Datenschutzerklärung

Letzte Aktualisierung: 28. Dezember 2025

1. Einleitung

Willkommen zur Datenschutzerklärung von GiftWeGo.

Dieses Dokument beschreibt, wie Ondřej Smutný, Umsatzsteuer-ID: 75343533, Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik (im Folgenden "wir", "uns" oder "GiftWeGo") Ihre personenbezogenen Daten bei der Nutzung unserer Webanwendung unter giftwego.com verarbeitet.

1.1 Unser Engagement für den Datenschutz

• Wir respektieren Ihre Privatsphäre und nehmen den Schutz Ihrer personenbezogenen Daten ernst
• Wir halten uns an die DSGVO (EU) 2016/679 und das tschechische Gesetz Nr. 110/2019 Slg. über die Verarbeitung personenbezogener Daten
• Wir verarbeiten nur Daten, die für die Erbringung unserer Dienstleistungen erforderlich sind
• Wir verkaufen Ihre Daten niemals an Dritte für Marketingzwecke

1.2 Kontakt für Datenschutzfragen

Verantwortlicher: Ondřej Smutný Umsatzsteuer-ID: 75343533 Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik E-Mail: info@giftwego.com

Datenschutzbeauftragter (DSB): Nicht bestimmt (nicht obligatorisch für Selbstständige)

2. Welche personenbezogenen Daten wir verarbeiten

2.1 Daten, die wir direkt von Ihnen erheben

2.1.1 Registrierung und Benutzerkonto

Bei Registrierung mit E-Mail und Passwort:

• E-Mail (erforderlich) - Konto-Identifikator, Anmeldung, Kommunikation
• Name (erforderlich) - Anzeigename in der Anwendung
• Passwort (erforderlich) - gespeichert als bcrypt-Hash, niemals in lesbarer Form gespeichert

Bei Registrierung über Google/Facebook OAuth:

• E-Mail (vom OAuth-Anbieter)
• Name (vom OAuth-Anbieter)
• Profilbild (vom OAuth-Anbieter, optional)
• Google/Facebook-ID (für Kontozuordnung)

Optionale Profildaten:

• Vorname und Nachname
• Telefonnummer
• Geburtsdatum
• Präferenzen (Sprache, Währung, Zeitzone, Datumsformat)
• Benachrichtigungseinstellungen (E-Mail-Benachrichtigungen, Push-Benachrichtigungen)

2.1.2 Zahlungs- und Rechnungsinformationen

Daten für Guthaben-Käufe:

• Name (für Rechnung)
• E-Mail (für Rechnung und Bestätigung)
• Stripe-Kunden-ID (Referenz zu Ihrem Konto im Stripe-System)

Zahlungskartendaten:

• WICHTIG: Wir speichern oder verarbeiten NIEMALS Kreditkartennummern
• Karten werden ausschließlich von Stripe verarbeitet (PCI DSS zertifiziert)
• Wir speichern nur: Kartentyp (Visa, Mastercard), letzte 4 Ziffern, Ablaufdatum

Rechnungsadresse (optional, für Unternehmen):

• Firmenname
• Umsatzsteuer-ID, Steuernummer
• Rechnungsadresse (Straße, Stadt, Postleitzahl, Land)

Guthaben-Historie:

• Datum und Uhrzeit der Transaktionen
• Guthaben-Menge (Hinzufügung/Abzug)
• Transaktionstyp (Kauf, Bonus, Verbrauch, Erstattung)
• Stripe-Zahlungs-ID (für Buchhaltung und Erstattungen)
• Transaktionsbeschreibung

2.1.3 Empfängerprofile

Personenbezogene Daten der Geschenkempfänger, die Sie eingeben:

• Name des Empfängers
• Alter oder Geburtsdatum
• Geschlecht
• Beziehung zu Ihnen (Partner, Elternteil, Freund, Kollege usw.)

Interessen und Präferenzen:

• Interessen (Sport, Kunst, Reisen, Technologie usw.)
• Persönlichkeitsmerkmale
• Bevorzugte Marken
• Wohnungstyp und Standort (Stadttyp, konkreter Ort, Land)

Einschränkungen:

• Gesundheitliche Einschränkungen (Allergien, diätetische Einschränkungen - vegan, vegetarisch, glutenfrei usw.)
• Geschenkbeschränkungen (Alkohol, Elektronik, Kleidung usw.)

Geschenkhistorie:

• Geschenkname
• Preis
• Datum der Übergabe
• Anlass
• Erfolgsbewertung (1-5 Sterne)
• Notizen

Blacklist:

• Liste verbotener Produkte/Kategorien
• Grund für Ausschluss (optional)
• Datum hinzugefügt

Freie Notizen:

• Alle Notizen, die Sie über den Empfänger schreiben

2.1.4 KI-Empfehlungen und Historie

Bei Verwendung des KI-Advisors speichern wir:

• Sitzungs-ID (Gruppierung von Empfehlungen aus einer Sitzung)
• Snapshot der Empfängerinformationen (Name)
• Anlass (Geburtstag, Weihnachten usw.)
• Budget und Dringlichkeit
• KI-Empfehlungen (Name, Beschreibung, Begründung, Preis, Kategorie)
• Datum und Uhrzeit der Generierung
• Verbrauchte Credits

Feedback und Bewertungen:

• Bewertung einzelner Empfehlungen (Daumen hoch/runter)
• Sitzungsbewertung (1-5 Sterne)
• Textliches Feedback (optional)
• Für die Bewertung benötigte Zeit (für Analysen)

2.1.4 Chrome-Erweiterungs-Daten

Bei Verwendung der GiftWeGo Chrome-Erweiterung:

Produktinformationen von E-Commerce-Websites:

• Produktnamen, Preise, Beschreibungen, Bilder, URLs
• Nur erfasst, wenn Sie die Erweiterung aktiv auf Produktseiten verwenden
• Quellen: Amazon, Alza.cz, Mall.cz und andere E-Commerce-Websites
• Zweck: KI-Analyse zur Bewertung der Geschenkeignung

Erweiterungs-Authentifizierung:

• Zugriffstoken für Ihr GiftWeGo-Konto
• Lokal in Ihrem Browser über Chrome Storage API gespeichert
• Zweck: Nahtlose Integration mit Ihrem GiftWeGo-Konto

Benutzereinstellungen:

• Sprachauswahl (Englisch, Tschechisch, Deutsch, Französisch)
• Erweiterungseinstellungen (Checker aktiviert/deaktiviert)
• Schaltflächenpositionen pro Domain
• Lokal in Ihrem Browser gespeichert
• Zweck: Personalisierung und Funktionalität

Produktprüfungsverlauf:

• URLs von Produkten, die Sie mit KI analysiert haben
• Prüfzeitstempel und Ergebnisse
• Mit Ihrem GiftWeGo-Konto verknüpft
• Zweck: Bereitstellung des Analyseverlaufs und Verbesserung der Empfehlungen

Erklärung der Chrome-Erweiterungs-Berechtigungen:

• storage: Zum lokalen Speichern von Login, Einstellungen und Präferenzen
• activeTab: Zum Lesen von Produktinformationen von den Seiten, die Sie ansehen
• giftwego.com: Zur Kommunikation mit unserer API für KI-Analysen

Datenweitergabe:

• Produktdaten werden von unserem KI-Anbieter (Anthropic Claude) unter strenger Vertraulichkeit verarbeitet
• Wir verkaufen Ihre Daten niemals an Dritte
• Daten werden nicht für Werbezwecke verwendet

Datenlöschung:

• Lokale Daten: Automatisch gelöscht bei Deinstallation der Erweiterung
• Serverdaten: Folgen der Aufbewahrungsrichtlinie der Haupt-GiftWeGo-Anwendung (siehe Abschnitt 4)
• Löschung über info@giftwego.com anfordern

2.1.5 Cloud-Speicher-Daten

Bei Nutzung der Cloud-Speicher-Funktion:

Gutscheinvorlagen:

• Vorlagendesigns im JSON-Format (Layout, Farben, Textpositionen, Styling)
• Vorlagen-Metadaten (Name, Erstellungsdatum, letztes Änderungsdatum)
• Sichtbarkeitseinstellungen der Vorlagen (öffentlich/privat)

Hochgeladene Bilder:

• Eigene Bilder, die Sie hochladen (PNG, JPEG, WEBP, GIF-Formate)
• Bild-Metadaten (Dateiname, Größe, Abmessungen, Upload-Datum)
• Bild-Zuordnungen zu Vorlagen

KI-generierte Bilder:

• Durch KI-Bildgenerierung erstellte Bilder
• Generierungs-Prompts und Einstellungen
• Bild-Metadaten (Erstellungsdatum, zugeordnete Vorlage)

Eigene Schriftarten:

• Schriftdateien, die Sie hochladen (TTF, OTF, WOFF, WOFF2-Formate)
• Schrift-Metadaten (Familienname, Dateigröße, Upload-Datum)

Speichernutzungsdaten:

• Insgesamt verbrauchter Speicher
• Aufschlüsselung nach Kategorien (Vorlagen, Bilder, Schriftarten)
• Kontingentnutzung in Prozent

Datenaufbewahrung für Cloud-Speicher:

• Aktives Abonnement: Gespeichert für die Dauer des Abonnements
• Nach Kündigung: 7-tägige Kulanzfrist (nur Lesezugriff)
• Nach Kulanzfrist: Dauerhaft gelöscht
• Kostenlose Stufe: Begrenzter Speicher für die Dauer des Kontos

2.1.6 Business-Gutscheindaten

Bei Nutzung des Business-Modus für Geschenkgutscheinverwaltung:

Gutscheindaten:

• Gutscheinname (interne Bezeichnung)
• Gutscheintyp (Geschenkgutschein / Rabatt)
• Gutscheinwert (Geldbetrag oder Rabattprozentsatz)
• Währung (CZK, EUR, USD)
• Gültigkeitszeitraum (von Datum, bis Datum)
• Gutscheinstatus (aktiv, verwendet, abgelaufen, archiviert)
• Interne Notizen

Code-Daten:

• Generierte einzigartige Codes
• Code-Status (gültig, aktiv, verwendet, deaktiviert, abgelaufen)
• Code-Erstellungsdatum
• Code-Zuweisung zu Gutschein

Einlösehistorie:

• Datum und Uhrzeit der Einlösung
• Eingelöster Betrag
• Restwert
• Kundenidentifikation (falls angegeben - optional)
• Einlösenotiz (falls angegeben - optional)

Vorlagendaten:

• Vorlagenaktivierungsstatus (aktiviert/nicht aktiviert)
• Aktivierungsdatum
• Aktivierungsmethode (Premium/Credits/Zahlung)
• Anzahl der aus Vorlage generierten Codes

Statistiken und Analysen:

• Gesamtzahl generierter Codes
• Anzahl aktiver/verwendeter/abgelaufener Codes
• Gesamtgutscheinwert
• Restwert
• Einlösungsrate

Datenaufbewahrung für Business-Gutscheine:

• Aktives Konto: Für die Dauer des Kontos
• Nach Kontolöschung: Daten werden innerhalb von 30 Tagen dauerhaft gelöscht
• Einlösehistorie: Für Buchhaltungszwecke 10 Jahre aufbewahrt
• Statistische Daten: Anonymisiert und aggregiert zur Serviceverbesserung

Rechtsgrundlage für die Verarbeitung:

• Vertragserfüllung (Art. 6(1)(b) DSGVO) - Bereitstellung des Business-Gutschein-Services
• Berechtigtes Interesse (Art. 6(1)(f) DSGVO) - Betrugs- und Missbrauchsprävention

2.2 Daten, die wir automatisch erheben

2.2.1 Technische Daten

Bei Besuch der Website und Nutzung der Anwendung:

• IP-Adresse (anonymisiert für Analysen)
• User Agent (Browsertyp, Betriebssystem, Gerätetyp)
• Referrer (woher Sie kamen)
• Sitzungs-ID (zur Sitzungsverfolgung)
• Zeitstempel (Datum und Uhrzeit des Besuchs)

2.2.2 Cookies und Tracking

Erforderliche Cookies (ohne Einwilligung):

• Sitzungs-Cookie (Anmeldung, Authentifizierung)
• Sicherheits-Tokens (CSRF-Schutz)
• Präferenzen (Sprache, Theme)

Analyse-Cookies (mit Einwilligung):

• Google Analytics 4 - Website-Traffic-Analyse
• Microsoft Clarity - Session Recording, Heatmaps, Benutzerverhalten-Analyse
• Verhaltens-Tracking auf öffentlichen Seiten und im eingeloggten Bereich der Anwendung (Dashboard) zur UX-Verbesserung
• Anonymisierte Daten zur Service-Optimierung
• Im Dashboard werden alle personenbezogenen Daten (Namen, E-Mails, Adressen) automatisch maskiert — in Session-Recordings werden diese Informationen unkenntlich dargestellt

WICHTIG: Ab 31. Oktober 2025 erfordert Microsoft Clarity eine ausdrückliche Einwilligung für Nutzer aus EWR, UK und der Schweiz. Vor Erteilung der Einwilligung arbeitet Clarity im "No-Consent"-Modus (ohne Cookies und Session-Tracking).

2.2.3 Affiliate-Tracking

Für Partner-Provisionen verfolgen wir:

• Klicks auf Affiliate-Links
• Partner (Google, Heureka, Alza usw.)
• Produkt/Kategorie
• Empfehlungs-ID (Zuordnung zur Empfehlung)
• Benutzer-ID (für Statistiken)
• Zeitstempel

WICHTIG: Affiliate-Partner ERHALTEN NICHT Ihre personenbezogenen Daten (Name, E-Mail). Das Tracking ist anonymisiert.

2.3 Daten, die uns von Dritten zur Verfügung gestellt werden

2.3.1 OAuth-Anbieter (Google, Facebook)

Wenn Sie sich über Google/Facebook registrieren:

• E-Mail
• Name
• Profilbild (falls Sie es zulassen)
• OAuth-Anbieter-ID

Was wir NICHT ERHALTEN:

• Ihr Google/Facebook-Kontopasswort
• Kontaktliste
• E-Mail-Inhalte
• Aktivitätsverlauf

2.3.2 Stripe (Zahlungsabwickler)

Stripe stellt uns zur Verfügung:

• Kunden-ID (Referenz zu Ihrem Konto)
• Zahlungsmethoden-ID (Referenz zur gespeicherten Karte)
• Zahlungsabsichts-Status (erfolgreiche/erfolglose Zahlung)
• Webhook-Ereignisse (Zahlungsereignisse)

Stripe stellt uns NICHT zur Verfügung:

• Kreditkartennummern (nur letzte 4 Ziffern)
• CVV-Codes
• PIN-Codes

3. Warum wir Ihre Daten verarbeiten (Rechtsgrundlagen)

3.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Wir benötigen zur Dienstleistungserbringung:

• E-Mail, Name, Passwort - für Kontoerstellung und -verwaltung
• Empfängerprofile - Kern des KI-Advisor-Dienstes
• KI-Empfehlungshistorie - Bereitstellung personalisierter Dienste
• Credits und Zahlungen - Ausführung des Kaufvertrags

Ohne diese Daten können wir den Dienst nicht erbringen.

3.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Zur Verbesserung des Dienstes und seiner Nachhaltigkeit:

• Affiliate-Tracking - Monetarisierung des Dienstes zur Nachhaltigkeit
• Analysen - Verbesserung der KI-Empfehlungen und Benutzererfahrung
• Betrugserkennung - Schutz vor Missbrauch des Dienstes und Betrug
• Technische Logs - Lösung technischer Probleme und Fehler

Wir wägen unser berechtigtes Interesse gegen Ihre Rechte ab. Sie können Widerspruch einlegen (siehe Abschnitt 7).

3.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Wir benötigen Ihre ausdrückliche Einwilligung für:

• Marketing-E-Mails (Newsletter, Tipps, Angebote)
  • Opt-in, Standardeinstellung: NEIN
  • Sie können jederzeit widerrufen (Link in E-Mail oder Einstellungen)
• Push-Benachrichtigungen (Ereigniserinnerungen, Tipps)
  • Muss in den Browsereinstellungen aktiviert werden
  • Sie können jederzeit deaktivieren
• Analyse-Cookies (Google Analytics)
  • Wir zeigen Cookie-Banner beim ersten Besuch
  • Sie können ablehnen

Widerruf der Einwilligung:

• Berührt nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf
• Sie können jederzeit in den Kontoeinstellungen widerrufen

3.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Wir müssen gesetzlich aufbewahren:

• Rechnungsdaten und Zahlungshistorie - Buchhaltungsgesetz (5 Jahre)
• Steuerunterlagen - Steuervorschriften (10 Jahre für einige Dokumente)

Wir können diese Daten nicht löschen, auch nicht auf Anfrage, aber sie werden anonymisiert (Entfernung von Name, E-Mail).

4. Wie lange wir Daten aufbewahren

4.1 Aktive Konten

Für die Dauer Ihres Kontos:

• Alle Profildaten, Empfänger, Empfehlungen
• Guthaben-Historie und Transaktionen
• Präferenzen und Einstellungen

4.2 Inaktive Konten

Nach 24 Monaten Inaktivität:

• Wir senden Ihnen eine Warn-E-Mail
• Wir bieten die Möglichkeit zur Kontoverlängerung

Nach 36 Monaten Inaktivität:

• Konto wird automatisch gelöscht
• Sie werden 30 Tage im Voraus benachrichtigt

4.3 Nach Kontolöschung

Personenbezogene Daten (sofort, max. 30 Tage):

• Alle Empfängerprofile - GELÖSCHT
• Alle KI-Empfehlungen - GELÖSCHT
• Präferenzen und Einstellungen - GELÖSCHT
• E-Mail und Name - GELÖSCHT
• Benutzerkonto - GELÖSCHT

Finanzdaten (5-10 Jahre, anonymisiert):

• Guthaben- und Zahlungshistorie - ANONYMISIERT (ohne Name und E-Mail)
• Rechnungen - ANONYMISIERT (ersetzt durch anonyme ID)
• Grund: Gesetzliche Verpflichtung (Buchhaltung, Steuern)

Anonymisierte Daten (unbegrenzt):

• Aggregierte Statistiken (z.B. "durchschnittliche Anzahl von Empfängern pro Benutzer")
• Kann nicht auf Sie zurückgeführt werden

4.4 KI-Empfehlungshistorie

Automatisches Limit:

• Max. 500 Datensätze pro Benutzer
• Älteste Datensätze werden automatisch gelöscht, wenn Limit überschritten

Empfehlung: Exportieren Sie regelmäßig wichtige Empfehlungen (JSON-Format).

4.5 Cookies

Sitzungs-Cookies: Nach Abmeldung oder Browserschließung gelöscht Persistente Cookies: Gültigkeit 30 Tage - 1 Jahr (je nach Typ) Analyse-Cookies: Gültigkeit 2 Jahre (Google Analytics Standard)

5. Mit wem wir Ihre Daten teilen

5.1 Auftragsverarbeiter (Subunternehmer)

Wir nutzen folgende vertrauenswürdige Auftragsverarbeiter:

5.1.1 Anthropic Inc. (Claude API)

• Zweck: Generierung von KI-Geschenkempfehlungen
• Übermittelte Daten:
  • Empfängerinformationen (Name, Alter, Geschlecht, Interessen, Persönlichkeit)
  • Anlass, Budget, Dringlichkeit
  • Geschenkhistorie (für bessere Empfehlungen)
  • Produkt-Blacklist
• Rechtsgrundlage: Vertragserfüllung (Bereitstellung des KI-Dienstes)
• Standort: USA
• Schutz:
  • Anthropic hat eigene DSGVO-konforme Richtlinien
  • Daten werden nicht langfristig gespeichert oder für KI-Training verwendet
  • Standardvertragsklauseln (SCCs) für Übermittlung in die USA
• Mehr Infos: https://www.anthropic.com/legal/privacy

5.1.2 Stripe Inc.

• Zweck: Zahlungsabwicklung für Credits
• Übermittelte Daten:
  • E-Mail, Name (für Rechnung)
  • Zahlungsdetails (Karten werden nur von Stripe verarbeitet)
  • Rechnungsadresse (falls Sie angeben)
• Rechtsgrundlage: Vertragserfüllung (Zahlungen)
• Standort: USA/EU (EU-Rechenzentren verfügbar)
• Schutz:
  • PCI DSS Level 1 Zertifizierung (höchste Sicherheitsstufe)
  • DSGVO-konformer Auftragsverarbeitungsvertrag (AVV)
  • Standardvertragsklauseln (SCCs)
• Mehr Infos: https://stripe.com/privacy

5.1.3 Vercel Inc. (Hosting)

• Zweck: Hosting der Webanwendung
• Übermittelte Daten:
  • Technische Daten (IP-Adressen, User Agent)
  • Sitzungsdaten
• Rechtsgrundlage: Berechtigtes Interesse (Dienstbetrieb)
• Standort: Edge Network, primär EU-Region (Frankfurt, Amsterdam)
• Schutz: DSGVO-konform, SOC 2 Type II Zertifizierung
• Mehr Infos: https://vercel.com/legal/privacy-policy

5.1.4 MongoDB Inc. (Datenbank)

• Zweck: Speicherung von Anwendungsdaten
• Übermittelte Daten: Alle Anwendungsdaten (Profile, Empfehlungen, Credits)
• Rechtsgrundlage: Vertragserfüllung (Datenspeicherung)
• Standort: Gemäß MongoDB Atlas Konfiguration (üblicherweise EU-Region)
• Schutz: DSGVO-konform, ISO 27001, SOC 2 Type II
• Mehr Infos: https://www.mongodb.com/legal/privacy-policy

5.1.5 Cloudflare Inc. (Cloud-Speicher - R2)

• Zweck: Speicherung von benutzerdefinierten Gutscheinvorlagen, Bildern, KI-generierten Bildern und eigenen Schriftarten
• Übermittelte Daten:
  • Gutscheinvorlagen-Designs (JSON-Format)
  • Hochgeladene Bilder (PNG, JPEG, WEBP, GIF)
  • KI-generierte Bilder
  • Eigene Schriftdateien (TTF, OTF, WOFF, WOFF2)
  • Datei-Metadaten (Namen, Größen, Zeitstempel, öffentlich/privat-Status)
• Rechtsgrundlage: Vertragserfüllung (Bereitstellung des Cloud-Speicherdienstes)
• Standort: Globales Edge Network, EU-Region verfügbar
• Aufbewahrungsdauer:
  • Für aktive Abonnements: Gespeichert für die Dauer des Abonnements
  • Nach Abonnement-Kündigung: 7-tägige Kulanzfrist, dann dauerhafte Löschung
  • Kostenlose Stufe: Begrenzter Speicher (1 Vorlage, 3 Bilder) für die Dauer des Kontos
• Schutz:
  • S3-kompatibler Speicher mit Verschlüsselung im Ruhezustand (AES-256)
  • Verschlüsselung bei Übertragung (TLS 1.3)
  • DSGVO-konform, ISO 27001 zertifiziert
  • Daten nach Benutzer-ID isoliert (kein benutzerübergreifender Zugriff)
  • Standardvertragsklauseln (SCCs) für internationale Übertragungen
• Ihre Rechte:
  • Sie können einzelne Dateien jederzeit im Cloud-Dashboard löschen
  • Sie können alle Vorlagen vor Kontolöschung exportieren
  • Bei Kontolöschung werden alle Cloud-Daten dauerhaft entfernt
• Mehr Infos: https://www.cloudflare.com/privacypolicy/

5.1.6 Resend (E-Mail-Anbieter)

• Zweck: Versand von transaktionalen und Marketing-E-Mails
• Übermittelte Daten:
  • E-Mail, Name
  • Personalisierungsdaten (z.B. Empfängername für Erinnerung)
• Rechtsgrundlage: Vertragserfüllung / Einwilligung (Marketing)
• Standort: USA/EU (gemäß Konfiguration)
• Schutz: DSGVO-konformer Dienst
• Mehr Infos: https://resend.com/legal/privacy-policy

5.1.7 Google Analytics 4

• Zweck: Analyse von Website-Traffic und Benutzerverhalten
• Übermittelte Daten:
  • Anonymisierte IP-Adresse
  • User Agent, Website-Verhalten
  • Cookies (mit Einwilligung)
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
• Standort: USA
• Schutz:
  • IP-Anonymisierung aktiviert
  • Google Analytics 4 (DSGVO-freundlich)
  • Kann über Cookie-Banner abgelehnt werden
  • Startet nicht ohne Einwilligung - Consent-Kontrolle implementiert
• Mehr Infos: https://policies.google.com/privacy

5.1.8 Microsoft Clarity (Session Recording & Heatmaps)

• Zweck: Analyse des Benutzerverhaltens, Session Recording, Heatmaps und Verbesserung der Benutzererfahrung. Diese Daten helfen uns zu verstehen, wie Benutzer mit der Anwendung arbeiten, Bedienungsprobleme zu identifizieren und die Servicequalität kontinuierlich zu verbessern. Wir verfolgen Benutzer nicht zum Zweck der Profilerstellung, des Anzeigen-Targetings oder einer anderen kommerziellen Nutzung personenbezogener Daten.
• Umfang: Die Analyse erfolgt auf öffentlichen Seiten sowie im eingeloggten Bereich der Anwendung (Dashboard). Im Dashboard werden alle Formulareingaben und personenbezogenen Daten automatisch maskiert (Namen der Beschenkten, E-Mails, Adressen sind in den Aufzeichnungen nicht sichtbar).
• Identifikation: Zur Verknüpfung von Session Recordings verwenden wir eine anonymisierte Benutzer-ID (interner Identifikator, keine E-Mail oder Name). Dies ermöglicht uns die Analyse von Benutzerwegen über Sitzungen hinweg, ohne die spezifische Identität des Benutzers zu kennen.
• Übermittelte Daten:
  • Mit Einwilligung:
    • Session Recordings (Mausbewegungen, Klicks, Scrollen)
    • Heatmaps (wo Benutzer klicken und scrollen)
    • IP-Adresse (anonymisiert)
    • User Agent, Gerätetyp
    • URLs besuchter Seiten
    • Session-ID für seitenübergreifende Verknüpfung
    • Anonymisierte Benutzer-ID (nur im Dashboard)
  • Ohne Einwilligung (No-Consent-Modus):
    • Nur grundlegende anonyme Metriken ohne Cookies
    • Keine Session Recordings
    • Keine seitenübergreifende Verknüpfung
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
• Standort: USA (Microsoft Azure Cloud)
• Data Controller: Microsoft Ireland Operations Limited (für EU-Nutzer)
• Aufbewahrungsdauer:
  • Session Recordings: 30 Tage
  • Heatmaps: 13 Monate
  • Favorite Recordings: bis zu 13 Monate
• Schutz:
  • EU-US Data Privacy Framework Compliance (von EC im Juli 2023 genehmigt)
  • Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO
  • Automatische Anonymisierung sensibler Daten (Passwörter, Kartennummern)
  • Clarity Consent API v2 implementiert (Consent Enforcement ab 31.10.2025)
  • DSGVO-konformes Data Processing Agreement
  • Startet nicht ohne Einwilligung - Session Recording nur nach Consent aktiv
• Ihre Rechte:
  • Sie können im Cookie-Banner ablehnen
  • Sie können die Einwilligung jederzeit in den Cookie-Einstellungen widerrufen
  • Ohne Einwilligung läuft im "No-Consent"-Modus (kein Tracking)
• Mehr Infos:
  • https://learn.microsoft.com/en-us/clarity/faq
  • https://privacy.microsoft.com/de-de/privacystatement

5.1.9 Error Tracking System (Debugging und Monitoring)

• Zweck: Gewährleistung der Website-Stabilität und -Sicherheit, Erkennung und Behebung technischer Fehler
• Erfasste Daten:
  • Fehlermeldungen
  • Stack Traces (technische Fehlerinformationen)
  • URL der Seite, auf der der Fehler auftrat
  • User Agent (Browser, OS)
  • IP-Adresse (anonymisiert)
  • User-ID und E-Mail (nur für angemeldete Benutzer)
  • Zeitstempel (Zeitpunkt des Fehlers)
• Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
  • Begründung: Die Gewährleistung der Sicherheit und Funktionalität des Dienstes ist für den Website-Betrieb unerlässlich. Benutzer erwarten einen stabilen und funktionierenden Service. Error Monitoring ist notwendig zur Identifizierung und Behebung technischer Probleme.
  • Interessenabwägung: Minimaler Eingriff in die Privatsphäre (nur technische Daten) vs. kritischer Bedarf zur Gewährleistung der Service-Funktionalität → berechtigtes Interesse überwiegt
  • Erwägungsgrund 49 DSGVO: Die Verarbeitung personenbezogener Daten in dem Umfang, der für die Gewährleistung der Netz- und Informationssicherheit unbedingt erforderlich ist, stellt ein berechtigtes Interesse dar
• Standort: MongoDB Atlas (EU-Region)
• Aufbewahrungsdauer: 90 Tage, dann automatische Löschung
• Schutz:
  • Wir speichern nur für Debugging notwendige Daten
  • IP-Adressen wo möglich anonymisiert
  • Keine sensiblen Informationen (Passwörter, Zahlungsdetails) werden protokolliert
  • Automatische Retention Policy (90 Tage)
  • Zugriff nur für Admins
  • End-to-End-Verschlüsselung bei Übertragung (TLS)
• Ihre Rechte:
  • Sie können Widerspruch gegen die Verarbeitung einlegen (siehe Abschnitt 7.5)
  • Bei Widerspruch prüfen wir die Einstellung der Verarbeitung, sofern keine zwingenden Gründe vorliegen
  • Hinweis: Error Monitoring ist kritisch für die Service-Sicherheit - ohne können wir die Anwendungsstabilität nicht gewährleisten
• Funktionen: Automatische Erfassung von JavaScript-Fehlern, unbehandelten Promises, React-Render-Fehlern, API-Fehlern### 5.2 Affiliate-Partner

Partner, zu denen wir verlinken:

• Google (Suche)
• Heureka.cz (Preisvergleich)
• Alza.cz, Mall.cz, Datart.cz (E-Shops)
• Amazon.cz (Marktplatz)

Was wir ihnen NICHT ÜBERMITTELN:

• Ihren Namen, E-Mail, Telefon
• Empfängerprofile
• KI-Empfehlungen

Was sie erhalten können:

• Referrer (dass Sie von giftwego.com kamen)
• UTM-Parameter (Tracking-Codes für Provision)
• Anonyme Click-ID (zur Conversion-Verfolgung)

Wenn Sie bei einem Partner kaufen:

• Partner hat eigene Datenschutzerklärung
• Deren Bedingungen gelten, nicht unsere
• GiftWeGo ist nicht verantwortlich für deren Datenverarbeitung

5.3 Rechtliche Anforderungen

Wir können verpflichtet sein, Daten offenzulegen:

• Gerichte - aufgrund gerichtlicher Anordnung
• Polizei - bei strafrechtlichen Ermittlungen
• Steuerbehörden - für Buchhaltungsprüfung
• Datenschutzbehörde - bei DSGVO-Compliance-Prüfung

In diesen Fällen geben wir nur die minimal notwendigen Daten preis.

5.4 Was wir NIEMALS tun

❌ VERKAUFEN NICHT Ihre Daten an Dritte ❌ TEILEN NICHT Daten für Marketing Dritter (gezielte Werbung) ❌ VERMIETEN NICHT E-Mail-Datenbank ❌ ÜBERMITTELN NICHT Daten außerhalb der oben genannten Auftragsverarbeiter

6. Datenübermittlung außerhalb der EU

6.1 Übermittlungen in die USA

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA:

• Anthropic Inc. (Claude API)
• Stripe Inc. (Zahlungen)
• Cloudflare Inc. (Cloud-Speicher - R2)
• Resend (E-Mails)
• Google Analytics 4 (Analysen - mit Einwilligung)
• Microsoft Clarity (Session Recording, Heatmaps - mit Einwilligung)
• Error Tracking System (Fehler-Monitoring - berechtigtes Interesse)

6.2 Schutzmechanismen

Für Übermittlungen in die USA verwenden wir:

1. Standardvertragsklauseln (SCCs) - von der Europäischen Kommission genehmigt
2. Auftragsverarbeitungsverträge (AVV) - Datenverarbeitungsverträge
3. EU-Rechenzentren - wenn verfügbar (Stripe, Vercel)
4. Zusätzliche Sicherheitsmaßnahmen:
   • Verschlüsselung bei Übertragung (TLS 1.3)
   • Verschlüsselung gespeicherter Daten (encryption at rest)
   • Minimierung übermittelter Daten

6.3 Ihre Rechte

Sie haben das Recht:

• Eine Kopie der Standardvertragsklauseln zu erhalten
• Widerspruch gegen Übermittlung außerhalb der EU einzulegen
• Im Falle eines Widerspruchs können wir keine Dienste erbringen, die Übermittlung erfordern (z.B. KI-Advisor)

Anfragen senden Sie an: info@giftwego.com

7. Ihre Rechte (DSGVO Art. 15-22)

7.1 Auskunftsrecht (Art. 15)

Sie haben das Recht zu erhalten:

• Bestätigung, ob wir Ihre Daten verarbeiten
• Kopie aller Ihrer personenbezogenen Daten
• Informationen über Verarbeitungszweck, Datenkategorie, Empfänger
• Informationen über Aufbewahrungsdauer
• Informationen über Ihre Rechte

Wie Sie es ausüben:

1. In der Anwendung: Anmelden → Einstellungen → Daten exportieren → JSON herunterladen
2. Per E-Mail: Schreiben Sie an info@giftwego.com (wir verifizieren Ihre Identität)

Lieferfrist: 30 Tage ab Anfrage (KOSTENLOS, erste Anfrage)

7.2 Recht auf Berichtigung (Art. 16)

Sie haben das Recht zu korrigieren:

• Unrichtige personenbezogene Daten
• Unvollständige Daten (fehlende ergänzen)

Wie Sie es ausüben:

1. In der Anwendung: Anmelden → Profil / Empfänger → Daten bearbeiten
2. Per E-Mail: info@giftwego.com (für Daten, die Sie nicht selbst bearbeiten können)

Frist: Sofort (bei Bearbeitung in der Anwendung), 7 Tage (bei E-Mail-Anfrage)

7.3 Recht auf Löschung / Recht auf Vergessenwerden (Art. 17)

Sie haben das Recht, Löschung von Daten zu verlangen, wenn:

• Daten für den ursprünglichen Zweck nicht mehr erforderlich sind
• Sie die Einwilligung widerrufen und es keine andere Rechtsgrundlage gibt
• Sie erfolgreich Widerspruch einlegen (siehe 7.6)
• Daten unrechtmäßig verarbeitet wurden
• Daten gemäß gesetzlicher Verpflichtung gelöscht werden müssen

Wie Sie es ausüben:

1. In der Anwendung: Anmelden → Einstellungen → Konto löschen
   • Bestätigen Sie den Satz "MEIN KONTO LÖSCHEN"
   • Löschung ist unwiderruflich
2. Per E-Mail: info@giftwego.com (falls Sie sich nicht anmelden können)

Was gelöscht wird:

• ✅ Alle Empfängerprofile
• ✅ Alle KI-Empfehlungen
• ✅ Ihre Präferenzen und Einstellungen
• ✅ E-Mail, Name, Telefon
• ✅ Benutzerkonto

Was NICHT gelöscht wird (gesetzliche Verpflichtung):

• ⚠️ Guthaben- und Zahlungshistorie (5 Jahre) - aber ANONYMISIERT
• ⚠️ Rechnungen (10 Jahre) - aber ANONYMISIERT
• Grund: Buchhaltungsgesetz, Steuervorschriften

Frist: Sofort (max. 30 Tage für vollständige Löschung)

7.4 Recht auf Datenübertragbarkeit (Art. 20)

Sie haben das Recht, Daten in maschinenlesbarem Format zu erhalten:

• Format: JSON (JavaScript Object Notation)
• Inhalt: Alle Daten, die Sie uns bereitgestellt haben

Wie Sie es ausüben: Anmelden → Einstellungen → Daten exportieren → JSON herunterladen

Export enthält:

• ✅ Benutzerprofil (Name, E-Mail, Präferenzen)
• ✅ Alle Empfängerprofile (einschließlich Geschenkhistorie, Blacklist)
• ✅ Alle KI-Empfehlungen (einschließlich Begründung und Feedback)
• ✅ Guthaben-Historie (Transaktionen, Käufe)

Frist: Sofort (Generierung dauert ca. 5-10 Sekunden)

Übermittlung an anderen Verantwortlichen:

• Sie können uns um direkte Datenübermittlung an einen anderen Verantwortlichen bitten (wenn technisch machbar)
• Anfrage senden an: info@giftwego.com

7.5 Recht auf Einschränkung der Verarbeitung (Art. 18)

Sie haben das Recht, Einschränkung (Aussetzung) der Verarbeitung zu verlangen, wenn:

• Sie die Richtigkeit der Daten bestreiten (Einschränkung für Überprüfungszeitraum)
• Verarbeitung unrechtmäßig ist, aber Sie keine Löschung wünschen (Sie wünschen nur Einschränkung)
• Wir die Daten nicht mehr benötigen, aber Sie sie für Rechtsanspruch benötigen
• Sie Widerspruch eingelegt haben (Einschränkung für Beurteilungszeitraum)

Wie Sie es ausüben: Per E-Mail an: info@giftwego.com (beschreiben Sie den Grund)

Was es bedeutet:

• Ihre Daten werden gespeichert, aber wir werden sie nicht aktiv verarbeiten
• Konto wird deaktiviert (Anmeldung nicht möglich)
• Nach Lösung des Einschränkungsgrundes werden wir Sie informieren

Frist: 7 Werktage ab Anfrage

7.6 Widerspruchsrecht (Art. 21)

Sie haben das Recht, Widerspruch gegen Verarbeitung aufgrund berechtigten Interesses einzulegen:

• ❌ Affiliate-Tracking
• ❌ Analysen (Verhaltens-Tracking)
• ❌ Marketing (auch mit Einwilligung - Sie können Einwilligung widerrufen)

Wie Sie es ausüben:

1. In der Anwendung: Einstellungen → Datenschutz → Affiliate-Tracking / Analysen deaktivieren
2. Marketing: "Abmelden"-Link in E-Mail
3. Per E-Mail: info@giftwego.com

Was passiert:

• Wir werden die Datenverarbeitung für diesen Zweck einstellen
• Wenn wir eine andere Rechtsgrundlage haben (z.B. Vertragserfüllung), können wir fortfahren

Frist: Sofort (bei Deaktivierung in der Anwendung), 7 Tage (bei E-Mail-Anfrage)

7.7 Recht, nicht Gegenstand automatisierter Entscheidungsfindung zu sein (Art. 22)

GiftWeGo VERWENDET KEINE vollautomatisierte Entscheidungsfindung, die rechtliche Folgen hätte oder Sie erheblich beeinträchtigen würde.

KI-Advisor:

• KI-Empfehlungen sind nur Vorschläge und Inspiration
• Endgültige Entscheidung liegt immer bei Ihnen
• KI hat keine rechtliche Wirkung auf Sie

Es gibt keine automatisierte:

• ❌ Konto-Genehmigung/-Ablehnung
• ❌ Preisgestaltung basierend auf Profil
• ❌ Entscheidungen über Dienstzugang

7.8 Beschwerderecht

Wenn Sie glauben, dass wir gegen die DSGVO verstoßen, haben Sie das Recht, Beschwerde einzulegen:

Úřad pro ochranu osobních údajů (ÚOOÚ) Pplk. Sochora 27 170 00 Prag 7 Tschechische Republik

Telefon: +420 234 665 111 E-Mail: posta@uoou.cz Web: www.uoou.cz

Online-Einreichung: https://www.uoou.cz/rades

Wir empfehlen: Kontaktieren Sie uns zuerst (info@giftwego.com) - wir lösen die meisten Probleme direkt.

8. Sicherheit Ihrer Daten

8.1 Technische Maßnahmen

Verschlüsselung:

• ✅ HTTPS (TLS 1.3) - gesamte Kommunikation zwischen Ihnen und Server ist verschlüsselt
• ✅ Verschlüsselung gespeicherter Daten - Daten in Datenbank sind verschlüsselt
• ✅ Bcrypt-Hash - Passwörter werden mit 12 Salt-Rounds gehasht (können nicht entschlüsselt werden)

Authentifizierung und Autorisierung:

• ✅ JWT-Token - sichere Sitzungsverwaltung (30 Tage Gültigkeit)
• ✅ Benutzerisolierung - jede Datenbankabfrage nach userId gefiltert (Schutz vor Datenlecks)
• ✅ CSRF-Schutz - Schutz vor Cross-Site Request Forgery Angriffen
• ✅ Rate Limiting - Schutz vor Brute-Force-Angriffen

Infrastruktur:

• ✅ Vercel Edge Network - DDoS-Schutz, geografische Verteilung
• ✅ MongoDB Atlas - verwaltete Datenbank mit automatischen Backups
• ✅ Stripe - PCI DSS Level 1 Zertifizierung für Zahlungen

8.2 Organisatorische Maßnahmen

Datenzugriff:

• ✅ Prinzip der minimalen Berechtigung - Zugriff nur für autorisierte Personen
• ✅ Audit-Logs - Aufzeichnung von Zugriffen auf sensible Daten
• ✅ Regelmäßige Überprüfungen - Kontrolle von Zugriffsrechten

Schulung:

• ✅ Betreiber ist mit DSGVO-Anforderungen vertraut
• ✅ Verwendung sicherer Praktiken bei der Entwicklung

Verträge mit Auftragsverarbeitern:

• ✅ Auftragsverarbeitungsverträge (AVV) mit allen Subunternehmern
• ✅ Gewährleistung der DSGVO-Compliance bei Auftragsverarbeitern

8.3 Meldung von Sicherheitsvorfällen

Im Falle einer Datenpanne:

• ✅ Wir melden ÚOOÚ innerhalb von 72 Stunden nach Feststellung (wenn Risiko besteht)
• ✅ Wir informieren betroffene Benutzer unverzüglich (wenn hohes Risiko besteht)
• ✅ Wir beschreiben die Art des Vorfalls, seine Folgen und ergriffene Maßnahmen

Meldung von Sicherheitslücken: Wenn Sie eine Sicherheitslücke entdecken, kontaktieren Sie uns: info@giftwego.com

9. Daten von Kindern

GiftWeGo IST NICHT für Kinder unter 16 Jahren bestimmt.

• ❌ Wir erheben nicht absichtlich Daten von Kindern unter 16 Jahren
• ❌ Wenn wir feststellen, dass wir versehentlich Kinderdaten erhoben haben, löschen wir sie sofort
• ⚠️ Eltern: Wenn Sie glauben, dass Ihr Kind uns Daten bereitgestellt hat, kontaktieren Sie uns: info@giftwego.com

Profile von Kindern als Empfänger:

• ✅ Sie können Profile von Kindern als Empfänger erstellen (für Geschenktipps)
• ✅ Dies ist in Ordnung, weil SIE (Erwachsener) die Daten bereitstellen, nicht das Kind selbst

10. Änderungen dieser Erklärung

10.1 Aktualisierung der Erklärung

Wir können diese Erklärung aus folgenden Gründen ändern:

• Änderungen in Gesetzen (neue DSGVO-Anforderungen)
• Neue Anwendungsfunktionen
• Änderungen bei Auftragsverarbeitern (neuer E-Mail-Anbieter usw.)
• Benutzerfeedback

10.2 Benachrichtigung über Änderungen

Geringfügige Änderungen (grammatikalische Korrekturen, Präzisierungen):

• Wir aktualisieren das Datum "Letzte Aktualisierung"
• Wir veröffentlichen auf der Website

Wesentliche Änderungen (neue Verarbeitungszwecke, neue Auftragsverarbeiter):

• Wir senden E-Mail 30 Tage im Voraus
• Wir zeigen Benachrichtigung in der Anwendung
• Wir bitten um Überprüfung der neuen Erklärung

10.3 Ihre Einwilligung

Wenn Sie den Dienst nach Inkrafttreten der Änderungen weiternutzen:

• Gilt dies als Einwilligung zur neuen Erklärung

Wenn Sie nicht einwilligen:

• Sie können das Konto vor Inkrafttreten der Änderungen löschen
• Kontaktieren Sie uns: info@giftwego.com

10.4 Archiv älterer Versionen

• Ältere Versionen der Erklärung sind archiviert
• Verfügbar auf Anfrage: info@giftwego.com

11. Internationale Benutzer

11.1 Dienst global verfügbar

GiftWeGo ist in 4 Sprachen verfügbar:

• 🇨🇿 Tschechisch
• 🇬🇧 Englisch
• 🇩🇪 Deutsch
• 🇫🇷 Französisch

11.2 Anwendbares Recht

Diese Erklärung unterliegt:

• Tschechischem Recht (Sitz des Betreibers in Tschechien)
• DSGVO (EU-Verordnung 2016/679) - gilt für alle Benutzer in der EU
• Lokalen Datenschutzgesetzen (wenn Sie außerhalb der EU sind)

11.3 Benutzer außerhalb der EU

Wenn Sie GiftWeGo außerhalb der EU nutzen:

• Ihre Daten können in die EU übermittelt werden (Server in der EU)
• Durch Nutzung des Dienstes stimmen Sie der Datenübermittlung in die EU zu
• Diese Erklärung und DSGVO gelten (auch wenn Sie außerhalb der EU sind)

Zusätzliche Rechte außerhalb der EU:

• California Consumer Privacy Act (CCPA) - für Benutzer in Kalifornien
• Andere lokale Datenschutzgesetze

12. Kontakt

12.1 Verantwortlicher

Ondřej Smutný Umsatzsteuer-ID: 75343533 Sitz: Družstevní 511, 294 41 Dobrovice, Tschechische Republik E-Mail: info@giftwego.com Web: https://giftwego.com

12.2 Datenschutzbeauftragter (DSB)

Nicht bestimmt (nicht obligatorisch für Selbstständige)

Für Datenschutzanfragen kontaktieren Sie: E-Mail: info@giftwego.com

12.3 Antwortzeiten

• Allgemeine Anfragen: 7 Werktage
• Auskunftsanfragen (Art. 15): 30 Tage
• Andere Anfragen (Art. 16-21): 7-30 Tage (je nach Komplexität)
• Beschwerden: 14 Tage

Bestätigung und Einwilligung

Durch Nutzung des Dienstes GiftWeGo bestätigen Sie, dass:

✓ Sie diese Datenschutzerklärung gelesen und verstanden haben ✓ Sie der Verarbeitung Ihrer personenbezogenen Daten gemäß dieser Erklärung zustimmen ✓ Sie über 16 Jahre alt sind (oder elterliche Zustimmung haben) ✓ Bereitgestellte Daten wahrheitsgemäß und vollständig sind

Gültig ab: 28. Dezember 2025 Version: 1.2

© 2025 GiftWeGo. Alle Rechte vorbehalten.