Traufix

Einleitung

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unserer Webseite unter https://traufix.de, der zugehörigen API unter https://api.traufix.de sowie innerhalb externer Onlinepräsenzen (nachfolgend zusammenfassend bezeichnet als "Onlineangebot").

Traufix ist eine Software-as-a-Service (SaaS) Plattform zur Erstellung und Verwaltung von personalisierten Hochzeitswebsites. Nutzer können Hochzeitswebsites erstellen, Bilder hochladen, RSVP-Rückmeldungen von Gästen empfangen und Premium-Abonnements abschließen.

Verantwortlicher

Robin Spanier
Einzelunternehmer
Cloefstraße 6
66693 Mettlach-Orscholz
Deutschland

E-Mail: support@traufix.de
Telefon: +49 15738838064
Website: https://traufix.de

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

Bestandsdaten: Namen (Vorname, Nachname beider Partner), Hochzeitsdatum, gewählte Subdomain
Kontaktdaten: E-Mail-Adressen, Telefonnummern (bei Impressum), Anschriften (bei Impressum)
Inhaltsdaten: Hochgeladene Bilder, Website-Konfigurationen, Texte, RSVP-Rückmeldungen, Gastnachrichten
Nutzungsdaten: Besuchte Webseiten, Zugriffszeiten, verwendete Funktionen
Meta-/Kommunikationsdaten: Geräte-Informationen, IP-Adressen, Browser-Informationen (User-Agent)
Zahlungsdaten: Stripe-Kunden-ID, Abonnement-Informationen, Zahlungshistorie (vollständige Zahlungsdaten nur bei Stripe)
Vertragsdaten: Vertragsgegenstand, Laufzeit, Tarif (Basic/Premium/Max), Abonnement-Status
Einwilligungsdaten: Consent-Protokolle, Zeitstempel, IP-Adressen bei Einwilligung, akzeptierte Versionen

Kategorien betroffener Personen

Registrierte Nutzer (Ersteller von Hochzeitswebsites)
Gäste (Besucher der Hochzeitswebsites)
Kommunikationspartner (Kontaktanfragen)
Zahlende Kunden (Premium- und Max-Abonnenten)
Partner (Teilnehmer am Referral-/Partnerprogramm)

Zwecke der Verarbeitung

Erbringung vertraglicher Leistungen (Bereitstellung der Hochzeitswebsite-Plattform)
Benutzerregistrierung und Authentifizierung (passwortlos via Magic-Links)
Verwaltung von Hochzeitswebsites und nutzergenerierten Inhalten
Zahlungsabwicklung für Premium-Abonnements
Versand transaktionaler E-Mails (Magic-Links, Benachrichtigungen, Kündigungsbestätigungen)
Sicherheitsmaßnahmen und Betrugsprävention
Erfüllung gesetzlicher Aufbewahrungspflichten
Verwaltung des Referral-/Partnerprogramms
Bearbeitung von Kontaktanfragen und Takedown-Requests

Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können.

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben. Beispiele: Persistente Speicherung von Login-Daten, Newsletter-Einwilligung, Bildrechte-Einräumung.
Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Beispiele: Benutzerregistrierung, Website-Erstellung, Abonnement-Verwaltung, E-Mail-Kommunikation.
Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Beispiele: Impressumspflicht (§ 5 TMG), Aufbewahrungspflichten (§ 257 HGB, § 147 AO), Nachweispflicht für Einwilligungen (Art. 7 DSGVO).
Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Beispiele: Sicherheitsmaßnahmen, Missbrauchsverhinderung, Betrugsprävention, Server-Logging.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Implementierte Sicherheitsmaßnahmen

TLS-Verschlüsselung (HTTPS): Alle Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt über HTTPS. SSL-Zertifikate werden von Let's Encrypt ausgestellt und automatisch erneuert.
Passwortlose Authentifizierung: Wir verwenden ausschließlich Magic-Links zur Authentifizierung. Es werden keine Passwörter in unserer Datenbank gespeichert, was das Risiko von Passwort-Leaks eliminiert.
Token-Sicherheit: Authentifizierungstoken werden mit 32 Byte kryptographisch sicheren Zufallswerten generiert. Magic-Links sind 24 Stunden gültig und können nur einmal verwendet werden (mit 30 Sekunden Grace Period für Netzwerkprobleme).
JWT-Authentifizierung: Nach erfolgreicher Anmeldung werden JSON Web Tokens (JWT) für die API-Kommunikation verwendet.
Kubernetes-Infrastruktur: Unsere Anwendung läuft in einer Kubernetes-Umgebung mit mehreren Replicas für Hochverfügbarkeit und automatische Skalierung.
Eingabevalidierung: Alle Benutzereingaben werden serverseitig validiert und bereinigt, um Injection-Angriffe zu verhindern.
Stripe Webhook-Signaturprüfung: Alle eingehenden Stripe-Webhooks werden kryptographisch verifiziert.

Bereitstellung des Onlineangebotes und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

Verarbeitete Datenarten: Nutzungsdaten, Meta-/Kommunikationsdaten (IP-Adressen, Geräte-Informationen)
Betroffene Personen: Nutzer, Webseitenbesucher
Zwecke der Verarbeitung: Bereitstellung des Onlineangebotes, Sicherheitsmaßnahmen, Infrastrukturbetrieb
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO)

Hetzner Online GmbH

Wir nutzen für das Hosting unserer Website und zugehöriger Dienste die Infrastruktur der Hetzner Online GmbH.

Serverstandorte:

Webserver (Kubernetes-Cluster): Rechenzentrum in der EU
S3-Objektspeicher für Bilder: Rechenzentrum Falkenstein, Deutschland
PostgreSQL-Datenbank: Im Kubernetes-Cluster gehostet
Redis-Cache: Im Kubernetes-Cluster gehostet

Bei jedem Zugriff auf unsere Website werden automatisch Daten erfasst, die Ihr Browser übermittelt:

IP-Adresse des anfragenden Rechners
Datum und Uhrzeit des Zugriffs
Name und URL der abgerufenen Datei
Website, von der aus der Zugriff erfolgt (Referrer-URL)
Verwendeter Browser und Betriebssystem (User-Agent)

Speicherdauer: Server-Logs werden für maximal 14 Tage gespeichert und danach automatisch gelöscht.

Dienstanbieter:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Website: https://www.hetzner.com
Datenschutzerklärung: https://www.hetzner.com/de/rechtliches/datenschutz

S3-Objektspeicher für Bilddateien

Wir nutzen den S3-kompatiblen Object Storage von Hetzner zur Speicherung von hochgeladenen Bildern und nutzergenerierten Inhalten.

Technische Details

Speicherort: Rechenzentrum Falkenstein, Deutschland (EU)
Bucket (Produktion): traufix-prod
API-Endpoint: https://fsn1.your-objectstorage.com
Öffentliche URL: https://traufix-prod.fsn1.your-objectstorage.com

Bildverarbeitung

Hochgeladene Bilder werden in mehreren Auflösungen gespeichert:

360p Vorschau
720p HD (maximale Qualität im Basic-Tarif)
1080p Full HD
Original (bis 4K, nur Premium/Max)

Speicherlimits nach Tarif

Tarif	Speicherlimit	Max. Bildqualität
Basic (kostenlos)	20 MB	720p HD
Premium	15 GB	4K Original
Max	50 GB	4K Original

Verarbeitete Daten je Bild:

Bilddatei und deren Inhalt
Metadaten: Dateiname, Original-Dateiname, MIME-Type, Dateigröße, Bildabmessungen
Zuordnung zur Website-ID und Nutzer-Account
Upload-Zeitpunkt
Bei Gast-Uploads: Name des Hochladenden (sofern angegeben)
Bildunterschrift und Alternativtext (optional)

Hinweis zu EXIF-Daten: EXIF-Daten (z.B. GPS-Koordinaten, Kameramodell) in hochgeladenen Bildern werden derzeit nicht automatisch entfernt. Nutzer sind selbst dafür verantwortlich, sensible Metadaten vor dem Upload zu entfernen.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO)

Speicherdauer: Bilder werden gespeichert, solange der Nutzer-Account besteht und die Bilder nicht manuell gelöscht werden. Nach Account-Löschung oder Kündigung werden alle Bilder nach Ablauf einer 30-tägigen Grace Period unwiderruflich gelöscht.

E-Mail-Versand mit Resend

Für den Versand transaktionaler E-Mails nutzen wir den Dienst Resend. Dies umfasst alle automatisierten E-Mails, die für die Erbringung unserer Dienste erforderlich sind.

Arten versendeter E-Mails

Magic-Link-E-Mails: Authentifizierungslinks für die Anmeldung
Willkommens-E-Mails: Begrüßung nach Registrierung
Speicher-Warnungen: Hinweise bei Erreichen des Speicherlimits
Kündigungsbestätigungen: Bestätigung der Abonnement-Kündigung (§ 312k BGB)
Downgrade-Benachrichtigungen: Information bei Tarifwechsel
Lösch-Erinnerungen: 7 Tage vor automatischer Bildlöschung
Lösch-Bestätigungen: Nach erfolgter Bildlöschung
Takedown-Benachrichtigungen: Information über gemeldete Inhalte
Abonnement-Aktivierungen: Bestätigung von Premium-Abschlüssen

Verarbeitete Daten:

E-Mail-Adresse des Empfängers
Name des Nutzers (sofern vorhanden)
E-Mail-Inhalt (inkl. Links und relevanter Daten)
Versandzeitpunkt
Zustellstatus

Hinweis: Open- und Click-Tracking ist bei Resend standardmäßig deaktiviert und wird von uns nicht verwendet. Wir tracken nicht, ob oder wann Sie E-Mails öffnen oder auf Links klicken.

Absender: Traufix <noreply@traufix.de>

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO)

Dienstanbieter:

Resend, Inc.
340 S Lemon Ave #1957
Walnut, CA 91789
USA

Website: https://resend.com
Datenschutzerklärung: https://resend.com/legal/privacy-policy

Datenübermittlung in Drittländer: Resend verarbeitet Daten in den USA. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

E-Mail-Empfang mit Google Workspace

Für den Empfang und die Verwaltung eingehender E-Mails (z.B. Support-Anfragen) nutzen wir Google Workspace (ehemals G Suite).

Verarbeitete Daten:

E-Mail-Adressen (Absender und Empfänger)
Inhalt der E-Mail-Nachrichten
Anhänge
Zeitstempel
Metadaten (IP-Adressen, Header-Informationen)

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO)

Dienstanbieter:

Google Ireland Limited
Gordon House, Barrow Street
Dublin 4
Irland

Website: https://workspace.google.com
Datenschutzerklärung: https://policies.google.com/privacy

Datenübermittlung in Drittländer: Google kann Daten auch in den USA verarbeiten. Google ist nach dem EU-US Data Privacy Framework zertifiziert und nutzt Standardvertragsklauseln.

Zahlungsabwicklung mit Stripe

Für die Abwicklung von Premium-Abonnements nutzen wir den Zahlungsdienstleister Stripe. Stripe verarbeitet Zahlungsdaten wie Kreditkartennummern, Bankverbindungen und Transaktionsinformationen.

Wichtiger Hinweis: Wir selbst erhalten von Stripe keine vollständigen Zahlungsdaten (z.B. keine vollständigen Kreditkartennummern). Wir erhalten lediglich:

Bestätigung über erfolgreiche oder fehlgeschlagene Zahlungen
Transaktions-ID
Stripe-Kunden-ID
Stripe-Abonnement-ID
Abonnement-Status und -Zeiträume

Verfügbare Zahlungsmethoden

Kreditkarte
SEPA-Lastschrift
PayPal

Abonnement-Tarife

Tarif	Monatlich	Jährlich
Premium	13,00 €	130,00 €
Max	29,00 €	290,00 €

Stripe-Cookies

Stripe setzt eigene Cookies für Betrugserkennung und sichere Zahlungsabwicklung. Diese werden nur gesetzt, wenn Sie den Zahlungsvorgang starten.

Cookie	Zweck	Gültigkeitsdauer
__stripe_mid	Betrugserkennung und Sicherheitsanalyse	1 Jahr
__stripe_sid	Verarbeitung von Zahlungsinformationen während der Sitzung	30 Minuten

Stripe Webhooks

Wir nutzen Stripe-Webhooks, um über Statusänderungen informiert zu werden (z.B. erfolgreiche Zahlung, Kündigung, fehlgeschlagene Zahlung). Die Webhooks übermitteln Transaktions-IDs und Status-Informationen, aber keine vollständigen Zahlungsdaten.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO)

Dienstanbieter:

Stripe Payments Europe, Ltd.
1 Grand Canal Street Lower, Grand Canal Dock
Dublin, D02 H210
Irland

Website: https://stripe.com
Datenschutzerklärung: https://stripe.com/de/privacy

Datenübermittlung in Drittländer: Stripe kann Daten auch in Rechenzentren außerhalb der EU verarbeiten. Stripe nutzt Standardvertragsklauseln und ist nach dem EU-US Data Privacy Framework zertifiziert.

Google Fonts

Unsere Website verwendet Schriftarten von Google Fonts, die beim Laden der Seite von Google-Servern abgerufen werden.

Verwendete Schriftarten:

Montserrat (Gewichte: 300, 400, 500, 600, 700)
Material Icons (Icon-Schriftart)

Übertragene Daten bei jedem Seitenaufruf:

IP-Adresse des Nutzers
Browser User-Agent
Referrer-URL
Angefragte Schriftart-Ressourcen

Dienstanbieter:

Google LLC
1600 Amphitheatre Parkway
Mountain View, CA 94043
USA

Datenschutzerklärung: https://policies.google.com/privacy

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO)

Datenübermittlung in Drittländer: Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.

Benutzerregistrierung und Authentifizierung

Wir verwenden ein passwortloses Authentifizierungssystem (Magic-Links). Bei der Registrierung und Anmeldung werden keine Passwörter verwendet oder gespeichert.

Registrierungsprozess

Nutzer gibt E-Mail-Adresse ein
E-Mail-Adresse wird auf Format und MX-Records validiert
Magic-Link wird per E-Mail versendet (24 Stunden gültig)
Nach Klick auf den Link erfolgt die Authentifizierung
JWT-Token wird ausgestellt (365 Tage gültig)

Verarbeitete personenbezogene Daten

Datenfeld	Pflichtfeld	Zweck
E-Mail-Adresse	Ja	Login-Identifikator, Kommunikation
Name Braut	Ja	Personalisierung der Website, Vorschlag für Website-URL (es kann auch ein frei gewählter Name oder Pseudonym verwendet werden – eine Verifizierung findet nicht statt)
Name Bräutigam	Ja	Personalisierung der Website, Vorschlag für Website-URL (es kann auch ein frei gewählter Name oder Pseudonym verwendet werden – eine Verifizierung findet nicht statt)
Subdomain	Ja	Eindeutige Website-URL (wird aus den Namen generiert, ggf. mit Suffix wie "-hochzeit" falls die gewünschte URL bereits vergeben ist)
Hochzeitsdatum	Nein	Countdown, Website-Funktionen
Referral-Code	Nein	Partnerprogramm-Tracking

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO)

Nutzergenerierte Inhalte (User-Generated Content)

Wir ermöglichen Nutzern, verschiedene Inhalte auf unserer Plattform zu erstellen und hochzuladen.

Website-Konfiguration

Die Website-Konfiguration wird als JSON-Struktur gespeichert und kann folgende Daten enthalten:

Einladungstexte und Beschreibungen
Tagesplan mit Veranstaltungsorten und Uhrzeiten
Countdown-Einstellungen
RSVP-Formular-Konfiguration
Hotel-/Unterkunftsempfehlungen mit Adressen
FAQ-Einträge
Hochzeits-ABC
Wunschliste mit externen Links
Kontaktinformationen
Eingebettete Videos (YouTube, Vimeo URLs)
Zitate und freie Textblöcke

Gäste-Rückmeldungen (RSVP)

Wenn Gäste über die Hochzeitswebsite eine Rückmeldung abgeben, werden folgende Daten verarbeitet:

Name des Gastes (Pflichtfeld)
E-Mail-Adresse (optional, konfigurierbar)
Status (Zusage/Absage/Ausstehend)
Anzahl der Personen
Ernährungsbesonderheiten (vegetarisch, vegan, glutenfrei, laktosefrei, sonstige)
Optionale Nachricht
Zeitstempel der Übermittlung

Gastnachrichten

Gäste können dem Brautpaar Nachrichten über die Website senden:

Name
Nachrichtentext
Zeitstempel

Gast-Uploads

Nutzer können eine Funktion aktivieren, mit der Gäste Bilder auf die Hochzeitswebsite hochladen können. Der Nutzer ist auch für diese von Gästen hochgeladenen Inhalte verantwortlich.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO)

Verantwortung für Inhalte: Nutzer sind selbst dafür verantwortlich, dass hochgeladene Inhalte keine Rechte Dritter verletzen. Vor Aktivierung von Gast-Uploads und vor Veröffentlichung der Website müssen Nutzer explizit bestätigen, dass sie die volle Verantwortung übernehmen.

Einwilligungsverwaltung und Audit Trail

Wir haben ein umfassendes Consent-Management-System implementiert, um Ihre Einwilligungen DSGVO-konform zu verwalten und zu dokumentieren.

Erfasste Einwilligungsarten

Einwilligungstyp	Zweck	Aufbewahrungsfrist
terms_registration	AGB-Akzeptanz bei Registrierung	10 Jahre nach Vertragsende (§ 257 HGB)
privacy_registration	Datenschutz-Akzeptanz bei Registrierung	10 Jahre nach Vertragsende (§ 257 HGB)
storage_consent_accepted/declined	Persistente Speicherung von Login-Daten	Bis zum Widerruf/Browser-Cache-Löschung
image_upload_owner	Bildrechte-Bestätigung (eigene Uploads)	7 Jahre nach Widerruf/Löschung (§ 257 HGB)
image_upload_guest	Verantwortung für Gast-Uploads	7 Jahre nach Website-Löschung (§ 257 HGB)
publish_responsibility	Übernahme der Veröffentlichungsverantwortung	Unbefristet (berechtigtes Interesse)
purchase_terms	Kaufbedingungen bei Premium-Abschluss	10 Jahre nach Vertragsende (§ 257 HGB)
purchase_withdrawal	Kenntnisnahme des Widerrufsrechts	10 Jahre nach Vertragsende (§ 257 HGB)

Protokollierte Daten je Einwilligung (Audit Trail)

Gemäß Art. 7 Abs. 1 DSGVO protokollieren wir für jede Einwilligung:

Art der Einwilligung (Consent-Typ)
Zeitpunkt der Erteilung
IP-Adresse zum Zeitpunkt der Erteilung
Browser- und Geräteinformationen (User-Agent)
Methode der Erteilung (web_form, checkbox, api, banner, checkout_form)
Version der akzeptierten Dokumente
Verarbeitungszweck und Rechtsgrundlage
Aufbewahrungsfrist und geplantes Löschdatum
Informationen zu Drittlandstransfers
Liste der Auftragsverarbeiter

Widerruf von Einwilligungen

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann über Ihre Account-Einstellungen erfolgen oder per E-Mail an support@traufix.de.

Wichtiger Hinweis: Bestimmte Einwilligungen (z.B. AGB, Datenschutz) können nicht widerrufen werden, solange Sie den Service aktiv nutzen. Ein Widerruf dieser Einwilligungen führt zur Beendigung des Vertragsverhältnisses und zur Löschung Ihres Accounts.

Besonderheit "Veröffentlichungsverantwortung": Ein Widerruf der Veröffentlichungsverantwortung führt zur automatischen Depublizierung Ihrer Hochzeitswebsite.

Einsicht in Ihre Einwilligungen

In Ihren Account-Einstellungen können Sie jederzeit eine vollständige Übersicht aller erteilten und widerrufenen Einwilligungen einsehen (Art. 15 DSGVO - Auskunftsrecht).

Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) - Nachweispflicht gemäß Art. 7 Abs. 1 DSGVO

Impressumsverwaltung und Veröffentlichungsverantwortung

Zur Erfüllung der Impressumspflicht nach § 5 TMG ermöglichen wir Nutzern, ein eigenes Impressum für ihre Hochzeitswebsite zu hinterlegen. Die Angabe eines vollständigen Impressums ist optional, wird aber für die Veröffentlichung empfohlen.

Veröffentlichungsverantwortung

Vor der Veröffentlichung einer Hochzeitswebsite muss der Nutzer explizit bestätigen, dass er die volle rechtliche Verantwortung für alle veröffentlichten Inhalte übernimmt (Consent-Typ: publish_responsibility). Mit dieser Bestätigung erklärt der Nutzer:

Er ist alleiniger Verantwortlicher für den Inhalt der Website im Sinne des § 5 TMG
Er verfügt über alle erforderlichen Rechte an den veröffentlichten Inhalten
Er stellt Traufix von Ansprüchen Dritter frei, die aus den Inhalten resultieren

Ein Widerruf der Veröffentlichungsverantwortung führt zur automatischen Depublizierung der Hochzeitswebsite.

Erfassbare Impressumsdaten (optional)

Firmenname (optional)
Vollständiger Name (Vor- und Nachname)
Straße und Hausnummer
Postleitzahl und Ort
Land (Standard: Deutschland)
Telefonnummer
E-Mail-Adresse (öffentliche Kontaktadresse)
USt-IdNr. (optional)
Handelsregisternummer und -gericht (optional)
Zusätzliche Informationen (optional)

Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) - § 5 TMG

Cookies und Web Storage

Unsere Plattform verwendet keine klassischen HTTP-Cookies für die Kernfunktionalität. Stattdessen nutzen wir die modernen Web Storage APIs (Local Storage und Session Storage).

Speicherverhalten

Ohne Einwilligung: Alle Daten werden im Session Storage gespeichert und beim Schließen des Browsers gelöscht.
Mit Einwilligung: Daten werden im Local Storage gespeichert und bleiben über Browser-Sessions hinweg erhalten (7 Tage Standard, 365 Tage nach Registrierung).

Gespeicherte Daten

Schlüssel	Zweck	Gültigkeitsdauer
consent	Speichert Ihre Entscheidung zur persistenten Speicherung	7 Tage oder Session
auth_token	JWT-Zugriffstoken für die Authentifizierung	7-365 Tage oder Session
auth_user	Benutzerdaten (User-ID, E-Mail, Name, Account-Level)	7-365 Tage oder Session
referral_code	Empfehlungscode für das Partnerprogramm	7-365 Tage oder Session
wedding-website-id	ID der aktuell ausgewählten Hochzeitswebsite	7-365 Tage oder Session
wedding-website-config	Zwischenspeicher für Website-Konfiguration	7-365 Tage oder Session
selectedTheme	Ausgewähltes Design-Theme	7-365 Tage oder Session
wedding-reply-*	Lokale Zwischenspeicherung von RSVP-Antworten	7 Tage oder Session

Drittanbieter-Cookies (Stripe)

Bei Nutzung der Zahlungsfunktion setzt Stripe eigene Cookies (siehe Abschnitt "Zahlungsabwicklung").

Rechtsgrundlage:

Technisch notwendige Speicherung: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO)
Persistente Speicherung: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG)

Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

Referral- und Partnerprogramm

Wir bieten ein Partnerprogramm an, bei dem Partner Provisionen für vermittelte Kunden erhalten.

Verarbeitete Partner-Daten

Name und Kontaktdaten (E-Mail, Telefon)
Geschäftsinformationen (Firmenname, Website, Social Media)
Zahlungsinformationen (IBAN, PayPal-Adresse oder Stripe Connect Account-ID)
Steuernummer und Adresse
Partner-Typ (Influencer, Unternehmen, Privatperson)
Provisionsstatistiken und Conversion-Tracking

Stripe Connect

Für die Auszahlung von Provisionen nutzen wir Stripe Connect. Partner müssen ein Stripe-Konto erstellen und verifizieren.

Auszahlungsverzögerung: 30 Tage (zur Berücksichtigung von Stornierungen)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO)

Takedown-Verfahren

Wir bieten ein Verfahren zur Meldung rechtswidriger Inhalte gemäß NetzDG und anderen einschlägigen Vorschriften.

Verarbeitete Daten bei Takedown-Requests:

Name, E-Mail und Telefon des Meldenden
Gemeldete URL und spezifischer Inhalt
Art der Verletzung (Urheberrecht, Persönlichkeitsrechte, Verleumdung, Datenschutz, illegale Inhalte)
Beschreibung und Beweisdateien
DSGVO-Einwilligung und Richtigkeitserklärung

Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO)

Auftragsverarbeiter und Drittlandstransfers

Wir setzen folgende Auftragsverarbeiter ein:

Dienstleister	Zweck	Standort	Transfermechanismus
Hetzner Online GmbH	Webhosting, Kubernetes-Infrastruktur	Deutschland (EU)	Kein Drittlandstransfer
Hetzner Online GmbH	S3 Object Storage (Bildspeicherung)	Deutschland (EU)	Kein Drittlandstransfer
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	Irland (EU) / USA	EU-US Data Privacy Framework, SCC
Resend, Inc.	E-Mail-Versand	USA	Standardvertragsklauseln (SCC)
Google Ireland Limited	E-Mail-Empfang (Workspace)	Irland (EU) / USA	EU-US Data Privacy Framework, SCC
Google LLC	Google Fonts	USA	EU-US Data Privacy Framework

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten.

Umsetzung: Über Ihr Account-Dashboard können Sie Ihre Profildaten, Einwilligungen und deren Historie einsehen.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger Daten zu verlangen.

Umsetzung: Über Ihr Account-Dashboard können Sie Ihre Profildaten, E-Mail-Adresse und Website-Inhalte jederzeit bearbeiten.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer Daten zu verlangen.

Umsetzung: Sie können Ihren Account vollständig löschen. Dabei werden:

Stripe-Abonnements gekündigt
Alle Bilder aus dem S3-Speicher gelöscht
Alle Websites gelöscht
Ihr Benutzerkonto und alle zugehörigen Daten gelöscht

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen Format zu erhalten.

Umsetzung: Sie können alle Ihre Bilder als ZIP-Datei herunterladen.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen.

Beschwerderecht bei Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde:

Unabhängiges Datenschutzzentrum Saarland
Die Landesbeauftragte für Datenschutz und Informationsfreiheit
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Telefon: +49 681 94781-0
E-Mail: poststelle@datenschutz.saarland.de
Website: www.datenschutz.saarland.de

Löschung von Daten und Aufbewahrungsfristen

Automatische Löschung nach Vertragsende

Nach Beendigung des Vertragsverhältnisses (durch Kündigung, Ablauf oder sonstiges Ende) werden alle Daten nach folgenden Fristen gelöscht:

Grace Period: 30 Tage nach Kündigung/Downgrade
Erinnerungs-E-Mail: 7 Tage vor automatischer Löschung
Bildlöschung: Nach Ablauf der Grace Period werden alle Bilder automatisch und unwiderruflich gelöscht

Automatische Bildlöschung bei Downgrade

Wenn Sie von Premium/Max auf Basic wechseln und Ihr Speicherverbrauch das neue Limit überschreitet, werden nach der Grace Period ältere Bilder automatisch gelöscht, bis das Limit eingehalten wird.

Gesetzliche Aufbewahrungsfristen

Handelsrechtliche Aufbewahrung (§ 257 HGB): 6-10 Jahre für Handelsbriefe, Buchungsbelege, Einwilligungsnachweise
Steuerrechtliche Aufbewahrung (§ 147 AO): 10 Jahre für steuerlich relevante Unterlagen
Consent-Protokolle: Bis 3 Jahre nach Ende der Verarbeitung (Nachweispflicht Art. 7 DSGVO)

Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen.

Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. erneute Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Begriffsdefinitionen

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.
Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, wie Erheben, Speichern, Übermitteln oder Löschen.
Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Drittland: Ein Land außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.