Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Denscha IT & E-Commerce e.K., Inhaber Dennis Scharf, Von-der-Tann-Straße 29, 93047 Regensburg, Deutschland.

Kontakt: hello@getmagicposter.com. WhatsApp-Support: +49 1522 2614897. Sofern ein Datenschutzbeauftragter bestellt wurde, werden dessen Kontaktdaten an dieser Stelle ergänzt. Datenschutzanfragen können jederzeit an die genannte E-Mail-Adresse gerichtet werden.

Diese Datenschutzerklärung gilt für die Web-Anwendung unter app.getmagicposter.de, app.getmagicposter.com und technisch verbundene Funktionsseiten wie setup.gplate.de, soweit dort auf diese Erklärung verwiesen wird. Die Shop-Seite unter www.getmagicposter.com kann eine eigene Datenschutzerklärung enthalten.

Wir verarbeiten personenbezogene Daten insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung, Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung gesetzlicher Pflichten, Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen an sicherem und stabilem Betrieb sowie Art. 6 Abs. 1 lit. a DSGVO bei Einwilligungen.

Soweit freiwillig besondere Kategorien personenbezogener Daten in Freitexten, Bildern, Audio- oder Videodateien offengelegt werden, erfolgt die Verarbeitung auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO. Für Cookies und vergleichbare Technologien gilt zusätzlich § 25 TDDDG.

Beim Aufruf der App werden technische Zugriffsdaten verarbeitet, insbesondere IP-Adresse, Datum und Uhrzeit, URL, Referrer, Browser, Betriebssystem, HTTP-Header, Antwortstatus, Fehlerereignisse und gegebenenfalls MagicPoster- oder GPlate-Keys in der URL.

Diese Daten dienen der Auslieferung der App, dem Routing zwischen den MagicPoster-Modulen, der Fehleranalyse, der Angriffserkennung und dem Missbrauchsschutz. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; soweit der Aufruf zur Nutzung eines gekauften oder eingerichteten Produkts erforderlich ist, zusätzlich Art. 6 Abs. 1 lit. b DSGVO.

Die App wird über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA bereitgestellt. Eine Drittlandübermittlung, insbesondere in die USA, kann nicht ausgeschlossen werden. Wir stützen diese auf geeignete Garantien wie Standardvertragsklauseln und, soweit einschlägig, das EU-US Data Privacy Framework.

Wir nutzen Usercentrics/Cookiebot, um Einwilligungen für nicht technisch notwendige Dienste einzuholen, zu verwalten und zu dokumentieren. Anbieter ist Usercentrics GmbH, Sendlinger Straße 7, 80331 München, Deutschland.

Verarbeitet werden können Consent-ID, Einwilligungsstatus, Zeitpunkt der Zustimmung oder Ablehnung, Sprache, Banner-Version sowie technische Informationen wie IP-Adresse, Browser- und Geräteinformationen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 25 TDDDG sowie Art. 6 Abs. 1 lit. f DSGVO. Nicht notwendige Dienste werden grundsätzlich erst nach Einwilligung aktiviert. Einwilligungen können jederzeit über die Cookie-/Privatsphäre-Einstellungen widerrufen oder geändert werden.

Für Admin-Sitzungen verwenden wir das Cookie friendbook_admin_session. Es dient der Authentifizierung in Admin-Bereichen, ist als HttpOnly-Cookie gesetzt, in Produktion Secure, SameSite=Lax und läuft spätestens nach 30 Tagen oder beim Logout ab.

In einzelnen Demo-, Promo- oder Formularabläufen können Session Storage oder Local Storage verwendet werden, z. B. um einen gestarteten Demo-Eintrag oder einen Promo-Zustand kurzfristig zu merken. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO sowie § 25 Abs. 2 TDDDG.

MagicPoster funktioniert über individuelle Keys, die in NFC- oder QR-Links enthalten sind. Beim Öffnen wird geprüft, welches Modul mit dem Key verbunden ist, z. B. Freundebuch, Digitale Momente, WiFi Magic, Pflanzenhandbuch oder GPlate.

Verarbeitet werden können Key, Modulzuordnung, Einrichtungsstatus, verbundene Keys, Admin-Zuordnungen und technische Zugriffsdaten. Der NFC-Chip selbst enthält in der Regel nur eine URL bzw. einen Key und keine direkten personenbezogenen Inhalte.

Für Setup, Dashboard und Admin-Bereiche verarbeiten wir E-Mail-Adresse, Passwort in gehashter Form, optional Name, E-Mail-Verifizierungsstatus, Passwort-Reset-Token in gehashter Form, zugeordnete MagicPoster-Keys, Sessiondaten und administrative Änderungen.

Zwecke sind Registrierung, Login, E-Mail-Bestätigung, Passwort-Zurücksetzung, Verwaltung der MagicPoster-Funktionen, Wiederherstellung oder Übertragung von Admin-Zugängen und Schutz vor unberechtigtem Zugriff. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsmaßnahmen.

Beim digitalen Freundebuch können Admins ein Buch einrichten und Gäste Einträge erstellen. Verarbeitet werden können Name oder Anzeigename, Geburtsdatum oder andere freiwillige Angaben, Antworten auf Fragen, persönliche Worte, Fotos, optionale Links wie Spotify-Links, Zeitpunkte, Buch-Titel, Untertitel, Design, Coverbild, Fragen und Admin-Zuordnungen.

Die Inhalte sind für Personen sichtbar, die den entsprechenden Buch-Link bzw. Key besitzen. Rechtsgrundlage für Admins ist Art. 6 Abs. 1 lit. b DSGVO. Für Gäste beruht die Verarbeitung auf freiwilliger Übermittlung und berechtigten Interessen an der Bereitstellung des digitalen Gästebuchs, Art. 6 Abs. 1 lit. f DSGVO.

Bei Digitale Momente können Erinnerungen chronologisch gesammelt werden. Verarbeitet werden können Titel, Beschreibung, Datum, Namen, Fotos, Videos, Audiodateien, Sprachnotizen, Fragen, Antworten, Coverbilder, Gestaltungseinstellungen, Reihenfolge, Status und Admin-Zuordnungen.

Die Sichtbarkeit richtet sich nach dem jeweiligen MagicPoster-Link und den Admin-Einstellungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für Admins und Art. 6 Abs. 1 lit. f DSGVO für Gäste und Abrufende.

Bei WiFi Magic können Admins eine WLAN-Gästeseite einrichten. Verarbeitet werden können WLAN-Name (SSID), WLAN-Passwort, Verschlüsselungstyp, Netzwerkparameter, Willkommensnachricht, Titel, Bilder, Designangaben, Zusatzlinks wie Google-Bewertung, Instagram-Profil oder Website, Admin-Konto, Key und Zahlungs-/Upgrade-Status.

WLAN-Passwörter werden serverseitig geschützt gespeichert. Admins sollten dennoch vorzugsweise Gastnetzwerke verwenden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für sichere Speicherung.

Beim Pflanzenhandbuch können Pflanzenname, Pflegeinformationen, Standort- und Gießeinstellungen, Fotos, Beschreibungen, Fragen, Antworten, Zusatzinformationen, Admin-Konto und MagicPoster-Key verarbeitet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

GPlate ist ein Modul für NFC-/QR-Platten, insbesondere für Google-Bewertungen, Instagram-Profile und Website-Weiterleitungen. Verarbeitet werden können GPlate-Key, Plattenvariante, Google Place ID, Google-Unternehmenslabel, Instagram-Benutzername, Website-URL, Ziel-URL, Setup-Status, Legacy-Importstatus, Admin-Zuordnung und technische Zugriffsdaten.

Ist eine Platte eingerichtet, kann direkt zur hinterlegten externen Zielseite weitergeleitet werden. Ist sie nicht eingerichtet, wird ein Setup-Flow angezeigt. Bei migrierten Altplatten kann vorübergehend eine key-basierte Änderung möglich sein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

Bei Uploads verarbeiten wir die bereitgestellten Dateien, insbesondere Fotos, Videos, Audiodateien, Profil- oder Coverbilder, PDF-Exportdateien sowie technische Dateiinformationen wie Dateiname, Größe, MIME-Typ und Speicherpfad.

Dateien können serverseitig verarbeitet werden, etwa zur Bildoptimierung, PDF-Erstellung, Vorschaugenerierung oder Speicherung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsprüfungen und technische Integrität.

Wir nutzen Supabase für Datenbank, Storage und serverseitige Verwaltungsprozesse. Anbieter ist Supabase, Inc. bzw. verbundene Supabase-Gesellschaften.

In Supabase können MagicPoster-Keys, Modulzuordnungen, Admin-Konten, Zugriffsrechte, Buch-, Moment-, WiFi-, Pflanzenhandbuch- und GPlate-Daten, Medienpfade, Zahlungs- und Upgrade-Status, Support-, Claim-, Migrations- und Auditdaten gespeichert werden.

Die konkrete Speicherregion richtet sich nach der Projektkonfiguration. Datenübermittlungen außerhalb der EU/des EWR erfolgen auf Grundlage geeigneter Garantien wie Standardvertragsklauseln und vertraglicher Datenschutzregelungen.

Für kostenpflichtige Upgrades, PDF-Exporte, Business-Add-ons oder vergleichbare Zahlungen nutzen wir Stripe Checkout und die Stripe-API. Anbieter ist Stripe Payments Europe, Limited, The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland.

Verarbeitet werden können Name, E-Mail-Adresse, Zahlungsdaten, Stripe Customer ID, Checkout Session ID, Payment Intent ID, Subscription ID, Produkt, Preis, Betrag, Währung, Zahlungsstatus, MagicPoster-Key, Modul und Admin-Konto als Metadaten.

Die eigentliche Zahlungsabwicklung erfolgt durch Stripe. Wir erhalten regelmäßig keine vollständigen Kreditkarteninformationen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO für steuer- und handelsrechtliche Pflichten sowie Art. 6 Abs. 1 lit. f DSGVO für Betrugsprävention.

Wir versenden transaktionale E-Mails, insbesondere zur E-Mail-Bestätigung, Passwort-Zurücksetzung, Wiederherstellung von Admin-Zugängen, Claim- oder Migrationsbestätigung und für wichtige Konto- oder Funktionsvorgänge.

Verarbeitet werden E-Mail-Adresse, Betreff, Inhalt, Versandzeitpunkt und technische Versandinformationen. Der Versand erfolgt über SMTP-Infrastruktur, derzeit standardmäßig mit IONOS, sofern keine andere SMTP-Konfiguration hinterlegt ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

In WiFi Magic und GPlate kann Google Places bzw. Google Maps Platform genutzt werden, um Unternehmen zu suchen und eine Google Place ID auszuwählen. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Verarbeitet werden können Suchanfrage, IP-Adresse, technische Browserdaten, ausgewählte Place ID, Unternehmenslabel und Nutzungsdaten der Google-API. Die Google-Suche wird als funktioneller Dienst im Consent-Banner geführt. Wenn Sie diese Kategorie ablehnen, kann die Unternehmenssuche nicht oder nur eingeschränkt funktionieren.

Bereits eingerichtete Weiterleitungen zu Google-Bewertungsseiten können beim Anklicken an Google führen; ab diesem Zeitpunkt verarbeitet Google Daten in eigener Verantwortung. Rechtsgrundlage für die aktive Einbindung der Google-Suche ist Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

Wir nutzen Vercel Web Analytics, um die Nutzung der App technisch und statistisch auszuwerten. Verarbeitet werden können Seitenaufrufe, Referrer, Browser- und Geräteinformationen, ungefähre Standort- und Netzwerkdaten sowie technische Anfrageinformationen.

Nach Angaben von Vercel verwendet Vercel Web Analytics keine Drittanbieter-Cookies. Wir führen den Dienst dennoch im Consent-Banner unter Statistik. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

Wenn Sie uns über WhatsApp kontaktieren oder ein Support-Link eine vorbereitete WhatsApp-Nachricht öffnet, verarbeitet WhatsApp bzw. Meta Daten in eigener Verantwortung. Wenn wir die WhatsApp Business Platform bzw. WhatsApp Cloud API serverseitig nutzen, können Telefonnummer, WhatsApp-Profilname, Nachrichteninhalte, Zeitpunkte, Message IDs, technische Metadaten, Supportthema, MagicPoster-Key, Bestellinformationen oder freiwillig übermittelte Fotos verarbeitet werden.

Anbieter ist Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO für Vertrags- und Produktfragen und Art. 6 Abs. 1 lit. f DSGVO für allgemeinen Kundensupport.

Zur Unterstützung im Kundenservice kann ein KI-gestützter Support-Bot eingesetzt werden. Anbieter ist OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland.

Verarbeitet werden können Chat- oder Supportnachrichten, MagicPoster-Key, Bestellnummer, Name, E-Mail-Adresse oder sonstige von Ihnen angegebene Informationen, technische Anfrageinformationen, KI-Antworten und interne Klassifizierungen. Der Einsatz dient der Bearbeitung von Support-, Claim- und Migrationsanfragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage einen Vertrag oder ein Produkt betrifft, und Art. 6 Abs. 1 lit. f DSGVO für effizienten Kundensupport. Soweit eine Einwilligung erforderlich ist oder eingeholt wird, gilt Art. 6 Abs. 1 lit. a DSGVO.

In MagicPoster-Funktionen können Admins oder Nutzer externe Links hinterlegen, etwa Instagram-Profile, Spotify-Songs, Google-Bewertungsseiten, Websites, PDF-Dateien oder sonstige externe Inhalte. Solange solche Inhalte nur als Link gespeichert und angezeigt werden, erfolgt nicht automatisch zwingend eine Datenübertragung an den jeweiligen Drittanbieter. Beim Anklicken verarbeitet der jeweilige Anbieter Daten in eigener Verantwortung.

Für Support, Systemmigration, Wiederherstellung von Admin-Zugängen und interne Administration können MagicPoster-Key, Bestellnummer, Name, Versandname, Bestell-E-Mail-Adresse, gewünschte Admin-E-Mail-Adresse, Produktname, technische Prüfergebnisse, Audit-Einträge, Freischaltungsstatus und Passwort-Reset-Vorgänge verarbeitet werden.

Zweck ist die sichere Zuordnung alter Poster, die Vermeidung unberechtigter Übernahmen, die Übertragung von Admin-Zugängen, Fehlerbehebung und Support. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

Wir treffen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, insbesondere HTTPS-Verschlüsselung, HttpOnly-Session-Cookies, Passwort-Hashing, serverseitige Secret-Verwaltung, Zugriffsbeschränkungen für Admin-Bereiche, getrennte serverseitige Service-Rollen, signierte Download-URLs, geschützte Speicherung sensibler Konfigurationsdaten und Protokollierung sicherheitsrelevanter Vorgänge.

Empfänger können insbesondere Vercel, Supabase, Usercentrics, Stripe, IONOS, Google, Meta/WhatsApp, OpenAI, Steuerberater, Rechtsberater, Banken, Behörden und technische Dienstleister sein. Mit Auftragsverarbeitern schließen wir, soweit erforderlich, Vereinbarungen nach Art. 28 DSGVO.

Einige Anbieter haben Sitz oder Infrastruktur außerhalb der EU bzw. des EWR. In solchen Fällen nutzen wir geeignete Garantien nach Art. 44 ff. DSGVO, insbesondere Standardvertragsklauseln, Angemessenheitsbeschlüsse und zusätzliche Schutzmaßnahmen.

Wir speichern personenbezogene Daten nur so lange, wie dies erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Admin-Konten und MagicPoster-Inhalte bleiben grundsätzlich gespeichert, solange das jeweilige Konto, Poster oder Modul aktiv ist. Zahlungs- und Rechnungsdaten werden entsprechend handels- und steuerrechtlicher Pflichten regelmäßig bis zu 10 Jahre aufbewahrt. Session-Cookies laufen spätestens nach 30 Tagen ab.

Nutzer, die Inhalte hochladen oder eintragen, sind dafür verantwortlich, dass diese Inhalte rechtmäßig sind und keine Rechte Dritter verletzen. Dies gilt insbesondere für Fotos, Videos, Audios, Namen, persönliche Worte und Informationen über andere Personen.

Die App richtet sich nicht gezielt an Kinder. Es kann jedoch vorkommen, dass Nutzer im Rahmen von Freundebüchern, Momenten oder Familienpostern Daten von Kindern hochladen. In diesem Fall ist der hochladende Nutzer verantwortlich, dass er hierzu berechtigt ist und erforderliche Einwilligungen vorliegen.

Sie haben nach Maßgabe der DSGVO insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, Widerruf erteilter Einwilligungen und Beschwerde bei einer Datenschutzaufsichtsbehörde.

Wenn wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen. Wenn eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hello@getmagicposter.com und geben Sie möglichst an, auf welchen MagicPoster-Key, welches Admin-Konto oder welche Funktion sich Ihre Anfrage bezieht.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für nicht-öffentliche Stellen mit Sitz in Bayern ist regelmäßig das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Deutschland zuständig.

Wir können diese Datenschutzerklärung anpassen, wenn sich die App, eingesetzte Dienste, rechtliche Anforderungen oder unsere Verarbeitungsprozesse ändern. Es gilt die jeweils auf der App veröffentlichte Fassung.

Kontakt bei Datenschutzfragen: hello@getmagicposter.com oder postalisch an Denscha IT & E-Commerce e.K., Von-der-Tann-Straße 29, 93047 Regensburg, Deutschland.