Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Schweizerischen Datenschutzgesetzes (DSG) ist:

Marcel Heiniger
Ipsachstrasse 1, CH-2563 Ipsach
E-Mail: marcel@marcelheiniger.com

Nachfolgend auch «wir» oder «Anbieter» genannt.

2. Erhobene Daten

Im Rahmen der Nutzung von QRGen (erreichbar unter https://qrgen.webdev4u.info) werden die folgenden personenbezogenen Daten erhoben und verarbeitet:

2.1 Registrierungsdaten

• E-Mail-Adresse (erforderlich) — zur Kontoerstellung und Kommunikation
• Name (optional) — zur personalisierten Ansprache
• Passwort — wird ausschliesslich als kryptographischer Hash (bcrypt) gespeichert; das Klartextpasswort wird zu keinem Zeitpunkt gespeichert

2.2 QR-Code-Daten

• Inhaltstyp (z. B. URL, Text, vCard, WLAN)
• Inhalt (die im QR-Code codierten Daten)
• Designeinstellungen (Farben, Muster, Eckformen, Logo)

2.3 Scan-Daten (nur dynamische QR-Codes)

• Scan-Zeitpunkt
• Anonymisierte IP-Adresse (die letzten Oktette werden entfernt, um DSGVO-Konformität zu gewährleisten)
• User-Agent (Browser und Betriebssystem des Scanners)
• Scan-Anzahl (aggregierte Statistik)

2.4 Technische Daten

• Server-Logdaten: IP-Adresse, Zeitpunkt des Zugriffs, angeforderte Ressource, HTTP-Statuscode, Referrer-URL, User-Agent. Diese Daten werden zur Sicherstellung des Betriebs erhoben und nach 30 Tagen automatisch gelöscht.

3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

• Vertragserfüllung: Bereitstellung des Dienstes (Kontoerstellung, QR-Code-Erstellung und -Verwaltung, Scan-Statistiken)
• Kontosicherheit: Authentifizierung via JWT, Passwortzurücksetzung per E-Mail
• Kommunikation: Benachrichtigungen über Kontoänderungen, Sicherheitshinweise, Dienstmitteilungen
• Verbesserung des Dienstes: Anonymisierte, aggregierte Nutzungsstatistiken zur Weiterentwicklung der Plattform
• Rechtliche Verpflichtungen: Erfüllung gesetzlicher Aufbewahrungspflichten

4. Rechtsgrundlagen

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage der folgenden Bestimmungen der DSGVO:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung von Registrierungsdaten, QR-Code-Daten und Scan-Daten, soweit dies zur Erfüllung des Nutzungsvertrags erforderlich ist.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Verarbeitung technischer Server-Logdaten zur Gewährleistung der IT-Sicherheit und des störungsfreien Betriebs. Unser berechtigtes Interesse liegt in der Sicherstellung der Verfügbarkeit und Integrität des Dienstes.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit wir Daten auf Grundlage Ihrer Einwilligung verarbeiten, erfolgt dies nur nach ausdrücklicher Erteilung derselben. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Verarbeitung soweit zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich.

Für Nutzer in der Schweiz stützt sich die Verarbeitung ergänzend auf die einschlägigen Bestimmungen des Schweizerischen Datenschutzgesetzes (DSG).

5. Cookies und lokale Speicherung

5.1 QRGen verwendet keine Tracking-Cookies und setzt keine Cookies Dritter ein.

5.2 Für die Authentifizierung wird ein JSON Web Token (JWT) verwendet, das im Browser gespeichert wird, um den Nutzer während seiner Sitzung authentifiziert zu halten.

5.3 Darüber hinaus nutzt die Plattform den localStorage des Browsers ausschliesslich für funktionale Zwecke, insbesondere zur lokalen Speicherung eines Download-Zählers. Diese Daten verlassen den Browser des Nutzers nicht und werden nicht an den Server übermittelt.

5.4 Da weder Tracking-Cookies noch Analyse-Tools Dritter eingesetzt werden, ist ein Cookie-Banner nach geltendem Recht nicht erforderlich.

6. Datenweitergabe an Dritte

Eine Übermittlung personenbezogener Daten an Dritte erfolgt nur, soweit dies zur Erbringung des Dienstes erforderlich oder gesetzlich vorgeschrieben ist. Im Einzelnen:

6.1 Hosting-Anbieter

Vultr Holdings LLC — Der Dienst wird auf einem Virtual Private Server (VPS) am Standort Frankfurt am Main, Deutschland, betrieben. Vultr verarbeitet als Auftragsverarbeiter die Daten, die auf dem Server gespeichert werden. Die Daten verlassen den europäischen Wirtschaftsraum nicht.

Vultr Holdings LLC, 14 Cliffwood Ave, Suite 300, Matawan, NJ 07747, USA

Datenschutzinformationen: https://www.vultr.com/legal/privacy/

6.2 E-Mail-Versand (SMTP)

Für den Versand von Transaktions-E-Mails (insbesondere Passwortzurücksetzung) nutzen wir den SMTP-Server olympius.sui-inter.net. Dabei wird die E-Mail-Adresse des Empfängers an den Mailserver übermittelt, soweit dies zur Zustellung erforderlich ist.

6.3 Zahlungsdienstleister (geplant)

Für die Abwicklung kostenpflichtiger Abonnements ist die Einbindung von Stripe, Inc. vorgesehen. Nach Aktivierung von Stripe werden Zahlungsdaten (Kreditkartendaten, Rechnungsanschrift) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten. Die Datenschutzerklärung von Stripe finden Sie unter https://stripe.com/privacy.

Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Stripe verfügt über geeignete Garantien für den Datentransfer in die USA (EU-US Data Privacy Framework).

6.4 Sonstige Dritte

Darüber hinaus geben wir personenbezogene Daten nur weiter, wenn wir gesetzlich dazu verpflichtet sind (z. B. auf Anordnung einer Behörde oder eines Gerichts).

7. Datenspeicherung und -löschung

7.1 Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung der in Ziffer 3 genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

7.2 Im Einzelnen gelten folgende Speicherfristen:

• Kontodaten (E-Mail, Name, Passwort-Hash): Bis zur Löschung des Kontos durch den Nutzer oder durch den Anbieter
• QR-Code-Daten: Bis zur Löschung durch den Nutzer oder Kontolöschung
• Scan-Logs: 12 Monate, danach automatische Löschung
• Server-Logdaten: 30 Tage
• Abrechnungsdaten: 10 Jahre (handelsrechtliche Aufbewahrungspflicht gemäss OR Art. 958f)

7.3 Nach Löschung eines Nutzerkontos werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7.4 Nutzer können die Löschung ihres Kontos und aller zugehörigen Daten jederzeit über die Kontoeinstellungen oder per E-Mail an marcel@marcelheiniger.com beantragen.

8. Hosting und Server

8.1 QRGen wird auf einem Virtual Private Server der Firma Vultr Holdings LLC am Standort Frankfurt am Main, Deutschland, betrieben.

8.2 Sämtliche Nutzerdaten (Kontoinformationen, QR-Code-Daten, Scan-Logs) werden auf diesem Server in einer PostgreSQL-Datenbank gespeichert. Der Serverstandort befindet sich innerhalb der Europäischen Union und unterliegt dem europäischen Datenschutzrecht.

8.3 Eine Übermittlung von Nutzerdaten in Drittstaaten ausserhalb des EWR findet — abgesehen von den in Ziffer 6 genannten Fällen — nicht statt.

9. Betroffenenrechte

Sie haben im Rahmen der geltenden Datenschutzgesetze (DSGVO, DSG) jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO) — Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können unter bestimmten Voraussetzungen die Einschränkung der Datenverarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, dass Ihnen die von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.
• Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an marcel@marcelheiniger.com.

9.1 Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

• Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch
• Deutschland: Die für Ihren Wohnort zuständige Landesdatenschutzbehörde. Eine Übersicht finden Sie unter www.bfdi.bund.de.
• Österreich: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, www.dsb.gv.at

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer personenbezogenen Daten gegen Verlust, Missbrauch und unbefugten Zugriff. Zu diesen Massnahmen zählen insbesondere:

• Transportverschlüsselung: Sämtliche Datenübertragungen zwischen Ihrem Browser und unserem Server erfolgen über HTTPS (TLS-Verschlüsselung).
• Passwort-Hashing: Passwörter werden mit dem bcrypt-Algorithmus gehasht gespeichert. Eine Wiederherstellung des Klartext-Passworts ist nicht möglich.
• Authentifizierung: Die Sitzungsverwaltung erfolgt über signierte JSON Web Tokens (JWT) mit begrenzter Gültigkeitsdauer.
• IP-Anonymisierung: Bei der Erfassung von Scan-Daten werden IP-Adressen anonymisiert, sodass kein Rückschluss auf einzelne Personen möglich ist.
• Zugriffsbeschränkung: Der Zugriff auf die Datenbank und den Server ist auf autorisierte Personen beschränkt und durch SSH-Schlüssel gesichert.

11. Änderungen dieser Datenschutzerklärung

11.1 Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage, neue Funktionen oder geänderte Datenverarbeitungsprozesse anzupassen.

11.2 Die aktuelle Fassung ist stets unter https://qrgen.webdev4u.info/legal/privacy abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.

11.3 Das Datum der letzten Aktualisierung ist am Anfang dieser Erklärung angegeben.

12. Kontakt

Für Fragen zum Datenschutz, Auskunftsanfragen oder die Geltendmachung Ihrer Betroffenenrechte wenden Sie sich bitte an:

Marcel Heiniger
Ipsachstrasse 1, CH-2563 Ipsach
E-Mail: marcel@marcelheiniger.com

Wir bemühen uns, Anfragen innerhalb von 30 Tagen zu beantworten.