1. Verantwortlicher und Auftragsverarbeiter
Verantwortlicher: Leimeter Roland e.v.. Adresse: Dabas, Ungarn. Datenschutzkontakt: [email protected]. Website: https://stmpr.io. Steuernummer: 69246054-2-33. Registernummer: 52907795.
Für personenbezogene Daten von Endkunden, die über das Treueprogramm eines Unternehmens erhoben werden, ist dieses Unternehmen der Verantwortliche und Leimeter Roland e.v. handelt nach dessen dokumentierten Weisungen als Auftragsverarbeiter. Für die Website, die Warteliste, Business-/Mitarbeiterkonten und die Apps selbst ist Leimeter Roland e.v. der Verantwortliche.
2. Welche Daten wir verarbeiten
Business-Nutzer: Name, Firmenname, E-Mail, Telefon (optional), gewählte Sprache, wie du uns gefunden hast, Branding/Logo, Abrechnungs- und Abodaten sowie Support-Zugriffsprotokolle.
Mitarbeiter-Nutzer: Name, E-Mail, gewählte Sprache, Authentifizierungsdaten sowie die durchgeführten Stempel-/Einlöseaktionen (einschließlich des für eine Aktion gewählten Filialstandorts).
Endkunden: eine eindeutige Kartenkennung (immer) und, je nach den Anmeldeeinstellungen des Unternehmens, Vor-/Nachname, E-Mail, Telefon sowie vom Unternehmen konfigurierte Zusatzfelder, außerdem Stempel-/Punktestand, Besuchsverlauf und Prämieneinlösungen. Anonyme Anmeldung (nur Kartenkennung) wird unterstützt.
Warteliste und Kontakt: Name, Firmenname, E-Mail, Sprache und Nachrichteninhalt.
Technische und Diagnosedaten: IP-Adresse, Geräte- und Browserdaten, Pass-Typ und Wallet-Gerätetokens (für Pass-Aktualisierungen), Protokolle, Cookie-Kennungen, Analyse-Ereignisse sowie Fehler-/Absturzdiagnosen.
3. Die STMPR Scanner-Apps
Die Mitarbeiter-Apps fordern Kamerazugriff ausschließlich zum Scannen von Kunden-QR-Codes an; das erfasste Bild wird auf dem Gerät verarbeitet, um den Code zu lesen, und weder gespeichert noch hochgeladen.
Die optionale Face ID / Touch ID (biometrische) Entsperrung wird vollständig vom Betriebssystem deines Geräts abgewickelt; der Anbieter erhält niemals deine biometrischen Daten.
Für den Offline-Betrieb speichern die Apps einen begrenzten lokalen Cache (dein Mitarbeiterprofil, letzte Kundenkarten und Stempel-/Einlöseaktionen in der Warteschlange) auf dem Gerät, der bei bestehender Verbindung mit dem Server synchronisiert wird. Zur Stabilität können Diagnose-/Absturzdaten erhoben werden.
Standort: Eine Aktion kann einem vom Mitarbeiter gewählten Filialstandort zugeordnet werden, dies ist ein Geschäftsstandort, nicht das GPS deines Geräts. Standortbezogene Pass-Funktionen werden, falls eingeführt, hier vor dem Start beschrieben.
4. Anmeldung mit Google, Apple und Facebook
Mitarbeiter-Nutzer können sich mit Google, Apple oder Facebook anmelden. Dabei erhalten wir vom Anbieter nur die zur Authentifizierung nötigen Basisdaten: deinen Namen, deine E-Mail-Adresse und eine Anbieter-Kontokennung. Die Anmeldung mit Apple kann eine private/anonymisierte E-Mail weiterleiten.
Wir verwenden diese Daten ausschließlich, um dein Mitarbeiterkonto zu erstellen oder zuzuordnen und dich anzumelden. Wir posten nichts in deinen sozialen Konten, greifen nicht auf deine Kontakte zu und erhalten dein Social-Passwort nicht. Du kannst die Verbindung jederzeit in deinen Google-, Apple- oder Facebook-Kontoeinstellungen widerrufen.
5. Zwecke und Rechtsgrundlagen
Betrieb des Dienstes (Konten, Scannen, Vergeben/Einlösen, Betrieb von Treueprogrammen): Vertragserfüllung oder die Weisungen des Business-Nutzers als Auftragsverarbeitung.
Warteliste und Produktneuigkeiten: Einwilligung. Bearbeitung von Anfragen und Vorbereitung des Dienstes: vorvertragliche Maßnahmen oder berechtigtes Interesse.
Sicherheit, Fehlerbehebung, Absturzüberwachung und Betrugsprävention: berechtigtes Interesse. Analyse und nicht wesentliche Cookies: Einwilligung, soweit gesetzlich erforderlich. Abrechnungs- und Steuerunterlagen: rechtliche Verpflichtung.
6. Benachrichtigungen
Wir senden Endkunden transaktionale E-Mails nur, wenn eine E-Mail angegeben wurde (z. B. bei Erreichen einer Prämie), sowie Pass-Aktualisierungen über die Wallet-Plattformen von Apple und Google.
Marketing- oder Kampagnennachrichten und Push-Benachrichtigungen werden, sofern angeboten, auf Grundlage der Einwilligung und der Weisungen des Business-Nutzers gesendet und enthalten stets eine Abmeldemöglichkeit. Wir nutzen Endkundendaten nicht für unser eigenes Marketing.
7. Cookies und Analyse
Die Website kann für Betrieb, Sicherheit und Formulare notwendige Cookies verwenden. Private Kundenportal-Seiten sind auf no-store gesetzt und von der Analyse ausgeschlossen.
Wir können Analysen einsetzen, um Besuche und Seitenleistung zu messen. Nicht wesentliche Cookies werden nur mit entsprechender Einwilligung verwendet.
8. Auftragsverarbeiter und Empfänger
Wir verkaufen keine personenbezogenen Daten und teilen Endkundendaten nicht zwischen Unternehmen. Wir setzen geprüfte Verarbeiter unter Auftragsverarbeitungsverträgen ein für: Hosting- und Datenbankinfrastruktur, E-Mail-Zustellung, Zahlungsabwicklung, Fehler-/Absturzüberwachung und Analyse.
Benannte Plattformen für bestimmte Funktionen: Apple (Anmeldung mit Apple, Apple Wallet / APNs Pass-Aktualisierungen), Google (Google-Anmeldung, Google Wallet-Aktualisierungen), Meta/Facebook (Facebook-Login) und unser Fehlerüberwachungsanbieter. Sind die geplante externe API, Webhooks oder POS-Integrationen aktiv, werden Daten nur mit den Drittdiensten geteilt, die ein Business-Nutzer ausdrücklich verbindet, auf Weisung dieses Unternehmens.
9. Internationale Übermittlungen
Einige Anbieter (z. B. die Wallet-Plattformen von Apple und Google) können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. In diesem Fall stützen wir uns auf geeignete Garantien wie einen Angemessenheitsbeschluss oder die Standardvertragsklauseln der Europäischen Kommission.
10. Aufbewahrung
Konto-, Treueprogramm- und Endkundendaten werden während des aktiven zugehörigen Abonnements aufbewahrt und innerhalb eines begrenzten Zeitraums nach Schließung des Kontos (in der Regel innerhalb von 60 Tagen) gelöscht, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist.
Wartelisten- und Kontaktdaten werden bis zum Widerruf der Einwilligung oder bis zur Löschanfrage aufbewahrt. Abrechnungsdaten werden für den gesetzlich vorgeschriebenen Zeitraum gespeichert. Protokolle, Analyse- und Absturzdiagnosen werden für begrenzte Sicherheits- und Messzeiträume aufbewahrt.
11. Deine Rechte
Du kannst jederzeit Auskunft, Berichtigung, Löschung, Einschränkung und Übertragbarkeit verlangen, der Verarbeitung widersprechen und, sofern die Verarbeitung auf Einwilligung beruht, diese widerrufen.
Endkunden sollten sich zuerst an das Unternehmen wenden, das ihre Karte ausgestellt hat (den Verantwortlichen); wir unterstützen das Unternehmen bei der Erfüllung der Anfrage. Anfragen an Leimeter Roland e.v. können an [email protected] gesendet werden und werden innerhalb der gesetzlichen Frist (und binnen 30 Tagen) beantwortet.
12. Löschung deiner Daten und deines Kontos
Endkunden: Das Entfernen des Passes aus deinem Wallet stoppt Aktualisierungen; zur Anonymisierung oder Löschung identifizierender Daten wende dich an das ausstellende Unternehmen oder schreibe an [email protected].
Business- und Mitarbeiter-Nutzer: Du kannst die Kontolöschung per E-Mail an [email protected] verlangen; zugehörige Daten werden innerhalb des oben genannten Aufbewahrungszeitraums gelöscht, ausgenommen gesetzlich aufzubewahrende Unterlagen. App-Konten können ebenso entfernt werden, das bloße Löschen der App löscht keine serverseitigen Daten.
13. Kinder
Der Dienst richtet sich an Unternehmen und deren Mitarbeiter und nicht an Kinder. Endkunden müssen mindestens 16 Jahre alt sein. Wir erheben wissentlich keine Daten von Kindern unter dem geltenden Mindestalter.
14. Sicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen (u. a. Verschlüsselung bei der Übertragung, Zugriffskontrollen und unternehmensbezogene Datentrennung) zum Schutz personenbezogener Daten ein. Auf dem Gerät gespeicherte App-Daten sind durch den sicheren Speicher des Geräts geschützt.
Wir benachrichtigen betroffene Unternehmen unverzüglich (und, sofern machbar, innerhalb von 72 Stunden), nachdem wir von einer Verletzung des Schutzes ihrer Daten Kenntnis erlangt haben.
15. Beschwerden und Änderungen
Wenn du der Ansicht bist, dass die Verarbeitung nicht ordnungsgemäß erfolgt, wende dich zuerst an [email protected]. Du kannst auch eine Beschwerde bei der zuständigen Behörde einreichen, in Ungarn bei der Nationalen Behörde für Datenschutz und Informationsfreiheit (NAIH).
Diese Erklärung kann aktualisiert werden, wenn sich der Dienst oder das rechtliche Umfeld ändert; die aktuelle Fassung und das Datum der letzten Aktualisierung werden stets auf dieser Seite angezeigt.