Bondly

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten bei der Nutzung von Bondly.

1. Allgemeine Hinweise

Der Schutz personenbezogener Daten hat für uns einen hohen Stellenwert. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den anwendbaren datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und den sonstigen einschlägigen Datenschutzbestimmungen.

Diese Datenschutzerklärung informiert darüber, welche personenbezogenen Daten wir verarbeiten, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung erfolgt, an wen Daten übermittelt werden, wie lange Daten gespeichert werden und welche Rechte betroffene Personen haben.

Diese Datenschutzerklärung gilt für:

  • die öffentliche Website von Bondly,
  • die Nutzung der Bondly-Software durch Geschäftskunden,
  • bestimmte eigene Verarbeitungen von Bondly im Zusammenhang mit Hosting, Sicherheit, Authentifizierung, Kommunikation und Systembetrieb,
  • sowie ergänzend für die Verarbeitung von Endkundendaten, soweit Bondly hierbei als Auftragsverarbeiter für das jeweils teilnehmende Unternehmen tätig wird.

2. Verantwortlicher

Verantwortlicher für die in dieser Datenschutzerklärung beschriebenen Datenverarbeitungen, soweit nicht im Einzelfall etwas anderes angegeben ist, ist:

Jakob Schlereth
Heuwaagstraße 2
91054 Erlangen
Deutschland

E-Mail: hello@getbondly.de

3. Begriffsabgrenzung und Rollenverteilung

Bondly stellt eine Softwarelösung für lokale Unternehmen bereit, insbesondere für Kundenbindung, digitale Gutscheine, Wallet-Pässe, Bewertungen und Kommunikationsprozesse. Dabei ist datenschutzrechtlich zwischen verschiedenen Rollen zu unterscheiden:

3.1 Bondly als eigener Verantwortlicher

Bondly ist selbst Verantwortlicher für die Verarbeitung personenbezogener Daten, soweit dies die eigenen Geschäfts-, Vertrags-, Sicherheits- und Betriebsprozesse betrifft. Dies gilt insbesondere für:

  • den Betrieb der Website,
  • die Registrierung und Verwaltung von Geschäftskundenkonten,
  • Login, Authentifizierung und Sitzungsverwaltung,
  • Vertragsdurchführung,
  • Sicherheits- und Betriebsprotokolle,
  • technische Fehleranalyse,
  • interne Audit- und Nachweisprozesse,
  • eigene System- und Kommunikationsprozesse gegenüber Geschäftskunden.

3.2 Bondly als Auftragsverarbeiter

Soweit Unternehmen Bondly nutzen, um Endkundendaten im Rahmen von Loyalty-, Gutschein-, Wallet-, Bewertungs- oder Kommunikationsprozessen zu verarbeiten, handelt Bondly grundsätzlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

In diesen Fällen ist das jeweils teilnehmende Unternehmen Verantwortlicher für die Zwecke der Endkundenkommunikation und Kundenbindungsmaßnahmen. Bondly verarbeitet die betreffenden Daten ausschließlich im Auftrag und nach Maßgabe des jeweiligen Unternehmens.

3.3 Keine automatische plattformübergreifende Nutzung von Endkundendaten

Endkundendaten werden grundsätzlich mandantenbezogen verarbeitet. Eine restaurant- oder unternehmensübergreifende Nutzung personenbezogener Endkundendaten zu eigenen Analyse- oder Trainingszwecken erfolgt nach aktuellem Stand nicht.

4. Datenverarbeitung bei Aufruf der Website

4.1 Allgemeine Website-Nutzung

Beim Aufruf unserer Website werden technisch erforderliche Daten verarbeitet, um die Website bereitzustellen, ihre Stabilität zu gewährleisten und Sicherheitsvorfälle erkennen und abwehren zu können.

Hierbei können insbesondere folgende Daten verarbeitet werden:

  • aufgerufene Ressource bzw. URL,
  • Datum und Uhrzeit des Zugriffs,
  • Statuscode,
  • Host,
  • Request-Methode,
  • technische Request-Metadaten,
  • ggf. IP-Adresse,
  • ggf. Browser- bzw. User-Agent-Informationen,
  • ggf. Referrer.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und effizienten Bereitstellung unserer Website und Dienste.

4.2 Hosting

Für Hosting, technische Bereitstellung und den Betrieb der Website und der Anwendung setzen wir externe Infrastruktur- und Plattformanbieter ein, insbesondere Vercel und Supabase.

Dabei können technische Zugriffs- und Betriebsdaten verarbeitet werden, soweit dies für Bereitstellung, Stabilität, Sicherheit und Fehleranalyse erforderlich ist. Mit den eingesetzten Dienstleistern bestehen Verträge zur Auftragsverarbeitung, soweit dies datenschutzrechtlich erforderlich ist.

4.3 Logdaten bei Hosting-Anbietern

Im Rahmen des Hostings können plattformseitig technische Zugriffs- und Betriebslogs anfallen. Nach aktuellem Stand sind entsprechende Logdaten im Vercel-Dashboard für einen Zeitraum von bis zu 14 Tagen einsehbar. Die konkrete Aufbewahrungsdauer plattformseitiger Logdaten richtet sich im Übrigen nach den jeweils aktiven Provider- und Projekteinstellungen.

5. Cookies, Session-Cookies und lokale Speichermechanismen

5.1 Technisch erforderliche Cookies

Im Zusammenhang mit Login, Authentifizierung und Sitzungsverwaltung verwenden wir technisch erforderliche Cookies bzw. vergleichbare Mechanismen. Diese sind erforderlich, um geschützte Bereiche bereitzustellen, Anmeldungen durchzuführen und Sitzungen aufrechtzuerhalten.

Rechtsgrundlage für die damit verbundene Verarbeitung personenbezogener Daten ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Durchführung des Nutzungsverhältnisses erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO für Sicherheits- und Schutzmaßnahmen.

5.2 Lokale Speichermechanismen im Browser

Im eingeloggten Bereich können lokale Speichermechanismen des Browsers, insbesondere Local Storage oder Session Storage, genutzt werden, um nutzerbezogene Oberflächenzustände, Hinweise oder Komfortfunktionen bereitzustellen.

Dabei handelt es sich nach aktuellem Stand nicht um Marketing- oder Retargeting-Technologien, sondern um funktionale oder nutzerbezogene UI-/Produktivitätsfunktionen.

5.3 Keine aktiven Marketing- oder Retargeting-Skripte auf der Landingpage

Nach aktuellem Stand setzen wir auf der öffentlichen Landingpage keine klassischen Marketing- oder Retargeting-Skripte ein. Es werden insbesondere keine bekannten Analyse- oder Werbetracking-SDKs wie Google Analytics, Meta Pixel, LinkedIn Insight Tag, Matomo, Plausible oder vergleichbare Tools auf der Landingpage eingesetzt.

6. Registrierung, Login und Geschäftskundenkonto

6.1 Registrierung

Bei der Registrierung für ein Bondly-Geschäftskundenkonto verarbeiten wir insbesondere folgende Daten:

  • Vorname,
  • E-Mail-Adresse,
  • optional Unternehmensname,
  • Passwort
  • und technische Registrierungs- und Verifizierungsdaten.

Die Verarbeitung erfolgt zur Anlage des Nutzerkontos, zur Durchführung der Registrierung und zur späteren Vertragsdurchführung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Die Bereitstellung der als Pflichtfelder ausgestalteten Daten ist erforderlich, um ein Nutzerkonto anzulegen. Ohne diese Daten können wir die Registrierung und die Bereitstellung des Dienstes nicht durchführen.

6.2 E-Mail-Verifizierung

Nach der Registrierung wird eine Bestätigungs-E-Mail versendet, um die angegebene E-Mail-Adresse zu verifizieren. Nach Anklicken des Bestätigungslinks wird das Konto aktiviert und der Nutzer in den Onboarding-Prozess weitergeleitet.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Unverifizierte Registrierungen werden grundsätzlich nach 14 Tagen gelöscht.

6.3 Login und Authentifizierung

Für Login und Authentifizierung nutzen wir Supabase Auth. Hierbei werden insbesondere E-Mail-Adresse, Passwort, Passwort-Hash, Session- und Authentifizierungsdaten sowie technisch erforderliche Cookies und Sitzungsinformationen verarbeitet.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie ergänzend Art. 6 Abs. 1 lit. f DSGVO für Sicherheit und Missbrauchsprävention.

6.4 Session-Metadaten

Technische Auth- und Session-Metadaten werden, soweit sie abgelaufene oder beendete Sitzungen betreffen, grundsätzlich nach 30 Tagen gelöscht bzw. bereinigt. Aktive Sitzungen bleiben hiervon unberührt.

7. Nutzung der Bondly-Software durch Geschäftskunden

Im Rahmen der Nutzung von Bondly durch Geschäftskunden verarbeiten wir Daten, die zur Bereitstellung der SaaS-Plattform erforderlich sind. Hierzu können insbesondere gehören:

  • Profildaten,
  • Account- und Einstellungdaten,
  • Rollen- und Teamdaten,
  • Integrationsdaten,
  • Standort- und Unternehmensdaten,
  • Nutzungs- und Konfigurationsdaten,
  • technische Metadaten zum Systembetrieb.

Die Verarbeitung erfolgt zur Vertragsdurchführung, Bereitstellung der Funktionen, Sicherheit, Fehleranalyse, Missbrauchsvermeidung und Produktstabilität auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sowie, soweit einschlägig, Art. 6 Abs. 1 lit. f DSGVO.

Geschäftskundenkonten werden grundsätzlich für die Dauer des Vertragsverhältnisses gespeichert. Nach Deaktivierung oder Beendigung des Kontos gilt ein operatives Nachlauffenster von grundsätzlich 90 Tagen. Anschließend werden operative Kontodaten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlichen Gründe entgegenstehen.

8. Endkundendaten im Auftrag der teilnehmenden Unternehmen

8.1 Allgemeines

Bondly ermöglicht es teilnehmenden Unternehmen, Endkundendaten im Rahmen von Kundenbindungs-, Gutschein-, Wallet-, Bewertungs- und Kommunikationsprozessen zu verarbeiten. Soweit Bondly diese Endkundendaten im Auftrag eines teilnehmenden Unternehmens verarbeitet, handelt Bondly grundsätzlich als Auftragsverarbeiter. Verantwortlicher für diese Verarbeitung ist das jeweilige teilnehmende Unternehmen.

8.2 Direkt vom Endkunden erhobene Daten

Im Rahmen öffentlicher Signup- und Teilnahmeprozesse können insbesondere folgende Daten direkt vom Endkunden erhoben werden:

  • Vorname,
  • E-Mail-Adresse,
  • Einwilligungs- bzw. Teilnahmeangaben,
  • technische Formularkontextdaten, etwa Kampagnenbezug oder Slug,
  • Bestätigungs- und DOI-bezogene Informationen.

8.3 Durch das Unternehmen oder Personal ergänzte Daten

Im Rahmen des Betriebs können durch das teilnehmende Unternehmen oder dessen Personal weitere Daten ergänzt oder erzeugt werden, insbesondere:

  • Scan- und Einlösungsvorgänge,
  • Warenkorb- bzw. Umsatzwerte bei Einlösungen,
  • interne Freitextnotizen,
  • Gutschein- und Loyalty-Status,
  • Besuchs- und Aktivitätshistorien,
  • Kommunikations- und Interaktionshistorien,
  • Wallet- und Review-bezogene Statusdaten.

Ein direkter Import von POS-Daten aus externen Kassensystemen erfolgt nach aktuellem Stand nicht.

8.4 Interne Notizen

Teilnehmende Unternehmen können interne Freitextnotizen zu Endkunden erfassen. Diese Funktion ist ausschließlich für geschäftlich relevante Hinweise vorgesehen. Sensible personenbezogene Daten sollen dort nicht eingetragen werden.

8.5 Löschung von Endkundendaten

Teilnehmende Unternehmen können Endkundendaten im Rahmen der bereitgestellten Funktionen löschen lassen bzw. löschen. Darüber hinaus kann eine Löschung auch über Bondly beantragt werden. Bei Beendigung des jeweiligen Unternehmensaccounts greift der definierte Lösch- und Retention-Lifecycle für tenant-bezogene Endkundendaten.

9. E-Mail-Kommunikation, DOI, Tracking und Abmeldungen

9.1 E-Mail-Arten

Im Rahmen von Bondly können verschiedene Arten von E-Mails verarbeitet bzw. versendet werden, insbesondere:

  • Double-Opt-In- und Bestätigungs-E-Mails,
  • transaktionale Gutschein- und Wallet-E-Mails,
  • systembezogene Einrichtungs- und Informations-E-Mails,
  • marketingbezogene Kampagnen- und Review-E-Mails.

9.2 Verarbeitete Kommunikations- und Interaktionsdaten

Im Zusammenhang mit E-Mail-Kommunikation können insbesondere folgende Daten verarbeitet werden:

  • E-Mail-Adresse,
  • Name,
  • Versand- und Zustellstatus,
  • Message-ID,
  • Zeitstempel,
  • Öffnungen,
  • Klicks,
  • Abmeldungen,
  • Bounce-Informationen,
  • providerbezogene Eventdaten,
  • kampagnen- und sendungsbezogene Metadaten.

9.3 Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Durchführung von Kommunikationsprozessen, zur Zustellkontrolle, zur Kampagnenauswertung, zur Verwaltung von Kommunikationspräferenzen, zur technischen Fehleranalyse sowie zur Verhinderung ungewollter Zusendungen.

9.4 Rechtsgrundlage

Soweit es sich um transaktionale E-Mails handelt, erfolgt die Verarbeitung regelmäßig auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Soweit es sich um marketingbezogene E-Mails handelt, stützen sich die jeweiligen teilnehmenden Unternehmen auf die im Rahmen des jeweiligen Endkundenverhältnisses einschlägige Rechtsgrundlage, insbesondere eine Einwilligung.

Die Verarbeitung von Kommunikations- und Interaktionsdaten wie Öffnungen, Klicks und Abmeldungen erfolgt im Rahmen der jeweils einschlägigen Kommunikationsprozesse und der hierzu erteilten Einwilligungen bzw. sonstigen einschlägigen Rechtsgrundlagen.

9.5 Abmeldungen und Sperrlisten

Abmeldungen von marketingbezogener E-Mail-Kommunikation werden tenant-spezifisch verarbeitet. Hierzu speichern wir in minimalem Umfang Suppression- bzw. Sperrlistendaten, soweit dies erforderlich ist, um weitere Zusendungen an die betreffende E-Mail-Adresse zu verhindern.

Diese Daten werden gespeichert, solange dies zur Verhinderung weiterer Zusendungen erforderlich ist.

9.6 Speicherfristen

Roh-Events und Kommunikationsereignisse werden grundsätzlich für 24 Monate gespeichert. Anschließend werden entsprechende Datensätze gelöscht oder anonymisiert, soweit keine längere Aufbewahrung im Einzelfall erforderlich ist.

10. Apple Wallet

10.1 Allgemeines

Bondly unterstützt die Bereitstellung und Aktualisierung digitaler Wallet-Pässe.

10.2 Verarbeitete Daten

Im Rahmen der Wallet-Funktion können insbesondere folgende Daten verarbeitet werden:

  • Seriennummern und technische Passdaten,
  • Wallet-spezifische Authentifizierungsdaten,
  • Barcode- bzw. Tokenbezüge,
  • Kunden- und Programmkontext,
  • Besuchs- und Reward-Status,
  • ggf. Marketingnachrichten,
  • ggf. Geofence-Informationen,
  • Device Library Identifier,
  • Push Token,
  • Registrierungs- und Statusdaten.

10.3 Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung, Aktualisierung und technischen Auslieferung digitaler Wallet-Pässe sowie zur Auslösung von Push-Benachrichtigungen und Statusaktualisierungen.

10.4 Speicherfrist

Wallet-Registrierungen und Pass-Metadaten werden grundsätzlich 30 Tage nach Unregister, Ende oder Inaktivität gespeichert und anschließend gelöscht, sofern kein technischer Hold oder sonstiger Ausnahmegrund entgegensteht.

11. Google Business Profile

11.1 Verarbeitete Daten

Im Zusammenhang mit Google-Bewertungen können insbesondere folgende Daten verarbeitet werden:

  • Review-ID,
  • Sternebewertung,
  • Kommentartext,
  • Erstellungs- und Aktualisierungszeitpunkt,
  • Reviewer-Displayname, soweit vorhanden,
  • Anonym-Flag,
  • Reply-Daten,
  • lokale Statusdaten.

11.2 Zweck der Verarbeitung

Die Verarbeitung erfolgt zum Abruf, zur Anzeige, Verwaltung und Beantwortung von Google-Bewertungen sowie zur Unterstützung von Bewertungs- und Antwortprozessen.

11.3 Speicherfrist

Review-bezogene Daten werden grundsätzlich für die Dauer des bestehenden Restaurant-Accounts gespeichert, soweit dies für die Bereitstellung der Review-Funktionen erforderlich ist. Nach Beendigung des Accounts werden diese Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12. KI-Funktionen / Bondly AI

12.1 Allgemeines

Bondly kann optionale KI-Funktionen zur Unterstützung bei der Erstellung von Antwortvorschlägen und der Analyse von Bewertungen bereitstellen. Die Nutzung dieser Funktionen ist nicht verpflichtend. Bewertungen können auch ohne Nutzung von Bondly AI manuell beantwortet werden.

12.2 Verarbeitete Daten

Soweit KI-Funktionen genutzt werden, können insbesondere folgende Daten an den KI-Dienstleister übermittelt oder intern verarbeitet werden:

  • Rezensionstext,
  • Reviewer-Name, soweit vorhanden,
  • Businessname,
  • Bewertung,
  • Datum,
  • Antwort- und Tonalitätsvorgaben,
  • generierte Antwortvorschläge,
  • Analyseergebnisse und Zusammenfassungen.

12.3 Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Erstellung von Antwortvorschlägen, zur inhaltlichen Unterstützung bei Bewertungsantworten und zur Analyse von Review-Daten.

12.4 Speicherfrist

Analysebezogene Review- und KI-Daten, insbesondere Einträge in einer Analysehistorie, werden grundsätzlich für die Dauer des bestehenden Restaurant-Accounts gespeichert, soweit sie für die Bereitstellung der jeweiligen Funktionen erforderlich sind. Nach Beendigung des Accounts werden diese Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Antwortvorschläge werden nur insoweit gespeichert, wie dies für die jeweilige Funktion oder den Nutzungskontext erforderlich ist.

13. Sicherheits-, Betriebs- und Nachweisprotokolle

13.1 Interne Job- und Betriebslogs

Zur Sicherstellung eines stabilen, sicheren und nachvollziehbaren Betriebs verarbeiten wir technische Laufzeitdaten, Jobstatus, Fehlertexte, System- und API-Metadaten sowie weitere technische Betriebsinformationen.

Diese Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in Stabilität, Sicherheit, Fehleranalyse, Missbrauchsprävention und Systembetrieb.

Interne Job-Logs werden grundsätzlich nach 30 Tagen gelöscht. In Einzelfällen kann eine vorübergehende längere Speicherung erforderlich sein, wenn dies zur Aufklärung konkreter Vorfälle notwendig ist.

13.2 Audit-Log kritischer Aktionen

Zur Sicherstellung eines sicheren und nachvollziehbaren Betriebs protokollieren wir bestimmte kritische System- und Verwaltungsaktionen in einem minimierten Audit-Log. Hierzu können insbesondere verarbeitet werden:

  • Zeitstempel,
  • Mandantenbezug,
  • Akteurstyp,
  • Akteur-ID,
  • Aktionsart,
  • Zielobjekt,
  • Ergebnis,
  • Reason Code,
  • technische Anfragekennungen,
  • pseudonymisierte sicherheitsrelevante Metadaten.

Die Verarbeitung erfolgt zur Gewährleistung von Sicherheit, Missbrauchsprävention, technischer Nachvollziehbarkeit sowie zur Bearbeitung von Support- und Incident-Fällen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Audit-Ereignisse werden grundsätzlich nach 365 Tagen gelöscht, sofern keine längere Aufbewahrung im Einzelfall aus rechtlichen oder sicherheitsbezogenen Gründen erforderlich ist.

14. Empfänger und Kategorien von Empfängern

Zur Bereitstellung unserer Dienste setzen wir externe Dienstleister ein. Hierzu können insbesondere folgende Empfänger bzw. Kategorien von Empfängern gehören:

  • Hosting- und Infrastrukturprovider,
  • Authentifizierungs- und Datenbankanbieter,
  • E-Mail-Versanddienstleister,
  • Wallet- und Push-Anbieter,
  • Plattformen für Bewertungs- und Unternehmensprofile,
  • KI-Dienstleister,
  • IT- und Support-Dienstleister,
  • Steuer-, Rechts- oder Compliance-Dienstleister, soweit erforderlich.

Nach aktuellem Stand kommen insbesondere folgende Anbieter in Betracht:

  • Vercel,
  • Supabase,
  • Brevo,
  • Apple,
  • Google,
  • OpenAI.

Mit den eingesetzten Dienstleistern bestehen Verträge zur Auftragsverarbeitung, soweit dies datenschutzrechtlich erforderlich ist.

15. Datenübermittlungen in Drittländer

Eine Übermittlung personenbezogener Daten in Staaten außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums kann im Einzelfall nicht ausgeschlossen werden, insbesondere wenn von uns eingesetzte Anbieter oder deren Unterauftragsverarbeiter ihren Sitz in Drittstaaten haben oder entsprechende globale Infrastrukturen nutzen.

Soweit personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies nur unter Beachtung der gesetzlichen Voraussetzungen. Dies geschieht insbesondere auf Grundlage:

  • eines Angemessenheitsbeschlusses,
  • geeigneter Garantien, insbesondere Standardvertragsklauseln,
  • oder sonstiger gesetzlich zulässiger Übermittlungsmechanismen.

Soweit Anbieter unter dem EU-U.S. Data Privacy Framework zertifiziert sind oder andere anerkannte Transfermechanismen einschlägig sind, stützen wir Übermittlungen auf die jeweils anwendbare Grundlage.

16. Speicherfristen und Löschkonzept

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Maßgebliche Kriterien für die Speicherdauer sind insbesondere:

  • Dauer des Vertragsverhältnisses,
  • Bereitstellung und Sicherheit des Dienstes,
  • technische Erforderlichkeit,
  • Nachweis- und Dokumentationszwecke,
  • Support- und Incident-Bearbeitung,
  • Missbrauchsprävention,
  • gesetzliche Aufbewahrungsfristen,
  • wirksame Sperrung gegen erneute Zusendungen.

Insbesondere gelten derzeit folgende Grundsätze:

  • unverifizierte Registrierungen: 14 Tage,
  • Auth- und Session-Metadaten: 30 Tage für beendete/abgelaufene Sitzungen,
  • interne Job-Logs: 30 Tage,
  • Wallet-Registrierungen und Pass-Metadaten: 30 Tage nach Ende/Inaktivität,
  • Audit-Logs: 365 Tage,
  • Kommunikations- und Kampagnenereignisse: 24 Monate,
  • Review- und KI-bezogene Accountdaten: grundsätzlich für die Dauer des bestehenden Restaurant-Accounts,
  • Suppression-Daten: solange erforderlich zur Verhinderung weiterer Zusendungen,
  • steuer- und handelsrechtlich relevante Unterlagen: bis zum Ablauf der jeweils geltenden gesetzlichen Aufbewahrungsfristen.

17. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO, die rechtliche Wirkung entfaltet oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigt, findet nach aktuellem Stand nicht statt.

18. Rechte betroffener Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

  • Recht auf Auskunft gemäß Art. 15 DSGVO,
  • Recht auf Berichtigung gemäß Art. 16 DSGVO,
  • Recht auf Löschung gemäß Art. 17 DSGVO,
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO,
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO,
  • Recht auf Widerspruch gemäß Art. 21 DSGVO,
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft,
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde.

18.1 Widerruf von Einwilligungen

Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

18.2 Widerspruchsrecht

Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, besteht das Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen.

18.3 Beschwerderecht

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogener Daten rechtswidrig erfolgt.

19. Ansprechpartner für Datenschutzanfragen

Anfragen zum Datenschutz, zur Geltendmachung von Betroffenenrechten oder zu dieser Datenschutzerklärung können an folgende Kontaktadresse gerichtet werden:

Jakob Schlereth
Heuwaagstraße 2
91054 Erlangen
Deutschland

E-Mail: hello@getbondly.de

20. Stand und Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund rechtlicher, technischer oder geschäftlicher Weiterentwicklungen erforderlich wird. Es gilt jeweils die zum Zeitpunkt des Besuchs bzw. der Nutzung abrufbare Fassung.

Stand: 05.05.2026