SmartKartica Datenschutzrichtlinie

Version: 3.0
Datum des Inkrafttretens: 5. April 2026
Letzte Aktualisierung: 5. April 2026

Diese Datenschutzrichtlinie regelt den Umgang mit der Erhebung, Nutzung, Speicherung, Übermittlung, Offenlegung, dem Schutz und der sonstigen Verarbeitung personenbezogener Daten bei der Nutzung von SmartKartica, einschließlich der Website https://smartkartica.rs/, zugehöriger Subdomains, Administratorportalen, öffentlicher Registrierungsformulare, API, Mittel zur Ausgabe und Bereitstellung digitaler Karten, Szenarien für Apple Wallet und Google Wallet, Zahlungs- und Abrechnungsfunktionen, Kommunikationsmodulen, technischem Support, Integrationen, Quittungs- und Kassenprozessen sowie anderer Komponenten der Plattform.

Wir gehen davon aus, dass der Schutz personenbezogener Daten Teil der Architektur des Dienstes ist. Die Datenverarbeitung erfolgt auf der Grundlage der Grundsätze Gesetzmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Vertraulichkeit, Integrität und Rechenschaftspflicht. Soweit es für einen bestimmten Vorgang Anwendung findet, berücksichtigen wir die Verordnung (EU) 2016/679 (GDPR). Für Vorgänge, die dem Recht der Republik Serbien unterliegen, berücksichtigen wir das Gesetz zum Schutz personenbezogener Daten der Republik Serbien und andere anwendbare Bestimmungen.

1. Datenverantwortlicher und Kontaktdaten

Der Datenverantwortliche im Rahmen der eigenen Tätigkeit von SmartKartica ist VMTech d.o.o. Beograd.

• Vollständiger Name: VMTech d.o.o. Beograd
• Registrierungsnummer (Matični broj): 22069152
• Steuernummer (PIB): 114779614
• Geschäftssitz: Topalovićeva 4, Zvezdara, 11050 Belgrad, Serbien
• Kontakt-E-Mail: support@smartkartica.rs
• Telefonnummer: +381 61 680 7039
• Webseite: https://smartkartica.rs/

2. Anwendungsbereich der Richtlinie

Diese Richtlinie gilt für Besucher der Website, potenzielle Kunden, registrierte Benutzer des SmartKartica-Panels, Vertreter von Firmenkunden, Endbenutzer digitaler Karten, Personen, die sich öffentlich registrieren und verifizieren, sowie für Personen, deren Daten über API, Webhooks, Abrechnung, Wallet-Szenarien, Quittungs- und andere Integrationssituationen eingehen.

3. Wann VMTech verantwortlicher und wann Auftragsverarbeiter ist

3.1. VMTech ist Verantwortlicher für jene Daten und Prozesse, bei denen VMTech selbst die Zwecke und wesentlichen Mittel der Verarbeitung bestimmt. Dazu gehören insbesondere: Betrieb der Website und öffentlicher Seiten; Registrierung und Betreuung von Benutzerkonten des Dienstes; Abrechnung, Rechnungsstellung, wiederkehrende Zahlungen, finanzielle und steuerliche Buchführung; Unterstützung bei Anfragen; Gewährleistung der Informationssicherheit; Audit, Aktionsprotokolle, Untersuchung von Vorfällen und Streitigkeiten; Einhaltung gesetzlicher Verpflichtungen; Nachweis der Annahme rechtlicher Dokumente; Schutz der Rechte und berechtigten Interessen von VMTech.

3.2. Firmenkunden von SmartKartica sind in der Regel eigenständige Verantwortliche für die personenbezogenen Daten ihrer Endkunden, Teilnehmer von Treueprogrammen, Käufer, Inhaber digitaler Karten und anderen Endbenutzern, da sie die Zwecke des Programms, Sammel- und Abzugsregeln, zu erhebende Daten, Geschäftslogik, Kommunikationsinhalte, Vorlagenzusammensetzungen, Segmentierungskriterien, Mitteilungstexte, Teilnahmebedingungen und andere wesentliche Parameter der Verarbeitung bestimmen.

3.3. In Bezug auf solche Endbenutzer-Daten handelt VMTech in der Regel als Auftragsverarbeiter und verarbeitet Daten im Auftrag und Interesse des jeweiligen Kunden durch Bereitstellung der Infrastruktur, Schnittstellen, API, Lieferung von Pass-Inhalten, Wallet-Integrationen, Abrechnungs- und Wartungsfunktionen. Der Kunde ist verpflichtet, selbst eine rechtliche Grundlage, angemessene Datenschutzmitteilungen, die Rechtmäßigkeit des Hochladens von Daten und des Versendens von Mitteilungen sicherzustellen sowie die Einhaltung der anwendbaren Normen zu gewährleisten.

3.4. Auch wenn VMTech als Auftragsverarbeiter für Kundendaten von Endbenutzern fungiert, kann VMTech eigenständiger Verantwortlicher eines begrenzten Datenspektrums und einzelner Vorgänge sein, wenn diese Verarbeitung für die Netzwerk- und Informationssicherheit, Betrugsvermeidung und Missbrauchsprävention, Funktionsfähigkeit der Plattform, Datensicherung, Protokollierung, Vorfalluntersuchung, Einhaltung gesetzlicher Anforderungen, steuerlicher, buchhalterischer, zahlungsbezogener oder beweisrechtlicher Regelungen, Schutz der Rechte von VMTech, Dritten oder anderen berechtigten Interessen erforderlich ist.

4. Welche Daten verarbeitet werden können

4.1. Kontakt- und Identifikationsdaten. Diese können Namen, Nachnamen, E-Mail, Telefonnummer, Firmenname, Position, Benutzerrolle, Abrechnungs- und Wartungskontaktdaten sowie andere Informationen umfassen, die der Benutzer bei der Registrierung, bei der Bestellung eines Dienstes, bei der Kontaktaufnahme zum Support oder bei der Nutzung der Plattformfunktionalitäten freiwillig bereitstellt.

4.2. Konto- und Sicherheitsdaten. Wir können die E-Mail-Adresse, das Passwort in gehashter Form, Informationen zur E-Mail-Bestätigung, Bestätigungstokens, Rücksetztokens, Informationen zur Zwei-Faktor-Authentifizierung und Backup-Codes, Informationen zu Anmeldeversuchen, Sperrungen, Zugriffsrollen, Schnittstellenspracheinstellungen, Kontostatus, Company ID, User ID, Request ID und andere damit verbundene technische Daten verarbeiten.

4.3. Daten zur öffentlichen Registrierung und zum Onboarding. Im Rahmen öffentlicher Registrierungs- und Loyalitätsprogrammanmeldungsformulare können Name, E-Mail, Telefonnummer, gewählte Sprache, Daten zu Verifizierungssitzungen, Bestätigungscode-Hashes, Tracking-ID des externen SMS-Anbieters, Anzahl der Versuche, IP-Adresse, User-Agent, CAPTCHA-Token, Idempotency-Schlüssel und andere Daten verarbeitet werden, die für die Kartenausstellung und Spamschutz notwendig sind.

4.4. Daten von Firmenkunden und deren Vertretern. Dies können Informationen über das Unternehmen, Preistarif, Abonnementplan, Währung, Abonnementstatus, Steuer- und Registrierungsdaten, Abrechnungsdaten, Abrechnungsadresse, Berechtigungen, Kontoeinstellungen, Lokalisierungseinstellungen, API-Schlüssel, IP-Beschränkungen und andere Service-Nutzungsparameter sein.

4.5. Daten der Endkunden von Firmenkunden. Je nach Konfiguration des jeweiligen Projekts und den Anweisungen des Kunden können in das System oder darin erzeugt werden: Vorname, Nachname, E-Mail, Telefon, Kundenstatus, Loyalitätsprogrammparameter, benutzerdefinierte Feldwerte, Profilmetadaten, Programmteilnahmehistorie, Bonushistorie, Rabatte, Cashback, Stufen, QR-/Barcode-Attribute und andere Daten, die der Kunde in seinem Programm verwenden möchte.

4.6. Daten digitaler Karten, Pass-Objekte und Wallet-Integrationen. Wir können die Seriennummer der Karte, Vorlagendaten, dynamische Feldwerte, Vorlagenversion, Lokalisierungseinstellungen, Google Wallet Object ID und Class ID, Apple Pass-Typ-Identifikatoren, Authentifizierungstoken des Passes, Push-Token, Geräte-ID, Gerätefingerabdrücke, Installations-, Entfernungs- oder Speicherungstatus des Passes, Callback-Ereignisdaten, Informationen zur letzten Synchronisation und andere zur Ausstellung, Aktualisierung und Wartung digitaler Karten erforderliche Daten verarbeiten.

4.7. Gerätedaten und technische Eigenschaften. Je nach Szenario können IP-Adresse, User-Agent, Browsername und -version, Betriebssystem, Lokalisierung, Zeitstempel, technische Identifikatoren, Anforderungsprotokolle, Device Fingerprint, Device Label und andere technische Signale, die sich auf Sicherheit, Fehlersuche, Bereitstellung von Pass-Inhalten, Push-Benachrichtigungen und Integrationstests beziehen, verarbeitet werden.

4.8. Zahlungs- und Abrechnungsdaten. Wir können Informationen zum Tarif, zur Währung, zu Beträgen, Rechnungs- und Zahlungsdaten, Transaktionsidentifikatoren, Zahlungs-Sitzungs-IDs, Merchant Payment IDs, Gateway-Transaktions-IDs, tokenisierte Zahlungsmethoden, maskierte Kartendaten, Status von Abbuchungen, Rückerstattungen und Fehlern sowie damit zusammenhängende steuerliche und Abrechnungsdaten verarbeiten.

4.9. Daten zu rechtlichen Einwilligungen und Annahmen. Wir können Informationen über den Dokumenttyp, die Version, die Sprache, die Annahmezeit, die IP-Adresse, den User-Agent und technische Parameter speichern, die erforderlich sind, um die Tatsache und den Kontext der Annahme von Konditionen, Richtlinien, Einwilligungen zu wiederkehrenden Zahlungen und anderen rechtlich relevanten Handlungen zu bestätigen.

4.10. Kommunikations- und Unterstützungsdaten. Bei der Korrespondenz und Unterstützung können Inhalt von Anfragen, Korrespondenzhistorie, Anhänge, Service-Notizen, Informationen zur Zustellung von E-Mails und Benachrichtigungen sowie Informationen, die zur Lösung eines Problems, zur Überprüfung der Befugnisse und zur Kundenbetreuung erforderlich sind, verarbeitet werden.

4.11. Daten zu Quittungs-, Kassen- und Handelsszenarien. Wenn der Kunde die entsprechende Funktionalität nutzt, können der QR-URL des Kassenbons, rohe und normalisierte Kassendaten, Verkäuferparameter, Verkaufsstellen, Verkaufsdatum und -zeit, Gesamtsummen, Warengruppen, Deduplizierungsstatus, Verkäufergültigkeit, und Bonusergebnisse sowie zugehörige technische Metadaten verarbeitet werden.

5. Welche Daten ohne separate schriftliche Grundlage nicht in den Dienst hochgeladen werden dürfen

• vollständige Zahlungsdaten, CVV/CVC-Codes, vollständige Bankkonten und andere Authentifizierungs-Zahlungsdaten;
• staatliche Identifikatoren, Passdaten, Sozialversicherungsnummern und andere sensible staatliche Identifikatoren, sofern sie nicht für einen rechtmäßigen und speziell vereinbarten Zweck erforderlich sind;
• medizinische Daten, Gesundheitszustandsdaten, versicherungstechnische Gesundheitsdaten;
• biometrische Identifikatoren und Daten zur einzigartigen biometrischen Identifikation;
• Daten über Minderjährige in einem Umfang, der über eine eindeutig rechtmäßige und ordnungsgemäß dokumentierte Verarbeitung hinausgeht;
• spezielle Kategorien personenbezogener Daten im Sinne der GDPR und ähnlicher Gesetze;
• Passwörter, Geheimnisse, Tokens oder Anmeldedaten von Drittsystemen, es sei denn, dies ist objektiv erforderlich, um die Integration selbst vom Kunden anzubinden und wird innerhalb eines sicheren Bereichs verarbeitet;
• andere Daten, die ein unverhältnismäßiges regulatorisches, plattformbedingtes, vertragliches oder reputationsschädigendes Risiko für VMTech, Apple, Google, Zahlungsanbieter oder den Kunden selbst darstellen.

6. Datenquellen

Wir können Daten direkt vom Benutzer, vom Firmenkunden, automatisch bei der Nutzung der Website, des Portals, des API, des Wallet-Flow, der Abrechnung und der Integrationen sowie von externen Anbietern, darunter Zahlungs-Gateways, E-Mail- und SMS-Anbieter, Anti-Bot-Systeme, Apple, Google, Webhook-Quellen und steuerliche oder Handelsintegrationen erhalten.

7. Verarbeitungszwecke und Rechtsgrundlagen

Personenbezogene Daten können verarbeitet werden, um Konten zu erstellen und zu betreuen, Verträge zu erfüllen, Kunden zu registrieren, E-Mail- und Telefonbestätigungen durchzuführen, digitale Karten auszustellen und bereitzustellen, Service-Mitteilungen zu versenden, Zahlungen zu verarbeiten, Sicherheit zu gewährleisten, Audits und Protokolle zu führen, Unterstützung zu leisten, Verpflichtungen gegenüber Regierungsbehörden zu erfüllen, Lokalisierung und Übersetzung von Schnittstellen sicherzustellen sowie Kompatibilität mit Apple Wallet, Google Wallet und anderen externen Plattformen zu gewährleisten.

Die Rechtsgrundlagen der Verarbeitung sind, je nach Szenario, die Erfüllung eines Vertrags oder Handlungen vor Abschluss eines Vertrags; die Erfüllung einer gesetzlichen Verpflichtung; ein berechtigtes Interesse von VMTech, des Kunden oder eines Dritten, sofern dieses Interesse nicht durch die Rechte und Freiheiten der betroffenen Person überwogen wird; die Einwilligung der betroffenen Person in Fällen, in denen dies gesetzlich erforderlich ist.

8. Wie wir externe Anbieter nutzen und wohin wir Daten weitergeben können

Wir verkaufen keine personenbezogenen Daten. Im Rahmen des Betriebs der Plattform können Daten jedoch in dem erforderlichen Umfang an Firmenkunden und deren autorisierte Benutzer, E-Mail-Provider, SMS-Anbieter, Anti-Bot- und Sicherheitsanbieter, Zahlungs- und Abrechnungsanbieter, elektronische Rechnungs- und Steuerberichterstattungssysteme, Apple, Google, Infrastruktur- und Integrationsanbieter, Anbieter von KI-Übersetzungen und Textverarbeitungen sowie an Anwälte, Wirtschaftsprüfer, Regierungsbehörden und Gerichte weitergegeben werden, wenn dies aus rechtlichen Gründen oder zum Schutz der Rechte und Interessen von VMTech erforderlich ist.

9. Apple Wallet, Google Wallet und verbundene Drittanbieterplattformen

SmartKartica integriert sich mit Apple Wallet und Google Wallet, um digitale Karten auszustellen, zu aktualisieren, anzuzeigen und bereitzustellen. Diese Plattformen werden nicht von VMTech kontrolliert und agieren nach ihren eigenen Regeln, Datenschutzrichtlinien, technischen Anforderungen und Markenrichtlinien.

Wenn ein Endbenutzer oder Kunde einen Pass in Apple Wallet oder Google Wallet verwendet, kann ein bestimmter Umfang an Daten und technischen Identifikatoren von der entsprechenden Plattform als eigenständigen Verantwortlichen innerhalb ihres Ökosystems verarbeitet werden. Wir kontrollieren die nachfolgende Verarbeitung durch Apple oder Google außerhalb unseres Dienstes nicht.

SmartKartica-Kunden müssen selbst sicherstellen, dass der Inhalt ihrer Pass-Objekte, Treueprogramme, Angebote, Benachrichtigungen, verbundene Websites, Bilder, Namen, Beschreibungen, Use Cases und andere Materialien den Anforderungen von Apple, Google und anderen anwendbaren Plattformen entsprechen. Wir behalten uns das Recht vor, Inhalte, die nach unserem vernünftigen Ermessen gegen solche Anforderungen verstoßen, ein Plattformrisiko darstellen oder ein Gesetzesverstoß sein könnten, zu beschränken, auszusetzen, zu löschen oder deren Service-Unterstützung zu verweigern.

10. Internationale Datenübertragungen

Daten können in Serbien und anderen Jurisdiktionen verarbeitet werden, in denen sich unsere Anbieter, Partner, Infrastruktur und Integrationen befinden. Soweit und in dem Umfang, in dem auf die Übertragung Anforderungen gemäß der GDPR oder ähnlichen Regelungen anwendbar sind, nutzen wir rechtlich erforderliche und angemessene Schutzmechanismen, einschließlich vertraglicher und organisatorischer Garantien, Zugangsbeschränkungen, Minimierung des übermittelten Umfangs und anderer gesetzlicher Mechanismen.

11. Speicherdauer der Daten

Wir bewahren Daten nicht länger auf als es erforderlich ist, um den rechtmäßigen Zweck der Verarbeitung zu erreichen, den Vertrag zu erfüllen, zwingendes Recht zu befolgen, Rechte und Interessen der Parteien zu schützen, Streitigkeiten beizulegen, Sicherheit zu gewährleisten und Beweise zu sichern. Zahlungs-, buchhalterische, steuerliche, fiskalische und mit wiederkehrenden Zahlungen verbundene Daten werden mindestens für die gesetzlich, steuer- und buchhaltungsrechtlich erforderlichen Zeiträume sowie für die von Zahlungsanbietern vorgeschriebenen Regelungen gespeichert.

12. Anonyme und aggregierte Daten

Insoweit gesetzlich erlaubt, können wir anonymisierte, aggregierte oder statistische Daten, die keine direkte oder indirekte Identifizierung einer bestimmten Person mehr zulassen, zur Analyse der Plattformnutzung, zur Erhöhung der Zuverlässigkeit, zur Kapazitätsplanung, zur Produktanalyse und zur Verbesserung des Dienstes verwenden.

13. Automatisierte Prozesse und Entscheidungen

Die Plattform nutzt automatisierte Prozesse, die für den technischen Betrieb erforderlich sind: Kontaktverifizierung, Deduplikation, Betrugskontrollen, Benachrichtigungsrouting, Ausstellung und Aktualisierung von Pass-Objekten, Push-Synchronisation, Statusüberprüfung, Abrechnungs- und wiederkehrende Zahlungsflüsse, Webhook-Verarbeitung, Bonusermittlung und andere in die Logik des Dienstes integrierte Operationen. Wenn spezielle automatisierte Logiken vom Kunden selbst bestimmt werden, trägt der entsprechende Kunde als Verantwortlicher die Verantwortung für die Rechtmäßigkeit dieser Geschäftslogik.

14. Rechte der betroffenen Personen

Je nach anwendbarem Recht kann die betroffene Person das Recht auf Zugang zu den Daten, Berichtigung unrichtiger Daten, Löschung, Einschränkung der Verarbeitung, Datenportabilität, Widerruf der Zustimmung, Widerspruch gegen die Verarbeitung sowie das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde haben. Bei Verarbeitungen, die dem Recht Serbiens unterliegen, kann sich die betroffene Person an den Beauftragten für Informationen von öffentlichem Interesse und den Schutz personenbezogener Daten wenden: https://www.poverenik.rs/.

15. Sicherheit personenbezogener Daten

Wir wenden angemessene technische und organisatorische Sicherheitsmaßnahmen an, die den Charakter des Dienstes und die Risiken der Verarbeitung berücksichtigen. Solche Maßnahmen können rollenbasiertes Zugriffsmanagement, Passwort- und Token-Hashing, sichere Übertragungskanäle, Protokollierung, Integritätskontrollen, Anforderungslimits, Anti-Missbrauchsmechanismen, Datenaufteilung pro Unternehmen, Backup, Monitoring und andere Maßnahmen umfassen.

16. Kinder und Minderjährige

Der Dienst ist nicht für die eigenständige Nutzung durch Kinder ohne geeignete rechtliche Grundlage und Kontrolle durch den entsprechenden Datenschutzverantwortlichen bestimmt. Firmenkunden sollten die Plattform nicht für die unrechtmäßige oder unangemessene Verarbeitung von Daten von Kindern und Minderjährigen verwenden.

17. Cookies und ähnliche Technologien

SmartKartica verwendet Cookies, serverseitige Sitzungsmechanismen, lokale Speicherung von Einstellungen und ähnliche Technologien, um die Funktion der Website zu gewährleisten, die Sprache auszuwählen, Benutzervorlieben zu speichern, Sitzungen zu schützen, CSRF/Anti-Missbrauchsfunktionen durchzuführen und für andere rechtmäßige technische Zwecke. Details finden sich in der separaten Cookie-Richtlinie.

18. Änderung der Richtlinie

Wir behalten uns das Recht vor, diese Richtlinie von Zeit zu Zeit zu aktualisieren, wenn dies aufgrund von Änderungen in der Architektur des Dienstes, des Rechtsrahmens, der Anbietern, der Regeln von Apple oder Google, der Zahlungsumgebungen, der Plattformfunktionalitäten, der Sicherheitspraktiken oder aus anderen vernünftigen Gründen erforderlich ist.

19. Schlussbestimmungen

Diese Richtlinie ist im Hinblick auf die tatsächliche Architektur von SmartKartica, unsere vertraglichen Dokumente, die technischen Möglichkeiten der Plattform, das anwendbare Recht und die Rollen der Parteien in der jeweiligen Verarbeitung auszulegen. Bei Fragen zum Datenschutz und zur Ausübung von Rechten betroffener Personen kontaktieren Sie uns bitte unter support@smartkartica.rs.