Qafey

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
[COMPANY_NAME]
[STREET_ADDRESS]
[CITY_ZIP], Deutschland
E-Mail: [EMAIL]

2. Erhobene Daten und Zwecke

a) Kontodaten (registrierte Nutzer)

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein Passwort (gespeichert als bcrypt-Hash). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) Gerätekennung

Zur Verwaltung Ihrer Treuepunkte pro Browser erzeugen wir eine zufällige Gerätekennung (UUID), die in Ihrem Browser (localStorage) gespeichert wird. Es wird kein Browser-Fingerprinting verwendet — die Kennung ist eine zufällige ID ohne Bezug zu Browser- oder Geräteattributen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Betrieb des Treueprogramms).

c) IP-Adressen

Bei jedem Scan-Vorgang wird Ihre IP-Adresse zur Betrugsprävention erfasst. Wir speichern keinen Klartext der IP, sondern einen kryptografischen SHA-256-Hash (einseitig, nicht rekonstruierbar). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

d) Standortdaten

Optional und nur mit Ihrer expliziten Browser-Erlaubnis verwenden wir GPS-Koordinaten, um zu prüfen, ob ein Scan in der Nähe eines teilnehmenden Cafés erfolgt (Geofencing). Koordinaten werden in unserer Datenbank gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

e) Treueprogramm-Daten

Stempel-Ereignisse (EarnEvents), Belohnungen und Fortschritt werden zum Betrieb des Treueprogramms gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3. Cookies & Speicher

Wir verwenden ausschließlich essenzielle Speichertechnologien (ohne Tracking, Analyse oder Werbung):

  • Authentifizierungs-Token (localStorage) — notwendig für die Anmeldung.
  • device_id (localStorage) — zufällige Gerätekennung (UUID) zur Zuordnung von Treuepunkten pro Browser.
  • cookie_consent (localStorage) — speichert, dass Ihnen der Cookie-Hinweis angezeigt wurde.
  • theme (localStorage) — Ihr Farbschema-Präferenz (Hell/Dunkel).
  • current_role (localStorage) — Ihre aktuell ausgewählte Benutzerrolle.
  • NEXT_LOCALE (Cookie) — Ihre Spracheinstellung.
  • referral_code (Cookie, HttpOnly, 7 Tage) — speichert den Empfehlungscode bei Besuch über einen Empfehlungslink.

4. Datenspeicherung & Auftragsverarbeitung

Alle Daten werden in einer PostgreSQL-Datenbank innerhalb der Europäischen Union gespeichert. Eine Weitergabe an Dritte erfolgt nicht, außer wenn dies gesetzlich vorgeschrieben ist.

5. Speicherdauer

Wir speichern Ihre Daten so lange, wie Ihr Konto aktiv ist oder wie es für den Betrieb des Treueprogramms erforderlich ist. Nach Kontolöschung werden alle personenbezogenen Daten unverzüglich gelöscht.

6. Ihre Rechte (Art. 15–22 DSGVO)

  • Auskunftsrecht (Art. 15): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16): Sie können unrichtige Daten berichtigen lassen.
  • Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen. Nutzen Sie den Button "Konto & Daten löschen" in Ihren Profileinstellungen.
  • Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.
  • Widerspruchsrecht (Art. 21): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
  • Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutzbehörde zu beschweren.

Für Anfragen wenden Sie sich bitte an: [EMAIL]

Privacy Policy

Last updated: April 2026

1. Data Controller

The controller within the meaning of the GDPR is:
[COMPANY_NAME]
[STREET_ADDRESS]
[CITY_ZIP], Germany
Email: [EMAIL]

2. Data Collected and Purposes

a) Account data (registered users)

Upon registration we collect your email address and a password (stored as a bcrypt hash). Legal basis: Art. 6(1)(b) GDPR (performance of a contract).

b) Device identifier

To track your loyalty stamps per browser we generate a random device identifier (UUID) stored in your browser (localStorage). We do not use browser fingerprinting — the identifier is a random ID unrelated to any browser or device attributes. Legal basis: Art. 6(1)(b) GDPR (performance of a contract — operation of the loyalty program).

c) IP addresses

Upon each scan we capture your IP address for fraud prevention. We do not store the plaintext IP — instead we store a one-way SHA-256 cryptographic hash that cannot be reversed to reconstruct the original address. Legal basis: Art. 6(1)(f) GDPR.

d) Location data

Optionally and only with your explicit browser permission, we use GPS coordinates to verify that a scan occurs near a participating café (geofencing). Coordinates are stored in our database. Legal basis: Art. 6(1)(b) GDPR or consent (Art. 6(1)(a) GDPR).

e) Loyalty program data

Stamp events (EarnEvents), rewards, and progress are stored to operate the loyalty program. Legal basis: Art. 6(1)(b) GDPR.

3. Cookies & Storage

We use only essential storage technologies (no tracking, analytics, or advertising):

  • Authentication token (localStorage) — required for login.
  • device_id (localStorage) — random device identifier (UUID) used to track loyalty stamps per browser.
  • cookie_consent (localStorage) — records that you have seen the cookie notice.
  • theme (localStorage) — your color scheme preference (light/dark).
  • current_role (localStorage) — your currently selected user role.
  • NEXT_LOCALE (cookie) — your language preference.
  • referral_code (cookie, HttpOnly, 7 days) — stores the referral code when visiting via a referral link.

4. Data Storage & Processors

All data is stored in a PostgreSQL database within the European Union. Data is not shared with third parties unless required by law.

5. Retention Period

We retain your data for as long as your account is active or as required to operate the loyalty program. Upon account deletion, all personal data is immediately erased.

6. Your Rights (Art. 15–22 GDPR)

  • Right of access (Art. 15): You may request information about your stored data.
  • Right to rectification (Art. 16): You may request correction of inaccurate data.
  • Right to erasure (Art. 17): You may request deletion of your data. Use the "Delete My Account & Data" button in your profile settings.
  • Right to data portability (Art. 20): You may request your data in a machine-readable format.
  • Right to object (Art. 21): You may object to processing based on legitimate interests.
  • Right to lodge a complaint: You have the right to complain to a supervisory authority.

For requests, please contact: [EMAIL]

Qafey - Digital Loyalty for Cafés