DSGVO & Datenverarbeitung

Diese Seite richtet sich an Compliance-Manager, Beschaffungsteams und Datenschutzbeauftragte, die QRStandard als Anbieter bewerten. Sie behandelt unsere Datenresidenzarchitektur, die Unterauftragsverarbeiterliste, die Art.-28-Konformität und wie Sie ein Datenverarbeitungsvertrag (DVV) anfordern können.

Verantwortlicher

Contenza K/S
CVR: 43349023 · USt-IdNr.: DK43349023
Dänemark
Kontakt: qrstandard.eu/contact

Contenza K/S ist der Verantwortliche für alle personenbezogenen Daten, die über QRStandard verarbeitet werden. Wir bestellen keinen gemeinsamen Verantwortlichen. Wenn Sie als Geschäftskunde QRStandard nutzen, um personenbezogene Daten Ihrer eigenen Benutzer oder Kunden zu verarbeiten (z. B. Scan-Analytik, die mit identifizierbaren Personen verknüpft ist), handeln Sie als eigenständiger Verantwortlicher und wir handeln als Ihr Auftragsverarbeiter gemäß Art. 28 DSGVO.

Datenresidenz

Alle von QRStandard verarbeiteten personenbezogenen Daten werden ausschließlich auf Servern in Nürnberg, Deutschland, die von der Hetzner Online GmbH betrieben werden, gespeichert. Keine personenbezogenen Daten werden für Speicher oder Verarbeitung außerhalb des Europäischen Wirtschaftsraums übermittelt.

Das bedeutet:

• Ihre Kontodaten, QR-Code-Konfigurationen und Weiterleitungsdatensätze werden in Deutschland gespeichert.
• Scan-Analytik wird in Deutschland verarbeitet und gespeichert.
• Backups werden auf derselben Infrastruktur in Deutschland gespeichert.
• Keine US-amerikanischen Cloud-Dienste (AWS, GCP, Azure) werden für personenbezogene Daten genutzt.

Unterauftragsverarbeiter

Wir nutzen folgende Unterauftragsverarbeiter. Wir pflegen Datenverarbeitungsverträge mit jedem von ihnen gemäß Art. 28(4) DSGVO.

Verarbeiter	Land	Zweck	Übermittlungsmechanismus
Hetzner Online GmbH	Deutschland	Server-Infrastruktur, Datenbank, Objektspeicher	EWR — keine Übermittlung
Stripe, Inc.	USA	Zahlungsabwicklung und Abonnementverwaltung	EU-US-Datenschutzrahmen + SCC
Resend, Inc.	USA	Transaktionale E-Mails (Authentifizierung, Quittungen)	Standardvertragsklauseln (Art. 46(2)(c))

Wir benachrichtigen Kunden über wesentliche Änderungen unserer Unterauftragsverarbeiterliste mit mindestens 14 Tagen Vorankündigung und geben die Möglichkeit, vor Inkrafttreten der Änderung Widerspruch einzulegen.

Welche Daten wir in Ihrem Auftrag verarbeiten (Art. 28)

Wenn Sie QRStandard als Geschäftskunde nutzen, verarbeiten wir folgende Datenkategorien in Ihrem Auftrag:

• QR-Code-Scan-Ereignisse: Zeitstempel, ungefähres Land (IP-abgeleitet, IP nicht gespeichert), Gerätetyp, Referrer-URL. Diese können mit Personen verknüpft sein, wenn Ihre QR-Codes in Kontexten eingesetzt werden, in denen der Scanner identifizierbar ist (z. B. mitarbeiterbezogene Codes oder authentifizierte Kundenpfade).
• Ziel-URLs: Die URLs, auf die Ihre QR-Codes weiterleiten und die Sie bereitstellen und kontrollieren.
• Audit-Protokolleinträge: Aufzeichnungen darüber, wer welches QR-Code-Ziel wann geändert hat, basierend auf Benutzerkonten, die Sie innerhalb unserer Plattform verwalten.

Technische und organisatorische Maßnahmen (TOMs)

Wir implementieren folgende Maßnahmen zum Schutz personenbezogener Daten:

• Verschlüsselung bei der Übertragung: Alle Verbindungen verwenden TLS 1.2 oder höher. Zertifikate werden automatisch über Let's Encrypt verwaltet.
• Verschlüsselung im Ruhezustand: Datenbank-Backups sind verschlüsselt. Anwendungsgeheimnisse werden in Umgebungsvariablen gespeichert, nicht im Quellcode oder in der Versionskontrolle.
• Zugangskontrolle: Der Datenbankzugriff ist auf Anwendungsprozesse beschränkt, die auf demselben Server laufen. Kein direkter externer Datenbankzugriff ist erlaubt. Der Admin-Zugriff auf den Server erfordert SSH-Schlüssel-Authentifizierung — Passwörter sind deaktiviert.
• Authentifizierung: Ausschließlich Magic-Link-Authentifizierung — keine Passwörter werden gespeichert. Sitzungstoken sind kryptografisch signiert, einmalig und laufen nach 15 Minuten ab.
• Monitoring: Systemzustand und Fehlerraten werden kontinuierlich überwacht. Alerting ist für Dienstausfälle und ungewöhnliche Fehlermuster eingerichtet.
• Datensparsamkeit: Wir speichern keine IP-Adressen aus QR-Code-Scans. Das Land wird aus der IP abgeleitet und die IP sofort verworfen.
• Aufbewahrungsfristen: Scan-Ereignisse werden nach 24 Monaten gelöscht. Server-Protokolle werden nach 30 Tagen gelöscht. Sitzungstoken laufen nach 30 Tagen ab.

Ihre Rechte als betroffene Person

Vollständige Details zu den Rechten betroffener Personen finden Sie in unserer Datenschutzerklärung. Zusammenfassung:

• Auskunftsrecht (Art. 15) — alle über Sie gespeicherten Daten anfordern
• Recht auf Löschung (Art. 17) — Konto- und Datenlöschung beantragen
• Recht auf Datenportabilität (Art. 20) — Daten im JSON-Format erhalten
• Recht auf Berichtigung (Art. 16) — unrichtige Daten korrigieren
• Widerspruchsrecht (Art. 21) — der auf berechtigten Interessen gestützten Verarbeitung widersprechen

Kontaktieren Sie uns über unser Kontaktformular. Antwort innerhalb von 30 Tagen. Sie können auch eine Beschwerde beim Dänischen Datenschutzbeauftragten einreichen: datatilsynet.dk · +45 33 19 32 00.

Regulatorischer Compliance-Kontext

QRStandard ist Infrastruktur für EU-Digitaletikettierungs- und Rückverfolgbarkeitsanforderungen. Unsere Kunden arbeiten unter Regulierungen wie EU-MDR/IVDR (2017/745+746), EU-Maschinenverordnung (2023/1230), EU-Batterieverordnung (2023/1542) und ESPR-Anforderungen für Digitale Produktpässe. Wir verstehen, dass diese Kontexte sensible Lieferketten- und Produktdaten beinhalten, und unsere Datenarchitektur ist entsprechend gestaltet.

Wenn Ihr regulatorischer Kontext spezifische Datenhandhabungsvereinbarungen erfordert — wie erweiterte Protokollierungsaufbewahrung, benutzerdefinierte Audit-Exportformate oder dedizierte Infrastruktur — kontaktieren Sie uns, um Enterprise-Optionen zu besprechen.