Wishlist.de LogoWishlist.de

Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Wishlist.de ist ein Dienst zur Koordination von Gruppengeschenken. Wir legen besonderen Wert auf Datensparsamkeit und erfassen nur die Daten, die für den Betrieb des Dienstes notwendig sind.

2. Verantwortliche Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Cagatay Ulukan
Cvelop (Einzelunternehmen)
Ammerswilerstrasse 35C
5600 Lenzburg
Schweiz

E-Mail: kontakt@wishlist.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

3. Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage folgender Rechtsgrundlagen gemäß Art. 6 DSGVO:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, z.B. für die Bereitstellung Ihres Benutzerkontos und der Wunschlisten-Funktionen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit Sie uns eine Einwilligung erteilt haben, z.B. für den Erhalt von E-Mail-Benachrichtigungen.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, z.B. für die Sicherheit der Website und die Betrugsprävention.

4. Datenerfassung auf dieser Website

Welche Daten werden erfasst?

Wir erfassen nur die Daten, die für den Betrieb unseres Dienstes notwendig sind:

  • E-Mail-Adresse (bei Registrierung)
  • Name (optional, für Anzeige)
  • Profilbild (optional)
  • Wunschlisten und Einträge, die Sie erstellen
  • Reservierungen, die Sie vornehmen
  • Nachrichten im Gruppen-Chat

Was wir NICHT erfassen

  • Keine Bankdaten oder Kreditkartennummern (Zahlungsdaten werden ausschließlich von Stripe verarbeitet, siehe Abschnitt 10)
  • Keine Lieferadressen
  • Keine Tracking-Cookies für Werbezwecke
  • Keine Weitergabe an Werbetreibende

Speicherdauer

Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist. Inaktive Wunschlisten werden nach 24 Monaten automatisch gelöscht (mit 30-tägiger Vorwarnung per E-Mail). Sie können Ihr Konto und alle zugehörigen Daten jederzeit in den Profileinstellungen löschen.

5. Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • IP-Adresse (anonymisiert)
  • Uhrzeit der Serveranfrage

Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Daten werden nach 7 Tagen automatisch gelöscht.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Sicherheit und Stabilität unserer Website.

6. SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

7. Authentifizierung

Wir bieten verschiedene Anmeldemethoden an:

E-Mail und Passwort

Bei der Registrierung mit E-Mail und Passwort speichern wir Ihre E-Mail-Adresse und ein verschlüsseltes Passwort (Hash). Das Passwort wird niemals im Klartext gespeichert.

Google-Login (OAuth)

Bei der Nutzung von Google-Login erhalten wir nur Ihre E-Mail-Adresse, Ihren Namen und Ihr Profilbild von Google. Wir haben keinen Zugriff auf Ihr Google-Passwort oder andere Google-Daten.

Weitere Informationen: Google Datenschutzerklärung

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

8. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

  • Session-Cookie: Für die Anmeldung und Authentifizierung (Ablauf: Ende der Browsersitzung)
  • CSRF-Token: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen

Wir verwenden KEINE:

  • Tracking-Cookies
  • Werbe-Cookies
  • Analytics-Cookies von Drittanbietern

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der technischen Funktionsfähigkeit der Website.

9. Hosting und Infrastruktur

Supabase (Datenbank & Authentifizierung)

Wir nutzen Supabase für unsere Datenbank und Benutzerauthentifizierung.

  • Anbieter: Supabase Inc., USA
  • Server-Standort: Frankfurt, Deutschland (EU)
  • Verarbeitete Daten: Alle Nutzerdaten, Wunschlisten, Reservierungen

Weitere Informationen: Supabase Privacy Policy

Hetzner (Webhosting)

Unsere Webseite wird bei Hetzner Online GmbH gehostet.

  • Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
  • Server-Standort: Deutschland

Weitere Informationen: Hetzner Datenschutzerklärung

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

10. Zahlungsabwicklung (Stripe Connect)

Wir nutzen Stripe für Zahlungen, Analysen und andere Geschäftsdienste. Stripe erhebt und verarbeitet personenbezogene Daten. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.

Stripe agiert bei der Verarbeitung von Zahlungsdaten als eigenständiger Verantwortlicher im Sinne der DSGVO, nicht als Auftragsverarbeiter von Wishlist.de. Wishlist.de speichert keine Zahlungsdaten (Kreditkartennummern, Kontodaten) — diese werden ausschließlich von Stripe verarbeitet und gespeichert.

Anbieter

  • Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
  • PCI DSS Level 1 zertifiziert (höchste Sicherheitsstufe der Zahlungsindustrie)

Datenerhebung durch Stripe.js (Betrugsprävention)

Wichtig: Auf Seiten, die Zahlungsfunktionen enthalten, wird das Stripe.js-SDK geladen. Stripe erhebt dabei bereits vor einer Zahlungsaktion Daten zur Betrugsprävention (Stripe Radar). Dies umfasst:

  • IP-Adresse
  • Browsertyp und -version, installierte Plug-ins, Spracheinstellungen
  • Bildschirmauflösung und Geräteinformationen
  • Auf der Website verbrachte Zeit, besuchte Seiten, angeklickte Links
  • Mausaktivitätsindikatoren (zur Erkennung automatisierter Zugriffe)
  • Daten, die in Bezahlformulare eingegeben werden — auch wenn die Transaktion nicht abgeschlossen wird

Diese Signale werden periodisch an Stripe (m.stripe.com) übermittelt. Sie dienen ausschließlich der Betrugsprävention und werden laut Stripe nicht für Werbezwecke verwendet, verkauft oder an Werbetreibende weitergegeben.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Verhinderung von Zahlungsbetrug und dem Schutz aller Beteiligten.

Daten bei Zahlungen (Schenker)

Wenn Sie als Schenker eine Zahlung über Stripe tätigen, werden folgende Daten von Stripe als eigenständigem Verantwortlichen verarbeitet:

  • Zahlungsmethode (Kreditkarte, SEPA, Apple Pay, Google Pay etc.)
  • Transaktionsbetrag und Währung
  • Name (sofern von der Zahlungsmethode übermittelt)
  • E-Mail-Adresse (für Zahlungsbestätigung)
  • IP-Adresse und Geräteinformationen (für Betrugsprävention)

Diese Daten werden direkt an Stripe übermittelt. Wishlist.de erhält lediglich eine Bestätigung über den Zahlungsstatus (erfolgreich/fehlgeschlagen), den Betrag sowie eine Transaktions-ID. Wir haben keinen Zugriff auf Kreditkartennummern oder Bankdaten.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die Zahlungsabwicklung ist für die Erbringung des Dienstes erforderlich, wenn der Wunschlisten-Besitzer Kartenzahlung aktiviert hat.

Stripe Connect für Wunschlisten-Ersteller (Connected Accounts)

Wunschlisten-Ersteller, die Kartenzahlung aktivieren, erstellen ein eigenes Stripe-Konto (Stripe Standard Connect Account). Dabei werden von Stripe als eigenständigem Verantwortlichen zusätzliche Daten im Rahmen gesetzlicher Anforderungen (KYC/Geldwäscheprävention) erhoben:

  • Persönliche Identifikationsdaten (Name, Geburtsdatum, Adresse)
  • Bankverbindung für Auszahlungen
  • Steuerliche Informationen

Wishlist.de hat keinen Zugriff auf diese bei Stripe gespeicherten Daten. Unser Zahlungsdienstleister kann Informationen von Auskunfteien einholen, um die Identität von Wunschlisten-Erstellern zu verifizieren. Diese Informationen werden gemäß der Stripe-Datenschutzerklärung verwendet.

Wishlist.de übermittelt an Stripe: E-Mail-Adresse und Benutzer-ID des Wunschlisten-Erstellers sowie transaktionsbezogene Daten (Beträge, Artikel-Referenzen). Die Weitergabe dieser Daten an Stripe erfolgt auf Grundlage der Einwilligung des Wunschlisten-Erstellers bei Aktivierung der Kartenzahlung.

Speicherdauer

Transaktionsdaten (Betrag, Status, Transaktions-ID) werden in unserer Datenbank gespeichert, solange die zugehörige Wunschliste existiert. Stripe speichert Zahlungsdaten gemäß eigener Richtlinien und gesetzlicher Aufbewahrungsfristen. Personenbezogene Daten können an Drittländer übermittelt werden — es gilt die Datenschutzerklärung von Stripe.

Gebühren

Bei Kartenzahlungen fällt eine Plattformgebühr von 3% des Transaktionsbetrags an. Zusätzlich erhebt Stripe eigene Bearbeitungsgebühren (ca. 1,5% + 0,25 EUR für EU-Karten). Die Gebühren werden dem Wunschlisten-Ersteller vor der Aktivierung transparent dargestellt.

Weitere Informationen: Stripe Datenschutzerklärung | Stripe Connected Account Agreement | Stripe-Nutzungsbedingungen | Stripe Acquirer Disclosure

11. E-Mail-Benachrichtigungen

Wir versenden E-Mail-Benachrichtigungen über den Dienst Resend.

  • Anbieter: Resend Inc., USA
  • Verarbeitete Daten: E-Mail-Adresse, Name

Folgende E-Mails werden versendet:

  • Willkommens-E-Mail nach der Registrierung
  • Benachrichtigungen über neue Reservierungen
  • Zahlungsbestätigungen und -benachrichtigungen (bei Stripe-Zahlungen)
  • Erstattungs- und Streitfall-Benachrichtigungen
  • Einladungen zur Mitorganisation von Wunschlisten
  • Passwort-Zurücksetzen-E-Mails

Sie können diese Benachrichtigungen jederzeit in Ihren Profileinstellungen deaktivieren oder den Abmeldelink in jeder E-Mail nutzen.

Weitere Informationen: Resend Privacy Policy

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

12. Bot-Schutz (Cloudflare Turnstile)

Zum Schutz vor automatisierten Anfragen (Bots) und Spam nutzen wir Cloudflare Turnstile auf bestimmten Formularen (z.B. Kontaktformular, Registrierung).

  • Anbieter: Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA
  • Verarbeitete Daten: IP-Adresse, Browser-Informationen, Interaktionsdaten

Cloudflare Turnstile ist eine datenschutzfreundliche Alternative zu herkömmlichen CAPTCHAs und erfordert keine Benutzerinteraktion.

Weitere Informationen: Cloudflare Privacy Policy

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) am Schutz vor Missbrauch.

13. Bildgenerierung

Für die Erstellung von Share-Bildern und Grußkarten nutzen wir Google Gemini. Die Verarbeitung erfolgt nur auf Ihre aktive Anforderung hin (z.B. Klick auf "Bild erstellen").

  • Anbieter: Google LLC, USA
  • Verarbeitete Daten: Wunschlisten-Titel, Empfängername

Es werden keine persönlichen Daten wie E-Mail-Adressen übermittelt.

Weitere Informationen: Google Datenschutzerklärung

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

14. Affiliate-Links

Einige der auf Wunschlisten verlinkten Produkte können sogenannte Affiliate-Links enthalten. Wenn Sie über diese Links einkaufen, erhalten wir eine kleine Provision vom Händler, ohne dass sich der Preis für Sie ändert. Dies hilft uns, Wishlist.de kostenlos anzubieten.

Amazon PartnerNet

Wir nehmen am Amazon EU-Partnerprogramm teil. Links zu Produkten auf Amazon.de werden automatisch mit unserem Partner-Tag versehen (Store-ID: wishlist047-21).

  • Anbieter: Amazon Europe Core S.à r.l., Luxemburg
  • Cookie-Dauer: 24 Stunden (89 Tage bei Warenkorb-Hinzufügung)
  • Verarbeitete Daten: Klickdaten, Kaufdaten (anonymisiert an uns)

Amazon erhält Informationen darüber, dass Sie über Wishlist.de auf Amazon.de gelangt sind. Eine Verknüpfung mit anderen Amazon-Daten erfolgt nach unserem Kenntnisstand nicht.

Weitere Informationen: Amazon PartnerNet Richtlinien | Amazon Datenschutzerklärung

Awin (Affiliate-Netzwerk)

Für bestimmte Shops (z.B. baby-walz, Douglas) nutzen wir das Affiliate-Netzwerk Awin.

  • Anbieter: Awin AG, Eichhornstraße 3, 10785 Berlin, Deutschland
  • Cookie-Dauer: 30 Tage (shopabhängig)
  • Verarbeitete Daten: Klickdaten, Kaufdaten (anonymisiert an uns)

Weitere Informationen: Awin Datenschutzerklärung

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Finanzierung des kostenfreien Dienstes. Die Verlinkung liegt im Interesse der Nutzer, da sie ohnehin auf die Produktseiten gelangen möchten.

15. Internationale Datenübertragung

Unsere Hauptdatenbank (Supabase) befindet sich in Frankfurt, Deutschland, innerhalb der EU. Die Zahlungsabwicklung erfolgt über Stripe Payments Europe, Ltd. mit Sitz in Irland (EU).

Einige Dienstleister haben ihren Sitz in den USA. Die Datenübertragung erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission für das EU-US Data Privacy Framework (Art. 45 Abs. 1 DSGVO, Beschluss vom 10. Juli 2023):

  • Google LLC — DPF-zertifiziert (Bildgenerierung, OAuth)
  • Cloudflare Inc. — DPF-zertifiziert (Bot-Schutz)
  • Resend Inc. (Plus Five Five, Inc.) — DPF-zertifiziert (EU-U.S. DPF, UK Extension, Swiss-U.S. DPF); zusätzlich durch EU-Standardvertragsklauseln abgesichert

Ergänzend setzen wir bei allen US-Dienstleistern auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als zusätzliche Absicherung.

16. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können fehlerhafte Daten berichtigen lassen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").
  • Einschränkung (Art. 18 DSGVO): Sie können die Verarbeitung Ihrer Daten einschränken lassen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem gängigen Format anfordern.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.

Zur Ausübung dieser Rechte kontaktieren Sie uns unter: kontakt@wishlist.de

Sie können Ihr Konto und alle zugehörigen Daten auch selbstständig in den Profileinstellungen löschen.

17. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Für die Schweiz

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
3003 Bern
Schweiz
www.edoeb.admin.ch

Für Deutschland

Sie können sich an die für Ihren Wohnort zuständige Landesdatenschutzbehörde wenden. Eine Liste finden Sie unter: Datenschutzbehörden der Länder

18. Automatisierte Entscheidungsfindung

Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die von uns eingesetzten KI-Funktionen (Bildgenerierung, Produkterkennung) dienen ausschließlich der Unterstützung und treffen keine Entscheidungen über Sie.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

Stand: März 2026