Privacy Policy

As of: April 2026

Buds Rewards, LLC ("Buds Rewards," "we," "us," or "our") operates the website budsrewards.com and the Buds Rewards mobile applications for iOS and Android (collectively, the "Services"). This Privacy Policy explains how we collect, use, share, and protect your personal data when you use our Services.

The protection of your personal data is of particular importance to us. We treat your data confidentially and in accordance with applicable data protection regulations, in particular the General Data Protection Regulation (GDPR), the German Federal Data Protection Act (BDSG), the German Telecommunications and Digital Services Data Protection Act (TDDDG), and applicable U.S. state privacy laws, including the California Consumer Privacy Act as amended by the California Privacy Rights Act (CCPA/CPRA).

1. Controller and Contact Information

Controller:
Buds Rewards, LLC
75 Park Plaza, Boston, MA 02116-3941, USA
Email: support@budsrewards.com
Represented by: Justin Hartfield (Manager / Sole Member)

EU Representative (Art. 27 GDPR):
Richard Clarence Cowan
Pappelallee 78/79, 10437 Berlin, Germany

A Data Protection Officer has not been appointed. For data protection inquiries, please contact support@budsrewards.com.

2. Data We Collect

2.1 Data You Provide to Us

Account and Profile Data: Name, email address, username, password (stored in hashed form), profile picture (optional), and any other information you voluntarily provide when creating or managing your Buds Rewards account.
Partner Linking Data: When you link your Buds Rewards profile with a partner site, we receive a unique identifier or profile reference from that partner to associate your activities with your Buds Rewards account.
Redemption Data: Information about the rewards you redeem, including your selections, delivery address (for physical goods), and any preferences you specify.
Communication Data: Messages you send us via email or in-app support features, including the content of those messages.

2.2 Automatically Collected Data

Device and Technical Data: Device type, operating system and version, app version, browser type, IP address, language settings, and unique device identifiers.
Usage Data: Information about how you interact with our Services, such as pages viewed, features used, timestamps, points balance inquiries, and redemption activities.
Log Data: Server logs containing access times, referring URLs, and error logs. Log data is deleted after 90 days unless longer retention is required for investigating specific incidents.

2.3 Data from Third Parties

Partner Sites: When you complete qualifying actions on partner sites, the partner transmits confirmation of the completed action along with relevant identifiers so that we can credit points to your account.
Authentication Provider: We use Zitadel (hosted in the EU region) as our authentication provider. Zitadel processes authentication-related data (e.g., login credentials, session tokens) on our behalf.

3. Purposes and Legal Bases for Processing

We process your personal data for the following purposes and on the following legal bases:

Purpose	Legal Basis (GDPR)
Providing and operating the Services (account management, points tracking, reward redemption)	Performance of a contract (Art. 6(1)(b) GDPR)
User authentication and account security	Performance of a contract (Art. 6(1)(b) GDPR); Legitimate interest (Art. 6(1)(f) GDPR)
Linking your account with partner sites to credit points	Performance of a contract (Art. 6(1)(b) GDPR)
Sending transactional emails (account confirmations, password resets, redemption confirmations)	Performance of a contract (Art. 6(1)(b) GDPR)
Sending push notifications	Consent (Art. 6(1)(a) GDPR)
Sending marketing newsletters via Klaviyo	Consent (Art. 6(1)(a) GDPR)
Improving our Services, usage analysis, and troubleshooting	Legitimate interest (Art. 6(1)(f) GDPR)
Age verification (minimum age: 18 years)	Legal obligation (Art. 6(1)(c) GDPR)
Fulfilling legal obligations (e.g., tax law, fraud prevention)	Legal obligation (Art. 6(1)(c) GDPR)
Establishing, exercising, or defending legal claims	Legitimate interest (Art. 6(1)(f) GDPR)

Where we rely on a legitimate interest, we have conducted a balancing test and concluded that our interests do not override your rights and freedoms. You may request details of these assessments at any time.

4. Cookies and Tracking Technologies

Our website may use cookies and similar technologies. Technically necessary cookies are set on the basis of our legitimate interest in providing a functional website (Art. 6(1)(f) GDPR; § 25(2) TDDDG). Cookies that are not technically necessary (e.g., analytics, marketing) are only set with your prior consent (Art. 6(1)(a) GDPR; § 25(1) TDDDG).

You can manage your cookie settings at any time through our cookie consent tool. You can also configure your browser to reject cookies; however, this may impair the functionality of our Services.

5. Recipients and Data Sharing

We share personal data only as described below:

Zitadel (Authentication Provider): Processes authentication data on our behalf. Hosted in the EU region. Acts as a data processor based on a Data Processing Agreement (DPA).
Amazon Web Services (AWS): Hosts our application infrastructure and databases in EU data centers. Acts as a data processor based on a DPA and, where applicable, Standard Contractual Clauses (SCCs).
MongoDB Atlas: Provides our database services, hosted in EU data centers. Acts as a data processor based on a DPA.
AWS Simple Email Service (SES): Used for sending transactional emails. AWS SES processes email addresses and message content as a data processor.
Klaviyo: Processes email addresses and interaction data for marketing newsletters. Acts as a data processor based on a DPA. Klaviyo is a U.S.-based company; transfers are safeguarded by the EU-U.S. Data Privacy Framework and/or Standard Contractual Clauses.
Firebase Cloud Messaging (Google): Used for push notifications on Android devices. Google processes device tokens and notification content as a data processor. Google LLC participates in the EU-U.S. Data Privacy Framework. A DPA is in place.
Apple Push Notification Service (APNs): Used for push notifications on iOS devices. Apple processes device tokens and notification content. Apple's privacy terms apply.
Expo: Used as a framework layer for mobile push notification delivery. Expo may process device push tokens. Data processing is governed by Expo's DPA.
Partner Sites: We share only the minimum data necessary for account linking and points crediting (typically a unique user identifier). Partners act as independent controllers for the data they collect on their own platforms.
App Stores (Apple App Store, Google Play): Our mobile applications are distributed through these platforms. Their respective privacy policies apply to the data they collect in connection with downloads and payments.

We do not sell your personal data.

6. International Data Transfers

Our primary data storage is in EU data centers (AWS and MongoDB Atlas). Our authentication provider Zitadel is also hosted in the EU region.

However, some of our service providers are based in or operate servers in the United States (Klaviyo, Firebase/Google, Apple, Expo, AWS SES). Where personal data is transferred to third countries outside the EU/EEA that do not ensure an adequate level of data protection, we rely on the following safeguards:

EU-U.S. Data Privacy Framework (DPF): For providers certified under the DPF.
Standard Contractual Clauses (SCCs): As adopted by the European Commission, supplemented by additional technical and organizational measures where necessary.
Adequacy Decisions: Where the European Commission has determined that a third country provides an adequate level of data protection.

You may request a copy of the applicable safeguards by contacting us at support@budsrewards.com.

7. Retention Period

We retain your personal data only for as long as is necessary for the purposes for which it was collected or as required by law:

Account Data: Retained for the duration of your active account. After account deletion, personal data is deleted or anonymized within 30 days, unless a legal retention obligation applies.
Points and Redemption History: Retained for the duration of your active account, plus any statutory retention periods for commercial records (up to 10 years pursuant to §§ 147 AO, 257 HGB, where applicable).
Marketing Consent Records: Retained for the duration of consent plus 3 years after withdrawal (to demonstrate proof of consent).
Log and Technical Data: Retained for up to 90 days for troubleshooting and security purposes, unless longer retention is required for investigating specific incidents.
Communication Records: Retained for the duration of the business relationship plus any statutory retention periods.

8. Your Rights

8.1 Rights Under the GDPR (for Individuals in the EU/EEA)

If you are located in the EU or EEA, you have the following rights under the GDPR:

Right of Access (Art. 15 GDPR): You have the right to request confirmation as to whether we process your personal data and, if so, to obtain information about that data and a copy thereof.
Right to Rectification (Art. 16 GDPR): You have the right to request the rectification of inaccurate personal data.
Right to Erasure (Art. 17 GDPR): You have the right to request the deletion of your personal data, subject to statutory retention obligations.
Right to Restriction of Processing (Art. 18 GDPR): You have the right to request the restriction of processing under certain conditions.
Right to Data Portability (Art. 20 GDPR): You have the right to receive your personal data in a structured, commonly used, and machine-readable format and to transmit it to another controller.
Right to Object (Art. 21 GDPR): You have the right to object at any time, on grounds relating to your particular situation, to processing based on legitimate interests. You may object to processing for direct marketing purposes at any time without providing reasons.
Right to Withdraw Consent (Art. 7(3) GDPR): Where processing is based on consent, you may withdraw your consent at any time without affecting the lawfulness of processing carried out on the basis of consent prior to its withdrawal.
Right to Lodge a Complaint (Art. 77 GDPR): You have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work, or place of the alleged infringement.

8.2 Rights Under U.S. State Privacy Laws

If you are a resident of California or another U.S. state with applicable privacy legislation:

Right to Know/Access: You may request the categories and specific pieces of personal information we have collected about you.
Right to Deletion: You may request the deletion of your personal information, subject to statutory exceptions.
Right to Correction: You may request the correction of inaccurate personal information.
Right to Opt Out of Sale/Sharing: We do not sell or share your personal information for the purpose of cross-context behavioral advertising. Should this change, we will provide a clearly visible opt-out mechanism.
Non-Discrimination: We will not discriminate against you for exercising your privacy rights.

8.3 Exercising Your Rights

To exercise any of the rights listed above, please contact us at support@budsrewards.com. We will respond to verifiable requests within the legally required timeframes (generally within one month under the GDPR or 45 days under CCPA/CPRA). Processing your request may require us to verify your identity.

9. Objection and Withdrawal

Objection to Direct Marketing: If we process your data for direct marketing purposes, you may object to such processing at any time without providing reasons. The objection may be submitted informally by email to support@budsrewards.com.

Withdrawal of Consent: You may withdraw any consent you have given (e.g., for cookies, newsletters, push notifications) at any time with effect for the future. The lawfulness of processing carried out on the basis of consent prior to its withdrawal remains unaffected.

10. Push Notifications

We use Expo with Firebase Cloud Messaging (for Android) and Apple Push Notification Service (for iOS) to send push notifications. Push notifications require your express opt-in consent, which you can grant or revoke at any time through your device settings or within the app.

When activated, a device push token is generated and stored. This token is used solely to deliver notifications to your device. We do not use push notification tokens for tracking or advertising purposes.

11. Newsletter (Klaviyo)

If you subscribe to our newsletter, we use Klaviyo to manage and send marketing emails. We collect your email address and, where applicable, your name as well as interaction data (e.g., open rates, click behavior) to personalize and optimize our communications.

Newsletter registration is based on your consent (Art. 6(1)(a) GDPR). You may unsubscribe at any time via the unsubscribe link in each newsletter email or by contacting us at support@budsrewards.com. We use a double opt-in procedure: after entering your email address, you will receive a confirmation email. Your subscription will only be activated after you click the confirmation link.

Klaviyo is based in the United States. Data transfers are safeguarded by the EU-U.S. Data Privacy Framework and/or Standard Contractual Clauses.

12. Data Security

We implement appropriate technical and organizational measures to protect your personal data against unauthorized access, alteration, disclosure, or destruction. These measures include encryption of data in transit (TLS) and at rest, access controls, regular security reviews, and secure authentication via Zitadel.

Despite our efforts, no method of electronic transmission or storage is completely secure. If you have reason to believe that your interaction with us is no longer secure, please contact us immediately.

13. Privacy of Children and Minors

Our Services are not directed at persons under 18 years of age. We do not knowingly collect personal data from minors. If we become aware that we have collected personal data from a minor without appropriate consent, we will take immediate steps to delete such data.

14. Deletion of Data

We delete personal data as soon as the purpose of storage no longer applies and no statutory retention obligations prevent deletion. If the data cannot be deleted because it is required for other legally permissible purposes, its processing is restricted to those purposes. Commercial and tax law retention obligations may require storage for up to 10 years (§§ 147 AO, 257 HGB).

15. Changes to This Privacy Policy

We may update this Privacy Policy from time to time. We will notify you of material changes by posting the updated policy on our website and, where appropriate, by email or in-app notification. We encourage you to review this policy regularly.

16. Contact

For questions about this Privacy Policy or to exercise your data protection rights, please contact us:

Buds Rewards, LLC
75 Park Plaza, Boston, MA 02116-3941, USA
Email: support@budsrewards.com

Back to home

Datenschutz

Stand: April 2026

Die Buds Rewards, LLC („Buds Rewards", „wir", „uns" oder „unser") betreibt die Webseite budsrewards.com sowie die mobilen Anwendungen Buds Rewards für iOS und Android (zusammen die „Dienste"). Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erheben, verwenden, weitergeben und schützen, wenn Sie unsere Dienste nutzen.

Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir behandeln Ihre Daten vertraulich und in Übereinstimmung mit den geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie den anwendbaren US-amerikanischen Datenschutzgesetzen der Bundesstaaten, einschließlich des California Consumer Privacy Act in der Fassung des California Privacy Rights Act (CCPA/CPRA).

1. Verantwortlicher und Kontaktdaten

Verantwortlicher:
Buds Rewards, LLC
75 Park Plaza, Boston, MA 02116-3941, USA
E-Mail: support@budsrewards.com
Vertreten durch: Justin Hartfield (Manager / Sole Member)

Vertreter in der EU (Art. 27 DSGVO):
Richard Clarence Cowan
Pappelallee 78/79, 10437 Berlin, Deutschland

Ein Datenschutzbeauftragter ist nicht bestellt. Bei Fragen zum Datenschutz wenden Sie sich bitte an support@budsrewards.com.

2. Welche Daten wir erheben

2.1 Daten, die Sie uns bereitstellen

Konto- und Profildaten: Name, E-Mail-Adresse, Benutzername, Passwort (in gehashter Form gespeichert), Profilbild (optional) sowie sonstige Informationen, die Sie bei der Erstellung oder Verwaltung Ihres Buds-Rewards-Kontos freiwillig angeben.
Partner-Verknüpfungsdaten: Wenn Sie Ihr Buds-Rewards-Profil mit einer Partnerseite verknüpfen, erhalten wir von diesem Partner eine eindeutige Kennung oder Profilreferenz, um Ihre Aktivitäten Ihrem Buds-Rewards-Konto zuzuordnen.
Einlösungsdaten: Informationen zu den von Ihnen eingelösten Prämien, einschließlich Ihrer Auswahl, Lieferadresse (bei physischen Waren) und etwaiger von Ihnen angegebener Präferenzen.
Kommunikationsdaten: Nachrichten, die Sie uns per E-Mail oder über In-App-Supportfunktionen senden, einschließlich des Inhalts dieser Nachrichten.

2.2 Automatisch erhobene Daten

Geräte- und technische Daten: Gerätetyp, Betriebssystem und Version, App-Version, Browsertyp, IP-Adresse, Spracheinstellungen und eindeutige Gerätekennungen.
Nutzungsdaten: Informationen darüber, wie Sie mit unseren Diensten interagieren, z. B. aufgerufene Seiten, genutzte Funktionen, Zeitstempel, Punktestandabfragen und Einlöseaktivitäten.
Protokolldaten: Serverprotokolle mit Zugriffszeiten, verweisenden URLs und Fehlerprotokollen. Protokolldaten werden nach 90 Tagen gelöscht, sofern keine längere Aufbewahrung zur Untersuchung bestimmter Vorfälle erforderlich ist.

2.3 Daten von Dritten

Partnerseiten: Wenn Sie qualifizierende Aktionen auf Partnerseiten durchführen, übermittelt der Partner eine Bestätigung der abgeschlossenen Aktion sowie relevante Kennungen, damit wir Ihnen Punkte gutschreiben können.
Authentifizierungsanbieter: Wir verwenden Zitadel (gehostet in der EU-Region) als unseren Authentifizierungsanbieter. Zitadel verarbeitet authentifizierungsbezogene Daten (z. B. Anmeldedaten, Sitzungstoken) in unserem Auftrag.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

Zweck	Rechtsgrundlage (DSGVO)
Bereitstellung und Betrieb der Dienste (Kontoverwaltung, Punkteverfolgung, Prämieneinlösung)	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Benutzerauthentifizierung und Kontosicherheit	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Verknüpfung Ihres Kontos mit Partnerseiten zur Punktegutschrift	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Versand transaktionsbezogener E-Mails (Kontobestätigungen, Passwort-Zurücksetzungen, Einlösebestätigungen)	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Versand von Push-Benachrichtigungen	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Versand von Marketing-Newslettern über Klaviyo	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Verbesserung unserer Dienste, Nutzungsanalyse und Fehlerbehebung	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Altersverifikation (Mindestalter: 18 Jahre)	Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Erfüllung gesetzlicher Pflichten (z. B. Steuerrecht, Betrugsprävention)	Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Soweit wir uns auf ein berechtigtes Interesse stützen, haben wir eine Interessenabwägung durchgeführt und sind zu dem Ergebnis gelangt, dass unsere Interessen Ihre Rechte und Freiheiten nicht überwiegen. Sie können jederzeit Einzelheiten zu diesen Abwägungen bei uns erfragen.

4. Cookies und Tracking-Technologien

Unsere Webseite kann Cookies und ähnliche Technologien einsetzen. Technisch notwendige Cookies werden auf Grundlage unseres berechtigten Interesses an der Bereitstellung einer funktionsfähigen Webseite gesetzt (Art. 6 Abs. 1 lit. f DSGVO; § 25 Abs. 2 TDDDG). Cookies, die nicht technisch notwendig sind (z. B. Analyse, Marketing), werden nur mit Ihrer vorherigen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG).

Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Consent-Tool verwalten. Darüber hinaus können Sie Ihren Browser so konfigurieren, dass Cookies abgelehnt werden; dies kann jedoch die Funktionalität unserer Dienste beeinträchtigen.

5. Empfänger und Datenweitergabe

Wir geben personenbezogene Daten nur wie nachfolgend beschrieben weiter:

Zitadel (Authentifizierungsanbieter): Verarbeitet Authentifizierungsdaten in unserem Auftrag. Gehostet in der EU-Region. Handelt als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags (AVV).
Amazon Web Services (AWS): Hostet unsere Anwendungsinfrastruktur und Datenbanken in EU-Rechenzentren. Handelt als Auftragsverarbeiter auf Grundlage eines AVV und gegebenenfalls Standardvertragsklauseln (SCCs).
MongoDB Atlas: Stellt unsere Datenbankdienste bereit, gehostet in EU-Rechenzentren. Handelt als Auftragsverarbeiter auf Grundlage eines AVV.
AWS Simple Email Service (SES): Wird für den Versand transaktionsbezogener E-Mails verwendet. AWS SES verarbeitet E-Mail-Adressen und Nachrichteninhalte als Auftragsverarbeiter.
Klaviyo: Verarbeitet E-Mail-Adressen und Interaktionsdaten für Marketing-Newsletter. Handelt als Auftragsverarbeiter auf Grundlage eines AVV. Klaviyo ist ein US-amerikanisches Unternehmen; Übermittlungen werden durch das EU-U.S. Data Privacy Framework und/oder Standardvertragsklauseln abgesichert.
Firebase Cloud Messaging (Google): Wird für Push-Benachrichtigungen auf Android-Geräten verwendet. Google verarbeitet Geräte-Token und Benachrichtigungsinhalte als Auftragsverarbeiter. Google LLC nimmt am EU-U.S. Data Privacy Framework teil. Ein AVV liegt vor.
Apple Push Notification Service (APNs): Wird für Push-Benachrichtigungen auf iOS-Geräten verwendet. Apple verarbeitet Geräte-Token und Benachrichtigungsinhalte. Es gelten die Datenschutzbestimmungen von Apple.
Expo: Wird als Framework-Schicht für die mobile Push-Benachrichtigungszustellung verwendet. Expo kann Geräte-Push-Token verarbeiten. Die Datenverarbeitung unterliegt dem AVV von Expo.
Partnerseiten: Wir teilen nur die minimal notwendigen Daten zur Kontoverknüpfung und Punktegutschrift (in der Regel eine eindeutige Benutzerkennung). Partner handeln als eigenständig Verantwortliche für die Daten, die sie auf ihren eigenen Plattformen erheben.
App-Stores (Apple App Store, Google Play): Die Verbreitung unserer mobilen Anwendungen erfolgt über diese Plattformen. Deren jeweilige Datenschutzrichtlinien gelten für die von ihnen im Zusammenhang mit Downloads und Zahlungen erhobenen Daten.

Wir verkaufen Ihre personenbezogenen Daten nicht.

6. Internationale Datenübermittlungen

Unsere primäre Datenspeicherung erfolgt in EU-Rechenzentren (AWS und MongoDB Atlas). Unser Authentifizierungsanbieter Zitadel ist ebenfalls in der EU-Region gehostet.

Einige unserer Dienstleister haben jedoch ihren Sitz in den Vereinigten Staaten oder betreiben dort Server (Klaviyo, Firebase/Google, Apple, Expo, AWS SES). Soweit personenbezogene Daten in Drittländer außerhalb der EU/des EWR übermittelt werden, die kein angemessenes Datenschutzniveau gewährleisten, stützen wir uns auf folgende Garantien:

EU-U.S. Data Privacy Framework (DPF): Für Anbieter, die unter dem DPF zertifiziert sind.
Standardvertragsklauseln (SCCs): In der von der Europäischen Kommission angenommenen Fassung, ergänzt durch zusätzliche technische und organisatorische Maßnahmen, soweit erforderlich.
Angemessenheitsbeschlüsse: Soweit die Europäische Kommission festgestellt hat, dass ein Drittland ein angemessenes Datenschutzniveau bietet.

Sie können eine Kopie der jeweils anwendbaren Garantien anfordern, indem Sie uns unter support@budsrewards.com kontaktieren.

7. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es gesetzlich vorgeschrieben ist:

Kontodaten: Werden für die Dauer Ihres aktiven Kontos gespeichert. Nach Kontolöschung werden personenbezogene Daten innerhalb von 30 Tagen gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Punkte- und Einlösungshistorie: Wird für die Dauer Ihres aktiven Kontos gespeichert, zuzüglich etwaiger gesetzlicher Aufbewahrungsfristen für Handelsunterlagen (bis zu 10 Jahre gemäß §§ 147 AO, 257 HGB, soweit anwendbar).
Marketing-Einwilligungsnachweise: Werden für die Dauer der Einwilligung zuzüglich 3 Jahren nach Widerruf gespeichert (zum Nachweis der Einwilligung).
Protokoll- und technische Daten: Werden für bis zu 90 Tage zu Fehlerbehebungs- und Sicherheitszwecken gespeichert, sofern keine längere Aufbewahrung zur Untersuchung bestimmter Vorfälle erforderlich ist.
Kommunikationsaufzeichnungen: Werden für die Dauer der Geschäftsbeziehung zuzüglich gesetzlicher Aufbewahrungsfristen gespeichert.

8. Ihre Rechte

8.1 Rechte nach der DSGVO (für Personen in der EU/im EWR)

Wenn Sie sich in der EU oder im EWR befinden, stehen Ihnen nach der DSGVO folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Ihre personenbezogenen Daten verarbeiten, und gegebenenfalls Auskunft über diese Daten sowie eine Kopie zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung zu verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.
Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung auf Grundlage berechtigter Interessen Widerspruch einzulegen. Gegen die Verarbeitung zum Zwecke der Direktwerbung können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

8.2 Rechte nach US-amerikanischen Datenschutzgesetzen der Bundesstaaten

Wenn Sie in Kalifornien oder einem anderen US-Bundesstaat mit anwendbarer Datenschutzgesetzgebung ansässig sind:

Auskunfts-/Zugangsrecht: Sie können die Kategorien und konkreten personenbezogenen Informationen anfordern, die wir über Sie erhoben haben.
Löschungsrecht: Sie können die Löschung Ihrer personenbezogenen Informationen verlangen, vorbehaltlich gesetzlicher Ausnahmen.
Berichtigungsrecht: Sie können die Berichtigung unrichtiger personenbezogener Informationen verlangen.
Recht auf Widerspruch gegen Verkauf/Weitergabe: Wir verkaufen oder teilen Ihre personenbezogenen Informationen nicht zum Zwecke kontextübergreifender verhaltensbasierter Werbung. Sollte sich dies ändern, werden wir einen deutlich sichtbaren Opt-out-Mechanismus bereitstellen.
Diskriminierungsverbot: Wir werden Sie nicht benachteiligen, weil Sie Ihre Datenschutzrechte ausüben.

8.3 Ausübung Ihrer Rechte

Um eines der oben genannten Rechte auszuüben, kontaktieren Sie uns bitte unter support@budsrewards.com. Wir werden verifizierbare Anfragen innerhalb der gesetzlich vorgeschriebenen Fristen beantworten (in der Regel innerhalb eines Monats nach der DSGVO bzw. 45 Tagen nach CCPA/CPRA). Zur Bearbeitung Ihrer Anfrage kann es erforderlich sein, Ihre Identität zu überprüfen.

9. Widerspruch und Widerruf

Widerspruch gegen Direktwerbung: Sofern wir Ihre Daten für Direktwerbung verarbeiten, können Sie jederzeit ohne Angabe von Gründen Widerspruch gegen diese Verarbeitung einlegen. Der Widerspruch kann formlos per E-Mail an support@budsrewards.com erfolgen.

Widerruf von Einwilligungen: Erteilte Einwilligungen (z. B. für Cookies, Newsletter, Push-Benachrichtigungen) können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der auf Grundlage der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

10. Push-Benachrichtigungen

Wir verwenden Expo mit Firebase Cloud Messaging (für Android) und Apple Push Notification Service (für iOS) zum Versand von Push-Benachrichtigungen. Push-Benachrichtigungen erfordern Ihre ausdrückliche Einwilligung (Opt-in), die Sie jederzeit über Ihre Geräteeinstellungen oder innerhalb der App erteilen oder widerrufen können.

Bei Aktivierung wird ein Geräte-Push-Token erzeugt und gespeichert. Dieses Token wird ausschließlich zur Zustellung von Benachrichtigungen auf Ihr Gerät verwendet. Wir nutzen Push-Benachrichtigungs-Token nicht zu Tracking- oder Werbezwecken.

11. Newsletter (Klaviyo)

Wenn Sie unseren Newsletter abonnieren, verwenden wir Klaviyo zur Verwaltung und zum Versand von Marketing-E-Mails. Wir erheben Ihre E-Mail-Adresse und gegebenenfalls Ihren Namen sowie Interaktionsdaten (z. B. Öffnungsraten, Klickverhalten), um unsere Kommunikation zu personalisieren und zu optimieren.

Die Newsletter-Anmeldung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können sich jederzeit über den Abmeldelink in jeder Newsletter-E-Mail oder durch Kontaktaufnahme unter support@budsrewards.com abmelden. Wir verwenden ein Double-Opt-in-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Ihr Abonnement wird erst nach Klick auf den Bestätigungslink aktiviert.

Klaviyo hat seinen Sitz in den Vereinigten Staaten. Datenübermittlungen werden durch das EU-U.S. Data Privacy Framework und/oder Standardvertragsklauseln abgesichert.

12. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Vernichtung zu schützen. Diese Maßnahmen umfassen die Verschlüsselung der Daten bei der Übertragung (TLS) und im Ruhezustand, Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und sichere Authentifizierung über Zitadel.

Trotz unserer Bemühungen ist keine Methode der elektronischen Übertragung oder Speicherung vollständig sicher. Sollten Sie Anlass zu der Annahme haben, dass Ihre Interaktion mit uns nicht mehr sicher ist, kontaktieren Sie uns bitte umgehend.

13. Datenschutz von Kindern und Jugendlichen

Unsere Dienste richten sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass wir personenbezogene Daten einer minderjährigen Person ohne entsprechende Einwilligung erhoben haben, werden wir unverzüglich Maßnahmen zur Löschung dieser Daten ergreifen.

14. Löschung von Daten

Wir löschen personenbezogene Daten, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sofern die Daten nicht gelöscht werden, weil sie für andere gesetzlich zulässige Zwecke erforderlich sind, wird ihre Verarbeitung auf diese Zwecke beschränkt. Handels- und steuerrechtliche Aufbewahrungspflichten können eine Speicherung von bis zu 10 Jahren erfordern (§§ 147 AO, 257 HGB).

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen werden wir Sie durch Veröffentlichung der aktualisierten Erklärung auf unserer Webseite und gegebenenfalls per E-Mail oder In-App-Benachrichtigung informieren. Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen.

16. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Datenschutzrechte kontaktieren Sie uns bitte:

Buds Rewards, LLC
75 Park Plaza, Boston, MA 02116-3941, USA
E-Mail: support@budsrewards.com

Zurück zur Startseite