Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO ist: Visipass UG (haftungsbeschränkt), Am Kreuzsteinacker 15D, 79117 Freiburg im Breisgau, Deutschland, vertreten durch Geschäftsführer Tim Landsberger. E-Mail: admin@visipass.de

VisiPass ("wir", "uns", "unser") betreibt den digitalen Visitenkarten-Dienst auf visipass.de. Diese Richtlinie erläutert, welche Daten wir erheben, warum wir sie erheben und wie wir sie schützen.

Kontodaten

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein sicher gehashtes Passwort. Optional können Sie sich über einen OAuth-Anbieter (z. B. Google) anmelden.

Visitenkartendaten

Die Kontaktdaten auf Ihrer Karte — Name, Berufsbezeichnung, Unternehmen, E-Mail, Telefon, Website, LinkedIn-URL und Bio — werden in unserer Datenbank gespeichert und in Ihren Wallet-Pass eingebettet.

Wallet-Pässe

Generierte Google Wallet Pässe werden in sicherem Cloud-Speicher gespeichert. Google erhält keine persönlichen Daten über das hinaus, was im Pass eingebettet ist. Apple Wallet Pässe werden auf Abruf generiert und direkt an dein Gerät übermittelt – Apple erhält keine personenbezogenen Daten über das hinaus, was im Pass eingebettet ist.

Abrechnungsdaten

Zahlungen werden über Stripe abgewickelt. Wir speichern Ihre Stripe-Kunden-ID und den Abonnementstatus, aber keine Karteninformationen — diese werden ausschließlich von Stripe verarbeitet.

Nutzungsdaten

Wir können grundlegende Server-Logs (IP-Adresse, Browser-Typ, besuchte Seiten) zu Debug- und Sicherheitszwecken erheben.

Analytics-Dienste (einwilligungsbasiert)

Mit Ihrer Einwilligung verwenden wir folgende Drittanbieter-Analytics-Dienste: (1) Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) — zur Analyse von Webseitennutzung und Nutzerverhalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). (2) Vercel Analytics und Vercel Speed Insights (Vercel Inc., 340 Pine Street Suite 900, San Francisco, CA 94104, USA) — zur Messung von Web-Performance-Metriken (Core Web Vitals) und Seitenaufrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Kein Analytics-Tracking findet statt, bevor Sie Ihre Einwilligung über das Cookie-Banner erteilt haben. Sie können Ihre Einwilligung jederzeit widerrufen.

Event-Lead-Erfassung

VisiPass bietet eine Funktion zur Erfassung von Veranstaltungskontakten. Wenn ein anderer VisiPass-Nutzer Ihren QR-Code bei einer Veranstaltung scannt, werden Ihre Kartendaten (Name, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Unternehmen) in der Kontaktliste dieses Nutzers gespeichert und einer Veranstaltungssitzung zugeordnet. Diese Verarbeitung ist der Natur digitaler Visitenkarten immanent — das Zeigen Ihres QR-Codes bei einer Veranstaltung entspricht dem Überreichen einer physischen Visitenkarte. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an beruflichem Networking). Sie können die Löschung Ihrer gespeicherten Kontaktdaten jederzeit unter admin@visipass.de beantragen.

Event-Kampagnen — Follow-up-E-Mails

VisiPass-Nutzer können im Rahmen der Event-Kampagnen-Funktion personalisierte Follow-up-E-Mails an Veranstaltungskontakte versenden, die beim Scan ausdrücklich in den E-Mail-Empfang eingewilligt haben (Opt-in-Checkbox). Verarbeitete Daten der Kontaktperson: Name und E-Mail-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Auftragsverarbeiter für den E-Mail-Versand: Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Datenübermittlung in die USA auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Jede Follow-up-E-Mail enthält einen Abmeldelink, über den die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Speicherdauer: bis zum Widerruf der Einwilligung oder bis zur Löschung des Kontakts durch den erfassenden Nutzer.

Enterprise-SCIM-Provisioning (Business- und Teams-Tarife)

Unternehmen können ihre VisiPass-Nutzerverwaltung über SCIM 2.0 (System for Cross-domain Identity Management) mit ihrem internen Identity Provider (IdP) synchronisieren. In diesem Fall werden Mitarbeiterdaten – insbesondere Vor- und Nachname, geschäftliche E-Mail-Adresse, Berufsbezeichnung, Telefonnummer sowie eine externe Kennung (externalId) aus dem IdP – automatisch an VisiPass übermittelt. Kategorien der übermittelten Daten: Name, E-Mail-Adresse, Berufsbezeichnung, Telefonnummer, externalId. Quelle der Daten: der Identity Provider (IdP) des Unternehmens (z. B. Okta, Microsoft Entra ID, Google Workspace). In dieser Konstellation handelt das Unternehmen als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung der Mitarbeiterdaten; VisiPass verarbeitet diese Daten ausschließlich als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf Weisung des Unternehmens. Die Rechtsgrundlage für VisiPass als Auftragsverarbeiter ergibt sich aus dem mit dem jeweiligen Unternehmen abgeschlossenen Auftragsverarbeitungsvertrag (AVV). Die Unterrichtung der betroffenen Mitarbeiter gemäß Art. 14 DSGVO obliegt dem Unternehmen als Verantwortlichem. Speicherdauer: Mitarbeiterdaten werden gelöscht, sobald der Nutzer durch den IdP deprovisioniert wird oder das Unternehmensabonnement endet. Auditprotokolleinträge – die Aktionsart, Zeitstempel sowie zugehörige Nutzeridentifikatoren (Name, E-Mail-Adresse) enthalten können – werden aus Sicherheits- und Compliance-Gründen für 90 Tage nach der Deprovisionierung aufbewahrt und anschließend automatisch gelöscht.

Kontaktimport (CSV- und vCard-Migration)

VisiPass-Nutzer können bestehende Kontaktlisten über CSV-Dateien oder vCard-Dateien (.vcf) in ihre VisiPass-Kontaktliste importieren (Migrationstoolkit). Dabei werden Daten der importierten Kontaktpersonen verarbeitet, die gegenüber VisiPass keine unmittelbare Beziehung haben (Drittbetroffene im Sinne des Art. 14 DSGVO). Kategorien der verarbeiteten Daten: Name, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Unternehmen sowie – sofern enthalten – LinkedIn-URL. Quelle der Daten: CSV- oder vCard-Dateien, die der importierende Nutzer aus einem anderen Dienst exportiert hat. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des importierenden Nutzers an professionellem Kontaktmanagement und Netzwerkpflege). Der importierende Nutzer trägt die Verantwortung dafür, dass er über eine hinreichende Rechtsgrundlage für die Verarbeitung der importierten Kontaktdaten verfügt (z. B. vorherige Einwilligung der Kontaktperson oder berechtigtes Interesse aus einem beruflichen Austausch). Die importierten Kontaktdaten werden ausschließlich im Konto des importierenden Nutzers gespeichert und nicht mit anderen Nutzern geteilt. Speicherdauer: bis zur Löschung durch den Nutzer oder bis zur Konto-Löschung.

Kontaktexport (CSV und vCard)

VisiPass-Nutzer können ihre gespeicherten Kontakte jederzeit als CSV-Datei oder als vCard-Datei (.vcf) auf ihr eigenes Gerät herunterladen. Kategorien der exportierten Daten: Name, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Unternehmen, LinkedIn-URL sowie optionale Notizen. Zweck: Datenportabilität für den Kontoinhaber (eigene Datenverwaltung und Weiterpflege außerhalb von VisiPass). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Kontoinhabers an der Portabilität seiner beruflichen Netzwerkdaten). Die exportierten Daten werden ausschließlich auf das Gerät des Nutzers übertragen; es findet keine Übermittlung an Dritte durch VisiPass statt. Für die weitere Verarbeitung der exportierten Daten ist der jeweilige Nutzer eigenständig verantwortlich. Betroffene Kontaktpersonen können die Löschung ihrer bei VisiPass gespeicherten Daten jederzeit unter admin@visipass.de beantragen.

Kontakt-Engagement-Analyse (ausschließlich Pro-Nutzer)

VisiPass bietet Pro-Nutzern eine Kontakt-Engagement-Analyse. Dabei werden gespeicherte Scan-Ereignisse (scan_events) — insbesondere die E-Mail-Adresse des Scannenden (scanner_email) und der Zeitstempel des Scans (scanned_at) — mit der Kontaktliste des Karteninhabers abgeglichen. Für jeden Kontakt, dessen E-Mail-Adresse mit der eines Scan-Ereignisses übereinstimmt, werden folgende Metriken berechnet und dem Karteninhaber angezeigt: (1) Gesamtanzahl der Profilaufrufe, (2) Zeitpunkt des letzten Profilaufrufs, (3) Anzahl der Aufrufe in den letzten sieben Tagen sowie (4) ein „Heißer Lead“-Hinweis, wenn ein Kontakt in den letzten sieben Tagen mindestens drei Profilaufrufe verzeichnet hat. Zweck: Unterstützung des Karteninhabers bei der Priorisierung seiner Netzwerkkontakte nach Engagement-Level. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Analyse des Interesses seiner Netzwerkkontakte an seiner digitalen Visitenkarte). Als betroffene Person (Kontakt, dessen Profilaufrufe analysiert werden) haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen diese Verarbeitung einzulegen; wenden Sie sich dazu bitte an admin@visipass.de. Speicherdauer: bis zur Löschung des Kontakts oder des Karteninhaberkontos.

Follow-Up-E-Mail-Tracking (Öffnungen und Klicks)

Wenn der Karteninhaber die automatische Follow-Up-E-Mail-Funktion aktiviert hat und eine Follow-Up-E-Mail versendet wird, bettet Resend (als Auftragsverarbeiter von VisiPass) einen Tracking-Pixel in die E-Mail ein, der den Zeitpunkt des ersten Öffnens erfasst (gespeichert als opened_at), sowie nachverfolgbare Links, die den Zeitpunkt des ersten Klicks erfassen (gespeichert als clicked_at). Diese Tracking-Daten werden in der VisiPass-Datenbank gespeichert und dem Karteninhaber ausschließlich als aggregierte Metriken (Öffnungsrate, Klickrate) im Dashboard angezeigt. Die Tracking-Daten werden nicht an Dritte weitergegeben und nicht für Werbezwecke verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Messung der Effektivität seiner Follow-Up-Kommunikation). Als betroffene Person haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen diese Verarbeitung einzulegen; wenden Sie sich dazu bitte an admin@visipass.de. Das Öffnungs-Tracking kann technisch verhindert werden, indem Sie die automatische Bildanzeige in Ihrem E-Mail-Programm deaktivieren. Speicherdauer: bis zur Löschung der jeweiligen Follow-Up-E-Mail-Aufzeichnung oder bis zur Schließung des Karteninhaberkontos.

Newsletter-Anmeldung

Wenn Sie sich über unser Newsletter-Formular oder unser Exit-Intent-Popup für unseren Newsletter anmelden, erheben wir Ihre E-Mail-Adresse sowie einen anonymisierten Hash Ihrer IP-Adresse als Nachweis der Einwilligung. Die Daten werden bis zum Widerruf Ihrer Einwilligung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

• Kontoerstellung und Diensterbringung → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Generierung von Wallet-Pässen → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Zahlungsabwicklung über Stripe → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Transaktionale E-Mails (Passwort-Reset, Belege) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Server-Logs / Sicherheitsmonitoring → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Analytics (GA4, Vercel Analytics) → Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Newsletter / Marketing-E-Mails → Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Event-Lead-Erfassung (Kartendaten gescannter Kontakte; bei Teams-Nutzern zusätzlich: Lead-Bewertung (heiß/warm/kalt) sowie Antworten auf Qualifier-Fragen, die der Karteninhaber konfiguriert hat — dies stellt eine Profilbildung im Sinne des Art. 4 Nr. 4 DSGVO dar) → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: berufliches Networking und Leadqualifizierung)
• Test-E-Mails (Onboarding-Hinweise und Ablauf-Benachrichtigungen während der kostenlosen Testphase) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen)
• Follow-up-Erinnerungen (automatische Benachrichtigungs-E-Mails an den Nutzer, wenn ein Kontakt zur Nachverfolgung fällig ist; enthaltene Kontaktdaten: Name, Berufsbezeichnung und Unternehmen des Kontakts) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Outlook-Kontaktsynchronisierung (sofern die Microsoft 365-Integration aktiviert wurde) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Event-Kampagnen — Follow-up-E-Mails an Veranstaltungskontakte (Name, E-Mail-Adresse; nur bei erteilter Einwilligung, mit Abmeldemöglichkeit in jeder E-Mail) → Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Beziehungs-Intelligenz — automatische Kategorisierung gespeicherter Kontakte (heiß/warm/kalt) anhand des Erfassungsdatums zur Priorisierung von Netzwerk-Follow-ups (verfügbar ab Pro-Tarif) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Enterprise-SCIM-Provisioning (Mitarbeiterdaten, die durch den Unternehmens-IdP bereitgestellt werden) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — VisiPass verarbeitet diese Daten als Auftragsverarbeiter; Verantwortlicher ist das jeweilige Unternehmen
• Kontaktimport via CSV/vCard (Daten importierter Drittpartei-Kontakte; Quelle: vom Nutzer bereitgestellte CSV- oder vCard-Dateien) → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: professionelles Kontaktmanagement und Netzwerkpflege)
• Kontaktexport als CSV oder vCard (gespeicherte Kontaktdaten des Nutzers; Download auf das eigene Gerät) → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Datenportabilität und eigenständige Kontaktverwaltung)
• Seitenbesuche auf öffentlichen Profilseiten (Interaktionstyp, Geräteinformationen/User-Agent, Referrer-URL, Herkunftsland, Herkunftsstadt, pseudonymisierte IP-Adresse als SHA-256-Hash; Klicks auf Kontaktlinks mit Linktyp, Referrer und Herkunftsland) → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nutzungsanalyse für den Karteninhaber; Widerspruchsrecht gem. Art. 21 DSGVO)
• Kontakt-Engagement-Analyse — ausschließlich Pro-Nutzer (E-Mail-Adresse des Scannenden aus scan_events, Scan-Zeitstempel; abgeleitet: Gesamtaufrufzähler, letzter Aufruf, Aufrufe der letzten 7 Tage, Heißer-Lead-Status) → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Engagement-Analyse; Widerspruchsrecht gem. Art. 21 DSGVO)
• Scan-Benachrichtigungs-E-Mails — Benachrichtigungen an den Karteninhaber bei Aufruf seiner digitalen Visitenkarte (E-Mail-Adresse des Karteninhabers; je Benachrichtigung übermittelt: Zeitstempel des Aufrufs, Scan-Quelle — QR-Code, NFC, Wallet oder Link — sowie ggf. Herkunftsstadt und Herkunftsland gemäß IP-Geolokalisierung durch Vercel) → Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Abmeldung jederzeit über die Benachrichtigungseinstellungen im Dashboard oder den Abmeldelink in der E-Mail
• Follow-Up-E-Mail-Tracking — Öffnungs- und Klick-Zeitpunkte (erster Öffnungszeitpunkt und erster Klickzeitpunkt pro Follow-Up-E-Mail, erfasst durch Resend-Webhooks; ausschließlich aggregierte Anzeige als Öffnungsrate und Klickrate im Karteninhaber-Dashboard) → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Effektivitätsmessung seiner Follow-Up-Kommunikation; Widerspruchsrecht gem. Art. 21 DSGVO)
• Newsletter-Anmeldung — E-Mail-Adresse und anonymisierter IP-Hash (erhoben über Newsletter-Formular oder Exit-Intent-Popup als Einwilligungsnachweis) → Art. 6 Abs. 1 lit. a DSGVO (Einwilligung; Widerruf jederzeit möglich über den Abmeldelink in jeder E-Mail)
• Wöchentlicher Karten-Performance-Bericht — E-Mail-Adresse des Karteninhabers, aggregierte Kartenaufruf-Statistiken der letzten 7 Tage (Gesamtaufrufe, Vergleich zur Vorwoche, Aufschlüsselung nach Aktionstyp, Top-Herkunftsland bei Pro-Nutzern, Aufrufe je Karte) zur wöchentlichen Zustellung des Performance-Berichts an aktive Nutzer → Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Überwachung der Kartenperformance; Widerspruchsrecht gem. Art. 21 DSGVO; Abmeldung jederzeit über die Benachrichtigungseinstellungen im Dashboard oder den Abmeldelink in der E-Mail)
• In-App-Benachrichtigungen bei Kontakt-Download — wenn ein Besucher die digitale Visitenkarte als vCard-Datei herunterlädt (Kontakt speichern), wird der Karteninhaber über ein In-App-Benachrichtigungssystem im Dashboard informiert. Dabei werden gespeichert: Zeitstempel des Downloads sowie — falls von Vercel ermittelt — Herkunftsland und Gerätetyp (z. B. "iPhone" oder "Android"). Pro-Nutzer können Herkunftsland und Gerätetyp im Dashboard einsehen. Der Besucher selbst wird nicht identifiziert; es werden keine Klardaten wie Name oder E-Mail-Adresse des Besuchers gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers daran, zu erfahren, wann sein Kontakt gespeichert wurde; Widerspruchsrecht gem. Art. 21 DSGVO). Speicherdauer: bis zur Löschung des Karteninhaberkontos.

Wir verkaufen Ihre Daten nicht. Wir nutzen Ihre Daten nicht für Werbung. Wir geben Ihre Daten nicht an Dritte weiter, außer wie in dieser Richtlinie beschrieben.

Ihre Karte ist unter visipass.de/p/[shareId] über eine zufällig generierte ID öffentlich zugänglich. Diese URL ist bewusst öffentlich — das Teilen ist die Kernfunktion des Produkts. Wenn Sie Ihr Konto löschen, wird Ihre öffentliche Seite entfernt. Optional können Sie einen Benutzernamen wählen, um Ihr Profil zusätzlich unter visipass.de/u/[benutzername] erreichbar zu machen. Auf dieser personalisierten Profilseite werden Ihr Benutzername und Ihr Anzeigename öffentlich dargestellt und können von Suchmaschinen indexiert werden. Die Einrichtung eines Benutzernamens ist eine optionale Funktion, die Sie aktiv aktivieren; Sie können Ihren Benutzernamen jederzeit in den Kontoeinstellungen entfernen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). — Seitenbesuche auf öffentlichen Profilseiten werden zu Analytics-Zwecken des Karteninhabers aufgezeichnet. Dabei werden folgende Daten erhoben: Interaktionstyp (z. B. Seitenaufruf, Hinzufügen zu Google Wallet, Download der Kontaktdatei, Teilen per WhatsApp/SMS), Geräteinformationen (User-Agent, max. 512 Zeichen), Referrer-URL (Herkunftsseite, max. 1.024 Zeichen), Herkunftsland (aus Vercel-Geolokalisierungs-Header), Herkunftsstadt sowie eine pseudonymisierte IP-Adresse (SHA-256-Hash; die ursprüngliche IP-Adresse wird nicht gespeichert). Klicks auf Kontaktlinks (E-Mail, Telefon, Website, LinkedIn) werden ebenfalls mit Linktyp, Referrer und Herkunftsland erfasst. Diese Daten sind ausschließlich dem Karteninhaber über das VisiPass-Dashboard zugänglich und werden nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Nutzungsanalyse seiner Karte). Als Betroffener (Besucher der öffentlichen Profilseite) haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen diese Verarbeitung einzulegen; wenden Sie sich dazu bitte an admin@visipass.de. Speicherdauer: bis zur Löschung des Karteninhaberkontos.

Wir verwenden ein Session-Cookie, um Sie eingeloggt zu halten, sowie ein Cookie, das Ihre Cookie-Präferenz speichert. Wir verwenden keine Tracking- oder Werbe-Cookies. Beim ersten Besuch wird ein Einwilligungs-Banner angezeigt, über das Sie aktiv zustimmen oder ablehnen können. Analytics-Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt (TTDSG §25, Art. 7 DSGVO).

Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist. Wenn Sie Ihr Konto löschen, werden Ihre Daten innerhalb von 30 Tagen gelöscht. Aufbewahrungsfristen im Detail: Kontodaten und Visitenkartendaten — bis zur Kontolöschung; Abrechnungsunterlagen — 10 Jahre (HGB §257, AO §147); Server-Logs — max. 30 Tage; Newsletter-Einwilligung — bis zur Abmeldung; Analytics-Daten — gemäß den Richtlinien des jeweiligen Anbieters (Google: 14 Monate); Event Lead Capture-Kontakte (in anderen Nutzerkonten gespeichert) — bis zur Löschung durch den erfassenden Nutzer oder bei dessen Kontoschließung; Visitenkartenfotos (Business-Card-Scanner) — werden nach der KI-Verarbeitung sofort gelöscht, keine dauerhafte Speicherung; Scan- und Klickdaten auf öffentlichen Profilseiten (card_scans, card_clicks, scan_events) — bis zur Löschung des Karteninhaberkontos.

Folgende Auftragsverarbeiter erhalten Zugriff auf Ihre Daten: (1) Supabase (Supabase Inc.) — Datenbankhosting in der Region eu-central-2 (Zürich, Schweiz); Datentransfer in die Schweiz auf Basis des Angemessenheitsbeschlusses der EU-Kommission gemäß Art. 45 DSGVO; DPA abrufbar unter supabase.com/legal/dpa. (2) Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland / Stripe Inc., San Francisco, USA) — Zahlungsabwicklung; Datentransfer in die USA auf Basis von EU-Standardvertragsklauseln (SCC); DPA abrufbar unter stripe.com/de/legal/dpa. (3) Vercel Inc. (340 Pine Street, San Francisco, CA 94104, USA) — Hosting und Analytics; Datentransfer in die USA auf Basis von SCC; DPA abrufbar unter vercel.com/legal/dpa. (4) Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) — (a) Google Analytics 4; (b) Google AI (Gemini) zur KI-gestützten Generierung von Follow-up-E-Mail-Inhalten (sofern die automatische Follow-up-E-Mail-Funktion aktiviert ist); für (b) übermittelte Daten: Profildaten des Karteninhabers (Name, Berufsbezeichnung, Unternehmen, E-Mail-Adresse, ggf. Telefonnummer, Website, LinkedIn), Name und E-Mail-Adresse des Empfängers sowie optionale nutzerdefinierte Kontextnotizen; (c) Google AI (Gemini) zur KI-gestützten Texterkennung aus Visitenkartenfotos (Business-Card-Scanner, ausschließlich Pro-Nutzer): Beim Scannen einer Papier-Visitenkarte wird das aufgenommene Foto zur Extraktion von Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Unternehmen, Website — soweit auf der Karte vorhanden) an Google AI übermittelt; das Foto wird nach der Verarbeitung sofort gelöscht, keine dauerhafte Speicherung; Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Nutzers an der Digitalisierung empfangener Visitenkarten); Datentransfer in die USA auf Basis von SCC; DPA abrufbar unter business.safety.google/gdprcontrollerterms. (5) Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA) — Versand transaktionaler und Marketing-E-Mails an VisiPass-Nutzer (Willkommensmail, Onboarding, Newsletter-Bestätigung, Produktupdates) sowie automatischer Follow-up-E-Mails an Netzwerkkontakte des Nutzers (sofern die Follow-up-Funktion aktiviert ist) sowie Follow-up-Erinnerungs-E-Mails an den Nutzer selbst (sofern Follow-up-Erinnerungen konfiguriert sind; in diesen E-Mails enthaltene Kontaktdaten: Name, Berufsbezeichnung und Unternehmen des betreffenden Kontakts); übermittelte Daten: E-Mail-Adresse des Empfängers sowie — bei Erinnerungs-E-Mails — Name, Berufsbezeichnung und Unternehmen des betreffenden Kontakts; Datentransfer in die USA auf Basis von SCC; DPA abrufbar unter resend.com/legal/dpa. (6) Apple Inc. / Google LLC — Wallet-Pässe; ausschließlich die im Pass eingebetteten Kontaktdaten werden übermittelt. (7) Proxycurl Inc. (Wilmington, DE, USA) — KI-gestützte Kontaktanreicherung (ausschließlich bei Karten von Pro-Nutzern): Wird über ein Pro-Nutzerprofil ein Kontaktformular ausgefüllt, kann die angegebene E-Mail-Adresse des Kontakts zur Ermittlung von LinkedIn-Profildaten (Berufsbezeichnung, Arbeitgeber) an Proxycurl übermittelt werden; übermittelte Daten: E-Mail-Adresse; Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Karteninhabers an der Leadqualifizierung); Datentransfer in die USA auf Basis von EU-Standardvertragsklauseln (SCC); DPA abrufbar unter proxycurl.com/dpa. (8) Vom Nutzer konfigurierte Webhook-Integrationen (z. B. Zapier, HubSpot, Salesforce) — sofern ein Nutzer in den Einstellungen einen Webhook oder eine REST-Hook-Integration konfiguriert, leitet VisiPass bei Kontaktscans Ereignisdaten (Name, E-Mail-Adresse, Scan-Zeitstempel sowie — sofern vorhanden — die Lead-Bewertung (heiß/warm/kalt) des Kontakts) an die vom Nutzer angegebene URL weiter. Der Nutzer handelt insoweit als eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und trägt die Verantwortung für die datenschutzkonforme Nutzung dieser Integrationen. VisiPass tritt in diesem Zusammenhang ausschließlich als technischer Übermittler auf. (9) Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA) — Outlook-Kontaktsynchronisierung (sofern der Nutzer die Microsoft 365-Integration aktiviert hat): Kontaktdaten (Name, Berufsbezeichnung, Unternehmen, E-Mail-Adresse, ggf. Telefonnummer) werden über die Microsoft Graph API an das Outlook-Adressbuch des Nutzers übermittelt; gespeicherte Daten: Microsoft OAuth-Access-Token, Refresh-Token sowie Microsoft-Kontakt-ID je Kontakt; Datentransfer in die USA auf Basis von EU-Standardvertragsklauseln (SCC); DPA abrufbar unter microsoft.com/en-us/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.

Sie haben folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf einer Einwilligung (Art. 7 Abs. 3). Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter admin@visipass.de. Wir antworten innerhalb von 30 Tagen.

Sie haben zudem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Königstraße 10a, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de.

Alle Daten werden in einer Cloud-Datenbank mit Verschlüsselung und strikten Zugriffskontrollen gespeichert. Verbindungen sind mit TLS verschlüsselt. Zugangsdaten werden sicher gespeichert, nie im Quellcode.

Fragen? Schreiben Sie uns an admin@visipass.de.