Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten gemäß DSGVO und BDSG bei der Nutzung von 2taps.de.

1. Verantwortlicher

2taps — Anschrift, Vertretungsberechtigte und Kontaktdaten siehe Impressum.

2. Welche Daten wir verarbeiten

a) Geschäftskonto (Inhaber)

• Name, E-Mail-Adresse, Passwort-Hash
• Geschäftsname, URL-Slug, Lokalisierung, Branding-Farben, optionales Logo
• Plan-Zuordnung und Abrechnungsstatus (über Stripe)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

b) Endkunden-Daten Ihrer Bestandskunden

Wenn Sie als Geschäftsinhaber 2taps zur Ausgabe von Treuekarten an Ihre Kunden nutzen, werden je nach gewähltem Modus folgende Daten verarbeitet:

• Anonymer Modus: nur ein zufälliger Karten-Identifier — keine personenbezogenen Daten.
• Formular-Modus: Name, E-Mail, optional Telefon, Einwilligung in die Verarbeitung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. Vertragserfüllung mit dem Endkunden (Art. 6 Abs. 1 lit. b). Sie als Geschäftsinhaber sind Verantwortlicher im Sinne der DSGVO für die Daten Ihrer eigenen Kunden; 2taps tritt als Auftragsverarbeiter gemäß Art. 28 DSGVO auf.

c) Technische Daten

• IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene URL, Browser/Betriebssystem (in Server-Logs)
• Session-Cookies (Login-Status, gewählte Sprache) — technisch erforderlich, daher keine Einwilligung nötig (§ 25 Abs. 2 TTDSG)

Rechtsgrundlage: berechtigtes Interesse an Betrieb und Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Logs werden nach 14 Tagen anonymisiert oder gelöscht.

3. Empfänger / Auftragsverarbeiter

Wir geben Ihre Daten nur dann an Dritte weiter, wenn dies für die Vertragserfüllung erforderlich oder gesetzlich vorgeschrieben ist:

• Hetzner Online GmbH (Hosting, Server in Deutschland) — Auftragsverarbeitungsvertrag liegt vor.
• Stripe Inc. / Stripe Payments Europe Ltd. (Zahlungsabwicklung). Bei einem Plan-Wechsel werden Name, E-Mail und Kartendaten direkt an Stripe übertragen. 2taps speichert nur eine Referenz-ID und den Plan-Status. Datenschutz: stripe.com/de/privacy
• Postmark (ActiveCampaign LLC) — Versand von Verifizierungs- und Benachrichtigungs-E-Mails. Datenschutz: postmarkapp.com/eu-privacy
• Apple Inc. — Apple Wallet PassKit zur Ausgabe digitaler Karten. Apple erhält nur den Karten-Inhalt (kein Klartext-Name des Endkunden, sofern Sie keinen Sammeltyp gewählt haben).
• Google LLC — Google Wallet (sofern aktiv). Vergleichbar mit Apple Wallet.

4. Drittlandsübermittlung

Stripe, Apple und Google sind US-Anbieter. Übermittlungen erfolgen auf Grundlage des EU-US Data Privacy Frameworks sowie Standardvertragsklauseln (SCC). Sie erhalten auf Anfrage Kopien der SCC.

5. Speicherdauer

• Konto-Daten: bis 30 Tage nach Kontolöschung — danach unwiderruflich gelöscht (außer steuerrechtliche Aufbewahrungspflichten greifen).
• Rechnungs- und Zahlungsdaten: 10 Jahre (§ 147 AO).
• Server-Logs: 14 Tage.

6. Ihre Rechte

Nach DSGVO haben Sie das Recht auf:

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17) — im Konto-Profil unter „Danger zone“ verfügbar
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20) — Export aller Konto-Daten als JSON im Profil verfügbar
• Widerspruch (Art. 21) gegen Verarbeitungen, die auf berechtigtem Interesse beruhen
• Beschwerde bei einer Aufsichtsbehörde (Art. 77), z. B. dem Landesdatenschutzbeauftragten Ihres Bundeslandes

7. Cookies

2taps verwendet ausschließlich technisch notwendige Cookies:

• 2taps_session — Login-Session, verschlüsselt, HTTP-only, SameSite=Lax
• XSRF-TOKEN — Schutz vor CSRF-Angriffen
• card_* (auf der öffentlichen Kunden-Seite) — speichert die Karten-ID für 5 Jahre, damit der Endkunde seine Karte bei Folgebesuchen wiederfindet

Es werden keine Tracking-, Marketing- oder Analyse-Cookies gesetzt. Eine Einwilligung gemäß § 25 TTDSG ist daher nicht erforderlich.

8. Verschlüsselung

Der gesamte Datenverkehr ist mit TLS 1.2+ verschlüsselt (HSTS aktiv, HTTP/2, HTTP Strict Transport Security mit 2 Jahren). Passwörter werden mit bcrypt gehasht.

9. Auftragsverarbeitungs­vertrag (AVV)

Wenn Sie 2taps geschäftlich für die Verwaltung Ihrer Kundendaten nutzen, schließen wir mit Ihnen einen AVV gemäß Art. 28 DSGVO ab. Schreiben Sie an hello@2taps.de.

10. Kontakt zum Datenschutz

Bei allen Fragen zum Datenschutz: hello@2taps.de.