Datenschutzerklärung — Smokez Companion App

Stand: 23. Mai 2026. Diese Erklärung gilt für die Smokez Companion App (PWA, erreichbar unter app.smkz.de) und ergänzt die Datenschutzerklärung von smkz.de.

1. Verantwortlicher

Niklas Timper e.K. (Smokez)
Kaiserstraße 18
97070 Würzburg, Deutschland
Telefon: 0931 45329600
E-Mail: info@smkz.de
USt-IdNr.: DE342039516
Volle Angaben siehe Impressum.

2. Übersicht der Verarbeitungen

Bei der Nutzung der Companion-App verarbeiten wir folgende Daten:

• Konto-Stammdaten (Shopify-Customer-ID, E-Mail, Anzeigename, ggf. selbst gewählter Username)
• Geburtsdatum (zur 18+-Verifikation, § 10 JuSchG)
• Ausweis-Foto + AI-Auswertung (siehe Abschnitt 4.f)
• Bestand & Konsum-Daten (eingebuchte Tabake/Kohlen, Köpfe-Counter, Mix-Komposition, Favoriten-Mixe)
• Bestellhistorie aus smkz.de (Order-ID, Datum, Summe, Artikel) via Shopify-Webhooks zur Loyalty-Anrechnung
• Loyalty-Daten (Punkte, Tier, Referrals, Rauch-Rang)
• Push-Subscriptions (nur bei opt-in: Endpoint, p256dh, auth)
• Technische Daten (Last-Seen-Zeitstempel zur DAU/WAU/MAU-Auswertung, gehashte IP-Adresse für Rate-Limiting, User-Agent, Server-Logs)

3. Rechtsgrundlagen

• App-Bereitstellung & Funktionsumfang (Bestand, Counter, Mix-Builder): Art. 6 (1) b DSGVO (Vertragserfüllung).
• 18+-Altersverifikation & Ausweis-Prüfung: Art. 6 (1) c DSGVO i.V.m. § 10 JuSchG (rechtliche Verpflichtung).
• Push-Benachrichtigungen: Art. 6 (1) a DSGVO (Einwilligung, jederzeit widerruflich in den App-Einstellungen).
• Tracking-Pixel zur Aktivitätsmessung (Last-Seen): Art. 6 (1) f DSGVO (berechtigtes Interesse — Betrieb, Kapazitätsplanung, Missbrauchs-Erkennung, kein personenbezogenes Profiling, keine Drittweitergabe).
• Loyalty-Programm & Rabatte: Art. 6 (1) b DSGVO(Vertragsdurchführung).

4. Empfänger / Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein (Art. 28 DSGVO). Mit jedem besteht ein AV-Vertrag.

• a) Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA — App-Hosting (Edge-Function-Runtime). Server-Standort: EU-West / Frankfurt. Drittland: USA, zertifiziert nach EU-US Data Privacy Framework.
• b) Supabase Inc., 970 Toa Payoh North #07-04, Singapur — Datenbank & Storage. Datenbank-Standort: EU (Frankfurt). Drittland: USA-Mutterkonzern, zertifiziert nach EU-US Data Privacy Framework. AV-Vertrag abgeschlossen.
• c) Shopify International Ltd., 2nd Floor, Victoria Buildings, 1-2 Haddington Road, Dublin 4, Irland — OAuth-Login, Customer-Account-API, Order-Webhooks. EU-Sitz; Sub-Verarbeiter weltweit (siehe shopify.com/legal/dpa).
• d) Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA — KI-gestützte Auswertung des Ausweis-Fotos bei der Altersverifikation (Claude-Vision-Modell). Drittland: USA, zertifiziert nach EU-US Data Privacy Framework. Anthropic nutzt eingereichte Daten nach eigener Erklärung NICHT für Modell-Training (Standard-API-Nutzung).
• e) Apple Inc. (Apple Push Notification Service) / Mozilla / Google (autopush / Firebase Cloud Messaging) — technischer Transport von Push-Benachrichtigungen. USA, DPF / SCC.
• f) Klaviyo Inc. (wenn du dem Newsletter zugestimmt hast) — E-Mail-Versand. USA, DPF.

4.f Besonderheit: Ausweis-Foto-Verifikation

Beim ersten Klick auf „Zur Kasse“ auf smkz.de wirst du gebeten, ein Foto deines amtlichen Lichtbildausweises (Personalausweis, Reisepass, Führerschein) hochzuladen sowie dein Geburtsdatum einzugeben. Das Foto wird:

• Verschlüsselt übertragen (HTTPS/TLS) an unsere Companion-App-Infrastruktur.
• Gespeichert im privaten Storage-Bucket bei Supabase (EU/Frankfurt). Kein Zugriff durch Dritte, kein öffentlicher Link.
• An Anthropic Claude (Vision-Modell, USA, DPF) übermittelt zur automatischen Auswertung. Anthropic extrahiert Geburtsdatum und Name aus dem Foto. Das Ergebnis (JSON-Antwort) wird bei uns gespeichert, das Foto verbleibt nur für die Dauer des API-Calls bei Anthropic.
• Verglichen mit deinem eingegebenen Geburtsdatum und (falls eingeloggt) deinem Shopify-Account-Namen.
• Gelöscht nach 90 Tagen aus unserem Storage und der Datenbank (automatisierter Cron-Job).

Rechtsgrundlage:Art. 6 (1) c DSGVO i.V.m. § 10 JuSchG (Schutz Minderjähriger vor Tabakwaren). Bei Ausweis-Daten handelt es sich um besonders sensible personenbezogene Daten — wir verarbeiten sie ausschließlich für diesen Zweck. Eine manuelle Sichtung erfolgt nur in Audit-Fällen oder bei AI-fehlern („manual_review“).

Wichtig: Die online vorgenommene Altersverifikation ersetzt nicht die gesetzlich vorgeschriebene Altersprüfung beim Versand. Bei Tabakbestellungen erfolgt zusätzlich eine DHL-Altersprüfung an der Haustür.

5. Drittland-Transfer (Art. 13 (1) f DSGVO)

Soweit Daten in die USA übertragen werden (Vercel, Anthropic, Apple, Klaviyo), beruht die Übermittlung auf dem EU-US Data Privacy Framework (Adäquanzbeschluss der EU-Kommission vom 10. Juli 2023). Alle genannten US-Anbieter sind unter diesem Framework zertifiziert. Ergänzend bestehen Standardvertragsklauseln.

6. Speicherdauer

• Konto-Stammdaten & App-Nutzungsdaten: solange du dein Konto aktiv nutzt. Bei Löschanfrage (Einstellungen → Konto löschen) werden alle App-Daten unverzüglich gelöscht.
• Bestellhistorie (Loyalty-Anrechnung): solange das Loyalty-Konto besteht. Steuerrechtliche Aufbewahrung der eigentlichen Rechnungen erfolgt auf smkz.de getrennt bis zu 10 Jahre.
• Ausweis-Foto & AI-Ergebnis: 90 Tage ab Upload, automatisierte Löschung.
• Server-Logs (Vercel): 30 Tage rolling.
• Gehashte IP-Adresse: 1 Tag (rotiert mit Tages-Salt).

7. Deine Rechte

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — direkt über Einstellungen → Konto → Daten exportieren als JSON.
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung (Art. 7 (3) DSGVO) — z.B. für Push-Notifications jederzeit in den App-Einstellungen.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

8. Cookies & vergleichbare Technologien (TDDDG)

Die App setzt ausschließlich technisch erforderliche Cookies (§ 25 Abs. 2 Nr. 2 TDDDG): einen Session-JWT für den Login. Der PWA-Service-Worker legt zusätzlich Caches im Browser an — diese sind für den Offline-Modus notwendig und gelten als „vom Nutzer ausdrücklich angefordert“. Es gibt keine Werbe-Tracker, Analytics-Pixel oder Drittanbieter-Cookies.

9. Sicherheit der Verarbeitung

• Transport-Verschlüsselung: TLS 1.2+ überall (HSTS aktiv).
• Shopify-OAuth-Tokens (Access & Refresh) werden ausschließlich serverseitig in Supabase gespeichert, JWT-Cookies im Browser sind mit HttpOnly + SameSite=Lax geschützt.
• Ausweis-Foto-Bucket ist privat — kein öffentlicher Lese-Link, Zugriff nur über Service-Role-Key durch den Server.
• IP-Adressen werden mit täglich rotierendem Salt SHA-256-gehashed — kein PII-Klartext.

10. Datenschutzbeauftragter

Aktuell nicht bestellt (Niklas Timper e.K. liegt unter den Schwellenwerten des § 38 BDSG). Anfragen bitte an info@smkz.de — Betreff „Datenschutz“. Wir antworten binnen 30 Tagen.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung an geänderte Rechtslage oder technische Gegebenheiten anzupassen. Aktuelle Fassung jeweils unter app.smkz.de/legal/privacy-app. Letzte Aktualisierung: 23. Mai 2026.