Datenschutzerklärung

1. Verantwortlicher

MehrStil by Frank Tisson (Card2Action)
Münchnerweg 18, 53844 Troisdorf
E-Mail: frank@card2action.de

2. Überblick der Verarbeitungen

Card2Action ist eine SaaS-Plattform zur Erstellung digitaler Visitenkarten. Wir verarbeiten personenbezogene Daten ausschließlich zur Vertragserfüllung, auf Basis Ihrer Einwilligung oder aus berechtigtem Interesse (Art. 6 DSGVO).

3. Welche Daten wir verarbeiten

• Account-Daten: Name, E-Mail, Passwort (gehasht), Plan, Einstellungen
• Profildaten: Visitenkarten-Inhalte, Bilder, Links, Kontaktdaten
• CRM-Daten: Leads, Termine, hochgeladene Dokumente
• Abrechnungsdaten: Zahlungsinformationen via Stripe oder PayPal (keine vollständigen Kreditkartendaten auf unseren Servern)
• OAuth-Daten: Google-ID, Profilbild (bei Anmeldung mit Google), Kalender-Tokens (optional)
• Scan-Daten: NFC-/QR-Scans (Zeitstempel, Karten-Seriennummer, Signatur-Validierung)
• Webhook-Logs: Zustellstatus bei von Ihnen konfigurierten CRM-Webhooks
• Technische Daten: IP-Adresse, Browser, Betriebssystem, Session-ID, Server-Logs
• Sicherheitsdaten: Login-Historie, Audit-Logs, aktive Sitzungen

4. Zwecke und Rechtsgrundlagen

• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Bereitstellung der Plattform, Support, Abrechnung
• Einwilligung (Art. 6 Abs. 1 lit. a): Google Calendar Sync, Google-Anmeldung, optionale KI-Funktionen
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): IT-Sicherheit, Betrugsprävention, Fehleranalyse
• Rechtliche Pflicht (Art. 6 Abs. 1 lit. c): Steuerliche Aufbewahrung

5. Hosting

Die Plattform wird auf Servern in Deutschland betrieben (IONOS / EU-Hosting). Es findet keine Speicherung außerhalb der EU statt, außer bei den in Abschnitt 6 genannten Subunternehmern mit geeigneten Garantien.

6. Auftragsverarbeiter (Subunternehmer)

Wir setzen externe Dienstleister ein. Details finden Sie in unserer Subunternehmer-Liste und im Auftragsverarbeitungsvertrag (AVV).

7. Drittanbieter-Integrationen

• Google-Anmeldung: Bei Login/Registrierung über Google erhalten wir Name, E-Mail und Profilbild von Google Ireland Limited. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
• Google Calendar: Optional synchronisieren wir Termine mit Ihrem Google-Kalender. OAuth-Tokens werden verschlüsselt gespeichert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), widerrufbar in den Einstellungen.
• Stripe / PayPal: Zahlungen werden direkt über den gewählten Zahlungsdienstleister abgewickelt. Wir speichern keine vollständigen Zahlungsdaten.
• CRM-Webhooks (Zapier/Make): Wenn Sie Webhooks konfigurieren, übermitteln wir Lead- und Termindaten an von Ihnen angegebene URLs. Sie sind für die Rechtmäßigkeit dieser Weitergabe verantwortlich.
• NFC & QR-Sicherheit: Scans werden zur Betrugsprävention protokolliert (Signatur-Validierung, optional rotierende QR-Tokens).

8. Speicherdauer

• Account-Daten: bis zur Löschung + 30 Tage Kulanz nach Kündigung
• Login-Historie: 180 Tage
• Audit-Logs: 180 Tage (Sicherheits-Logs: 365 Tage)
• Server-Fehlerlogs: 90 Tage
• Rechnungsdaten: gemäß gesetzlicher Aufbewahrungsfristen (10 Jahre)

9. Cookies

Wir verwenden ausschließlich technisch notwendige Session-Cookies für Login und Authentifizierung. Es findet kein Tracking durch Drittanbieter (Google Analytics, Facebook Pixel etc.) statt.

10. Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO). Kontakt: frank@card2action.de

Sie können Ihre Daten jederzeit in den Einstellungen exportieren oder Ihren Account löschen.

11. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig u.a.: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

12. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist stets unter dieser URL abrufbar.