Nutzungsbedingungen (Business)
Codemellow UG (haftungsbeschränkt) · Stand: Mai 2026
Einschließlich Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Teil 1 — Nutzungsbedingungen
Willkommen bei Stamps! Diese Nutzungsbedingungen regeln den Zugang zur und die Nutzung des Stamps-Dienstes, betrieben von der Codemellow UG (haftungsbeschränkt) („wir“). Mit der Nutzung von Stamps stimmen Sie diesen Bedingungen zu.
1. Über Stamps
Stamps ist eine digitale Kundenbindungslösung, die es Unternehmen ermöglicht, markengebrandete Stempelkarten direkt in Apple Wallet und Google Wallet anzubieten — ohne App-Download. Stamps wird als abonnementbasierter Softwaredienst für Unternehmen bereitgestellt.
2. Unternehmensangaben
Codemellow UG (haftungsbeschränkt) · Susannenstraße 21a, 20357 Hamburg · hey@getstamps.io
3. Zulassungsvoraussetzungen
Sie müssen geschäftsfähig sein. Bei Nutzung im Unternehmensauftrag bestätigen Sie Ihre Bevollmächtigung.
4. Konto & Zugang
Sie sind verantwortlich für die Sicherheit Ihrer Zugangsdaten und alle Aktivitäten unter Ihrem Konto. Wir können den Zugang bei Missbrauchsverdacht oder Verstoß gegen diese Bedingungen aussetzen.
5. Abonnement, Abrechnung & Kündigung
Stamps wird als kostenpflichtiges Abonnement angeboten
Abonnements verlängern sich automatisch, sofern nicht gekündigt
Kündigung jederzeit möglich; wirksam zum Ende des laufenden Abrechnungszeitraums
Keine Rückerstattung, sofern gesetzlich nicht vorgeschrieben
6. Zulässige Nutzung
Sie verpflichten sich, den Dienst nicht für rechtswidrige Zwecke zu nutzen, ihn nicht zu stören, keinen unbefugten Datenzugriff zu versuchen und keine über Stamps erhobenen Kundendaten zu missbrauchen. Sie tragen die volle Verantwortung für die Nutzung von Kundendaten in Ihrem Unternehmen, einschließlich der Einhaltung datenschutzrechtlicher Vorschriften.
7. Push-Benachrichtigungen
Stamps stellt eine technische Funktion bereit, um Push-Benachrichtigungen über Wallet-Karten-Updates auszulösen. Mit der Nutzung bestätigen Sie:
Sie verfügen über eine gültige Rechtsgrundlage (z. B. Einwilligung oder berechtigtes Interesse) für die Kommunikation mit Ihren Kunden
Der Inhalt der Benachrichtigungen ist rechtmäßig, zutreffend und nicht irreführend
Sie übernehmen die volle Verantwortung für alle Benachrichtigungsinhalte
Sie verwenden die Funktion nicht für unerbetene kommerzielle Nachrichten ohne vorherige Einwilligung
Stamps handelt ausschließlich als technischer Übermittler. Die Compliance mit DSGVO und UWG obliegt Ihnen. Für werbliche Mitteilungen sind vor dem Versand erforderliche Opt-in-Mechanismen zu implementieren.
8. Kundenanalysen
Stamps stellt Analysedaten (Name, E-Mail-Adresse, Stempel-/Besuchsaktivität) in Ihrem Dashboard bereit. Sie erklären sich damit einverstanden, diese Daten ausschließlich für den Betrieb Ihres Kundenbindungsprogramms und im Einklang mit dem anwendbaren Datenschutzrecht zu nutzen. Der AVV in Teil 2 regelt diese Verarbeitung.
9. Geistiges Eigentum
Alle Rechte an der Stamps-Software, dem Branding und der Technologie verbleiben bei Codemellow UG. Sie erhalten ein nicht-exklusives, nicht übertragbares Nutzungsrecht für die Dauer Ihres Abonnements.
10. Datenschutz
Mit Annahme dieser Nutzungsbedingungen akzeptieren Sie zugleich den Auftragsverarbeitungsvertrag (Teil 2 dieses Dokuments) gemäß Art. 28 DSGVO.
11. Verfügbarkeit & Änderungen
Wir bemühen uns um einen zuverlässigen Betrieb, können jedoch keine Unterbrechungsfreiheit garantieren. Wir können den Dienst ändern und werden über wesentliche Änderungen informieren.
12. Haftungsbeschränkung
Keine Haftung für mittelbare oder Folgeschäden
Keine Haftung für entgangene Einnahmen, Datenverluste oder entgangene Gewinne
Haftung begrenzt auf in den letzten 12 Monaten gezahlte Beträge
Nichts in diesen Bestimmungen schränkt die Haftung ein, soweit ein Ausschluss gesetzlich nicht zulässig ist.
13. Rangfolge
Im Falle von Widersprüchen zwischen diesen Nutzungsbedingungen und anderen kommerziellen Vereinbarungen haben die datenschutzrechtlichen Regelungen des AVV (Teil 2) in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.
14. Anwendbares Recht
Deutsches Recht. Gerichtsstand: Hamburg.
15. Änderungen
Wir können diese Bedingungen aktualisieren. Wesentliche Änderungen werden vorab kommuniziert. Die weitere Nutzung gilt als Akzeptanz.
16. Kontakt
hey@getstamps.io · Codemellow UG, Susannenstraße 21a, 20357 Hamburg
Teil 2 — Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag (AVV) ist integraler Bestandteil der Nutzungsbedingungen und regelt die Verarbeitung personenbezogener Daten von Endnutzern (Kundenbindungskarteninhabern) durch Stamps im Auftrag des Business-Kunden. Bei Widersprüchen hat dieser AVV in Bezug auf die Verarbeitung personenbezogener Daten Vorrang.
Mit Annahme der Nutzungsbedingungen bestätigt der Verantwortliche, diesen AVV gelesen und akzeptiert zu haben. Eine gesonderte Unterzeichnung ist nicht erforderlich.
Art. 1 — Begriffsbestimmungen
„Verantwortlicher“ — das Unternehmen (Café, Geschäft oder Händler), das Stamps zum Betrieb eines digitalen Kundenbindungsprogramms nutzt.
„Auftragsverarbeiter“ — Codemellow UG (haftungsbeschränkt), Betreiber der Stamps-Plattform.
„Betroffene Personen“ — Endnutzer (Kunden), die eine digitale Stempelkarte über Stamps besitzen.
„Personenbezogene Daten“ — alle Informationen zu einer identifizierten oder identifizierbaren natürlichen Person gem. Art. 4 Nr. 1 DSGVO.
„Unterauftragsverarbeiter“ — jeder Dritte, den der Auftragsverarbeiter zur Datenverarbeitung im Auftrag des Verantwortlichen einsetzt.
„Weisung“ — dokumentierte Weisung des Verantwortlichen, übermittelt durch Vertrag, schriftliche Einzelweisung, Dashboard-Konfiguration, Support-Ticket oder sonstige dokumentierte Kommunikation.
Art. 2 — Gegenstand, Zweck und Laufzeit
Der Auftragsverarbeiter stellt dem Verantwortlichen eine digitale Kundenbindungskartenplattform (Stamps) zur Verfügung, die im Rahmen der Ausgabe und Verwaltung digitaler Stempelkarten in Apple Wallet und Google Wallet personenbezogene Daten verarbeitet — einschließlich Stempelerfassung, Prämienverwaltung, Analysen und Push-Benachrichtigungen.
Dieser AVV gilt für die Dauer des Vertragsverhältnisses und endet automatisch mit Kündigung oder Ablauf der Nutzungsbedingungen, vorbehaltlich Art. 11.
Art. 3 — Kategorien personenbezogener Daten und betroffener Personen
3.1 Verarbeitete personenbezogene Daten
Vor- und Nachname
E-Mail-Adresse
Telefonnummer (sofern im Endnutzer-Flow erhoben)
Wallet-Karten-Identifier
Stempel- und Prämienaktivität (Besuchshäufigkeit, Einlösungen, aktueller Wallet-Stempelstand)
Zeitstempel der letzten Aktivität
Push-Benachrichtigungs-Berechtigung (Eligibility)
Technische Betriebsdaten (Authentifizierungsereignisse, Gerät-/Browser-Informationen für Sicherheit und Fehleranalyse)
Authentifizierungs-Identifier (Apple ID / Google-Konto / Firebase — direkt von den jeweiligen Anbietern verarbeitet)
3.2 Kategorien betroffener Personen
Kunden des Verantwortlichen, die eine digitale Stempelkarte in Apple Wallet oder Google Wallet hinzugefügt haben; autorisierte Dashboard-Nutzer und Store-/Staff-Nutzer des Verantwortlichen.
Art. 4 — Weisungen und Pflichten des Verantwortlichen
Der Verantwortliche ist verantwortlich für:
die Festlegung und Dokumentation von Zwecken und Rechtsgrundlagen der Verarbeitung gemäß Art. 6 DSGVO sowie deren Kommunikation an betroffene Personen
die Bereitstellung vollständiger Informationen gemäß Art. 13 DSGVO, einschließlich der Einbindung von Stamps als Auftragsverarbeiter
die Sicherstellung einer gültigen Rechtsgrundlage für Push-Benachrichtigungen, einschließlich Einholens erforderlicher Einwilligungen für werbliche Mitteilungen
die ausschließliche Nutzung der von Stamps bereitgestellten Daten für die vereinbarten Zwecke
die unverzügliche Information von Stamps bei Änderungen, die die Rechtmäßigkeit der Verarbeitung beeinträchtigen könnten
Weisungen erfolgen durch Vertrag, Dashboard-Konfiguration, Support-Tickets oder sonstige dokumentierte Kommunikation.
Art. 5 — Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, das anwendbare Recht verpflichtet ihn dazu
sicherzustellen, dass alle autorisierten Personen zur Vertraulichkeit verpflichtet sind
geeignete technische und organisatorische Maßnahmen zu implementieren und aufrechtzuerhalten (siehe Art. 9)
die Daten des Verantwortlichen nicht für eigene Werbe-, Profiling- oder sonstige fremde Zwecke zu verwenden
den Verantwortlichen bei der Erfüllung von Betroffenenrechten nach Kapitel III DSGVO zu unterstützen
den Verantwortlichen bei Pflichten gemäß Art. 32–36 DSGVO zu unterstützen (Sicherheit, Datenpannen-Meldung, DSFA, Vorabkonsultation)
alle Daten nach Vertragsende zu löschen oder zurückzugeben und Kopien zu vernichten, sofern keine gesetzliche Aufbewahrungspflicht besteht
alle erforderlichen Nachweise zur Compliance-Dokumentation gemäß Art. 28 DSGVO bereitzustellen
Art. 6 — Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine schriftliche Genehmigung für den Einsatz von Unterauftragsverarbeitern, vorbehaltlich der folgenden Bedingungen.
Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor der geplanten Hinzunahme oder dem Austausch von Unterauftragsverarbeitern schriftlich. Der Verantwortliche kann aus datenschutzrechtlich begründeten Gründen Widerspruch einlegen. Die Benachrichtigung erfolgt an die registrierte Konto-E-Mail-Adresse.
Der Auftragsverarbeiter legt allen Unterauftragsverarbeitern vertraglich gleichwertige Datenschutzpflichten auf und bleibt dem Verantwortlichen gegenüber vollumfänglich verantwortlich.
Folgende Unterauftragsverarbeiter sind derzeit genehmigt:
Sub-Prozessor | Funktion | Hosting / Routing | Transfer-mechanismus | Hinweis |
|---|---|---|---|---|
Google Cloud Platform (GCP) | Core-Infrastruktur, Datenbank, Speicherung | EU – Frankfurt (europe-west3) | EU-US DPF zertifiziert | Primäre Kernverarbeitung |
Google Firebase Identity Platform | Endnutzer-Authentifizierung & Identität | EU – Frankfurt | EU-US DPF zertifiziert; SCCs | |
Supabase Inc. | Admin-/Staff-Authentifizierungsdatenbank | EU – Frankfurt (eu-central-1) | SCCs; EU Data Boundary | Keine Endnutzer-PII |
Twilio / SendGrid | Transaktionale E-Mail-Zustellung | EU – Regionales Routing | EU-US DPF zertifiziert | |
Sentry (Functional Software Inc.) | Error Tracking & Logging | EU | EU-US DPF zertifiziert | IP & PII automatisch maskiert (Data Scrubbing) |
Apple Inc. (APNs) | Push-Benachrichtigungen (Apple Wallet / iOS) | USA / Global | SCCs | Nur Push-Token & Payload |
Google LLC (FCM) | Push-Benachrichtigungen (Android / Google Wallet) | USA / Global | SCCs | Nur Push-Token & Payload |
Art. 7 — Internationale Datentransfers
Die primäre Verarbeitung und Speicherung erfolgt innerhalb der EU (Frankfurt, europe-west3). Soweit Unterauftragsverarbeiter Daten außerhalb des EWR verarbeiten oder global routen, stellt der Auftragsverarbeiter geeignete Garantien sicher: EU-US-Datenschutzrahmen (DPF), Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO oder Angemessenheitsbeschlüsse. Details je Unterauftragsverarbeiter sind in Art. 6 dokumentiert.
Art. 8 — Datensparsamkeit, Tracking & Speicherfristen
Der Auftragsverarbeiter hält das Prinzip der Datensparsamkeit gemäß Art. 5 Abs. 1 lit. c DSGVO ein und verarbeitet nur die zur Leistungserbringung erforderlichen Daten.
Stamps setzt im Endnutzer-Flow keine Meta-Pixel, externen Werbe-Tracker oder nicht zusammenhängendes verhaltensbasiertes Tracking ein. Analyse- und Telemetrie-Tools sind so konfiguriert, dass die PII-Erfassung minimiert wird.
Endnutzerkonten, die 24 Monate vollständig inaktiv bleiben, werden automatisch zur Löschung oder unwiderruflichen Anonymisierung vorgemerkt (Art. 5 Abs. 1 lit. e DSGVO — Speicherbegrenzung).
Gelöschte Nutzerdaten werden sofort aus den Produktivsystemen entfernt. In automatisierten täglichen Backups (gespeichert in Frankfurt, 30-Tage-Lifecycle) werden gelöschte Daten „beyond use“ gesetzt und laufen natürlich aus. Suppression-Skripte verhindern die Wiedereinspielung gelöschter Nutzer bei Disaster-Recovery-Rollbacks.
Art. 9 — Technische und Organisatorische Maßnahmen (TOM)
TOM-Bereich | Maßnahmen |
|---|---|
Verschlüsselung | AES-256-Verschlüsselung aller Datenbanken und Storage Buckets im Ruhezustand. TLS 1.2/1.3 für alle internen und externen Datenübertragungen. |
Zugriffskontrolle | Produktionszugriff auf drei autorisierte Senior-Engineering-Rollen beschränkt. Role-Based Access Control (RBAC), Least-Privilege-Prinzip, verpflichtende MFA, Access Logging. |
Endpoint Security | Engineering-Endpunkte über MDM, verpflichtende Festplattenverschlüsselung und Anti-Malware abgesichert. |
Mandantentrennung | Multi-Tenant-Datentrennung: Records nach eindeutiger Project ID partitioniert. Tenant Isolation kryptografisch auf API-Middleware- und ORM-Ebene durchgesetzt. |
Logging & Telemetrie | Logging für Betrieb, Sicherheit und Fehleranalyse. PII in Logs minimiert. Sentry: Data-Scrubbing-Regeln maskieren IP-Adressen und PII automatisch vor Speicherung. |
Backups & Wiederherstellung | Tägliche automatisierte Backups, gespeichert in Frankfurt. 30-Tage-Lifecycle. Gelöschte Daten werden nicht produktiv wiederhergestellt; Suppression-Skripte verhindern Wiederimport bei Disaster Recovery. |
Vertraulichkeit | Alle Personen mit Datenzugriff zur Vertraulichkeit verpflichtet. |
Verfügbarkeit | GCP-Infrastruktur, tägliche Backups und Wiederherstellungsprozesse sichern Betrieb und Resilienz. |
Incident Management | Meldung an den Verantwortlichen innerhalb von 24 Stunden nach Kenntnis einer Datenpanne. |
Privacy Operations | Interner Datenschutz-Ansprechpartner benannt. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO) wird geführt. |
Art. 10 — Datenpannen
Im Falle einer bestätigten oder vermuteten Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den benannten Datenschutzkontakt des Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Damit ist sichergestellt, dass der Verantwortliche seiner Meldepflicht gemäß Art. 33 DSGVO (72-Stunden-Frist) komfortabel nachkommen kann.
Die Meldung enthält soweit verfügbar: Art des Vorfalls, betroffene Datenkategorien und Betroffenenanzahl, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen.
Art. 11 — Rechte betroffener Personen (DSAR)
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Verifizierte Anfragen, die der Verantwortliche an Stamps weiterleitet, werden innerhalb einer maximalen SLA von 14 Kalendertagen bearbeitet. Datenexporte werden, soweit technisch möglich, in gängigen Formaten (JSON oder CSV) bereitgestellt.
Eine automatisierte DSGVO-Webhook-API für programmatische Bearbeitung ist als Produkt-Roadmap-Thema vorgesehen.
Art. 12 — Löschung und Rückgabe von Daten
Nach Vertragsende löscht oder gibt der Auftragsverarbeiter auf Wahl des Verantwortlichen alle Daten zurück und vernichtet Kopien, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Löschanträge an: hey@getstamps.io
Art. 13 — Prüfungsrechte
Der Verantwortliche hat das Recht auf Audits oder Beauftragung eines Prüfers mit angemessener vorheriger schriftlicher Ankündigung während normaler Geschäftszeiten, unter Wahrung der Vertraulichkeit anderer Kunden und operativer Sicherheitsinteressen. Kosten trägt der Verantwortliche.
Hinweis: Stamps verfügt als frühwachstumsstarkes Unternehmen derzeit noch nicht über eine ISO-27001- oder SOC-2-Zertifizierung. Der Auftragsverarbeiter verpflichtet sich zur vollständigen Kooperation bei Audits und zur Bereitstellung aller relevanten Unterlagen auf Anfrage.
Art. 14 — Anwendbares Recht & Kontakt
Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Gerichtsstand: Hamburg.
Datenschutz-Kontakt: hey@getstamps.io · Codemellow UG (haftungsbeschränkt), Susannenstraße 21a, 20357 Hamburg
Mit der Nutzung des Stamps-Dienstes bestätigt der Verantwortliche, Teil 1 (Nutzungsbedingungen) und Teil 2 (Auftragsverarbeitungsvertrag) dieses Dokuments gelesen, verstanden und akzeptiert zu haben.