Datenschutzerklärung
Stand: 11. Mai 2026
Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten QR Kontor (https://qrkontor.de) verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage, an wen sie weitergegeben werden und welche Rechte dir nach der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Digitale-Dienste-Gesetz (DDG) zustehen.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
Thomas Rohmberger · Rohmberger Design
Waldstr. 81
04105 Leipzig, Deutschland
E-Mail: info@qrkontor.de
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (§ 38 BDSG). Bei Fragen zum Datenschutz wende dich bitte an die oben genannte E-Mail-Adresse.
2. Begriffsbestimmungen und allgemeine Hinweise
Wir verwenden die Begriffe gemäß Art. 4 DSGVO. „Verarbeitung" meint jeden Vorgang im Zusammenhang mit personenbezogenen Daten, „personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Die Datenübertragung im Internet (z. B. bei E-Mail-Kommunikation) erfolgt grundsätzlich verschlüsselt; ein lückenloser Schutz vor Zugriff durch Dritte ist jedoch technisch nicht garantierbar.
3. Welche Daten wir verarbeiten
3.1 Aufruf der Website (Server-Logfiles)
Beim Aufruf von qrkontor.de verarbeitet unser Hosting-Partner Vercel technische Daten, die dein Browser automatisch übermittelt. Im Edge-Layer werden dabei aus dem Vercel-Header x-vercel-ip-country und x-vercel-ip-city Land und Stadt abgeleitet. Die vollständige IP-Adresse wird dabei nicht dauerhaft gespeichert.
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL und HTTP-Methode
- HTTP-Status, übertragene Datenmenge
- User-Agent (Browser, Betriebssystem)
- Referrer (sofern übermittelt)
- abgeleitetes Land und Stadt (über Vercel-Edge-Header)
Zweck: stabiler Betrieb, Sicherheit, Missbrauchsabwehr.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: kurzfristig im Rahmen der Vercel-Standardprozesse; Aggregat-Logs werden nach maximal 30 Tagen gelöscht oder anonymisiert.
3.2 Account-Registrierung und -Verwaltung
Wenn du einen Account anlegst oder nutzt, verarbeiten wir folgende Daten:
- E-Mail-Adresse (zur Authentifizierung und Kommunikation)
- Name (optional, falls von dir hinterlegt)
- Stripe-Customer-ID (zur Zuordnung von Zahlungen und Subscriptions)
- Account-Metadaten (Erstelldatum, gebuchter Plan, Anzahl belegter Slots)
- Authentifizierungs-Sessions (über Supabase Auth, abgelegt in einem Session-Cookie auf deinem Gerät)
Zweck: Bereitstellung und Verwaltung des Nutzerkontos, Authentifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).
3.3 QR-Code-Inhalte (vCard, Ziel-URLs)
Du legst selbst fest, welche Inhalte hinter deinen QR-Codes liegen. Bei dynamischen Weiterleitungen speichern wir die von dir hinterlegte Ziel-URL; bei vCard-QR-Codes die von dir hinterlegten Kontaktdaten. Diese Daten werden ausschließlich zum Zweck der Auslieferung an scannende Endgeräte verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die rechtliche Verantwortung für den Inhalt liegt bei dir; bei vCards mit Daten Dritter bist du selbst Verantwortlicher im Sinne der DSGVO.
3.4 Scan-Statistiken
Bei jedem Scan eines deiner dynamischen QR-Codes erfassen wir ausschließlich aggregierte, nicht personenbezogene Daten:
- Land und Stadt, abgeleitet aus dem Vercel-Edge-Header
x-vercel-ip-country/x-vercel-ip-city– ohne Speicherung der IP-Adresse - User-Agent (Geräte-Typ, Browser, Betriebssystem)
- Referrer (sofern übermittelt)
- Zeitstempel des Scans
Es werden keine IP-Adressen gespeichert, keine Cookies auf dem Gerät des Scannenden gesetzt und es findet kein Cross-Site- oder Cross-Device-Tracking statt. Die Daten lassen keinen Rückschluss auf einzelne Personen zu.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Account-Inhabers an der Erfolgsmessung seiner Codes). Da keine personenbezogenen Daten verarbeitet und keine Informationen auf dem Endgerät gespeichert oder gelesen werden, ist eine Einwilligung nach § 25 TDDDG nicht erforderlich.
3.5 Zahlungsabwicklung
Die Abwicklung sämtlicher Zahlungen (Einmalzahlungen für Slot-Packs sowie Pro-Abonnement) erfolgt über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Wir erhalten von Stripe nur die für Vertragsdurchführung und Rechnungsstellung notwendigen Daten, insbesondere Stripe-Customer-ID, Name, Rechnungsadresse, gebuchte Leistung und Betrag.
Kartendaten, Bankverbindungen und andere Zahlungsmittel-Daten werden ausschließlich von Stripe verarbeitet. Wir selbst speichern, sehen oder verarbeiten keine Karten- oder Bankdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen aus Steuer- und Handelsrecht).
3.6 Transaktions-E-Mails
Für den Versand von System-E-Mails (z. B. Bestätigungsmail bei Registrierung, Rechnungen, Kündigungsbestätigungen) nutzen wir Resend (2261 Market Street #5039, San Francisco, CA 94114, USA). Verarbeitet werden die für den Versand notwendigen Daten (E-Mail-Adresse, Inhalt der Nachricht, Versandzeitpunkt). Marketing-E-Mails versenden wir nur nach gesonderter Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit es um Marketing-Inhalte geht.
4. Cookies und vergleichbare Technologien
QR Kontor setzt ausschließlich technisch unbedingt erforderliche Cookies ein:
sb-*– Authentifizierungs-Session-Cookie (Supabase Auth). Lebensdauer: bis zum Logout bzw. zum Ablauf der Session.__stripe_*/cid– Sitzungs-Cookies, die Stripe ausschließlich während eines Checkout-Vorgangs setzt, um Betrug zu verhindern und die Zahlung abzuschließen. Lebensdauer: dauerhaft nur, wenn der Stripe-Checkout aktiv ist; ansonsten Session.
Diese Cookies sind nach § 25 Abs. 2 TDDDG einwilligungsfrei, da sie unbedingt erforderlich sind, damit der von dir ausdrücklich gewünschte Telemediendienst (Login, Checkout) bereitgestellt werden kann.
Wir setzen keine Marketing-, Werbe- oder Analyse-Cookies ein. Insbesondere verzichten wir auf Google Analytics, Meta Pixel, LinkedIn Insight Tag und vergleichbare Drittanbieter-Tracker. Ein Cookie-Banner mit Einwilligungsabfrage ist daher nicht erforderlich.
5. Empfänger und Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern bestehen entsprechende Verträge zur Auftragsverarbeitung (DPA / AVV).
| Anbieter | Zweck | Standort der Verarbeitung | AVV / DPA |
|---|---|---|---|
| Vercel Inc. | App-Hosting, Edge-Funktionen, Server-Logs | Frankfurt (fra1) (EU) | DPA |
| Supabase Inc. | Datenbank, Authentifizierung, File-Storage | eu-central-1 – Frankfurt (EU) | DPA |
| Resend Inc. | Versand von Transaktions-E-Mails | USA (EU-SCC) | DPA |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Subscription-Management | EU (Irland) | DPA |
6. Drittlandtransfer
Die primäre Datenverarbeitung findet ausschließlich in EU-Rechenzentren statt (Vercel: Frankfurt; Supabase: Frankfurt / eu-central-1; Stripe: Dublin, Irland). Eine Übertragung personenbezogener Daten in Drittländer ist im Regelbetrieb nicht erforderlich.
Da Vercel Inc. und Resend Inc. ihren Hauptsitz in den USA haben, kann ein Drittlandtransfer im Einzelfall (z. B. bei Support-Zugriffen oder zentraler Konto-Verwaltung) nicht ausgeschlossen werden. Beide Anbieter sind nach dem EU-US Data Privacy Framework zertifiziert; ergänzend wurden EU-Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Zusätzliche technische Maßnahmen (Transportverschlüsselung, Verschlüsselung at rest) sind implementiert.
7. Speicherdauer
- Account-Daten: bis zur Löschung des Accounts durch dich oder uns;
- QR-Codes und vom Nutzer eingestellte Inhalte: bis du sie löschst bzw. bis zur Account-Löschung;
- Scan-Statistiken: aggregiert ohne Personenbezug, ansonsten unbegrenzt im Account verfügbar; bei Account-Löschung gelöscht;
- Buchhaltungsrelevante Daten (Rechnungen, Steuerunterlagen): 10 Jahre gemäß § 147 AO bzw. § 257 HGB;
- Server-Logs: kurzfristig auf Provider-Ebene, in der Regel innerhalb von 30 Tagen gelöscht oder anonymisiert.
8. Deine Rechte als betroffene Person
Du hast nach der DSGVO insbesondere folgende Rechte:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO);
- Berichtigung unrichtiger Daten (Art. 16 DSGVO);
- Löschung deiner Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO);
- Einschränkung der Verarbeitung (Art. 18 DSGVO);
- Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO);
- Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (Art. 21 DSGVO);
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Zur Ausübung deiner Rechte genügt eine formlose E-Mail an info@qrkontor.de.
9. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet anderer Rechtsbehelfe steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Für den Anbieter zuständige Aufsichtsbehörde ist:
Sächsische Datenschutz- und Transparenzbeauftragte
Devrientstraße 1, 01067 Dresden
Web: www.saechsdsb.de
10. Automatisierte Entscheidungen, Profiling
Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt. Wir führen kein Profiling durch.
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, geänderte Verarbeitungen oder neue Funktionen anzupassen. Maßgeblich ist die zum Zeitpunkt des Zugriffs auf qrkontor.de veröffentlichte Fassung. Über wesentliche Änderungen informieren wir aktive Nutzer per E-Mail.