Datenschutzerklärung – Treuly
Stand: Mai 2026 · Version 1.0
Wir freuen uns über Ihr Interesse an Treuly. Mit dieser Datenschutzerklärung informieren wir Sie nach Art. 13, 14 DSGVO und § 25 TDDDG über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung unserer Software-as-a-Service-Plattform „Treuly", unserer Website und unserer iOS-Anwendung.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
Dennis Achtziger Treuly (Einzelunternehmen) Deutschland
E-Mail: dennis.achtziger@gmail.com
(Die ladungsfähige Anschrift wird derzeit hinterlegt; bis zur Veröffentlichung erreichen Sie uns unmittelbar über die genannte E-Mail-Adresse.)
Ein:e Datenschutzbeauftragte:r ist gesetzlich nicht bestellt; ein geeigneter Ansprechpartner für Datenschutzanfragen ist über die genannte E-Mail-Adresse erreichbar.
2. Doppelte Rolle von Treuly
Treuly agiert in zwei datenschutzrechtlich unterschiedlichen Rollen. Diese Trennung ist für das Verständnis der nachfolgenden Hinweise wesentlich:
| Datenkategorie | Rolle Treuly | Verantwortlich |
|---|---|---|
| Account-, Login- und Rechnungsdaten der nutzenden Betriebe | Verantwortlicher | Treuly |
| Endkunden-Daten der nutzenden Betriebe (Stempelstände, ggf. Vorname/E-Mail) | Auftragsverarbeiter | der jeweilige Betrieb |
Soweit Treuly personenbezogene Daten von Endkund:innen eines Betriebs verarbeitet, geschieht dies ausschließlich im Auftrag und nach Weisung des jeweiligen Betriebs auf Grundlage einer Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO). Für die Information der Endkund:innen über die Verarbeitung ihrer Daten ist der jeweilige Betrieb (nicht Treuly) verantwortlich.
Die nachfolgende Datenschutzerklärung beschreibt überwiegend die Verarbeitung in der Rolle als Verantwortlicher gegenüber den nutzenden Betrieben sowie technische Verarbeitungen, die Treuly eigenständig zu vertreten hat.
3. Datenkategorien, Zwecke und Rechtsgrundlagen
3.1 Account- und Profildaten der nutzenden Betriebe
Daten: E-Mail-Adresse, Passwort (nur als Hash gespeichert), Vor- und Nachname (sofern angegeben), Tenant-/Betriebsname, Filialen, Rolle innerhalb des Betriebs.
Zweck: Bereitstellung, Authentifizierung und Verwaltung des Account-Zugangs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).
Speicherdauer: Für die Dauer des Vertragsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen.
3.2 Mitarbeiter-Daten der nutzenden Betriebe
Daten: Anzeigename, Rolle, einmalig erzeugter QR-Login-Code.
Zweck: Bereitstellung des QR-basierten Mitarbeiter-Logins für die iOS-Anwendung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (für den Betrieb als Verantwortlichen); im Verhältnis Treuly ↔ Betrieb: Art. 28 DSGVO (Auftragsverarbeitung).
3.3 Karteninhalte und gestalterische Inhalte
Daten: Karten-Designs, hochgeladene Bilder (Logo, Strip), Farben, Stempel-Icons, Textfelder.
Zweck: Erstellung und Auslieferung der digitalen Stempelkarten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.4 Endkunden-Daten (Auftragsverarbeitung)
Daten: Pass-Seriennummer (Pseudonym), Stempelanzahl, optional Vorname, optional E-Mail oder Telefonnummer, ggf. Belohnungshistorie.
Zweck: Betrieb der Loyalitätskarte für den jeweiligen Betrieb.
Rechtsgrundlage: Art. 28 DSGVO im Verhältnis Treuly ↔ Betrieb. Die Rechtsgrundlage für die Erhebung dieser Daten gegenüber den Endkund:innen bestimmt der jeweilige Betrieb.
Speicherdauer: Solange der Betrieb sie weisungsgemäß im System hält; nach Vertragsende des Betriebs Löschung gemäß AVV.
3.5 Apple-Wallet-Push-Registrierung
Daten: deviceLibraryIdentifier (pseudonyme Endgeräte-Kennung pro
Apple-Wallet-Installation), pushToken für den Apple Push Notification
Service (APNs), passTypeIdentifier, serialNumber der Karte.
Zweck: Technische Zustellung von Aktualisierungen der Stempelkarte an das Endgerät (z.B. neuer Stempelstand).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technische Vertragsdurchführung im Auftrag des Betriebs).
Speicherdauer: Bis zur Entfernung der Karte aus Apple Wallet durch die nutzende Person.
3.6 Zahlungsdaten
Daten: Je nach gewähltem Zahlungsweg verarbeiten wir entweder
eine Stripe-Kunden-Kennung (Web-Abschluss) oder eine pseudonyme
Apple-Transaktions-Kennung (originalTransactionId, appAccountToken,
App-Store-Produkt-ID; bei Abschluss über die iOS-App via StoreKit /
Apple-ID-Abrechnung). Zusätzlich Abrechnungsstatus und ggf.
Rechnungsdaten (Firmierung, Anschrift). Vollständige
Zahlungskartendaten werden nicht bei Treuly gespeichert.
Zweck: Abrechnung der Pro- und Business-Tarife sowie Zuordnung des aktiven Entitlements zum Kundenkonto.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für die handels- und steuerrechtlich vorgeschriebene Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO i.V.m. §§ 257 HGB, 147 AO.
Speicherdauer: Aktive Daten für die Dauer des Vertrags; Rechnungsdaten 10 Jahre.
3.7 Server- und Diagnose-Daten
Daten: IP-Adresse, Zeitstempel, aufgerufener Endpunkt, HTTP-Statuscode, User-Agent, gekürzte Fehler-Stacktraces.
Zweck: Sicherstellung der technischen Funktionsfähigkeit, Abwehr von Missbrauch, Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse an einem stabilen, sicheren Betrieb der Plattform.
Speicherdauer: Maximal 30 Tage.
3.8 Berechtigungen der iOS-Anwendung
Die iOS-App verarbeitet Daten nur mit Ihrer ausdrücklichen Erlaubnis:
- Kamera (für QR-Code-Login und Stempel-Scan): es wird kein Bildmaterial gespeichert; ausschließlich das gescannte Token wird lokal verarbeitet und zur Auswertung an unsere API übertragen.
- Mitteilungen / Push (optional, für Betriebs-Benachrichtigungen): reine Benachrichtigungen zu betrieblichen Vorgängen, keine Werbung.
- Fotos / Dateien (für Logo- und Bild-Upload): Zugriff nur auf von Ihnen explizit ausgewählte Dateien.
Diese Berechtigungen können Sie jederzeit in den iOS-Systemeinstellungen widerrufen.
4. Empfänger und Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen haben (sofern es sich nicht um einen eigenständigen Verantwortlichen handelt).
| Empfänger | Sitz | Funktion | Stellung |
|---|---|---|---|
| Supabase Inc. | Singapur (Hosting: AWS Frankfurt, EU) | Datenbank-, Auth- und Storage-Hosting | Auftragsverarbeiter (Art. 28) |
| Clerk Inc. | San Francisco, USA | Authentifizierung, Account-Verwaltung, Sessions | Auftragsverarbeiter (Art. 28) |
| Apple Inc. | Cupertino, USA | Apple Wallet, Apple Push Notification Service, App-Store-Abrechnung (StoreKit), Sign in with Apple | eigenständig Verantwortlicher |
| Google LLC | Mountain View, USA | Google Wallet (Pass-Ausgabe an Endkund:innen mit Android-Endgerät), Sign in with Google | eigenständig Verantwortlicher |
| Stripe Payments Europe Ltd. | Dublin, Irland | Zahlungsabwicklung (Web-Abschluss) | eigenständig Verantwortlicher / ggf. gemeinsam Verantwortlicher |
| Resend (Resend, Inc.) | Wilmington, USA | Versand transaktionaler E-Mails | Auftragsverarbeiter (Art. 28) |
| Render Services Inc. | San Francisco, USA (Hosting: Region Frankfurt, EU) | Anwendungs-Hosting | Auftragsverarbeiter (Art. 28) |
Eine aktuelle und vollständige Liste unserer Sub-Auftragsverarbeiter stellen wir Geschäftskund:innen im Rahmen der Vereinbarung zur Auftragsverarbeitung zur Verfügung.
5. Datenübermittlung in Drittländer
Einige der vorgenannten Empfänger haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums oder sind Tochterunternehmen US-amerikanischer Mutterkonzerne. Wir stellen für die Datenübermittlung ein angemessenes Datenschutzniveau sicher:
- EU-US Data Privacy Framework (DPF). Apple Inc., Google LLC, Stripe Payments Europe Ltd. (über DPF-zertifizierte Konzernunternehmen), Clerk Inc., Render Services Inc. und Resend Inc. sind nach dem EU-US Data Privacy Framework zertifiziert (Beschluss der Europäischen Kommission vom 10. Juli 2023). Die Übermittlung erfolgt auf Grundlage von Art. 45 DSGVO.
- Standardvertragsklauseln (SCC). Soweit Empfänger nicht oder nicht vollständig vom DPF erfasst sind (insb. Supabase Inc. mit Sitz in Singapur), erfolgt die Übermittlung auf Grundlage der von der Europäischen Kommission erlassenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Wir haben die Empfänger einer Risikobewertung unterzogen und ergänzend technische und organisatorische Maßnahmen vereinbart (insb. Verschlüsselung in Übertragung und Ruhezustand, Zugriffsbeschränkung).
- Technische Standortwahl. Die Datenhaltung von Supabase erfolgt
nach Möglichkeit in der EU-Region (AWS Frankfurt,
eu-central-1).
Eine Kopie der eingesetzten Garantien stellen wir auf Anfrage zur Verfügung.
6. Apple Wallet und Apple Push Notification Service
Wenn Endkund:innen eine über Treuly erstellte Stempelkarte zu Apple Wallet hinzufügen, registriert das jeweilige Apple-Gerät den Pass bei unserer Plattform. Dabei werden die in Ziffer 3.5 genannten Daten übermittelt. Apple ist gegenüber den Endkund:innen für die Verarbeitung in Apple Wallet sowie für den Apple Push Notification Service eigenständiger Verantwortlicher. Es gilt insoweit Apples Datenschutzrichtlinie: https://www.apple.com/legal/privacy/.
Wir übertragen über den Apple Push Notification Service keine Inhaltsdaten der Karte; Apple sieht lediglich, dass ein Pass aktualisiert wurde, nicht jedoch dessen aktualisierten Inhalt. Die neuen Karteninhalte werden direkt zwischen dem Endgerät und unserer API ausgetauscht.
7. Cookies und Tracking
Unsere iOS-Anwendung setzt kein Tracking ein. Es findet keine geräteübergreifende Verfolgung statt; insbesondere wird die Werbe-ID (IDFA) nicht ausgelesen.
Auf unserer Website setzen wir ausschließlich solche Cookies und ähnliche Technologien ein, die für den Betrieb der Website unbedingt erforderlich sind (§ 25 Abs. 2 Nr. 2 TDDDG); für diese ist keine Einwilligung erforderlich. Sollten künftig nicht zwingend erforderliche Technologien (z.B. Analyse) eingesetzt werden, holen wir hierfür vorab Ihre Einwilligung über einen Consent-Banner ein.
8. Ihre Rechte als betroffene Person
Sie haben uns gegenüber – soweit die jeweiligen Voraussetzungen vorliegen – folgende Rechte:
- Auskunft (Art. 15 DSGVO) über die zu Ihrer Person verarbeiteten Daten;
- Berichtigung unrichtiger Daten (Art. 16 DSGVO);
- Löschung (Art. 17 DSGVO);
- Einschränkung der Verarbeitung (Art. 18 DSGVO);
- Datenübertragbarkeit (Art. 20 DSGVO);
- Widerspruch gegen eine Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO);
- Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Zur Wahrnehmung dieser Rechte genügt eine formlose Mitteilung an dennis.achtziger@gmail.com. Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren – insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes (Art. 77 DSGVO). Eine Liste der Aufsichtsbehörden in Deutschland finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html.
9. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Dazu zählen insbesondere:
- Verschlüsselte Übertragung über TLS (HTTPS);
- Verschlüsselte Datenspeicherung (Encryption at Rest) bei unseren Hosting-Anbietern;
- Mandantentrennung in der Datenbank über Row-Level-Security (eine Trennung der Daten verschiedener Betriebe auf Datenbankebene);
- Regelmäßige Aktualisierung der eingesetzten Software-Komponenten;
- Beschränkung von Zugriffsrechten auf das erforderliche Maß.
10. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO einschließlich Profiling findet nicht statt.
11. Pflicht zur Bereitstellung
Die Bereitstellung Ihrer Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, uns Daten zur Verfügung zu stellen. Allerdings benötigen wir bestimmte Daten (insbesondere E-Mail, Passwort, Tenant-Name) zwingend für den Vertragsabschluss und die Bereitstellung der Plattform. Ohne diese Daten können wir den Vertrag nicht erfüllen.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit
dies aufgrund einer Änderung der Rechtslage, der Rechtsprechung oder
der von uns angebotenen Leistungen erforderlich wird. Die jeweils
aktuelle Fassung finden Sie unter dem Pfad /legal/datenschutz.