Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

Diallo Media
Inhaber: David Diallo
Schwachhauser Heerstr. 18
28209 Bremen
Deutschland

Kontakt: hey@ycards.io

Ein Datenschutzbeauftragter ist nicht bestellt. Die Voraussetzungen für eine Bestellungspflicht nach Art. 37 DSGVO i.V.m. § 38 BDSG (insbesondere regelmäßige systematische Überwachung in großem Umfang, Verarbeitung besonderer Datenkategorien als Kerntätigkeit, mindestens 20 ständig mit automatisierter Verarbeitung beschäftigte Personen) sind nicht erfüllt.

2. Welche Daten wir verarbeiten

Wir verarbeiten personenbezogene Daten in den folgenden Kontexten:

Beim Besuch der Website

Beim Aufruf von ycards.io werden technische Daten automatisch erfasst (IP-Adresse, Datum/Uhrzeit, Browser, Betriebssystem, referrer URL). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Sicherheit der Website). Diese Daten werden nach 14 Tagen gelöscht.

Bei Account-Anmeldung

Für die Nutzung der Anwendung verarbeiten wir: E-Mail-Adresse, Passwort (gehasht), Brand-Name. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Angabe dieser Daten ist für die Vertragsdurchführung erforderlich; ohne sie ist eine Account-Anlage nicht möglich.

Account-Daten werden gelöscht, sobald sie für die Vertragsdurchführung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insbesondere § 147 AO und § 257 HGB — bis zu 10 Jahre für Rechnungs- und Geschäftsbriefdaten). Während laufender Aufbewahrungspflichten wird die Verarbeitung auf die gesetzlich vorgeschriebenen Zwecke eingeschränkt (Art. 18 DSGVO).

Bei Nutzung der Postkarten-Funktion

Wenn du Postkarten an deine Endkunden versendest, verarbeiten wir die Adress- und Kontaktdaten dieser Endkunden (Name, Postanschrift, ggf. E-Mail) für die Dauer des Versands. Du bist hierfür der datenschutzrechtlich Verantwortliche; wir handeln als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Auftragsverarbeitungsvereinbarung (AVV) ist als Anlage zu den AGB unter ycards.io/avv abrufbar und mit Annahme der AGB Vertragsbestandteil.

Bei Zahlungen

Zahlungsdaten (Kartennummer etc.) werden ausschließlich von unserem Zahlungsanbieter Stripe verarbeitet. Wir selbst speichern keine Zahlungsdaten, sondern nur die Kunden- und Transaktions-IDs von Stripe. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3. Eingesetzte Dienste (Auftragsverarbeiter)

Zur Bereitstellung des Dienstes setzen wir die folgenden externen Anbieter ein. Mit allen wurden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen.

  • Supabase Inc.
    Datenbank, Authentifizierung und Hosting der Anwendungslogik
    Sitz / Verarbeitungsort: EU (Frankfurt)
    Datenschutz beim Anbieter →
  • Vercel Inc.
    Hosting des Web-Frontends sowie anonyme Performance-Metriken (Core Web Vitals via Vercel Speed Insights, ohne Cookies oder personenbezogene Kennungen)
    Sitz / Verarbeitungsort: EU-Region (Frankfurt); ggf. Übermittlung an Vercel Inc. (USA) auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss C(2023) 4745 v. 10.07.2023)
    Datenschutz beim Anbieter →
  • Stripe Payments Europe Ltd.
    Zahlungsabwicklung; ggf. Übermittlung an Stripe Inc. (USA) auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss C(2023) 4745 v. 10.07.2023)
    Sitz / Verarbeitungsort: Irland (EU) / USA (DPF)
    Datenschutz beim Anbieter →
  • easybill GmbH
    Erstellung und Versand GoBD-konformer Rechnungen aus den Stripe-Transaktionen
    Sitz / Verarbeitungsort: Deutschland (EU)
    Datenschutz beim Anbieter →
  • Resend Inc.
    Versand von System- und Auth-Mails (z. B. Bestätigungslinks der Registrierung, Passwort-Zurücksetzung, Einladungen zu Brand-Mitgliedschaften)
    Sitz / Verarbeitungsort: Versand-Infrastruktur in der EU (Region Irland, eu-west-1); Account-Verwaltung, API-Logs und Versand-Metadaten bei Resend Inc. (USA) auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss C(2023) 4745 v. 10.07.2023)
    Datenschutz beim Anbieter →
  • Functional Software, Inc. (Sentry)
    Fehler-Monitoring der Server-Komponenten (kein Browser-Tracking)
    Sitz / Verarbeitungsort: EU (Frankfurt)
    Datenschutz beim Anbieter →
  • Cal.com Inc.
    Terminbuchung für Kennenlern-Gespräche im Rahmen des Done-for-You-Pilot-Programms (Name, E-Mail, freiwillige Antworten zu Shop-URL, Klaviyo-Listengröße und Branche)
    Sitz / Verarbeitungsort: EU-Region (cal.eu, Hosting Frankfurt); Speicherung in der EU/EWR. Soweit ausnahmsweise ein Zugriff durch Cal.com Inc. (USA) erfolgt (z. B. technischer Support), auf Grundlage der EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914)
    Datenschutz beim Anbieter →
  • Klaviyo, Inc. (optional, durch Kunde aktiviert)
    Anbindung an das CRM des Kunden zur Segmentübergabe; Übermittlung auf Grundlage des EU-US Data Privacy Framework
    Sitz / Verarbeitungsort: USA (DPF)
    Datenschutz beim Anbieter →
  • Druckpartner
    Produktion und postalischer Versand der Karten
    Sitz / Verarbeitungsort: Niederlande (EU)

4. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Die wichtigsten Fristen im Überblick:

  • Webserver-Logs (IP, Zeitstempel, Browser): 14 Tage, danach automatische Löschung
  • Account-Daten (Email, gehashtes Passwort, Brand-Name): bis zur Vertragsbeendigung, anschließend Löschung innerhalb von 30 Tagen, soweit keine Aufbewahrungspflichten entgegenstehen
  • Endkundenadressen aus Versand-Aufträgen: 90 Tage nach Versand, danach automatische Löschung
  • Rechnungs- und Geschäftsbriefdaten: 10 Jahre (§ 147 AO, § 257 HGB); Verarbeitung in dieser Zeit ausschließlich zu Steuer-/Handelsrechtszwecken
  • QR-Scan-Ereignisse (falls aktiviert): anonymisiert (ohne IP-Speicherung) für die Dauer der zugehörigen Kampagne im Reporting verfügbar

5. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Wahrnehmung deiner Rechte schreibe an hey@ycards.io. Wir bearbeiten Anfragen ohne unangemessene Verzögerung, spätestens innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).

6. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei der für uns zuständigen Aufsichtsbehörde zu beschweren:

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Arndtstraße 1
27570 Bremerhaven
datenschutz.bremen.de

7. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet bei ycards.io nicht statt. Über den Versand einzelner Karten entscheidet stets der Kunde durch Auswahl seiner Klaviyo-Segmente oder durch manuellen Upload; ycards.io trifft hierzu keine eigenen Entscheidungen mit rechtlicher Wirkung gegenüber betroffenen Personen.

8. Cookies und Endgeräte-Zugriff

Wir setzen technisch notwendige Cookies für die Authentifizierung und Sitzungsverwaltung (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, unbedingt erforderlich zur Bereitstellung des angeforderten Dienstes).

Für externe Einbettungen (Cal.com-Kalender auf der Seite /done-for-you) sowie für die anonyme Messung von Ladezeiten (Vercel Speed Insights) holen wir deine ausdrückliche Einwilligung über einen Cookie-Banner ein (Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO). Du kannst deine Auswahl jederzeit anpassen oder widerrufen:

Solange du der Kategorie „Komfort und externe Inhalte" nicht zustimmst, wird der Cal.com-Kalender nicht geladen. Es findet dann kein Datenfluss an Cal.com Inc. statt. Erst nach Zustimmung werden beim Laden technische Daten (IP-Adresse, Browser-Informationen, Zeitzone) übermittelt; bei einer Buchung zusätzlich die im Formular eingegebenen Daten (siehe Abschnitt 3, Auftragsverarbeiter Cal.com Inc.).

9. SSL-Verschlüsselung

Die Übertragung erfolgt durchgehend SSL-verschlüsselt (HTTPS). Du erkennst eine verschlüsselte Verbindung am Schloss-Symbol in deiner Browser-Zeile.

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich rechtliche oder funktionale Änderungen ergeben. Die jeweils aktuelle Version ist stets unter ycards.io/datenschutz abrufbar.