Datenschutzerklärung
Stand: März 2026 | Verantwortlicher: Ostheimer OG, Fabriksgasse 20, 2230 Gänserndorf | [email protected]
1. Grundsätze
Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO (EU) 2016/679. Der Schutz Ihrer Daten ist uns ein zentrales Anliegen. qr3.app wurde nach dem Prinzip Privacy by Design entwickelt: IP-Adressen werden niemals gespeichert — sie werden am Edge (Cloudflare Workers) sofort mit SHA-256 + täglichem Salt gehasht, bevor Daten persistiert werden.
2. Verarbeitete Daten
2.1 API-Nutzung (Registrierte Nutzer)
- Kontodaten: E-Mail-Adresse, Name (via Clerk.com Authentifizierung)
- Abrechnungsdaten: Stripe-Kunden-ID, Abonnementstatus (keine Kreditkartendaten — Stripe verarbeitet diese direkt)
- Nutzungsdaten: Erstellte QR-Codes, Workspace-Konfigurationen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
2.2 Scan-Analytics (Endnutzer, die QR-Codes scannen)
- Gehashte IP: SHA-256 Hash + täglichem Salt — nicht reversibel, kein Personenbezug
- Gerätedaten: Device-Typ, OS, Browser (aus User-Agent, anonymisiert)
- Geodaten: Land, Stadt (aus Cloudflare CF-IPCountry Header — keine IP gespeichert)
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse der QR-Code-Inhaber an Statistiken)
- Aufbewahrung: 90 Tage, danach automatische Löschung
2.3 Website-Besuch (qr3.app)
- Keine Tracking-Cookies, keine Third-Party-Analytics
- Server-Logs: Cloudflare verarbeitet Verbindungsdaten gemäß ihrer Datenschutzerklärung
3. Weitergabe an Dritte
Wir geben Daten nur weiter an:
- Cloudflare, Inc. (USA) — Infrastruktur, CDN, Workers. Rechtsgrundlage: Standardvertragsklauseln (SCCs)
- Clerk.com — Authentifizierung. Rechtsgrundlage: SCCs
- Stripe, Inc. (USA) — Zahlungsabwicklung. Rechtsgrundlage: SCCs
Eine Weitergabe zu Werbezwecken findet nicht statt.
4. Ihre Rechte (DSGVO Art. 15–22)
- Auskunft (Art. 15):
GET /v1/account/privacyoder E-Mail an [email protected] - Datenportabilität (Art. 20):
GET /v1/account/export— JSON-Export aller Daten - Löschung (Art. 17):
DELETE /v1/accountoder E-Mail — vollständige Löschung innerhalb 30 Tage - Einschränkung (Art. 18): E-Mail an [email protected]
- Widerspruch (Art. 21): Jederzeit für berechtigte Interessen
5. Cookies
qr3.app setzt ausschließlich technisch notwendige Session-Cookies (Authentifizierung via Clerk). Keine Marketing- oder Tracking-Cookies. Einwilligung nach Cookie-Richtlinie ist daher nicht erforderlich.
6. Datensicherheit
Alle Daten werden verschlüsselt übertragen (TLS 1.3). Datenbank-Verschlüsselung at-rest via Cloudflare D1. API-Keys werden gehasht gespeichert. Webhook-Signaturen via HMAC-SHA256.
7. Beschwerderecht
Sie haben das Recht, Beschwerde bei der österreichischen Datenschutzbehörde einzulegen:
Datenschutzbehörde (dsb.gv.at), Barichgasse 40-42, 1030 Wien
8. Kontakt Datenschutz
Ostheimer OG
Fabriksgasse 20, 2230 Gänserndorf
[email protected]