Datenschutzerklärung — Cardit Wallet
Für die Cardit-Wallet-App (digitale Bonuskarten). Stand: Juni 2026. Diese Erklärung beschreibt die Verarbeitung in der Endkunden-Wallet; das Partner-/Tippgeber-Programm regelt die AGB.
1. Verantwortlicher
YOURLEAF GmbH, Zur Zugbrücke 2, 26203 Wardenburg, Deutschland
E-Mail: info@cardit.info · Telefon: 04407 913 6812
Weitere Angaben im Impressum.
2. Grundsatz: Datensparsamkeit
Die Wallet ist auf das Nötigste ausgelegt. Es werden keine Tracking- oder Analyse-Dienste und keine Drittanbieter-Cookies eingesetzt. Es findet kein geräteübergreifendes Tracking und keine Werbe-Profilbildung statt.
3. Lokale Speicherung auf deinem Gerät
Beim ersten Öffnen erzeugt die App lokal in deinem Browser (localStorage) eine zufällige Geräte-Kennung und ein Geheimnis, mit dem nur dein Gerät die eigenen Karten abrufen darf. Diese Werte sind technisch notwendig (§ 25 Abs. 2 TDDDG: unbedingt erforderlich, daher einwilligungsfrei) und verlassen dein Gerät nicht als Klartext. Du kannst sie jederzeit löschen, indem du die Websitedaten/App-Daten im Browser entfernst (dann werden ungesicherte Karten verworfen).
4. Welche Daten wir auf dem Server verarbeiten
- Bonus-/Stempeldaten: Welche Karte du gesammelt hast, Stempel/Scans samt Zeitpunkt, eingelöste Belohnungen — verknüpft mit deiner Geräte-Kennung. Zweck: Führung deiner Bonuskarten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung des Dienstes).
- Optionale E-Mail-Verknüpfung: Verbindest du freiwillig eine E-Mail, speichern wir diese, um deine Karten bei Geräteverlust/-wechsel wiederherzustellen (Bestätigungs-Link). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), jederzeit widerrufbar.
- Optionale Push-Benachrichtigungen: Aktivierst du die Glocke einer Karte, speichern wir den vom Browser bereitgestellten Push-Endpunkt, um Nachrichten des jeweiligen Ladens zuzustellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Abbestellen jederzeit über dieselbe Glocke.
- Technische Server-Logs: Zur Abwehr von Missbrauch/Sicherheit (z. B. IP-Adresse, Zeitpunkt) für eine kurze Dauer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5. Empfänger & Hosting
Die Daten werden auf Servern in Deutschland (Hetzner Online GmbH, Auftragsverarbeiter nach Art. 28 DSGVO) gehostet. Bei Push-Benachrichtigungen wird der verschlüsselte Versand technisch über den Push-Dienst deines Browsers/Betriebssystems abgewickelt (z. B. Google, Apple, Mozilla); dabei wird der Push-Endpunkt angesprochen. Eine darüber hinausgehende Weitergabe an Dritte erfolgt nicht.
6. Speicherdauer
Bonusdaten werden gespeichert, solange du die Karte nutzt. Inaktive Geräte-/Kartendaten und Push-Abos werden gelöscht, sobald sie nicht mehr benötigt werden. Eine verbundene E-Mail wird gelöscht, wenn du die Verknüpfung aufhebst oder die Löschung verlangst.
7. Deine Rechte
Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sowie das Recht, erteilte Einwilligungen zu widerrufen (Art. 15–21 DSGVO). Wende dich dafür an info@cardit.info. Es besteht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (für uns: Die Landesbeauftragte für den Datenschutz Niedersachsen).
8. Keine automatisierte Entscheidung
Es findet kein Profiling und keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt.
Hinweis: Diese Erklärung beschreibt den aktuellen Funktionsumfang der Wallet. Bei Änderungen wird sie angepasst. Vor dem Live-Gang bitte rechtlich final prüfen lassen (insb. Aufsichtsbehörde, Auftragsverarbeitungs-Verträge, ggf. Drittlandbezug der Push-Dienste).