DIGIROBE GmbH
Delmestraße 69, 28199 Bremen
Vertreten durch: Valerian Richert, Daniel Rüggebrecht
Telefon: +49 1512 873 65 15
E-Mail: info@digirobe.com

DigiRobe ist ein digitales Garderoben-Verwaltungssystem. Wir verarbeiten personenbezogene Daten ausschließlich zur Bereitstellung unserer Dienstleistungen. Folgende Kategorien von Betroffenen und Daten sind betroffen:

• Gäste: Name, E-Mail-Adresse, Passwort (gehashed), QR-Token, Check-in-Verlauf
• Betreiber (Operator): Name, E-Mail-Adresse, Passwort (gehashed), Standortdaten
• Mitarbeiter: Name, E-Mail-Adresse, Passwort (gehashed), Standort-Zuweisung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Registrierung, Check-in-Service)
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (Sicherheit, Missbrauchsschutz, Betrieb)
• Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Steuer- und Handelsrecht)
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (E-Mail-Bestätigung)

Bei der Registrierung erheben wir Name, E-Mail-Adresse und Passwort. Das Passwort wird mit bcrypt (Kostenfaktor 12) gehasht gespeichert – eine Entschlüsselung ist technisch nicht möglich.

Zusätzlich wird ein eindeutiger QR-Token (UUID) generiert, der zur anonymen Identifikation bei der Garderobe dient. Dieser Token enthält keine direkt personenbezogenen Informationen.

Altersangabe: Im Rahmen der Registrierung werden Gäste gebeten, eine freiwillige Selbstauskunft zu ihrem Alter zu machen (18 Jahre oder älter / unter 18 Jahren). Diese Angabe wird gespeichert und ausschließlich dazu verwendet, altersbeschränkte Inhalte — insbesondere Angebote mit alkoholischen Getränken sowie altersgerecht ausgespielte Werbeanzeigen — zu filtern. Eine Weitergabe an Dritte findet nicht statt. Die Altersangabe stellt eine Selbstauskunft des Nutzers dar; eine technische Überprüfung findet nicht statt.

Bei jedem Garderoben-Vorgang speichern wir:

• Hängernummer, Standort, Event (sofern zugewiesen)
• Zeitstempel für Ein- und Ausgabe
• Zahlungsmethode und Betrag (ohne Zahlungsdaten)
• Verknüpfung mit Gäste-Account

Registrierte Gäste können über die Funktion „DigiRobe Premium" Angebote von Partner-Locations in ihrer Stadt abrufen. Dazu geben sie manuell eine Stadtbezeichnung ein.

Diese Angabe wird ausschließlich zur einmaligen Datenbankabfrage verwendet und nicht gespeichert, nicht protokolliert und nicht mit dem Nutzerkonto verknüpft. Es findet keine automatische Standortermittlung (GPS, IP-Geolocation o. Ä.) statt.

In der Gäste-App werden Werbeanzeigen ausgespielt. Auf Basis der bei der Registrierung freiwillig gemachten Altersangabe (18+ oder unter 18) werden unterschiedliche Anzeigen angezeigt — z. B. altersbeschränkte Werbung (wie Alkohol- oder Clubwerbung) ausschließlich für volljährige Gäste, und altersgerechte Werbung (z. B. Kino, Freizeitangebote) für unter 18-Jährige.

Es findet kein Tracking, kein Profiling und keine Weitergabe von Nutzerdaten an Werbetreibende statt. Die Steuerung erfolgt ausschließlich anhand der gespeicherten Altersangabe.

Für den Versand von Bestätigungs-E-Mails nutzen wir den Dienst Resend (Resend Inc., San Francisco, CA, USA). Resend agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Es besteht ein Data Processing Agreement (DPA). Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Es werden transaktionale E-Mails versandt (Registrierungsbestätigung, Passwort-Reset) sowie – bei ausdrücklicher Einwilligung – ein wöchentlicher Newsletter über kommende Events in der Nähe. Die Einwilligung zum Newsletter kann jederzeit im Gäste-Account widerrufen werden.

Zu Sicherheits- und Nachvollziehbarkeitszwecken protokollieren wir sicherheitsrelevante Ereignisse (Login, Registrierung, Check-in/out) in einem Audit-Log. Gespeichert werden Aktion, betroffene ID, Zeitstempel und IP-Adresse.

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Nutzerkonten: Bis zur Löschung durch den Nutzer oder auf Anfrage
• Check-in-Verlauf: 24 Monate nach dem letzten Vorgang
• Audit-Logs: 90 Tage
• Steuerrelevante Daten: 10 Jahre (§ 257 HGB, § 147 AO)

Sie haben gemäß DSGVO folgende Rechte gegenüber uns:

• Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden"
• Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten als JSON-Datei direkt im Gäste-Account unter „Meine Daten herunterladen"
• Widerspruch (Art. 21 DSGVO) – Gegen Verarbeitungen auf Basis von Art. 6 lit. f
• Widerruf – Jederzeit für Einwilligungen (Art. 6 lit. a)

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@digirobe.com

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:

Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen — einschließlich Profiling — die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO).

Alle Verbindungen zu unseren Diensten sind TLS-verschlüsselt (HTTPS). Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Zugriffskontrollen und Rate-Limiting schützen vor Missbrauch. Authentifizierung erfolgt über JWT-Token mit begrenzter Gültigkeitsdauer.

DigiRobe verwendet keine Tracking-Cookies, kein Google Analytics, kein Facebook Pixel und keine sonstigen Analyse- oder Werbedienste, die eine Verfolgung über Seitengrenzen hinaus ermöglichen.

Authentifizierungstoken werden im localStorage des Browsers gespeichert, nicht als Cookie.

Zur Verbesserung unseres Dienstes und zur internen Auswertung der Plattformnutzung erfassen wir anonymisierte Nutzungsereignisse. Dabei wird ausschließlich gezählt, wie oft bestimmte Funktionen genutzt werden (z. B. Öffnen des Premium-Bereichs, Angebotssuchen). Es werden keine personenbezogenen Daten wie Name, E-Mail-Adresse oder IP-Adresse gespeichert.

Die erhobenen Daten sind nicht auf einzelne Personen zurückführbar und werden ausschließlich in aggregierter Form intern sowie gegenüber Werbepartnern verwendet.

Unsere Website und API werden auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Hetzner agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Es besteht ein Auftragsverarbeitungsvertrag (AVV). Die Server befinden sich ausschließlich in Deutschland (Rechenzentrum Nürnberg).

Bei jedem Aufruf unserer Website werden durch den Hosting-Anbieter automatisch Informationen in sogenannten Server-Log-Dateien gespeichert (IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Browsertyp). Diese Daten sind nicht anderen Datenquellen zuordenbar und werden nicht mit anderen Daten zusammengeführt.

DigiRobe betreibt eine Unternehmensseite auf Instagram (@digi_robe), einem Dienst der Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland.

Beim Besuch unserer Instagram-Seite werden durch Meta personenbezogene Daten verarbeitet. Wir haben als Seitenbetreiber keinen vollständigen Einblick in die Datenverarbeitung durch Meta. Gemäß Art. 26 DSGVO bestehen zwischen uns und Meta Platforms Ireland Ltd. eine gemeinsame Verantwortlichkeit für die Verarbeitung von sogenannten „Insights"-Daten (statistische Nutzungsdaten unserer Seite).

Meta stellt uns dabei ausschließlich anonymisierte, aggregierte Statistiken zur Verfügung (z. B. Reichweite, Impressionen, Demografie der Follower). Wir haben keinen Zugriff auf die zugrunde liegenden personenbezogenen Daten einzelner Nutzer.

Grundlage für die gemeinsame Verantwortlichkeit ist das „Page Controller Addendum" von Meta:
facebook.com/legal/terms/page_controller_addendum

Weitere Informationen zur Datenverarbeitung durch Meta entnehmen Sie der Datenschutzrichtlinie von Meta:
facebook.com/privacy/policy

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen oder unser Dienst ändern. Die aktuelle Version ist stets unter digirobe.com/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

DIGIROBE GmbH
Delmestraße 69, 28199 Bremen
Represented by: Valerian Richert, Daniel Rüggebrecht
Phone: +49 1512 873 65 15
Email: info@digirobe.com

DigiRobe is a digital cloakroom management system. We process personal data exclusively to provide our services. The following categories of data subjects and data are affected:

• Guests: Name, email address, password (hashed), QR token, check-in history
• Operators: Name, email address, password (hashed), location data
• Staff: Name, email address, password (hashed), location assignment

We process personal data on the following legal bases:

• Art. 6(1)(b) GDPR – Contract performance (registration, check-in service)
• Art. 6(1)(f) GDPR – Legitimate interests (security, fraud prevention, operations)
• Art. 6(1)(c) GDPR – Legal obligation (tax and commercial law)
• Art. 6(1)(a) GDPR – Consent (email confirmation)

Upon registration, we collect name, email address, and password. The password is stored as a bcrypt hash (cost factor 12) – decryption is technically not possible.

Additionally, a unique QR token (UUID) is generated, which serves for anonymous identification at the cloakroom. This token does not contain directly personal information.

Age declaration: During registration, guests are asked to provide a voluntary self-declaration of their age (18 years or older / under 18 years). This information is stored and used exclusively to filter age-restricted content — in particular offers containing alcoholic beverages and age-appropriate advertisements. It is not shared with third parties. The age declaration is a self-disclosure by the user; no technical verification takes place.

For each cloakroom transaction, we store:

• Hanger number, location, event (if assigned)
• Timestamps for check-in and check-out
• Payment method and amount (without payment data)
• Link to guest account

Registered guests can use the "DigiRobe Premium" feature to browse offers from partner locations in their city. To do so, they manually enter a city name.

This input is used exclusively for a one-time database query and is not stored, not logged, and not linked to the user account. No automatic location detection (GPS, IP geolocation, etc.) takes place.

The guest app displays advertisements. Based on the voluntary age declaration provided during registration (18+ or under 18), different advertisements are shown — for example, age-restricted ads (such as alcohol or club promotions) exclusively to adult guests, and age-appropriate content (e.g. cinema, leisure) to guests under 18.

There is no tracking, no profiling, and no sharing of user data with advertisers. The selection is based solely on the stored age declaration.

For sending confirmation emails, we use the service Resend (Resend Inc., San Francisco, CA, USA). Resend acts as a data processor pursuant to Art. 28 GDPR. A Data Processing Agreement (DPA) is in place. Transfer to the USA is based on standard contractual clauses (Art. 46(2)(c) GDPR).

Transactional emails are sent (registration confirmation, password reset) as well as — with express consent — a weekly newsletter about upcoming events nearby. Consent to the newsletter can be revoked at any time in the guest account.

For security and traceability purposes, we log security-relevant events (login, registration, check-in/out) in an audit log. Action, affected ID, timestamp, and IP address are stored.

Personal data is only stored for as long as necessary for the respective purpose or as required by statutory retention obligations:

• User accounts: Until deletion by the user or upon request
• Check-in history: 24 months after the last transaction
• Audit logs: 90 days
• Tax-relevant data: 10 years (§ 257 HGB, § 147 AO)

Under the GDPR, you have the following rights against us:

• Access (Art. 15 GDPR) – What data we hold about you
• Rectification (Art. 16 GDPR) – Correction of inaccurate data
• Erasure (Art. 17 GDPR) – "Right to be forgotten"
• Restriction (Art. 18 GDPR) – Restriction of processing
• Data portability (Art. 20 GDPR) – Export your data as a JSON file directly in the guest account under "Download my data"
• Objection (Art. 21 GDPR) – Against processing based on Art. 6(f)
• Withdrawal – At any time for consents (Art. 6(a))

To exercise your rights, contact us at: info@digirobe.com

You also have the right to lodge a complaint with the competent supervisory authority:

We do not make decisions based solely on automated processing — including profiling — that have legal effects on you or similarly significantly affect you (Art. 22 GDPR).

All connections to our services are TLS-encrypted (HTTPS). Passwords are stored exclusively as bcrypt hashes. Access controls and rate limiting protect against abuse. Authentication is via JWT tokens with a limited validity period.

DigiRobe does not use tracking cookies, Google Analytics, Facebook Pixel, or any other analysis or advertising services that enable cross-site tracking.

Authentication tokens are stored in the browser's localStorage, not as cookies.

To improve our service and for internal platform analysis, we collect anonymised usage events. We only count how often certain features are used (e.g. opening the Premium section, offer searches). No personal data such as name, email address or IP address is stored.

The data collected cannot be traced back to individual persons and is used exclusively in aggregated form internally and with advertising partners.

Our website and API are hosted on servers of Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany. Hetzner acts as a data processor pursuant to Art. 28 GDPR. A Data Processing Agreement (DPA) is in place. The servers are located exclusively in Germany (Nuremberg data centre).

Each time our website is accessed, the hosting provider automatically stores information in so-called server log files (IP address, date/time, accessed page, browser type). This data cannot be assigned to other data sources and is not merged with other data.

DigiRobe operates a business page on Instagram (@digi_robe), a service of Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Ireland.

When you visit our Instagram page, Meta processes personal data. As page operators, we do not have full visibility into Meta's data processing. Pursuant to Art. 26 GDPR, DigiRobe GmbH and Meta Platforms Ireland Ltd. share joint controllership over the processing of so-called "Insights" data (statistical usage data relating to our page).

Meta provides us exclusively with anonymised, aggregated statistics (e.g. reach, impressions, follower demographics). We do not have access to the underlying personal data of individual users.

The basis for joint controllership is Meta's Page Controller Addendum:
facebook.com/legal/terms/page_controller_addendum

For further information on data processing by Meta, please refer to Meta's privacy policy:
facebook.com/privacy/policy

We reserve the right to adapt this privacy policy when legal requirements or our service change. The current version is always available at digirobe.com/datenschutz. For material changes, we will notify registered users by email.