Datenschutzerklaerung
Rechtlich bindende deutsche Datenschutzerklaerung der GeschenkOn GmbH.
Datenschutzerklärung
| Unternehmen | GeschenkOn GmbH |
|---|---|
| Stand | 07.07.2026 |
| Sprache | Deutsch |
| Hinweis | Diese Fassung beschreibt den derzeit tatsächlich eingesetzten technischen und organisatorischen Stand. |
1. Verantwortlicher
GeschenkOn GmbH, Königsallee 2b, 40212 Düsseldorf, Deutschland
E-Mail: [email protected]
2. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten, um unsere Website, Nutzerkonten, Bestell- und Gutscheinfunktionen, Partnerprozesse, Sicherheitsmechanismen sowie gesetzlich erforderliche Dokumentations- und Abrechnungsprozesse bereitzustellen.
- Bereitstellung der Website, öffentlicher Inhalte, Suchfunktionen, Nutzerkonten und Plattformfunktionen zur Vertragsanbahnung und Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO).
- Abwicklung von Bestellungen, Gutscheinen, Einlösungen, Rückerstattungen, Rechnungen und Partnerabrechnungen einschließlich elektronischer Rechnungsformate (Art. 6 Abs. 1 lit. b und lit. c DSGVO).
- Prüfung, Aktivierung und laufende Betreuung von Partnern, Vertragsverwaltung, Onboarding, Rollenzuteilung, Einladungs- und Freigabeprozesse sowie Auszahlungsvorbereitung (Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO).
- Versand transaktionsbezogener E-Mails, Zustellkontrolle, Sicherheits- und Nachweisprotokolle, Supportbearbeitung und Missbrauchsprävention (Art. 6 Abs. 1 lit. b und lit. f DSGVO).
- Absicherung der Plattform, Authentifizierung, Betrugsprävention, Audit-Protokollierung, technische Fehleranalyse, Lastverteilung und Betriebsstabilität (Art. 6 Abs. 1 lit. f DSGVO).
- Einholung, Verwaltung und Nachweis von Cookie- und Tracking-Einwilligungen über unser Consent-Management (Art. 6 Abs. 1 lit. a, lit. c und lit. f DSGVO).
Unser berechtigtes Interesse liegt insbesondere in der sicheren, stabilen und wirtschaftlich sinnvollen Bereitstellung der Plattform, in der Missbrauchsabwehr, in revisionssicherer Dokumentation sowie in der Verteidigung und Durchsetzung rechtlicher Ansprüche.
3. Kategorien personenbezogener Daten
- Kontodaten: E-Mail-Adresse, Anzeigename, Spracheinstellungen, optional Geburtsdatum und Statusinformationen.
- Authentifizierungs- und Sicherheitsdaten: IP-Adresse, User-Agent, Geräte- und Sitzungsdaten, Social-Login-Identifier, Passkey-/WebAuthn-bezogene Credential-Daten, Challenge- und Prüfprotokolle, Step-up-Ereignisse.
- Nutzungs- und Zugriffsdaten: angeforderte URLs, Referrer, Zeitpunkte, Antwortcodes, Request-IDs, Geräte- und Browsermerkmale sowie serverseitige Protokolle.
- Transaktionsdaten: Bestellnummern, Order-Items, Gutschein-IDs, Gutscheinart, rechtliche Hinweisversionen, Checkout-Bestätigungen, Zahlungsstatus, Rechnungsdaten, steuerrelevante Daten, Versand- und Fulfillment-Informationen, Rückerstattungs- und Stornovorgänge.
- Partner- und Vertragsdaten: Ansprechpartner, geschäftliche Stammdaten, Vertragsstatus, Onboarding-Status, Rollen- und Einladungsdaten, Prüf- und Freigabevermerke, Auszahlungs- und Bankverifikationsdaten, Settlement-Auslöser, Verzögerungsfristen, Abrechnungszyklen und technische Freigabestatus.
- Kommunikationsdaten: Supportanfragen, transaktionsbezogene E-Mails, Zustellstatus, Zustellereignisse, Versandmetadaten und Kommunikationshistorien.
- Einwilligungs- und Cookie-Daten: Consent-ID, Consent-Status, Kategorien, Zeitpunkte und technisch notwendige Cookie-Informationen.
- Abrechnungs- und E-Rechnungsdaten: Abrechnungsmonate, Netto-, Steuer- und Bruttobeträge, Korrektur- und Stornovorgänge, Dateimetadaten und strukturierte Dokumentinhalte.
- Audit- und Missbrauchsdaten: Freigabehistorien, Rollenwechsel, Sicherheitsereignisse, Zustell- und Webhook-Metadaten, Missbrauchssignale und technische Nachweise.
4. Benutzerkonto, Authentifizierung und Social Login
Für Registrierung, Anmeldung und Kontoverwaltung nutzen wir derzeit Google Cloud Identity Platform. Je nach gewählter Methode verarbeiten wir insbesondere E-Mail-Adresse, technische Nutzer-IDs, Sitzungsinformationen, Statusdaten und sicherheitsrelevante Authentifizierungsdaten.
Zusätzlich unterstützen wir Passkey-/WebAuthn-basierte Anmelde- und Sicherheitsfunktionen. Dabei speichern wir die hierfür erforderlichen technischen Credential-Daten und Sicherheitsprotokolle, jedoch keine biometrischen Rohdaten. Die biometrische oder gerätebasierte Freigabe erfolgt lokal auf dem Endgerät der Nutzerin oder des Nutzers.
Derzeit bieten wir Social Login über Google an. Dabei verarbeiten wir - abhängig von den freigegebenen Informationen - insbesondere E-Mail-Adresse, technische Konto-ID und Basis-Profildaten.
5. Partner-Onboarding, Verträge und Rollenverwaltung
Wenn sich Unternehmen oder Vertreter über unsere Plattform als Partner bewerben oder bestehende Partnerzugänge administrativ verwaltet werden, verarbeiten wir zusätzliche geschäftsbezogene und personenbezogene Daten.
Dazu gehören insbesondere Firmenname, Ansprechpartner, geschäftliche Kontakt- und Adressdaten, Onboarding- und Vertragsstatus, geplante Nutzung der Plattform, Prüf- und Freigabevermerke, Nachweise zur Identitäts- oder Vertretungsprüfung, Auszahlungs- und Bankverifikationsdaten sowie Vertrags- und Dokumentmetadaten.
Zur kontrollierten Rechtevergabe verarbeiten wir außerdem Operator-Einladungen und Rolleninformationen. Dazu gehören Empfänger-E-Mail-Adresse, Zielrolle, zugehöriger Franchise-, Marken- oder Shop-Bezug, Einladungsstatus, Ablaufdatum, Versand-, Annahme-, Ablehnungs-, Storno- und erneute Versandereignisse sowie die verantwortliche Administratorin oder der verantwortliche Administrator.
6. Bestellungen, Gutscheine, Zahlungen, Settlement und E-Rechnung
Zur Vertragsabwicklung verarbeiten wir Bestell-, Gutschein-, Zahlungs-, Kommunikations- und Statusdaten. Hierzu gehören Bestellnummern, Order-Item-Daten, Gutschein-IDs, Empfängerbezüge, Zahlungsreferenzen, Rechnungsnummern und steuerlich relevante Dokumentationsdaten.
Die Bezahlung wird produktiv über Stripe als technischen Zahlungsdienstleister abgewickelt. Dabei verarbeiten wir Zahlungs-, Checkout-, Zahlungsstatus-, Webhook- und Reconciliation-Daten, soweit dies für Vertragsdurchführung, Betrugsprävention, Nachweis und steuerliche Dokumentation erforderlich ist.
Neben Endkundenbestellungen verarbeiten wir partnerbezogene Settlement-, Auszahlungs- und E-Rechnungsdaten. Hierzu gehören insbesondere Abrechnungszeiträume, Netto-, Steuer- und Bruttobeträge, Auszahlungsreferenzen, Stripe-Connect-bezogene Verifikations- und Auszahlungsstatusdaten, Korrektur- oder Stornovorgänge sowie strukturierte Daten für elektronische Rechnungsformate wie XRechnung oder ZUGFeRD.
Für neue Gutscheinstrukturen speichern wir je Order-Item die Gutscheinart, die maßgebliche rechtliche Hinweisversion, notwendige Checkout-Bestätigungen und eine Settlement-Policy-Momentaufnahme. Diese Daten dienen der Vertragsdurchführung, Nachweisführung, Partnerabrechnung, steuerlichen Dokumentation und Bearbeitung von Rückfragen oder Rückabwicklungen.
Bei physischen Lieferprodukten verarbeiten wir, soweit erforderlich, Lieferadresse, Versandstatus, Tracking-Referenzen, Fulfillment-Status und partnerbezogene Shopify-Referenzen. Shopify dient dabei nur als angebundenes Erfüllungssystem des jeweiligen Partners, sofern eine solche Verbindung eingerichtet ist.
7. Transaktionsbezogene E-Mails und Kommunikationsmetadaten
Für den Versand transaktionsbezogener E-Mails nutzen wir Mailgun als technischen E-Mail-Dienstleister. Mailgun wird bevorzugt in der EU-Region eingesetzt.
Verarbeitet werden insbesondere Empfängeradresse, Template- und Zustellinformationen, Versandzeitpunkte, Nachrichten- und Zustellstatus, Bounce- oder Fehlerereignisse, technische Zustellereignisse, Sicherheits- und Webhook-Metadaten sowie zugehörige Support- und Nachweisinformationen.
8. Website-Zugriff, Hosting, Logs und technische Sicherheit
Beim Aufruf unserer Website und App verarbeiten wir Server- und Zugriffsprotokolle. Hierzu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Abrufs, angeforderte URL, Header-Informationen, technische Antwortdaten, Geräte- und Browsermerkmale, Referrer und Request-IDs.
Für Hosting, Auslieferung und zentrale Plattformfunktionen nutzen wir Dienste von Google Cloud. Hierzu gehören insbesondere Firebase Hosting, Cloud Run, Identity Platform, Cloud Storage, Cloud SQL und Cloud Tasks.
Zusätzlich verarbeiten wir Audit-, Sicherheits- und Missbrauchsprotokolle. Dazu gehören insbesondere Rollen- und Freigabeereignisse, Einladungs- und Onboarding-Historien, Fehlerzustände, Zustell- und Webhook-Ereignisse, Missbrauchssignale sowie weitere technische Nachweisdaten, soweit dies zur sicheren Bereitstellung, Fehleranalyse, Missbrauchsprävention und Rechtsverteidigung erforderlich ist.
Für technische Fehlerdiagnose kann Sentry eingesetzt werden, sofern die entsprechende Laufzeitkonfiguration aktiv ist. Dabei werden Fehlerereignisse, technische Kontextdaten, Release-Informationen und gekürzte Request-Informationen verarbeitet; Authentifizierungs-Header, Cookies und Zahlungsrohdaten dürfen hierbei nicht bewusst übermittelt werden.
9. Cookies und Consent-Management
Wir verwenden technisch notwendige Cookies und sitzungsbezogene Speichermechanismen zur Bereitstellung der Website, zur Anmeldung, zur Sitzungsverwaltung, zur Sicherheitssteuerung und zur Sicherstellung zentraler Plattformfunktionen.
Für das Consent-Management nutzen wir derzeit Cookiebot. Dabei werden insbesondere Consent-Status, Consent-ID, Kategorien der Einwilligung, Zeitpunkte und technisch erforderliche Cookie-Informationen verarbeitet.
Bei erteilter Statistik-Einwilligung kann GeschenkOn eigene First-Party-Tracking-Ereignisse verarbeiten, um Seitenaufrufe, technische Nutzungsereignisse, Spracheinstellungen und aggregierte Reichweiten der Plattform zu messen. Dabei werden keine bewusst direkt identifizierenden Rohdaten wie E-Mail-Adressen, Telefonnummern, Zahlungsdaten, IBAN, Lieferadressen oder Namen in den Tracking-Parametern gespeichert; IP-Adresse, User-Agent und anonyme Sitzungsreferenzen werden nur gehasht oder technisch minimiert verarbeitet.
Analyse- oder Marketing-Tags wie Google Analytics, Google Tag Manager, Google Ads oder Meta Pixel werden nur geladen oder mit nicht notwendigen Ereignissen versorgt, wenn die dafür erforderliche Einwilligung vorliegt und die jeweilige Konfiguration aktiviert ist. Ohne entsprechende Einwilligung werden nur technisch notwendige Plattformfunktionen ausgeführt.
10. Kategorien von Empfängern
- Google Cloud als technischer Infrastruktur- und Plattformdienstleister.
- Cloudflare für Domain- und DNS-Dienste.
- Stripe für Zahlungsabwicklung, Zahlungsstatus, Betrugsprävention und partnerbezogene Connect- bzw. Settlement-Prozesse.
- Mailgun für transaktionsbezogene E-Mail-Zustellung und Zustellmetadaten.
- Cookiebot für Consent-Management und Einwilligungsdokumentation.
- Sentry für technische Fehlerdiagnose, soweit die entsprechende Laufzeitkonfiguration aktiv ist.
- Shopify oder Shopify-angebundenen Partnersystemen, soweit dies für physische Fulfillment-, Versand- oder Bestandsprozesse erforderlich ist.
- Partnergeschäfte, soweit dies zur Vertragserfüllung, Einlösung, Rechnungsstellung, Partnerabrechnung oder Bearbeitung partnerbezogener Leistungen erforderlich ist.
11. Drittstaatenübermittlungen
Einige eingesetzte Anbieter oder deren Unterauftragsverarbeiter können sich außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums befinden, insbesondere in den USA. Soweit eine Drittstaatenübermittlung erfolgt, stützen wir diese auf einen Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder sonstige geeignete Garantien.
12. Speicherfristen
- Server- und Zugriffslogs: grundsätzlich 30 Tage, soweit keine längere Aufbewahrung aus Sicherheits-, Nachweis- oder Missbrauchsgründen erforderlich ist.
- Login- und sicherheitsbezogene Ereignisdaten: grundsätzlich 90 Tage, soweit keine längere Speicherung zur Missbrauchsaufklärung oder Rechtsverteidigung erforderlich ist.
- Bestellungen, Rechnungs- und steuerlich relevante Transaktionsdaten: 10 Jahre, soweit handels- oder steuerrechtliche Pflichten bestehen.
- Partnervertrags-, Onboarding-, Auszahlungs- und Verifikationsdaten: so lange, wie dies für Vertragsdurchführung, gesetzliche Pflichten, Prüfzwecke und Rechtsverteidigung erforderlich ist.
- Settlement- und E-Rechnungsdaten: so lange, wie dies für Buchführung, steuerliche Nachweise, Compliance und kaufmännische Dokumentation erforderlich ist.
13. Rechte der betroffenen Personen
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch nach Maßgabe der gesetzlichen Vorgaben. Soweit eine Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
14. Beschwerderecht und Änderungen
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche, technische oder betriebliche Rahmenbedingungen ändern oder wenn wir neue Dienste, Funktionen oder Verarbeitungen einführen.