Datenschutzerklärung

Letzte Aktualisierung: 1. März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der zugehörigen Web-App ist Perfect Wash — Waschpark Munster. Kontakt: info@perfect-wash.de

Die technische Plattform wird bereitgestellt von GLANZ Platform. GLANZ agiert als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

2. Transparenz — Unser Versprechen

Wir glauben an volle Transparenz. In dieser Datenschutzerklärung listen wir jedes einzelne Datum auf, das wir erheben, speichern oder verarbeiten — nichts wird verheimlicht. Du sollst jederzeit genau wissen, welche Informationen wir über dich haben und was damit passiert.

3. Welche Daten wir erheben — Vollständige Auflistung

3.1 Registrierungsdaten

Bei der Anmeldung erheben wir:

  • E-Mail-Adresse — zur Identifikation und Kommunikation
  • Passwort — wird gehasht gespeichert (über Supabase Auth), wir haben keinen Zugriff auf das Klartext-Passwort
  • Zeitstempel der Registrierung

Alternativ kannst du dich per Google OAuth oder Magic Link (passwortlos) anmelden. Bei Google OAuth erhalten wir deinen Namen und deine E-Mail-Adresse von Google.

3.2 Profildaten

Optional kannst du folgende Daten in deinem Profil hinterlegen:

  • Vorname und Nachname
  • Telefonnummer
  • Geburtsdatum
  • Adresse — Straße, Hausnummer, Postleitzahl, Ort
  • Profilbild (URL)

3.3 Fahrzeugdaten

Du kannst ein oder mehrere Fahrzeuge registrieren:

  • Kfz-Kennzeichen
  • Marke, Modell, Farbe (optional)
  • Primärfahrzeug-Kennzeichnung

3.4 Wasch-Historie & Transaktionen

Bei jeder Wäsche speichern wir:

  • Datum und Uhrzeit der Wäsche
  • Gewähltes Waschprogramm
  • Check-in-Methode — QR-Code, NFC, Kassenbon-Upload, Kennzeichenerkennung oder manuell
  • Betrag (falls zutreffend)
  • Verdiente Punkte
  • Verwendetes Fahrzeug
  • Status — abgeschlossen, ausstehend, validiert, storniert
  • Validierender Mitarbeiter (bei manueller Prüfung)

3.5 Kassenbon-Upload & OCR

Wenn du einen Kassenbon als Check-in-Methode verwendest:

  • Foto des Kassenbons — wird in einem geschützten Speicher abgelegt
  • OCR-Daten — der erkannte Text wird zur Validierung extrahiert (Verarbeitung erfolgt lokal im Browser, keine externen OCR-Dienste)

3.6 Treueprogramm — Punkte & Gamification

Im Rahmen des Treueprogramms speichern wir:

  • Punktestand — Gesamtpunkte, verfügbare Punkte
  • Punkte-Historie — jede einzelne Gutschrift/Einlösung mit Typ (Wäsche, Bonus, Empfehlung, Level-Up, Streak, PWA-Installation, Challenge, Glücksrad), Betrag und Beschreibung
  • Level — Bronze, Silber, Gold, Diamond
  • Wasch-Streak — aktuelle und längste Serie
  • Badges — welche du verdient hast und wann
  • Challenge-Fortschritt — aktuelle Werte, ob abgeschlossen
  • Eingelöste Belohnungen — QR-Code, Status (aktiv/genutzt/abgelaufen), Ablaufdatum

3.7 Glücksrad

Bei jeder Glücksrad-Drehung speichern wir:

  • Segment-Index (Position auf dem Rad)
  • Gewinn — Art und Wert
  • Ob eingelöst
  • Zeitstempel

3.8 Gutscheine & Digitale Geschenkkarten

Beim Kauf oder Einlösen von Gutscheinen:

  • Gutschein-Code und QR-Daten
  • Käufer (deine Profil-ID)
  • Empfänger — Name und E-Mail (bei Geschenken)
  • Wert — Original- und Restwert
  • Stripe-Zahlungsreferenz
  • Einlösungen — Betrag, verknüpfte Wäsche, Zeitpunkt

3.9 Abonnements (Unlimited-Wash)

Bei Abschluss eines Wasch-Abos:

  • Plan-Name und Preis
  • Verknüpftes Fahrzeug und Waschprogramm
  • Stripe-Abo-ID und Stripe-Kunden-ID
  • Status — aktiv, überfällig, gekündigt, pausiert
  • Wäschen im aktuellen Monat
  • Abrechnungszeitraum

3.10 Feedback & Bewertungen

  • Sterne-Bewertung (1–5)
  • Freitext-Kommentar
  • Verknüpfte Wäsche (falls zutreffend)

3.11 Warteschlange

Wenn du dich in eine Warteschlange einreihst:

  • Gewählte Waschstation
  • Position in der Warteschlange
  • Status — wartend, aufgerufen, bedient, storniert, nicht erschienen

3.12 Empfehlungsprogramm

  • Dein persönlicher Empfehlungscode
  • Wer dich empfohlen hat (Referenz auf ein anderes Profil)

3.13 Flotten-Zugehörigkeit

Falls du über ein Firmen-Flottenkonto angemeldet bist:

  • Flotten-Zuordnung und verknüpftes Fahrzeug
  • Monatliches Waschlimit

3.14 Sichtbarkeit im Leaderboard

Du kannst wählen, ob dein Name im öffentlichen Leaderboard (Rangliste) angezeigt wird. Diese Einstellung (leaderboard_visible) wird in deinem Profil gespeichert. Standardmäßig bist du nicht sichtbar.

4. Daten, die Mitarbeiter über dich erfassen

4.1 Kundennotizen

Mitarbeiter des Waschparks können interne Notizen zu deinem Profil hinterlegen (z. B. besondere Wünsche, Reklamationen). Diese Notizen sind nur für Mitarbeiter sichtbar, nicht für dich in der App. Du kannst sie jedoch über deinen Datenexport (siehe Abschnitt 12) einsehen.

4.2 Kennzeichenerkennung (LPR)

Falls der Standort über ein Kennzeichen­erkennungssystem verfügt:

  • Erkanntes Kennzeichen und Erkennungsgenauigkeit (%)
  • Zuordnung — ob das Kennzeichen einem registrierten Fahrzeug/Profil zugeordnet werden konnte
  • Durchgeführte Aktion — kein Treffer, automatischer Check-in oder manuelle Validierung
  • Zeitstempel

Wichtig: Die Kennzeichenerkennung wird nur eingesetzt, wenn der Standort dies aktiviert hat. Die Kamera verarbeitet Bilder lokal — es werden nur die erkannten Zeichenfolgen gespeichert, keine Fotos der Fahrzeuge.

4.3 E-Mail- und Kampagnen-Protokoll

Wir protokollieren jede an dich gesendete E-Mail und Push-Benachrichtigung:

  • E-Mail-Typ — Willkommen, Magic Link, Passwort-Reset, Level-Up, Punkte-Update, Kampagne
  • Betreff und Sendezeitpunkt
  • Kampagnen-Log — ob eine Kampagnen-Nachricht geöffnet oder konvertiert wurde

5. Automatisierte Datenverarbeitung

5.1 Automatische Kampagnen

Periodisch (per Cron-Job) prüft das System automatisch bestimmte Bedingungen und versendet Nachrichten. Es wird kein Profiling im Sinne von Art. 22 DSGVO durchgeführt — es handelt sich um einfache Regelprüfungen:

  • Inaktivität — Wenn du seit 30 oder 60 Tagen keine Wäsche hattest, erhältst du ggf. eine Erinnerung (nur bei erteilter Einwilligung)
  • Neukunden — In den ersten Tagen nach deiner Anmeldung erhältst du ggf. Tipps (nur bei erteilter Einwilligung)
  • Level-Aufstieg — Nach einem Level-Up kann eine Glückwunsch-Nachricht versendet werden

5.2 Wetter-basierte Kampagnen

Das System ruft Wetterdaten für den Standort des Waschparks ab (nicht deinen persönlichen Standort) und kann bei bestimmten Wetter­bedingungen (z. B. Regen, Sonne) Angebote versenden. Deine persönlichen Standortdaten werden dafür nicht verwendet.

5.3 Gamification-Engine

Nach jeder Wäsche prüft die Gamification-Engine automatisch:

  • Ob du neue Badges verdient hast
  • Ob dein Streak (Serie) fortgesetzt wurde
  • Ob du ein neues Level erreicht hast
  • Ob eine Challenge abgeschlossen wurde

Diese Verarbeitung basiert ausschließlich auf deinen Waschdaten und Punkteständen — es werden keine externen Datenquellen herangezogen.

6. Kommunikation

6.1 E-Mails

Wir unterscheiden zwischen:

  • Transaktionale E-Mails (ohne Einwilligung, Art. 6(1)(b)) — Magic Link, Passwort-Reset, Willkommen, Kontolöschung. Diese sind für den Betrieb des Dienstes notwendig.
  • Marketing-E-Mails (nur mit Einwilligung, Art. 6(1)(a)) — Kampagnen, Newsletter, Angebote. Jede Marketing-E-Mail enthält einen Abmelden-Link und einen technischen List-Unsubscribe Header.

Du kannst deine Einwilligung zu Marketing-E-Mails jederzeit in deinen Profileinstellungen widerrufen.

6.2 Push-Benachrichtigungen

Push-Benachrichtigungen werden nur versendet, wenn du ihnen ausdrücklich zugestimmt hast. Wir speichern dafür:

  • Push-Subscription — Technischer Endpunkt, Verschlüsselungsschlüssel (p256dh, auth)
  • Einwilligungs-Flag (push_consent)

Die Push-Infrastruktur nutzt das Web Push Protocol (VAPID). Die Nachrichten werden über den Browser-Push-Dienst deines Browsers (z. B. Google FCM bei Chrome, Mozilla Push bei Firefox) zugestellt. An diese Dienste wird kein Klartext deiner Daten übermittelt — die Nachricht ist Ende-zu-Ende verschlüsselt.

6.3 Newsletter

Der Newsletter wird nur an Kunden versendet, die email_marketing_consent aktiviert haben. Jeder Newsletter enthält einen Abmeldelink. Es gibt keine separate Newsletter-Anmeldung — die Einwilligung wird über die Profileinstellungen gesteuert.

7. Standortdaten (Geofencing)

Falls du der Standort-Nutzung zugestimmt hast (geo_consent):

  • Dein Standort wird einmal pro Sitzung über die Browser-Geolocation-API abgefragt
  • Es wird nur geprüft, ob du dich in der Nähe des Waschparks befindest (Umkreis-Berechnung)
  • Die Berechnung erfolgt lokal in deinem Browser — deine GPS-Koordinaten werden nicht an unsere Server übertragen
  • Es wird nur ein Flag (geo_checked) im sessionStorage gesetzt, um die Abfrage pro Sitzung einmal durchzuführen

Ohne deine Einwilligung wird kein Standortzugriff durchgeführt. Du kannst die Einwilligung jederzeit in deinen Profileinstellungen widerrufen.

8. Einwilligungsmanagement

Wir führen ein vollständiges Einwilligungsprotokoll (Consent Log). Jede Änderung deiner Einwilligungen wird mit Zeitstempel gespeichert:

  • Push-Benachrichtigungen — ein/aus
  • Standort-Zugriff — ein/aus
  • E-Mail-Marketing — ein/aus
  • Leaderboard-Sichtbarkeit — ein/aus

Dieses Protokoll dient als Nachweis gemäß Art. 7(1) DSGVO. Du kannst alle Einwilligungen jederzeit in deinen Profileinstellungen ändern. Ein Widerruf ist genauso einfach wie die Erteilung.

9. Technische Daten & Speicherung im Browser

9.1 Cookies

Diese App setzt keine eigenen Tracking-Cookies. Folgendes Cookie wird für die Authentifizierung gesetzt:

  • Supabase Auth Session — httpOnly Cookie, das deine Login-Sitzung verwaltet. Ohne dieses Cookie ist kein Login möglich. Es enthält keine personenbezogenen Daten, sondern nur einen verschlüsselten Sitzungstoken.

9.2 localStorage

Folgende Daten werden im localStorage deines Browsers gespeichert:

  • glanz-consent — Deine Cookie-/Analytik-Einwilligung (Wert: { analytics: true/false, timestamp: "..." })
  • glanz-install-dismissed — Ob du den PWA-Installationshinweis weggeklickt hast
  • glanz-install-reward-claimed — Ob du den PWA-Installations-Bonus bereits erhalten hast

Diese Daten verlassen nie deinen Browser und werden nicht an unsere Server übertragen.

9.3 sessionStorage

  • geo_checked_[tenant_id] — Flag, dass die Standort-Prüfung in dieser Sitzung bereits durchgeführt wurde

9.4 Analytik

Aktuell setzen wir keine Analytik-Tools ein. Falls zukünftig Plausible Analytics (cookiefrei, DSGVO-konform, Server in der EU) eingesetzt wird, informieren wir dich hier und über den Consent-Banner.

10. Auftragsverarbeiter — Drittanbieter

Wir setzen folgende Drittanbieter ein. Für jeden Dienst ist genau aufgelistet, welche deiner Daten dorthin übermittelt werden:

10.1 Supabase Inc. — Datenbank & Authentifizierung

  • Sitz: San Francisco, USA
  • Server-Standort: EU (Frankfurt am Main)
  • Übermittelte Daten: Alle in Abschnitt 3–4 genannten Daten werden in der Supabase-Datenbank gespeichert
  • Zweck: Datenbank-Hosting, Authentifizierung, Dateispeicher (Kassenbons)
  • Grundlage: Auftragsverarbeitungsvertrag (AVV), EU-Standardvertragsklauseln, Daten auf EU-Servern

10.2 Vercel Inc. — Web-Hosting

  • Sitz: San Francisco, USA
  • Server-Standort: Edge-Server in der EU
  • Übermittelte Daten: HTTP-Anfragen (IP-Adresse, User-Agent, angefragte URLs)
  • Zweck: Hosting der Webanwendung
  • Grundlage: AVV, EU-Standardvertragsklauseln
  • Hinweis: IP-Adressen werden von Vercel nicht dauerhaft gespeichert

10.3 Stripe Inc. — Zahlungsabwicklung

  • Sitz: San Francisco, USA (EU-Niederlassung: Dublin, Irland)
  • Übermittelte Daten: E-Mail-Adresse, Name (für Stripe-Kundenanlage); Zahlungsdaten werden direkt an Stripe übermittelt und nie auf unseren Servern gespeichert
  • Gespeicherte Referenzen bei uns: Stripe-Kunden-ID, Stripe-Abo-ID, Stripe-Zahlungs-ID (keine Kreditkarten-/Kontodaten)
  • Zweck: Abwicklung von Gutschein-Käufen, Abonnements, Flotten-Rechnungen
  • Grundlage: Art. 6(1)(b) Vertragserfüllung, AVV

10.4 Resend Inc. — E-Mail-Versand

  • Sitz: San Francisco, USA
  • Übermittelte Daten: E-Mail-Adresse, Vorname (für Personalisierung), Betreffzeile und E-Mail-Inhalt
  • Zweck: Versand transaktionaler und (bei Einwilligung) Marketing-E-Mails
  • Grundlage: AVV, EU-Standardvertragsklauseln

10.5 OpenWeatherMap (OpenWeather Ltd.) — Wetterdaten

  • Sitz: London, UK
  • Übermittelte Daten: Koordinaten des Waschpark-Standorts (nicht deines persönlichen Standorts)
  • Personenbezogene Daten: Keine
  • Zweck: Wetter-basierte Kampagnen (z. B. Regen-Angebote)

10.6 Browser Push-Dienste

  • Anbieter: Google FCM (Chrome), Mozilla Push (Firefox), Apple Push (Safari) — je nach deinem Browser
  • Übermittelte Daten: Verschlüsselte Push-Nachricht (Titel, Text). Keine Klartextdaten — die Nachricht ist Ende-zu-Ende verschlüsselt
  • Zweck: Zustellung von Push-Benachrichtigungen

11. Rechtsgrundlagen

VerarbeitungRechtsgrundlage
Registrierung, Login, ProfilverwaltungArt. 6(1)(b) — Vertragserfüllung
Treueprogramm (Punkte, Level, Badges)Art. 6(1)(b) — Vertragserfüllung
Wasch-Historie, TransaktionenArt. 6(1)(b) — Vertragserfüllung
Zahlungsabwicklung (Stripe)Art. 6(1)(b) — Vertragserfüllung
Transaktionale E-MailsArt. 6(1)(b) — Vertragserfüllung
Marketing-E-Mails & NewsletterArt. 6(1)(a) — Einwilligung
Push-BenachrichtigungenArt. 6(1)(a) — Einwilligung
Standort-Zugriff (Geofencing)Art. 6(1)(a) — Einwilligung
Leaderboard-SichtbarkeitArt. 6(1)(a) — Einwilligung
Kennzeichenerkennung (LPR)Art. 6(1)(f) — Berechtigtes Interesse (Betriebsoptimierung)
Kundennotizen (intern)Art. 6(1)(f) — Berechtigtes Interesse (Kundenservice)
Wetter-Kampagnen (Standort des Waschparks)Art. 6(1)(a) — Einwilligung (für den Nachrichtenempfang)
Betrugs- & MissbrauchspräventionArt. 6(1)(f) — Berechtigtes Interesse

12. Deine Rechte

Du hast nach der DSGVO umfangreiche Rechte. Wir machen es dir so einfach wie möglich, diese auszuüben:

Art. 15 — Auskunftsrecht

Du hast das Recht zu erfahren, welche Daten wir über dich gespeichert haben. Nutze dafür die Datenexport-Funktion in deinen Profileinstellungen. Der Export enthält alle über dich gespeicherten Daten im JSON-Format.

Art. 16 — Recht auf Berichtigung

Du kannst deine Profildaten jederzeit in den Profileinstellungen korrigieren.

Art. 17 — Recht auf Löschung

Du kannst deinen Account und alle zugehörigen Daten jederzeit über die Konto-löschen-Funktion in deinem Profil löschen. Bei einer Löschung passiert Folgendes:

  • Aktive Stripe-Abonnements werden automatisch gekündigt
  • Alle personenbezogenen Daten werden gelöscht (Profil, Fahrzeuge, Punkte, Badges, Feedback, Notizen etc.)
  • Wasch-Transaktionen werden anonymisiert (deine Zuordnung wird entfernt, aber die Transaktion bleibt für die Buchhaltung erhalten)
  • Kennzeichen-Erkennungsereignisse werden anonymisiert
  • Gutschein-Käufe werden anonymisiert (Zuordnung entfernt)

Art. 20 — Recht auf Datenübertragbarkeit

Der Datenexport (siehe Art. 15) liefert dir deine Daten in einem maschinenlesbaren Format (JSON), das du bei einem anderen Anbieter einlesen kannst.

Art. 7(3) — Widerruf von Einwilligungen

Du kannst jede erteilte Einwilligung jederzeit widerrufen — direkt in deinen Profileinstellungen. Der Widerruf ist genauso einfach wie die Erteilung. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Art. 21 — Widerspruchsrecht

Du hast das Recht, gegen die Verarbeitung deiner Daten auf Basis von Art. 6(1)(f) (berechtigtes Interesse) Widerspruch einzulegen. Wende dich dafür an info@perfect-wash.de.

Art. 77 — Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Meinung bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Die zuständige Aufsichtsbehörde ist in der Regel die Landesbeauftragte für den Datenschutz Niedersachsen (bei Sitz in Niedersachsen).

13. Speicherdauer

DatenkategorieSpeicherdauer
ProfildatenBis zur Kontolöschung
FahrzeugdatenBis zur Kontolöschung oder Fahrzeug-Entfernung
Wasch-TransaktionenWerden bei Kontolöschung anonymisiert; anonymisierte Daten werden gemäß handelsrechtlicher Aufbewahrungspflicht (10 Jahre) aufbewahrt
Punkte, Badges, ChallengesBis zur Kontolöschung
FeedbackBis zur Kontolöschung
GutscheineKaufzuordnung wird bei Kontolöschung anonymisiert; Gutschein-Daten bis zum Ablaufdatum
AbonnementsBis zur Kontolöschung
E-Mail-LogsBis zur Kontolöschung
Kampagnen-LogsBis zur Kontolöschung
KundennotizenBis zur Kontolöschung
KennzeichenerkennungZuordnung wird bei Kontolöschung anonymisiert; anonymisierte Ereignisse bleiben erhalten
Warteschlangen-EinträgeBis zur Kontolöschung
Push-SubscriptionBis zum Widerruf oder zur Kontolöschung
EinwilligungsprotokollBis zur Kontolöschung (für Nachweispflicht gem. Art. 7(1))

14. Datensicherheit

  • Verschlüsselung: Alle Datenübertragungen erfolgen über HTTPS/TLS
  • Datenbank: Row-Level Security (RLS) — du siehst nur deine eigenen Daten
  • Passwörter: Werden gehasht gespeichert (bcrypt), nie im Klartext
  • Zahlungsdaten: Werden direkt an Stripe übermittelt, nie auf unseren Servern gespeichert
  • Push-Nachrichten: Ende-zu-Ende verschlüsselt (VAPID/Web Push Protocol)
  • Zugriffskontrolle: Mitarbeiter sehen nur Daten ihres eigenen Standorts
  • API-Sicherheit: Cron-Jobs und interne APIs sind durch Bearer-Token geschützt
  • Eingabe-Sanitisierung: Alle Benutzereingaben werden serverseitig validiert und bereinigt

15. Minderjährige

Unser Dienst richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Sollten wir erfahren, dass ein Kind unter 16 ein Konto erstellt hat, löschen wir die Daten unverzüglich.

16. Änderungen dieser Datenschutzerklärung

Wir aktualisieren diese Datenschutzerklärung bei Änderungen an unserer Datenverarbeitung. Das Datum der letzten Aktualisierung findest du oben auf dieser Seite. Bei wesentlichen Änderungen informieren wir dich per E-Mail oder App-Benachrichtigung.

17. Kontakt

Bei Fragen zum Datenschutz wende dich an:

Perfect Wash — Waschpark Munster
E-Mail: info@perfect-wash.de

Für technische Fragen zur Plattform: datenschutz@glanz.app