Datenschutzerklärung

Datenschutzerklärung für GiftWeGo - Wie wir Ihre Daten DSGVO-konform verarbeiten

Datenschutzerklärung

Letzte Aktualisierung: 13. November 2025

1. Einleitung

Willkommen zur Datenschutzerklärung von GiftWeGo.

Dieses Dokument beschreibt, wie Ondřej Smutný, Umsatzsteuer-ID: 75343533, Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik (im Folgenden "wir", "uns" oder "GiftWeGo") Ihre personenbezogenen Daten bei der Nutzung unserer Webanwendung unter giftwego.com verarbeitet.

1.1 Unser Engagement für den Datenschutz

  • Wir respektieren Ihre Privatsphäre und nehmen den Schutz Ihrer personenbezogenen Daten ernst
  • Wir halten uns an die DSGVO (EU) 2016/679 und das tschechische Gesetz Nr. 110/2019 Slg. über die Verarbeitung personenbezogener Daten
  • Wir verarbeiten nur Daten, die für die Erbringung unserer Dienstleistungen erforderlich sind
  • Wir verkaufen Ihre Daten niemals an Dritte für Marketingzwecke

1.2 Kontakt für Datenschutzfragen

Verantwortlicher: Ondřej Smutný Umsatzsteuer-ID: 75343533 Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik E-Mail: info@giftwego.com

Datenschutzbeauftragter (DSB): Nicht bestimmt (nicht obligatorisch für Selbstständige)

2. Welche personenbezogenen Daten wir verarbeiten

2.1 Daten, die wir direkt von Ihnen erheben

2.1.1 Registrierung und Benutzerkonto

Bei Registrierung mit E-Mail und Passwort:

  • E-Mail (erforderlich) - Konto-Identifikator, Anmeldung, Kommunikation
  • Name (erforderlich) - Anzeigename in der Anwendung
  • Passwort (erforderlich) - gespeichert als bcrypt-Hash, niemals in lesbarer Form gespeichert

Bei Registrierung über Google/Facebook OAuth:

  • E-Mail (vom OAuth-Anbieter)
  • Name (vom OAuth-Anbieter)
  • Profilbild (vom OAuth-Anbieter, optional)
  • Google/Facebook-ID (für Kontozuordnung)

Optionale Profildaten:

  • Vorname und Nachname
  • Telefonnummer
  • Geburtsdatum
  • Präferenzen (Sprache, Währung, Zeitzone, Datumsformat)
  • Benachrichtigungseinstellungen (E-Mail-Benachrichtigungen, Push-Benachrichtigungen)

2.1.2 Zahlungs- und Rechnungsinformationen

Daten für Guthaben-Käufe:

  • Name (für Rechnung)
  • E-Mail (für Rechnung und Bestätigung)
  • Stripe-Kunden-ID (Referenz zu Ihrem Konto im Stripe-System)

Zahlungskartendaten:

  • WICHTIG: Wir speichern oder verarbeiten NIEMALS Kreditkartennummern
  • Karten werden ausschließlich von Stripe verarbeitet (PCI DSS zertifiziert)
  • Wir speichern nur: Kartentyp (Visa, Mastercard), letzte 4 Ziffern, Ablaufdatum

Rechnungsadresse (optional, für Unternehmen):

  • Firmenname
  • Umsatzsteuer-ID, Steuernummer
  • Rechnungsadresse (Straße, Stadt, Postleitzahl, Land)

Guthaben-Historie:

  • Datum und Uhrzeit der Transaktionen
  • Guthaben-Menge (Hinzufügung/Abzug)
  • Transaktionstyp (Kauf, Bonus, Verbrauch, Erstattung)
  • Stripe-Zahlungs-ID (für Buchhaltung und Erstattungen)
  • Transaktionsbeschreibung

2.1.3 Empfängerprofile

Personenbezogene Daten der Geschenkempfänger, die Sie eingeben:

  • Name des Empfängers
  • Alter oder Geburtsdatum
  • Geschlecht
  • Beziehung zu Ihnen (Partner, Elternteil, Freund, Kollege usw.)

Interessen und Präferenzen:

  • Interessen (Sport, Kunst, Reisen, Technologie usw.)
  • Persönlichkeitsmerkmale
  • Bevorzugte Marken
  • Wohnungstyp und Standort (Stadttyp, konkreter Ort, Land)

Einschränkungen:

  • Gesundheitliche Einschränkungen (Allergien, diätetische Einschränkungen - vegan, vegetarisch, glutenfrei usw.)
  • Geschenkbeschränkungen (Alkohol, Elektronik, Kleidung usw.)

Geschenkhistorie:

  • Geschenkname
  • Preis
  • Datum der Übergabe
  • Anlass
  • Erfolgsbewertung (1-5 Sterne)
  • Notizen

Blacklist:

  • Liste verbotener Produkte/Kategorien
  • Grund für Ausschluss (optional)
  • Datum hinzugefügt

Freie Notizen:

  • Alle Notizen, die Sie über den Empfänger schreiben

2.1.4 KI-Empfehlungen und Historie

Bei Verwendung des KI-Advisors speichern wir:

  • Sitzungs-ID (Gruppierung von Empfehlungen aus einer Sitzung)
  • Snapshot der Empfängerinformationen (Name)
  • Anlass (Geburtstag, Weihnachten usw.)
  • Budget und Dringlichkeit
  • KI-Empfehlungen (Name, Beschreibung, Begründung, Preis, Kategorie)
  • Datum und Uhrzeit der Generierung
  • Verbrauchte Credits

Feedback und Bewertungen:

  • Bewertung einzelner Empfehlungen (Daumen hoch/runter)
  • Sitzungsbewertung (1-5 Sterne)
  • Textliches Feedback (optional)
  • Für die Bewertung benötigte Zeit (für Analysen)

2.1.4 Chrome-Erweiterungs-Daten

Bei Verwendung der GiftWeGo Chrome-Erweiterung:

Produktinformationen von E-Commerce-Websites:

  • Produktnamen, Preise, Beschreibungen, Bilder, URLs
  • Nur erfasst, wenn Sie die Erweiterung aktiv auf Produktseiten verwenden
  • Quellen: Amazon, Alza.cz, Mall.cz und andere E-Commerce-Websites
  • Zweck: KI-Analyse zur Bewertung der Geschenkeignung

Erweiterungs-Authentifizierung:

  • Zugriffstoken für Ihr GiftWeGo-Konto
  • Lokal in Ihrem Browser über Chrome Storage API gespeichert
  • Zweck: Nahtlose Integration mit Ihrem GiftWeGo-Konto

Benutzereinstellungen:

  • Sprachauswahl (Englisch, Tschechisch, Deutsch, Französisch)
  • Erweiterungseinstellungen (Checker aktiviert/deaktiviert)
  • Schaltflächenpositionen pro Domain
  • Lokal in Ihrem Browser gespeichert
  • Zweck: Personalisierung und Funktionalität

Produktprüfungsverlauf:

  • URLs von Produkten, die Sie mit KI analysiert haben
  • Prüfzeitstempel und Ergebnisse
  • Mit Ihrem GiftWeGo-Konto verknüpft
  • Zweck: Bereitstellung des Analyseverlaufs und Verbesserung der Empfehlungen

Erklärung der Chrome-Erweiterungs-Berechtigungen:

  • storage: Zum lokalen Speichern von Login, Einstellungen und Präferenzen
  • activeTab: Zum Lesen von Produktinformationen von den Seiten, die Sie ansehen
  • giftwego.com: Zur Kommunikation mit unserer API für KI-Analysen

Datenweitergabe:

  • Produktdaten werden von unserem KI-Anbieter (Anthropic Claude) unter strenger Vertraulichkeit verarbeitet
  • Wir verkaufen Ihre Daten niemals an Dritte
  • Daten werden nicht für Werbezwecke verwendet

Datenlöschung:

  • Lokale Daten: Automatisch gelöscht bei Deinstallation der Erweiterung
  • Serverdaten: Folgen der Aufbewahrungsrichtlinie der Haupt-GiftWeGo-Anwendung (siehe Abschnitt 4)
  • Löschung über info@giftwego.com anfordern

2.2 Daten, die wir automatisch erheben

2.2.1 Technische Daten

Bei Besuch der Website und Nutzung der Anwendung:

  • IP-Adresse (anonymisiert für Analysen)
  • User Agent (Browsertyp, Betriebssystem, Gerätetyp)
  • Referrer (woher Sie kamen)
  • Sitzungs-ID (zur Sitzungsverfolgung)
  • Zeitstempel (Datum und Uhrzeit des Besuchs)

2.2.2 Cookies und Tracking

Erforderliche Cookies (ohne Einwilligung):

  • Sitzungs-Cookie (Anmeldung, Authentifizierung)
  • Sicherheits-Tokens (CSRF-Schutz)
  • Präferenzen (Sprache, Theme)

Analyse-Cookies (mit Einwilligung):

  • Google Analytics 4 - Website-Traffic-Analyse
  • Microsoft Clarity - Session Recording, Heatmaps, Benutzerverhalten-Analyse
  • Website-Verhaltens-Tracking zur UX-Verbesserung
  • Anonymisierte Daten zur Service-Optimierung

WICHTIG: Ab 31. Oktober 2025 erfordert Microsoft Clarity eine ausdrückliche Einwilligung für Nutzer aus EWR, UK und der Schweiz. Vor Erteilung der Einwilligung arbeitet Clarity im "No-Consent"-Modus (ohne Cookies und Session-Tracking).

2.2.3 Affiliate-Tracking

Für Partner-Provisionen verfolgen wir:

  • Klicks auf Affiliate-Links
  • Partner (Google, Heureka, Alza usw.)
  • Produkt/Kategorie
  • Empfehlungs-ID (Zuordnung zur Empfehlung)
  • Benutzer-ID (für Statistiken)
  • Zeitstempel

WICHTIG: Affiliate-Partner ERHALTEN NICHT Ihre personenbezogenen Daten (Name, E-Mail). Das Tracking ist anonymisiert.

2.3 Daten, die uns von Dritten zur Verfügung gestellt werden

2.3.1 OAuth-Anbieter (Google, Facebook)

Wenn Sie sich über Google/Facebook registrieren:

  • E-Mail
  • Name
  • Profilbild (falls Sie es zulassen)
  • OAuth-Anbieter-ID

Was wir NICHT ERHALTEN:

  • Ihr Google/Facebook-Kontopasswort
  • Kontaktliste
  • E-Mail-Inhalte
  • Aktivitätsverlauf

2.3.2 Stripe (Zahlungsabwickler)

Stripe stellt uns zur Verfügung:

  • Kunden-ID (Referenz zu Ihrem Konto)
  • Zahlungsmethoden-ID (Referenz zur gespeicherten Karte)
  • Zahlungsabsichts-Status (erfolgreiche/erfolglose Zahlung)
  • Webhook-Ereignisse (Zahlungsereignisse)

Stripe stellt uns NICHT zur Verfügung:

  • Kreditkartennummern (nur letzte 4 Ziffern)
  • CVV-Codes
  • PIN-Codes

3. Warum wir Ihre Daten verarbeiten (Rechtsgrundlagen)

3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wir benötigen zur Dienstleistungserbringung:

  • E-Mail, Name, Passwort - für Kontoerstellung und -verwaltung
  • Empfängerprofile - Kern des KI-Advisor-Dienstes
  • KI-Empfehlungshistorie - Bereitstellung personalisierter Dienste
  • Credits und Zahlungen - Ausführung des Kaufvertrags

Ohne diese Daten können wir den Dienst nicht erbringen.

3.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Zur Verbesserung des Dienstes und seiner Nachhaltigkeit:

  • Affiliate-Tracking - Monetarisierung des Dienstes zur Nachhaltigkeit
  • Analysen - Verbesserung der KI-Empfehlungen und Benutzererfahrung
  • Betrugserkennung - Schutz vor Missbrauch des Dienstes und Betrug
  • Technische Logs - Lösung technischer Probleme und Fehler

Wir wägen unser berechtigtes Interesse gegen Ihre Rechte ab. Sie können Widerspruch einlegen (siehe Abschnitt 7).

3.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Wir benötigen Ihre ausdrückliche Einwilligung für:

  • Marketing-E-Mails (Newsletter, Tipps, Angebote)
    • Opt-in, Standardeinstellung: NEIN
    • Sie können jederzeit widerrufen (Link in E-Mail oder Einstellungen)
  • Push-Benachrichtigungen (Ereigniserinnerungen, Tipps)
    • Muss in den Browsereinstellungen aktiviert werden
    • Sie können jederzeit deaktivieren
  • Analyse-Cookies (Google Analytics)
    • Wir zeigen Cookie-Banner beim ersten Besuch
    • Sie können ablehnen

Widerruf der Einwilligung:

  • Berührt nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf
  • Sie können jederzeit in den Kontoeinstellungen widerrufen

3.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Wir müssen gesetzlich aufbewahren:

  • Rechnungsdaten und Zahlungshistorie - Buchhaltungsgesetz (5 Jahre)
  • Steuerunterlagen - Steuervorschriften (10 Jahre für einige Dokumente)

Wir können diese Daten nicht löschen, auch nicht auf Anfrage, aber sie werden anonymisiert (Entfernung von Name, E-Mail).

4. Wie lange wir Daten aufbewahren

4.1 Aktive Konten

Für die Dauer Ihres Kontos:

  • Alle Profildaten, Empfänger, Empfehlungen
  • Guthaben-Historie und Transaktionen
  • Präferenzen und Einstellungen

4.2 Inaktive Konten

Nach 24 Monaten Inaktivität:

  • Wir senden Ihnen eine Warn-E-Mail
  • Wir bieten die Möglichkeit zur Kontoverlängerung

Nach 36 Monaten Inaktivität:

  • Konto wird automatisch gelöscht
  • Sie werden 30 Tage im Voraus benachrichtigt

4.3 Nach Kontolöschung

Personenbezogene Daten (sofort, max. 30 Tage):

  • Alle Empfängerprofile - GELÖSCHT
  • Alle KI-Empfehlungen - GELÖSCHT
  • Präferenzen und Einstellungen - GELÖSCHT
  • E-Mail und Name - GELÖSCHT
  • Benutzerkonto - GELÖSCHT

Finanzdaten (5-10 Jahre, anonymisiert):

  • Guthaben- und Zahlungshistorie - ANONYMISIERT (ohne Name und E-Mail)
  • Rechnungen - ANONYMISIERT (ersetzt durch anonyme ID)
  • Grund: Gesetzliche Verpflichtung (Buchhaltung, Steuern)

Anonymisierte Daten (unbegrenzt):

  • Aggregierte Statistiken (z.B. "durchschnittliche Anzahl von Empfängern pro Benutzer")
  • Kann nicht auf Sie zurückgeführt werden

4.4 KI-Empfehlungshistorie

Automatisches Limit:

  • Max. 500 Datensätze pro Benutzer
  • Älteste Datensätze werden automatisch gelöscht, wenn Limit überschritten

Empfehlung: Exportieren Sie regelmäßig wichtige Empfehlungen (JSON-Format).

4.5 Cookies

Sitzungs-Cookies: Nach Abmeldung oder Browserschließung gelöscht Persistente Cookies: Gültigkeit 30 Tage - 1 Jahr (je nach Typ) Analyse-Cookies: Gültigkeit 2 Jahre (Google Analytics Standard)

5. Mit wem wir Ihre Daten teilen

5.1 Auftragsverarbeiter (Subunternehmer)

Wir nutzen folgende vertrauenswürdige Auftragsverarbeiter:

5.1.1 Anthropic Inc. (Claude API)

  • Zweck: Generierung von KI-Geschenkempfehlungen
  • Übermittelte Daten:
    • Empfängerinformationen (Name, Alter, Geschlecht, Interessen, Persönlichkeit)
    • Anlass, Budget, Dringlichkeit
    • Geschenkhistorie (für bessere Empfehlungen)
    • Produkt-Blacklist
  • Rechtsgrundlage: Vertragserfüllung (Bereitstellung des KI-Dienstes)
  • Standort: USA
  • Schutz:
    • Anthropic hat eigene DSGVO-konforme Richtlinien
    • Daten werden nicht langfristig gespeichert oder für KI-Training verwendet
    • Standardvertragsklauseln (SCCs) für Übermittlung in die USA
  • Mehr Infos: https://www.anthropic.com/legal/privacy

5.1.2 Stripe Inc.

  • Zweck: Zahlungsabwicklung für Credits
  • Übermittelte Daten:
    • E-Mail, Name (für Rechnung)
    • Zahlungsdetails (Karten werden nur von Stripe verarbeitet)
    • Rechnungsadresse (falls Sie angeben)
  • Rechtsgrundlage: Vertragserfüllung (Zahlungen)
  • Standort: USA/EU (EU-Rechenzentren verfügbar)
  • Schutz:
    • PCI DSS Level 1 Zertifizierung (höchste Sicherheitsstufe)
    • DSGVO-konformer Auftragsverarbeitungsvertrag (AVV)
    • Standardvertragsklauseln (SCCs)
  • Mehr Infos: https://stripe.com/privacy

5.1.3 Vercel Inc. (Hosting)

  • Zweck: Hosting der Webanwendung
  • Übermittelte Daten:
    • Technische Daten (IP-Adressen, User Agent)
    • Sitzungsdaten
  • Rechtsgrundlage: Berechtigtes Interesse (Dienstbetrieb)
  • Standort: Edge Network, primär EU-Region (Frankfurt, Amsterdam)
  • Schutz: DSGVO-konform, SOC 2 Type II Zertifizierung
  • Mehr Infos: https://vercel.com/legal/privacy-policy

5.1.4 MongoDB Inc. (Datenbank)

  • Zweck: Speicherung von Anwendungsdaten
  • Übermittelte Daten: Alle Anwendungsdaten (Profile, Empfehlungen, Credits)
  • Rechtsgrundlage: Vertragserfüllung (Datenspeicherung)
  • Standort: Gemäß MongoDB Atlas Konfiguration (üblicherweise EU-Region)
  • Schutz: DSGVO-konform, ISO 27001, SOC 2 Type II
  • Mehr Infos: https://www.mongodb.com/legal/privacy-policy

5.1.5 Resend (E-Mail-Anbieter)

  • Zweck: Versand von transaktionalen und Marketing-E-Mails
  • Übermittelte Daten:
    • E-Mail, Name
    • Personalisierungsdaten (z.B. Empfängername für Erinnerung)
  • Rechtsgrundlage: Vertragserfüllung / Einwilligung (Marketing)
  • Standort: USA/EU (gemäß Konfiguration)
  • Schutz: DSGVO-konformer Dienst
  • Mehr Infos: https://resend.com/legal/privacy-policy

5.1.6 Google Analytics 4

  • Zweck: Analyse von Website-Traffic und Benutzerverhalten
  • Übermittelte Daten:
    • Anonymisierte IP-Adresse
    • User Agent, Website-Verhalten
    • Cookies (mit Einwilligung)
  • Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
  • Standort: USA
  • Schutz:
    • IP-Anonymisierung aktiviert
    • Google Analytics 4 (DSGVO-freundlich)
    • Kann über Cookie-Banner abgelehnt werden
    • Startet nicht ohne Einwilligung - Consent-Kontrolle implementiert
  • Mehr Infos: https://policies.google.com/privacy

5.1.7 Microsoft Clarity (Session Recording & Heatmaps)

  • Zweck: Analyse des Benutzerverhaltens, Session Recording, Heatmaps, UX-Verbesserung
  • Übermittelte Daten:
    • Mit Einwilligung:
      • Session Recordings (Mausbewegungen, Klicks, Scrollen)
      • Heatmaps (wo Benutzer klicken und scrollen)
      • IP-Adresse (anonymisiert)
      • User Agent, Gerätetyp
      • URLs besuchter Seiten
      • Session-ID für seitenübergreifende Verknüpfung
    • Ohne Einwilligung (No-Consent-Modus):
      • Nur grundlegende anonyme Metriken ohne Cookies
      • Keine Session Recordings
      • Keine seitenübergreifende Verknüpfung
  • Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
  • Standort: USA (Microsoft Azure Cloud)
  • Data Controller: Microsoft Ireland Operations Limited (für EU-Nutzer)
  • Aufbewahrungsdauer:
    • Session Recordings: 30 Tage
    • Heatmaps: 13 Monate
    • Favorite Recordings: bis zu 13 Monate
  • Schutz:
    • EU-US Data Privacy Framework Compliance (von EC im Juli 2023 genehmigt)
    • Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO
    • Automatische Anonymisierung sensibler Daten (Passwörter, Kartennummern)
    • Clarity Consent API v2 implementiert (Consent Enforcement ab 31.10.2025)
    • DSGVO-konformes Data Processing Agreement
    • Startet nicht ohne Einwilligung - Session Recording nur nach Consent aktiv
  • Ihre Rechte:
    • Sie können im Cookie-Banner ablehnen
    • Sie können die Einwilligung jederzeit in den Cookie-Einstellungen widerrufen
    • Ohne Einwilligung läuft im "No-Consent"-Modus (kein Tracking)
  • Mehr Infos:

5.1.8 Error Tracking System (Debugging und Monitoring)

  • Zweck: Gewährleistung der Website-Stabilität und -Sicherheit, Erkennung und Behebung technischer Fehler
  • Erfasste Daten:
    • Fehlermeldungen
    • Stack Traces (technische Fehlerinformationen)
    • URL der Seite, auf der der Fehler auftrat
    • User Agent (Browser, OS)
    • IP-Adresse (anonymisiert)
    • User-ID und E-Mail (nur für angemeldete Benutzer)
    • Zeitstempel (Zeitpunkt des Fehlers)
  • Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
    • Begründung: Die Gewährleistung der Sicherheit und Funktionalität des Dienstes ist für den Website-Betrieb unerlässlich. Benutzer erwarten einen stabilen und funktionierenden Service. Error Monitoring ist notwendig zur Identifizierung und Behebung technischer Probleme.
    • Interessenabwägung: Minimaler Eingriff in die Privatsphäre (nur technische Daten) vs. kritischer Bedarf zur Gewährleistung der Service-Funktionalität → berechtigtes Interesse überwiegt
    • Erwägungsgrund 49 DSGVO: Die Verarbeitung personenbezogener Daten in dem Umfang, der für die Gewährleistung der Netz- und Informationssicherheit unbedingt erforderlich ist, stellt ein berechtigtes Interesse dar
  • Standort: MongoDB Atlas (EU-Region)
  • Aufbewahrungsdauer: 90 Tage, dann automatische Löschung
  • Schutz:
    • Wir speichern nur für Debugging notwendige Daten
    • IP-Adressen wo möglich anonymisiert
    • Keine sensiblen Informationen (Passwörter, Zahlungsdetails) werden protokolliert
    • Automatische Retention Policy (90 Tage)
    • Zugriff nur für Admins
    • End-to-End-Verschlüsselung bei Übertragung (TLS)
  • Ihre Rechte:
    • Sie können Widerspruch gegen die Verarbeitung einlegen (siehe Abschnitt 7.5)
    • Bei Widerspruch prüfen wir die Einstellung der Verarbeitung, sofern keine zwingenden Gründe vorliegen
    • Hinweis: Error Monitoring ist kritisch für die Service-Sicherheit - ohne können wir die Anwendungsstabilität nicht gewährleisten
  • Funktionen: Automatische Erfassung von JavaScript-Fehlern, unbehandelten Promises, React-Render-Fehlern, API-Fehlern### 5.2 Affiliate-Partner

Partner, zu denen wir verlinken:

  • Google (Suche)
  • Heureka.cz (Preisvergleich)
  • Alza.cz, Mall.cz, Datart.cz (E-Shops)
  • Amazon.cz (Marktplatz)

Was wir ihnen NICHT ÜBERMITTELN:

  • Ihren Namen, E-Mail, Telefon
  • Empfängerprofile
  • KI-Empfehlungen

Was sie erhalten können:

  • Referrer (dass Sie von giftwego.com kamen)
  • UTM-Parameter (Tracking-Codes für Provision)
  • Anonyme Click-ID (zur Conversion-Verfolgung)

Wenn Sie bei einem Partner kaufen:

  • Partner hat eigene Datenschutzerklärung
  • Deren Bedingungen gelten, nicht unsere
  • GiftWeGo ist nicht verantwortlich für deren Datenverarbeitung

5.3 Rechtliche Anforderungen

Wir können verpflichtet sein, Daten offenzulegen:

  • Gerichte - aufgrund gerichtlicher Anordnung
  • Polizei - bei strafrechtlichen Ermittlungen
  • Steuerbehörden - für Buchhaltungsprüfung
  • Datenschutzbehörde - bei DSGVO-Compliance-Prüfung

In diesen Fällen geben wir nur die minimal notwendigen Daten preis.

5.4 Was wir NIEMALS tun

VERKAUFEN NICHT Ihre Daten an Dritte ❌ TEILEN NICHT Daten für Marketing Dritter (gezielte Werbung) ❌ VERMIETEN NICHT E-Mail-Datenbank ❌ ÜBERMITTELN NICHT Daten außerhalb der oben genannten Auftragsverarbeiter

6. Datenübermittlung außerhalb der EU

6.1 Übermittlungen in die USA

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA:

  • Anthropic Inc. (Claude API)
  • Stripe Inc. (Zahlungen)
  • Resend (E-Mails)
  • Google Analytics 4 (Analysen - mit Einwilligung)
  • Microsoft Clarity (Session Recording, Heatmaps - mit Einwilligung)
  • Error Tracking System (Fehler-Monitoring - berechtigtes Interesse)

6.2 Schutzmechanismen

Für Übermittlungen in die USA verwenden wir:

  1. Standardvertragsklauseln (SCCs) - von der Europäischen Kommission genehmigt
  2. Auftragsverarbeitungsverträge (AVV) - Datenverarbeitungsverträge
  3. EU-Rechenzentren - wenn verfügbar (Stripe, Vercel)
  4. Zusätzliche Sicherheitsmaßnahmen:
    • Verschlüsselung bei Übertragung (TLS 1.3)
    • Verschlüsselung gespeicherter Daten (encryption at rest)
    • Minimierung übermittelter Daten

6.3 Ihre Rechte

Sie haben das Recht:

  • Eine Kopie der Standardvertragsklauseln zu erhalten
  • Widerspruch gegen Übermittlung außerhalb der EU einzulegen
  • Im Falle eines Widerspruchs können wir keine Dienste erbringen, die Übermittlung erfordern (z.B. KI-Advisor)

Anfragen senden Sie an: info@giftwego.com

7. Ihre Rechte (DSGVO Art. 15-22)

7.1 Auskunftsrecht (Art. 15)

Sie haben das Recht zu erhalten:

  • Bestätigung, ob wir Ihre Daten verarbeiten
  • Kopie aller Ihrer personenbezogenen Daten
  • Informationen über Verarbeitungszweck, Datenkategorie, Empfänger
  • Informationen über Aufbewahrungsdauer
  • Informationen über Ihre Rechte

Wie Sie es ausüben:

  1. In der Anwendung: Anmelden → Einstellungen → Daten exportieren → JSON herunterladen
  2. Per E-Mail: Schreiben Sie an info@giftwego.com (wir verifizieren Ihre Identität)

Lieferfrist: 30 Tage ab Anfrage (KOSTENLOS, erste Anfrage)

7.2 Recht auf Berichtigung (Art. 16)

Sie haben das Recht zu korrigieren:

  • Unrichtige personenbezogene Daten
  • Unvollständige Daten (fehlende ergänzen)

Wie Sie es ausüben:

  1. In der Anwendung: Anmelden → Profil / Empfänger → Daten bearbeiten
  2. Per E-Mail: info@giftwego.com (für Daten, die Sie nicht selbst bearbeiten können)

Frist: Sofort (bei Bearbeitung in der Anwendung), 7 Tage (bei E-Mail-Anfrage)

7.3 Recht auf Löschung / Recht auf Vergessenwerden (Art. 17)

Sie haben das Recht, Löschung von Daten zu verlangen, wenn:

  • Daten für den ursprünglichen Zweck nicht mehr erforderlich sind
  • Sie die Einwilligung widerrufen und es keine andere Rechtsgrundlage gibt
  • Sie erfolgreich Widerspruch einlegen (siehe 7.6)
  • Daten unrechtmäßig verarbeitet wurden
  • Daten gemäß gesetzlicher Verpflichtung gelöscht werden müssen

Wie Sie es ausüben:

  1. In der Anwendung: Anmelden → Einstellungen → Konto löschen
    • Bestätigen Sie den Satz "MEIN KONTO LÖSCHEN"
    • Löschung ist unwiderruflich
  2. Per E-Mail: info@giftwego.com (falls Sie sich nicht anmelden können)

Was gelöscht wird:

  • ✅ Alle Empfängerprofile
  • ✅ Alle KI-Empfehlungen
  • ✅ Ihre Präferenzen und Einstellungen
  • ✅ E-Mail, Name, Telefon
  • ✅ Benutzerkonto

Was NICHT gelöscht wird (gesetzliche Verpflichtung):

  • ⚠️ Guthaben- und Zahlungshistorie (5 Jahre) - aber ANONYMISIERT
  • ⚠️ Rechnungen (10 Jahre) - aber ANONYMISIERT
  • Grund: Buchhaltungsgesetz, Steuervorschriften

Frist: Sofort (max. 30 Tage für vollständige Löschung)

7.4 Recht auf Datenübertragbarkeit (Art. 20)

Sie haben das Recht, Daten in maschinenlesbarem Format zu erhalten:

  • Format: JSON (JavaScript Object Notation)
  • Inhalt: Alle Daten, die Sie uns bereitgestellt haben

Wie Sie es ausüben: Anmelden → Einstellungen → Daten exportieren → JSON herunterladen

Export enthält:

  • ✅ Benutzerprofil (Name, E-Mail, Präferenzen)
  • ✅ Alle Empfängerprofile (einschließlich Geschenkhistorie, Blacklist)
  • ✅ Alle KI-Empfehlungen (einschließlich Begründung und Feedback)
  • ✅ Guthaben-Historie (Transaktionen, Käufe)

Frist: Sofort (Generierung dauert ca. 5-10 Sekunden)

Übermittlung an anderen Verantwortlichen:

  • Sie können uns um direkte Datenübermittlung an einen anderen Verantwortlichen bitten (wenn technisch machbar)
  • Anfrage senden an: info@giftwego.com

7.5 Recht auf Einschränkung der Verarbeitung (Art. 18)

Sie haben das Recht, Einschränkung (Aussetzung) der Verarbeitung zu verlangen, wenn:

  • Sie die Richtigkeit der Daten bestreiten (Einschränkung für Überprüfungszeitraum)
  • Verarbeitung unrechtmäßig ist, aber Sie keine Löschung wünschen (Sie wünschen nur Einschränkung)
  • Wir die Daten nicht mehr benötigen, aber Sie sie für Rechtsanspruch benötigen
  • Sie Widerspruch eingelegt haben (Einschränkung für Beurteilungszeitraum)

Wie Sie es ausüben: Per E-Mail an: info@giftwego.com (beschreiben Sie den Grund)

Was es bedeutet:

  • Ihre Daten werden gespeichert, aber wir werden sie nicht aktiv verarbeiten
  • Konto wird deaktiviert (Anmeldung nicht möglich)
  • Nach Lösung des Einschränkungsgrundes werden wir Sie informieren

Frist: 7 Werktage ab Anfrage

7.6 Widerspruchsrecht (Art. 21)

Sie haben das Recht, Widerspruch gegen Verarbeitung aufgrund berechtigten Interesses einzulegen:

  • ❌ Affiliate-Tracking
  • ❌ Analysen (Verhaltens-Tracking)
  • ❌ Marketing (auch mit Einwilligung - Sie können Einwilligung widerrufen)

Wie Sie es ausüben:

  1. In der Anwendung: Einstellungen → Datenschutz → Affiliate-Tracking / Analysen deaktivieren
  2. Marketing: "Abmelden"-Link in E-Mail
  3. Per E-Mail: info@giftwego.com

Was passiert:

  • Wir werden die Datenverarbeitung für diesen Zweck einstellen
  • Wenn wir eine andere Rechtsgrundlage haben (z.B. Vertragserfüllung), können wir fortfahren

Frist: Sofort (bei Deaktivierung in der Anwendung), 7 Tage (bei E-Mail-Anfrage)

7.7 Recht, nicht Gegenstand automatisierter Entscheidungsfindung zu sein (Art. 22)

GiftWeGo VERWENDET KEINE vollautomatisierte Entscheidungsfindung, die rechtliche Folgen hätte oder Sie erheblich beeinträchtigen würde.

KI-Advisor:

  • KI-Empfehlungen sind nur Vorschläge und Inspiration
  • Endgültige Entscheidung liegt immer bei Ihnen
  • KI hat keine rechtliche Wirkung auf Sie

Es gibt keine automatisierte:

  • ❌ Konto-Genehmigung/-Ablehnung
  • ❌ Preisgestaltung basierend auf Profil
  • ❌ Entscheidungen über Dienstzugang

7.8 Beschwerderecht

Wenn Sie glauben, dass wir gegen die DSGVO verstoßen, haben Sie das Recht, Beschwerde einzulegen:

Úřad pro ochranu osobních údajů (ÚOOÚ) Pplk. Sochora 27 170 00 Prag 7 Tschechische Republik

Telefon: +420 234 665 111 E-Mail: posta@uoou.cz Web: www.uoou.cz

Online-Einreichung: https://www.uoou.cz/rades

Wir empfehlen: Kontaktieren Sie uns zuerst (info@giftwego.com) - wir lösen die meisten Probleme direkt.

8. Sicherheit Ihrer Daten

8.1 Technische Maßnahmen

Verschlüsselung:

  • HTTPS (TLS 1.3) - gesamte Kommunikation zwischen Ihnen und Server ist verschlüsselt
  • Verschlüsselung gespeicherter Daten - Daten in Datenbank sind verschlüsselt
  • Bcrypt-Hash - Passwörter werden mit 12 Salt-Rounds gehasht (können nicht entschlüsselt werden)

Authentifizierung und Autorisierung:

  • JWT-Token - sichere Sitzungsverwaltung (30 Tage Gültigkeit)
  • Benutzerisolierung - jede Datenbankabfrage nach userId gefiltert (Schutz vor Datenlecks)
  • CSRF-Schutz - Schutz vor Cross-Site Request Forgery Angriffen
  • Rate Limiting - Schutz vor Brute-Force-Angriffen

Infrastruktur:

  • Vercel Edge Network - DDoS-Schutz, geografische Verteilung
  • MongoDB Atlas - verwaltete Datenbank mit automatischen Backups
  • Stripe - PCI DSS Level 1 Zertifizierung für Zahlungen

8.2 Organisatorische Maßnahmen

Datenzugriff:

  • Prinzip der minimalen Berechtigung - Zugriff nur für autorisierte Personen
  • Audit-Logs - Aufzeichnung von Zugriffen auf sensible Daten
  • Regelmäßige Überprüfungen - Kontrolle von Zugriffsrechten

Schulung:

  • ✅ Betreiber ist mit DSGVO-Anforderungen vertraut
  • ✅ Verwendung sicherer Praktiken bei der Entwicklung

Verträge mit Auftragsverarbeitern:

  • ✅ Auftragsverarbeitungsverträge (AVV) mit allen Subunternehmern
  • ✅ Gewährleistung der DSGVO-Compliance bei Auftragsverarbeitern

8.3 Meldung von Sicherheitsvorfällen

Im Falle einer Datenpanne:

  • ✅ Wir melden ÚOOÚ innerhalb von 72 Stunden nach Feststellung (wenn Risiko besteht)
  • ✅ Wir informieren betroffene Benutzer unverzüglich (wenn hohes Risiko besteht)
  • ✅ Wir beschreiben die Art des Vorfalls, seine Folgen und ergriffene Maßnahmen

Meldung von Sicherheitslücken: Wenn Sie eine Sicherheitslücke entdecken, kontaktieren Sie uns: info@giftwego.com

9. Daten von Kindern

GiftWeGo IST NICHT für Kinder unter 16 Jahren bestimmt.

  • ❌ Wir erheben nicht absichtlich Daten von Kindern unter 16 Jahren
  • ❌ Wenn wir feststellen, dass wir versehentlich Kinderdaten erhoben haben, löschen wir sie sofort
  • ⚠️ Eltern: Wenn Sie glauben, dass Ihr Kind uns Daten bereitgestellt hat, kontaktieren Sie uns: info@giftwego.com

Profile von Kindern als Empfänger:

  • ✅ Sie können Profile von Kindern als Empfänger erstellen (für Geschenktipps)
  • ✅ Dies ist in Ordnung, weil SIE (Erwachsener) die Daten bereitstellen, nicht das Kind selbst

10. Änderungen dieser Erklärung

10.1 Aktualisierung der Erklärung

Wir können diese Erklärung aus folgenden Gründen ändern:

  • Änderungen in Gesetzen (neue DSGVO-Anforderungen)
  • Neue Anwendungsfunktionen
  • Änderungen bei Auftragsverarbeitern (neuer E-Mail-Anbieter usw.)
  • Benutzerfeedback

10.2 Benachrichtigung über Änderungen

Geringfügige Änderungen (grammatikalische Korrekturen, Präzisierungen):

  • Wir aktualisieren das Datum "Letzte Aktualisierung"
  • Wir veröffentlichen auf der Website

Wesentliche Änderungen (neue Verarbeitungszwecke, neue Auftragsverarbeiter):

  • Wir senden E-Mail 30 Tage im Voraus
  • Wir zeigen Benachrichtigung in der Anwendung
  • Wir bitten um Überprüfung der neuen Erklärung

10.3 Ihre Einwilligung

Wenn Sie den Dienst nach Inkrafttreten der Änderungen weiternutzen:

  • Gilt dies als Einwilligung zur neuen Erklärung

Wenn Sie nicht einwilligen:

  • Sie können das Konto vor Inkrafttreten der Änderungen löschen
  • Kontaktieren Sie uns: info@giftwego.com

10.4 Archiv älterer Versionen

  • Ältere Versionen der Erklärung sind archiviert
  • Verfügbar auf Anfrage: info@giftwego.com

11. Internationale Benutzer

11.1 Dienst global verfügbar

GiftWeGo ist in 4 Sprachen verfügbar:

  • 🇨🇿 Tschechisch
  • 🇬🇧 Englisch
  • 🇩🇪 Deutsch
  • 🇫🇷 Französisch

11.2 Anwendbares Recht

Diese Erklärung unterliegt:

  • Tschechischem Recht (Sitz des Betreibers in Tschechien)
  • DSGVO (EU-Verordnung 2016/679) - gilt für alle Benutzer in der EU
  • Lokalen Datenschutzgesetzen (wenn Sie außerhalb der EU sind)

11.3 Benutzer außerhalb der EU

Wenn Sie GiftWeGo außerhalb der EU nutzen:

  • Ihre Daten können in die EU übermittelt werden (Server in der EU)
  • Durch Nutzung des Dienstes stimmen Sie der Datenübermittlung in die EU zu
  • Diese Erklärung und DSGVO gelten (auch wenn Sie außerhalb der EU sind)

Zusätzliche Rechte außerhalb der EU:

  • California Consumer Privacy Act (CCPA) - für Benutzer in Kalifornien
  • Andere lokale Datenschutzgesetze

12. Kontakt

12.1 Verantwortlicher

Ondřej Smutný Umsatzsteuer-ID: 75343533 Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik E-Mail: info@giftwego.com Web: https://giftwego.com

12.2 Datenschutzbeauftragter (DSB)

Nicht bestimmt (nicht obligatorisch für Selbstständige)

Für Datenschutzanfragen kontaktieren Sie: E-Mail: info@giftwego.com

12.3 Antwortzeiten

  • Allgemeine Anfragen: 7 Werktage
  • Auskunftsanfragen (Art. 15): 30 Tage
  • Andere Anfragen (Art. 16-21): 7-30 Tage (je nach Komplexität)
  • Beschwerden: 14 Tage

Bestätigung und Einwilligung

Durch Nutzung des Dienstes GiftWeGo bestätigen Sie, dass:

✓ Sie diese Datenschutzerklärung gelesen und verstanden haben ✓ Sie der Verarbeitung Ihrer personenbezogenen Daten gemäß dieser Erklärung zustimmen ✓ Sie über 16 Jahre alt sind (oder elterliche Zustimmung haben) ✓ Bereitgestellte Daten wahrheitsgemäß und vollständig sind

Gültig ab: 13. November 2025 Version: 1.0

© 2025 GiftWeGo. Alle Rechte vorbehalten.

Zurück zur Startseite
🎁