Datenschutzerklärung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Website, dem Produkt und den zugehörigen Support-, Sicherheits- und Integrationsprozessen von QR Vello.

1. Verantwortlicher

Niclas Pilz IT Dienstleistungen
Niclas Pilz IT Dienstleistungen
Große Bleiche 27
55116 Mainz
E-Mail: [email protected]
Telefon: +4917657914455
Website: https://qr-vello.com

Datenschutzerklärung: https://qr-vello.com/privacy

Soweit wir personenbezogene Daten für unsere Geschäftskunden ausschließlich in deren Auftrag verarbeiten, handeln wir als Auftragsverarbeiter. In diesen Fällen richten sich Art und Umfang der Verarbeitung zusätzlich nach den Vereinbarungen mit dem jeweiligen Kunden, insbesondere nach einem Auftragsverarbeitungsvertrag.

2. Kategorien betroffener Daten

Je nach Nutzung unseres Angebots verarbeiten wir insbesondere folgende Datenkategorien:

Stamm- und Kontaktdaten, etwa Name, Firma, E-Mail-Adresse, Telefonnummer und Rolleninformationen.
Anmeldedaten und Authentifizierungsinformationen, etwa Login-Zeitpunkte, Sitzungsdaten und OAuth-Metadaten.
Vertrags-, Abrechnungs- und Nutzungsdaten innerhalb des Produkts (Plan, Workspace-Zugehörigkeit, API-Nutzung).
QR-Code-bezogene Daten: von Ihnen hinterlegte Ziel-URLs, Code-Inhalte (z. B. vCard-Felder, WLAN-Zugangsdaten), Branding-Assets (Logos, Farben) und Kampagnen-Metadaten.
Scan-Daten der Endnutzer Ihrer QR-Codes: Zeitstempel, gekürzte IP-Adresse, abgeleitete Geo-Region, Gerätetyp, Browser und Referrer. Diese Daten werden im Auftrag des QR Vello-Kunden verarbeitet (Art. 28 DSGVO).
Kommunikationsdaten aus Support-, Onboarding- und Sicherheitsprozessen.
Technische Protokoll- und Gerätedaten, etwa IP-Adresse, Browserinformationen, Zeitstempel und Audit-Logs.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

3.1 Bereitstellung der Website und Grundsicherheit

Beim Aufruf unserer Website verarbeiten wir technische Zugriffsdaten, um Inhalte auszuliefern, die Stabilität und Sicherheit unserer Systeme zu gewährleisten und Angriffe oder Missbrauch zu erkennen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und zuverlässigen Bereitstellung unseres Angebots.

3.2 Produktkonto, Anmeldung und Zugriffskontrolle

Wir verarbeiten Daten, die für die Registrierung, Anmeldung, Sitzungsverwaltung, Multi-Faktor-Sicherheit, Rechteverwaltung und Wiederherstellung des Zugangs erforderlich sind. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; ergänzend Art. 6 Abs. 1 lit. f DSGVO für Missbrauchsabwehr, Sicherheitsüberwachung und forensische Nachvollziehbarkeit.

3.3 Google Sign-In

Wenn Sie sich über Google anmelden, erhalten wir von Google die für die Authentifizierung und Kontozuordnung erforderlichen Daten, insbesondere die Google-Nutzer-ID, Name, E-Mail-Adresse, Sprachangabe und gegebenenfalls ein Profilbild. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Google Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet, gelten zusätzlich die Hinweise unter Ziffer 8.

3.4 Produktnutzung und QR-Code-Management

Im Rahmen der Nutzung der QR Vello-Plattform verarbeiten wir die von Ihnen oder Ihren berechtigten Teammitgliedern eingegebenen oder über die API erzeugten Daten, insbesondere Ziel-URLs, QR-Code-Inhalte (z. B. vCard-Felder, WLAN-Zugangsdaten, Kampagnen-Labels), hochgeladene Branding-Assets und Workspace-Konfigurationen. Die Verarbeitung erfolgt zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO beziehungsweise, soweit wir im Auftrag eines Geschäftskunden handeln, im Rahmen von Art. 28 DSGVO.

3.4a Scan-Tracking dynamischer QR-Codes

Bei dynamischen QR-Codes wird jeder Scan über die QR Vello-Redirect-Infrastruktur geleitet. Dabei verarbeiten wir technische Metadaten des Scan-Vorgangs: gekürzte IP-Adresse (für Geo-Ableitung auf Land-/Regionen-Ebene, danach verworfen), Zeitstempel, User-Agent (Gerätetyp, Betriebssystem, Browser) sowie Referrer-Informationen, soweit übermittelt. Diese Verarbeitung erfolgt im Auftrag des jeweiligen QR Vello-Kunden (Art. 28 DSGVO). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO mit dem berechtigten Interesse an der Erfolgsmessung von QR-Code-Kampagnen sowie Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung des Vertrags mit dem QR Vello-Kunden. Es werden keine Third-Party-Tracking-Cookies, keine Browser-Fingerprints und keine geräteübergreifenden Identifikatoren gebildet. Scan-Logs sind je Tarifstufe retention-gekappt und werden nach Ablauf der Speicherdauer automatisch aggregiert oder gelöscht.

3.5 API-, Webhook- und Custom-Domain-Nutzung

Wenn Sie unsere REST-API in eigene Systeme einbinden, Webhooks auf eigene Endpoints empfangen oder Custom Domains für Kurzlinks anbinden, verarbeiten wir die zugehörigen technischen Daten: API-Token-IDs, Endpoint- Aufrufe, Rate-Limit-Counter, Webhook-Zustellprotokolle (inkl. Response-Status), DNS-Konfigurationsdaten Ihrer Custom Domain sowie TLS-Zertifikatsstatus. Diese Verarbeitung dient der Bereitstellung, Fehleranalyse, Sicherheit und Nachvollziehbarkeit des Dienstes. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheits- und Support-Zwecke.

Für die Abwicklung kostenpflichtiger Tarife setzen wir Zahlungsdienstleister (insbesondere Stripe) ein. Hierbei werden Vertrags-, Abrechnungs- und Zahlungsdaten an den Dienstleister übermittelt, soweit dies für die Vertragsabwicklung erforderlich ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

3.6 Support, Onboarding und Kommunikation

Wir verarbeiten Anfragen, Supportfälle, Rückfragen zu QR-Codes oder Tarifen, Sicherheitsmeldungen und sonstige Kommunikation, um Ihr Anliegen zu bearbeiten, Störungen zu beheben und die Nutzung des Produkts zu ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und, soweit keine unmittelbare Vertragsbeziehung besteht, Art. 6 Abs. 1 lit. f DSGVO.

3.7 Sicherheits-, Missbrauchs- und Audit-Logs

Wir verarbeiten Protokoll- und Auditdaten, um Zugriffe nachvollziehen, unberechtigte Nutzung erkennen, sicherheitsrelevante Vorfälle untersuchen, regulatorische Anforderungen erfüllen und die Integrität der QR-Code- und Kontodaten nachweisen zu können. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO sowie, soweit gesetzliche Pflichten bestehen, Art. 6 Abs. 1 lit. c DSGVO.

3.8 Erfüllung gesetzlicher Pflichten

Soweit wir rechtlich dazu verpflichtet sind, verarbeiten wir personenbezogene Daten zur Erfüllung handels-, steuer-, aufsichts- oder sicherheitsrechtlicher Pflichten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO.

4. Herkunft der Daten

Wir erhalten personenbezogene Daten in erster Linie direkt von Ihnen oder von berechtigten Nutzern Ihres Unternehmens.

Darüber hinaus können Daten aus folgenden Quellen stammen:

von Ihnen bewusst angebundene Drittanbieter wie Google (Sign-In), Stripe (Zahlungsabwicklung) oder von Ihnen konfigurierte Webhook-Empfänger,
berechtigte Teamadministratoren oder Ansprechpartner Ihres Unternehmens,
technische Systeme, Logquellen und Sicherheitsmechanismen unseres Produkts.

5. Empfänger und Kategorien von Empfängern

Wir legen personenbezogene Daten nur offen, soweit dies für die beschriebenen Zwecke erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Empfänger können insbesondere sein:

Hosting-, Infrastruktur-, Speicher- und Zustelldienstleister,
Authentifizierungs- und Kommunikationsanbieter,
verbundene Zahlungs-, Bank- und Finanzintegrationsanbieter, wenn Sie diese aktiv anbinden,
Berater, Prüfer, Behörden oder Gerichte, soweit hierfür eine rechtliche Grundlage besteht,
Geschäftskunden oder deren autorisierte Nutzer, wenn wir Daten in deren Auftrag verarbeiten.

6. Cookies, lokale Speicherung und ähnliche Technologien

Wir verwenden Cookies, lokale Speichermechanismen und vergleichbare Technologien, soweit dies technisch erforderlich ist, um den ausdrücklich gewünschten digitalen Dienst bereitzustellen, Sitzungen aufrechtzuerhalten, Sicherheitsfunktionen umzusetzen oder Nutzerpräferenzen zu speichern. Die datenschutzrechtliche Rechtsgrundlage richtet sich nach Art. 6 Abs. 1 lit. b beziehungsweise lit. f DSGVO. Soweit für den Einsatz der jeweiligen Technologie eine Einwilligung erforderlich ist, erfolgt diese auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO. Für den Zugriff auf Informationen in Endeinrichtungen gilt ergänzend § 25 TDDDG.

Nicht unbedingt erforderliche Technologien setzen wir nur ein, wenn hierfür eine wirksame Einwilligung vorliegt.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder eine gesetzliche Pflicht dies verlangt. Maßgebliche Kriterien sind insbesondere die Dauer der Vertragsbeziehung, die Erforderlichkeit für Support, Sicherheit und Nachweiszwecke sowie gesetzliche Aufbewahrungspflichten.

Konkrete Aufbewahrungsfristen (live aus unserem Backend, Stand 2026-05-25):

Hinweis: Die folgenden Rohlog-Fristen beschreiben den internen Lebenszyklus einzelner Scan-Events. Die im Pricing genannte Scan-Analytics-Historie beschreibt die sichtbare Dashboard- und Export-Historie.

Rohe Scan-Logs (Einzel-Events mit Zeitstempel, IP-Hash, User-Agent, abgeleiteter Geo-Region — Tabelle qr_scan_events): free — 30 Tage (30 Tage); pro — 12 Monate (365 Tage); business — 60 Monate (1825 Tage); enterprise — 60 Monate (vertraglich verlängerbar) (1825 Tage). Fallback ohne Plan-Match: 30 Tage. Nach Ablauf werden die Roh-Zeilen unwiderruflich gelöscht.
Aggregierte Analytics (Tageszähler ohne User-, Geo- oder Device-Bezug — Tabelle qr_scan_daily): unbegrenzte Vorhaltung, da rein anonym. Damit bleiben Charts und Kampagnenvergleiche über das Roh-Log-Fenster hinaus verfügbar.
Account-Löschung: 30-tägige Grace-Period (während der die Löschung über POST /me/account/restorewiderrufen werden kann), danach unwiderruflicher Hard-Delete via Nightly-Cron qr-account-purge.
Backups: rollend 90 Tage, AES-256 at rest / TLS 1.3 in transit, separater AWS-S3-Account in eu-central-1.
Admin-Audit-Log: 365 Tage, pseudonymisiert (User-ID statt Klardaten).
DSGVO-Datenexport-ZIPs: 14 Tage auf verschlüsseltem Object Storage, Download-URL pro Anfrage signiert (15-Minuten-TTL). Danach Cleanup durch qr-retention-cleanup.

Diese Werte stammen live aus unserem Backend (Single Source of Truth) und spiegeln 1:1 die Werte im Trust Center. Sollte es jemals abweichen, gilt das Trust Center.

Kontostamm- und Profildaten speichern wir regelmäßig für die Dauer des Vertragsverhältnisses.
Verbindungsdaten zu Drittintegrationen speichern wir grundsätzlich, solange die Verbindung aktiv ist, bis sie von Ihnen getrennt wird oder bis technische, vertragliche oder rechtliche Gründe eine frühere Löschung erfordern.
Sicherheits-, Fehler- und Audit-Logs speichern wir befristet und löschen oder anonymisieren sie, sobald sie für Sicherheits-, Support- oder Nachweiszwecke nicht mehr erforderlich sind, sofern keine gesetzlichen oder incident-bezogenen Gründe entgegenstehen.
Handels- und steuerrechtlich relevante Unterlagen (Rechnungen, Abrechnungsbelege und Nachweise zu kostenpflichtigen Tarifen) speichern wir für die jeweils gesetzlich vorgeschriebenen Fristen, regelmäßig 8 oder 10 Jahre je nach Dokumenttyp.

Eine Kontolöschung führt daher nicht zwingend zu einer sofortigen vollständigen Entfernung aller Daten, wenn gesetzliche Aufbewahrungspflichten oder überwiegende berechtigte Interessen entgegenstehen.

8. Drittlandübermittlungen

Soweit wir Dienstleister oder Integrationspartner außerhalb des Europäischen Wirtschaftsraums einsetzen oder Funktionen von Anbietern mit Verarbeitung in Drittländern nutzen, achten wir auf ein angemessenes Datenschutzniveau. Übermittlungen erfolgen insbesondere auf Grundlage eines Angemessenheitsbeschlusses, von Standardvertragsklauseln oder sonstigen gesetzlich vorgesehenen Garantien.

9. Ihre Rechte

Sie haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

Recht auf Auskunft, Art. 15 DSGVO,
Recht auf Berichtigung, Art. 16 DSGVO,
Recht auf Löschung, Art. 17 DSGVO,
Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO,
Recht auf Datenübertragbarkeit, Art. 20 DSGVO,
Widerspruchsrecht nach Art. 21 DSGVO,
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft, Art. 7 Abs. 3 DSGVO.

Zur Ausübung Ihrer Rechte genügt eine Nachricht an [email protected].

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere an Ihrem üblichen Aufenthaltsort, Ihrem Arbeitsplatz oder am Ort des mutmaßlichen Verstoßes.

11. Automatisierte Entscheidungen

Wir treffen keine Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in vergleichbarer Weise erheblich beeinträchtigen, soweit wir Sie nicht gesondert darüber informieren.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Prozesse, Integrationen, gesetzlichen Anforderungen oder das Produkt wesentlich ändern. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.

Zuletzt aktualisiert: 25. Mai 2026