Datenschutzerklärung.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Subdomain ist:

Kreativbeads
Inh. Yvonne Emig
Hauptstraße 111
64720 Michelstadt
Deutschland

Telefon: 0163 27 98 675
E-Mail: info@kreativbeads.de

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, zur Verwaltung des Kreativbeads Bonusprogramms, zur Prüfung und Einlösung von Geschenkgutscheinen sowie zur Beantwortung von Anfragen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und der jeweils anwendbaren nationalen Datenschutzvorschriften.

3. Hosting und Server-Logfiles

Unsere Subdomain wird auf einem Server der IONOS SE in Deutschland gehostet.

Beim Aufruf der Website werden durch den Hosting-Provider technisch erforderliche Daten erfasst. Dazu können insbesondere gehören:

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• aufgerufene Seite / Datei
• Referrer-URL
• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Hostname des zugreifenden Rechners

Die Verarbeitung erfolgt zur Sicherstellung des technischen Betriebs, der Systemsicherheit und der Stabilität der Subdomain. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

4. KreativKarte und Bonusprogramm

Zur Verwaltung des Kreativbeads Bonusprogramms verarbeiten wir die folgenden Daten zu Ihrer KreativKarte:

• Kartennummer im Format KBK-NNNNNN
• Kartenstatus (z. B. ausgegeben, aktiviert, gesperrt, verloren, ersetzt)
• Aktivierungscode und PIN — ausschließlich als sicherer Hash
• Zeitstempel der Erstellung, Ausgabe, Aktivierung und Statusänderungen
• Bezug zu einem ggf. zugeordneten Kundenkonto

Aktivierungscode und PIN werden nicht im Klartext gespeichert. Sie können von Kreativbeads im Klartext nicht eingesehen werden und sind ausschließlich zum Zeitpunkt der Erstellung bzw. einer Änderung durch die berechtigte Person bekannt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Bonusprogramms) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Missbrauchsschutz).

5. Kartenaktivierung

Bei der erstmaligen Aktivierung Ihrer KreativKarte über die Aktivierungsseite werden insbesondere folgende Daten verarbeitet:

• Kartennummer
• Aktivierungscode (die Eingabe wird gegen den hinterlegten Hash geprüft)
• Start-PIN (die Eingabe wird gegen den hinterlegten Hash geprüft)
• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (freiwillig)
• Marketing-Zustimmung (freiwillig, jederzeit widerrufbar)
• selbst gewähltes Passwort für das Kundenportal — ausschließlich als sicherer Hash

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

6. Kundenportal (Login)

Wenn Sie sich in das Bonus-Kundenportal einloggen, verarbeiten wir folgende Daten:

• E-Mail-Adresse als Anmeldekennung
• Passwort, geprüft gegen den hinterlegten sicheren Hash
• Login-Sicherheitsereignisse (z. B. Zeitpunkte fehlgeschlagener Versuche, vorübergehende Sperren bei wiederholten Falscheingaben)
• Selbst durchgeführte Aktionen wie PIN-Änderung, Passwortänderung oder Verlustmeldung der Karte

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie für Sicherheits- und Missbrauchsschutz-Aspekte Art. 6 Abs. 1 lit. f DSGVO.

7. Punktestand und Bonusguthaben

Zur Verwaltung Ihres Punktestands speichern wir Punktebuchungen mit folgenden Angaben:

• Karten-Bezug
• Punktewert (positiv oder negativ)
• Buchungstyp (z. B. Sammelpunkte, Einlösung, Korrekturbuchung)
• Buchungszeitpunkt
• ggf. Referenz auf die zugrundeliegende Bestellung oder Aktion

Der Punktestand und das daraus abgeleitete Bonusguthaben werden für die Anzeige im Kundenportal und in der öffentlichen Schnellprüfung jeweils live aus diesen Buchungen berechnet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

8. Schnellprüfung Punktestand

Über die öffentliche Schnellprüfung (z. B. /bonus/?n=KBK-NNNNNN) können Sie nach Eingabe Ihrer PIN einen eingeschränkten Punktestand abrufen.

• Die Kartennummer kann per URL oder per Formularfeld übergeben werden.
• Die PIN wird ausschließlich per Formular übermittelt (POST) und niemals in einer URL, im Sitzungsspeicher oder im Audit-Log abgelegt.
• Bei wiederholten Falscheingaben wird die Prüfung zum Schutz vorübergehend gesperrt.
• Angezeigt werden ausschließlich aktueller Punktestand, einlösbares Bonusguthaben und Punkte bis zur nächsten Bonus-Schwelle.
• Persönliche Daten (z. B. Name, Adresse, E-Mail), Punkteverlauf oder Bestellhistorie werden in der Schnellprüfung nicht angezeigt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie für Sicherheits- und Missbrauchsschutz-Aspekte Art. 6 Abs. 1 lit. f DSGVO.

9. Geschenkgutscheine

Für die Verwaltung von Kreativbeads-Geschenkgutscheinen verarbeiten wir folgende Daten:

• Anzeige-Präfix des Gutscheincodes (z. B. KB-GS-XXXX)
• Gutscheincode und Sicherheitscode — ausschließlich als sicherer Hash
• aktueller Status und verfügbarer Restwert
• Buchungen (Anlage, Einlösung, Korrekturen, ggf. Sperrung)
• ggf. ein festgelegtes Ablaufdatum
• Zähler für Sicherheitscode-Fehlversuche und vorübergehende Sperren

Der vollständige Gutscheincode und der Sicherheitscode werden nicht im Klartext gespeichert. Sie können von Kreativbeads im Klartext nicht erneut abgerufen werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie für Sicherheits- und Missbrauchsschutz-Aspekte Art. 6 Abs. 1 lit. f DSGVO.

10. Öffentliche Gutscheinprüfung

Auf der öffentlichen Gutscheinprüfseite (z. B. /gift/?code=KB-GS-XXXX-XXXX) können Sie nach Eingabe des Sicherheitscodes den verfügbaren Restwert eines Gutscheins prüfen.

• Der Gutscheincode kann per URL oder per Formularfeld übergeben werden.
• Der Sicherheitscode wird ausschließlich per Formular übermittelt (POST) und niemals in einer URL, im Sitzungsspeicher oder im Audit-Log abgelegt.
• Bei wiederholten Falscheingaben wird die Prüfung zum Schutz vorübergehend gesperrt.
• Angezeigt werden ausschließlich Restwert, Anzeige-Präfix und ggf. das Ablaufdatum. Käufer- oder Kontodaten werden nicht angezeigt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie für Sicherheits- und Missbrauchsschutz-Aspekte Art. 6 Abs. 1 lit. f DSGVO.

11. QR-Codes

QR-Codes auf KreativKarten und Geschenkgutscheinen enthalten ausschließlich öffentliche Adressen mit Karten- oder Gutscheincode. Es sind keine PINs, Sicherheitscodes, Aktivierungscodes oder sonstigen Geheimnisse in den QR-Codes enthalten.

Beim Scannen wird die zugehörige Prüf- oder Aktivierungsseite geöffnet. Eine weitergehende Verarbeitung findet erst statt, wenn Sie zusätzlich die jeweils erforderliche PIN bzw. den Sicherheitscode eingeben.

12. Anbindung an den Kreativbeads-Shop

Das Bonussystem ist mit dem Kreativbeads-Shop verknüpft. Sofern Sie bei einer Bestellung Ihre KreativKarte oder einen Geschenkgutschein angeben, können folgende Verarbeitungen stattfinden:

• Prüfung von Karten- oder Gutscheincode auf Gültigkeit
• Reservierung und Einlösung eines Gutscheinbetrags
• Reservierung und Einlösung von Bonuspunkten
• Gutschrift von Punkten auf den bezahlten Artikelwert nach Zahlungseingang
• Rückbuchung (Release) bei Storno einer Bestellung

Es werden nur die zur Verbuchung notwendigen Angaben übertragen (z. B. Kartennummer, Gutschein-Präfix, Beträge, Bestellreferenz). Personenbezogene Bestelldaten wie Name, Lieferadresse oder Zahlungsinformationen verbleiben im Shop-System und werden im Bonussystem nicht gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

13. Cookies und Sitzungsverwaltung

Diese Subdomain verwendet nach aktuellem Stand ausschließlich technisch notwendige Cookies, insbesondere:

• Sitzungs-Cookie für das Bonus-Kundenportal
• Sitzungs-Cookie für den internen Adminbereich
• Sitzungs-Cookie für die öffentlichen Prüfseiten zum Schutz vor automatisierten Formular-Eingaben (CSRF)

Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Rechtsgrundlage ist § 25 Abs. 2 TDDDG sowie Art. 6 Abs. 1 lit. f DSGVO.

14. Schriftarten

Auf dieser Subdomain wird die Schriftart „Inter" lokal eingebunden. Die Schriftdateien werden vom eigenen Server ausgeliefert. Es findet keine Verbindung zu Servern von Google oder anderen Drittanbietern zum Zweck der Schriftdarstellung statt.

15. Audit-Logs

Sicherheitsrelevante Adminaktionen sowie API-Zugriffe werden in einem internen Audit-Log protokolliert. Dies dient der Nachvollziehbarkeit, der Erkennung von Missbrauch und der internen Qualitätssicherung.

Sensible Werte (z. B. Klartext-Codes, PINs, API-Keys, Tokens, Passwörter und Hashes) werden vor der Speicherung im Audit-Log automatisch herausgefiltert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

16. API-Zugänge (Server-zu-Server)

Für die Anbindung des Kreativbeads-Shops und ggf. weiterer interner Systeme an das Bonussystem werden API-Zugänge verwendet. Diese Zugriffe erfolgen serverseitig und sind nicht für die Verwendung durch Endkundinnen und Endkunden gedacht.

Die API-Schlüssel werden ausschließlich als sicherer Hash gespeichert und sind im Klartext nicht erneut abrufbar. Pro Schlüssel werden Zweck und erlaubte Aktionen über eine Berechtigungsliste eingeschränkt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

17. Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren — etwa um eine KreativKarte anzufragen, eine Verlustmeldung zu ergänzen oder eine Rückfrage zu klären — verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihres Anliegens.

Verarbeitete Daten können insbesondere sein: Name, E-Mail-Adresse, Telefonnummer und der Inhalt Ihrer Nachricht.

Auf der Bonus-Landingpage wird die Anfrage einer KreativKarte derzeit über einen mailto:-Link abgewickelt. Eine serverseitige Speicherung des Anfrageinhalts erfolgt dabei nicht; die weitere Bearbeitung läuft über Ihren E-Mail-Verlauf.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung allgemeiner Anfragen).

18. Empfänger von Daten

Eine Weitergabe personenbezogener Daten erfolgt nur, wenn dies rechtlich zulässig ist. Empfänger können insbesondere sein:

• Hosting-Dienstleister
• IT-Dienstleister
• E-Mail-Dienstleister
• ggf. Steuerberater / Buchhaltung

Mit externen Dienstleistern werden, soweit erforderlich, Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

19. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Kundenkonto, Karten- und Bonusdaten werden gespeichert, solange das Bonusverhältnis besteht und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei steuerlich relevanten Buchungen erfolgt die Aufbewahrung im Rahmen der gesetzlichen handels- und steuerrechtlichen Fristen. Audit-Log-Einträge werden so lange gespeichert, wie ihre Auswertbarkeit für die Sicherheit und Nachvollziehbarkeit erforderlich ist.

20. Ihre Rechte

Sie haben nach Maßgabe der gesetzlichen Vorschriften insbesondere folgende Rechte:

• Recht auf Auskunft gemäß Art. 15 DSGVO
• Recht auf Berichtigung gemäß Art. 16 DSGVO
• Recht auf Löschung gemäß Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
• Recht auf Widerspruch gemäß Art. 21 DSGVO
• Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@kreativbeads.de.

21. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz- Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

22. Pflicht zur Bereitstellung von Daten

Soweit Sie mit uns Kontakt aufnehmen oder am Bonusprogramm teilnehmen möchten, müssen Sie nur diejenigen personenbezogenen Daten bereitstellen, die für die jeweilige Verarbeitung erforderlich sind. Ohne diese Angaben ist die Nutzung der entsprechenden Funktion in der Regel nicht möglich.

23. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

24. Stand

Stand: 03.06.2026