GeschenkOn Datenschutzerklärung

Aktualisierte Fassung für den Launch- und Betriebsstand
UnternehmenGeschenkOn GmbH
Stand17.04.2026
SpracheDeutsch
HinweisDiese Fassung beschreibt den derzeit tatsächlich eingesetzten technischen und organisatorischen Stand.

1. Verantwortlicher

GeschenkOn GmbH, Königsallee 2b, 40212 Düsseldorf, Deutschland

E-Mail: privacy@geschenkon.com

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

  • Bereitstellung unserer Website, App, Nutzerkonten und Plattformfunktionen zur Vertragsanbahnung und Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO).
  • Abwicklung von Bestellungen, Gutscheinverwaltung, Versand digitaler Gutscheine, Vertragskommunikation sowie Dokumentation steuerlich relevanter Vorgänge (Art. 6 Abs. 1 lit. b DSGVO).
  • Abwicklung und Zuordnung von Zahlungen per Banküberweisung, inklusive Zahlungsprüfung, Zahlungszuordnung und Statusverarbeitung (Art. 6 Abs. 1 lit. b DSGVO).
  • Versand transaktionsbezogener E-Mails, insbesondere zur Konto-Verifizierung, Passwort- oder Login-bezogenen Kommunikation, Bestell- und Zahlungsbestätigung, Gutscheinbereitstellung sowie zu Stornierungen und Rückerstattungen (Art. 6 Abs. 1 lit. b DSGVO).
  • Absicherung der Plattform, Missbrauchsprävention, Fraud- und Abuse-Detection, Protokollierung sicherheitsrelevanter Vorgänge sowie Gewährleistung von Stabilität, Integrität und Verfügbarkeit (Art. 6 Abs. 1 lit. f DSGVO).
  • Einholung, Verwaltung und Nachweis von Cookie- und Tracking-Einwilligungen über unser Consent-Management (Art. 6 Abs. 1 lit. c DSGVO, soweit ein gesetzlicher Nachweis erforderlich ist, sowie Art. 6 Abs. 1 lit. f DSGVO zur revisionssicheren Dokumentation und Art. 6 Abs. 1 lit. a DSGVO für einwilligungsbasierte Kategorien).
  • Nutzung von Social Login über Google sowie passwortlosen und starken Authentifizierungsverfahren mittels Passkey/WebAuthn (Art. 6 Abs. 1 lit. b DSGVO).

Unser berechtigtes Interesse liegt insbesondere in der sicheren, stabilen und wirtschaftlich sinnvollen Bereitstellung unseres Online-Angebots, in der Verteidigung gegen Missbrauch und in der nachvollziehbaren Dokumentation sicherheits- und datenschutzrelevanter Vorgänge.

3. Plattformstruktur und Rollen

GeschenkOn betreibt eine digitale Plattform zur Vermittlung und Verwaltung von Gutscheinen und damit verbundenen Bestell-, Konto- und Einlöseprozessen.

Soweit im jeweiligen Angebot nichts Abweichendes angegeben ist, ist für das jeweilige Angebot, die Leistungserbringung und produktspezifische Angaben der jeweilige Partner eigenständig verantwortlich.

GeschenkOn ist verantwortlich für die technische Bereitstellung der Plattform, Authentifizierung, Kontoführung, Bestellabwicklung, Zahlungszuordnung, Gutscheinausstellung und -verwaltung, Sicherheitsmaßnahmen, transaktionsbezogene Kommunikation sowie die Bereitstellung administrativer und operativer Funktionen.

4. Kategorien personenbezogener Daten

  • Kontodaten: E-Mail-Adresse, Anzeigename, Spracheinstellungen, optional Geburtsdatum sowie kontobezogene Statusinformationen.
  • Authentifizierungs- und Sicherheitsdaten: IP-Adresse, User-Agent, Login-Zeitpunkte, Fehlversuche, Sitzungsdaten, Identifier aus Social Login, Passkey-/WebAuthn-bezogene Registrierungs- und Prüfprotokolle, Step-up-Authentifizierungsereignisse.
  • Nutzungs- und Zugriffsdaten: aufgerufene Seiten, URL, Referrer, Zeitpunkte, Geräte- und Browserinformationen, technische Verbindungsdaten und serverseitige Ereignisprotokolle.
  • Transaktionsdaten: Bestellnummer, Gutschein-ID, Zahlungsstatus, Zahlungsreferenzen, Rechnungs- und steuerrelevante Dokumentationsdaten.
  • Kommunikationsdaten: Support-Anfragen, E-Mail-Verkehr, Zustell- und Ereignisprotokolle transaktionsbezogener E-Mails.
  • Einwilligungs- und Cookie-Daten: Cookie-Kategorien, Consent-ID, Consent-Status, Consent-Zeitpunkte und technisch notwendige Cookie-Informationen.
  • Empfängerdaten: E-Mail-Adresse eines Empfängers bei Geschenkfunktion sowie transaktionsbezogene Zuordnungsdaten.

5. Website-Zugriff, Hosting und technische Bereitstellung

Beim Aufruf unserer Website und App werden Server- und Zugriffsprotokolle verarbeitet. Hierzu gehören insbesondere IP-Adresse, Datum und Uhrzeit des Abrufs, angeforderte URL, Referrer, Header-Informationen, technische Antwortdaten sowie weitere für Stabilität, Lastverteilung, Fehleranalyse und IT-Sicherheit erforderliche Verbindungsdaten.

Für Hosting, Auslieferung und zentrale Plattformfunktionen nutzen wir Dienste von Google Cloud. Hierzu gehören insbesondere Firebase Hosting, Cloud Run, Identity Platform, Cloud Storage, Cloud SQL und Cloud Tasks, soweit dies für den Betrieb unseres Online-Angebots technisch erforderlich ist.

Die Verarbeitung erfolgt zum Zweck der sicheren, performanten und zuverlässigen Bereitstellung unserer Website und Plattform sowie zur Gewährleistung von Stabilität, IT-Sicherheit und Betriebsfähigkeit. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

6. Cookies und Consent Management

Wir verwenden technisch notwendige Cookies und sitzungsbezogene Speichermechanismen zur Bereitstellung der Website, zur Anmeldung, zur Sitzungsverwaltung, zur Sicherheitssteuerung und zur Sicherstellung zentraler Plattformfunktionen.

Für das Consent-Management nutzen wir derzeit Cookiebot. Dabei werden insbesondere Consent-Status, Consent-ID, Kategorien der Einwilligung, Zeitpunkte und technisch erforderliche Cookie-Informationen verarbeitet.

Einwilligungen für nicht notwendige Kategorien können – soweit solche Kategorien eingesetzt werden – jederzeit über die Cookie-Einstellungen widerrufen oder angepasst werden.

7. Benutzerkonto und Authentifizierung

Für Registrierung, Anmeldung und Kontoverwaltung setzen wir derzeit Google Cloud Identity Platform ein. Je nach gewählter Login-Methode verarbeiten wir insbesondere E-Mail-Adresse, Nutzer-ID, Sitzungs- und Tokeninformationen sowie sicherheitsrelevante Authentifizierungsdaten.

Zusätzlich unterstützen wir Passkey-/WebAuthn-basierte Anmelde- und Sicherheitsfunktionen. Dabei verarbeiten wir insbesondere Credential-IDs, technische Metadaten zur Authentifizierung, Nutzungshistorien der Sicherheitsfaktoren und zugehörige Prüf- und Sicherheitsprotokolle. Es werden keine biometrischen Rohdaten von uns gespeichert; die biometrische oder gerätebasierte Freigabe erfolgt lokal auf dem Endgerät des Nutzers.

Die Verarbeitung erfolgt zur Vertragserfüllung und zur Absicherung des Kontozugangs. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b und lit. f DSGVO.

8. Social Login

Derzeit bieten wir Social Login über Google an. Bei Nutzung dieser Funktion verarbeiten wir insbesondere die E-Mail-Adresse, die eindeutige Benutzer-ID des Google-Kontos sowie – abhängig von den vom Nutzer freigegebenen Informationen – Basis-Profildaten.

Ein Social Login über Meta/Facebook ist derzeit nicht aktiviert.

9. Bestellungen, Gutscheine und Zahlungen

Zur Vertragsabwicklung verarbeiten wir insbesondere Bestell-, Gutschein-, Konto-, Kommunikations- und Statusdaten. Hierzu gehören Bestellnummern, Gutschein-IDs, Transaktions- und Rechnungsdaten sowie Angaben zur Bereitstellung digitaler Gutscheine.

Derzeit wird die Bezahlung produktiv per Banküberweisung abgewickelt. Externe PSP- oder Wallet-Zahlungsverfahren wie Stripe, Adyen, Klarna, PayPal, Google Pay oder Apple Pay sind nach aktuellem Betriebsstand noch nicht produktiv aktiviert.

Die Verarbeitung erfolgt zur Vertragsdurchführung und zur Erfüllung gesetzlicher Aufbewahrungs- und Dokumentationspflichten (Art. 6 Abs. 1 lit. b und lit. c DSGVO).

10. Transaktionsbezogene E-Mails

Für den Versand transaktionsbezogener E-Mails nutzen wir Mailgun als technischen E-Mail-Dienstleister. Mailgun wird von uns in der EU-Region eingesetzt. Verarbeitet werden insbesondere E-Mail-Adresse, Nachrichtenmetadaten, Zustellstatus, Zustellereignisse und sicherheitsbezogene Webhook-Daten.

Die Verarbeitung erfolgt zur Durchführung des Vertrags, zur zuverlässigen Zustellung transaktionsbezogener Nachrichten und zur technischen Nachvollziehbarkeit von Zustell- und Sicherheitsereignissen (Art. 6 Abs. 1 lit. b und lit. f DSGVO).

11. Einlösung und Partnerkommunikation

Bei der Einlösung und Verwaltung von Gutscheinen werden insbesondere Gutschein-ID, Zeitpunkt, Status, Partnerbezug und transaktionsbezogene Zuordnungsdaten verarbeitet.

Zur Vertragserfüllung können transaktionsbezogene Daten an das jeweils betroffene Partnergeschäft übermittelt werden. Partner sind insoweit grundsätzlich eigenständige Verantwortliche.

12. Kategorien von Empfängern

Personenbezogene Daten können – soweit erforderlich – an folgende Kategorien von Empfängern übermittelt werden:

  • Google Cloud als technischer Infrastruktur- und Plattformdienstleister, insbesondere für Hosting, Authentifizierung, Anwendungsbetrieb, Datenbank-, Speicher- und Aufgabenverarbeitung.
  • Cloudflare für Domain- und DNS-Dienste.
  • Mailgun für transaktionsbezogene E-Mail-Zustellung in der EU-Region.
  • Cookiebot für Consent-Management und Einwilligungsdokumentation.
  • Partnergeschäfte, soweit dies zur Vertragserfüllung, Einlösung, Rechnungsstellung oder Bearbeitung partnerbezogener Leistungen erforderlich ist.

13. Drittstaatenübermittlungen

Einige eingesetzte Anbieter oder deren Unterauftragsverarbeiter können sich außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums befinden, insbesondere in den USA.

Dies kann insbesondere technische Verarbeitungen im Zusammenhang mit Google Cloud / Firebase / Identity Platform, Cloudflare, Cookiebot sowie Google-Social-Login betreffen. Für Mailgun nutzen wir die EU-Region; gleichwohl können je nach Unterauftragsverarbeitung oder Supportkonstellation Drittstaatenbezüge nicht vollständig ausgeschlossen werden.

Soweit eine Drittstaatenübermittlung erfolgt, stützen wir diese auf einen Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder sonstige geeignete Garantien. Soweit Anbieter nach dem EU-U.S. Data Privacy Framework zertifiziert sind, kann die Übermittlung zusätzlich hierauf gestützt werden.

Ungeachtet dessen kann nicht ausgeschlossen werden, dass Behörden in Drittstaaten Zugriff auf Daten erhalten.

14. Auftragsverarbeiter

Wir setzen Auftragsverarbeiter insbesondere für Hosting, Infrastruktur, Anwendungsbetrieb, Authentifizierung, Consent-Management, E-Mail-Zustellung und technische Sicherheits- und Kommunikationsprozesse ein. Dazu gehören derzeit insbesondere Google Cloud, Cookiebot und Mailgun, soweit diese jeweils in einer Auftragsverarbeiterrolle für uns tätig werden.

15. Speicherfristen

  • Server- und Zugriffslogs: grundsätzlich 30 Tage, soweit keine längere Aufbewahrung aus Sicherheits- oder Nachweisgründen erforderlich ist.
  • Login- und sicherheitsbezogene Ereignisdaten: grundsätzlich 90 Tage, soweit keine längere Speicherung zur Missbrauchsaufklärung oder Rechtsverteidigung erforderlich ist.
  • Bestellungen, Rechnungs- und steuerlich relevante Transaktionsdaten: 10 Jahre, soweit handels- oder steuerrechtliche Pflichten bestehen.
  • Consent- und Nachweisdaten: so lange, wie dies für Nachweis-, Compliance- und Dokumentationszwecke erforderlich ist.
  • E-Mail-Zustell- und Ereignisprotokolle: nur so lange, wie dies für Betrieb, Sicherheit und Nachweiszwecke erforderlich ist.
  • Nutzerkontodaten: bis zur Löschung des Kontos, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen.

16. Pflicht zur Bereitstellung von Daten

Die Bereitstellung personenbezogener Daten ist für den Abschluss und die Durchführung eines Vertrags sowie für die Nutzung wesentlicher Plattformfunktionen erforderlich. Ohne diese Daten ist die Nutzung unserer Plattform ganz oder teilweise nicht möglich.

17. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet derzeit nicht statt.

18. Rechte der betroffenen Personen

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch nach Maßgabe der gesetzlichen Vorgaben.

Zur Ausübung Ihrer Rechte können Sie uns jederzeit unter privacy@geschenkon.com kontaktieren.

19. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche, technische oder betriebliche Rahmenbedingungen ändern oder wenn wir neue Dienste, Funktionen oder Verarbeitungen einführen.