Ratgeber

Digitale Kundenkarte & DSGVO: Was du wissen musst (inkl. Checkliste)

DSGVO-konforme Kundenkarten: was du an Auftragsverarbeitung, Einwilligung, Export und Löschung erfüllen musst. Mit 10-Punkt-Checkliste.

25. März 202610 Min. LesezeitVon Treuli Redaktion

In Kürze

  • Eine digitale Kundenkarte verarbeitet personenbezogene Daten. Die DSGVO greift immer.
  • Du brauchst: Rechtsgrundlage (Einwilligung oder Vertrag), AVV, Datenschutzerklärung, Lösch-Prozess.
  • US-Anbieter sind seit Schrems-II problematisch. Hosting in der EU/DE ist der sichere Pfad.
  • Pflicht-Rechte für Kunden: Auskunft, Berichtigung, Löschung, Datenportabilität.
  • Abmahnrisiko ist real: fehlende Einwilligungen für Marketing-Kommunikation und fehlende AVV sind typische Angriffspunkte.

Kundendaten sind wertvoll und gleichzeitig juristischer Sprengstoff. Wer 2026 eine digitale Kundenkarte betreibt, verarbeitet personenbezogene Daten und fällt damit voll unter die DSGVO. Die gute Nachricht: für Kleinbetriebe ist das machbar, wenn du es einmal sauber aufsetzt. Dieser Leitfaden zeigt, wo die Stolperfallen liegen, wer haftet und wie du mit einer 10-Punkt-Checkliste auf der sicheren Seite landest.

Welche Daten erfasst eine digitale Kundenkarte?

Eine typische Loyalty-Lösung speichert: Name (optional), E-Mail, Geburtsdatum (optional, für den Birthday-Bonus), Punktestand, Transaktionshistorie, Filiale des Scans, Gerätedaten (Browser, IP). Jede dieser Informationen kann im Sinne der DSGVO personenbezogen sein, auch wenn du die E-Mail nicht mit einem Klarnamen verknüpfst.

Heißt: Du brauchst für jede Datenkategorie eine Rechtsgrundlage, einen Verarbeitungszweck und einen Speicher-Zeitraum. Klingt nach Bürokratie, ist bei seriösen Anbietern aber schon fertig eingerichtet.

Die zwei Rechtsgrundlagen, die du kennen musst

Einwilligung (Art. 6 Abs. 1 lit. a)

Nötig für Marketing-Kommunikation (Push, E-Mail), Weitergabe an Dritte und Profilbildung. Anforderungen: freiwillig, informiert, aktiv gesetzt (kein vorgeklicktes Häkchen), jederzeit widerrufbar. Die Einwilligung musst du dokumentieren mit Zeitstempel, IP und Wortlaut.

Vertragserfüllung (Art. 6 Abs. 1 lit. b)

Nötig für die reine Punkte-Verwaltung, das Einlösen von Prämien und die Kommunikation zur Transaktion. Dafür reicht die Registrierung fürs Programm, keine separate Einwilligung. Wichtig: der Zweck muss eng gefasst sein.

Merksatz: Alles, was der Kunde braucht, damit Punkte funktionieren = Vertrag. Alles, was du zusätzlich senden willst = Einwilligung.

Der Auftragsverarbeitungsvertrag (AVV): nicht optional

Wenn du einen externen Anbieter nutzt (Treuli, Stempely, Stamsy etc.), ist dieser Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Du brauchst mit ihm einen schriftlichen AVV, der regelt:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Pflichten des Anbieters (TOMs, Mitarbeiter-Verschwiegenheit)
  • Sub-Unternehmer (z.B. Hosting-Provider)
  • Löschpflichten nach Vertragsende
  • Audit-Rechte und Meldepflichten bei Verstößen

Treuli stellt den AVV automatisch im Admin bereit: einmal herunterladen, unterschreiben, archivieren. Wenn ein Anbieter dafür Geld verlangt oder erst einen Sales-Call ansetzt, ist das ein Warnsignal.

Hosting-Land: warum Deutschland ein Kaufargument ist

Nach dem Schrems-II-Urteil (2020) ist der Datenexport in die USA rechtlich heikel. Das 2023 beschlossene EU-US Data Privacy Framework mildert das, wird aber vor Gericht vermutlich nochmal gekippt. Aufsichtsbehörden wie die LDI NRW oder das BayLDA bewerten US-Hosting skeptisch.

Alternativen in absteigender Rechtssicherheit:

HostingRechtssicherheitBeispiel-Anbieter
🇩🇪 Deutschland★★★★★ maximalTreuli (Deutschland), Stemp.app
🇪🇺 EU (andere Länder)★★★★ sehr gutStamsy
🇬🇧 UK★★★ gut (Angemessenheit)einzelne Loyalty-Tools
🇺🇸 USA★★ umstrittenLoyaltyLion, Smile.io
Sonstige Drittländer★ problematischvermeiden

Rechte deiner Kunden: was du umsetzen musst

Auskunftsrecht (Art. 15)

Kunde fragt: „Welche Daten habt ihr über mich?" Du antwortest binnen 30 Tagen mit einer strukturierten Übersicht. Bei Treuli ist das ein Klick im Kunden-Dashboard, manuelle Arbeit fällt für dich nicht an.

Berichtigungsrecht (Art. 16)

Kunde korrigiert Namen, E-Mail, Geburtsdatum. Self-Service im Kundenprofil ist Standard.

Löschrecht (Art. 17)

Kunde verlangt Kontolöschung. Profil binnen 30 Tagen löschen; handelsrechtlich relevante Umsatzdaten bleiben anonymisiert 10 Jahre liegen.

Datenportabilität (Art. 20)

Kunde verlangt einen strukturierten Export (JSON oder CSV) zum Anbieterwechsel. Bei Treuli ist das eingebaut.

Widerspruchsrecht (Art. 21)

Kunde widerspricht Marketing-Kommunikation, Opt-out muss sofort greifen.

10-Punkt-Checkliste

Arbeite diese Liste vor dem Programm-Launch einmal durch. Jeder Punkt schützt dich vor einer typischen Abmahnung oder Bußgeld-Situation.

  1. AVV unterzeichnet und archiviert (digital reicht, DocuSign/Adobe Sign etc.).
  2. Datenschutzerklärung aktualisiert: Loyalty-Anbieter explizit genannt, Zweck, Rechtsgrundlage, Speicherdauer.
  3. Einwilligung bei der Registrierung dokumentiert (Zeitstempel, IP, Wortlaut), separate Checkboxen für Programmteilnahme und Marketing.
  4. Hosting-Land geprüft: EU-Standard erfüllt, idealerweise Deutschland.
  5. Sub-Unternehmerliste des Anbieters gelesen (z.B. Hosting- Provider, E-Mail-Versender).
  6. Lösch-Prozess getestet: Muster-Kunde anlegen, Löschung auslösen, Ergebnis in DB prüfen.
  7. Export-Funktion getestet: CSV oder JSON, enthält alle personenbezogenen Felder.
  8. Aufbewahrungsfristen definiert: aktiv unbegrenzt, inaktiv 24 Monate, dann anonymisieren.
  9. Incident-Response-Plan: Wer meldet wen innerhalb 72 Stunden bei einem Datenleck.
  10. DSB-Check: Brauche ich einen Datenschutzbeauftragten? (Meist nein bei Einzelbetrieben, aber bewusst prüfen.)

Typische Abmahngründe und wie du sie vermeidest

Fehlende Einwilligung für Push-Nachrichten

Klassiker. Kunde registriert sich, bekommt direkt Push-Werbung ohne Opt-in. Lösung: beim ersten App-Öffnen zwei getrennte Dialoge. „Push für Punkteupdates" und „Push für Werbeaktionen".

Cookie-Banner ohne Opt-out

Wenn deine Loyalty-Seite Tracking-Cookies nutzt, brauchst du einen Banner mit klarem „Ablehnen", nicht nur „Mehr Infos". Bei Treuli ist das Tracking reduziert auf funktional und anonyme Analytics mit Opt-out-Möglichkeit.

Kundendaten an Dritte ohne Grundlage

E-Mail-Liste an ein befreundetes Café weitergeben? Ohne Einwilligung ist die Abmahnung garantiert. Datenaustausch zwischen Standorten desselben Unternehmens ist ok, zwischen unterschiedlichen Rechtspersonen nicht.

Was du beim Anbieter-Wechsel beachten musst

Wenn du von einem Anbieter zum nächsten wechselst:

  • Export anfordern (JSON/CSV mit vollständiger Kundenliste).
  • Alten AVV kündigen, Löschbestätigung einholen (schriftlich!).
  • Neuen AVV unterzeichnen bevor du Daten hochlädst.
  • Kunden per Newsletter informieren („Wir wechseln den Anbieter, deine Punkte sind übertragen").
  • Alten Account erst nach bestätigter Migration schließen.

Fazit

DSGVO ist kein Grund, auf ein Treueprogramm zu verzichten. Sie ist ein Grund, es sauber aufzusetzen. Mit einem Anbieter, der AVV, deutsches Hosting und Export standardmäßig liefert, ist der größte Teil der Arbeit erledigt. Den Rest machst du mit der Checkliste oben an einem Nachmittag. Treuli liefert alle DSGVO-Bausteine in jedem Tarif,inklusive kostenlosem Free-Plan: Hosting in Deutschland, AVV auf Knopfdruck, vollständiger Export, automatische Löschung. Einmal richtig eingerichtet, hast du für die nächsten Jahre Ruhe.

Datenschutz ist kein Häkchen, das du setzt, sondern die Grundlage für Vertrauen. Ein Kunde, der seinem Lieblings-Café die E-Mail gibt, will wissen, dass sie gut aufgehoben ist. Das richtige Setup ist der günstigste Weg, dieses Vertrauen nicht zu verspielen.
FAQ

Häufige Fragen

Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Loyalty-Anbieter?
Ja, zwingend. Der AVV ist in Artikel 28 DSGVO vorgeschrieben. Ohne AVV verarbeitet dein Anbieter Kundendaten ohne Rechtsgrundlage. Das kann mit bis zu 20 Mio. € Bußgeld sanktioniert werden. Treuli stellt den AVV automatisch im Tenant-Dashboard zum Abschluss bereit (digitale Signatur, versionsgeführt und jederzeit abrufbar).
Muss mein Kunde aktiv zustimmen, oder reicht die AGB-Unterzeichnung?
Für Marketing-Kommunikation (Push, E-Mail) brauchst du ein separates Opt-in. AGBs reichen nicht. Für die reine Punkte-Verwaltung reicht der Vertrag (Art. 6 Abs. 1 lit. b DSGVO). Daher trennt Treuli diese beiden Zwecke sauber: Registrierung = Vertrag, Push-Nachrichten = separate Einwilligung.
Darf ich Kundendaten in den USA speichern?
Seit dem Schrems-II-Urteil 2020 und dem Wegfall des Privacy Shield ist das rechtlich heikel. Das EU-US Data Privacy Framework (2023) verbessert die Lage, hält aber einer Klage nicht zwingend stand. Für risikoaverse Betriebe gilt: Hosting in der EU oder, idealerweise, in Deutschland (wie Treuli in Deutschland).
Wie lange darf ich Kundendaten speichern?
So lange der Zweck besteht. Aktive Treueprogramm-Teilnahme: unbegrenzt. Bei 24 Monaten Inaktivität solltest du den Account zur Löschung markieren oder den Kunden anschreiben. Bei Treuli nutzt du dafür den CSV-Export plus eine gezielte Kampagne an inaktive Nutzer oder löschst Einzelaccounts direkt im Admin-Bereich.
Was passiert, wenn ein Kunde Löschung verlangt?
Du hast 30 Tage Zeit (Art. 17 DSGVO). Lösch-Schaltfläche im Admin-Dashboard ist Pflicht. Wichtig: bestätigte Transaktionen (Umsatz) dürfen wegen handelsrechtlicher Aufbewahrungspflicht 10 Jahre anonymisiert bleiben. Das Profil wird gelöscht, die Umsatzsumme bleibt in aggregierter Form.
Muss ich einen Datenschutzbeauftragten ernennen?
In Deutschland: ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten. Das trifft Kleinbetriebe selten. Aber: Kerntätigkeit = umfangreiche Datenverarbeitung (z.B. reine Loyalty-Apps) kann DSB-Pflicht auslösen unabhängig von der Mitarbeiterzahl. Bei Unsicherheit: externer DSB ab ~80 €/Monat.
Was passiert bei einem Datenleck?
Meldepflicht an die Aufsichtsbehörde innerhalb 72 Stunden (Art. 33). Bei hohem Risiko: Information an betroffene Personen (Art. 34). Treuli führt Audit-Logs für auth- und kontobezogene Events; im Ernstfall unterstützt der Treuli-Support dich mit den relevanten Daten für die Meldung. Tipp: Cyber-Versicherung (ab ~30 €/Monat) deckt Bußgelder oft mit ab.

Das könnte dich auch interessieren

Ratgeber

Digitale Kundenkarte: Vorteile, Kosten & Anbieter-Vergleich 2026

WeiterlesenRatgeber

Treueprogramm erstellen: Schritt-für-Schritt-Anleitung für lokale Geschäfte

WeiterlesenRatgeber

Digitale Kundenkarte vs. Papierkarte: 7 Gründe für den Umstieg

Weiterlesen
Alle Ratgeber anzeigen