Datenschutzerklärung
Stand: Mai 2026
1. Verantwortlicher
manyfest one UG (haftungsbeschränkt)
Emdener Str. 45, 10551 Berlin
E-Mail: hello@manyfest.one
Geschäftsführer: Haroon Dilshad
2. Übersicht
zahlo ist eine technische Zahlungsplattform (Technical Service Provider, TSP). Händler können Konto-zu-Konto-Zahlungen (A2A) über SEPA-Echtzeitüberweisung anbieten. Der Checkout erfolgt als eingebetteter Zahlungsflow; der/die Zahler:in autorisiert die Überweisung in der eigenen Banking-App. Wir verarbeiten keine Zahlungen, greifen nicht auf Bankkonten von Zahler:innen zu und halten keine Gelder.
3. Welche Daten wir verarbeiten
3.1 Händler (Merchant App)
| Kategorie | Beispiele | Rechtsgrundlage |
|---|---|---|
| Kontodaten | Name, E-Mail, Benutzername, Passkey (WebAuthn), Sitzungs-Cookies (httpOnly) | Art. 6 Abs. 1 lit. b DSGVO |
| Geschäftsdaten | Firmenname, IBAN, BIC, Telefon, Shop-URLs, Branche | Art. 6 Abs. 1 lit. b DSGVO |
| Verifizierung | KYC-Dokumente (Metadaten + Dateien), Verifizierungsstatus | Art. 6 Abs. 1 lit. b/c DSGVO |
| Transaktionen | Betrag, Referenz, Status, Zeitstempel, API-Schlüssel (gehasht/gespeichert) | Art. 6 Abs. 1 lit. b DSGVO |
3.2 Zahlungsprozess (Endkunden beim Checkout)
Beim Checkout autorisiert der/die Zahler:in die Überweisung in der eigenen Banking-App. zahlo speichert keine Bankzugangsdaten von Zahler:innen und initiiert keine Zahlungen im Namen des/der Zahler:in. Für den technischen Zahlungsweg können autorisierte Zahlungsinfrastruktur-Dienstleister eingesetzt werden. Es können Session-Daten (Zahlungsreferenz, Betrag, Status) verarbeitet werden, die der Händler zur Abwicklung benötigt — ohne dauerhafte Speicherung roher Bank-Webhooks mit Sender-IBAN.
3.3 zahlo Kunden-App (Cashback / Deals)
Nutzen Sie die optionale Kunden-App (customer.zahlo.eu), verarbeiten wir zusätzlich:
- Registrierungs- und Profildaten (Name, E-Mail, Passkey, Spracheinstellung)
- Cashback-/Deal-Daten (Transaktionsbezug, Claim-Tokens)
- Bestelldaten im Rahmen von Partner-Angeboten (Cashback/Deals), soweit für die Leistung erforderlich
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Export und Kontolöschung sind in der App unter Profil verfügbar.
3.4 Website (zahlo.eu)
| Kategorie | Beispiele | Rechtsgrundlage |
|---|---|---|
| Warteliste | E-Mail, Name (mit Marketing-Einwilligung) | Art. 6 Abs. 1 lit. a DSGVO |
| Technisch | IP, User-Agent, Zugriffszeit (Server/Proxy-Logs) | Art. 6 Abs. 1 lit. f DSGVO |
4. Zwecke
- Betrieb von Merchant- und Kunden-Apps, SDK und APIs
- E-Mail-Bestätigung und Passwort-Reset (transaktional)
- Marketing nur nach Einwilligung (Email Octopus)
- Identitätsprüfung und Betrugsprävention
- Erfüllung gesetzlicher Aufbewahrungspflichten
5. Empfänger / Auftragsverarbeiter
Wir setzen Kategorien von Dienstleistern ein, die personenbezogene Daten in unserem Auftrag verarbeiten. Eine aktuelle Liste benannter Auftragsverarbeiter stellen wir Merchants auf Anfrage oder im Rahmen des Vertrags zur Verfügung.
| Kategorie | Zweck | Standort |
|---|---|---|
| Hosting-Infrastruktur | Apps, Datenbank | EU (Oracle Cloud — KM Oracle, Frankfurt/EU-Region) seit Mai 2026 |
| Cloudflare | DNS, CDN, Tunnel, Schutz | Global (SCCs) |
| Google Workspace SMTP-Relay | Transaktions-E-Mail (noreply@zahlo.eu) | EU/EWR |
| Email Octopus | Marketing nach Einwilligung | EU/UK (SCCs) |
| Zahlungs-/Checkout-Infrastruktur | Technischer Zahlungsweg (autorisierte Partner) | EU/EWR bzw. Drittland mit geeigneten Garantien (SCCs), soweit erforderlich |
| Deal-/Cashback-Partner | Kundenangebote in der Kunden-App | gemäß Vertrag mit Partner |
6. Speicherdauer
- Kontodaten: bis Löschung durch Nutzer:in + gesetzliche Fristen
- Transaktionsdaten: bis zu 10 Jahre (HGB/AO), bei Kontolöschung Anonymisierung/Detach gemäß Löschkonzept
- KYC-Dateien: Löschung bei Kontoschließung
- Server-Logs: ca. 30 Tage
- Marketing: bis Widerruf der Einwilligung
7. Ihre Rechte
- Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch (Art. 15–21 DSGVO)
- In-App: JSON-Export und Kontolöschung in Merchant-Einstellungen bzw. Kunden-Profil
- E-Mail: hello@manyfest.one (Bearbeitung i. d. R. innerhalb von 30 Tagen)
- Widerruf von Einwilligungen jederzeit
8. Aufsichtsbehörde
Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin — www.datenschutz-berlin.de
9. Cookies und Sitzungen
zahlo.eu: keine Tracking-Cookies; optional lokale Speicherung für Sprache/Theme ohne Personenbezug.
Merchant- und Kunden-Apps: technisch notwendige httpOnly-Sitzungs-Cookies für Anmeldung (Better Auth). Kein Google Analytics auf den Apps. Keine Werbe-Cookies.
10. SSL/TLS
Alle Dienste werden über HTTPS bereitgestellt.
11. Änderungen
Aktuelle Fassung stets auf dieser Seite. Wesentliche Änderungen werden angemessen kommuniziert.
Privacy Policy
As of May 2026
1. Controller
manyfest one UG (haftungsbeschränkt), Emdener Str. 45, 10551 Berlin, Germany — hello@manyfest.one
2. Overview
zahlo is a Technical Service Provider (TSP) for account-to-account (A2A) payments via embedded checkout. Payers authorize transfers in their own banking app. We do not access payer bank accounts or hold funds.
3. Data categories
3.1 Merchants
Account data (email, passkey, session cookies), business and bank details, KYC files, transaction metadata, API keys.
3.2 Payers at checkout
Payment is authorized in the payer’s own banking app. We do not store payer banking credentials or persist raw bank webhooks with sender IBAN.
3.3 Customer app
Profile, passkey/email auth, cashback/deals, partner offer order data where needed. Export and delete in Profile.
3.4 Website
Waitlist email with marketing consent; technical logs.
4–5. Purposes and processors
As described in the German section: Google Workspace (transactional email), Email Octopus (marketing with consent), Cloudflare, payment/checkout infrastructure (authorised partners), deal/cashback partners where the customer app is used, hosting on EU infrastructure (KM Oracle) since May 2026. Named sub-processors available to merchants on request.
6–11. Retention, rights, authority, cookies, TLS, changes
Account data until deletion; transaction records up to legal limits; KYC deleted on account closure; logs ~30 days. GDPR Arts. 15–21 — in-app JSON export and account deletion in merchant Settings and customer Profile; contact hello@manyfest.one (target 30-day response). Supervisory authority: Berlin Commissioner for Data Protection. No tracking on zahlo.eu; merchant and customer apps use essential httpOnly session cookies only. HTTPS everywhere; policy updates published on this page.