Zum Inhalt springen
Zurück

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO:
David da Silva Gornik
Weitere Angaben finden Sie im Impressum.

2. Welche Daten werden beim Scannen eines QR-Codes erfasst?

Beim Scannen eines QR-Codes werden folgende Daten anonymisiert verarbeitet:

  • Anonymisierter IP-Hash — Ihre IP-Adresse wird nicht gespeichert. Die letzten zwei Oktette (IPv4) bzw. die letzten 80 Bits (IPv6) werden zunächst genullt, anschließend wird ein täglicher SHA-256-Hash erzeugt, der keine Rückschlüsse auf Ihre tatsächliche IP-Adresse erlaubt.
  • Gerätetyp — Ob Sie ein Mobilgerät, Tablet oder Desktop nutzen (abgeleitet aus dem User-Agent).
  • Land — Das Land, aus dem der Scan erfolgt (ausschließlich via CDN-Edge-Header des Hosting-Anbieters, nicht über GPS oder externe Dienste).
  • Zeitpunkt — Datum und Uhrzeit des Scans.
  • Referrer — Die verweisende Seite, falls vorhanden.

3. Was wird NICHT erfasst

  • Keine Tracking-Cookies — Es werden keine Tracking- oder Werbe-Cookies gesetzt.
  • Keine IP-Adressen — Nur ein anonymisierter, nicht umkehrbarer Hash nach Oktett-Nullung.
  • Kein Browser-Fingerprinting — Keine Canvas-, WebGL- oder Font-Analyse.
  • Keine Drittanbieter-Tracker — Kein Google Analytics, kein Facebook Pixel, keine externen Analyse-Dienste.
  • Kein GPS/Standort — Das Land wird über Server-Header ermittelt, nicht über Geräte-GPS.
  • Keine personenbezogenen Daten der Scan-Nutzer — Kein Name, keine E-Mail, keine Geräte-ID.

4. Cookies

Diese Anwendung verwendet ausschließlich technisch notwendige Cookies für die Session-Verwaltung registrierter Nutzer (Authentifizierung via Supabase Auth). Diese Cookies sind für den Betrieb der Anwendung erforderlich und werden nicht für Tracking-Zwecke eingesetzt. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

Beim Scannen eines QR-Codes werden keine Cookies gesetzt.

5. Zweck der Datenverarbeitung

Die anonymisierten Daten dienen ausschließlich der statistischen Auswertung von Offline-Marketing-Kampagnen. Dies umfasst:

  • Messung der Scan-Häufigkeit pro QR-Code und Kampagne
  • Geräteverteilung (Mobil vs. Desktop)
  • Geografische Verteilung der Scans
  • Zeitliche Verteilung (Tagesverlauf, Wochentage)

6. Rechtsgrundlage

Die Verarbeitung der anonymisierten Scan-Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung von Marketing-Maßnahmen). Da ausschließlich anonymisierte Daten verarbeitet werden, ist ein Personenbezug nicht herstellbar.

Die Verarbeitung der Kontodaten registrierter Nutzer (E-Mail, Benutzername) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Speicherdauer

Die anonymisierten Scan-Daten werden für die Dauer der jeweiligen Kampagne gespeichert, maximal jedoch 24 Monate. Ältere Daten werden automatisch gelöscht. Der tägliche Salt für die IP-Anonymisierung wird nach 24 Stunden verworfen, sodass eine Zuordnung von Scans über Tagesgrenzen hinweg nicht möglich ist.

Kontodaten registrierter Nutzer werden bis zur Löschung des Kontos gespeichert.

8. Ihre Rechte

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15) — Recht auf Auskunft über Ihre gespeicherten Daten.
  • Berichtigung (Art. 16) — Recht auf Korrektur unrichtiger Daten.
  • Löschung (Art. 17) — Registrierte Nutzer können ihr Konto und alle zugehörigen Daten jederzeit in den Einstellungen löschen.
  • Einschränkung (Art. 18) — Recht auf Einschränkung der Verarbeitung.
  • Datenübertragbarkeit (Art. 20) — Recht auf Herausgabe Ihrer Daten in einem gängigen Format.
  • Widerspruch (Art. 21) — Recht auf Widerspruch gegen die Verarbeitung.
  • Beschwerde — Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Bei anonymisierten Scan-Daten ist eine Zuordnung zu einzelnen Personen technisch nicht möglich, weshalb Auskunfts- und Löschungsanfragen für diese Daten nicht umsetzbar sind.

9. Hosting und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein:

  • Vercel Inc. (San Francisco, USA) — Hosting der Anwendung. Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Supabase Inc. (San Francisco, USA) — Datenbank und Authentifizierung. Supabase unterliegt Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Hetzner Online GmbH (Gunzenhausen, Deutschland) — E-Mail-Versand an registrierte Nutzer (Report-Scheduling, Scan-Alerts). Die Verarbeitung erfolgt nur auf Anforderung des Nutzers. Hetzner unterliegt der DSGVO als deutscher Anbieter.

Schriftarten (Geist Sans/Mono) werden über Next.js optimiert und direkt vom Hosting-Server ausgeliefert — es erfolgt kein Abruf von Google-Servern durch den Browser.

Stand: April 2026