Datenschutzrichtlinie

Diese Richtlinie gilt für Abundera QR Pro (den bezahlten Dienst unter pro.qr.abundera.ai). Für das kostenlose Abundera QR-Tool unter qr.abundera.ai siehe qr.abundera.ai/privacy/.

Wie Abundera QR mit Daten umgeht: nahezu keine beim kostenlosen Tool; minimal und transparent bei Pro.

Version 2.0. Zuletzt aktualisiert: 2026-04-17. In Kraft ab: 2026-06-15. Die vorherige Version galt nur für das kostenlose Tool; diese Version ergänzt den Pro Service. Die Datenschutzrichtlinie für Abundera, Inc. als Ganzes finden Sie unter abundera.ai/privacy.

1. Zusammenfassung

Zwei Produkte, zwei unterschiedliche Datensituationen.

Free Tool (qr.abundera.ai): kein Konto, keine Cookies, keine Analysefunktionen, keine Anfragen an unsere Server zur QR-Generierung. Ihre Inhalte verlassen Ihren Browser nicht.
Pro Service (pro.qr.abundera.ai): kontobasiert. Wir speichern Ihre E-Mail-Adresse, Ihre Stripe-Kunden-ID, die von Ihnen erstellten QR-Codes und die in Abschnitt 4 beschriebenen minimalen Scan-Datensätze. Wir verfolgen Ihre Endnutzer nicht im Web, wir verkaufen Ihre Daten nicht und wir nutzen keine Werbetechnologie.

2. Daten, die wir im Pro Service verarbeiten

2.1 Kontodaten

Wenn Sie sich über abundera.ai anmelden, erhalten wir Ihre E-Mail-Adresse und eine Nutzerkennung über unseren JWKS-delegierten Auth-Flow. Wir speichern:

E-Mail-Adresse (für Abrechnungshinweise, wichtige Servicenachrichten und Kündigungsbestätigungen)
Stripe-Kunden-ID (zur Abrechnung der von Ihnen hinterlegten Zahlungsmethode)
Kontoeinstellungen (Plantarif, Teammitgliedschaften, API-Schlüssel-Metadaten)
Zeitstempel (Konto erstellt, aktualisiert, Löschung beantragt)

Wir speichern keine Passwörter; die Authentifizierung ist an abundera.ai delegiert. Wir erheben keine demografischen Daten, Marketing-Präferenzen oder Gerätekennungen über das hier bereits Beschriebene hinaus.

2.2 Ihre Codes und URLs

Wenn Sie einen dynamischen QR-Code erstellen, speichern wir die Ziel-URL, eine optionale Bezeichnung, optionale Tags, den 7-stelligen Shortcode und den Lebenszyklus-Status des Codes. Das ist notwendig, um die dynamische QR-Auflösung zu ermöglichen.

2.3 Zahlungsdaten

Zahlungen werden von Stripe, Inc. verarbeitet. Wir speichern keine Kartennummern, CVCs oder Bankkontonummern. Stripe gibt eine Referenz zurück (die Kunden-ID und Abonnement-ID), die wir speichern, um Verlängerungen und Rechnungen abgleichen zu können. Ihre Zahlungsmitteldetails verbleiben bei Stripe.

3. Scan-Analysen (was wir aufzeichnen, wenn jemand einen Ihrer Codes scannt)

Hier erheben die meisten kommerziellen QR-Anbieter ein umfangreiches Verhaltensprofil. Wir tun das Gegenteil.

Was wir pro Scan aufzeichnen:

Das UTC-Kalenderdatum (tagesgenaue Zusammenfassung)
Das Land, abgeleitet aus dem CF-IPCountry-Request-Header von Cloudflare
Die Geräteklasse (Mobilgerät / Tablet / Desktop / Unbekannt), klassifiziert anhand eines kurzen User-Agent-Regex
Der Shortcode des Codes (zur Zuordnung des Scans zum richtigen Code)

Für Team- und Agency-Tarife zeichnen wir zusätzlich den UTC-Stundenbereich für bis zu 7 Tage rückwirkend auf. Tagesgenaue Datensätze werden planabhängig aufbewahrt (siehe Abschnitt 7).

Was wir nicht aufzeichnen: IP-Adresse, genaue Geolokalisierung (keine Stadt oder Breiten-/Längengrad), Referrer-URL, roher User-Agent-String, sub-stündlicher Zeitstempel, Cookie oder Session-Kennung des Scanner-Nutzers oder anderes. Nach der Geräteklassen-Klassifizierung wird der User-Agent-String verworfen; er wird nie in unsere Datenbank geschrieben.

Länder mit weniger als fünf Scans im von Ihnen gewählten Analysezeitraum werden als „Andere” zusammengefasst, damit einzelne Scanner-Nutzer aus einer kleinen Stichprobe nicht re-identifiziert werden können.

4. Cookies und Tracking

Free Tool: keine Cookies, kein Tracking, kein Fingerprinting.

Pro Service: ein einziges zwingend erforderliches Cookie, __Secure-abundera_session, überträgt das signierte Session-Token, das erforderlich ist, um Sie angemeldet zu halten. Es ist HttpOnly, Secure und SameSite=Strict. Wir verwenden keine Marketing-Cookies, Werbe-Cookies oder Cross-Site-Tracker. Kein Google Analytics, kein Meta Pixel oder Ähnliches.

5. Von uns eingesetzte Auftragsverarbeiter

Der Betrieb des Dienstes erfordert einige Drittanbieter. Die aktuelle Liste:

Auftragsverarbeiter	Zweck	Zugriff auf Daten	Zuständigkeit
Cloudflare, Inc.	Compute, Edge-Caching, Datenbank (D1), Key-Value-Store (KV), DNS	Alle Pro-Service-Daten; Scan-Header am Edge	USA mit globalem Edge
Stripe, Inc.	Zahlungsabwicklung und Abrechnung	E-Mail-Adresse, Zahlungsdetails, Abonnementdaten	USA
Zoho Corporation / ZeptoMail	Transaktionale E-Mails (Willkommen, Kündigung, Zahlungsausfall)	E-Mail-Adresse, E-Mail-Inhalt	USA / Indien

Eine aktuelle, datierte Auftragsverarbeiterliste wird unter abundera.ai/legal/subprocessors/ gepflegt. Wir aktualisieren diese Seite, bevor wir einen neuen Auftragsverarbeiter hinzufügen, und geben Abonnenten mindestens dreißig (30) Tage Einspruchsfrist, soweit dies nach geltendem Recht erforderlich ist.

6. Wie lange wir Ihre Daten aufbewahren

Kontodaten: werden aufbewahrt, solange Ihr Konto aktiv ist. Wenn Sie die Kontolöschung beantragen, tritt eine 30-tägige Haltefrist ein; danach werden alle personenbezogenen Daten aus den Produktivsystemen gelöscht.

Dynamische QR-Codes: werden aufbewahrt, solange das zugehörige Abonnement aktiv ist, während der Schonfrist und während der 30-tägigen Kontolöschungs-Haltefrist. Danach werden die Codes und ihre Shortcodes gelöscht.

Scan-Datensätze: werden planabhängig aufbewahrt: 365 Tage bei Solo, 730 Tage bei Business, 1.095 Tage bei Team und Agency, 30 Tage bei Keep-Alive. Ältere Scan-Datensätze werden nach Ablauf dieses Zeitraums durch unseren täglichen Cron rollierend gelöscht.

Zahlungs- und Steuerunterlagen: Stripe-Transaktionsdaten und Steuerunterlagen werden mindestens sieben (7) Jahre lang aufbewahrt, wie es das US-Steuerrecht vorschreibt; EU-Mehrwertsteuerjurisdiktionen können zusätzliche Aufbewahrungspflichten vorschreiben. Diese Daten können während dieses Zeitraums nicht auf Anfrage gelöscht werden.

Sicherheitsprotokolle: Strukturierte Anwendungsprotokolle (keine personenbezogenen Daten über das hinaus, was der jeweilige Handler explizit schreibt, z. B. Stripe-Webhook-Nutzer-IDs) werden von Cloudflare bis zu 30 Tage lang aufbewahrt.

7. Rechtsgrundlage für die Verarbeitung (GDPR / EEA-Nutzer)

Soweit die GDPR Anwendung findet, stützen wir uns auf folgende Rechtsgrundlagen:

Vertragserfüllung, für Kontoerstellung, Abonnementabrechnung, Code-Auflösung und technischen Support. Dies deckt im Wesentlichen die gesamte Pro-Service-Verarbeitung ab.
Berechtigte Interessen, für Sicherheitsüberwachung, Betrugsprävention und die von Ihnen als unserem Kunden genutzten Scan-Analysen zum Verständnis der Kampagnenleistung, die bewusst minimal gehalten sind. Unsere Einschätzung ist, dass die Auswirkung auf Scanner-Nutzer minimal ist, da keine sie identifizierenden Daten aufbewahrt werden.
Rechtliche Verpflichtung, für die Aufbewahrung von Zahlungs- und Steuerunterlagen wie in Abschnitt 7 beschrieben.
Einwilligung, nur dort, wo wir sie ausdrücklich einholen (z. B. bei zukünftigen optionalen Opt-in-Mitteilungen). Wir stützen uns derzeit für keine obligatorische Verarbeitung auf Einwilligung.

8. Ihre Rechte

Vorbehaltlich des geltenden Rechts und der in Abschnitt 7 genannten Aufbewahrungsausnahmen haben Sie folgende Rechte:

Auskunft: Laden Sie jederzeit ein ZIP-Archiv Ihrer Kontodaten (Codes, Scans, README) über Konto → Datenschutz → Export herunter, oder schreiben Sie an support@abundera.ai.
Berichtigung: Aktualisieren Sie Kontodaten über Ihre Kontoseite oder durch Kontakt zum Support.
Löschung: Beantragen Sie die Kontolöschung unter Konto → Datenschutz → Löschen. 30-tägige Haltefrist, dann Hartlöschung.
Datenübertragbarkeit: Das Export-ZIP enthält maschinenlesbare CSV-Dateien sowie eine README-Datei.
Widerspruch / Einschränkung der Verarbeitung: Kontaktieren Sie support@abundera.ai. Wir bearbeiten berechtigte Anfragen und bestätigen dies schriftlich.
Einwilligung widerrufen: Soweit die Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die vor dem Widerruf erfolgte Verarbeitung davon berührt wird.
Beschwerde einreichen: EEA-Nutzer können sich bei der zuständigen Aufsichtsbehörde beschweren. UK-Nutzer: beim ICO. Andere Länder: bei der entsprechenden Behörde.

Antwortfrist: Wir bestätigen innerhalb von 5 Werktagen und erfüllen die Anfrage innerhalb von 30 Tagen nach der Bestätigung, wie es GDPR Artikel 12 vorschreibt. Komplexe Anfragen können mit Ankündigung auf bis zu 90 Tage verlängert werden. Datenschutzrechte in Kalifornien (CCPA), Colorado (CPA), Virginia (VCDPA) und anderen US-Bundesstaaten werden innerhalb derselben 30-Tage-Frist berücksichtigt.

9. „Meine personenbezogenen Daten nicht verkaufen oder weitergeben”

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre personenbezogenen Daten nicht für kontextübergreifende verhaltensbezogene Werbung weiter. Wir verwenden oder offenbaren keine sensiblen personenbezogenen Daten für andere Zwecke als die Erbringung des Dienstes. Da wir diese Praktiken nicht anwenden, ist kein Opt-out erforderlich. California-Einwohner, die eine schriftliche Bestätigung wünschen, können diese jedoch unter support@abundera.ai anfordern.

10. Kinder

Der Pro Service richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn Sie der Meinung sind, dass wir dies getan haben, kontaktieren Sie support@abundera.ai, und wir löschen diese Daten.

11. Internationale Übermittlungen

Wir haben unseren Sitz in den USA. Personenbezogene Daten, die von Einwohnern der EEA, des Vereinigten Königreichs oder der Schweiz erhoben werden, werden in die USA übermittelt. Für diese Übermittlungen an unsere Auftragsverarbeiter (Cloudflare, Stripe, Zoho/ZeptoMail) stützen wir uns auf die EU-Standardvertragsklauseln (SCC). Die aktuelle Auftragsverarbeiterliste unter abundera.ai/legal/subprocessors/ dokumentiert den Übermittlungsmechanismus für jeden Anbieter.

12. Sicherheit

Wir setzen branchenübliche Maßnahmen ein: TLS 1.3 bei der Übertragung, verschlüsselte Speicherung im Ruhezustand (Cloudflare D1, KV), abgegrenzte API-Schlüssel, Ratenbegrenzung, CSRF-Schutz (SameSite=Strict-Cookies + Origin-Prüfungen) und strukturierte Zugriffsprotokolle. Wir behaupten nicht, dass der Dienst nicht kompromittierbar ist. Wenn Sie ein Sicherheitsproblem vermuten, melden Sie es an security@abundera.ai.

13. Meldung von Datenschutzverletzungen

Wenn wir von einer Datenschutzverletzung erfahren, die Ihr Konto betrifft, benachrichtigen wir Sie unverzüglich und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden nach Kenntnisnahme, wie es GDPR Artikel 33 für unsere Rolle als Verantwortlicher vorschreibt. Benachrichtigungen enthalten: Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Datensätze, voraussichtliche Folgen und ergriffene oder geplante Maßnahmen.

14. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie gelegentlich aktualisieren. Wesentliche Änderungen werden Pro-Abonnenten per E-Mail an die hinterlegte Adresse und durch einen deutlichen Hinweis auf dieser Seite mitgeteilt. Das oben auf dieser Seite angegebene Wirksamkeitsdatum gibt die aktuelle Version an. Frühere Versionen sind im Changelog verfügbar.

15. Kontakt

Datenschutzfragen, Anfragen betroffener Personen oder Anliegen: privacy@abundera.ai (dediziert) oder support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.

Version 2.0, zuletzt aktualisiert: 2026-04-17, in Kraft ab: 2026-06-15. Frühere Versionen: siehe Changelog.