PRIVACY POLICY

(Last Updated: May 2026)

 

This Privacy Policy explains the nature, scope and purpose of the processing of personal data in connection with the online service „qresentcards". Processing is carried out exclusively in accordance with the General Data Protection Regulation (GDPR) and the Austrian Data Protection Act.

 

1. Controller

Responsible for processing personal data under Art. 4(7) GDPR: Thomas Behr Neugasse 23 3400 Klosterneuburg Austria Email: contact@qresentcards.com

 

2. Categories of Personal Data Processed

The following personal data is processed when using the online service: – Contact data (first and last name, shipping and billing address, email address) – Payment data (bank account or credit card details, depending on chosen payment method, processed via the respective payment provider) – Order data (order number, order date, order contents, shipping status) – Customer-provided personalised content (texts, files, links, media associated with the QR code) – Technical usage data (IP address, browser type, access timestamp, referring page)

 

3. Purpose and Legal Basis of Processing

a) Contract performance (Art. 6(1)(b) GDPR): order processing, product customisation, payment processing, delivery, customer correspondence. b) Legal obligation (Art. 6(1)(c) GDPR): compliance with tax and commercial retention obligations (in particular 7 years under § 132 BAO). c) Legitimate interest (Art. 6(1)(f) GDPR): ensuring technical operation, protection against misuse, data security. d) Consent (Art. 6(1)(a) GDPR): where required, particularly for optional cookies or marketing communications. Consent can be withdrawn at any time.

 

4. Data Processors and Recipients of Personal Data

To provide the contractual services, personal data is shared with carefully selected service providers. Data processing agreements under Art. 28 GDPR are in place with all processors:

– Shopify Inc. (shop platform, payment processing, order management), based in Canada/USA – Heinzmann Druck GmbH (printing and shipping), based in Germany – Resend, Inc. (transactional email delivery), based in USA – DigitalOcean LLC (server hosting), based in USA – UpPromote (affiliate marketing system), based internationally – Payment service providers (depending on chosen payment method, e.g. Shopify Payments): processing of payment data is the responsibility of the respective provider.

No personal data is transmitted for advertising, profiling or resale purposes.

 

5. Data Transfer to Third Countries

Some processors listed above (in particular Shopify, Resend, DigitalOcean) are based in the USA. Transfers of personal data to the USA or other third countries are based on: – the EU-US Data Privacy Framework (for certified providers), or – EU Standard Contractual Clauses under Art. 46(2)(c) GDPR, – combined with supplementary technical and organisational measures.

Despite these safeguards, a level of data protection equivalent to that within the EU cannot always be fully guaranteed in third countries.

 

6. Cookies and Tracking

The online service uses technically necessary cookies required for shop operation and order processing (legal basis: Art. 6(1)(f) GDPR). Cookies for non-essential purposes (in particular reach measurement, affiliate tracking, marketing) are only set after prior consent (Art. 6(1)(a) GDPR), which can be withdrawn at any time. Affiliate tracking cookies are set when you reach the online service via an affiliate link, to enable accurate commission attribution.

 

7. Processing of User-Submitted Content

As part of the customization of the ordered product, user-provided digital content may be processed, including links, files, media content, or text that can be accessed via the QR code. The user bears sole responsibility for ensuring the legality and permissibility of such content. The content is not subject to editorial review.

If uploaded content contains personal data of third parties (e.g. photos or audio recordings of other persons), the customer warrants upon order completion that they hold the required consents or usage rights. Responsibility for the lawfulness of processing such third-party content lies solely with the customer.

 

8. Storage Duration

– Order data (name, address, payment data, order number, order contents): 7 years (tax retention requirement under § 132 BAO), then deletion
– Contact data without contract reference: until withdrawal of consent
– QR-code-linked content (customer-provided texts, images, media): This content is a functional component of the product and is stored indefinitely as long as card functionality is to be maintained. The customer may request deletion at any time via contact@qresentcards.com — deletion will, however, result in the QR code losing its functionality.
– Technical log data: typically 30 days

 

9. Data Security

Personal data is processed using technical and organisational safeguards appropriate to the level of risk (Art. 32 GDPR). Absolute security cannot be guaranteed given the state of technology.

 

10. Data Subject Rights

Data subjects have the following rights: – Access (Art. 15 GDPR) – Rectification (Art. 16 GDPR) – Erasure (Art. 17 GDPR) – Restriction of processing (Art. 18 GDPR) – Data portability (Art. 20 GDPR) – Objection to processing (Art. 21 GDPR) – Withdrawal of consent (Art. 7(3) GDPR)

To exercise these rights, please contact: contact@qresentcards.com. The operator may require proof of identity.

 

11. Right to Lodge a Complaint

You have the right to lodge a complaint with a data protection supervisory authority. The competent authority in Austria is: Austrian Data Protection Authority Barichgasse 40-42, 1030 Vienna www.dsb.gv.at

 

12. Automated Decision-Making

Automated decision-making including profiling within the meaning of Art. 22 GDPR does not take place.

 

13. Amendments

This Privacy Policy may be amended to reflect technical, organisational or legal developments. The version published on the website shall prevail.

 

 

---

 

Datenschutzerklärung (GER)

(Letzte Aktualisierung: Mai 2026)

 

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb des Online-Dienstes „qresentcards". Die Verarbeitung erfolgt ausschließlich auf Grundlage der anwendbaren gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG).

 

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO ist: Thomas Behr Neugasse 23 3400 Klosterneuburg Österreich E-Mail: contact@qresentcards.com

 

2. Verarbeitete Datenkategorien

Im Rahmen der Nutzung des Online-Dienstes werden insbesondere folgende personenbezogene Daten verarbeitet: – Bestands- und Kontaktdaten (Vor- und Nachname, Liefer- und Rechnungsadresse, E-Mail-Adresse) – Zahlungsdaten (Bankverbindung, Kreditkartendaten – je nach gewählter Zahlungsmethode, abgewickelt über den jeweiligen Zahlungsdienstleister) – Bestelldaten (Bestellnummer, Bestelldatum, Bestellinhalt, Versandstatus) – Vom Kunden bereitgestellte personalisierte Inhalte (Texte, Dateien, Links, Mediendaten, die mit dem QR-Code verknüpft werden) – Technische Nutzungsdaten (IP-Adresse, Browsertyp, Zugriffszeitpunkt, weitergeleitete Webseite)

 

3. Zweck und Rechtsgrundlage der Verarbeitung

a) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bestellabwicklung, Produktindividualisierung, Zahlungsabwicklung, Versand, Kundenkorrespondenz. b) Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung steuerlicher und handelsrechtlicher Aufbewahrungspflichten (insbesondere 7 Jahre gemäß § 132 BAO). c) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherstellung des technischen Betriebs, Schutz vor Missbrauch, Sicherheit der Datenverarbeitung. d) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit erforderlich, insbesondere für optionale Cookies oder Marketing-Kommunikation. Diese kann jederzeit widerrufen werden.

 

4. Auftragsverarbeiter und Empfänger personenbezogener Daten

Zur Erbringung der vertraglichen Leistungen werden personenbezogene Daten an folgende sorgfältig ausgewählte Dienstleister weitergegeben. Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO:

– Shopify Inc. (Shop-Plattform, Zahlungsabwicklung, Bestellverwaltung), Sitz: Kanada/USA – Heinzmann Druck GmbH (Druck und Versand der Karten), Sitz: Deutschland – Resend, Inc. (E-Mail-Versand transaktionaler Nachrichten), Sitz: USA – DigitalOcean LLC (Server-Hosting), Sitz: USA – UpPromote (Affiliate-Marketing-System), Sitz: international – Zahlungsdienstleister (je nach gewählter Zahlungsmethode, z. B. Shopify Payments): Die Verarbeitung der Zahlungsdaten erfolgt eigenverantwortlich durch den jeweiligen Anbieter.

Eine Übermittlung personenbezogener Daten zu Werbe-, Profilbildungs- oder Weiterverkaufszwecken findet nicht statt.

 

5. Übermittlung in Drittländer

Einige der unter Punkt 4 genannten Auftragsverarbeiter (insbesondere Shopify, Resend, DigitalOcean) haben ihren Sitz in den USA. Bei einer Übermittlung personenbezogener Daten in die USA oder andere Drittstaaten erfolgt diese auf Grundlage: – des EU-US Data Privacy Framework (für zertifizierte Anbieter), oder – EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, – sowie ergänzender technischer und organisatorischer Maßnahmen.

Trotz dieser Garantien kann ein dem EU-Niveau entsprechender Datenschutz im Drittland nicht in allen Fällen vollständig gewährleistet werden.

 

6. Cookies und Tracking

Der Online-Dienst verwendet technisch notwendige Cookies, die für den Betrieb des Shops und der Bestellabwicklung erforderlich sind (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO). Sofern Cookies für nicht-notwendige Zwecke (insbesondere Reichweitenmessung, Affiliate-Tracking, Marketing) gesetzt werden, erfolgt dies ausschließlich nach vorheriger Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die jederzeit widerrufen werden kann. Affiliate-Tracking-Cookies werden gesetzt, wenn Sie über einen Affiliate-Link auf den Online-Dienst gelangen, um eine korrekte Provisionszuordnung zu ermöglichen.

 

7. Verarbeitung nutzerseitig bereitgestellter Inhalte

Im Rahmen der Individualisierung des bestellten Produkts werden vom Nutzer bereitgestellte digitale Inhalte verarbeitet, darunter Links, Dateien, Mediendaten oder Textinhalte, die über den QR-Code abrufbar sind. Die Verantwortung für die Rechtmäßigkeit und Zulässigkeit dieser Inhalte liegt ausschließlich beim Nutzer. Die Inhalte werden nicht redaktionell geprüft.

Falls hochgeladene Inhalte personenbezogene Daten Dritter enthalten (z. B. Fotos oder Audio-Aufnahmen von anderen Personen), sichert der Kunde mit Bestellabschluss zu, dass er über die erforderlichen Einwilligungen oder Nutzungsrechte verfügt. Die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung dieser Drittinhalte liegt ausschließlich beim Kunden.

 

8. Speicherdauer

– Bestelldaten (Name, Adresse, Zahlungsdaten, Bestellnummer, Bestellinhalt): 7 Jahre (steuerliche Aufbewahrungspflicht gemäß § 132 BAO), anschließend Löschung
– Kontaktdaten ohne Vertragsbezug: bis zum Widerruf der Einwilligung
– QR-Code-verknüpfte Inhalte (kundenseitig bereitgestellte Texte, Bilder, Mediendaten): Diese sind funktionaler Bestandteil des Produkts und werden zeitlich unbegrenzt gespeichert, solange die Funktionalität der Karte aufrechterhalten werden soll. Der Kunde kann die Löschung jederzeit per Anfrage an contact@qresentcards.com veranlassen — eine Löschung führt jedoch dazu, dass der QR-Code seine Funktionalität verliert.
– Technische Log-Daten: in der Regel 30 Tage

 

9. Datensicherheit

Die Verarbeitung personenbezogener Daten erfolgt unter Anwendung technischer und organisatorischer Maßnahmen, die ein dem Risiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO). Eine absolute Sicherheit kann nach dem Stand der Technik nicht garantiert werden.

 

10. Rechte der betroffenen Personen

Betroffene Personen haben das Recht auf: – Auskunft (Art. 15 DSGVO) – Berichtigung (Art. 16 DSGVO) – Löschung (Art. 17 DSGVO) – Einschränkung der Verarbeitung (Art. 18 DSGVO) – Datenübertragbarkeit (Art. 20 DSGVO) – Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) – Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung dieser Rechte wenden Sie sich an: contact@qresentcards.com. Der Betreiber kann zur Identitätsbestätigung geeignete Nachweise anfordern.

 

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig in Österreich ist: Österreichische Datenschutzbehörde Barichgasse 40-42, 1030 Wien www.dsb.gv.at

 

12. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

 

13. Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, sofern technische, organisatorische oder rechtliche Entwicklungen dies erfordern. Maßgeblich ist die jeweils auf der Website veröffentlichte aktuelle Fassung.