, Nürnberg & Falkenstein, DE
Datenbank (Supabase / PostgreSQL)
Alle QR-Code-Daten und Benutzerkonten werden in PostgreSQL mit Row Level Security gespeichert. Tägliche automatische Backups mit Point-in-Time-Recovery.
EU-Region, verschlüsselt im Ruhezustand (AES-256)
CDN & DDoS-Schutz (Cloudflare)
Der gesamte Datenverkehr läuft über Cloudflare für Edge-Caching, weltweite Verfügbarkeit und DDoS-Mitigation. Cloudflare verarbeitet Daten unter DSGVO-konformen Bedingungen.
Anycast-Netzwerk, 300+ PoPs weltweit
Verschlüsselung
Datenschutz bei der Übertragung und im Ruhezustand.
Bei der Übertragung
- TLS 1.2+ für alle Verbindungen erzwungen
- HSTS (HTTP Strict Transport Security) aktiviert
- Automatische Weiterleitung von HTTP zu HTTPS
- Sichere Cookies mit SameSite- und Secure-Attributen
Im Ruhezustand
- AES-256-Verschlüsselung für gespeicherte Daten
- bcrypt-Hashing für Passwörter (niemals als Klartext gespeichert)
- Verschlüsselte Datenbank-Backups
- Zahlungsdaten werden von Stripe verarbeitet - wir sehen niemals Kartennummern
Was wir erheben und was nicht
Transparenz über jeden Datenpunkt.
Was wir erheben
- E-Mail-Adresse des Kontos
- QR-Code-Inhalt und Ziel-URLs
- Scan-Analysen: Gerätetyp, Standort auf Stadtebene, Zeitstempel
- Zahlungsinformationen, verarbeitet über Stripe (wir sehen niemals Kartennummern)
- IP-Adresse bei der Kontoerstellung (nur aus Sicherheitsgründen, nicht langfristig gespeichert)
Was wir nicht erheben
- Browserverlauf von Scan-Zielseiten
- Persönliche Identität von Personen, die Ihre QR-Codes scannen
- Biometrische Daten jeglicher Art
- Daten von Drittanbieter-Trackern auf Scan-Seiten (wir verwenden keine)
- Standortdaten, die genauer als Stadtebene sind
- Social-Media-Profile oder plattformübergreifendes Tracking
DSGVO-Konformität
Ihre Rechte gemäß DSGVO - und wie wir sie einhalten.
Auskunftsrecht
Sie können jederzeit über Ihre Kontoeinstellungen eine vollständige Exportanfrage aller Daten stellen, die wir über Sie gespeichert haben.
Recht auf Datenübertragbarkeit
Exportieren Sie Ihre QR-Codes, Scandaten und Kontoinformationen in Standardformaten (CSV, JSON). Ihre Daten, Ihre Entscheidung.
Recht auf Löschung
Löschen Sie Ihr Konto und alle zugehörigen Daten jederzeit. Die Löschung ist nach der 30-tägigen Schonfrist permanent und nicht rückgängig zu machen.
Kein Datenverkauf
Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht mit Dritten zu Marketing- oder Werbezwecken. Das ist ein absoluter Grundsatz.
Analytics Opt-in für Scanner
Scan-Analysen sind für die Personen, die Ihre QR-Codes scannen, opt-in-basiert. Auf Scan-Seiten werden keine dauerhaften Cookies gesetzt.
Auftragsverarbeitungsvertrag
Business-Kunden können einen AVV (Auftragsverarbeitungsvertrag) per E-Mail an [email protected] anfordern.
Was bei einer Kündigung passiert
Wir möchten, dass Sie darauf vertrauen können, dass Ihre Arbeit sicher ist - auch wenn Sie uns verlassen.
QR-Codes leiten weiterhin weiter
Ihre dynamischen QR-Codes funktionieren auch nach der Kündigung weiterhin. Wir unterbrechen keine Weiterleitungsketten nur weil ein Abonnement abläuft.
Analytics pausiert, nicht gelöscht
Scan-Analysen werden beim Wechsel zur kostenlosen Version pausiert. Ihre historischen Daten bleiben erhalten und sind nach einer Reaktivierung wieder zugänglich.
Export vor dem Löschen
Sie können Ihre QR-Codes, Scandaten und Kontoinformationen jederzeit exportieren - auch nach der Kündigung, während der 30-tägigen Schonfrist.
30-tägige Schonfrist
Nach der Kündigung bleibt Ihr Konto 30 Tage lang vollständig zugänglich. Danach wird das Konto für weitere 60 Tage archiviert (nicht sofort gelöscht).
Responsible Disclosure
Sicherheitsproblem entdeckt? Wir möchten es wissen.
Kontakt: [email protected]
Senden Sie uns eine E-Mail mit einer Beschreibung des Problems, den Reproduktionsschritten und Ihrer Einschätzung des Schweregrads. PGP-Schlüssel auf Anfrage erhältlich.
Bestätigung innerhalb von 48 Stunden
Wir verpflichten uns, jeden Sicherheitsbericht innerhalb von 48 Stunden zu bestätigen. Bei kritischen Schwachstellen streben wir einen Patch innerhalb von 7 Tagen an.
Gutgläubige Forscher geschützt
Wir werden keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die Schwachstellen in gutem Glauben offenlegen, unsere Richtlinien befolgen und keine Benutzerdaten abrufen oder ändern.
Hall of Fame
Forscher, die valide Schwachstellen verantwortungsbewusst offenlegen, werden in unserer Sicherheits-Hall-of-Fame aufgeführt (mit Genehmigung).
Häufig gestellte Fragen
Ist QR-Verse DSGVO-konform?
Ja. QR-Verse ist auf DSGVO-Konformität ausgelegt. Unsere Server werden in Deutschland (EU) gehostet, wir verarbeiten nur notwendige Daten, bieten vollständige Datenexport- und Löschungsrechte, verwenden keine Drittanbieter-Tracker und verkaufen keine Nutzerdaten. Business-Kunden können einen Auftragsverarbeitungsvertrag anfordern.
Wo werden meine QR-Codes gespeichert?
Alle QR-Code-Daten werden in einer PostgreSQL-Datenbank gespeichert, die in der EU-Region auf Supabase gehostet wird. Die Datenbank verwendet Row Level Security, damit jeder Nutzer nur auf seine eigenen Daten zugreifen kann. Backups sind verschlüsselt und in derselben EU-Region gespeichert.
Was passiert mit meinen Daten, wenn ich kündige?
Nach der Kündigung leiten Ihre QR-Codes weiterhin weiter. Analytics werden pausiert, aber Ihre historischen Daten bleiben erhalten. Sie haben eine 30-tägige Schonfrist mit vollem Kontozugriff, um alles zu exportieren. Danach wird das Konto 60 weitere Tage archiviert, bevor es endgültig gelöscht wird.
Verkaufen Sie Nutzerdaten?
Nein. Wir verkaufen, vermieten oder teilen Nutzerdaten nicht mit Dritten zu Marketing- oder Werbezwecken. Unser Geschäftsmodell basiert auf Abonnements. Ihre Daten werden ausschließlich zur Bereitstellung des QR-Verse-Dienstes für Sie verwendet.
Sind meine Scandaten anonym?
Ja. Wir erheben Gerätetyp, Browser, Betriebssystem, ungefähren Standort auf Stadtebene und Zeitstempel. Wir erheben keine Namen, E-Mail-Adressen oder sonstige personenbezogene Daten von Personen, die Ihre QR-Codes scannen. Auf Scan-Seiten werden keine Cookies gesetzt.
Wie gehen Sie mit Sicherheitslücken um?
Sicherheitsprobleme sollten an [email protected] gemeldet werden. Wir bestätigen Meldungen innerhalb von 48 Stunden, priorisieren Korrekturen nach Schweregrad und schützen gutgläubige Forscher vor rechtlichen Schritten. Wir haben derzeit kein Bug-Bounty-Programm, pflegen aber eine Hall of Fame.
Kann ich meine Daten exportieren?
Ja. Sie können Ihre QR-Codes und Scan-Analytics jederzeit als CSV oder JSON aus Ihren Kontoeinstellungen exportieren. Dies ist für alle Tarife verfügbar, einschließlich kostenlos. Sie können auch einen vollständigen Kontodaten-Export anfordern, indem Sie den Support kontaktieren.
Haben Dritte Zugriff auf meine QR-Code-Daten?
Unsere Infrastrukturpartner (Hetzner für Hosting, Supabase für die Datenbank, Cloudflare für CDN, Stripe für Zahlungen) haben im Rahmen der Dienstbereitstellung begrenzten, notwendigen Zugriff. Keiner dieser Partner darf Ihre Daten für eigene Zwecke verwenden. Wir teilen keine Daten mit Werbetreibenden, Datenbrokern oder Analyseplattformen.
Beginnen Sie mit der Erstellung sicherer QR-Codes
EU-gehostet, DSGVO-konform und transparent über jeden Datenpunkt. Kostenlos starten.