Datenschutz

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

Name

Caroline Hengstermann

Anschrift

Am Bienenstock 8 · 60388 Frankfurt am Main · Deutschland

E-Mail

privacy [at] wunschliste.gifts

Einen Datenschutzbeauftragten müssen wir nach § 38 BDSG nicht bestellen.

2. Deine Rechte

Dir stehen folgende Rechte zu: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf einer Einwilligung (Art. 7 Abs. 3).

Eine formlose E-Mail an die oben genannte Adresse genügt. Zusätzlich stehen dir in jeder Liste die Aktionen „Daten exportieren" (Art. 20) und „Liste löschen" (Art. 17) direkt zur Verfügung.

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Zuständig für uns ist Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 31 63, 65021 Wiesbaden, datenschutz.hessen.de.

3. Daten beim Seitenaufruf

Beim Aufruf der Seite erfasst unser Hoster automatisch folgende Daten in Server-Logs: Browsertyp und Version, Betriebssystem, Referrer-URL, Hostname, Uhrzeit der Anfrage, IP-Adresse (gekürzt bzw. anonymisiert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: technisch fehlerfreier Betrieb und Sicherheit.

Speicherdauer: maximal 7 Tage, danach automatische Löschung.

4. Wunschliste anlegen

Wenn du eine Wunschliste erstellst, speichern wir: Anlass und Beschreibung der Liste, Name oder Pseudonym, optionales Anlassdatum, optionale E-Mail-Adresse für den Versand des Bearbeitungs-Links, hinzugefügte Produkt-Links und Notizen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsvertrags.

Speicherdauer: bis du die Liste löschst, spätestens 24 Monate nach dem Anlassdatum oder dem letzten Login.

5. Kauf-Zusagen durch Gäste

Wenn ein Gast bei einem Wunsch auf „Ich kauf das" tippt, speichern wir: Name oder Pseudonym, Zeitpunkt der Zusage, ein erstparteiliches Cookie (wk_guest) zur Geräte-Wiedererkennung. Bei Gemeinschaftsgeschenken zusätzlich den zugesagten Anteil in Cent.

Keine E-Mail. Keine Nachricht. Keine Adresse. Kein Konto.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Speicherdauer: bis die Liste gelöscht oder die Zusage zurückgenommen wird.

6. Cookies und lokale Speicherung

Wir setzen Cookies und vergleichbare Speichertechnologien ein.

Technisch notwendig

Für Organisator:innen verwenden wir keinen Login-Cookie. Der Zugang zur eigenen Liste erfolgt über deinen geheimen Bearbeitungs-Link.

Für Gäste setzen wir ein erstparteiliches Cookie (wk_guest), damit eigene Kauf-Zusagen wiedererkannt und auf dem Gerät geändert werden können. Es enthält eine zufällige ID. Keine personenbezogenen Daten, kein Tracking.

wk_recent_token und wk_recent_title (90 Tage, erstparteilich): Wir merken uns deinen Bearbeitungs-Link auf diesem Gerät, damit du auf der Startseite mit einem Klick zurückkommst. Du kannst diese Cookies jederzeit über die Browser-Einstellungen löschen. Der Bearbeitungs-Link bleibt gültig.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Ausnahme für technisch erforderliche Speicherzugriffe) und Art. 6 Abs. 1 lit. f DSGVO. Wir setzen keine optionalen Cookies und kein Tracking durch Dritte über unsere Domain. Eine Einwilligung ist daher nicht erforderlich.

7. Hosting bei Netlify

Diese Seite wird gehostet von Netlify, Inc., 44 Montgomery Street, Suite 300, San Francisco, California 94104, USA. Netlify verarbeitet dabei Server-Log-Daten zur Auslieferung der Seite und zur Betriebssicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Mit Netlify besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Drittland-Transfer: Netlify verarbeitet Daten in den USA. Rechtsgrundlage des Transfers ist das EU-US Data Privacy Framework und Standardvertragsklauseln nach Art. 46 DSGVO. Eine Risikobewertung haben wir dokumentiert.

Speicherdauer der Funktions-Logs: gemäß gebuchter Tarifstufe (Stand: Free, maximal 7 Tage).

8. Datenbank bei Neon

Alle Listen, Wünsche und Gast-Zusagen speichern wir in einer PostgreSQL-Datenbank bei Neon Tech, Inc., 16192 Coastal Highway, Lewes, Delaware 19958, USA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Mit Neon besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Drittland-Transfer USA: Standardvertragsklauseln nach Art. 46 DSGVO. Eine Risikobewertung (Transfer Impact Assessment) haben wir dokumentiert.

Speicherdauer: solange die Liste besteht, spätestens 24 Monate nach dem Anlassdatum oder dem letzten Zugriff.

9. E-Mail-Versand über Resend

Wenn du beim Anlegen einer Liste deine E-Mail hinterlässt, schicken wir dir den Bearbeitungs-Link per Mail. Der Versand läuft über Resend, Inc., 2261 Market Street #4010, San Francisco, CA 94114, USA.

Daten an Resend: deine E-Mail-Adresse, Listen-Titel, Bearbeitungs-Link, Zeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Drittland-Transfer USA: EU-US Data Privacy Framework (Resend ist zertifiziert), zusätzlich Standardvertragsklauseln nach Art. 46 DSGVO.

Speicherdauer Mail-Logs bei Resend: 30 Tage.

10. Bot-Schutz über Cloudflare Turnstile

Zum Schutz vor automatisierten Anfragen setzen wir Cloudflare Turnstile ein. Turnstile prüft im Hintergrund, ob eine Anfrage von einem echten Nutzer kommt, ohne ein sichtbares Rätsel zu zeigen.

Anbieter: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Verarbeitete Daten: IP-Adresse, Browser- und Gerätesignale, Anfrage-Zeitstempel. Kein Tracking, kein Profiling, keine dauerhaften Cookies durch Turnstile.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz vor Bot-Missbrauch). Nach § 25 Abs. 2 Nr. 2 TDDDG ist keine Einwilligung erforderlich, da der Challenge-Token technisch notwendig ist.

Drittland-Transfer USA: EU-US Data Privacy Framework (Cloudflare ist zertifiziert), zusätzlich Standardvertragsklauseln nach Art. 46 DSGVO.

Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Speicherdauer: Challenge-Token laufen nach wenigen Minuten ab.

11. Amazon-Partnerprogramm

Wunschliste ist Teilnehmer am Partnerprogramm von Amazon EU und finanziert sich ausschließlich über die dabei vermittelten Provisionen. Ohne diese Refinanzierung könnten wir den Dienst nicht kostenlos anbieten. Jeder Wunsch-Link enthält daher einen Partner-Tag (?tag=...). Wenn du auf einen solchen Link klickst, setzt Amazon nach dem Wechsel auf amazon.deCookies auf deinem Endgerät, um Bestellungen innerhalb der Cookie-Laufzeit dem Partnerprogramm zuzuordnen. Diese Cookies werden von Amazon auf der Amazon-Domain gesetzt, nicht von uns.

Anbieter

Amazon Europe Core S.à r.l., 38 Avenue John F. Kennedy, L-1855 Luxemburg.

Datenarten

Geräte- und Browser-Informationen, IP-Adresse (durch Amazon gekürzt), Klick- und Kaufdaten zur Provisions-Abrechnung.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Refinanzierung des kostenfreien Angebots, das ohne das Partnerprogramm wirtschaftlich nicht tragfähig wäre und damit nicht bereitgestellt werden könnte. Der Partner-Tag im ausgehenden Link ist für den Dienst funktional erforderlich; eine Einwilligung nach § 25 Abs. 1 TDDDG ist nicht notwendig, da kein Speicherzugriff auf deinem Endgerät durch uns erfolgt. Du kannst die Zuordnung jederzeit verhindern, indem du die Amazon-Cookies in deinen Browser-Einstellungen löschst oder den Affiliate-Link nicht nutzt.

Drittland-Transfer

Amazon kann Daten an Server in den USA übertragen. Rechtsgrundlage: EU-US Data Privacy Framework und Standardvertragsklauseln nach Art. 46 DSGVO.

Speicherdauer

Affiliate-Cookies laufen 24 Stunden ab dem Klick. Konversionsdaten speichert Amazon laut eigener Erklärung 90 Tage.

Datenschutzerklärung von Amazon: amazon.de Datenschutz.

12. Amazon Product Advertising API

Wir laden Produktdaten und Bilder über die Amazon Product Advertising API. Wenn deine App eine Produktseite aufruft, kontaktiert dein Browser keine Amazon-Server direkt, da Daten serverseitig vorab geladen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Speicherdauer: maximal 24 Stunden gemäß Amazon-API-Richtlinien.

13. Kontakt per E-Mail

Wenn du uns schreibst, speichern wir deine Angaben zur Bearbeitung deiner Anfrage.

E-Mails werden über Postfächer bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin empfangen. STRATO verarbeitet die E-Mail-Inhalte als Auftragsverarbeiter nach Art. 28 DSGVO. Server-Standort: Deutschland. Kein Drittland-Transfer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei Vertragsanbahnung, sonst Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: bis zur Erledigung, danach Prüfung auf gesetzliche Aufbewahrungspflichten.

14. Was wir nicht tun

• Kein Tracking über Drittanbieter-Cookies auf unserer Domain. Die einzige Provisions-Zuordnung erfolgt nach Klick auf einen Amazon-Partner-Link auf der Amazon-Domain.
• Keine Weitergabe deiner Listen-Inhalte an Dritte zu Werbezwecken.
• Keine Auswertung der Wunsch-Titel und Notizen durch KI-Dienste.
• Keine Speicherung der Gast-Zusagen länger, als die Liste selbst existiert.
• Kein Verkauf personenbezogener Daten.

15. Sicherheit

Wir nutzen TLS-Verschlüsselung beim Transport deiner Daten. Server und Backups sind verschlüsselt.

16. Änderung dieser Erklärung

Wir passen die Erklärung an, wenn sich Funktionen oder Rechtslage ändern. Den aktuellen Stand findest du am Ende der Seite.