GleiNei

Datenschutzerklärung

Stand: 01.01.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz‑Grundverordnung (DSGVO) ist:
Schlachter Advertising GmbH, Westermühlstraße 21, 80469 München, Deutschland
Telefon: 089-71689862 · E‑Mail: info@gleinei.com

2. Datenschutzbeauftragte:r

Wir sind derzeit nicht verpflichtet, eine:n Datenschutzbeauftragte:n zu benennen. Bei Fragen zum Datenschutz wende dich bitte an die oben genannten Kontaktdaten.

3. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website unter gleinei.com sowie für die Web‑App unter app.gleinei.com (nachfolgend gemeinsam „Plattform“).

4. Allgemeine Hinweise zu Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) – z. B. Registrierung, Bereitstellung der Software, Abrechnung.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – z. B. IT‑Sicherheit, Missbrauchs‑/Betrugsprävention, Fehleranalyse.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht) – z. B. handels‑/steuerrechtliche Aufbewahrung.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – nur, wenn wir ausdrücklich um Einwilligung bitten (z. B. optionale Funktionen).

5. Datenverarbeitung bei Aufruf der Plattform (Server‑Logs)

Beim Aufruf der Plattform verarbeiten wir technisch notwendige Informationen, um die Website auszuliefern und die Stabilität und Sicherheit zu gewährleisten. Dabei können insbesondere folgende Daten anfallen: IP‑Adresse, Datum/Uhrzeit, angeforderte Seite/Datei, Referrer‑URL, Browser/OS, Statuscodes.

Zweck: Betrieb, Sicherheit, Fehleranalyse · Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6. Cookies und Session‑Verwaltung

Die Plattform verwendet technisch notwendige Cookies zur Sitzungsverwaltung (Session). Dabei wird typischerweise ein Session‑Cookie (z. B. PHPSESSID) gesetzt. Dieses Cookie ist erforderlich, um Logins, Rollen/ Rechte sowie CSRF‑Schutz zu ermöglichen.

Das Session‑Cookie wird als Session‑Cookie (Lebensdauer bis zum Schließen des Browsers) eingesetzt und in der App mit Sicherheitsattributen (u. a. HttpOnly, Secure bei HTTPS und SameSite=Lax) konfiguriert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb) bzw. Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Vertragsleistung).

7. Registrierung, Login und Nutzerverwaltung (B2B)

Bei Erstellung eines Kontos (Onboarding) und bei Nutzung des Backends verarbeiten wir insbesondere: E‑Mail‑Adresse, Name (optional), Passwort (nur als Hash), Tenant‑Informationen (z. B. Slug/ Mandant), Rollen und Zeitpunkte (z. B. letzter Login).

Zweck: Kontoerstellung, Authentifizierung, Berechtigungssteuerung · Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8. Vertragsabwicklung, Abrechnung und Zahlungen über Stripe

Für Abonnement‑Abrechnung, Zahlungsabwicklung und das Kunden‑Billing‑Portal nutzen wir Dienste von Stripe. Bei einem Abschluss/Änderung eines Abos wirst du ggf. in das sichere Stripe‑Checkout‑ bzw. Billing‑Portal weitergeleitet. Stripe verarbeitet dabei Zahlungs‑ und Abrechnungsdaten (z. B. Rechnungsadresse, Zahlungsart, Transaktions‑/Abo‑IDs).

In der Plattform speichern wir zur Zuordnung typischerweise technische Stripe‑Kennungen (z. B. Customer‑ID, Subscription‑ID, Checkout‑Session‑ID), Status‑Informationen (z. B. trialing/active/canceled) und Abrechnungszeiträume.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrungspflichten).

8.1 Ticket‑Käufe (Endkund:innen) im Shop eines Betriebs

Bei „Full Ticketing“ betreibt der jeweilige Betrieb einen Ticketshop. Die Zahlung erfolgt über Stripe‑Checkout. Je nach Konfiguration können im Bestellkontext Daten wie Name/E‑Mail der Käufer:innen sowie Bestell‑/Ticketinformationen verarbeitet werden. Der jeweilige Betrieb ist für die Information seiner Endkund:innen verantwortlich; wir stellen hierfür die technische Plattform bereit.

9. Social‑Ticketing (Kommune, Ausgabestellen, Betriebe)

Die Plattform unterstützt die Ausgabe und Einlösung von Social‑Tickets. Je nach Einsatz werden dabei z. B. folgende Daten verarbeitet: Partner-/Ausgabestellen‑Kontaktdaten (z. B. E‑Mail), Ticket‑/Voucher‑Codes, Nutzungs‑ und Einlösezeitpunkte sowie technische Token im Link. Die Ticket‑Links sind Bearer‑Tokens; daher werden Ticket‑ und Einlöseseiten mit Cache-Control: no-store ausgeliefert.

Empfänger:innen von Social‑Tickets müssen in der Regel keine personenbezogenen Daten in der Plattform angeben, sofern die Kommune/Betriebe dies nicht anders organisieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Leistung) bzw. Art. 6 Abs. 1 lit. e DSGVO, sofern die Kommune die Verarbeitung im Rahmen ihrer Aufgaben vornimmt.

10. E‑Mail‑Versand

Die Plattform versendet systemische E‑Mails (z. B. Passwort‑Reset, Onboarding‑Informationen, Hinweise). Der Versand erfolgt über die serverseitige Mail‑Funktion des Hosting‑Umfelds. Dabei werden die Empfänger‑E‑Mail‑Adresse sowie die Inhalte der Nachricht verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Support).

11. Standort‑/Betriebssuche (Google Places API / OpenStreetMap Nominatim)

Für die Suche nach Betrieben/Ausgabestellen kann die Plattform – je nach Konfiguration – Server‑Side Requests an Google Places API (Google Maps Platform) oder als Fallback an OpenStreetMap Nominatim stellen. Dabei werden Suchbegriffe (z. B. „Bäckerei Bad Wiessee“) und technische Metadaten (z. B. IP‑Adresse des Servers) an die jeweiligen Anbieter übertragen.

Zur Kosten‑ und Performance‑Optimierung werden Place‑Details serverseitig zwischengespeichert (Cache‑TTL typischerweise bis zu 30 Tage).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effizientes Onboarding, Support) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragsleistung).

11.1 Website‑/Kontakt‑Lookup (E‑Mail‑Suche)

Für das Einladen von Betrieben/Ausgabestellen kann die Plattform auf Wunsch die vom Nutzer angegebene Website (z. B. Homepage/Impressum/Kontakt) serverseitig abrufen und nach öffentlich veröffentlichten Kontakt‑E‑Mail‑Adressen durchsuchen. Dabei werden Verbindungsdaten (z. B. IP‑Adresse des Servers, Zeitstempel) an den jeweiligen Website‑Betreiber übermittelt. Der Abruf ist technisch so gestaltet, dass nur öffentliche Hosts/öffentliche IP‑Adressen angesprochen werden (SSRF‑Schutz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effizientes Onboarding) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragsleistung).

12. QR‑Scan (Einlösung/Check‑in) und Laden von Bibliotheken über CDN

Für den QR‑Scan im Check‑in kann eine JavaScript‑Bibliothek über ein CDN geladen werden (derzeit: unpkg.com / html5-qrcode). Beim Abruf der Bibliothek werden technisch bedingt Verbindungsdaten (z. B. IP‑Adresse, User‑Agent) an den CDN‑Anbieter übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (betriebsnotwendige Funktion) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragsleistung).

13. Empfänger, Auftragsverarbeiter und Drittlandtransfers

Wir setzen Dienstleister ein, die als Auftragsverarbeiter tätig werden können (z. B. Hosting, E‑Mail‑Infrastruktur). Außerdem nutzen wir Stripe (Zahlungsabwicklung) und – je nach Feature – Google/OSM/CDN‑Anbieter. Dabei können Übermittlungen in Drittländer (insb. USA) nicht ausgeschlossen sein. In solchen Fällen stützen wir die Übermittlung auf geeignete Garantien (z. B. Standardvertragsklauseln) und – soweit verfügbar – zusätzliche Schutzmaßnahmen.

14. Speicherdauer

  • Konto‑ und Vertragsdaten: für die Dauer des Vertrags und danach entsprechend gesetzlicher Aufbewahrungspflichten.
  • Abrechnungs‑/Transaktionsdaten: nach handels‑/steuerrechtlichen Vorgaben (regelmäßig 6–10 Jahre).
  • Server‑/Sicherheitslogs: grundsätzlich zeitlich begrenzt, soweit zur Sicherheit/Fehleranalyse erforderlich.
  • Place‑Cache: typischerweise bis zu 30 Tage (konfigurationsabhängig).

15. Deine Rechte

Du hast – jeweils im Rahmen der gesetzlichen Voraussetzungen – folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

16. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Daten zu schützen (z. B. rollenbasierte Zugriffe, Passwort‑Hashes, CSRF‑Schutz, sichere Session‑Cookies, mandantengetrennte Datenhaltung, No‑Store‑Header für Token‑Links).

17. Änderungen

Wir können diese Datenschutzerklärung bei Bedarf anpassen, z. B. bei Funktionsänderungen oder geänderter Rechtslage. Es gilt die jeweils aktuelle Version.