← hascan

by KSG Tech

Rechtliches

Datenschutzerklärung

Wir nehmen den Schutz personenbezogener Daten ernst. Diese Erklärung beschreibt, welche Daten bei der Nutzung von hascan verarbeitet werden, zu welchen Zwecken und welche Rechte betroffene Personen haben.

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

KSG Tech Einzelunternehmen
Vertreten durch: Kareem Mohamed
Am alten Sudhaus 2
34119 Kassel
Deutschland

E-Mail: support@ksg-tech.de

2. Hosting und technische Bereitstellung

hascan wird auf Servern von Hetzner Online GmbH (Deutschland / EU) betrieben. Die Anwendung läuft derzeit auf einem VPS mit Web-, API- und PostgreSQL-Datenbankdiensten.

Bei jedem Zugriff können technisch notwendige Daten verarbeitet werden, insbesondere:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL
  • Browser- und Geräteinformationen
  • Referrer-URL, falls übermittelt
  • Server- und Fehlerlogs

Zweck: Auslieferung der Anwendung, Sicherheit und Stabilität, Fehleranalyse, Missbrauchsprävention.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb). Soweit zur Vertragserfüllung gegenüber Shop-Betreibern erforderlich: Art. 6 Abs. 1 lit. b DSGVO.

3. Nutzung von hascan durch Shop-Betreiber

Wenn sich Shop-Betreiber registrieren oder die Plattform nutzen, verarbeiten wir insbesondere:

  • Name
  • E-Mail-Adresse
  • Passwort in gehashter Form
  • Shop-Name
  • Geschäftstyp
  • Adresse
  • Logo-/Bilddateien, falls hochgeladen
  • Kampagnen-, QR-Code- und Dashboard-Einstellungen
  • Google-Business-Daten, falls die Review-Booster-Funktion genutzt wird

Zweck: Erstellung und Verwaltung des Shop-Kontos, Bereitstellung digitaler Stempelkarten, Verwaltung von QR-Codes, Kampagnen, Kunden und Belohnungen, Sicherheit und Zugriffskontrolle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Verwaltung).

4. Nutzung durch Kunden der Shops

Kunden können über einen QR-Code Stempel sammeln. Dabei können folgende Daten verarbeitet werden:

  • E-Mail-Adresse oder Telefonnummer
  • zugehöriger Shop
  • Stempelkartenfortschritt
  • Zeitpunkte von Scans und Stempelereignissen
  • Belohnungsstatus und Einlösungen
  • bei aktivierter Guthaben-Funktion: Guthabenbewegungen und Transfers innerhalb eines Shops

Zweck: Zuordnung von Stempeln zu einem Kunden, Anzeige des Fortschritts, Verhinderung von Missbrauch (z. B. Mehrfachstempel), Verwaltung von Belohnungen und Einlösungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei Nutzung der digitalen Stempelkarte, Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionsfähiger, missbrauchssicherer Stempelkarte).

Shop-Betreiber sind für die rechtmäßige Nutzung der Kundendaten im Rahmen ihres Geschäfts mitverantwortlich. hascan stellt hierfür die technische Plattform bereit.

5. Cookies und lokale Speicherung

hascan verwendet technisch notwendige Cookies bzw. lokale Speichertechnologien, um die Anwendung bereitzustellen, Logins zu ermöglichen, Sicherheitsfunktionen umzusetzen und die Nutzung der digitalen Stempelkarte zu erleichtern.

Diese Speicherungen sind für die Bereitstellung der angeforderten Funktionen erforderlich oder dienen der nutzerfreundlichen Verwendung der Anwendung.

Name/KeyZweckTypSpeicherdauerKategorieStatus
hascan_access_tokenSession/Auth token for shop owners and administrators.localStorageBis Logout, Tokenablauf oder Löschen des Browser-Speichers.notwendigaktiv
hascan_refresh_tokenErneuert die Shop-/Admin-Session, damit berechtigte Nutzer angemeldet bleiben.localStorageBis Logout, Tokenablauf oder Löschen des Browser-Speichers.notwendigaktiv
hascan_client_idSicherheitsbezogene Erkennung mehrfacher Stempelanfragen vom selben Browser, ohne Fingerprinting.localStorageBis zum Löschen des Browser-Speichers.notwendigaktiv
hascan_customer_identityMerkt optional die zuletzt eingegebene E-Mail-Adresse oder Telefonnummer, um das Scan-Formular vorzufüllen.localStorageBis zur Nutzung der Vergessen-Option oder Löschen des Browser-Speichers.notwendigaktiv
hascan_selected_shopVorgesehene Speicherung der zuletzt gewählten Dashboard-Shop-Ansicht, falls später aktiviert.localStorageDerzeit nicht aktiv.notwendigvorbereitet, derzeit deaktiviert
hascan_storage_consentVorgesehene Speicherung einer Cookie-/Storage-Auswahl, falls später optionale Tools eingesetzt werden.localStorageDerzeit nicht aktiv. Später bis zur Änderung der Auswahl oder Löschen des Browser-Speichers.optionalvorbereitet, derzeit deaktiviert

Lokal gespeicherte Kundendaten verbleiben auf dem Gerät/Browser und können durch Löschen der Browserdaten oder über die „Vergessen“-Option auf der Scan-Seite entfernt werden.

Nicht notwendige Cookies oder Tracking-Technologien, z. B. Google Analytics, Meta Pixel, Hotjar oder vergleichbare Marketing-Tools, werden erst nach vorheriger Einwilligung eingesetzt.

Derzeit ist kein Cookie-Banner aktiv, weil hascan keine optionalen Tracking- oder Marketing-Technologien lädt. Die interne Consent-Struktur ist vorbereitet und aktuell deaktiviert. Falls später optionale Technologien ergänzt werden, wird eine Einwilligung vor dem Laden eingeholt. Ablehnen muss dann genauso einfach sein wie Annehmen; die Auswahl wird lokal gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, soweit die Speicherung für angeforderte Funktionen erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheit und nutzerfreundliche Bedienung. Für optionale Tracking- oder Marketing-Technologien wäre vorab eine Einwilligung erforderlich.

6. Authentifizierung und Sessions

Für Shop-Betreiber und Administratoren werden Login- und Session-Daten verarbeitet. Passwörter werden nicht im Klartext gespeichert, sondern gehasht.

  • Login-E-Mail
  • Passwort-Hash
  • Session-/Access-Token
  • Rolle/Berechtigungen
  • Zeitstempel

Zweck: sicherer Login, rollenbasierte Zugriffskontrolle, Schutz von Shop- und Admin-Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

7. Google Maps Platform / Places API

hascan kann die Google Maps Platform / Places API verwenden, damit Shop-Betreiber ihr Google-Unternehmensprofil finden und einen Link für Google-Bewertungen hinterlegen können.

Dabei können eingegebene Suchbegriffe wie Unternehmensname und Adresse an Google übermittelt werden. Die Google API wird serverseitig aufgerufen. Der API-Schlüssel wird nicht im Frontend veröffentlicht.

  • Unternehmensname
  • Adresse/Stadt als Suchbegriff
  • Google Place ID
  • Google-Unternehmensname/-Adresse
  • generierter Bewertungslink

Zweck: Finden des korrekten Google-Eintrags und Erzeugen eines Bewertungslinks. Die Verarbeitung erfolgt auf aktive Anforderung des Shop-Betreibers.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bewertungsfunktion).

Weitere Informationen zur Datenverarbeitung durch Google: policies.google.com/privacy · cloud.google.com/maps-platform/terms

Es wird keine Google-Maps-Einbettung automatisch auf öffentlichen Seiten geladen. Ein Google-Bewertungslink wird nur geöffnet, wenn der Kunde aktiv darauf klickt.

8. Uploads und Shop-Logos

Shop-Betreiber können Logos hochladen. Diese werden gespeichert und auf QR-Seiten, Scan-Seiten oder Druckvorlagen angezeigt.

  • hochgeladene Datei
  • Datei-URL/-Pfad
  • Metadaten wie Upload-Zeitpunkt

Zweck: Anzeige des Shop-Brandings, QR-Karte und Wiedererkennung durch Kunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Admin- und Sicherheitsfunktionen

Plattformadministratoren können zur Verwaltung und Sicherheit bestimmte Daten einsehen, z. B. Shops, Nutzer, technische Statusinformationen, Datenbankstatistiken und Fehlerstatus. Passwörter, API-Schlüssel oder sensible Geheimnisse werden im Admin-Dashboard nicht angezeigt.

Zweck: Plattformadministration, Sicherheit, Fehlerbehebung, Kapazitätsüberwachung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

10. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie sie für die genannten Zwecke erforderlich sind oder gesetzliche Aufbewahrungspflichten bestehen.

  • Shop-Konto-Daten: solange das Konto besteht
  • Kunden-/Stempeldaten: solange für das Treueprogramm erforderlich oder bis zur Löschanfrage
  • hochgeladene Logos: bis zur Löschung oder Kontoentfernung

Serverlogs werden grundsätzlich nach 30 Tagen gelöscht, sofern keine längere Speicherung aus Sicherheitsgründen erforderlich ist.

11. Weitergabe von Daten

Eine Weitergabe personenbezogener Daten erfolgt nur, wenn:

  • sie für den Betrieb der Plattform notwendig ist
  • eine gesetzliche Pflicht besteht
  • eine Einwilligung vorliegt
  • externe Dienstleister als Auftragsverarbeiter eingesetzt werden

Eingesetzte Dienstleister: Hetzner Online GmbH (Hosting), Google Maps Platform (bei Nutzung des Review Boosters).

12. Auftragsverarbeitung

Soweit externe Dienstleister personenbezogene Daten im Auftrag verarbeiten, werden geeignete Verträge zur Auftragsverarbeitung abgeschlossen, soweit dies gesetzlich erforderlich ist.

13. Rechte betroffener Personen

Betroffene Personen haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen
  • Beschwerde bei einer Datenschutzaufsichtsbehörde

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: support@ksg-tech.de

14. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen. Dazu gehören insbesondere Zugriffsbeschränkungen, Passwort-Hashing, rollenbasierte Berechtigungen und serverseitige Verarbeitung sensibler API-Schlüssel.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Funktionen, technische Abläufe oder rechtliche Anforderungen ändern.