Datenschutzerklärung
Diese Datenschutzerklärung der palmstudio GmbH, handelnd unter der Marke DigiVisitenkarte ("wir", "uns" oder "unser"), erläutert, wie und warum wir personenbezogene Daten erheben, verwenden, speichern, offenlegen und sonst verarbeiten, wenn Sie unsere Dienste ("Dienste") nutzen.
Die Dienste umfassen:
- die Website
https://www.digivisitenkarte.de; - den öffentlichen Generator für digitale Visitenkarten;
- die authentifizierte Kartenverwaltungsplattform;
- die Erstellung von Apple Wallet- und Google Wallet-Karten;
- Kartenzustelllinks und transaktionale E-Mails;
- damit verbundene Support-, Abrechnungs-, Konto- und Kommunikationsfunktionen.
Wir sind dafür verantwortlich zu entscheiden, wie personenbezogene Daten im Zusammenhang mit den Diensten verarbeitet werden, außer soweit ein Drittanbieter für seine eigenen Dienste als eigenständiger Verantwortlicher handelt, zum Beispiel bei Zahlungsdienstleister-, Wallet-Anbieter- oder Identitätsanbieter-Diensten.
Wenn Sie mit dieser Datenschutzerklärung nicht einverstanden sind, nutzen Sie die Dienste bitte nicht.
Verantwortlicher und Kontaktdaten
Verantwortlicher:
palmstudio GmbH Pfalzgrafenstraße 38 67434 Neustadt an der Weinstraße Deutschland
USt-IdNr.: DE364046229
Datenschutzkontakt:
- E-Mail:
support@digivisitenkarte.de
Zusammenfassung der wichtigsten Punkte
Wir verarbeiten personenbezogene Daten, um digitale Visitenkarten bereitzustellen, die in Apple Wallet und Google Wallet gespeichert werden können.
Die wichtigsten Daten, die Sie bereitstellen, sind die Kartendaten selbst, zum Beispiel Namen, Unternehmensdaten, Berufsbezeichnungen, E-Mail-Adressen, Telefonnummern, Websites, Adressen, Notizen, Social-Media-Links, Logos und Einstellungen für QR-Nutzdaten.
Bei Karten mit direkter vCard enthält der QR-Code Kontaktdaten direkt. Jede Person, die den QR-Code scannt oder anderweitig erhält, kann diese Kontaktdaten möglicherweise lesen, speichern, importieren oder weiterleiten.
Bei Google Wallet-Karten senden wir die Informationen an Google, die erforderlich sind, um ein Google Wallet-Objekt zu erstellen und zu aktualisieren. Dazu können Kartenanzeigedaten, QR-Nutzdaten, Wallet-Objektkennungen, Layoutinformationen und Logobild-URLs gehören.
Bei Apple Wallet-Karten generieren wir .pkpass-Dateien und können Daten des
Apple Wallet-Update-Service verarbeiten, einschließlich Passkennungen,
Geräteregistrierungskennungen und APNs-Push-Tokens, wenn ein Pass sich für
Aktualisierungen registriert.
Wir nutzen Dodo Payments für den gehosteten Checkout. Wir verarbeiten in unserer Anwendung keine vollständigen Zahlungskartendaten direkt.
Wir nutzen Firebase/Google Cloud für Authentifizierung, Backend-Infrastruktur, Datenbank, Storage, hostingbezogene Dienste und Analytics, soweit aktiviert.
Wir nutzen Resend für transaktionale E-Mails wie Verifizierungs-E-Mails, Bestellung-bereit-E-Mails und Kartenzustell-E-Mails.
Wir nutzen Termly für eingebettete Rechtstexte und Funktionen zur Verwaltung von Einwilligungspräferenzen.
Wir nutzen Google Tag Manager als einwilligungsabhängiges Tag-Management-Tool, soweit aktiviert. Wir nutzen Google Ads Conversion Tracking zur Messung von Werbung, soweit aktiviert, einschließlich Kauf- und Add-to-Cart-Conversion- Events. Wenn Enhanced Conversions aktiviert sind und eine Werbeeinwilligung vorliegt, können wir Google einen serverseitig erzeugten SHA-256-Hash der Käufer-E-Mail-Adresse zum Conversion Matching senden.
Wir nutzen DataFast für einwilligungsabhängige Website-Analytics und Umsatzattribution, soweit aktiviert. DataFast kann ein Besucherkennungs-Cookie setzen, und die Besucherkennung kann zusammen mit Dodo Payments-Metadaten verwendet werden, um erfolgreiche Zahlungen Traffic-Quellen zuzuordnen.
Wir können optionale Standortdaten für die Apple Wallet-Lockscreen-Relevanz verarbeiten, wenn Sie diese Funktion nutzen.
Sie haben nach anwendbaren Datenschutzgesetzen Rechte, einschließlich Rechten auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit und Beschwerde bei einer Aufsichtsbehörde, vorbehaltlich gesetzlicher Anforderungen und Ausnahmen.
Inhaltsverzeichnis
- Für wen diese Erklärung gilt
- Welche Informationen wir erheben
- Kartendaten, vCards und betroffene Dritte auf Karten
- Datenweitergabe an Wallet-Anbieter
- Zahlungen, Bestellungen und Abrechnung
- Kontoregistrierung und Google-Anmeldung
- Cookies, Analytics, Local Storage und ähnliche Technologien
- Standortdaten
- Wie wir personenbezogene Daten verwenden
- Rechtsgrundlagen der Verarbeitung
- Wann und mit wem wir personenbezogene Daten teilen
- Internationale Übermittlungen
- Wie lange wir personenbezogene Daten aufbewahren
- Wie wir personenbezogene Daten schützen
- Kinder
- Ihre Datenschutzrechte
- Kontoschließung und Löschung
- Do-Not-Track-Signale
- Regionale Rechte
- Aktualisierungen dieser Erklärung
- Kontakt
- Ihre Daten einsehen, aktualisieren oder löschen
1. Für wen diese Erklärung gilt
Diese Datenschutzerklärung gilt für personenbezogene Daten, die verarbeitet werden, wenn:
- Sie unsere Websites besuchen;
- Sie eine digitale Visitenkarte erstellen oder verwalten;
- Sie ein Konto erstellen;
- Sie eine Karte oder ein Kartenguthaben kaufen;
- Sie den anonymen Generator nutzen;
- Sie Vorlagen, Gruppen oder Bulk-Importe nutzen;
- Sie eine anonyme Karte oder Vorlage in ein Konto übernehmen;
- Sie Logos oder Bilder hochladen;
- Sie Wallet-Zustelllinks anfordern oder erhalten;
- Sie transaktionale E-Mails von uns erhalten;
- Sie den Support kontaktieren;
- jemand eine Karte erstellt oder verwaltet, die Ihre personenbezogenen Daten enthält.
Wenn ein Kunde eine Karte für einen Mitarbeiter, Kollegen, Kunden oder sonstigen Dritten erstellt, ist dieser Kunde dafür verantwortlich, eine Rechtsgrundlage oder Erlaubnis zu haben, die Daten dieser Person an uns zu übermitteln und die resultierende digitale Visitenkarte zu erstellen oder zu verteilen.
2. Welche Informationen wir erheben
2.1 Informationen, die Sie direkt bereitstellen
Je nachdem, wie Sie die Dienste nutzen, können wir erheben:
- Name;
- E-Mail-Adresse;
- Telefonnummern;
- berufliche Bezeichnung oder Berufsbezeichnung;
- Unternehmens- oder Organisationsname;
- Website-URL;
- Postanschrift oder Geschäftsadresse;
- Notizen oder zusätzlicher Kartentext;
- Social-Profile-Links oder Kennungen, einschließlich LinkedIn, Instagram, X, Facebook, WhatsApp, Telegram, WeChat, LINE und Snapchat, soweit unterstützt;
- Kartensprache;
- Kartendesigndaten, zum Beispiel Farben, Kartenname, Kartentitel, ausgewähltes Wallet-Frontlayout und Logoreferenzen;
- hochgeladene Logos und zugehörige Bildmetadaten;
- Einstellungen für QR-Nutzdaten, einschließlich direkter vCard oder unterstützter direkter URL-Einstellungen;
- Gruppennamen, Beschreibungen, Voreinstellungen, gesperrte Felder und Gruppeneinstellungen;
- Tabellen- oder CSV-Importzeilen, die für die Erstellung von Karten in großen Mengen verwendet werden;
- Kontoregistrierungsdaten;
- Status der Einwilligung in Marketing-E-Mails;
- Supportnachrichten und sonstige Korrespondenz;
- Abrechnungs- und Checkout-Kontaktdaten.
2.2 Konto- und Authentifizierungsdaten
Für registrierte Nutzer können wir verarbeiten:
- Firebase Auth-Nutzer-ID;
- Konto-E-Mail-Adresse;
- E-Mail-Verifizierungsstatus;
- Anzeigename;
- ausgewählte Spracheinstellung;
- Registrierungsquelle, zum Beispiel E-Mail/Passwort oder Google-Anmeldung;
- Zeitstempel der Annahme der Nutzungsbedingungen und Bestätigung der Datenschutzhinweise;
- Status der Einwilligung in Marketing-E-Mails;
- Zeitstempel der letzten Anmeldung;
- aktiver Unternehmenskontext, Mitgliedschaften und Rollen, soweit Unternehmensfunktionen genutzt werden;
- Dodo-Kunden-IDs, die für authentifizierten Checkout und Zugang zum Kundenportal gespeichert werden.
Passwörter werden von Firebase Authentication verarbeitet. Wir speichern keine Passwörter im Klartext.
2.3 Anonymer Generator, Entwurf, Warenkorb und Übernahmedaten
Wenn Sie den anonymen Generator nutzen, können wir verarbeiten:
- gespeicherte Kartenentwürfe;
- anonyme Karten-IDs;
- browserlokale Entwurfsreferenzen;
- Warenkorb-Zugriffstokens;
- anonyme Checkout-Zugriffstokens;
- Übernahmetokens;
- Checkout-Erfolgs-Zugangsdaten;
- Vorlagen-Zugriffstokens;
- serverseitig gespeicherte Token-Hashes;
- Token-Status, Ablauf- und Nutzungszeitstempel.
Anonymer Browser-Speicher enthält in der Regel Referenzen und Zugriffstokens anstatt vollständiger Karteninhalte. Die vollständigen Kartendaten werden nach ausdrücklichen Speicher-, Warenkorb-, Checkout- oder Vorlagenaktionen serverseitig gespeichert.
2.4 Wallet-Erstellungsdaten
Für die Wallet-Erstellung können wir verarbeiten:
- aufgelöste Kartenkontaktdaten;
- QR-Nutzdaten und Hashes;
- Apple Wallet-Passdateien;
- Google Wallet-Klassen- und Objektkennungen;
- generierte Wallet-Assets;
- Wallet-Erstellungsstatus und Fehlermeldungen;
- Zeitstempel für Erstellung, Veröffentlichung und Zustellung;
- öffentliche oder signierte URLs, die zur Anzeige oder Zustellung von Wallet-Assets benötigt werden.
2.5 Apple Wallet-Updatedaten
Apple Wallet-Pässe können Metadaten für einen Update-Service enthalten. Wenn ein installierter Apple Wallet-Pass sich für Updates registriert, können wir verarbeiten:
- Pass-Typ-Kennung;
- Pass-Seriennummer;
- serverseitig abgeleitete Pass-Authentifizierungsdaten;
- Apple Wallet Device Library Identifier;
- Push-Token des Apple Push Notification Service;
- Registrierungszeitstempel;
- APNs-Umgebung;
- Zeitstempel der Passveröffentlichung und Push-Benachrichtigung;
- Updatefehler.
Diese Daten werden genutzt, um In-Place-Aktualisierungen für berechtigte bearbeitbare Apple Wallet-Pässe zu unterstützen und das Senden von Updates zu beenden, wenn Registrierungen entfernt werden oder ungültig sind.
2.6 Google Wallet-Daten
Für Google Wallet-Karten erstellen oder aktualisieren wir generische Google Wallet-Objekte über Google APIs. Wir können Google die Daten senden, die erforderlich sind, um die Google Wallet-Karte zu erstellen, anzuzeigen, zu speichern und zu aktualisieren, einschließlich:
- Kartenanzeigefelder wie Name, Unternehmen, Titel, E-Mail, Telefon und für die Wallet-Vorderseite ausgewählte Layoutfelder;
- QR-Nutzdaten, einschließlich der direkten vCard oder unterstützter direkter URL;
- Logobild-URLs oder generierte Google Wallet-Bild-URLs;
- Hintergrund- und Textfarbdaten, soweit anwendbar;
- Google Wallet-Klassen-ID;
- Google Wallet-Objekt-ID;
- von Google Wallet benötigte Aussteller- und Objektmetadaten;
- Aktualisierungsanfragen, wenn sich eine bearbeitbare Karte ändert.
Google Wallet kann diese Daten als eigenständiger Anbieter nach Googles eigenen Bedingungen und Datenschutzdokumentation verarbeiten, wenn Nutzer das Wallet-Objekt speichern oder damit interagieren. Der Google Wallet-Speicherfluss kann erfordern, dass der Endnutzer Google-Dienste oder ein Google-Konto nutzt.
Unsere Nutzung und Übermittlung von Informationen, die wir von Google APIs erhalten, entspricht der Google API Services User Data Policy, einschließlich der Limited Use-Anforderungen, soweit diese Richtlinie gilt.
2.7 Zahlungs- und Bestelldaten
Wenn Sie den Checkout starten oder einen Kauf tätigen, können wir verarbeiten:
- Bestell-ID;
- Checkout-Session-ID;
- Zahlungstransaktions-ID;
- Typ des gekauften Artikels;
- Kartenvariante;
- Menge;
- Währung;
- Zwischensumme, Steuerbetrag, Gesamtbetrag;
- Bestellstatus;
- Erfüllungsstatus;
- Käufer-Konto-ID, falls angemeldet;
- Käufer-E-Mail-Adresse, falls verfügbar;
- Dodo Checkout-Session-ID;
- Dodo Payment-ID;
- Dodo-Kunden-ID;
- Dodo-Kunden-E-Mail-Adresse;
- DataFast-Besucher-ID, soweit Analytics-Einwilligung vorliegt und Umsatzattribution aktiviert ist;
- Google Ads Enhanced-Conversion-E-Mail-Hash, soweit Werbeeinwilligung vorliegt und Enhanced Conversions aktiviert sind;
- Anbieterstatus, Fehlercodes und Fehlermeldungen;
- Metadaten für Rechnungs- und Kundenportalzugang, soweit verfügbar.
Dodo Payments verarbeitet Zahlungsdaten im gehosteten Checkout. Wir speichern in unserer Anwendung keine vollständigen Zahlungskartennummern oder Zahlungskarten-Sicherheitscodes direkt.
2.8 E-Mail- und Kommunikationsdaten
Wir können verarbeiten:
- Empfänger-E-Mail-Adresse;
- Absender-E-Mail-Adresse;
- Absender-Anzeigebezeichnung;
- E-Mail-Spracheinstellung;
- aus Vorlagen generierter E-Mail-Betreff und -Text;
- E-Mail-Verifizierungslinks;
- Bestellzustelllinks;
- Kartenverteilungslinks;
- Apple Wallet-
.pkpass-E-Mail-Anhänge; - Resend-Nachrichten-IDs;
- Zustellstatus und Fehlermeldungen.
Kartenverteilungsereignisse können sowohl die Empfänger-E-Mail-Adresse als auch einen Hash der Empfänger-E-Mail-Adresse speichern, um Einmalversandprüfungen, Support, Audit und Missbrauchsprävention zu unterstützen.
2.9 Standortdaten
Wenn Sie die optionale Apple Wallet-Lockscreen-Relevanz nutzen, können wir verarbeiten:
- ausgewählte Google Place ID;
- Ortsbezeichnung und formatierte Adresse, die zur Laufzeit aufgelöst werden;
- von Google Place Details zurückgegebene Breiten- und Längengrade;
- Geräte-/Browserkoordinaten, wenn Sie "aktueller Standort" wählen;
- per Reverse Geocoding ermittelte Adressdaten;
- ob die Standortquelle aktiviert oder deaktiviert ist;
- Zeitstempel von Änderungen der Standorteinstellungen.
Standortbasierte Apple Wallet-Lockscreen-Relevanz ist optional. Sie können sich entscheiden, sie nicht zu nutzen. Browser-/Gerätestandortzugriff kann in Ihren Geräte- oder Browsereinstellungen verweigert oder deaktiviert werden.
2.10 Analytics-, Werbe- und Conversion-Messdaten
Soweit Analytics-, Werbe- oder ähnliche Messtechnologien aktiviert sind und die erforderliche Einwilligung erteilt wurde, können wir verarbeiten:
- Einwilligungsstatus und Einwilligungskategorien, einschließlich über Termly verwalteter Analytics- und Werbeentscheidungen;
- Google Consent Mode-Statuswerte, einschließlich
ad_storage,ad_user_data,ad_personalizationundanalytics_storage; - Google Tag Manager-Containerkennungen und Tag-Ladeinformationen;
- Google Ads-Conversion-Events und zugehörige Eventparameter;
- Google Ads-Klick- oder Attributionskennungen, wenn sie im Browser, in der URL oder in der Tag-Umgebung vorhanden sind, zum Beispiel Anzeigenklickparameter;
- Google Ads-Zielgruppen-, Kampagnenoptimierungs-, Remarketing- oder Daten für personalisierte Werbung, soweit solche Funktionen durch das Google Ads-Konto oder die Kampagnen aktiviert oder genutzt werden;
- Google Ads Performance Max-Zielgruppensignale oder ähnliche Signale zur Kampagnenoptimierung, soweit aktiviert;
- Google Ads-Kauf-Conversion-Daten, einschließlich Transaktions-ID, Bestell-ID, Checkout-Session-ID, Kaufwert, Währung und Kartenanzahl;
- Google Ads-Add-to-Cart-Conversion-Daten, einschließlich Artikeltyp, Kartenvariante, Menge, Gesamtanzahl der Artikel im Warenkorb und Währung, soweit verfügbar;
- serverseitig normalisierter SHA-256-Hash der Käufer-E-Mail-Adresse für Google Ads Enhanced Conversions, nur soweit Enhanced Conversions aktiviert sind und Werbeeinwilligung vorliegt;
- Firebase Analytics-Event- und Gerätedaten, soweit Firebase Analytics nach Analytics-Einwilligung aktiviert ist;
- DataFast-Besucherkennungen, einschließlich des Cookies
datafast_visitor_id, soweit gesetzt; - DataFast-Analytics- und Attributionsdaten, zum Beispiel Seitenaufrufe, Referrer, Traffic-Quelle, UTM-Parameter, Anzeigenklickparameter, soweit vorhanden, Browser- und Gerätedaten, ungefähres Land oder ungefähre Position, abgeleitet aus technischen Daten, Sitzungsaktivität, Conversion- oder Zahlungsattributionsdaten und zugehörige Kennungen;
- Checkout-Start- oder Zahlungsattributionsmetadaten, die eine DataFast- Besucher-ID mit einem Dodo Payments-Checkout oder einer Zahlung verknüpfen, soweit die DataFast/Dodo-Integration aktiviert ist;
- Cookie-, Local-Storage- oder ähnliche Browserkennungen, die von Analytics- oder Werbetools verwendet werden.
Die Codeprüfung bestätigt, dass bekannte Analytics- und Werbetools über Termly-Einwilligungskategorien gesteuert werden. Google Tag Manager wird nur geladen, nachdem Analytics- oder Werbeeinwilligung vorliegt. Google Ads-Conversion-Events werden zurückgehalten, bis Werbeeinwilligung vorliegt. DataFast und Firebase Analytics werden nur geladen, nachdem Analytics- Einwilligung vorliegt. Google Maps/Places wird nur geladen, wenn optionale Ortssuche genutzt wird; es wird im Code jedoch derzeit nicht über Termly-Einwilligungskategorien gesteuert, weil es sich um eine optionale, nutzerausgelöste Funktion handelt. Die bereitgestellte Anbieter- und Dashboard-Konfiguration sollte vor Veröffentlichung sowie nach Anbieteränderungen mit dieser Datenschutzerklärung, der Cookie-Richtlinie und den Live-Einstellungen des Consent-Banners abgestimmt bleiben.
Google Ads Enhanced-Conversion-Daten sind keine rohe Käufer-E-Mail-Adresse im Browser-Event. Das Backend normalisiert die Käufer-E-Mail-Adresse, hasht sie mit SHA-256 und gibt nur den Hash für das werbeeinwilligungsabhängige Conversion-Event zurück. Eine gehashte E-Mail-Adresse kann nach anwendbarem Recht dennoch personenbezogenes Datum sein und muss im Rahmen der Prüfung von Rechtsgrundlage, Offenlegung, Übermittlung und Einwilligung bewertet werden.
2.11 Automatisch erhobene Informationen
Wenn Sie die Dienste besuchen, nutzen oder darin navigieren, können wir automatisch erheben:
- IP-Adresse;
- Browsertyp und -version;
- Geräte- und Betriebssysteminformationen;
- Spracheinstellung;
- Referrer-URL;
- angesehene Seiten;
- Zeitstempel;
- Funktionsnutzung;
- Fehler-, Diagnose-, Sicherheits- und Performance-Logs;
- ungefähre Position, abgeleitet aus der IP-Adresse;
- Cookie- und Local-Storage-Kennungen, soweit anwendbar.
Diese Informationen werden verwendet, um die Dienste zu betreiben, zu sichern, zu debuggen, zu analysieren und zu verbessern.
2.12 Sensible Informationen
Wir fragen nicht absichtlich besondere Kategorien personenbezogener Daten ab, wie rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifikation, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung.
Da Kartentextfelder kundengesteuert sind, dürfen Sie keine sensiblen personenbezogenen Daten eingeben, sofern Sie nicht über eine gültige Rechtsgrundlage verfügen und die Informationen für die beabsichtigte Kartennutzung erforderlich sind.
3. Kartendaten, vCards und betroffene Dritte auf Karten
Die Dienste beruhen auf Kontaktdaten. Eine Karte kann den Kontoinhaber, den Käufer, einen Mitarbeiter, ein Teammitglied, einen Auftragnehmer oder eine andere Person beschreiben.
Wenn Sie eine Karte für eine andere Person erstellen oder verwalten, sind Sie dafür verantwortlich sicherzustellen, dass:
- die Person weiß, dass ihre Daten für eine digitale Visitenkarte verwendet werden;
- Sie über eine Einwilligung, vertragliche Befugnis, arbeitsbezogene Befugnis oder eine andere Rechtsgrundlage verfügen, um ihre Daten an uns zu übermitteln;
- die Daten korrekt und aktuell sind;
- die Karte rechtmäßig per E-Mail oder QR-Code verteilt werden kann.
Bei Karten mit direkter vCard werden Kontaktdaten direkt in den QR-Code codiert. Dies ist beabsichtigt, damit die Karte offline funktionieren und schnell importiert werden kann. Es bedeutet auch, dass jede Person, die den QR-Code sieht oder erhält, die Kontaktdaten möglicherweise lesen, kopieren, speichern, importieren oder weiterleiten kann.
Wir können Kontaktdaten technisch nicht zurückrufen, sobald ein Dritter den QR-Code gescannt, die vCard importiert, einen Wallet-Pass heruntergeladen, einen Screenshot gemacht oder die Daten außerhalb unserer Systeme gespeichert hat.
4. Datenweitergabe an Wallet-Anbieter
4.1 Google Wallet
Wenn Google Wallet-Ausgabe für eine gekaufte Karte aktiviert oder erforderlich ist, senden wir Google die Daten, die benötigt werden, um die Google Wallet-Karte zu erstellen, zu aktualisieren, anzuzeigen und zu speichern.
Dies kann personenbezogene Daten aus dem Kartenprofil umfassen, zum Beispiel Name, Organisation, Berufsbezeichnung, E-Mail-Adresse, Telefonnummer, Website, QR-Nutzdaten und Logobilddaten. Die genauen übermittelten Felder hängen vom ausgewählten Kartendesign, Wallet-Layout, QR-Nutzdatentyp und der aktuellen Funktionsimplementierung ab.
Google Wallet-Kartendaten können von Google verarbeitet werden, wenn:
- wir ein generisches Google Wallet-Objekt erstellen oder aktualisieren;
- wir einen Google Wallet-Speicherlink generieren;
- ein Nutzer einen Google Wallet-Speicherlink öffnet;
- ein Nutzer die Karte in Google Wallet speichert;
- Google eine Logobild-URL abruft, die vom Wallet-Objekt verwendet wird;
- Google die Wallet-Karte cached, anzeigt, synchronisiert oder anderweitig betreibt.
Google kann für eigene Wallet-, Konto-, Sicherheits-, Plattform- und Diagnoseverarbeitungen als eigenständiger Verantwortlicher handeln. Sie und Kartenempfänger sollten Googles anwendbare Bedingungen und Datenschutzdokumentation prüfen.
4.2 Apple Wallet
Für Apple Wallet-Ausgabe generieren wir eine Apple Wallet-.pkpass-Datei, die
Kartenanzeigedaten, QR-Nutzdaten, Passmetadaten und generierte Bilder enthält.
Wenn ein Apple Wallet-Pass installiert wird, kann Apple Wallet mit unserem Apple Wallet-Update-Service kommunizieren, um den Pass zu registrieren, zu aktualisieren oder zu deregistrieren. Dies kann Apple Wallet-Gerätekennungen und APNs-Push-Tokens betreffen, die nur für Wallet-Updatebenachrichtigungen verwendet werden.
Apple kann Wallet- und Gerätedaten nach eigenen Bedingungen und eigener Datenschutzdokumentation verarbeiten, wenn ein Nutzer einen Apple Wallet-Pass speichert, vorhält, synchronisiert oder damit interagiert.
4.3 Praktische Folgen
Da Wallet-Anbieter erforderlich sind, um die ausgewählten Wallet-Ausgaben bereitzustellen, können wir Google Wallet-Ausgabe nicht bereitstellen, ohne erforderliche Kartendaten an Google zu senden, und Apple Wallet-Ausgabe nicht bereitstellen, ohne mit Apple Wallet kompatible Passdaten zu generieren und zuzustellen.
Wenn Sie nicht möchten, dass Kartendaten von einem Wallet-Anbieter verarbeitet werden, sollten Sie die entsprechende Wallet-Ausgabe nicht nutzen oder verteilen.
5. Zahlungen, Bestellungen und Abrechnung
Wir nutzen Dodo Payments für gehosteten Checkout, Zahlungsabwicklung und, soweit verfügbar, Kundenportal- oder Rechnungszugang.
Wenn Sie den Checkout starten, erstellen wir Bestell- und Zahlungstransaktionsdatensätze in unseren Systemen und senden erforderliche Checkout-Informationen an Dodo Payments. Dodo Payments kann zusätzliche Zahlungsdaten direkt im gehosteten Checkout erheben und verarbeiten. Wir erhalten Zahlungsstatus, Checkout-Session-Daten, Zahlungsreferenzen, Kundenreferenzen und Kunden-E-Mail-Daten, die zur Erfüllung und Unterstützung der Bestellung benötigt werden.
Soweit Analytics- oder Werbeeinwilligung vorliegt und die relevanten Integrationen aktiviert sind, kann der Checkout auch für Umsatzattribution und Conversion-Messung verwendet werden. Für DataFast-Umsatzattribution können wir eine DataFast-Besucher-ID aus dem Browser-Cookie oder dem Checkout-Request-Header in Dodo Payments-Metadaten übergeben. Wenn die Dodo Payments/DataFast-Integration konfiguriert ist, können erfolgreiche Zahlungsdaten anschließend dieser Besucher-ID für Analytics und Attribution zugeordnet werden. Für Google Ads Enhanced Conversions kann der Checkout-Erfolgsfluss einen serverseitig erzeugten SHA-256-Hash der Käufer-E-Mail-Adresse anfordern und diesen Hash nach Werbeeinwilligung in das Google Ads-Conversion-Event aufnehmen.
Wir verarbeiten Bestell- und Zahlungsdaten, um:
- Checkout-Sessions zu erstellen;
- Zahlungen zu bestätigen;
- doppelte Checkout-Versuche zu verhindern;
- bezahlte Bestellungen zu erfüllen;
- Wallet-Karten zu generieren;
- Bestellung-bereit-E-Mails zu senden;
- Kundensupport bereitzustellen;
- Abrechnungs-, Steuer-, Buchhaltungs- und Auditunterlagen zu führen;
- Stornierungen, Erstattungen, Streitigkeiten, Chargebacks und Betrugsprävention zu bearbeiten.
6. Kontoregistrierung und Google-Anmeldung
Sie können ein Konto per E-Mail/Passwort-Authentifizierung oder, soweit verfügbar, per Google-Anmeldung erstellen.
Wenn Sie Google-Anmeldung verwenden, können Firebase/Google uns Kontoinformationen bereitstellen, zum Beispiel:
- Google/Firebase-Nutzer-ID;
- E-Mail-Adresse;
- E-Mail-Verifizierungsstatus;
- Anzeigename;
- Profilinformationen, die über den Anmeldefluss bereitgestellt werden.
Wir verwenden diese Informationen, um Ihr Konto zu erstellen und zu verwalten, Sie zu authentifizieren, den E-Mail-Status zu verifizieren und die authentifizierte Plattform bereitzustellen.
Wir bieten derzeit keine Facebook-, X- oder sonstigen Social-Login-Anbieter an, sofern diese nicht ausdrücklich in der Benutzeroberfläche angezeigt werden.
7. Cookies, Analytics, Local Storage und ähnliche Technologien
Wir können Cookies, Local Storage, SDKs, Skripte, Pixel und ähnliche Technologien verwenden, um die Dienste zu betreiben, zu sichern, zu messen und zu verbessern.
Diese Technologien können verwendet werden für:
- Authentifizierung und Sitzungsverwaltung;
- Speicherung rechtlicher Präferenzen oder Einwilligungspräferenzen;
- Speicherung anonymer Entwurfs-, Warenkorb- und Vorlagenreferenzen;
- Schutz von Checkout- und Übernahmeabläufen;
- Speicherung von Nutzerpräferenzen;
- Analytics und Performancemessung;
- Werbe-Conversion-Messung und Attribution;
- Umsatzattribution für Checkout- und Zahlungsabläufe;
- Betrugsprävention und Sicherheit;
- Laden eingebetteter Rechtstext- und Einwilligungstools;
- Laden von Google Maps/Places-Skripten, wenn optionale Standortsuche genutzt wird.
Die Dienste verwenden derzeit oder können verwenden:
- Firebase Authentication und Firebase SDKs;
- Firebase Analytics, soweit aktiviert;
- Google Tag Manager, soweit Analytics- oder Werbetags aktiviert sind;
- Google Ads Conversion Tracking, Google Tag und Conversion Linker, soweit Werbemessung aktiviert ist;
- Google Consent Mode zur Übermittlung von Einwilligungsentscheidungen an Google-Tags;
- DataFast Website-Analytics und Umsatzattribution, soweit aktiviert;
- Termly-Rechtstext-Einbettungen und Funktionen für Einwilligungspräferenzen;
- Browser-Local-Storage für anonyme Entwurfs-/Warenkorb-/Vorlagenreferenzen;
- Google Maps JavaScript Places Library für optionale Ortssuche;
- Dodo Payments gehosteten Checkout;
- Google Wallet-Speicherlinks;
- Apple Wallet-Passzustellabläufe.
Einige Technologien sind erforderlich, um die Dienste bereitzustellen. Andere können je nach anwendbarem Recht und Konfiguration eine Einwilligung erfordern. Spezifische Informationen über Cookies, Local Storage, Analytics, Einwilligungspräferenzen und dazu, wie Sie Einwilligung verweigern oder widerrufen können, finden Sie in der Cookie-Richtlinie.
7.1 Einwilligungsverwaltung
Wir nutzen Termly, um Cookie-Richtlinien-Einbettungen und Funktionen für Einwilligungspräferenzen bereitzustellen. Die Termly-Einwilligungskategorien werden von der Anwendung verwendet, um bekannte Analytics- und Werbetools zu steuern.
Die Codeprüfung bestätigt, dass die aktuelle Implementierung wie folgt konzipiert ist:
- Termly AutoBlocker ist ausgeschaltet, und bekannte Analytics- und Werbetags werden nach Termly-Einwilligungssynchronisierung manuell geladen;
- Firebase Analytics und DataFast erfordern Analytics-Einwilligung, bevor sie geladen oder initialisiert werden;
- Google Tag Manager lädt nur, wenn Analytics-Einwilligung oder Werbeeinwilligung vorliegt;
- Google Ads-Conversion-Events erfordern Werbeeinwilligung;
- Google Ads Enhanced-Conversion-Nutzerdaten erfordern Werbeeinwilligung;
- Google Maps/Places wird nur geladen, wenn die optionale Ortssuchfunktion genutzt wird und der browserseitige Google Maps-API-Schlüssel konfiguriert ist;
- Google Maps/Places ist bewusst ereignisgesteuert für die optionale Ortssuche und wird im Code derzeit nicht über die Termly-Analytics- oder Werbeeinwilligungskategorien gesteuert.
Wenn Sie Einwilligung widerrufen oder verweigern, verwenden wir die verfügbaren technischen Kontrollen, um weitere nicht erforderliche Analytics- oder Werbeverarbeitung über diese Tools aus der aktuellen Browsersitzung zu verhindern. Einige anbieterseitige Datensätze aus früherer einwilligungsbasierter Verarbeitung können entsprechend den Anbietereinstellungen, vertraglichen Bedingungen und anwendbarem Recht bestehen bleiben.
7.2 Google Tag Manager und Google Consent Mode
Wir nutzen Google Tag Manager als Tag-Management-System. Google Tag Manager ermöglicht uns, Analytics-, Werbe- und Mess-Tags über einen Container zu laden und zu verwalten, anstatt jedes Tag direkt in die Website fest einzubauen.
Die Codeprüfung bestätigt, dass die Anwendung für die deutsche DigiVisitenkarte-Website den folgenden Google Tag Manager-Container lädt:
GTM-W7VPFXG2für die deutsche DigiVisitenkarte-Website.
Nach den für diesen Entwurf bereitgestellten aktuellen Google Tag Manager-Kontoinformationen enthält der Container derzeit vier Tags:
- ein allgemeines Google Tag;
- ein Conversion Linker-Tag, das auf allen Seiten ausgelöst wird;
- ein Google Ads-Kauf-Conversion-Tag für das Event
digivi_purchase; - ein Google Ads-Add-to-Cart-Conversion-Tag für das Event
digivi_add_to_cart.
Google Consent Mode ist mit standardmäßig verweigerten Werten konfiguriert für:
ad_storage;ad_user_data;ad_personalization;analytics_storage.
Die Codeprüfung bestätigt, dass die Anwendung bei Änderungen des
Termly-Einwilligungsstatus Google Consent Mode aktualisiert, sodass
Werbeeinwilligung ad_storage, ad_user_data und ad_personalization
steuert und Analytics-Einwilligung analytics_storage steuert. Die aktuelle
Implementierung setzt außerdem Google Ads-Datenredaktion standardmäßig auf true.
Die genauen Tags innerhalb jedes Google Tag Manager-Containers müssen mit der veröffentlichten Cookie-Richtlinie und dieser Datenschutzerklärung übereinstimmen. Dieser Entwurf ist so formuliert, dass er das aktuelle Setup mit allgemeinem Google Tag, Conversion Linker, Kauf-Conversion-Tag und Add-to-Cart-Conversion-Tag sowie die unten beschriebenen zielgruppenbasierten Google Ads-Kampagnenfunktionen abdeckt.
7.3 Google Ads Conversion Tracking und Enhanced Conversions
Soweit aktiviert, nutzen wir Google Ads Conversion Tracking, um zu messen, ob Google Ads oder andere Werbekampagnen zu relevanten Handlungen in den Diensten führen. Der aktuelle Code und die für diesen Entwurf bereitgestellten Kontoinformationen unterstützen:
- ein Kauf-Conversion-Event namens
digivi_purchase; - ein sekundäres Add-to-Cart-Beobachtungsevent namens
digivi_add_to_cart; - Google Ads Enhanced Conversions für Käufe, soweit Werbeeinwilligung vorliegt und Enhanced Conversions aktiviert sind;
- ein Conversion Linker-Tag, das auf allen Seiten ausgelöst wird;
- ein allgemeines Google Tag im Google Tag Manager.
Die derzeit identifizierten Google Ads-Conversion-Events sind das Kauf-Event und das Add-to-Cart-Event. Kauf soll die primäre Umsatz-Conversion sein, während Add-to-Cart als sekundäre Beobachtungs-Conversion vorgesehen ist.
Das Kauf-Conversion-Event wird erstellt, nachdem unser Backend einen abgeschlossenen Checkout bestätigt hat. Das Event kann enthalten:
- Transaktions-ID und Bestell-ID;
- Checkout-Session-ID;
- dezimaler Kaufwert;
- Währung;
- Anzahl gekaufter Karten;
- E-Commerce-Transaktionsmetadaten, die von Google Ads oder Google Tag Manager verwendet werden;
- einen SHA-256-Hash der Käufer-E-Mail-Adresse für Enhanced Conversions, soweit verfügbar und soweit Werbeeinwilligung vorliegt.
Das Add-to-Cart-Event kann enthalten:
- Artikeltyp;
- Kartenvariante;
- Menge;
- Gesamtanzahl der Artikel im Warenkorb;
- Währung, soweit verfügbar.
Diese Conversion-Events sind für Werbemessung, Reporting, Attribution und Kampagnenoptimierung bestimmt. Für Enhanced Conversions kann Google gehashte First-Party-Kundendaten, zum Beispiel eine gehashte E-Mail-Adresse, verwenden, um eine Conversion Google-Konten zuzuordnen, die mit Anzeigen interagiert haben. Wir nehmen keine rohen Zahlungskartendaten in Google Ads-Conversion-Events auf. Die aktuelle Implementierung enthält außerdem keine Kartenprofilinhalte, QR-Nutzdaten oder Wallet-Pass-Inhalte im Payload des Google Ads-Conversion-Events.
Nach den für diesen Entwurf bereitgestellten aktuellen Google Ads-Kontoinformationen sind Enhanced Conversions für die Kauf-Conversion aktiviert, und das einzige absichtlich zugeordnete nutzerbereitgestellte Enhanced-Conversion-Feld ist die SHA-256-gehashte E-Mail-Adresse. Keine anderen nutzerbereitgestellten Daten wie Name, Telefonnummer, Postanschrift oder ungehashte E-Mail-Adresse werden absichtlich für Enhanced Conversions bereitgestellt.
Google Ads kann auch für Kampagnenoptimierung und zielgruppenbasierte Werbefunktionen verwendet werden, einschließlich Zielgruppen und Performance Max-Zielgruppensignalen. Dieser Entwurf ist breit formuliert, um Google Ads-Zielgruppen, Remarketing, personalisierte Werbung, Kampagnenoptimierung und ähnliche Werbefunktionen abzudecken, soweit sie durch das Google Ads-Konto, die Google Tag Manager-Konfiguration oder Kampagneneinstellungen aktiviert sind. Wenn solche Funktionen im finalen Google Ads-Konto deaktiviert oder wesentlich beschränkt sind, kann der Anwalt diese Formulierung vereinfachen.
7.4 Firebase Analytics
Firebase Analytics kann für App- und Website-Analytics verwendet werden, soweit aktiviert. Die aktuelle Implementierung initialisiert Firebase Analytics erst, nachdem Analytics-Einwilligung erteilt wurde, und spiegelt den Analytics-Einwilligungsstatus in die Analytics-Einwilligungskontrollen von Firebase.
Firebase Analytics kann technische und Nutzungsinformationen verarbeiten, zum Beispiel Geräte- und Browserinformationen, App- oder Seiteninteraktionen, ungefähre Position, abgeleitet aus technischen Daten, und zugehörige Analytics-Kennungen, abhängig von der finalen Firebase-Konfiguration.
7.5 DataFast Analytics und Umsatzattribution
Soweit aktiviert, nutzen wir DataFast für Website-Analytics und
Umsatzattribution. Die Codeprüfung bestätigt, dass DataFast erst geladen wird,
nachdem Analytics-Einwilligung vorliegt. Die Browser-Skriptkonfiguration nutzt
das gehostete DataFast-Skript https://datafa.st/js/script.js und die folgende
Website-ID für den deutschen Dienst:
dfid_Booqn87pJKOueMWxYStayfürdigivisitenkarte.de.
Der aktuelle Code nutzt DataFasts standardmäßiges gehostetes Skript mit Cookies.
Über die hier beschriebenen anwendungsseitigen Skriptattribute hinaus wurden von
uns keine benutzerdefinierten DataFast-Konto- oder Tracking-Einstellungen
konfiguriert. Das Skript setzt data-disable-payments="true" und
data-disable-console="true". Die Codeprüfung hat keine Nutzung von DataFasts
cookielosem Skript festgestellt.
DataFast kann ein Cookie datafast_visitor_id oder eine ähnliche
Besucherkennung setzen oder verwenden. Die Besucherkennung kann verwendet
werden, um Seitenaktivität, Traffic-Quelle, UTM-Parameter, Referrer-Daten,
Anzeigenklickparameter, soweit vorhanden, und Checkout- oder Zahlungsereignisse
für Umsatzattribution zu verknüpfen.
Nach DataFasts Dokumentation für das Standardskript mit Cookies kann DataFast Besucherinformationen wie IP-Adresse, Browsertyp, Geräteinformationen, User-Agent, Land, eindeutige Kennungen, Cookies und Seitenaktivität erheben. DataFasts API-Dokumentation beschreibt außerdem Besucherdatensätze, die Identitäts- und Journey-Informationen enthalten können, zum Beispiel Standort, Browser, Betriebssystem, Gerät, Viewport, URL-Parameter, Anzeigenklick-IDs, Besuchsanzahlen, Seitenaufrufe, erste und letzte Besuchszeitstempel, abgeschlossene Ziele, Zahlungsereignisse und Conversion-Vorhersage, soweit verfügbar.
DataFasts DPA besagt, dass der Kunde Verantwortlicher ist und DataFast für die Analytics-Verarbeitung als Auftragsverarbeiter handelt. Dieselbe DPA besagt, dass DataFast Daten verarbeitet, um Analytics, Reporting und damit verbundene Funktionen bereitzustellen, und dass DataFast Kundendaten nicht für eigenes Marketing oder Profiling verwendet und Kundendaten nicht an Dritte verkauft oder weitergibt. Die DPA listet als aktuelle Unterauftragsverarbeiter von DataFast AWS, Vercel, Mapbox, OpenAI, MongoDB, Upstash, TinyBird und ClickHouse. Sie besagt außerdem, dass sich der Großteil der DataFast-Infrastruktur außerhalb der EU befindet, einschließlich in den Vereinigten Staaten, und dass DataFast sich auf die Einhaltung anwendbarer Gesetze durch Unterauftragsverarbeiter stützt, einschließlich DSGVO-Standardvertragsklauseln, soweit relevant.
Für Checkout-Attribution kann die aktuelle Implementierung die
datafast_visitor_id aus dem Browser in einem Checkout-Request-Header an unser
Backend senden und sie anschließend in Dodo Payments-Checkout-Metadaten als
datafast_visitor_id speichern. Wenn die Dodo Payments/DataFast-Integration
konfiguriert ist, können erfolgreiche Zahlungsdaten an DataFast gesendet werden,
damit Umsatz Traffic-Quellen zugeordnet werden kann. Das Browser-Skript ist so
konfiguriert, dass DataFasts automatisches Zahlungstracking deaktiviert ist,
sodass Zahlungsattribution erwartungsgemäß über die explizite
Checkout-/Zahlungsintegration und nicht über automatische
URL-Parameter-Zahlungserkennung erfolgt.
Nach der Integrationsdokumentation von DataFast und Dodo Payments funktioniert
der DataFast/Dodo Payments-Umsatzattributionsfluss dadurch, dass das Cookie
datafast_visitor_id erfasst, diese Besucher-ID in Dodo Payments-Checkout-
Metadaten gespeichert und erfolgreiche Zahlungsdaten über DataFasts Payment API
oder die Dodo Payments DataFast-Integration an DataFast gesendet werden. Der
dokumentierte Zahlungs-Payload kann Betrag, Währung, Transaktions-ID und
datafast_visitor_id enthalten. Die Integrationsdokumentation von Dodo Payments
erklärt, dass der DataFast-API-Schlüssel in der Dodo Payments-Webhook-Integration
konfiguriert wird und nicht im clientseitigen Code offengelegt werden sollte.
Die DataFast-Anbieterdokumentation nennt keine einheitliche feste langfristige Aufbewahrungsdauer für Besucherdaten für alle zahlenden Kunden. Die DPA besagt, dass Kundenkontodaten bis zur Kontolöschung aufbewahrt werden, Besucherdaten langfristiger Kunden länger aufbewahrt werden, um historische Analytics bereitzustellen, und Löschung jederzeit angefordert werden kann. DataFasts öffentliche Datenschutzerklärung besagt, dass Test-Analytics und erhobene nicht-personenbezogene Daten einige Tage nach Ende der Testphase gelöscht werden, wenn der Kunde kein Abonnement abschließt.
Die DataFast-Anbieterdokumentation unterscheidet das Standardskript mit Cookies von einem separaten cookielosen Skript. Wir nutzen derzeit das Standardskript mit Cookies, nicht das cookielose Skript. DataFast gibt an, dass das Standardskript Cookies zur Besucheridentifikation verwendet und höhere Attributionsgenauigkeit bietet, während das cookielose Skript Cookies für die Zuweisung einer stabilen Browser-Besucher-ID vermeidet, aber eine geringere langfristige Attributionsgenauigkeit hat.
7.6 Aktueller Termly-Cookie-Scan
Der aktuelle Termly-Cookie-Bericht für DigiVisitenkarte weist den folgenden Scanstatus aus:
- letzter erfolgreicher Scan: 25. Mai 2026;
- gescannte Domain:
www.digivisitenkarte.de; - gescannte Seiten: 26;
- Cookies oder ähnliche Einträge in Verwendung: 11;
- Kategorieanzahlen: Essential (3), Advertising (0), Analytics (2), Performance (2), Social (0), Unclassified (4).
Der aktuelle Termly-Scan listet die folgenden Cookies und Browser-Speichereinträge:
| Kategorie laut Bericht | Anbieter / Quelle | Name | Domain | Gemeldeter Zweck |
|---|---|---|---|---|
| Essential | Termly | TERMLY_API_CACHE | www.digivisitenkarte.de | Speichert das Einwilligungsergebnis des Besuchers, um die Performance des Consent-Banners zu verbessern. |
| Essential | Cloudflare | __cf_bm | .vimeo.com | Wird von Cloudflare Bot Management oder Bot Fight Mode für durch Cloudflare geschützte Websites verwendet. |
| Essential | Django | csrf_token | www.digivisitenkarte.de | Schützt vor Hacking und böswilligen Akteuren. |
| Analytics | Adobe Analytics | s7 | www.digivisitenkarte.de | Erfasst Daten über Websitenutzung und Nutzerverhalten. |
| Analytics | Vimeo | vuid | .vimeo.com | Wird vom Vimeo-Player genutzt, um zu prüfen, ob bestimmte Player-Funktionen oder Präferenzen ausgewählt wurden. |
| Performance | Weglot | wglang | app.termly.io | Speichert den Sprachcode des Nutzers für das Weglot-Übersetzungsplugin. |
| Performance | Cloudflare | _cfuvid | .vimeo.com | Hilft, vertrauenswürdigen Webverkehr zu identifizieren, und unterstützt Sicherheit und Performance. |
| Unclassified | player.vimeo.com | LOCAL_STORAGE_ID_VIMEO_PLAYER | player.vimeo.com | Keine Beschreibung im Termly-Scan gefunden. |
| Unclassified | player.vimeo.com | LOCAL_STORAGE_ID_PICOX_ID | player.vimeo.com | Keine Beschreibung im Termly-Scan gefunden. |
| Unclassified | player.vimeo.com | PLAYER_PICOX_SAMPLING_SEED | player.vimeo.com | Keine Beschreibung im Termly-Scan gefunden. |
| Unclassified | DigiVisitenkarte | NEXT_LOCALE | www.digivisitenkarte.de | Keine Beschreibung im Termly-Scan gefunden; wird von der Anwendung als Spracheinstellung verwendet. |
Der Termly-Scan meldete zum Zeitpunkt des Scans keine Werbe-Cookies. Da das Verhalten von Google Tag Manager und Google Ads von der bereitgestellten Container- und Google Ads-Dashboard-Konfiguration abhängt, sollte der Cookie-Bericht nach Finalisierung des GTM- und Google Ads-Setups erneut geprüft werden.
Cookie-Richtlinie:
https://www.digivisitenkarte.de/legal/cookies
Wartungshinweis zur Cookie-Richtlinie:
Die Cookie-Tabelle sollte mit den bereitgestellten Termly-
Einwilligungskategorien, den Inhalten des GTM-Containers, Anbieter-Cookies und
Local-Storage-Schlüsseln abgestimmt bleiben. Die aktuellen Termly-Scan-Daten für
www.digivisitenkarte.de sind oben aufgeführt. Die Codeprüfung bestätigt die
anwendungsseitige Nutzung von Termly, Firebase Analytics, Google Tag Manager,
Google Ads dataLayer-Events, Google Consent Mode, DataFast, Google Maps/Places,
Dodo Payments-Checkout, Google Wallet-Speicherlinks, Apple
Wallet-Zustellabläufen, anonymem Entwurfs-/Warenkorb-/Vorlagen-Local-Storage,
datafast_ignore und Weiterleitung von datafast_visitor_id. Von Anbietern
gesetzte Cookie-Namen, Laufzeiten und Klassifizierungen sollten in Termly und den
relevanten Anbieter-Dashboards gepflegt werden, wann immer sich Deployment oder
Anbieter-Setup ändern.
8. Standortdaten
Wir benötigen keine präzisen Standortdaten für den Kern-Kartengenerator oder die standardmäßige Wallet-Zustellung.
Standortdaten werden nur für optionale Apple Wallet-Lockscreen-Relevanzfunktionen verwendet. Wenn Sie die Funktion nutzen, können Sie entweder über Google Places nach einem Ort suchen oder dem Browser/Gerät erlauben, aktuelle Koordinaten bereitzustellen.
Wenn Sie Google Places-Suche verwenden, können Suchanfragen und ausgewählte Ortsinformationen von Google verarbeitet werden. Wir speichern die Google Place ID, die benötigt wird, um den ausgewählten Ort später aufzulösen. Anzeigelabels und Adressen können zur Laufzeit aufgelöst werden.
Wenn Sie den aktuellen Gerätestandort nutzen, kann Ihr Browser oder Gerät um Erlaubnis bitten. Wir können die ausgewählten Breiten- und Längengrade für die Karte oder Gruppe speichern, damit Apple Wallet den Standort für Relevanz verwenden kann. Sie können Standortberechtigung verweigern oder Standortzugriff in Ihrem Browser oder Gerät deaktivieren.
9. Wie wir personenbezogene Daten verwenden
Wir verarbeiten personenbezogene Daten, um:
- den öffentlichen Kartengenerator bereitzustellen;
- Kartenentwürfe zu erstellen, zu speichern, wiederherzustellen und zu verwalten;
- QR-Codes zu generieren;
- Apple Wallet-Pässe zu generieren;
- Google Wallet-Objekte zu erstellen und zu aktualisieren;
- Wallet-Pässe und Speicherlinks zuzustellen;
- Konten zu erstellen und zu verwalten;
- E-Mail-Adressen zu verifizieren;
- Google-Anmeldung bereitzustellen, soweit ausgewählt;
- Gruppen, Vorlagen, gesperrte Felder und Bulk-Importe zu verwalten;
- Checkout, Zahlungen, Rechnungen, Erstattungen und Kundenportalzugang zu verarbeiten;
- Bestellungen und Kartenguthaben zu erfüllen;
- transaktionale E-Mails zu senden;
- Marketing-E-Mails zu senden, soweit Sie einwilligen;
- Kundensupport bereitzustellen;
- Missbrauch, Betrug, doppelte Sendungen und unbefugten Zugriff zu verhindern;
- die Dienste zu sichern und zu debuggen;
- Logs, Diagnosen und Audit-Trails zu führen;
- Cookie- und Einwilligungspräferenzen zu verwalten;
- Website- und Funktionsnutzung zu messen, soweit Analytics-Einwilligung vorliegt;
- Käufe und Warenkorbhandlungen Traffic-Quellen zuzuordnen, soweit Analytics- oder Werbeeinwilligung vorliegt;
- Google Ads-Conversions und Enhanced Conversions zu messen, soweit Werbeeinwilligung vorliegt;
- gesetzlichen, steuerlichen, buchhalterischen und regulatorischen Pflichten nachzukommen;
- unsere Nutzungsbedingungen durchzusetzen und Rechtsansprüche zu verteidigen;
- die Dienste zu verbessern und Funktionsnutzung zu verstehen.
10. Rechtsgrundlagen der Verarbeitung
Soweit die DSGVO, UK GDPR oder ähnliche Gesetze gelten, stützen wir uns auf die folgenden Rechtsgrundlagen.
Vertragserfüllung
Wir verarbeiten personenbezogene Daten, soweit dies erforderlich ist, um die Dienste bereitzustellen, einschließlich Kartenerstellung, Erzeugung von Wallet-Ausgaben, Verarbeitung des Checkouts, Erfüllung von Bestellungen, Kontoverwaltung, Versand transaktionaler E-Mails und Supportbereitstellung.
Einwilligung
Wir stützen uns auf Einwilligung, soweit diese erforderlich ist, einschließlich für Marketing-E-Mails, bestimmte Cookies oder Analytics-Technologien, optionale Browser-/Gerätestandortberechtigung und sonstige Verarbeitungen, die rechtlich eine Einwilligung erfordern.
Dies kann Einwilligung umfassen für:
- Analytics-Cookies, Skripte, SDKs und ähnliche Kennungen, einschließlich Firebase Analytics und DataFast, soweit aktiviert;
- Werbe-Cookies, Skripte, Pixel, Conversion-Tags und ähnliche Kennungen, einschließlich Google Tag Manager, Google Ads Conversion Tracking, Google Tag, Conversion Linker und Google Ads Enhanced Conversions, soweit aktiviert;
- Google Ads-zielgruppenbasierte Werbung, Remarketing, personalisierte Werbung, Performance Max-Zielgruppensignale und ähnliche Kampagnenoptimierungsfunktionen, soweit aktiviert;
- Senden gehashter Käufer-E-Mail-Daten an Google für Enhanced-Conversion- Matching, soweit Werbeeinwilligung erforderlich ist;
- Übermittlung des Einwilligungsstatus an Google-Tags über Google Consent Mode;
- optionale Browser-/Gerätestandortberechtigung für die Auswahl des aktuellen Standorts.
Sie können Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Verarbeitung, die vor dem Widerruf erfolgt ist, und berührt keine Verarbeitung auf Grundlage anderer Rechtsgrundlagen.
Gesetzliche Pflichten
Wir verarbeiten Informationen, soweit dies erforderlich ist, um gesetzlichen Pflichten nachzukommen, einschließlich Steuer-, Buchhaltungs-, Rechnungs-, Verbraucherrechts-, Handelsrechts-, regulatorischer und Aufbewahrungspflichten.
Berechtigte Interessen
Wir verarbeiten Informationen, soweit dies für berechtigte Interessen erforderlich ist, sofern diese Interessen nicht durch Ihre Rechte und Freiheiten überwogen werden. Diese Interessen können umfassen:
- Sicherung der Dienste;
- Verhinderung von Betrug und Missbrauch;
- Debugging und Wartung von Systemen;
- Führung notwendiger technischer Logs und Betriebsdiagnosen;
- Durchsetzung rechtlicher Bedingungen;
- Verwaltung von Support und Streitigkeiten;
- Führung von Audit-Trails;
- Verbesserung des Produkts;
- Verhinderung wiederholter Kartenverteilungssendungen;
- Betrieb erforderlicher Geschäftsverwaltung.
Lebenswichtige Interessen
Wir können Informationen verarbeiten, soweit dies erforderlich ist, um lebenswichtige Interessen zu schützen, zum Beispiel wenn eine mögliche Bedrohung für die Sicherheit einer Person besteht. Dies dürfte selten vorkommen.
11. Wann und mit wem wir personenbezogene Daten teilen
Wir können personenbezogene Daten mit Dienstleistern, Auftragsverarbeitern und anderen Empfängern teilen, soweit dies erforderlich ist, um die Dienste bereitzustellen, zu sichern, zu unterstützen und zu verbessern.
11.1 Hauptempfänger und Anbieter
| Anbieter oder Kategorie | Zweck | Beispieldaten |
|---|---|---|
| Firebase / Google Cloud | Authentifizierung, Datenbank, Backend-Funktionen, Storage, hostingbezogene Infrastruktur, Analytics, soweit aktiviert | Kontodaten, Kartendaten, Assets, Logs, technische Daten |
| Google Tag Manager | Einwilligungsabhängiges Tag-Management und Laden von Analytics- oder Werbetags | technische Browserdaten, Einwilligungsstatus, Tag-Auslösungsdaten, konfigurierte Tag-Payloads |
| Google Ads / Google Tag / Conversion Linker | Werbe-Conversion-Messung, Attribution, Google Consent Mode, Enhanced Conversions, zielgruppenbasierte Werbung und Kampagnenoptimierung, soweit aktiviert | Bestell-ID, Wert, Währung, Kartenanzahl, Anzeigenklickkennungen, gehashte Käufer-E-Mail, Zielgruppen- und Kampagnendaten |
| DataFast | Website-Analytics, Analyse von Traffic-Quellen, Umsatzattribution | Besucher-ID, Cookie-Kennungen, Seitenaktivität, Referrer, UTM-/Anzeigenklickdaten, Checkout-/Zahlungsattributionsdaten |
| Google Wallet / Google APIs | Erstellung, Aktualisierung, Speicherung und Anzeige von Google Wallet-Karten | Kartenanzeigedaten, QR-Nutzdaten, Logobild-URLs, Wallet-Objekt-IDs |
| Google Maps / Places | Optionale Apple Wallet-Standortsuche und Reverse Geocoding | Suchanfragen, Place IDs, Koordinaten, Adressen |
| Apple Wallet / APNs | Apple Wallet-Passinstallation, Update-Registrierung und Unterstützung von Push-Aktualisierungen | Passdaten, Passkennungen, Device Library Identifiers, APNs-Push-Tokens |
| Dodo Payments | Gehosteter Checkout, Zahlungsabwicklung, Kundenportal, Rechnungen, Zahlungsstatus | Bestelldaten, Checkout-Daten, Kunden-E-Mail, Zahlungsreferenzen |
| Resend | Transaktionale E-Mail-Zustellung | Empfänger-E-Mail, Absenderlabel, E-Mail-Inhalt, Anhänge, Nachrichten-IDs |
| Termly | Rechtstext-Einbettungen, Cookie-Richtlinie, Tools für Einwilligungspräferenzen | Einwilligungspräferenzdaten, technische Browserdaten je nach Termly-Konfiguration |
| OpenAI | Nur adminseitige Erstellung von Werbebildern, soweit genutzt | Admin-Prompts, optional von Admins hochgeladene Referenzbilder, generierte Bildausgaben, technische Metadaten |
| Hosting-, Logging-, Monitoring-, Sicherheits- und Entwicklungstools | Betrieb, Diagnostik, Sicherheit, Tests und Support | Logs, Fehlerdaten, technische Metadaten |
| Professionelle Berater | Rechts-, Steuer-, Buchhaltungs-, Compliance- und Unternehmensberatung | relevante Konto-, Abrechnungs-, Support- oder Rechtsunterlagen |
| Behörden, Gerichte und Regulierungsstellen | Rechtliche Compliance und Verteidigung von Ansprüchen | gesetzlich oder verfahrensrechtlich erforderliche Unterlagen |
Anbieterrollen können je nach Dienst, Funktion und Kontokonfiguration unterschiedlich sein. Einige Anbieter können für verschiedene Verarbeitungstätigkeiten als Auftragsverarbeiter, eigenständige Verantwortliche oder beides handeln. Dies sollte anhand der anwendbaren Auftragsverarbeitungsvereinbarungen, Produktbedingungen und Kontoeinstellungen bestätigt werden, insbesondere für Google Ads, Google Tag Manager, DataFast, Dodo Payments, Wallet-Anbieter und Identitäts-/Authentifizierungsanbieter.
OpenAI ist im Code als adminseitiger Anbieter für Werbebilderzeugung identifiziert. OpenAI wird nicht für gewöhnliche Kartenerstellung, Wallet-Erstellung, Checkout, Kundensupport oder transaktionale E-Mails genutzt. Wenn ein Administrator personenbezogene Daten in einen Prompt oder ein Referenzbild aufnimmt, können diese Informationen von OpenAI für die Bilderzeugungsanfrage verarbeitet werden.
11.2 Unternehmenstransaktionen
Wir können Informationen im Zusammenhang mit einer Fusion, einem Verkauf von Unternehmensvermögen, einer Finanzierung, einem Erwerb, einer Umstrukturierung oder einer ähnlichen Transaktion teilen oder übertragen, die unser Unternehmen ganz oder teilweise betrifft.
11.3 Verbundene Unternehmen
Wir können Informationen mit verbundenen Unternehmen oder Einheiten unter gemeinsamer Kontrolle teilen, soweit dies für den Betrieb der Dienste erforderlich ist, vorausgesetzt, sie beachten diese Datenschutzerklärung oder gleichwertige Datenschutzpflichten.
11.4 Öffentlicher oder empfängerbezogener Zugriff durch das Produkt
Das Produkt selbst kann personenbezogene Daten offenlegen, wenn Sie bewusst eine Karte, einen QR-Code, einen Wallet-Pass, einen Speicherlink, eine direkte URL oder eine Verteilungs-E-Mail teilen.
Jede Person, die einen direkten vCard-QR-Code erhält oder scannt, kann möglicherweise auf die codierten Kontaktdaten zugreifen.
Jede Person mit einem gültigen Bearer-Zustelllink kann bis zum Ablauf oder Widerruf des Links möglicherweise auf die zugehörige Wallet-Zustellaktion zugreifen.
12. Internationale Übermittlungen
Wir sind in Deutschland ansässig. Einige Anbieter und Empfänger können personenbezogene Daten in Deutschland, im Europäischen Wirtschaftsraum, in den Vereinigten Staaten, Belgien oder anderen Ländern verarbeiten, in denen unsere Anbieter tätig sind.
Soweit personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums, des Vereinigten Königreichs oder der Schweiz übermittelt werden, stützen wir uns, soweit erforderlich, auf geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln, Auftragsverarbeitungsvereinbarungen, Übermittlungsgarantien von Anbietern oder andere rechtmäßige Übermittlungsmechanismen.
Die folgende anbieterspezifische Zusammenfassung basiert auf Codeprüfung des Projekts, Repository-Dokumentation, für diesen Entwurf bereitgestellten Informationen und am 25. Mai 2026 geprüfter öffentlicher Anbieterdokumentation. Unterauftragsverarbeiterlisten und Übermittlungsbedingungen von Anbietern können sich im Laufe der Zeit ändern; die anbieterverwalteten Links und Unterlagen sollten als maßgebliche Quelle für die jeweils aktuelle vertragliche Lage behandelt werden.
12.1 Firebase und Google Cloud
Wir nutzen Firebase- und Google Cloud-Dienste für Authentifizierung, Backend-Funktionen, Datenbankdienste, Storage, Logs und damit verbundene Infrastruktur. Firebase- und Google Cloud-Dienste werden von Google-Einheiten bereitgestellt und können Google-verbundene Unternehmen und Unterauftragsverarbeiter Dritter einbeziehen.
Google veröffentlicht eine Firebase-Unterauftragsverarbeiterliste und eine breitere Google Cloud-Unterauftragsverarbeiterliste. Die Firebase-Liste nennt derzeit Accenture, EPAM Systems, Fastly und Firebase, Inc. für spezifische Firebase-Support-, Hosting- und Dienstleistungsaktivitäten und erläutert, dass Firebase-Funktionen auch relevante Google Cloud-Unterauftragsverarbeiter verwenden können. Die Google Cloud-Unterauftragsverarbeiterliste ist eine große, anbieterverwaltete Liste, die Einheiten, Tätigkeiten, Verarbeitungsländer und relevante Dienste nennt.
Für Firebase- und Google Cloud-Verarbeitung sollte die aktuelle Übermittlungslage auf den anwendbaren Firebase Data Processing and Security Terms, dem Google Cloud Data Processing Addendum, den Google Cloud/Firebase- Unterauftragsverarbeiterlisten und etwaigen Google Cloud-Konto-Regionseinstellungen beruhen. Google-Dokumentation gibt an, dass das Cloud Data Processing Addendum Standardvertragsklauseln für anwendbare EU-, UK- und Schweizer Übermittlungsanforderungen enthält.
12.2 Google Tag Manager, Google Ads und Google Consent Mode
Wir nutzen Google Tag Manager, Google Tags, Google Consent Mode, Google Ads Conversion Tracking, Conversion Linker, Enhanced Conversions und, soweit im Google Ads-Konto oder in Kampagnen aktiviert, zielgruppenbasierte Werbung, Remarketing, personalisierte Werbung, Performance Max-Zielgruppensignale oder ähnliche Kampagnenoptimierungsfunktionen.
Googles veröffentlichte Ads-Serviceinformationen nennen relevante Kategorien personenbezogener Daten für die in diesem Entwurf verwendeten Dienste, einschließlich Online-Kennungen wie Cookie-Kennungen, IP-Adressen, Gerätekennungen, Clientkennungen und, für Enhanced Conversions, Kundendaten wie Namen, E-Mail-Adressen, Telefonnummern, Adressen, Clientkennungen und Online-Kennungen, abhängig davon, was der Werbetreibende bereitstellt. Für dieses Projekt ist das einzige absichtlich zugeordnete nutzerbereitgestellte Enhanced-Conversion-Feld die SHA-256-gehashte Käufer-E-Mail-Adresse.
Googles EU User Consent Policy verlangt rechtlich wirksame Einwilligung für Cookies oder Local Storage, soweit rechtlich erforderlich, und für die Erhebung, Weitergabe und Nutzung personenbezogener Daten zur Anzeigenpersonalisierung für Nutzer im EWR, im Vereinigten Königreich und in der Schweiz. Die aktuelle Implementierung ist so konzipiert, dass die bekannten Google-Werbe- und Analytics-Tags erst geladen und ausgelöst werden, nachdem die relevante Termly-Einwilligung vorliegt, und dass der Einwilligungsstatus über Google Consent Mode übermittelt wird.
Je nach konkretem Google Ads-Dienst und Konfiguration kann Google als Auftragsverarbeiter, eigenständiger Verantwortlicher oder Verantwortlicher-zu-Verantwortlicher-Empfänger handeln. Übermittlungs- und Unterauftragsverarbeitergarantien sollten anhand der anwendbaren Google Ads Data Protection Terms, Google Controller-Controller Data Protection Terms, Google Ads-Serviceinformationen, Google EU User Consent Policy und Kontoeinstellungen bewertet werden.
12.3 Google Maps, Places, Wallet und Google APIs
Google Maps/Places wird nur genutzt, wenn ein Nutzer die optionale Ortssuche oder Standortfunktion aktiv verwendet. Die Google Maps Platform-Bedingungen verlangen einen nutzerseitigen Hinweis, dass die Anwendung Google Maps-Funktionen enthält und dass Google Maps-Funktionen den anwendbaren Bedingungen und der Datenschutzerklärung von Google unterliegen.
Google Wallet wird genutzt, wenn wir Google Wallet-Karten erstellen, aktualisieren, anzeigen oder Speicherlinks dafür bereitstellen. Die Datenschutz- und Bedingungsmaterialien von Google Wallet verweisen Nutzer auf die Google Datenschutzerklärung, die Google Nutzungsbedingungen, die Google Wallet User Policy und, soweit Zahlungsfunktionen betroffen sind, die Google Payments-Bedingungen. Dieser Dienst nutzt Google Wallet nicht als Zahlungsmittel; er nutzt Google Wallet für digitale Kartenpässe.
Soweit Google APIs und Google-Anmeldung genutzt werden, muss unsere Nutzung und Übermittlung von Informationen, die wir von Google APIs erhalten, der Google API Services User Data Policy entsprechen, einschließlich der Limited Use-Anforderungen, soweit anwendbar.
12.4 Apple Wallet und Apple Push Notification Service
Apple Wallet und APNs werden verwendet, um Apple Wallet-Pässe zu generieren, zu installieren, zu aktualisieren und zuzustellen. Apple kann Wallet-, Geräte-, Diagnose-, Konto- und APNs-Daten nach eigenen Bedingungen und eigener Datenschutzdokumentation verarbeiten. Apples Entwicklerbedingungen regeln die APNs-Nutzung für Pässe und verlangen die Einhaltung anwendbarer Gesetze und Apple-Programmanforderungen.
Für diesen Entwurf wird Apple am besten als eigenständiger Plattformanbieter für Apple Wallet, Geräte, iCloud, Diagnostik, APNs und damit verbundene Apple-Dienste beschrieben, nicht als gewöhnlicher Auftragsverarbeiter, der für alle Apple-seitigen Verarbeitungen unseren direkten Weisungen unterliegt. Unsere eigenen Apple Wallet-Update-Service-Daten verarbeiten wir separat, wie in den Apple Wallet-Abschnitten dieser Erklärung beschrieben.
12.5 DataFast
Für DataFast benennt die öffentliche DataFast-DPA JustShipIt Pte. Ltd., handelnd als DataFast, als Auftragsverarbeiter für die Analytics-Daten des Kunden. Sie listet AWS, Vercel, Mapbox, OpenAI, MongoDB, Upstash, TinyBird und ClickHouse als aktuelle Unterauftragsverarbeiter und gibt an, dass sich der Großteil der DataFast-Infrastruktur außerhalb der EU befindet, einschließlich in den Vereinigten Staaten, mit Rückgriff auf die Einhaltung durch Unterauftragsverarbeiter und DSGVO-Standardvertragsklauseln, soweit relevant.
Das aktuelle Projekt nutzt DataFasts Standardskript mit Cookies, geladen nach
Analytics-Einwilligung, und leitet datafast_visitor_id für Umsatzattribution,
soweit anwendbar, an Checkout-Metadaten weiter. DataFasts öffentliche DPA
besagt, dass DataFast Daten nur verarbeitet, um Analytics, Reporting und damit
verbundene Funktionen bereitzustellen, und Kundendaten nicht für eigenes
Marketing oder Profiling verwendet.
12.6 Dodo Payments
Für Dodo Payments besagt die öffentliche Dodo Payments-DPA, dass Dodo Payments als eigenständiger Verantwortlicher handelt, wenn es als Merchant of Record für käuferseitige Transaktionsverarbeitung, Zahlungsabwicklung, Betrugserkennung, Risikoanalyse, Sanktionsscreening, regulatorische Compliance, Steuerberechnung und -abführung, Chargeback- und Streitbehandlung sowie damit verbundene rechtliche Verkäuferaktivitäten handelt.
Die Dodo Payments-DPA beschreibt außerdem Auftragsverarbeitungstätigkeiten, bei denen Dodo Payments personenbezogene Daten nach den dokumentierten Weisungen des Anbieters verarbeitet, zum Beispiel anbieterspezifische Analytics oder Übermittlung von Daten auf Weisung des Anbieters. Sie besagt, dass Dodo Payments Unterauftragsverarbeiter und Konzerngesellschaften einsetzen kann, eine aktuelle Unterauftragsverarbeiterliste auf schriftliche Anfrage für Anbieter bereithält und personenbezogene Daten außerhalb des EWR und des Vereinigten Königreichs übermitteln kann. Die DPA beschreibt Übermittlungsmechanismen einschließlich Standardvertragsklauseln, des EU-US Data Privacy Framework, soweit anwendbar, oder anderer gültiger Übermittlungsmechanismen nach anwendbarem Datenschutzrecht.
Die Dodo Payments-DPA nennt in ihrem Abschnitt zu technischen und organisatorischen Maßnahmen derzeit AWS-gehostete Infrastruktur und aktuelle Drittanbieter einschließlich Amazon Web Services, Airwallex, Stripe und Cashfree. Die Datenschutzerklärung von Dodo besagt, dass Dodo Payments personenbezogene Daten aufgrund der internationalen Natur seines Geschäfts innerhalb der Dodo Payments-Gruppe und an Dritte im Zusammenhang mit seinen angegebenen Zwecken übermittelt.
12.7 Resend
Wir nutzen Resend für transaktionale E-Mail-Zustellung. Resends öffentliche DPA
besagt, dass Resend autorisierte Unterauftragsverarbeiter einsetzen kann, die
aktuelle Liste unter https://resend.com/legal/subprocessors führt, Änderungen
vorab ankündigt und schriftliche Unterauftragsverarbeiterpflichten verwendet.
Resends DPA besagt außerdem, dass primäre Verarbeitungsvorgänge in den
Vereinigten Staaten stattfinden und dass Übermittlungen aus dem EWR, soweit
erforderlich, auf Grundlage der anwendbaren Module der
EU-Standardvertragsklauseln erfolgen.
Resends aktuelle öffentliche Unterauftragsverarbeiterliste umfasst unter anderem Amazon Web Services, Anthropic, Cloudflare, Datadog, Elastic, Google, Inngest, Liveblocks, Metabase, Plain, Retool, RunPod, Salesforce/Slack, Snowflake, Stripe, Supabase, Svix, Tinybird und Vercel.
12.8 Termly
Wir nutzen Termly für Rechtstext-Einbettungen, Cookie-Richtlinieninformationen, Einwilligungsverwaltung, Speicherung von Einwilligungspräferenzen und Cookie- Scanning. Termlys Privacy Center besagt, dass die DPA personenbezogene Daten abdeckt, die Termly im Auftrag von Kunden verarbeitet, einschließlich personenbezogener Daten von Besuchern und Plattformnutzern, und dass die DPA für Kunden, die Termly-Dienste nutzen, standardmäßig in die Terms of Use einbezogen ist.
Termly veröffentlicht eine öffentliche Unterauftragsverarbeiterliste. Die aktuelle Liste umfasst Dienstleister für Hosting, Analytics, Authentifizierung, Kundensupport, Geschäftsbetrieb, Kommunikation, Zahlungen und damit verbundene Dienste. Termlys Privacy Center besagt, dass Termly personenbezogene Daten in Drittländer übermitteln kann, einschließlich der Vereinigten Staaten, und dass Termly auf Standardvertragsklauseln zurückgreift, wenn kein angemessener Rechtsrahmen oder Angemessenheitsbeschluss gilt.
Termlys Supportdokumentation besagt, dass neue EU-Konten automatisch standardmäßig das EU-Rechenzentrum für Besucher-Einwilligungsdaten nutzen, dass bestehende Kunden die Migration zu EU-only-Speicherung von Einwilligungsdaten anfordern können und dass die kontospezifische Consent-Domain im Termly-Dashboard geprüft werden kann. Für dieses Projekt sollten Termly-Einwilligungsdaten im EU-Rechenzentrum gehalten werden, soweit das Konto diese Konfiguration unterstützt.
12.9 OpenAI Admin-Werbebilderzeugung
Das Repository enthält einen nur adminseitigen Workflow zur Erstellung von Werbebildern, der die OpenAI API nutzt. Der Browser sendet Admin-Prompts und optional von Admins hochgeladene Referenzbilder an die Admin-API, das Backend ruft OpenAI auf, und das generierte PNG wird in Firebase Storage gespeichert. Optionale Referenzbilder werden für die Generierungsanfrage an OpenAI weitergeleitet und von dieser Anwendung nicht in Firebase Storage persistiert.
Dieser OpenAI-Workflow ist nicht Teil gewöhnlicher Nutzer-Kartenerstellung, Wallet-Erstellung, Checkout, Zahlung, transaktionaler E-Mail, Analytics oder Kundensupport. Wenn personenbezogene Daten in einem Admin-Prompt oder Referenzbild enthalten sind, kann OpenAI diese für die API-Anfrage verarbeiten. OpenAIs API-Datenkontrollen besagen, dass API-Daten nicht zum Training von OpenAI-Modellen verwendet werden, sofern das Konto nicht opt-in erteilt, und beschreiben standardmäßige Missbrauchsmonitoring-Aufbewahrung und verfügbare Aufbewahrungskontrollen. OpenAI veröffentlicht eine DPA und Unterauftragsverarbeiterliste für API-Dienste.
12.10 Praktische Position zur Übermittlungsprüfung
Nach der aktuellen Projektprüfung sind die wichtigsten Risikobereiche für die anwaltliche Prüfung internationaler Übermittlungen Google-Werbung und Enhanced Conversions, DataFast-Analytics/Umsatzattribution, Dodo Payments als Merchant of Record und Auftragsverarbeiter für angewiesene Integrationen, Resend E-Mail-Zustellung, Termly-Einwilligungsspeicherung, Firebase/Google Cloud-Infrastruktur, Wallet-Anbieter-Verarbeitung durch Apple und Google sowie der nur adminseitige OpenAI-Werbebilder-Workflow.
Das Projekt sollte unterzeichnete oder akzeptierte Anbieter-DPAs, kontoabhängige Übermittlungseinstellungen, aktuelle Unterauftragsverarbeiter-URLs und Einwilligungs-/Cookie-Richtlinien-Einstellungen dokumentiert aufbewahren. Wenn Anbieter-Dashboards später neue Analytics-, Werbe-, KI-, Support-, Monitoring-, Chat-, E-Mail-Marketing- oder Zahlungsintegrationen aktivieren, sollten dieser Abschnitt und die Cookie-Richtlinie vor Veröffentlichung oder Deployment aktualisiert werden.
13. Wie lange wir personenbezogene Daten aufbewahren
Wir bewahren personenbezogene Daten nur so lange auf, wie es für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist, sofern keine längere Aufbewahrungsfrist gesetzlich erforderlich oder erlaubt ist.
Aktuelle Aufbewahrungsgrundsätze umfassen:
- Kontoprofildaten werden grundsätzlich aufbewahrt, solange das Konto besteht;
- nutzereigene Karten, nutzereigene Gruppen und nutzereigene Assets können im Rahmen der Kontoschließung gelöscht werden, vorbehaltlich rechtlicher und technischer Grenzen;
- unternehmenseigene Karten und geschäftliche Unternehmensunterlagen können auch dann aufbewahrt werden, wenn ein Nutzerkonto geschlossen wird;
- Abrechnungs-, Zahlungs-, Bestell-, Rechnungs-, Steuer-, Buchhaltungs-, Audit- und Rechtsunterlagen können so lange aufbewahrt werden, wie dies gesetzlich erforderlich oder erlaubt ist;
- anonyme Checkout-Erfolgslinks und Zustell-E-Mail-Erfolgslinks sind für kurze Zugriffsfenster konzipiert, derzeit ungefähr 24 Stunden;
- Checkout-Versuchsreservierungen sind temporär, derzeit ungefähr 30 Minuten;
- anonyme Vorlagen können nach einem fortlaufenden Inaktivitätszeitraum automatisch gelöscht werden, derzeit ungefähr 90 Tage;
- abgeschlossene Hintergrund-Workflow- und Jobdatensätze werden für Checkout-Nachverfolgung und Support aufbewahrt, derzeit ungefähr 40 Tage nach Terminalabschluss;
- Apple Wallet-Passdownloadlinks können kurzlebig sein;
- generierte Google Wallet-Bild-Assets können aufbewahrt werden, weil Google Wallet alte Bild-URLs asynchron cachen oder erneut abrufen kann;
- Wallet-Verteilungstokens können aktiv bleiben, um Kartenzustellung zu unterstützen, sofern sie nicht widerrufen, ersetzt oder nicht mehr benötigt werden;
- Logs, Diagnosen, Backups und Sicherheitsaufzeichnungen werden für angemessene betriebliche Zeiträume aufbewahrt;
- Einwilligungsdatensätze und Einwilligungspräferenzdatensätze können aufbewahrt werden, soweit dies erforderlich ist, um Einwilligungsentscheidungen nachzuweisen, zu beachten oder zu prüfen;
- Analytics- und Werbekennungen, Conversion-Datensätze, Attributionsdaten und Enhanced-Conversion-Datensätze können entsprechend den Einstellungen und Aufbewahrungsfristen aufbewahrt werden, die in Firebase, Google Ads, Google Tag Manager, DataFast, Dodo Payments, Termly und zugehörigen Anbieterkonten konfiguriert sind;
- DataFast-Kontodaten werden nach DataFasts öffentlicher DPA von DataFast bis zur Löschung des DataFast-Kontos aufbewahrt, und DataFast-Besucherdaten langfristiger Kunden werden länger aufbewahrt, um historische Analytics bereitzustellen, sofern keine Löschung beantragt wird oder eine andere Anbieteraufbewahrungsregel gilt;
- Dodo Payments kann personenbezogene Daten aufbewahren, soweit dies notwendig ist, um gesetzlichen oder regulatorischen Pflichten nachzukommen, Rechtsansprüche zu begründen, auszuüben oder zu verteidigen oder Betrug zu verhindern, gemäß seiner öffentlichen DPA;
- Supportkorrespondenz kann aufbewahrt werden, soweit dies zur Bearbeitung von Support, Streitigkeiten und Rechtsansprüchen erforderlich ist.
Wenn wir keinen fortbestehenden Bedarf oder keine Rechtsgrundlage mehr für die Verarbeitung personenbezogener Daten haben, werden wir sie löschen, anonymisieren oder isolieren, soweit angemessen. Backup-Kopien können für einen begrenzten Zeitraum bestehen bleiben, bis sie entsprechend den Backup-Zyklen überschrieben oder gelöscht werden.
Die Termly-Standardaussage, dass kein Zweck die Aufbewahrung von Daten länger als drei Monate nach Kontobeendigung erfordert, sollte ohne anwaltliche Prüfung nicht verwendet werden, weil Bestell-, Zahlungs-, Steuer-, Audit-, Unternehmens- und Wallet-Datensätze längere Aufbewahrung erfordern können.
Wartungshinweis zur Anbieteraufbewahrung:
Code und Repository-Dokumentation bestätigen app-eigene Aufbewahrungsfenster für ungefähr 24-stündige anonyme Checkout-Erfolgs- und Zustell-E-Mail- Zugriffslinks, 30-minütige Checkout-Versuchsreservierungen, 90-tägige fortlaufende Bereinigung anonymer Vorlagen und 40-tägige Bereinigung abgeschlossener Hintergrund-Workflow-/Jobdatensätze. Öffentliche DataFast- und Dodo Payments-DPA-Formulierungen wurden oben einbezogen. Externe Aufbewahrungseinstellungen für Firebase Analytics, Google Ads-Conversion-Daten, Google Tag Manager-Diagnosedaten, Termly-Einwilligungsdatensätze, Anbieter-Logs, Server-/Runtime-Logs und kontospezifische DataFast- oder Dodo Payments-Einstellungen sind Anbieter-Kontoeinstellungen und sollten mit diesem Aufbewahrungsabschnitt konsistent gehalten werden.
14. Wie wir personenbezogene Daten schützen
Wir verwenden angemessene technische und organisatorische Maßnahmen, die dazu bestimmt sind, personenbezogene Daten zu schützen, einschließlich Zugriffskontrollen, Sicherheitsmaßnahmen von Anbietern, Token-Hashing für viele anonyme Zugriffsabläufe, privatem Storage für Original-Assets, signierten URLs, soweit angemessen, Validierung, Authentifizierung und Backend- Autorisierungsprüfungen.
Keine elektronische Übertragung über das Internet und keine Speichertechnologie kann jedoch zu 100 % sicher garantiert werden. Wir können nicht garantieren, dass unbefugte Dritte Sicherheitsmaßnahmen niemals überwinden oder Informationen unrechtmäßig erheben, abrufen, stehlen oder verändern.
Sie sollten auf die Dienste nur in einer sicheren Umgebung zugreifen und Konto-Zugangsdaten, Wallet-Zustelllinks, Claim-Links und anonyme Zugriffslinks schützen.
15. Kinder
Die Dienste sind für Nutzer bestimmt, die mindestens 18 Jahre alt sind. Wir erheben wissentlich keine Daten von Kindern unter 18 Jahren und richten kein Marketing wissentlich an diese.
Wenn wir erfahren, dass personenbezogene Daten einer Person unter 18 Jahren ohne angemessene Berechtigung erhoben wurden, werden wir angemessene Schritte unternehmen, um die betreffenden Daten zu löschen oder zu deaktivieren, soweit erforderlich.
Wenn Ihnen Daten bekannt werden, die wir möglicherweise von einer Person unter 18 Jahren erhoben haben, kontaktieren Sie uns bitte.
16. Ihre Datenschutzrechte
Je nachdem, wo Sie sich befinden und welche Gesetze gelten, können Sie das Recht haben:
- Auskunft über personenbezogene Daten zu verlangen;
- eine Kopie personenbezogener Daten zu verlangen;
- Berichtigung unrichtiger Informationen zu verlangen;
- Löschung von Informationen zu verlangen;
- Einschränkung der Verarbeitung zu verlangen;
- der Verarbeitung zu widersprechen;
- Datenübertragbarkeit zu verlangen;
- Einwilligung zu widerrufen, soweit die Verarbeitung auf Einwilligung beruht;
- Direktmarketing zu widersprechen;
- Beschwerde bei einer Aufsichtsbehörde einzulegen;
- nicht Entscheidungen unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruhen, soweit solche Entscheidungen rechtliche oder ähnlich erhebliche Wirkungen haben.
Wir verwenden derzeit keine ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich erhebliche Wirkungen entfalten.
Wir prüfen und bearbeiten Datenschutzanfragen entsprechend den anwendbaren Datenschutzgesetzen. Wir müssen möglicherweise Ihre Identität verifizieren, bevor wir antworten.
Sie können außerdem das Tool für Einwilligungspräferenzen nutzen, soweit verfügbar, um Einwilligung für nicht erforderliche Analytics- und Werbetechnologien zu verweigern oder zu widerrufen. Dadurch werden nicht zwingend bereits vor dem Widerruf erstellte Datensätze gelöscht; es ist jedoch darauf ausgelegt, weitere einwilligungsbasierte Verarbeitung über diese Technologien aus dem aktuellen Browser künftig zu verhindern.
Wenn Sie sich im EWR befinden und glauben, dass wir Ihre personenbezogenen Daten rechtswidrig verarbeiten, haben Sie das Recht, sich bei Ihrer lokalen Datenschutzaufsichtsbehörde zu beschweren. Sie können auch die für die palmstudio GmbH zuständige deutsche Aufsichtsbehörde kontaktieren:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Deutschland
Website: https://www.datenschutz.rlp.de
Wenn Sie sich im Vereinigten Königreich oder in der Schweiz befinden, können Sie das Recht haben, das UK Information Commissioner's Office oder den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zu kontaktieren.
17. Kontoschließung und Löschung
Registrierte Nutzer können die Kontoschließung über den verfügbaren Kontolöschungsablauf oder durch Kontaktaufnahme mit uns verlangen.
Die aktuelle Kontoschließung kann:
- das Nutzerkontoprofil löschen;
- das Firebase Auth-Konto löschen;
- nutzereigene Karten löschen;
- nutzereigene Gruppen löschen;
- nutzereigene Assets und zugehörige Storage-Objekte löschen, soweit möglich;
- App-Capability-Tokens und Wallet-Verteilungslinks für gelöschte nutzereigene Karten löschen oder widerrufen;
- nutzereigene Kartenguthaben löschen;
- den authentifizierten Warenkorb löschen;
- ausstehenden unbezahlten App-Checkout-Status abbrechen;
- Unternehmensmitgliedschaften als verlassen markieren;
- unternehmenseigene Karten dem schließenden Nutzer entziehen;
- direkte Kontoreferenzen aus erhaltenen App-Datensätzen entfernen, soweit möglich.
Die aktuelle Kontoschließung kann aufbewahren:
- unternehmenseigene Karten und Gruppen;
- geschäftliche Unternehmensdaten;
- Abrechnungsunterlagen;
- Zahlungsunterlagen;
- Bestellunterlagen;
- Audit- und Rechtsunterlagen;
- systemeigene generierte Assets;
- Unterlagen, die für Steuer-, Buchhaltungs-, Rechts-, Betrugspräventions- oder Streitbeilegungszwecke erforderlich sind.
Kontoschließung kann blockiert werden, wenn Sie der letzte aktive Inhaber eines Unternehmens sind oder wenn Löschung rechtliche, betriebliche oder sicherheitsbezogene Anforderungen verletzen würde.
Das Löschen eines Kontos entfernt nicht zwingend Wallet-Pässe, die bereits in Apple Wallet oder Google Wallet gespeichert wurden, Kontaktdaten, die bereits von Dritten importiert wurden, oder Daten, die von Wallet-Anbietern, Zahlungsdienstleistern oder anderen Dritten unabhängig verarbeitet werden.
18. Do-Not-Track-Signale
Die meisten Webbrowser und einige mobile Betriebssysteme enthalten eine Do-Not-Track-Funktion oder -Einstellung ("DNT"). Derzeit wurde kein einheitlicher technischer Standard für die Erkennung und Umsetzung von DNT-Signalen finalisiert. Wir reagieren derzeit nicht auf DNT-Browsersignale.
Einige Datenschutzgesetze unterscheiden ältere DNT-Signale von anerkannten Opt-out-Präferenzsignalen, zum Beispiel Global Privacy Control ("GPC"), die eine Entscheidung eines Nutzers über den Opt-out aus Verkauf, Weitergabe oder zielgerichteter Werbung übermitteln können. Soweit anwendbares Recht verlangt, dass wir ein anerkanntes Opt-out-Präferenzsignal beachten, behandeln wir dieses Signal als Anfrage zum Opt-out aus Verkauf, Weitergabe, zielgerichteter Werbung oder ähnlicher Verarbeitung in dem nach diesem Recht erforderlichen und durch unser Einwilligungsmanagement unterstützten Umfang.
Nutzer können Analytics- und Werbepräferenzen außerdem über die von Termly bereitgestellten Cookie- und Einwilligungspräferenzen verwalten. Wenn wir Werbung oder Tracking in Rechtsordnungen, die anerkannte Opt-out-Präferenzsignale verlangen, wesentlich ausweiten, werden wir das Einwilligungsmanagement entsprechend konfigurieren und diese Datenschutzerklärung sowie die Cookie-Richtlinie bei Bedarf aktualisieren.
19. Regionale Rechte
Wir sind in Deutschland niedergelassen und betreiben die Dienste von Deutschland aus. Diese Datenschutzerklärung und unser Datenschutzprogramm sind daher vorrangig an der DSGVO sowie den damit verbundenen deutschen und europäischen Datenschutzgesetzen ausgerichtet.
Die Dienste können auch international verfügbar gemacht werden, einschließlich für Kunden in den Vereinigten Staaten, und wir können Werbekampagnen durchführen, die Nutzer in den Vereinigten Staaten erreichen. Internationale Verfügbarkeit und US-Werbung ändern weder unsere deutsche Niederlassung noch unsere an der DSGVO ausgerichtete Grundlage. Sie schließen auch zwingende lokale Datenschutzgesetze nicht aus, soweit diese auf uns anwendbar sind.
Nutzer im Vereinigten Königreich oder in der Schweiz können außerdem Rechte nach UK GDPR, UK Data Protection Act oder Schweizer Datenschutzrecht haben.
19.1 Datenschutzrechte in den Vereinigten Staaten
Wenn Sie in den Vereinigten Staaten ansässig sind, können Sie zusätzliche Rechte nach anwendbaren Datenschutzgesetzen einzelner US-Bundesstaaten haben, sofern diese Gesetze auf uns anwendbar sind. Ob ein bestimmtes US-Bundesstaaten-Datenschutzgesetz gilt, kann von Faktoren abhängen wie Ihrem Wohnsitzstaat, ob unsere Produkte oder Dienste auf Einwohner dieses Staates ausgerichtet sind, der Anzahl der Einwohner, deren personenbezogene Daten wir verarbeiten, Umsatzschwellen sowie davon, ob personenbezogene Daten für zielgerichtete Werbung, Verkauf, Weitergabe oder bestimmte Profiling-Aktivitäten verwendet werden.
Je nach anwendbarem Recht können US-Datenschutzrechte umfassen:
- das Recht zu erfahren, ob wir personenbezogene Daten über Sie verarbeiten;
- das Recht auf Zugriff auf Kategorien oder Kopien personenbezogener Daten;
- das Recht, unrichtige personenbezogene Daten berichtigen zu lassen;
- das Recht, personenbezogene Daten löschen zu lassen;
- das Recht, eine übertragbare Kopie personenbezogener Daten zu erhalten;
- das Recht auf Opt-out aus Verkauf, Weitergabe, zielgerichteter Werbung oder bestimmten Profiling-Aktivitäten;
- das Recht, die Nutzung oder Offenlegung sensibler personenbezogener Daten zu beschränken, soweit dieses Recht gilt;
- das Recht, wegen der Ausübung von Datenschutzrechten nicht diskriminiert zu werden;
- das Recht, gegen eine abgelehnte Datenschutzanfrage Beschwerde einzulegen, soweit ein solches Beschwerderecht gilt.
Wir verkaufen personenbezogene Daten nicht absichtlich gegen Geld. Einige US-Bundesstaaten-Datenschutzgesetze definieren "Verkauf", "Weitergabe" oder "zielgerichtete Werbung" jedoch weit. Je nach finaler Anbieter-Konfiguration können Werbe- und Attributionstools wie Google Ads, Google Tags, Conversion Linker, zielgruppenbasierte Werbung, Performance Max-Zielgruppensignale, Remarketing, personalisierte Werbung, DataFast-Attribution oder ähnliche Technologien nach bestimmten US-Bundesstaaten-Datenschutzgesetzen als Verkauf, Weitergabe oder zielgerichtete Werbung behandelt werden.
Soweit anwendbare Datenschutzgesetze einzelner US-Bundesstaaten dies verlangen, können Sie über die auf den Diensten bereitgestellten Cookie- und Einwilligungspräferenzen, durch Verwendung eines anerkannten Opt-out-Präferenzsignals, soweit unterstützt und rechtlich erforderlich, oder durch Kontaktaufnahme mit uns unter dem in dieser Erklärung angegebenen Datenschutzkontakt aus Verkauf, Weitergabe, zielgerichteter Werbung oder ähnlicher Verarbeitung opt-out erklären.
Wir müssen Ihre Anfrage möglicherweise verifizieren, bevor wir darauf reagieren. Wir können eine Anfrage ablehnen oder beschränken, soweit dies gesetzlich erlaubt ist, zum Beispiel wenn wir Informationen für Sicherheit, Betrugsprävention, Zahlungsabwicklung, Steuer- oder Buchhaltungsunterlagen, Vertragserfüllung, Rechtsansprüche oder andere gesetzlich erlaubte Zwecke benötigen.
Wir enthalten derzeit keine gesonderten bundesstaatsspezifischen Hinweise für jeden US-Bundesstaat. Wenn unsere US-Aktivitäten bundesstaatsspezifische Hinweis-, Opt-out-Link-, Beschwerde-, Sensible-Daten-, Universal-Opt-out- oder sonstige Anforderungen erfüllen, werden wir diese Datenschutzerklärung, die Cookie-Richtlinie und das Einwilligungsmanagement bei Bedarf aktualisieren.
19.2 Andere Regionen
Wir enthalten derzeit keine gesonderten Datenschutzabschnitte für Australien, Neuseeland, Südafrika oder andere außereuropäische Datenschutzgesetze, weil die Dienste diese Regionen derzeit nicht wesentlich als separate Märkte ansprechen. Wenn wir diese Regionen später wesentlich ansprechen, dort lokale Niederlassungen gründen oder regionalspezifischen Datenschutzgesetzen unterliegen, werden wir diese Datenschutzerklärung bei Bedarf aktualisieren.
20. Aktualisierungen dieser Erklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die aktualisierte Version wird durch ein aktualisiertes Datum oben in der Erklärung gekennzeichnet.
Wenn wir wesentliche Änderungen vornehmen, können wir Nutzer durch einen gut sichtbaren Hinweis, eine direkte Benachrichtigung, eine erneute Bestätigung oder eine andere angemessene Methode informieren, abhängig von Art der Änderung und anwendbarem Recht.
Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig zu prüfen.
21. Kontakt
Wenn Sie Fragen oder Anmerkungen zu dieser Datenschutzerklärung oder unserer Verarbeitung personenbezogener Daten haben, können Sie uns kontaktieren unter:
palmstudio GmbH Pfalzgrafenstraße 38 67434 Neustadt an der Weinstraße Deutschland
E-Mail: support@digivisitenkarte.de
Datenschutzkontakt:
E-Mail: support@digivisitenkarte.de
Wir haben keinen formellen Datenschutzbeauftragten bestellt, weil wir derzeit nicht davon ausgehen, gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet zu sein. Datenschutzanfragen und Datenschutzfragen sollten an den oben genannten Datenschutzkontakt gesendet werden.
22. Ihre Daten einsehen, aktualisieren oder löschen
Je nach anwendbarem Recht können Sie Auskunft über die personenbezogenen Daten verlangen, die wir über Sie erheben, Einzelheiten dazu verlangen, wie wir sie verarbeiten, Unrichtigkeiten berichtigen lassen, personenbezogene Daten löschen lassen, Verarbeitung einschränken lassen, der Verarbeitung widersprechen, Datenübertragbarkeit verlangen oder Einwilligung widerrufen.
Sie können Rechte ausüben, indem Sie uns über die oben genannten Kontaktdaten kontaktieren.
Wenn Sie ein Konto haben, können Sie bestimmte Konto- oder Karteninformationen möglicherweise auch innerhalb der authentifizierten Plattform einsehen oder aktualisieren.
Einige Anfragen können durch gesetzliche Pflichten, Betrugsprävention, Steuer- und Buchhaltungsanforderungen, unternehmenseigene Geschäftsunterlagen, Zahlungsunterlagen, Auditunterlagen, Sicherheitsanforderungen, Beschränkungen von Wallet-Anbietern oder Daten, die bereits über QR-Codes, Wallet-Pässe, E-Mails oder Bearer-Links an Dritte verteilt wurden, eingeschränkt sein.