Datenschutzerklärung
1. Verantwortlicher
GYP Media UG (haftungsbeschränkt) Kolonnenstraße 8 10827 Berlin Deutschland
Vertreten durch den Geschäftsführer: Niklas Jason Krüger
E-Mail: contact@gypmedia.com
Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen. Für datenschutzbezogene Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Überblick
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 DSGVO darüber, welche personenbezogenen Daten wir bei der Nutzung unserer Dienste verarbeiten, zu welchen Zwecken dies geschieht, an wen Daten weitergegeben werden und welche Rechte Ihnen zustehen.
Geltungsbereich: Diese Datenschutzerklärung gilt für alle unter folgenden Domains betriebenen Dienste:
| Domain | Verwendungszweck |
|---|---|
| stemp.app | Hauptdomain – Webapplikation und Produktoberfläche |
| stemp.email | Versand ausgehender E-Mails im Rahmen des Produkts (über Amazon SES) |
| stemp.page | Bereitstellung von Self-Registrierungsseiten und Datenerfassungsformularen für Endkunden unserer Geschäftskunden (Merchants). Die Registrierungsseiten werden vom jeweiligen Merchant konfiguriert und aktiviert; die dort erhobenen Daten werden von uns ausschließlich im Auftrag des Merchants verarbeitet (siehe Abschnitt 6b). |
| stemp.id | Verwendung als Präfix und Weiterleitung in QR-Codes; es werden keine eigenständigen Inhalte gehostet |
Nachfolgend werden diese Domains gemeinsam als „Website" bzw. „Dienste" bezeichnet.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).
3. Hosting & Bereitstellung der Website
Unsere Website wird über folgende Infrastruktur bereitgestellt:
- Vercel Inc. (Hosting & Deployment)
- Amazon Web Services (AWS, Region: eu-central-1)
- Cloudflare Inc. (CDN & Sicherheit)
Verarbeitete Daten:
- IP-Adresse (ggf. gekürzt/anonymisiert)
- Datum und Uhrzeit der Anfrage
- Browsertyp und -version
- Betriebssystem
- Referrer-URL
- abgerufene Inhalte
Zweck: Sichere und stabile Bereitstellung der Website sowie Schutz vor Missbrauch und Angriffen.
Drittlandübermittlung: Die genannten Anbieter haben ihren Sitz in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF), unter dem alle drei Anbieter zertifiziert sind (Art. 45 DSGVO), sowie ergänzend auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Hinweis: Es kann nicht ausgeschlossen werden, dass US-Behörden im Rahmen von Überwachungsprogrammen Zugriff auf personenbezogene Daten erhalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und performanten Bereitstellung unserer Website.
Bereitstellungspflicht: Die Verarbeitung der genannten Daten ist für den Abruf der Website technisch zwingend erforderlich. Ohne diese Verarbeitung kann die Website nicht angezeigt werden.
4. Cookies & Tracking-Technologien
4.1 Technisch notwendige Cookies
Unsere Website verwendet technisch notwendige Cookies, die für den Betrieb der Website unerlässlich sind:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| oidc_token | Authentifizierung (JWT-Token) | Bis Ablauf des Tokens (ca. 30 Min.), HttpOnly, Secure |
| oidc_refresh_token | Erneuerung der Authentifizierung | 30 Tage, HttpOnly, Secure |
| stemp-last-org | Speicherung der zuletzt gewählten Organisation | 12 Monate |
| c15ti.t | Zeitstempel des Consent-Tools | 12 Monate |
| c.necessary | Speicherung Ihrer Cookie-Präferenzen (notwendige Cookies) | 12 Monate |
Diese Cookies werden ohne Ihre Einwilligung gesetzt, da sie für die Funktionalität der Website unerlässlich sind.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im technisch fehlerfreien und sicheren Betrieb der Website.
4.2 Analyse-Cookies (PostHog)
Wir nutzen PostHog (EU-Hosting) zur Analyse des Nutzungsverhaltens auf unserer Website und in der App.
Verarbeitete Daten:
- Seitenaufrufe und Klickpfade
- Verweildauer
- Geräte- und Browserinformationen
- pseudonyme Nutzerkennungen
PostHog setzt hierzu ein Cookie (ph_phc_*_posthog), das ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Consent-Tool aktiviert wird. Ohne Ihre Einwilligung findet kein Tracking statt. Das Cookie hat eine Speicherdauer von 12 Monaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); § 25 Abs. 1 TDDDG.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über unser Consent-Tool widerrufen.
4.3 Chat- & Support-Cookies (Intercom)
Wir nutzen Intercom (EU-Datenhosting) als Chat- und Support-Tool. Intercom wird ausschließlich für angemeldete Nutzer im Rahmen des Produkts eingesetzt. Für nicht angemeldete Website-Besucher werden keine Intercom-Cookies gesetzt.
Verarbeitete Daten:
- Name und E-Mail-Adresse
- Nachrichteninhalte
- Zeitstempel
- technische Geräteinformationen
Cookies: Intercom setzt nach Anmeldung folgende Cookies:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| intercom_jwt | Authentifizierung der Chat-Sitzung | Bis Ablauf des Tokens |
| intercom-device-id-* | Zuordnung des Geräts | 9 Monate |
| intercom-session-* | Sitzungsverwaltung des Chat-Widgets | 7 Tage |
Da Intercom ausschließlich für angemeldete Kunden zur Vertragserfüllung (Support, Produktkommunikation) eingesetzt wird, ist hierfür keine gesonderte Cookie-Einwilligung erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies zur Erbringung eines vom Nutzer ausdrücklich gewünschten Dienstes).
4.4 Consent-Management
Wir verwenden ein selbst entwickeltes Consent-Tool zur Verwaltung Ihrer Cookie-Einwilligungen.
Verarbeitete Daten:
- Einwilligungsstatus (erteilt / verweigert / widerrufen)
- Zeitpunkt der Einwilligung bzw. des Widerrufs
- Version der Einwilligungskonfiguration
- technische Identifikatoren (z. B. pseudonymes Cookie-ID)
Dies dient der Nachweisbarkeit der Einwilligung gemäß Art. 7 Abs. 1 DSGVO.
Sie können Ihre Einstellungen jederzeit über das Consent-Tool ändern oder Ihre Einwilligung mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
5. Registrierung & Nutzerkonto
Bei der Erstellung eines Nutzerkontos verarbeiten wir:
- E-Mail-Adresse
- Passwort (verschlüsselt gespeichert mittels branchenüblicher Hashverfahren)
SSO-Login
Alternativ können Sie sich über Google oder Apple anmelden. Dabei erhalten wir vom jeweiligen Anbieter:
- E-Mail-Adresse
- Name
- Profilbild (optional, je nach Freigabe)
Datenquelle: Die Daten werden direkt vom jeweiligen SSO-Anbieter übermittelt (Art. 14 Abs. 2 lit. f DSGVO).
Hinweis: Bei der Nutzung von SSO gelten zusätzlich die Datenschutzbestimmungen des jeweiligen Anbieters. Auf die Datenverarbeitung durch diese Anbieter haben wir keinen Einfluss.
Zweck: Erstellung und Verwaltung Ihres Nutzerkontos.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bereitstellungspflicht: Die Angabe Ihrer E-Mail-Adresse und eines Passworts (oder die Nutzung von SSO) ist für die Registrierung erforderlich. Ohne diese Daten ist die Erstellung eines Nutzerkontos nicht möglich.
6. Pilotkunden-Vereinbarung
Nach der Registrierung ist der Abschluss einer Pilotkunden-Vereinbarung erforderlich. Dabei verarbeiten wir die zur Vertragsdurchführung notwendigen Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
6a. Zahlungsabwicklung & Rechnungsstellung
Rechnungsstellung (Lexware)
Zur Erstellung und Verwaltung von Rechnungen nutzen wir die Software Lexware (Haufe-Lexware GmbH & Co. KG, Freiburg, Deutschland).
Verarbeitete Daten:
- Name und Anschrift (Rechnungsadresse)
- E-Mail-Adresse
- Rechnungsbeträge, Rechnungsnummern und Zahlungszeitpunkte
- ggf. Umsatzsteuer-Identifikationsnummer
- Bankverbindung (IBAN, BIC) bei SEPA-Lastschrift
Drittlandübermittlung: Keine. Lexware wird in Deutschland betrieben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Buchführungs- und Aufbewahrungspflichten gemäß § 147 AO, § 257 HGB).
Zahlungsabwicklung (Finom)
Unser Geschäftskonto wird bei Finom (Finom Payments B.V., Amsterdam, Niederlande) geführt, einem von der De Nederlandsche Bank (DNB) lizenzierten E-Geld-Institut. Über Finom wickeln wir Zahlungseingänge (Überweisungen) und SEPA-Lastschrifteinzüge ab. Finom betreibt in Deutschland eine Zweigniederlassung und arbeitet mit der Solaris SE zusammen.
Verarbeitete Daten (soweit zahlungsrelevant):
- Name und IBAN des Zahlungspflichtigen bzw. -empfängers
- Zahlungsbetrag, Verwendungszweck und Buchungsdatum
- ggf. SEPA-Mandatsreferenz
Hinweis zur Verantwortlichkeit: Finom verarbeitet die genannten Daten als eigenständiger Verantwortlicher im Sinne der DSGVO im Rahmen der aufsichtsrechtlichen und bankvertraglichen Pflichten. Es handelt sich nicht um eine Auftragsverarbeitung gemäß Art. 28 DSGVO. Auf die Datenverarbeitung durch Finom haben wir keinen Einfluss; es gelten insoweit die Datenschutzbestimmungen von Finom (abrufbar unter https://app.finom.co/en/legal-documents?doc\_type=PrivacyPolicy\&language=en).
Drittlandübermittlung: Keine. Finom hat seinen Sitz in den Niederlanden (EU) und betreibt eine Zweigniederlassung in Deutschland.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Kontosynchronisation (Lexware ↔ Finom)
Zur buchhalterischen Erfassung von Zahlungseingängen und -ausgängen synchronisieren wir unser Finom-Geschäftskonto mit Lexware. Dabei werden Transaktionsdaten (Buchungsdatum, Betrag, Verwendungszweck, Name und IBAN der Gegenpartei) automatisiert in Lexware übernommen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer ordnungsgemäßen und effizienten Buchhaltung).
Angebotene Zahlungsmethoden
- Überweisung
- SEPA-Lastschrift
- Zahlung auf Rechnung
Bereitstellungspflicht: Die Angabe Ihrer Rechnungs- und Zahlungsdaten ist für die Vertragsdurchführung und Zahlungsabwicklung erforderlich. Ohne diese Daten können wir unsere Leistungen nicht abrechnen.
6b. Datenverarbeitung im Auftrag unserer Geschäftskunden (Auftragsverarbeitung)
Rollenverteilung
Unsere Plattform stemp ermöglicht es Geschäftskunden (nachfolgend „Merchants"), digitale Stempelkarten und Kundenbindungsprogramme für deren Endkunden zu erstellen und zu verwalten. In diesem Zusammenhang verarbeiten wir personenbezogene Daten der Endkunden ausschließlich im Auftrag und auf Weisung des jeweiligen Merchants.
Die datenschutzrechtliche Rollenverteilung ist wie folgt:
- Verantwortlicher (Art. 4 Nr. 7 DSGVO): Der jeweilige Merchant. Er entscheidet über Zwecke und Mittel der Datenverarbeitung – insbesondere darüber, welche Daten über das Registrierungsformular erhoben werden und wie die Stempelkarte ausgestaltet ist.
- Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): GYP Media UG (haftungsbeschränkt) als Betreiberin der Plattform stemp. Wir verarbeiten die Endkundendaten ausschließlich zur Erbringung unserer vertraglichen Leistungen gegenüber dem Merchant und nach dessen Weisungen.
Funktionsweise
Merchants können über die Plattform individuelle Self-Registrierungsseiten einrichten, die unter einer Subdomain von stemp.page erreichbar sind (z. B. coffee-club.stemp.page). Über diese Seiten können sich Endkunden des jeweiligen Merchants registrieren, wobei aus den eingegebenen Daten automatisch eine digitale Stempelkarte erstellt wird. Darüber hinaus werden produktbezogene E-Mails im Auftrag des Merchants über die Domain stemp.email versendet.
Verarbeitete Daten
Art und Umfang der über die Registrierungsseiten erhobenen personenbezogenen Daten werden ausschließlich durch den jeweiligen Merchant bestimmt. Die Formularfelder sind vom Merchant frei konfigurierbar. Typische Daten können sein:
- Name und/oder Vorname
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- weitere vom Merchant festgelegte Angaben
Darüber hinaus verarbeiten wir im Rahmen der Plattformnutzung durch Endkunden technisch bedingt:
- IP-Adresse (bei Aufruf der Registrierungsseite)
- Geräte- und Browserinformationen
- Zeitstempel der Registrierung und Interaktionen (z. B. Stempelvorgänge)
- pseudonyme Nutzerkennungen
Rechtsgrundlage
Wir verarbeiten die Endkundendaten auf Grundlage eines mit jedem Merchant geschlossenen Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Die Rechtmäßigkeit der Datenerhebung gegenüber den Endkunden (z. B. Einwilligung oder Vertragserfüllung) liegt in der Verantwortung des jeweiligen Merchants.
Weisungsgebundenheit und Einfluss
Wir haben keinen Einfluss auf Art, Umfang und Zweck der durch den Merchant erhobenen Endkundendaten. Wir stellen lediglich die technische Infrastruktur bereit. Anfragen von Endkunden bezüglich ihrer Rechte nach Art. 15–22 DSGVO (Auskunft, Löschung, Berichtigung etc.) sind grundsätzlich an den jeweiligen Merchant als Verantwortlichen zu richten. Wir unterstützen den Merchant bei der Erfüllung dieser Pflichten im Rahmen unserer vertraglichen und gesetzlichen Verpflichtungen.
Hinweis für Endkunden
Wenn Sie sich über eine stemp-Registrierungsseite (z. B. beispiel.stemp.page) registriert haben, ist der Betreiber des jeweiligen Kundenbindungsprogramms – nicht GYP Media UG – für die Verarbeitung Ihrer Daten verantwortlich. Bitte wenden Sie sich für datenschutzbezogene Anfragen (Auskunft, Löschung, Widerspruch) direkt an das jeweilige Unternehmen. Informationen zum Verantwortlichen finden Sie in der Regel auf der Registrierungsseite oder im Impressum des jeweiligen Merchants.
7. Kommunikation & Transaktionale E-Mails
Wir versenden systemrelevante E-Mails (z. B. Registrierungsbestätigung, Passwort-Zurücksetzen, Account-Benachrichtigungen) über:
- Knock Labs, Inc. (transaktionale Account-E-Mails)
- Amazon Simple Email Service (SES) (transaktionale Account-E-Mails)
- Google Workspace (interne E-Mail & Kommunikation)
Darüber hinaus werden produktbezogene E-Mails im Auftrag und im Namen unserer Geschäftskunden (Merchants) über Amazon Simple Email Service (SES) via die Domain stemp.email an deren Endkunden versendet. Die Inhalte und Empfänger dieser E-Mails werden durch den jeweiligen Merchant bestimmt; wir handeln insoweit als Auftragsverarbeiter (siehe Abschnitt 6b).
Verarbeitete Daten: E-Mail-Adresse, Kommunikationsinhalte, Zeitstempel.
Drittlandübermittlung: Knock Labs, Inc. hat ihren Sitz in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Knock ist nicht DPF-zertifiziert. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO); ergänzend kommen SCCs zur Anwendung. Amazon Web Services (SES) ist ebenfalls DPF-zertifiziert (Art. 45 DSGVO); ergänzend kommen SCCs zur Anwendung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8. Produktanalyse & Monitoring
PostHog
Siehe Abschnitt 4.2.
Datadog
Datadog Inc. wird ausschließlich zur technischen Überwachung (Monitoring) eingesetzt.
Verarbeitete Daten:
- Fehlerprotokolle
- Systemmetriken und Performance-Daten
- ggf. IP-Adresse (in Fehlerfällen)
Es erfolgt keine Erstellung von Nutzerprofilen und kein Tracking über Sitzungen hinweg.
Drittlandübermittlung: Datadog Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO). Ergänzend kommen EU-Standardvertragsklauseln (SCCs) zur Anwendung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung der Systemstabilität, der Erkennung und Behebung technischer Fehler sowie dem Schutz unserer IT-Infrastruktur.
9. Kommunikationstools
Zur Kommunikation mit Nutzern verwenden wir:
- Intercom (Chat & In-App-Support, EU-Datenhosting)
- Knock Labs, Inc. (In-App-Benachrichtigungen)
Verarbeitete Daten: Name, E-Mail-Adresse, Nachrichteninhalte, Zeitstempel, Nutzungs- und Gerätedaten.
Drittlandübermittlung:
- Intercom Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO); Daten werden zudem im EU-Hosting gespeichert. Ergänzend kommen SCCs zur Anwendung.
- Knock Labs, Inc. hat ihren Sitz in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Knock ist nicht DPF-zertifiziert.
Rechtsgrundlage:
- Art. 6 Abs. 1 lit. b DSGVO – für servicebezogene Kommunikation und Benachrichtigungen im Rahmen der Vertragserfüllung
- Art. 6 Abs. 1 lit. a DSGVO – soweit Tracking oder Analyse über die Kommunikationstools erfolgt
10. Referral-Funktion
Bei Nutzung von Empfehlungslinks werden pseudonyme Identifikatoren verwendet, um Empfehlungen technisch zuzuordnen. Es erfolgt kein Profiling zu Marketingzwecken. Personenbezogene Daten Dritter (z. B. E-Mail-Adressen eingeladener Personen) werden nicht erhoben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung unserer Nutzerakquise und Produktstruktur.
11. Digitale Wallet-Funktionen
Bei Nutzung von Wallet-Funktionen können folgende Dienste eingesetzt werden:
- Apple Push Notification Service (APNs)
- Google Play Services
Verarbeitete Daten: Geräte-Token, Betriebssystemversion, technische Geräteinformationen.
Drittlandübermittlung: Die Datenübermittlung an Apple Inc. und Google LLC erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Google LLC ist zusätzlich DPF-zertifiziert. Hinweis: Es kann nicht ausgeschlossen werden, dass US-Behörden Zugriff auf Daten erhalten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
12. Status- & Infrastruktur-Dienste
Zur Überwachung der Systemverfügbarkeit nutzen wir Statuspage.io (Atlassian).
Verarbeitete Daten: IP-Adresse, Browserinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Überwachung und Sicherstellung der Systemverfügbarkeit für unsere Nutzer.
13. Auftragsverarbeiter & Empfänger
Wir setzen folgende externe Dienstleister als Auftragsverarbeiter gemäß Art. 28 DSGVO ein:
| Dienstleister | Zweck | Sitz | Transfergrundlage |
|---|---|---|---|
| Vercel Inc. | Hosting & Deployment | USA | DPF (Art. 45) + SCCs (Art. 46) |
| Amazon Web Services | Cloud-Infrastruktur, E-Mail-Versand (SES) via stemp.email (eu-central-1) | USA (Daten in EU) | DPF (Art. 45) + SCCs (Art. 46) |
| Cloudflare Inc. | CDN & Sicherheit | USA | DPF (Art. 45) + SCCs (Art. 46) |
| PostHog | Produktanalyse | EU-Hosting | – (kein Drittlandtransfer) |
| Datadog Inc. | Monitoring | USA | DPF (Art. 45) + SCCs (Art. 46) |
| Intercom Inc. | Chat & Support | USA (EU-Hosting) | DPF (Art. 45) + SCCs (Art. 46) |
| Knock Labs, Inc. | Benachrichtigungen | USA | SCCs (Art. 46) |
| Google LLC | Workspace, SSO, Play Services | USA | DPF (Art. 45) + SCCs (Art. 46) |
| Apple Inc. | SSO, APNs | USA | SCCs (Art. 46) |
| Atlassian Pty Ltd | Systemstatus (Statuspage) | USA/AU | DPF (Art. 45) + SCCs (Art. 46) |
| Haufe-Lexware GmbH & Co. KG | Rechnungsstellung & Buchhaltung | Deutschland | – (kein Drittlandtransfer) |
Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
Hinweis zu Drittlandübermittlungen: Bei Übermittlungen in die USA besteht grundsätzlich das Risiko, dass US-Behörden im Rahmen von Überwachungsprogrammen (z. B. gemäß Section 702 FISA) auf Daten zugreifen könnten. Durch die Nutzung von DPF-zertifizierten Anbietern und den Abschluss von SCCs setzen wir geeignete Garantien im Sinne der Art. 44 ff. DSGVO ein.
Eigenständige Verantwortliche: Neben den oben genannten Auftragsverarbeitern übermitteln wir im Rahmen der Zahlungsabwicklung personenbezogene Daten an die Finom Payments B.V. (Amsterdam, Niederlande), die diese als eigenständiger Verantwortlicher im Sinne der DSGVO verarbeitet. Finom ist ein von der De Nederlandsche Bank (DNB) lizenziertes E-Geld-Institut; es handelt sich nicht um eine Auftragsverarbeitung gemäß Art. 28 DSGVO. Nähere Informationen finden Sie in Abschnitt 6a dieser Datenschutzerklärung sowie in der Datenschutzerklärung von Finom.
Eine aktuelle, vollständige Liste aller Auftragsverarbeiter kann jederzeit unter contact@gypmedia.com angefragt werden.
14. Social Media
Wir verlinken auf unsere Profile bei Instagram, X (Twitter) und LinkedIn. Beim Aufruf unserer Website werden keine Daten automatisch an diese Plattformen übertragen, da wir keine Social Plugins oder eingebetteten Inhalte dieser Anbieter verwenden. Erst durch Anklicken des jeweiligen Links werden Sie auf die externe Plattform weitergeleitet; ab diesem Zeitpunkt gelten die Datenschutzbestimmungen des jeweiligen Anbieters.
15. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Es werden keine Entscheidungen getroffen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.
16. Ihre Rechte
Ihnen stehen als betroffene Person die folgenden Rechte zu. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: contact@gypmedia.com
Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und ggf. Auskunft über diese Daten sowie eine Kopie zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Sie betreffender Daten Widerspruch einzulegen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht (Details hierzu finden Sie in Abschnitt 17).
Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Dieses Recht steht Ihnen insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu.
Zuständige Aufsichtsbehörde: Die für uns als Verantwortlichen zuständige Aufsichtsbehörde in Deutschland ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59–61 10555 Berlin https://www.datenschutz-berlin.de E-Mail: mailbox@datenschutz-berlin.de
17. Widerspruchsrecht (Art. 21 DSGVO)
WIDERSPRUCHSRECHT
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmung gestütztes Profiling.
Im Falle Ihres Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten von uns verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Zur Ausübung Ihres Widerspruchsrechts wenden Sie sich bitte an: contact@gypmedia.com
18. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Regelungen:
| Datenkategorie | Speicherdauer | Grundlage / Erläuterung |
|---|---|---|
| Kontodaten (E-Mail, Profil) | Bis zur Löschung des Accounts durch den Nutzer, danach Löschung innerhalb von 30 Tagen | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) |
| Server-Logdaten (IP, Zugriffsprotokolle) | 30 Tage | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) |
| Analyse-/Tracking-Daten (PostHog) | 12 Monate | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) |
| Kommunikationsdaten (Intercom, Support) | 24 Monate nach letzter Interaktion | Vertragserfüllung / berechtigtes Interesse |
| Monitoring-Daten (Datadog) | 30 Tage | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) |
| Zahlungs- und Rechnungsdaten (IBAN, SEPA-Mandate, Rechnungen) | Dauer des Vertragsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen (10 Jahre gem. § 147 AO, § 257 HGB); SEPA-Mandate: 14 Monate nach letztem Einzug (gemäß SEPA-Rulebook), danach Aufbewahrung im Rahmen der steuerlichen Fristen | Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO) |
| Endkundendaten (im Auftrag der Merchants) | Nach Weisung des jeweiligen Merchants; spätestens bei Beendigung des Auftragsverarbeitungsverhältnisses Löschung oder Rückgabe gemäß AVV | Auftragsverarbeitung (Art. 28 DSGVO) |
| Steuerlich relevante Daten (Rechnungen, Verträge) | 10 Jahre | § 147 AO, § 257 HGB |
| Handelsrechtlich relevante Korrespondenz | 6 Jahre | § 257 HGB |
| Consent-Nachweise | 3 Jahre nach Widerruf bzw. letztem Website-Besuch | Nachweispflicht gem. Art. 7 Abs. 1 DSGVO, Verjährungsfrist § 195 BGB |
Nach Ablauf der jeweiligen Speicherfrist werden die Daten gelöscht oder – soweit technisch möglich und gesetzlich zulässig – anonymisiert, sofern keine vorrangigen gesetzlichen Aufbewahrungspflichten entgegenstehen.
19. Datensicherheit
Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:
- TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen
- Verschlüsselte Speicherung sensibler Daten (z. B. Passwörter mittels branchenüblicher Hashverfahren)
- Rollenbasierte Zugriffsbeschränkungen nach dem Prinzip der geringsten Berechtigung
- Regelmäßige Sicherheitsüberprüfungen und Updates
- Sichere Cloud-Infrastruktur mit Redundanzen und automatischen Backups
- Vertraulichkeitsverpflichtung aller Personen, die Zugang zu personenbezogenen Daten haben
20. Minderjährige
Unsere Website und App richten sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass Daten eines Kindes unter 16 Jahren ohne Einwilligung des Sorgeberechtigten erhoben wurden, werden wir diese unverzüglich löschen.
21. Pflicht zur Bereitstellung von Daten
Soweit wir im Rahmen der Registrierung oder Vertragsanbahnung personenbezogene Daten erheben, die für die Begründung oder Durchführung des Vertragsverhältnisses erforderlich sind, ist die Bereitstellung dieser Daten freiwillig. Ohne Bereitstellung der als erforderlich gekennzeichneten Daten (z. B. E-Mail-Adresse) können wir den Vertrag jedoch nicht abschließen bzw. unsere Leistungen nicht erbringen.
Es besteht keine gesetzliche Pflicht zur Bereitstellung personenbezogener Daten. Soweit die Bereitstellung für den Vertragsschluss erforderlich ist, ergibt sich dies aus Art. 6 Abs. 1 lit. b DSGVO.
22. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen, neue Funktionen oder veränderte Datenverarbeitungsprozesse anzupassen. Die jeweils aktuelle Version ist jederzeit auf unserer Website abrufbar.
Wir empfehlen, diese Datenschutzerklärung regelmäßig zu lesen, um über den Schutz Ihrer Daten informiert zu bleiben. Bei wesentlichen Änderungen, die eine erneute Einwilligung erforderlich machen, werden wir Sie gesondert informieren.
Stand: 20. März 2026