shield_lock Datenschutz

Datenschutzerklärung

Stand: März 2026 | Verantwortlicher: Ostheimer OG, Fabriksgasse 20, 2230 Gänserndorf | [email protected]

1. Grundsätze

Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO (EU) 2016/679. Der Schutz Ihrer Daten ist uns ein zentrales Anliegen. qr3.app wurde nach dem Prinzip Privacy by Design entwickelt: IP-Adressen werden niemals gespeichert — sie werden am Edge (Cloudflare Workers) sofort mit SHA-256 + täglichem Salt gehasht, bevor Daten persistiert werden.

2. Verarbeitete Daten

2.1 API-Nutzung (Registrierte Nutzer)

  • Kontodaten: E-Mail-Adresse, Name (via Clerk.com Authentifizierung)
  • Abrechnungsdaten: Stripe-Kunden-ID, Abonnementstatus (keine Kreditkartendaten — Stripe verarbeitet diese direkt)
  • Nutzungsdaten: Erstellte QR-Codes, Workspace-Konfigurationen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 Scan-Analytics (Endnutzer, die QR-Codes scannen)

  • Gehashte IP: SHA-256 Hash + täglichem Salt — nicht reversibel, kein Personenbezug
  • Gerätedaten: Device-Typ, OS, Browser (aus User-Agent, anonymisiert)
  • Geodaten: Land, Stadt (aus Cloudflare CF-IPCountry Header — keine IP gespeichert)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der QR-Code-Inhaber an Statistiken)
  • Aufbewahrung: 90 Tage, danach automatische Löschung

2.3 Website-Besuch (qr3.app)

  • Keine Tracking-Cookies, keine Third-Party-Analytics
  • Server-Logs: Cloudflare verarbeitet Verbindungsdaten gemäß ihrer Datenschutzerklärung

3. Weitergabe an Dritte

Wir geben Daten nur weiter an:

  • Cloudflare, Inc. (USA) — Infrastruktur, CDN, Workers. Rechtsgrundlage: Standardvertragsklauseln (SCCs)
  • Clerk.com — Authentifizierung. Rechtsgrundlage: SCCs
  • Stripe, Inc. (USA) — Zahlungsabwicklung. Rechtsgrundlage: SCCs

Eine Weitergabe zu Werbezwecken findet nicht statt.

4. Ihre Rechte (DSGVO Art. 15–22)

  • Auskunft (Art. 15): GET /v1/account/privacy oder E-Mail an [email protected]
  • Datenportabilität (Art. 20): GET /v1/account/export — JSON-Export aller Daten
  • Löschung (Art. 17): DELETE /v1/account oder E-Mail — vollständige Löschung innerhalb 30 Tage
  • Einschränkung (Art. 18): E-Mail an [email protected]
  • Widerspruch (Art. 21): Jederzeit für berechtigte Interessen

5. Cookies

qr3.app setzt ausschließlich technisch notwendige Session-Cookies (Authentifizierung via Clerk). Keine Marketing- oder Tracking-Cookies. Einwilligung nach Cookie-Richtlinie ist daher nicht erforderlich.

6. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS 1.3). Datenbank-Verschlüsselung at-rest via Cloudflare D1. API-Keys werden gehasht gespeichert. Webhook-Signaturen via HMAC-SHA256.

7. Beschwerderecht

Sie haben das Recht, Beschwerde bei der österreichischen Datenschutzbehörde einzulegen:
Datenschutzbehörde (dsb.gv.at), Barichgasse 40-42, 1030 Wien

8. Kontakt Datenschutz

Ostheimer OG
Fabriksgasse 20, 2230 Gänserndorf
[email protected]