1. Einleitung
Diese Datenschutzerklärung informiert Sie darüber, wie personenbezogene Daten bei der Nutzung der
KaffeePass-App, der Website sowie des gesamten KaffeePass-Systems verarbeitet werden. Wir gehen
verantwortungsvoll und transparent mit Ihren Daten um und erfüllen alle Anforderungen der DSGVO.
2. Verantwortlicher im Sinne der DSGVO
Majd Suleiman
Reichenbergstr. 14
38114 Braunschweig
Deutschland
E-Mail: info@kaffeepass.de
3. Kategorien personenbezogener Daten
3.1 Nutzerdaten der App
– Name
– E-Mail-Adresse
– Verschlüsseltes Passwort
– Standortdaten (nach aktiver Zustimmung)
– Nutzungsdaten (eingelöste Kaffees, Datum/Uhrzeit, QR-Scans)
3.2 Zahlungsdaten
– Zahlungsstatus (über Stripe/PayPal)
– Tokenisierte Zahlungsinformationen
KaffeePass speichert keine vollständigen Zahlungsdaten.
3.3 Technische Daten
– IP-Adresse
– Browser-/Geräteinformationen
– Server-Logs
– App-spezifische technische Daten
3.4 Gastronomiedaten
– Betrieb: Name, Adresse, Öffnungszeiten
– Ansprechpartner: Name, E-Mail, Telefon
– Anzahl ausgelöster Kaffees (statistisch, anonymisiert)
4. Zwecke der Datenverarbeitung
4.1 Bereitstellung der App (Art. 6 Abs.1 lit. b DSGVO)
– Registrierung
– Login
– Einlösen des Kaffees
– Standortbasierte Funktionen
– Anzeige der teilnehmenden Gastronomien
4.2 Abrechnung & Statistiken (Art. 6 Abs.1 lit. b und f DSGVO)
– Erstellung anonymisierter Auswertungen für teilnehmende Gastronomien
– Keine Weitergabe von Klarnamen
4.3 Sicherheit & Betrugsprävention (Art. 6 Abs.1 lit. f DSGVO)
– Missbrauchsvermeidung
– Sicherstellung fairer Nutzung und Systemsicherheit
4.4 Support (Art. 6 Abs.1 lit. b und f DSGVO)
– Bearbeitung von Supportanfragen per E-Mail
4.5 Erfüllung gesetzlicher Pflichten (Art. 6 Abs.1 lit. c DSGVO)
– Einhaltung handels- und steuerrechtlicher Aufbewahrungspflichten
5. Standortdaten
Standortdaten werden ausschließlich nach ausdrücklicher Einwilligung genutzt, z. B. um Cafés in der
Nähe anzuzeigen oder die Benutzererfahrung zu verbessern. Standortdaten werden nicht dauerhaft
gespeichert, sondern nur temporär zur Erbringung der jeweiligen Funktion verwendet.
6. QR-Code-Verarbeitung
Die zur Einlösung des Kaffees verwendeten QR-Codes enthalten keine personenbezogenen Daten,
sondern lediglich technisch generierte Token. Erst serverseitig wird der Token mit einem Nutzerkonto
verknüpft. Eine direkte Identifizierung über den QR-Code ist nicht möglich.
7. Weitergabe von Daten
Personenbezogene Daten der Nutzer werden nicht an Gastronomien oder sonstige Dritte weitergegeben,
sofern keine gesetzliche Verpflichtung besteht oder eine ausdrückliche Einwilligung vorliegt.
Gastronomien erhalten ausschließlich anonymisierte bzw. aggregierte Statistiken, z. B.:
– Anzahl eingelöster Kaffees
– Zeiträume der Nutzung
Eine Zuordnung zu einzelnen Personen findet nicht statt.
8. Zahlungsabwicklung (Stripe / PayPal)
Die Zahlung des Jahrespasses erfolgt über die Website und wird über Zahlungsdienstleister (z. B. Stripe
oder PayPal) abgewickelt. KaffeePass erhält von diesen Dienstleistern lediglich Informationen zum
Zahlungsstatus sowie technisch notwendige Zahlungsreferenzen (Tokens).
Vollständige Kreditkarten- oder Kontodaten werden von KaffeePass nicht gespeichert.
9. Einsatz externer Dienstleister (Auftragsverarbeitung)
Wir setzen externe Dienstleister im Rahmen von Auftragsverarbeitungen nach Art. 28 DSGVO ein. Diese
sind vertraglich verpflichtet, personenbezogene Daten nur nach unseren Weisungen zu verarbeiten.
9.1 Firebase / Google Cloud
Wir nutzen Firebase / Google Cloud u. a. für:
– Authentifizierung
– Datenbank (Firestore)
– Hosting
– Storage
– Cloud Functions
Die Speicherung erfolgt in der EU-Region (z. B. europe-west). Die Daten werden verschlüsselt übertragen
und gespeichert. Es bestehen entsprechende Verträge zur Auftragsverarbeitung und
Standardvertragsklauseln, soweit erforderlich.
9.2 E-Mail-Dienstleister
Für den Versand von System-E-Mails (z. B. Registrierungsbestätigungen, technische Benachrichtigungen)
setzen wir einen E-Mail-Dienstleister (z. B. SendGrid/MailJet o. Ä.) ein. Dieser erhält ausschließlich die
dafür erforderlichen Daten (E-Mail-Adresse, Inhalt der Nachricht).
9.3 Stripe & PayPal
Für die Zahlungsabwicklung werden Stripe und/oder PayPal eingesetzt. Diese agieren als eigenständige
Verantwortliche im Sinne der DSGVO für die Zahlungsabwicklung. Es gelten ergänzend die jeweiligen
Datenschutzerklärungen der Zahlungsdienstleister.
9.4 IONOS SE (Website-Hosting)
Unsere Website wird bei folgendem Anbieter gehostet:
IONOS SE
Elgendorfer Str. 57
56410 Montabaur
Deutschland
Beim Aufruf der Website werden durch IONOS automatisch Server-Logfiles erstellt. Diese können
folgende Daten enthalten:
– IP-Adresse
– Datum und Uhrzeit des Zugriffs
– abgerufene URL
– Referrer-URL
– Browsertyp und -version
– Betriebssystem
– Hostname des zugreifenden Rechners
Zweck der Verarbeitung:
– Sicherstellung des technischen Betriebs der Website
– IT-Sicherheit und Fehleranalyse
Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen Betrieb der Website)
Mit IONOS besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
10. Cookies
Die Website von KaffeePass verwendet ausschließlich technisch notwendige Cookies, z. B.:
– Session-Cookies zur Aufrechterhaltung von Logins
– sicherheitsrelevante Cookies
Es werden keine Tracking-, Marketing- oder Analyse-Cookies eingesetzt.
11. Speicherdauer & Löschfristen
11.1 Nutzerdaten
Nutzerdaten werden für die Dauer des bestehenden Nutzerkontos gespeichert. Bei Löschung des
Accounts werden die personenbezogenen Daten grundsätzlich unverzüglich gelöscht, soweit keine
gesetzlichen Aufbewahrungspflichten entgegenstehen.
11.2 Transaktionsdaten
Daten zu Transaktionen (z. B. Einlösung von Kaffees) werden in der Regel für 24 Monate gespeichert und
anschließend anonymisiert, sodass ein Personenbezug nicht mehr besteht.
11.3 Server-Logs
Technische Server-Logs werden in der Regel für bis zu 90 Tage gespeichert. Sicherheitsrelevante Logs
können bis zu 6 Monate aufbewahrt werden, sofern dies zur Aufklärung oder Abwehr von
Sicherheitsvorfällen erforderlich ist.
11.4 Anonymisierte Statistiken
Anonymisierte, nicht mehr personenbezogene Auswertungen können zeitlich unbegrenzt gespeichert
werden.
12. Rechte der betroffenen Personen
Betroffene Personen haben im Rahmen der gesetzlichen Vorgaben folgende Rechte:
– Recht auf Auskunft (Art. 15 DSGVO)
– Recht auf Berichtigung (Art. 16 DSGVO)
– Recht auf Löschung (Art. 17 DSGVO)
– Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
– Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
– Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
– Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Zur Ausübung dieser Rechte können Sie sich an die in dieser Erklärung genannten Kontaktdaten wenden.
13. Sicherheit & technische Maßnahmen (TOMs)
Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten. Dazu gehören u. a.:
– Verschlüsselung der Datenübertragung (TLS/SSL)
– Verschlüsselung gespeicherter Daten (soweit technisch vorgesehen)
– Zugriffsbeschränkungen nach Rollen- und Berechtigungskonzept
– Verwendung sicherer Passwort-Hashing-Verfahren
– regelmäßige Backups und Wiederherstellungsverfahren
– Protokollierung sicherheitsrelevanter Ereignisse
– laufende Aktualisierung verwendeter Systeme
– Prüfung der eingesetzten Dienstleister auf Datensicherheit
14. Datenübertragungen in Drittländer
Soweit Daten durch Dienstleister (z. B. Stripe) in Drittländer, insbesondere die USA, übertragen werden,
erfolgt dies ausschließlich auf Basis geeigneter Garantien im Sinne der DSGVO, z. B.:
– EU-Standardvertragsklauseln (SCC)
– zusätzliche technische Sicherungsmaßnahmen
15. Datenschutzfolgeabschätzung (DSFA)
Aufgrund der Art, des Umfangs und der Zwecke der Datenverarbeitung wurde eine interne Risikoanalyse
gemäß Art. 35 DSGVO durchgeführt. Die Bewertung ergab ein geringes bis mittleres Risiko für die Rechte
und Freiheiten der betroffenen Personen. Die implementierten technischen und organisatorischen
Maßnahmen werden als angemessen und ausreichend erachtet.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern sich rechtliche Anforderungen
ändern oder neue Funktionen des KaffeePass-Systems eine Anpassung erforderlich machen. Die jeweils
aktuelle Version ist auf der Website abrufbar.
17. Kontakt für Datenschutzanfragen
Für Fragen zur Verarbeitung personenbezogener Daten und zur Ausübung Ihrer Rechte können Sie sich
an folgende Adresse wenden:
Majd Suleiman
Reichenbergstr. 14
38114 Braunschweig
Deutschland
E-Mail: info@kaffeepass.de
