ad2store

Datenschutzerklärung

Stand: 8. Juni 2026

1. Allgemeine Hinweise

Der Schutz personenbezogener Daten ist uns wichtig. In dieser Datenschutzerklärung informieren wir darüber, welche personenbezogenen Daten im Zusammenhang mit der Nutzung von ad2store verarbeitet werden — auf unserer Website, in der Plattform sowie auf Landingpages, QR-Code-Seiten, Formularen, Funnels und Tracking-Strecken, die Kunden mit ad2store erstellen.

ad2store ist ein SaaS-Tool für Landingpages, Funnels, QR-Code-Seiten und Conversion-Tracking. Unternehmen können damit Kampagnenseiten, Offline-Tracking-Strecken und Conversion-Funnels erstellen und betreiben.

Diese Datenschutzerklärung gilt für unsere Website und unsere Plattform, soweit wir selbst Verantwortlicher im Sinne der DSGVO sind.

Soweit Kunden ad2store nutzen, um eigene Landingpages, QR-Code-Seiten, Formulare, Funnels oder Tracking-Strecken zu erstellen und zu betreiben, ist der jeweilige Kunde datenschutzrechtlich Verantwortlicher — ad2store verarbeitet diese Daten dann in seinem Auftrag.

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Florian Pflaume — Einzelunternehmer (ad2store)
Augustenstraße 78 · 80333 München · Deutschland
E-Mail: datenschutz@ad2store.de
Website: https://ad2store.de

3. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Für Fragen zum Datenschutz können Sie sich jederzeit an die oben genannte E-Mail-Adresse wenden.

4. Arten personenbezogener Daten

Je nach Nutzung unserer Website und Plattform können insbesondere folgende Daten verarbeitet werden:

  • Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
  • Account-Daten (Login-Daten, Nutzerrolle, Unternehmen)
  • Vertrags- und Zahlungsdaten
  • Kommunikationsdaten (Support-Anfragen, Chat-Nachrichten)
  • Technische Daten (IP-Adresse, Browser, Gerätetyp, Betriebssystem, Referrer-URL)
  • Logdaten und Sicherheitsdaten
  • Kampagnendaten (UTM-Parameter, Click-IDs wie fbclid, gclid, ttclid)
  • Event-Daten (Klicks, Seitenbesuche, Formular-Absendungen, QR-Scans, Leads, Käufe)
  • Pseudonymisierte Hashwerte — IP-Hash, User-Agent-Hash, E-Mail-Hash (HMAC-SHA256; im Tracking-Kontext werden personenbezogene Rohdaten nicht dauerhaft gespeichert; Hashwerte können weiterhin als pseudonyme personenbezogene Daten einzustufen sein)
  • Formularangaben auf Landingpages oder Formularseiten
  • Zahlungs- und Rechnungsdaten
  • Integrationsdaten (Pixel-IDs, verschlüsselte Tokens, Plattform-Konfigurationen)

Wir verarbeiten personenbezogene Daten nur, soweit eine Rechtsgrundlage besteht, eine Einwilligung vorliegt oder die Verarbeitung zur Vertragserfüllung oder zur Wahrung berechtigter Interessen erforderlich ist.

5. Besuch unserer Website und Server-Logfiles

Beim Aufruf unserer Website werden automatisch technische Daten verarbeitet, die erforderlich sind, um die Website bereitzustellen und die Sicherheit zu gewährleisten. Diese Verarbeitung erfolgt durch unseren Hosting-Anbieter Vercel (siehe Abschnitt 6).

Dabei können insbesondere folgende Daten verarbeitet werden:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Referrer-URL
  • Browsertyp und Browserversion
  • Betriebssystem und Gerätetyp
  • Übertragene Datenmenge und Statuscodes
  • Technische Logdaten

Die Verarbeitung erfolgt zur Auslieferung der Website, zur Gewährleistung der Sicherheit, zur Fehleranalyse, zur Abwehr von Angriffen und zur Sicherstellung des Betriebs. Die Daten werden nur kurzfristig gespeichert und nicht dauerhaft als Kerndaten verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6. Hosting und technische Infrastruktur

Wir nutzen externe technische Dienstleister zur Bereitstellung, Auslieferung und Absicherung unserer Website und Plattform.

Vercel Inc. — Hosting, Deployment und Serverless Functions

Verarbeitet werden IP-Adresse, User-Agent, aufgerufener Pfad, Request- und Function-Logs (kurzfristig) sowie Build-Logs (ca. 30 Tage). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandübermittlung USA via Standardvertragsklauseln (SCCs Modul 2/3, irisches Recht, UK IDTA) — DPA v2026-03-17, wirksam ab 31. März 2026.

Cloudflare Inc. — DNS-Verwaltung und Subdomain-Routing

Cloudflare wird bei uns ausschließlich für DNS und technisches Routing von *.ad2store.de-Subdomains eingesetzt — nicht als vollständiges CDN. Dabei können IP-Adresse und technische Anfrageinformationen verarbeitet werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandübermittlung USA via Data Privacy Framework + Standardvertragsklauseln (SCCs Modul 2/3, deutsches Recht München, UK Addendum) — DPA v6.4, wirksam ab 3. April 2026.

7. Registrierung, Login und Nutzerverwaltung

Clerk Inc. — Authentifizierung und Nutzerverwaltung

Verarbeitet werden Name, E-Mail-Adresse, Passwort-Hash, Session-Tokens, Login-Zeitpunkte, IP-Adressen (Sicherheitszwecke), Geräte- und Browserinformationen sowie Nutzerrollen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Sicherheitsmaßnahmen zusätzlich Art. 6 Abs. 1 lit. f DSGVO. Drittlandübermittlung USA via Data Privacy Framework (DPF-zertifiziert) + Standardvertragsklauseln (SCCs Modul 2/3, irisches Recht) — DPA wirksam seit 26. November 2024.

8. Datenbank, Storage und Kerndaten

Supabase Inc. — Datenbank und Storage (EU-Server)

Kerndaten werden auf EU-Servern gespeichert. Folgende Datenbereiche werden mit den nachstehenden Fristen verarbeitet:

  • Klick-Sessions — gehashte IP, gehashter User-Agent, Click-ID, Plattform. Frist: 90 Tage.
  • QR-Scans — gehashte IP, gehashter User-Agent, gehashte E-Mail, Match-Informationen. Frist: 90 Tage.
  • Kontaktformular-Einreichungen — Name, E-Mail, Telefon, Nachricht, Newsletter-Opt-in. Frist: 90 Tage.
  • Gutscheincodes — Code, Prefix, E-Mail (sofern verwendet), Einlösestatus. Frist: 1 Jahr.
  • Einladungen (nicht akzeptierte) — E-Mail, Rolle, Token. Frist: 7 Tage.
  • Audit-Logs — User-ID, Store-ID, Aktionstyp, Zeitstempel sowie technische Metadaten (z. B. geänderte Felder). Frist: 2 Jahre.
  • Consent-Logs — Domain, Einwilligungsstatus, Banner-Version, Zeitpunkt. Frist: 2 Jahre.
  • Store- und Landingpage-Daten — bis zur Account- oder Store-Löschung.
  • Stempelkarten-Daten — Stempelzähler, Stempel-Schwellenwert, Zugangstokens. Bis zur Account- oder Store-Löschung.
  • Chat-Nutzungszähler — User-ID, Datum, Nachrichtenanzahl (täglich). Frist: 90 Tage.
  • Promo-Code-Einlösungen — User-ID und Promo-Code-Referenz. Bis zur Account-Löschung.

Tracking-Daten (IP, User-Agent, E-Mail) werden im Tracking-Kontext ausschließlich als HMAC-SHA256-Hash gespeichert. Personenbezogene Rohdaten werden nicht dauerhaft persistiert. Hashwerte können weiterhin als pseudonyme personenbezogene Daten einzustufen sein, soweit eine Zuordnung nicht vollständig ausgeschlossen werden kann. Löschung erfolgt täglich automatisch per Cronjob. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. DPA elektronisch unterzeichnet (22. Mai 2026).

9. E-Mail-Versand

Resend Inc. — Transaktionale E-Mails

Für Einladungs-E-Mails, Gutschein-E-Mails, Login-Bestätigungen und Systembenachrichtigungen. Verarbeitet werden Empfänger-E-Mail-Adresse, Name (sofern vorhanden), Inhalt, Versandzeitpunkt und technische Versandprotokolle. Versandlogs werden ca. 30 Tage gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandübermittlung USA via Standardvertragsklauseln — DPA automatisch wirksam bei Registrierung.

ImprovMX — E-Mail-Weiterleitung

Für die Weiterleitung eingehender E-Mails an @ad2store.de-Adressen (z. B. support@, hello@, datenschutz@). Verarbeitet werden Absender-E-Mail-Adresse, Empfänger-E-Mail-Adresse, E-Mail-Inhalt, Header-Informationen und Zeitstempel. Die Weiterleitung erfolgt unmittelbar; ImprovMX speichert Inhalte nicht dauerhaft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — betriebliche Kommunikation). Drittlandübermittlung außerhalb der EU via Standardvertragsklauseln (SCCs).

10. Zahlungsabwicklung

Stripe Inc. — Zahlungen, Abonnements und Rechnungen

Verarbeitet werden Name, E-Mail, Rechnungsadresse, Zahlungsdaten, gebuchter Tarif, Zahlungsstatus, Rechnungsdaten sowie Stripe-IDs. Zahlungs-, Rechnungs- und Buchungsdaten werden entsprechend den handels- und steuerrechtlichen Aufbewahrungspflichten gespeichert. Je nach Dokumentenart können diese Fristen insbesondere 6, 8 oder 10 Jahre betragen. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, c und f DSGVO. Drittlandübermittlung USA via Standardvertragsklauseln — DPA automatisch wirksam via EU-Nutzungsbedingungen (SCCs).

11. Fehleranalyse und Monitoring

Sentry (Functional Software, Inc.) — Fehleranalyse und technisches Monitoring

Wir setzen Datenscrubbing ein, um personenbezogene Daten wie IP-Adressen, Authentifizierungs-Header, E-Mail-Adressen und User-IDs aus gespeicherten Fehlerereignissen zu entfernen oder zu anonymisieren. Verarbeitet werden Stack Traces, Fehlermeldungen, technische Kontextdaten, Browser- und Gerätedaten sowie Zeitpunkte von Fehlern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandübermittlung USA via Data Privacy Framework (DPF-zertifiziert) + Standardvertragsklauseln (SCCs Modul 2/3, irisches Recht) — Data Processing Amendment v5.1.0, akzeptiert am 21. Mai 2026.

Trotz eingesetzter Filter- und Scrubbing-Mechanismen kann nicht vollständig ausgeschlossen werden, dass in einzelnen Fehlerberichten unbeabsichtigt personenbezogene Daten enthalten sind, wenn diese im Zusammenhang mit einem Fehlerereignis übertragen werden.

12. Rate-Limiting und Missbrauchsschutz

Upstash Inc. — Redis-basiertes Rate-Limiting

IP-Adressen werden als kurzfristige Rate-Limit-Schlüssel in Redis verwendet (automatische Löschung nach Ende des jeweiligen Zeitfensters, maximal 1 Stunde). Darüber hinaus werden keine personenbezogenen Daten dauerhaft gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. DPA bei Nutzungsbeginn abgeschlossen.

13. KI-Chatbot

Google Gemini (Google Cloud AI, kostenpflichtiger Tarif) — KI-gestützter Chatbot

Auf unserer Website ist ein KI-Chatbot eingebunden, der auf Google Gemini (kostenpflichtiger API-Tarif) basiert. Eingegebene Chat-Nachrichten sowie nicht-personenbezogene Kontextinformationen (z. B. Store-Name, Plan-Tier sowie optional vom Nutzer eingegebene freie Textbeschreibungen zu Store-Typ, Zielen und Ausgangssituation) werden zur Verarbeitung an Google übermittelt. ad2store übermittelt keine Profildaten (z. B. Account-E-Mail oder Name) an Google; Inhalte, die Nutzer selbst in den Chat eingeben, werden jedoch so wie eingegeben übertragen. Bitte geben Sie keine sensiblen personenbezogenen Daten, Zahlungsinformationen oder Passwörter in den Chatbot ein. Chatverläufe werden nicht serverseitig gespeichert; die Konversation existiert ausschließlich im Browser des Nutzers für die Dauer der Sitzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — Nutzerunterstützung und Plattformverbesserung). Drittlandübermittlung USA via Standardvertragsklauseln (SCCs) + Google Cloud Data Processing Addendum (akzeptiert 22. Mai 2026, zuständige Aufsichtsbehörde: BayLDA).

14. Schriftarten (Google Fonts)

Sämtliche Schriftarten — auf unserer Hauptseite, im Dashboard und auf allen Landingpages — werden lokal über unsere eigene Infrastruktur ausgeliefert. Schriftartdateien werden beim Build-Prozess heruntergeladen und direkt von unseren Servern bereitgestellt. Es findet kein Laden von Google-Servern statt. Es werden keine IP-Adressen oder sonstige Daten durch Schriftarten an Google oder andere Dritte übertragen.

15. Entwicklung und Codeverwaltung

Für Entwicklung, Versionsverwaltung und Deployment-Prozesse nutzen wir GitHub (GitHub, Inc.). In GitHub werden Quellcode, technische Konfigurationen und Entwicklungsprozesse verwaltet. Personenbezogene Endnutzerdaten werden dort grundsätzlich nicht gespeichert. Die Nutzung erfolgt im Rahmen der Softwareentwicklung und des Betriebs der Plattform. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandübermittlung USA via Standardvertragsklauseln.

16. Nutzung der ad2store-Plattform

Bei der Nutzung der ad2store-Plattform erstellen Nutzer Landingpages, Funnel-Seiten, QR-Code-Seiten, Formulare, Weiterleitungsseiten, Tracking-Strecken und weitere Inhalte. Dabei können insbesondere Account-Daten, Store-Daten, Inhalte, Kampagnenparameter, Event-Daten, verschlüsselte Tokens und Plattform-Konfigurationen verarbeitet werden.

Die Verarbeitung erfolgt zur Bereitstellung der Plattformfunktionen sowie zur Sicherheit und Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Sicherheitsmaßnahmen zusätzlich Art. 6 Abs. 1 lit. f DSGVO.

17. Kundenseiten, Landingpages und QR-Code-Seiten

Kunden können mit ad2store eigene Landingpages, Funnel-Seiten und QR-Code-Seiten erstellen, die für vielfältige Zwecke genutzt werden können — z. B. Online-Werbung, Angebote, Formulare, Buchungen, Coupons, Stempelkarten, Gewinnspiele oder Offline-Aktionen.

Wenn Endnutzer eine solche Seite aufrufen oder eine Aktion ausführen, können je nach Konfiguration technische Zugriffsdaten, Kampagnenparameter, QR-Scan-Informationen, Formularangaben und Conversion-Daten verarbeitet werden.

Soweit wir diese Daten im Auftrag unserer Kunden verarbeiten, ist der jeweilige Kunde datenschutzrechtlich Verantwortlicher. Kunden sind dafür verantwortlich, ihre Endnutzer über die Datenverarbeitung zu informieren. ad2store handelt insoweit als Auftragsverarbeiter.

18. QR-Code-Tracking und Offline-Aktionen

ad2store kann eingesetzt werden, um Online-Kampagnen mit späteren Offline-Aktionen zu verbinden. Dabei werden QR-Code-Scans, Coupon-Nutzungen, Stempelkarten-Aktionen oder ähnliche Ereignisse erfasst und einer vorherigen Online-Kampagne zugeordnet.

Tracking-Daten wie IP-Adresse, User-Agent oder E-Mail-Adresse werden im Tracking-Kontext ausschließlich als HMAC-SHA256-Hashwert verarbeitet — personenbezogene Rohdaten werden nicht dauerhaft gespeichert. Soweit QR-Code-Tracking, Event-Matching, Conversion-Tracking oder die Rückmeldung von Events an Werbeplattformen zu Analyse-, Marketing- oder Optimierungszwecken erfolgt, geschieht dies grundsätzlich nur auf Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und, soweit Endgerätezugriffe betroffen sind, nach § 25 Abs. 1 TDDDG. Technisch erforderliche Verarbeitungen — etwa zur Bereitstellung der angeforderten Seite, zur Sicherheit oder zur Missbrauchsabwehr — können auf Art. 6 Abs. 1 lit. f DSGVO beziehungsweise § 25 Abs. 2 TDDDG beruhen.

19. Event-Rückgabe an Werbeplattformen

ad2store ermöglicht es Kunden, Conversion-Events über serverseitige APIs (CAPI) an Werbeplattformen zurückzumelden — Meta, Google Ads, TikTok, LinkedIn, Snapchat, Pinterest und X. Übertragen werden je nach Konfiguration Event-Name, Zeitpunkt, Kampagnenparameter und Click-ID. Für Meta, Snapchat, TikTok und Pinterest werden zusätzlich gehashte IP- und E-Mail-Informationen übermittelt (HMAC-SHA256). Für Google Ads werden keine personenbezogenen Daten übertragen — ausschließlich Conversion-ID und Click-ID. User-Agent-Daten werden an keine Plattform übertragen.

Die Übertragung über CAPI ersetzt kein clientseitiges Pixel, sondern erfolgt server-zu-server auf Weisung des jeweiligen Kunden. Da dabei Daten aus dem Endnutzer-Verhalten verarbeitet und an Drittplattformen übermittelt werden, ist hierfür grundsätzlich eine Einwilligung des Endnutzers nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO erforderlich. Der jeweilige Kunde ist als Verantwortlicher dafür zuständig, diese Einwilligung einzuholen und nachzuweisen. ad2store stellt die technische Infrastruktur als Auftragsverarbeiter bereit. Soweit Daten auf Basis berechtigter Interessen übermittelt werden (Art. 6 Abs. 1 lit. f DSGVO), obliegt die Interessenabwägung ebenfalls dem jeweiligen Kunden. Technisch erforderliche Verarbeitungen — etwa zur Bereitstellung der Infrastruktur, zur Sicherheit oder zur Missbrauchsabwehr — können auf Art. 6 Abs. 1 lit. f DSGVO beruhen.

Seitenaufruf-Tracking (ViewContent-Events): Beim Aufruf einer Landingpage über einen Anzeigen-Link kann serverseitig ein ViewContent-Event an ausgewählte Werbeplattformen übermittelt werden. Dies erfolgt ausschließlich nach Einwilligung des Endnutzers (Marketing-Einwilligung im Consent-Banner). Übertragen wird dabei die gehashte IP-Adresse (HMAC-SHA256) — keine E-Mail-Adresse, kein User-Agent-Hash, keine Klardaten. Empfangende Plattformen: Meta, Snapchat, TikTok, Pinterest und X. Google Ads und LinkedIn empfangen diese Events nicht. Die Verarbeitung erfolgt server-zu-server (kein Pixel-Zugriff auf das Endgerät). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

20. Meta Pixel und Meta Conversions API

Kunden können über ad2store die Meta Conversions API (CAPI) nutzen, um Conversion-Events an Meta Platforms Ireland Limited zu übermitteln. Dabei können Seitenaufrufe, Klicks, Conversion-Events, Kampagnenparameter sowie gehashte E-Mail-Adresse und gehashte IP-Adresse (HMAC-SHA256) übertragen werden. User-Agent-Daten werden nicht übermittelt.

Hinsichtlich der durch Meta anschließend vorgenommenen Datenverarbeitung (z. B. Targeting, Lookalike Audiences) ist Meta als eigenständiger oder gemeinsam Verantwortlicher tätig — nicht als Auftragsverarbeiter. Der Kunde ist verantwortlich für die Einholung der nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO erforderlichen Einwilligung seiner Endnutzer sowie für den Abschluss einer gemeinsamen Verantwortlichkeitsvereinbarung mit Meta gemäß Art. 26 DSGVO (Metas Controller Addendum). Je nach eingesetzter Funktion können Meta eigene oder gemeinsam Verantwortliche für bestimmte Verarbeitungsvorgänge sein; die Datenschutzbedingungen, Business-Tool-Bedingungen und Zusatzvereinbarungen von Meta gelten ergänzend. Drittlandübermittlung in die USA via Standardvertragsklauseln.

21. Google Analytics, Google Ads und Conversion-Tracking

Kunden können über ad2store Google Ads Conversion-Tracking nutzen, um Events an Google Ireland Limited zu übermitteln. Dabei können Conversion-Events, Kampagnenparameter, Click-IDs sowie technische Geräteinformationen übertragen werden.

Soweit Google die übermittelten Daten für eigene Zwecke (z. B. Anzeigenoptimierung, Messung) nutzt, handelt Google als eigenständiger Verantwortlicher. Der Kunde ist verantwortlich für die Einholung der nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO erforderlichen Einwilligung seiner Endnutzer. Sofern der jeweilige Kunde Google Tags, Google Analytics oder Google Ads Conversion-Tracking einsetzt, werden die Einwilligungsentscheidungen über Google Consent Mode v2 übermittelt. Dabei werden insbesondere die Consent-Signale analytics_storage, ad_storage, ad_user_data und ad_personalization entsprechend der Nutzerauswahl gesetzt. Die korrekte Implementierung von Consent Mode v2 obliegt dem jeweiligen Kunden. Je nach eingesetzter Funktion kann Google als eigenständiger oder gemeinsam Verantwortlicher für bestimmte Verarbeitungsvorgänge tätig sein; die Datenschutzbedingungen und Business-Tool-Bedingungen von Google gelten ergänzend. Drittlandübermittlung in die USA via Standardvertragsklauseln.

22. Consent-Management

Wir nutzen eine eigenentwickelte Consent-Lösung (kein Drittanbieter-Tool). Im Browser-Local-Storage werden gespeichert:

  • Einwilligungsstatus (angenommen / abgelehnt)
  • Zeitpunkt der Einwilligung (ISO-Zeitstempel)
  • Version des Consent-Banners

Eine server-seitige Protokollierung der Cookie-Einwilligung erfolgt nicht. Für einwilligungsbasierte Tracking-, Analyse-, Marketing- und Event-Rückgabe-Funktionen wird eine pseudonyme serverseitige Consent-Dokumentation geführt. Dabei werden insbesondere Consent-ID, Zeitpunkt, Banner-Version, gewählte Kategorien, Domain beziehungsweise Store-Kontext gespeichert. Diese Dokumentation dient dem Nachweis erteilter Einwilligungen gemäß Art. 7 Abs. 1 DSGVO und der technischen Steuerung einwilligungsabhängiger Funktionen. Die Consent-Logs werden automatisch nach 2 Jahren gelöscht. Einwilligungen können jederzeit über Cookie-Einstellungen im Footer der Website widerrufen oder geändert werden. Rechtsgrundlage der Consent-Verwaltung selbst: Art. 6 Abs. 1 lit. c und f DSGVO.

23. Cookies, Local Storage und ähnliche Technologien

Unsere Website, Plattform und Kundenseiten können Cookies, Local Storage oder Session Storage verwenden. Wir unterscheiden:

Technisch erforderliche Technologien — notwendig für Login, Sicherheit, Nutzerpräferenzen und Plattformbetrieb. Keine Einwilligung erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 TDDDG.

Analyse- und Marketing-Technologien — für Kampagnenauswertung, Conversions und Werbezwecke. Nur nach ausdrücklicher Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

24. Formulare und Lead-Erfassung

Wenn Nutzer über ad2store oder über von Kunden erstellte Seiten Formulare ausfüllen, können Name, E-Mail-Adresse, Telefonnummer, Anfrageinhalt, Newsletter-Opt-in und weitere freiwillige Angaben verarbeitet werden. Formular-Einreichungen werden grundsätzlich 90 Tage gespeichert.

Bei Formularen auf unserer eigenen Website verarbeiten wir diese Daten zur Bearbeitung der Anfrage. Bei Formularen auf Kundenseiten verarbeitet der jeweilige Kunde die Daten als Verantwortlicher. Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder a DSGVO.

25. Weiterleitungen zu externen Websites

ad2store kann als Weiterleitungsseite genutzt werden. Nach einem Klick, QR-Scan oder einer Aktion können Nutzer zu externen Zielseiten weitergeleitet werden (z. B. Website des Kunden, Google-Bewertung, Buchungsseite, WhatsApp). Für die Datenverarbeitung auf externen Websites ist der jeweilige Anbieter verantwortlich.

26. Newsletter und werbliche Kommunikation

Falls Nutzer sich für einen Newsletter oder werbliche Kommunikation anmelden, verarbeiten wir die angegebene E-Mail-Adresse und den Namen ausschließlich auf Grundlage einer Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, z. B. über einen Abmeldelink in der E-Mail.

27. Support und Kundenkommunikation

Wenn Nutzer unseren Support kontaktieren, verarbeiten wir Kontaktdaten, Account-Daten, Support-Inhalte, technische Informationen und die Kommunikationshistorie zur Bearbeitung der Anfrage und zur Bereitstellung unserer Leistungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

28. Auftragsverarbeitung

Wenn Kunden ad2store nutzen, um eigene Landingpages, QR-Code-Seiten, Formulare oder Tracking-Strecken zu betreiben, verarbeiten wir personenbezogene Daten ihrer Endnutzer in deren Auftrag. In diesen Fällen schließen wir mit unseren Kunden einen Vertrag zur Auftragsverarbeitung.

Der Kunde bleibt für die Rechtmäßigkeit der Datenverarbeitung, die Information der betroffenen Personen und die Einholung etwaiger Einwilligungen verantwortlich.

29. Empfänger personenbezogener Daten

Personenbezogene Daten können an folgende Kategorien von Empfängern übermittelt werden: Hosting- und Infrastruktur-Anbieter, Authentifizierungsanbieter, Datenbank- und Storage-Anbieter, Zahlungsdienstleister, E-Mail-Dienstleister, Monitoring-Anbieter, KI-Anbieter, angebundene Werbeplattformen sowie Steuerberater und Behörden (soweit gesetzlich erforderlich).

Konkret eingesetzte Dienstleister sind: Vercel, Cloudflare, Supabase, Resend, ImprovMX, Stripe, Sentry, Upstash, Google Gemini sowie — sofern vom jeweiligen Kunden aktiviert — Meta, Google Ads, TikTok, LinkedIn, Snapchat, Pinterest und X.

30. Drittlandübermittlungen

Folgende Dienstleister können Daten außerhalb der EU / des EWR verarbeiten:

Anbieter Land Transfermechanismus
ClerkUSAData Privacy Framework + SCCs (Modul 2/3)
StripeUSASCCs (automatisch via EU-Nutzungsbedingungen)
ResendUSASCCs (DPA automatisch bei Registrierung)
VercelUSASCCs (Modul 2/3), UK IDTA — DPA v2026-03-17
CloudflareUSAData Privacy Framework + SCCs (Modul 2/3) — DPA v6.4
SentryUSAData Privacy Framework + SCCs (Modul 2/3) — DPA v5.1.0
Google GeminiUSASCCs + Google Cloud Data Processing Addendum
GitHubUSASCCs (Standard DPA)
Meta, Google Ads, TikTok, LinkedIn, Snapchat, Pinterest, XUSA (ggf. weitere Länder)Angemessenheitsbeschlüsse, SCCs oder sonstige gesetzlich vorgesehene Mechanismen (je nach Plattform)

Meta, Google Ads, TikTok, LinkedIn, Snapchat, Pinterest und X können — sofern vom jeweiligen Kunden aktiviert — Daten außerhalb der EU beziehungsweise des EWR verarbeiten. Für entsprechende Datenübermittlungen werden geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln oder sonstige gesetzlich vorgesehene Mechanismen verwendet.

31. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Datenbereich Speicherdauer
Klick-Sessions90 Tage
QR-Scans90 Tage
Kontaktformular-Einreichungen90 Tage
Gutscheincodes1 Jahr
Nicht akzeptierte Einladungen7 Tage
Audit-Logs2 Jahre
Consent-Logs2 Jahre
Store- und Landingpage-DatenBis Account-/Store-Löschung
Stripe Zahlungs-/RechnungsdatenEntsprechend gesetzlicher Aufbewahrungspflichten (je nach Dokumentenart 6, 8 oder 10 Jahre)
Vercel Request-/Function-LogsCa. 1 Tag
Vercel Build-LogsCa. 30 Tage
Resend VersandlogsCa. 30 Tage
Upstash Rate-Limit-DatenMaximal 1 Stunde
Stempelkarten-DatenBis Account-/Store-Löschung
Chat-Nutzungszähler90 Tage

32. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen:

  • TLS-Verschlüsselung aller Datenübertragungen
  • AES-256-Verschlüsselung sensibler Tokens in der Datenbank
  • HMAC-SHA256-Hashing aller personenbezogenen Tracking-Daten (IP, User-Agent, E-Mail)
  • Rollen- und Berechtigungskonzepte mit Zugriffsbeschränkungen (Least Privilege)
  • Rate-Limiting und Missbrauchsschutz
  • Fehlermonitoring mit PII-Filterung (Datenscrubbing in Fehlerlogs)
  • Automatische Datenlöschung durch tägliche Cronjobs
  • Security-Headers (CSP, X-Frame-Options, HSTS, X-Content-Type-Options)
  • Regelmäßige technische Überprüfungen

33. Rechte betroffener Personen

Sie haben gegenüber uns im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

  • Auskunft (Art. 15 DSGVO) — welche Daten wir über Sie verarbeiten
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Herausgabe in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO) — gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf einer erteilten Einwilligung jederzeit und ohne Angabe von Gründen
  • Beschwerde bei einer Datenschutzaufsichtsbehörde

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: datenschutz@ad2store.de

Wenn wir Daten im Auftrag eines Kunden verarbeiten, leiten wir Anfragen betroffener Personen gegebenenfalls an den jeweiligen Kunden als Verantwortlichen weiter.

34. Widerruf von Einwilligungen

Wenn eine Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Cookie-Einwilligungen können jederzeit über die Cookie-Einstellungen im Footer der Website widerrufen werden.

35. Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen

Wenn wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einlegen. Wir verarbeiten die Daten dann nicht weiter, es sei denn, es liegen zwingende schutzwürdige Gründe vor oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

36. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Für uns als Einzelunternehmer mit Sitz in Bayern ist zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18 · 91522 Ansbach · Deutschland
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

37. Automatisierte Entscheidungen

Wir treffen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen. Die von ad2store erfassten Events können genutzt werden, um Werbeplattformen Feedback zu geben. Die konkrete Auswertung und Optimierung liegt im Verantwortungsbereich der jeweiligen Werbeplattform und des jeweiligen Kunden.

38. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Dienste, eingesetzte Technologien, rechtliche Anforderungen oder interne Prozesse ändern. Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar. Wesentliche Änderungen teilen wir unseren registrierten Nutzern mit.