Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
[COMPANY_NAME]
[STREET_ADDRESS]
[CITY_ZIP], Deutschland
E-Mail: [EMAIL]

2. Erhobene Daten und Zwecke

a) Kontodaten (registrierte Nutzer)

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein Passwort (gespeichert als bcrypt-Hash). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) Geräteerkennung & Browser-Fingerprinting

Wir verwenden FingerprintJS (fingerprintjs.com), um einen anonymen Gerätekennzeichner zu erzeugen. Dieser dient ausschließlich der Betrugsprävention (Verhinderung von Stempel-Manipulation und Mehrfachnutzung). Der Fingerabdruck wird in Ihrem Browser (localStorage) gespeichert. Es werden keine personenbezogenen Daten an FingerprintJS-Server übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Schutz vor Missbrauch des Treueprogramms).

c) IP-Adressen

Bei jedem Scan-Vorgang wird Ihre IP-Adresse zur Betrugsprävention erfasst. Wir speichern keinen Klartext der IP, sondern einen kryptografischen SHA-256-Hash (einseitig, nicht rekonstruierbar). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

d) Standortdaten

Optional und nur mit Ihrer expliziten Browser-Erlaubnis verwenden wir GPS-Koordinaten, um zu prüfen, ob ein Scan in der Nähe eines teilnehmenden Cafés erfolgt (Geofencing). Koordinaten werden in unserer Datenbank gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

e) Treueprogramm-Daten

Stempel-Ereignisse (EarnEvents), Belohnungen und Fortschritt werden zum Betrieb des Treueprogramms gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3. Cookies & Speicher

Wir verwenden folgende Speichertechnologien:

Authentifizierungs-Token (localStorage) — notwendig für die Anmeldung; kein Opt-out möglich.
Gerätekennzeichner / Fingerprint-ID (localStorage) — nur nach Ihrer Einwilligung (Cookie-Banner).
cookie_consent (localStorage) — speichert Ihre Cookie-Einwilligung.
theme (localStorage) — Ihr Farbschema-Präferenz (Hell/Dunkel).

4. Datenspeicherung & Auftragsverarbeitung

Alle Daten werden in einer PostgreSQL-Datenbank innerhalb der Europäischen Union gespeichert. Eine Weitergabe an Dritte erfolgt nicht, außer wenn dies gesetzlich vorgeschrieben ist.

5. Speicherdauer

Wir speichern Ihre Daten so lange, wie Ihr Konto aktiv ist oder wie es für den Betrieb des Treueprogramms erforderlich ist. Nach Kontolöschung werden alle personenbezogenen Daten unverzüglich gelöscht.

6. Ihre Rechte (Art. 15–22 DSGVO)

Auskunftsrecht (Art. 15): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
Berichtigungsrecht (Art. 16): Sie können unrichtige Daten berichtigen lassen.
Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen. Nutzen Sie den Button "Konto & Daten löschen" in Ihren Profileinstellungen.
Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.
Widerspruchsrecht (Art. 21): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzbehörde zu beschweren.

Für Anfragen wenden Sie sich bitte an: [EMAIL]

Privacy Policy

Last updated: April 2026

1. Data Controller

The controller within the meaning of the GDPR is:
[COMPANY_NAME]
[STREET_ADDRESS]
[CITY_ZIP], Germany
Email: [EMAIL]

2. Data Collected and Purposes

a) Account data (registered users)

Upon registration we collect your email address and a password (stored as a bcrypt hash). Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

b) Device identification & browser fingerprinting

We use FingerprintJS (fingerprintjs.com) to generate an anonymous device identifier used solely for fraud prevention(preventing stamp manipulation and duplicate redemptions). The fingerprint is stored in your browser (localStorage). No personal data is transmitted to FingerprintJS servers. Legal basis: Art. 6(1)(f) GDPR (legitimate interest — protecting the integrity of the loyalty program).

c) IP addresses

Upon each scan we capture your IP address for fraud prevention. We do not store the plaintext IP — instead we store a one-way SHA-256 cryptographic hash that cannot be reversed to reconstruct the original address. Legal basis: Art. 6(1)(f) GDPR.

d) Location data

Optionally and only with your explicit browser permission, we use GPS coordinates to verify that a scan occurs near a participating café (geofencing). Coordinates are stored in our database. Legal basis: Art. 6(1)(b) GDPR or consent (Art. 6(1)(a) GDPR).

e) Loyalty program data

Stamp events (EarnEvents), rewards, and progress are stored to operate the loyalty program. Legal basis: Art. 6(1)(b) GDPR.

3. Cookies & Storage

We use the following storage technologies:

Authentication token (localStorage) — required for login; no opt-out.
Device identifier / fingerprint ID (localStorage) — only after your consent (cookie banner).
cookie_consent (localStorage) — stores your consent choice.
theme (localStorage) — your color scheme preference (light/dark).

4. Data Storage & Processors

All data is stored in a PostgreSQL database within the European Union. Data is not shared with third parties unless required by law.

5. Retention Period

We retain your data for as long as your account is active or as required to operate the loyalty program. Upon account deletion, all personal data is immediately erased.

6. Your Rights (Art. 15–22 GDPR)

Right of access (Art. 15): You may request information about your stored data.
Right to rectification (Art. 16): You may request correction of inaccurate data.
Right to erasure (Art. 17): You may request deletion of your data. Use the "Delete My Account & Data" button in your profile settings.
Right to data portability (Art. 20): You may request your data in a machine-readable format.
Right to object (Art. 21): You may object to processing based on legitimate interests.
Right to lodge a complaint: You have the right to complain to a supervisory authority.

For requests, please contact: [EMAIL]