Digitale Stempelkarte & DSGVO
Du willst eine digitale Stempelkarte einsetzen, bist dir aber unsicher, ob das DSGVO-konform ist? Verständlich. Als Geschäftsinhaber willst du Kundenbindung – aber nicht auf Kosten des Datenschutzes. Dieser Leitfaden beantwortet jede Frage, die du zum Thema Datenschutz und digitale Stempelkarten hast. Klar, ehrlich, ohne Juristendeutsch.
TL;DR
Stempely ist DSGVO-konform. Keine Namen, keine E-Mails, keine Telefonnummern. Kunden bleiben anonym. Server in Deutschland. Keine Datenweitergabe an Dritte.
Ironischerweise sind handschriftliche Kundenlisten neben der Kasse das eigentliche DSGVO-Risiko – mehr dazu weiter unten.
Geschäftsinhaber, die DSGVO-konform Kunden binden
"Wir hatten vorher eine handschriftliche Kundenliste neben der Kasse. Als ich erfahren habe, dass das ein DSGVO-Problem sein kann, bin ich sofort auf Stempely umgestiegen. Jetzt ist alles anonym und trotzdem effektiv."
M. B.
Bäckerei-Inhaberin, Stuttgart
"Mein Steuerberater hat mich gefragt, ob meine Stempelkarten DSGVO-konform sind. Mit Stempely konnte ich direkt zeigen: keine personenbezogenen Daten, Server in Deutschland. Thema erledigt."
T. K.
Café-Inhaber, Hamburg
"Push-Nachrichten waren für mich der Knackpunkt. Bei Stempely läuft alles über Opt-in und anonyme IDs. Mein Anwalt hat grünes Licht gegeben – ohne Bedenken."
S. R.
Friseur-Inhaberin, München
Datenschutz verstehen
Was speichert eine digitale Stempelkarte?
Die wichtigste Frage zuerst: Welche Daten landen eigentlich auf dem Server, wenn ein Kunde deine Stempelkarte nutzt?
Bei Stempely lautet die Antwort: so wenig wie möglich. Wenn ein Kunde deinen QR-Code scannt, passiert Folgendes:
Anonyme Geräte-ID
Eine zufällig generierte ID, die keinen Rückschluss auf die Person erlaubt
Stempelanzahl
Wie viele Stempel der Kunde gesammelt hat
Belohnungsstatus
Ob eine Belohnung einlösbar ist oder bereits eingelöst wurde
Letzter Besuch
Wann der letzte Stempel gescannt wurde – als Datum, ohne Uhrzeit-Tracking
Name oder Klarname
Wird nicht erhoben – Stempely fragt nie danach
E-Mail-Adresse
Wird nicht erhoben – kein Konto nötig
Telefonnummer
Wird nicht erhoben – Push läuft über anonyme Geräte-ID
Standortdaten
Kein GPS-Tracking, kein Geofencing, keine Bewegungsprofile
Zusammengefasst: Stempely weiß, dass "Gerät #A7x9" 7 Stempel bei deinem Geschäft hat. Stempely weiß nicht, dass das Gerät Lisa Müller gehört, 34 Jahre alt, wohnt in der Hauptstraße 12. Und genau das ist der Punkt.
Ist Stempely DSGVO-konform?
Ja. Und zwar nicht, weil wir eine 40-seitige Datenschutzerklärung haben, sondern weil das System von Grund auf so gebaut ist, dass es keine personenbezogenen Daten braucht.
Die DSGVO greift, wenn personenbezogene Daten verarbeitet werden – also Daten, die einer konkreten Person zugeordnet werden können. Da Stempely ausschließlich mit anonymen Geräte-IDs arbeitet und keine identifizierenden Informationen speichert, fällt der Großteil der DSGVO-Anforderungen weg.
0
personenbezogene Datenpunkte pro Kunde
DE/EU
Serverstandort – Daten verlassen die EU nicht
0
Drittanbieter, die Zugriff auf Kundendaten haben
Was Stempely konkret für DSGVO-Konformität tut:
- Privacy by Design: Das System erhebt von Anfang an keine personenbezogenen Daten
- Datensparsamkeit: Nur die Daten, die für die Stempelkarte technisch nötig sind
- Server in Deutschland/EU: Kein Datentransfer in Drittländer
- Keine Datenweitergabe: Weder an Werbepartner noch an Datenbroker
- Opt-in für Push: Benachrichtigungen nur mit aktiver Zustimmung des Kunden
- Kein Tracking: Keine Cookies, kein Fingerprinting, keine Bewegungsprofile
Brauchen Kunden eine Einwilligung?
Das ist die Frage, die Geschäftsinhaber am meisten verunsichert. Die kurze Antwort: Nein, keine gesonderte Einwilligungserklärung nötig.
Warum? Weil die DSGVO eine Einwilligung nur dann verlangt, wenn personenbezogene Daten verarbeitet werden. Da Stempely keine solchen Daten erhebt, entfällt die Einwilligungspflicht.
Was trotzdem passiert, ist eine aktive Handlung des Kunden: Er lädt die App herunter, scannt den QR-Code und entscheidet sich bewusst, an deinem Treueprogramm teilzunehmen. Das ist keine passive Datenerhebung – es ist eine freiwillige, informierte Entscheidung.
Vergleich: Einwilligung
Klassisches Newsletter-System
E-Mail-Adresse erforderlich. Double-Opt-in Pflicht. Einwilligungserklärung dokumentieren. Widerrufsrecht erklären. Aufbewahrungspflichten beachten.
Stempely Stempelkarte
Keine E-Mail. Kein Konto. Kein Double-Opt-in. Der Kunde scannt, sammelt Stempel, löst Belohnungen ein. Fertig. Keine Einwilligungserklärung nötig.
Wo werden die Daten gespeichert?
Alle Stempely-Daten werden auf Servern in Deutschland bzw. der EU gespeichert. Es gibt keinen Datentransfer in die USA oder andere Drittländer.
Warum das wichtig ist: Seit dem Schrems-II-Urteil des EuGH ist der Datentransfer in die USA rechtlich problematisch. Viele SaaS-Tools nutzen AWS, Google Cloud oder Azure mit US-Rechenzentren – und schaffen damit ein Compliance-Risiko für ihre Kunden. Stempely umgeht dieses Problem komplett.
Stempely
- Server in Deutschland/EU
- Kein Datentransfer in Drittländer
- DSGVO-konforme Infrastruktur
- Daten bleiben in der EU
Viele andere Tools
- Server in den USA (AWS, Google Cloud)
- Datentransfer in Drittländer
- Schrems-II-Risiko
- Zusätzliche Vertragsklauseln nötig
Sind Papier-Stempelkarten datenschutzrechtlich besser?
Das denken viele – aber das Gegenteil ist der Fall.
Eine Papier-Stempelkarte an sich ist datenschutzneutral. Sie enthält keine personenbezogenen Daten. Das Problem liegt woanders: in der Praxis, die sich drumherum entwickelt.
Was viele Geschäfte nebenbei tun (und nicht dürfen):
- Handschriftliche Kundenlisten mit Namen und Telefonnummern führen
- Kundendaten in ungesicherten Excel-Listen auf dem Laptop speichern
- Visitenkarten sammeln und ohne Einwilligung für Marketing nutzen
- WhatsApp-Gruppen mit Kundennummern erstellen
All das sind Verarbeitungen personenbezogener Daten – und damit DSGVO-pflichtig. Du brauchst eine Rechtsgrundlage, ein Verarbeitungsverzeichnis, eine Datenschutzerklärung und die dokumentierte Einwilligung jedes einzelnen Kunden.
Mit Stempely passiert nichts davon. Kein Name, keine Nummer, keine Liste. Die App macht die handschriftliche Kundenliste überflüssig – und damit das größte DSGVO-Risiko im Laden.
Push-Nachrichten und Datenschutz
Push-Nachrichten sind einer der größten Vorteile einer digitalen Stempelkarte: Du kannst inaktive Kunden zurückholen, Flash-Aktionen starten oder Kunden erinnern, dass sie kurz vor ihrer Belohnung stehen. Aber sind Push-Nachrichten überhaupt DSGVO-konform?
Ja – wenn sie richtig umgesetzt werden. Und bei Stempely ist das der Fall.
Opt-in durch das Betriebssystem
Wenn ein Kunde die App installiert, fragt iOS oder Android explizit: "Darf diese App dir Mitteilungen senden?" Nur bei "Ja" werden Push-Nachrichten aktiviert.
Anonyme Zustellung
Die Push-Nachricht wird an eine anonyme Geräte-ID gesendet. Stempely kennt weder den Namen noch die E-Mail des Empfängers. Es ist technisch unmöglich, die Nachricht einer Person zuzuordnen.
Jederzeit deaktivierbar
Der Kunde kann Push-Nachrichten jederzeit in den Systemeinstellungen deaktivieren – ohne die App zu löschen, ohne dich zu kontaktieren. Volle Kontrolle beim Kunden.
Vergleich mit E-Mail-Marketing: Für einen Newsletter brauchst du die E-Mail-Adresse des Kunden, eine Double-Opt-in-Bestätigung, eine dokumentierte Einwilligung und eine funktionierende Abmeldemöglichkeit. Bei Stempely-Push brauchst du: nichts davon. Der Kunde entscheidet über die Systemeinstellung – und du sendest an eine anonyme ID.
Zum Abhaken
Checkliste: DSGVO-konforme Kundenbindung
7 Punkte, die du als Geschäftsinhaber prüfen solltest – egal ob du Stempely nutzt oder nicht.
Keine handschriftlichen Kundenlisten
Wenn du Namen und Telefonnummern auf Papier sammelst, brauchst du eine Rechtsgrundlage und die dokumentierte Einwilligung jedes Kunden.
Keine ungesicherten Excel-Listen
Kundendaten in einer Excel-Datei auf dem Laptop? Ohne Verschlüsselung und Zugangskontrolle ist das ein DSGVO-Verstoß.
Kein WhatsApp-Marketing ohne Einwilligung
WhatsApp-Gruppen oder Broadcast-Listen mit Kunden sind ohne dokumentierte Einwilligung rechtswidrig – und WhatsApp selbst ist datenschutzrechtlich problematisch.
Datenschutzerklärung im Laden aushängen
Wenn du personenbezogene Daten verarbeitest (z. B. für einen Newsletter), muss eine Datenschutzerklärung verfügbar sein.
Verarbeitungsverzeichnis führen
Jedes Unternehmen muss dokumentieren, welche Daten es verarbeitet. Bei Stempely ist der Eintrag minimal, da keine personenbezogenen Kundendaten anfallen.
Push-Nachrichten nur mit Opt-in
Benachrichtigungen an Kunden dürfen nur gesendet werden, wenn der Kunde aktiv zugestimmt hat. Bei Stempely regelt das Betriebssystem das automatisch.
Daten auf EU-Servern speichern
Wenn du digitale Tools nutzt, stelle sicher, dass die Daten in der EU bleiben. Stempely speichert alles in Deutschland – kein Drittland-Transfer.
Kein Vertrag · Keine Kreditkarte · In 5 Minuten eingerichtet
Datenschutz trifft Kundenbindung
DSGVO-konform und trotzdem volle Übersicht
Anonyme Daten bedeuten nicht weniger Einblick. Du siehst Stempel, Belohnungen und Aktivität – ohne je einen Namen zu kennen.
1.281
Gesamtkunden
6.316
Gesamtstempel
3.114
Eingelöste Belohnungen
Live
Stempel heute
Echte Produktionsdaten. Alle Kunden anonym – keine Namen, keine E-Mails, keine Telefonnummern sichtbar.
Wählen Sie Ihr Paket
Starten Sie kostenlos und upgraden Sie, wenn Ihr Geschäft wächst.
Basis
- Bis zu 100 Kunden
- Digitale Stempelkarte
- QR-Code Scanner
- Basis-Statistiken
- Kundenverwaltung
- Treueprogramm anpassen
- NFC-Unterstützung
- Push-Nachrichten
Business
- Unbegrenzte Kunden
- Alle Basis-Features
- QR-Code mit Logo
- Erweiterte Statistiken
- CSV-Export
- Automatische Erinnerungen
- NFC-Unterstützung
- Push-Nachrichten
Premium
- Alle Business-Features
- NFC-Unterstützung
- 2x NFC-Tags inklusive
- Push-Nachrichten
- Priority Support
- Angebote verschicken
- Eigene App
- Multi-Standort
Enterprise
Auf Anfrage
- Eigene App mit Ihrem Branding
- Eigenes Logo & Design
- Individuelle Logik & Workflows
- Multi-Standort-Verwaltung
- Dedicated Account Manager
- Individuelle Integrationen
- Alles aus Premium
- Unbegrenzt skalierbar
8 häufige Fragen: Digitale Stempelkarte & DSGVO
Welche personenbezogenen Daten speichert Stempely?
Stempely speichert keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Telefonnummern. Kunden werden ausschließlich über eine anonyme Geräte-ID identifiziert. Du als Geschäftsinhaber siehst nur: Stempelanzahl, Belohnungsstatus und letzten Besuch – ohne zu wissen, wer genau die Person ist.
Brauche ich eine Einwilligungserklärung von meinen Kunden?
Da Stempely keine personenbezogenen Daten verarbeitet, ist keine gesonderte Einwilligungserklärung nötig. Der Download der App und das Scannen des QR-Codes ist eine aktive, freiwillige Handlung des Kunden. Es werden keine Cookies gesetzt und kein Tracking durchgeführt.
Wo werden die Daten von Stempely gespeichert?
Alle Daten werden auf Servern in Deutschland bzw. der EU gespeichert. Stempely nutzt keine US-amerikanischen Cloud-Dienste, bei denen ein Datentransfer in Drittländer stattfinden könnte. Die Daten verlassen die EU nicht.
Sind Papier-Stempelkarten datenschutzrechtlich unbedenklich?
Nein, im Gegenteil. Viele Geschäfte führen nebenbei handschriftliche Kundenlisten mit Namen und Telefonnummern – das ist eine Verarbeitung personenbezogener Daten und erfordert eine Rechtsgrundlage nach DSGVO. Papier-Stempelkarten an sich sind datenschutzneutral, aber die Praxis drumherum oft nicht.
Gibt Stempely Daten an Dritte weiter?
Nein. Stempely verkauft, teilt oder überträgt keine Kundendaten an Dritte. Deine Geschäftsdaten und die anonymisierten Stempeldaten gehören dir. Es gibt keine Werbepartner, keine Datenbroker und kein Tracking durch Drittanbieter.
Wie funktionieren Push-Nachrichten datenschutzkonform?
Push-Nachrichten werden nur gesendet, wenn der Kunde sie aktiv in der App erlaubt hat (Opt-in über das Betriebssystem). Die Nachricht wird an eine anonyme Geräte-ID gesendet – Stempely kennt weder den Namen noch die E-Mail des Empfängers. Kunden können die Benachrichtigungen jederzeit in den Systemeinstellungen deaktivieren.
Muss ich als Geschäftsinhaber ein Verarbeitungsverzeichnis führen?
Grundsätzlich ja – jedes Unternehmen muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Da Stempely aber keine personenbezogenen Kundendaten verarbeitet, ist der Eintrag minimal. Die Verarbeitung beschränkt sich auf anonyme Stempeldaten und deine eigenen Geschäftsdaten (Login, E-Mail).
Kann ich Stempely nutzen, ohne dass Kunden eine App installieren?
Nein, die App ist nötig – aber genau das macht es datenschutzfreundlich. Es gibt keinen Web-Tracker, keine Cookies, kein verstecktes Profiling. Der Kunde entscheidet aktiv, ob er teilnehmen will. Kein Konto nötig, keine persönlichen Daten, keine E-Mail-Adresse.
"Mein Steuerberater hat grünes Licht gegeben – keine personenbezogenen Daten, Server in Deutschland. Thema erledigt."
— T. K., Cafe-Inhaber, Hamburg
DSGVO-konform Kunden binden. Ab heute.
Keine personenbezogenen Daten, keine Einwilligungserklärungen, keine Kundenlisten auf Papier. Dein digitales Treueprogramm ist in 5 Minuten live.
Der kostenlose Plan bleibt kostenlos – kein Ablaufdatum, kein Trick.
Jetzt starten — kein Vertrag, keine KreditkarteDauerhaft kostenlos · DSGVO-konform · Server in Deutschland
Auch direkt als App verfügbar