// Rechtliches

Datenschutzerklärung

Stand: 18.04.2026

1. Verantwortliche Stelle

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der Betreiber von QueueFlow (Kontakt über Impressum).

2. Welche Daten wir erheben

Betreiber-Accounts

• E-Mail-Adresse und verschlüsseltes Passwort (bcrypt)
• Betriebsname und Slug
• Stripe-Kunden-ID für Zahlungsabwicklung
• IP-Adressen in Audit-Logs (max. 1 Jahr)

Gäste (Ticket-Nutzer)

• Firebase Cloud Messaging Token (nur wenn Push-Benachrichtigungen gewünscht)
• Ticketnummer und Status (anonym, kein Name)
• Erstellungs- und Aufrufzeitpunkt des Tickets

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Betreiber-Accounts und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für anonyme Ticket-Daten.

4. Datenspeicherung und automatische Löschung

• Tickets: Werden automatisch nach 30–730 Tagen gelöscht (abhängig vom Paket)
• Audit-Logs: Automatische Löschung nach 12 Monaten
• Refresh-Tokens: Automatische Löschung nach 30 Tagen
• Pairing-Codes: Automatische Löschung nach 10 Minuten
• Konto-Löschung: 30-tägige Rückruffrist, danach vollständige Datenlöschung

5. Ihre Rechte (Art. 15–22 DSGVO)

• Auskunft (Art. 15): Datenexport jederzeit im Dashboard unter Einstellungen → Daten exportieren
• Berichtigung (Art. 16): Direkt im Dashboard unter Einstellungen
• Löschung (Art. 17): Konto-Löschung im Dashboard unter Einstellungen
• Widerspruch (Art. 21): Kontakt über support@queueflow.de

6. Drittanbieter

Stripe

Zahlungsabwicklung durch Stripe Payments Europe Ltd. Stripe verarbeitet Zahlungsdaten nach PCI-DSS-Standard. Datenschutzerklärung: stripe.com/de/privacy

Firebase Cloud Messaging (Google)

Push-Benachrichtigungen über Firebase (Google LLC). Datenschutzerklärung: policies.google.com/privacy

7. Datentransfer in Drittländer

Stripe verarbeitet Daten in den USA auf Basis von Standardvertragsklauseln (SCCs). Firebase/Google-Server befinden sich teilweise außerhalb der EU.

8. Sicherheitsmaßnahmen

• HTTPS-Verschlüsselung aller Datenübertragungen
• Passwörter werden mit bcrypt (Kostenfaktor 12) gehasht
• JWT-Tokens mit kurzer Laufzeit (15 Minuten Access-Token)
• Rate-Limiting gegen Brute-Force-Angriffe
• SQL-Injection-Schutz durch Prepared Statements

9. Kontakt Datenschutz

Bei Fragen zum Datenschutz: datenschutz@queueflow.de

Beschwerden können bei der zuständigen Datenschutzaufsichtsbehörde eingereicht werden.