Datenschutzerklärung

Informationen zum Umgang mit Ihren personenbezogenen Daten

1. Verantwortlicher

1a. Datenschutzbeauftragter

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

• Bestandsdaten (z. B. Namen, Adressen)
• Kontaktdaten (z. B. E-Mail, Telefonnummern)
• Inhaltsdaten (z. B. Eingaben in Formularen)
• Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeit)
• Meta-/Kommunikationsdaten (z. B. IP-Adressen, Geräteinformationen)
• Zahlungsdaten (z. B. Transaktionsinformationen, Stripe-Konto-Daten)

Kategorien betroffener Personen

• Nutzer der LEVIAPAY-Plattform (Geschäftsinhaber, Mitarbeiter)
• Besucher der Website

3. Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Verarbeitung zur Wahrung unserer berechtigten Interessen, sofern die Interessen oder Grundrechte der betroffenen Person nicht überwiegen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Die betroffene Person hat ihre Einwilligung gegeben.
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

4. Hosting und Infrastruktur

Unsere Website wird über Google Firebase Hosting (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Beim Besuch unserer Website werden automatisch technische Daten (z. B. IP-Adresse, Browsertyp, Zugriffszeit) durch den Server erfasst. Diese Daten sind technisch notwendig und werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet.

Google ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: Firebase Datenschutz.

5. Registrierung und Nutzerkonto

Zur Nutzung der LEVIAPAY-Plattform ist eine Registrierung erforderlich. Dabei werden folgende Daten erhoben:

• Name
• E-Mail-Adresse
• Unternehmensdaten (Name, Adresse, Steuernummer)

Die Authentifizierung erfolgt über Firebase Authentication. Die Daten werden auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) verarbeitet und in Google Cloud Firestore gespeichert.

6. Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir den Dienst Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Im Rahmen von Stripe Connect werden folgende Daten an Stripe übermittelt:

• Unternehmensdaten zur Kontoerstellung
• Transaktionsdaten zur Zahlungsverarbeitung
• Gerätedaten bei Nutzung von Stripe Terminal (Kartenlesegeräte)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: Stripe Datenschutzerklärung.

7. Technische Sicherheitseinrichtung (TSE)

Gemäß der Kassensicherungsverordnung (KassenSichV) setzen wir eine cloudbasierte technische Sicherheitseinrichtung (TSE) von fiskaly (fiskaly GmbH, Toulouser Allee 19a, 40211 Düsseldorf) ein. Dabei werden Transaktionsdaten zur Erfüllung gesetzlicher Aufzeichnungspflichten verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).

8. E-Mail-Versand (Resend)

Für den Versand von transaktionalen E-Mails (z. B. Verifizierung, Passwort-Zurücksetzung, Einladungen, Benachrichtigungen) nutzen wir den Dienst Resend (Resend, Inc., 548 Market St, San Francisco, CA 94104, USA).

Bei E-Mail-Versand werden folgende Daten an Resend übermittelt:

• E-Mail-Adresse des Empfängers
• E-Mail-Inhalt (Name, Einladungslinks, etc.)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässigem E-Mail-Versand).

Resend verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: resend.com/legal/privacy-policy.

9. Webanalyse und Werbung

9.1 Google Analytics 4

Wir verwenden Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland), einen Webanalysedienst. Google Analytics verwendet Cookies und ähnliche Technologien, um Ihre Nutzung unserer Website zu analysieren. Die erzeugten Informationen werden an einen Server von Google übertragen und dort gespeichert.

Wir nutzen Google Analytics mit aktivierter IP-Anonymisierung. Ihre IP-Adresse wird von Google innerhalb der EU gekürzt, bevor sie an Server in den USA übertragen wird.

Folgende Daten werden erfasst: besuchte Seiten, Verweildauer, verwendetes Gerät und Browser, Herkunftsquelle des Besuchs sowie Interaktionen mit der Plattform (z. B. Registrierung, Anmeldung, Seitennavigation).

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse des Nutzerverhaltens zur Verbesserung unserer Plattform). Die Mess-ID lautet G-1WDT6C18TQ.

Weitere Informationen: Google Datenschutzerklärung. Sie können die Erfassung durch Google Analytics verhindern, indem Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren.

9.2 Google Ads Conversion-Tracking

Wir nutzen Google Ads Conversion-Tracking (Google Ireland Limited), um die Wirksamkeit unserer Werbekampagnen zu messen. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird von Google Ads ein Cookie gesetzt. Dieses Cookie dient dazu, bestimmte Aktionen (z. B. Registrierung) als Conversion zu erfassen.

Die erhobenen Daten sind für uns anonym — wir können einzelne Nutzer nicht identifizieren. Google kann die Daten jedoch mit Ihrem Google-Konto verknüpfen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Messung der Werbewirksamkeit). Die Konto-ID lautet AW-9957984752.

Sie können personalisierte Werbung in den Google Anzeigeneinstellungen deaktivieren.

9.3 Firebase Analytics (mobile App)

In unserer iOS-App setzen wir Firebase Analytics (Google Ireland Limited) ein, um die App-Nutzung zu analysieren. Firebase Analytics erfasst Ereignisse wie App-Start, Seitenaufrufe, Transaktionen und Nutzerinteraktionen. Die Daten werden pseudonymisiert verarbeitet und an Google-Server übermittelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Sie können die Erfassung in den App-Einstellungen deaktivieren.

10. Externe Ressourcen

Alle Schriftarten und JavaScript-Bibliotheken werden lokal von unseren eigenen Servern (Firebase Hosting) ausgeliefert. Es werden keine externen CDN-Dienste (z. B. Google Fonts, jsDelivr) für statische Ressourcen eingesetzt, sodass keine IP-Adressen an Dritte übermittelt werden.

Für Webanalyse und Werbung werden externe Skripte von Google (googletagmanager.com, google-analytics.com) geladen. Details hierzu finden Sie in Abschnitt 9.

11. Cookies und lokale Speicherung

Unsere Website verwendet technisch notwendige Cookies und lokale Speichermechanismen (Local Storage) für die Authentifizierung und Sitzungsverwaltung. Darüber hinaus werden Cookies von Google Analytics und Google Ads für die Webanalyse und Conversion-Messung eingesetzt (siehe Abschnitt 9).

12. Aufbewahrungsfristen (Speicherfristen)

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Folgenden finden Sie eine Übersicht der konkreten Speicherfristen:

Datenkategorie	Speicherfrist	Rechtsgrundlage / Grund
Geschäftsdaten (Bestellungen, Rechnungen, TSE-Daten)	10 Jahre	§ 147 AO, § 257 HGB, GoBD
Audit-Logs (Kassenprotokolle, Sicherheitslogs)	10 Jahre	GoBD, KassenSichV
Nutzerkonto-Daten (Name, E-Mail, Unternehmensdaten)	Bis zur Kontolöschung durch den Nutzer	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Kundendaten (Loyalty-Profile, Wartelisten-Einträge)	Bis zur Löschung durch den Geschäftsinhaber oder 24 Monate Inaktivität	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Einladungen (Mitarbeiter-Einladungen)	7 Tage (automatische Ablaufmarkierung)	Art. 6 Abs. 1 lit. b DSGVO
Support-Tickets	3 Jahre	Verjährungsfrist (§ 195 BGB)
Analytics-Daten (Google Analytics 4)	14 Monate	GA4-Standardeinstellung
E-Mail-Versand (Resend-Zustellungsprotokolle)	30 Tage	Anbieter-Standardeinstellung (Resend)
Protokolldaten (Zugriffslogs, IP-Adressen)	90 Tage	Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
Rate-Limiting-Daten	2 Minuten (automatische Löschung)	Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)

Nach Ablauf der jeweiligen Speicherfrist werden die Daten automatisch gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine automatisierte Bereinigung abgelaufener Daten (z. B. Einladungen, Rate-Limiting-Einträge) erfolgt täglich.

13. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO statt.

14. Ihre Rechte

Sie haben folgende Rechte gegenüber uns bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@leviapay.com.

Wir werden Ihre Anfrage innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann die Frist um zwei weitere Monate verlängert werden, worüber wir Sie rechtzeitig informieren.

15. Datensicherheit

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-/TLS-Verfahren (Secure Sockets Layer / Transport Layer Security) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Der Zugang zur LEVIAPAY-Plattform ist durch Multi-Faktor-Authentifizierung (MFA) geschützt.

16. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand März 2026. Durch die Weiterentwicklung unserer Website und Plattform oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern.