Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als "Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 17. Mai 2026

Inhaltsübersicht

• Verantwortlicher
• Übersicht der Verarbeitungen
• Maßgebliche Rechtsgrundlagen
• Sicherheitsmaßnahmen
• Übermittlung von personenbezogenen Daten
• Internationale Datentransfers
• Allgemeine Informationen zur Datenspeicherung und Löschung
• Rechte der betroffenen Personen
• Geschäftliche Leistungen
• Einsatz von Online-Plattformen zu Angebots- und Vertriebszwecken
• Bereitstellung des Onlineangebots und Webhosting
• Einsatz von Cookies
• Registrierung, Anmeldung und Nutzerkonto
• Empfänger-Profile und Daten Dritter
• Kontakt- und Anfrageverwaltung
• Webanalyse, Monitoring und Optimierung
• Onlinemarketing
• Affiliate-Programme und Affiliate-Links
• Präsenzen in sozialen Netzwerken (Social Media)
• Plug-ins und eingebettete Funktionen sowie Inhalte
• Management, Organisation und Hilfswerkzeuge
• AI-Dienste und App-spezifische Dienstleister
• Push-Benachrichtigungen
• Jugendschutz und Altersverifikation
• Affiliate-Kennzeichnung
• EU AI Act — Kennzeichnung AI-generierter Inhalte
• Vibe Check — Bildanalyse
• Swipe-Daten und Produktbewertungen
• Wunschlisten und öffentliche Teilen-Funktion
• Beta-Testphase
• Anlass-Erinnerungen und Geburtstagsdaten
• Abonnements und Vertragsdaten
• Lokale Datenspeicherung auf dem Gerät
• Einwilligung zur Nutzung von AI-Features (KI-Consent)
• Änderung und Aktualisierung
• Begriffsdefinitionen

Verantwortlicher

Markus Schobein
Ziegelstraße 4
01069 Dresden
Deutschland

E-Mail-Adresse: impressum@luxigift.app

Impressum: https://luxigift.app/impressum

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

• Bestandsdaten (E-Mail-Adresse, Abo-Tier, Spracheinstellung)
• Empfänger-Profile (Name, Beziehung, Interessen, Alter, Budget)
• Verhaltensdaten (Swipes, Affiliate-Klicks, Bewertungen)
• AI-Eingaben (Anlass, Interessen, Budget → Claude API)
• Push-Token (Geräte-Token für Push-Benachrichtigungen)
• Kontaktdaten
• Nutzungsdaten
• Meta-, Kommunikations- und Verfahrensdaten
• Protokolldaten

Kategorien betroffener Personen

• App-Nutzer (Konsumenten, DACH-Markt)
• Webseitenbesucher (luxigift.app)
• Kommunikationspartner
• Interessenten

Zwecke der Verarbeitung

• Erbringung vertraglicher Leistungen (App-Betrieb, AI-Geschenkempfehlungen)
• Kommunikation und Support
• Sicherheitsmaßnahmen
• Reichweitenmessung und Analytics
• Affiliate-Nachverfolgung
• Marketing
• Bereitstellung des Onlineangebotes

Wir verkaufen keine personenbezogenen Daten und erstellen keine Nutzerprofile für Werbezwecke. Deine Daten werden ausschließlich zur Erbringung der App-Funktionen und zur Provisionsabrechnung über Affiliate-Links genutzt.

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO:

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) – Push-Benachrichtigungen, Analytics, Vibe Check Fotos, DSGVO-Consent beim Onboarding.
• Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) – Registrierung, Empfänger-Profile, AI-Features, Abo-Abwicklung.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO) – Steuerrelevante Aufbewahrungspflichten.
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) – Analytics (PostHog), Crash-Reporting (Sentry), Sicherheitsmonitoring.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den eingesetzten Maßnahmen gehören insbesondere:

• TLS/SSL-Verschlüsselung (HTTPS): Alle Verbindungen zwischen App, Website und unseren Servern sind verschlüsselt.
• Row Level Security (RLS): Jeder Nutzer kann ausschließlich seine eigenen Daten lesen und bearbeiten.
• Sichere Token-Speicherung: Auth-Tokens werden im iOS Keychain bzw. Android Keystore gespeichert (expo-secure-store).
• Secret Management: API-Keys werden über Doppler verwaltet und sind nicht im App-Bundle enthalten.
• Verschlüsselung at Rest: Alle Daten in der Supabase-Datenbank sind verschlüsselt gespeichert.
• Crash-Monitoring: Sentry überwacht die App auf Fehler und Sicherheitsprobleme.

Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass diese an andere Stellen, Unternehmen oder Dienstleister übermittelt werden. Zu den Empfängern gehören insbesondere technische Dienstleister (Supabase, Anthropic, RevenueCat, PostHog, Sentry) sowie Affiliate-Partner (Amazon, Awin-Netzwerk). In allen Fällen schließen wir entsprechende Auftragsverarbeitungsverträge (AVV) ab.

Internationale Datentransfers

Einige unserer Dienstleister verarbeiten Daten außerhalb der EU (insbesondere USA). Wir stützen uns dabei auf das EU-US Data Privacy Framework (DPF) sowie Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.

• Anthropic (USA): DPF-zertifiziert + SCCs
• RevenueCat (USA): DPF-zertifiziert + SCCs
• Sentry (USA): SCCs
• Supabase (Frankfurt/EU): Keine Drittlandübermittlung
• PostHog (EU-Server): Keine Drittlandübermittlung

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Gesetzliche Aufbewahrungsfristen bleiben vorbehalten.

• Account-Daten: Sofortige Löschung nach Konto-Löschung durch den Nutzer
• Analytics-Events (PostHog): 90 Tage
• Crash-Logs (Sentry): 30 Tage
• Steuerrelevante Daten (Kaufbelege): 10 Jahre gemäß gesetzlicher Aufbewahrungspflicht
• Vibe Check Fotos: Sofortige Löschung nach AI-Analyse
• Push-Token: Bei Abmeldung oder Konto-Löschung

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO folgende Rechte zu:

• Auskunftsrecht (Art. 15): Datenexport-Funktion in der App (Profil → Meine Daten exportieren)
• Recht auf Berichtigung (Art. 16): E-Mail-Adresse in der App änderbar; Empfänger-Profile bearbeitbar
• Recht auf Löschung (Art. 17): Konto-Löschung in der App (Profil → Konto löschen)
• Recht auf Einschränkung der Verarbeitung (Art. 18): Anfrage per E-Mail an support@luxigift.app
• Recht auf Datenübertragbarkeit (Art. 20): JSON-Export aller Nutzerdaten in der App
• Widerspruchsrecht (Art. 21): Analytics Opt-Out in der App (Profil → Benachrichtigungen → Anonyme Nutzungsstatistiken)
• Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit über Konto-Löschung möglich
• Beschwerderecht: Sächsischer Datenschutzbeauftragter, Devrientstraße 5, 01067 Dresden, www.saechsdsb.de

Geschäftliche Leistungen

Wir verarbeiten personenbezogene Daten unserer Nutzer zur Erbringung der LuxiGift AI App-Dienste, insbesondere zur AI-gestützten Geschenkempfehlung, Erstellung von AI-Grußbotschaften, Verwaltung von Wunschlisten, Anlass-Erinnerungen sowie zur Darstellung von Nutzungsstatistiken im Statistiken-Screen (Jahresbudget, Monatsverlauf, Jahresvergleich — basierend auf dem persönlichen Geschenkverlauf des Nutzers).

• Verarbeitete Datenarten: Bestandsdaten, Empfänger-Profile, Verhaltensdaten, AI-Eingaben, Vertragsdaten.
• Betroffene Personen: App-Nutzer, Interessenten.
• Zwecke: Erbringung vertraglicher Leistungen, Kommunikation, Geschäftsprozesse.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Einsatz von Online-Plattformen zu Angebots- und Vertriebszwecken

Wir bieten die LuxiGift AI App über folgende Plattformen an:

• Google Play Store: Betreiber: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Google ist im Rahmen der App-Verteilung und Zahlungsabwicklung als Deemed Supplier tätig. Datenschutzerklärung: https://policies.google.com/privacy.
• Apple App Store: Betreiber: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA. Apple ist im Rahmen der App-Verteilung und Zahlungsabwicklung als Deemed Supplier tätig. Datenschutzerklärung: https://www.apple.com/de/privacy/.
• Hinweis zur Verantwortlichkeit: Im Rahmen der Zahlungsabwicklung und App-Verteilung handeln Apple und Google als eigenständige datenschutzrechtliche Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Für die dabei stattfindende Datenverarbeitung gelten ausschließlich deren eigene Datenschutzbestimmungen — wir haben auf diese Verarbeitung keinen Einfluss und erhalten keine Zahlungsdaten.

• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können.

• ALL-INKL: Webhosting für luxigift.app. Dienstanbieter: ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland. Website: https://all-inkl.com/. Datenschutzerklärung: https://all-inkl.com/datenschutzinformationen/. AVV: Wird vom Dienstanbieter bereitgestellt.
• Supabase: Datenbankhosting und Authentifizierung. Dienstanbieter: Supabase Inc., gehostet in Frankfurt/Deutschland (eu-central-1). Alle Nutzerdaten verbleiben innerhalb der EU. Website: https://supabase.com. Datenschutzerklärung: https://supabase.com/privacy. AVV: Abgeschlossen.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Einsatz von Cookies

Wir verwenden Cookies gemäß den gesetzlichen Vorschriften. Dazu holen wir, wenn erforderlich, vorab die Zustimmung der Nutzer ein über unser Cookie-Management-Tool Complianz.

• Complianz: Cookie-Consent-Management. Dienstanbieter: Complianz B.V. Website: https://complianz.io/. Datenschutzerklärung: https://complianz.io/legal/.
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Die Registrierung erfolgt per E-Mail mit einem 8-stelligen OTP-Code (Einmalpasswort). Es ist kein Klarname erforderlich — Pseudonyme sind erlaubt.

• Verarbeitete Datenarten: E-Mail-Adresse, Abo-Tier, Spracheinstellung, DSGVO-Einwilligung (Zeitstempel), Empfänger-Profile.
• Besonderheiten: Profile der Nutzer sind nicht öffentlich. Daten werden nach Konto-Löschung sofort gelöscht (außer steuerrelevante Daten).
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Empfänger-Profile und Daten Dritter

Die Kernfunktion von LuxiGift AI besteht darin, Geschenkempfehlungen für andere Personen zu generieren. Hierfür können Nutzer sogenannte Empfänger-Profile anlegen, die Angaben über Dritte enthalten — also über Personen, die selbst nicht Nutzer der App sind und der Datenverarbeitung nicht direkt zugestimmt haben.

• Verarbeitete Datenarten: Name oder Bezeichnung (z. B. „Mama", „Stefan"), Geburtsdatum, Geschlecht, Interessen, Budget, Beziehungstyp zum Nutzer.
• Zweck: Ausschließlich zur Generierung personalisierter Geschenkempfehlungen durch die App. Die Daten werden nicht für Werbezwecke genutzt, nicht weitergegeben und nicht für automatisierte Entscheidungen verwendet.
• Verantwortung des Nutzers: Nutzer sind selbst dafür verantwortlich, Empfänger-Profile nur für Personen anzulegen, bei denen sie berechtigt sind, diese Angaben zu machen (z. B. enge Familienmitglieder oder Freunde, deren Daten sie kennen). Wir empfehlen, keine sensiblen oder über den Zweck hinausgehenden Informationen einzutragen.
• Keine Identifizierbarkeit nach außen: Empfänger-Profile sind ausschließlich für den jeweiligen Nutzer sichtbar und werden nicht veröffentlicht.
• Löschung: Alle Empfänger-Profile werden bei Konto-Löschung durch den Nutzer sofort und vollständig gelöscht.
• Rechtsgrundlage: Berechtigte Interessen des Nutzers (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) — das Interesse, für nahestehende Personen passende Geschenke zu finden, überwiegt das Schutzinteresse der betroffenen Dritten angesichts der ausschließlich privaten Nutzung und der fehlenden Außenwirkung der Profile.

Kontakt- und Anfrageverwaltung

Bei der Kontaktaufnahme über unser Kontaktformular auf luxigift.app oder per E-Mail an support@luxigift.app verarbeiten wir die übermittelten Daten zur Beantwortung der Anfrage.

• Verarbeitete Datenarten: Kontaktdaten, Inhaltsdaten, Meta- und Kommunikationsdaten.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Webanalyse, Monitoring und Optimierung

• PostHog (App-Analytics): Zur Verbesserung der App nutzen wir PostHog, gehostet auf EU-Servern in Deutschland. Es werden anonymisierte Nutzungsstatistiken (App-Events, Klicks) erfasst — keine personenbezogenen Daten. Nutzer können der Erfassung in den App-Einstellungen widersprechen (Profil → Benachrichtigungen → Anonyme Nutzungsstatistiken). Dienstanbieter: PostHog Inc., EU-Hosting. Website: https://posthog.com. Datenschutzerklärung: https://posthog.com/privacy. AVV: Abgeschlossen (EU-Instanz).
• Sentry (Crash-Reporting): Zur Fehlererkennung und -behebung nutzen wir Sentry. Sentry erfasst anonymisierte Crash-Logs und Fehlermeldungen. Dienstanbieter: Functional Software Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Website: https://sentry.io. Datenschutzerklärung: https://sentry.io/privacy/. Grundlage Drittlandtransfer: SCCs. AVV: Abgeschlossen.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Onlinemarketing

• Google Ads: Online-Marketing-Verfahren zur Platzierung von Werbeanzeigen. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Website: https://marketingplatform.google.com. Datenschutzerklärung: https://policies.google.com/privacy. Grundlage Drittlandtransfer: Data Privacy Framework (DPF).
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Affiliate-Programme und Affiliate-Links

In unserem Onlineangebot binden wir Affiliate-Links zu Produkten und Dienstleistungen von Drittanbietern ein. Wenn Nutzer den Affiliate-Links folgen und die Angebote wahrnehmen, können wir von diesen Drittanbietern eine Provision erhalten.

• Amazon-Partnerprogramm: Dienstanbieter: Amazon EU S.à r.l., 38 avenue John F. Kennedy, L-1855 Luxemburg. Website: https://www.amazon.de. Datenschutzerklärung: Amazon Datenschutz. Grundlage Drittlandtransfer: Data Privacy Framework (DPF).
• Awin Affiliate-Netzwerk: Wir nehmen am Affiliate-Netzwerk Awin teil, über das folgende Partner eingebunden sind: Douglas, Zalando, Otto, Thalia, Decathlon, MediaMarkt, Jochen Schweizer/mydays, Fleurop. Dienstanbieter: Awin AG, Eichhornstraße 3, 10785 Berlin, Deutschland. Website: https://www.awin.com. Datenschutzerklärung: https://www.awin.com/de/rechtliches/datenschutzrichtlinie.
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Präsenzen in sozialen Netzwerken (Social Media)

Wir unterhalten Onlinepräsenzen in sozialen Netzwerken. Dabei können Nutzerdaten außerhalb der EU verarbeitet werden.

• Instagram: Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Datenschutzerklärung: https://privacycenter.instagram.com/policy/. Grundlage Drittlandtransfer: DPF.
• Facebook-Seite: Dienstanbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Datenschutzerklärung: https://www.facebook.com/privacy/policy/. Grundlage Drittlandtransfer: DPF + SCCs.
• Pinterest: Dienstanbieter: Pinterest Europe Limited, 2nd Floor, Palmerston House, Fenian Street, Dublin 2, Irland. Datenschutzerklärung: https://policy.pinterest.com/de/privacy-policy.
• X (ehemals Twitter): Dienstanbieter: X Internet Unlimited Company, One Cumberland Place, Fenian Street, Dublin 2, Irland. Datenschutzerklärung: https://x.com/de/privacy. Grundlage Drittlandtransfer: SCCs.
• TikTok: Dienstanbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, D02 T380, Irland. Datenschutzerklärung: https://www.tiktok.com/legal/page/eea/privacy-policy/de-DE. Grundlage Drittlandtransfer: SCCs.
• Reddit: Dienstanbieter: Reddit Inc., 548 Market St., San Francisco, California 94104, USA. Datenschutzerklärung: https://www.reddit.com/policies/privacy-policy. Grundlage Drittlandtransfer: SCCs.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Plug-ins und eingebettete Funktionen sowie Inhalte

• Google Maps (Places API): Wir nutzen die Google Places API für die Florist-Finder-Funktion in der App (Blumenläden in der Nähe finden). Dabei werden Standortdaten und IP-Adressen an Google übermittelt. Dienstanbieter: Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland. Datenschutzerklärung: https://policies.google.com/privacy. Grundlage Drittlandtransfer: DPF.
• Facebook-Plugins: Einbindung von Facebook Social Plugins auf luxigift.app. Dienstanbieter: Meta Platforms Ireland Limited. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).
• Pinterest-Plugins: Einbindung von Pinterest-Inhalten auf luxigift.app. Dienstanbieter: Pinterest Europe Limited. Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
• Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Management, Organisation und Hilfswerkzeuge

Wir setzen Dienstleistungen, Plattformen und Software anderer Anbieter zu Zwecken der Organisation, Verwaltung und Erbringung unserer Leistungen ein.

• RevenueCat: Verwaltung von In-App-Abonnements und Käufen. Dienstanbieter: RevenueCat, Inc., 1032 E Brandon Blvd #3003 Brandon, FL 33511, USA. Website: https://www.revenuecat.com. Datenschutzerklärung: https://www.revenuecat.com/privacy. Grundlage Drittlandtransfer: DPF + SCCs. AVV: Automatisch durch Terms of Service abgedeckt.
• Doppler: Secret Management (Verwaltung von API-Schlüsseln). Dienstanbieter: Doppler Security Inc., USA. Doppler verarbeitet keine Nutzerdaten — ausschließlich technische API-Schlüssel. Website: https://www.doppler.com.
• GitHub: Code-Hosting und CI/CD. Dienstanbieter: GitHub Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA. GitHub verarbeitet keine Nutzerdaten der App. Website: https://github.com. Datenschutzerklärung: GitHub Datenschutz.
• Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

AI-Dienste und App-spezifische Dienstleister

Für die AI-gestützten Funktionen der LuxiGift AI App nutzen wir externe AI-Dienste.

• Anthropic Claude API (AI-Grußbotschaften, AI-Gift Detective, AI-Verpackungskünstler, AI-Vibe Check): Für die vier AI-gestützten Funktionen der App übermitteln wir anonymisierte Eingaben (Anlass, Interessen, Budget, Stilbeschreibung) an die Claude API von Anthropic. Personenbezogene Daten wie Name und E-Mail werden nicht übermittelt. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO. Dienstanbieter: Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA. Website: https://www.anthropic.com. Datenschutzerklärung: https://www.anthropic.com/privacy. Grundlage Drittlandtransfer: Data Privacy Framework (DPF) + SCCs. AVV: Automatisch durch die Commercial Terms of Service abgedeckt — Anthropic stellt ein Data Processing Addendum (DPA) inkl. EU-Standardvertragsklauseln (SCCs, Module 2 + 3) bereit, das automatisch für alle API-Nutzer gilt. Link: anthropic.com/legal/dpa.
• Spacemail (E-Mail-Dienst): Für den Betrieb unserer E-Mail-Adressen (@luxigift.app) nutzen wir Spacemail von Spaceship. Dienstanbieter: Spaceship Inc. Website: https://www.spaceship.com.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Ihnen Push-Benachrichtigungen über die LuxiGift AI App. Diese dienen ausschließlich als Erinnerungen für bevorstehende Anlässe und Geburtstage — nicht zu Werbezwecken.

• Verarbeitete Daten: Geräte-Token (Push-Token), Anlass-Daten, Datum der Benachrichtigung.
• Dienstanbieter: Expo Notifications (Expo Inc., USA) als technischer Übermittlungsdienst. Die Benachrichtigungen werden über die Infrastruktur von Google (FCM) auf Android und Apple (APNs) auf iOS zugestellt. Grundlage Drittlandtransfer: Data Privacy Framework (DPF). Expo speichert ausschließlich den Push-Token — Benachrichtigungsinhalte werden nach dem Versand nicht gespeichert. AVV: Expo ist DPF-zertifiziert; ein separater AVV ist für Standard-Nutzer nicht erforderlich. Website: expo.dev/privacy-explained.
• Widerruf: Push-Benachrichtigungen können jederzeit in den App-Einstellungen (Profil → Benachrichtigungen) oder in den Geräteeinstellungen deaktiviert werden. Der Push-Token wird bei Deaktivierung gelöscht.
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Jugendschutz und Altersverifikation

Einige Produkte in unserem Katalog unterliegen gesetzlichen Altersbeschränkungen (z. B. Alkohol gemäß §9 JuSchG, FSK-18-Spiele). Wir setzen technische Maßnahmen ein, um altersgerechte Inhalte anzuzeigen.

• Mindestalter: Die Nutzung der LuxiGift AI App setzt ein Mindestalter von 16 Jahren voraus. Gemäß Art. 8 DSGVO ist für die Verarbeitung personenbezogener Daten von Personen unter 16 Jahren die Einwilligung der erziehungsberechtigten Person erforderlich. Wir richten uns ausschließlich an Nutzer ab 16 Jahren. Die Altersfreigabe im Google Play Store und Apple App Store ist entsprechend gesetzt.
• Maßnahmen: Beim Anlegen eines Empfänger-Profils wird das Geburtsdatum als Pflichtfeld erfasst. Produkte mit Altersbeschränkung (min_age-Feld in der Datenbank) werden nur Nutzern angezeigt, die das erforderliche Alter für den jeweiligen Empfänger angegeben haben.
• Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO i.V.m. §9 JuSchG, Art. 8 DSGVO).

Affiliate-Kennzeichnung

Unser Onlineangebot enthält Affiliate-Links zu Produkten und Dienstleistungen von Drittanbietern. Affiliate-Links sind als solche in der App gekennzeichnet gemäß §5a UWG (Gesetz gegen den unlauteren Wettbewerb). Wenn Sie über einen Affiliate-Link einkaufen, erhalten wir eine Provision vom jeweiligen Anbieter — für Sie entstehen keine Mehrkosten.

• Partner: Amazon, Douglas, Zalando, Otto, Thalia, Decathlon, MediaMarkt, Jochen Schweizer/mydays, Fleurop (über Awin-Netzwerk).
• Tracking: Affiliate-Klicks werden in unserer Datenbank protokolliert (Zeitstempel, Produkt-ID, Händler) zur Provisionsabrechnung.
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

EU AI Act — Kennzeichnung AI-generierter Inhalte

LuxiGift AI setzt AI-Systeme (Claude API von Anthropic) zur Erstellung von Inhalten ein. Gemäß EU AI Act Art. 50 kennzeichnen wir AI-generierte Inhalte entsprechend — diese Kennzeichnung ist in der App bereits umgesetzt.

• AI-generierte Inhalte in der App: AI-Grußkarten, AI-Grußbotschaften, AI-Verpackungskünstler-Vorschläge, AI-Gift-Detective-Ergebnisse. Diese Inhalte werden in der App als "Von AI erstellt" gekennzeichnet. Nutzer können AI-generierte Inhalte direkt in der App über die Schaltfläche "⚑ Inhalt melden" auf den jeweiligen AI-Screens melden.
• Risikoklasse: LuxiGift AI ist ein AI-System mit begrenztem Risiko gemäß EU AI Act — keine Hochrisikoanwendung.
• AI-Empfehlungen sind Vorschläge: Alle AI-generierten Geschenkempfehlungen sind unverbindliche Vorschläge. Der Nutzer trifft die endgültige Kaufentscheidung selbst. Es handelt sich ausdrücklich nicht um automatisierte Einzelentscheidungen im Sinne von Art. 22 DSGVO — die AI-Empfehlungen entfalten keinerlei rechtliche oder vergleichbar bedeutsame Wirkung gegenüber dem Nutzer.
• Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO i.V.m. EU AI Act Art. 50).

Vibe Check — Bildanalyse

Die optionale Vibe Check-Funktion ermöglicht es Nutzern, ein Foto hochzuladen, das von der AI auf Ästhetik-Tags und Stilmerkmale analysiert wird.

• Verarbeitete Daten: Fotos von Objekten oder Stilen (keine Gesichter, keine biometrischen Daten). Das Foto wird nach der AI-Analyse sofort automatisch gelöscht — es findet keine dauerhafte Speicherung des Bildes statt.
• Speicherort: Temporär in einem privaten Supabase Storage Bucket (Frankfurt/EU). Die Analyse-Ergebnisse werden nicht in der Datenbank gespeichert — der Vibe Check dient ausschließlich als Inspirationsquelle für den Nutzer.
• Keine besonderen Datenkategorien: Es werden keine Gesundheitsdaten oder biometrischen Daten verarbeitet (Art. 9 DSGVO).
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Swipe-Daten und Produktbewertungen

Die App speichert anonymisierte Swipe-Entscheidungen (Like/Dislike) zur Verbesserung der Geschenkempfehlungen.

• Verarbeitete Daten: Produkt-ID, Swipe-Richtung (Like/Dislike), Anlass, Zeitstempel, Empfänger-Referenz (pseudonymisiert).
• Pseudonymisierung: Bei Löschung eines Empfänger-Profils wird die Empfänger-Referenz in den Swipe-Daten auf NULL gesetzt (ON DELETE SET NULL). Die anonymisierten Produktbewertungen bleiben für statistische Auswertungen erhalten.
• Zweck: Verbesserung der Empfehlungsqualität, Vermeidung von Wiederholungsvorschlägen.
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Wunschlisten und öffentliche Teilen-Funktion

Nutzer können Wunschlisten erstellen und optional per Link teilen.

• Private Wunschlisten: Nur für den Nutzer selbst sichtbar, gespeichert in der Supabase-Datenbank (Frankfurt/EU).
• Öffentliche Share-Links: Wenn ein Nutzer eine Wunschliste teilt, wird ein öffentlicher Link generiert. Über diesen Link können andere Personen die Wunschliste einsehen und Produkte als "beansprucht" markieren.
• Hinweis: Geteilte Wunschlisten sind für jeden zugänglich, der den Link besitzt. Nutzer sollten keine sensiblen Informationen in Wunschlisten-Titeln verwenden.
• Rechtsgrundlage: Einwilligung durch aktives Teilen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Beta-Testphase

Vor dem öffentlichen Launch durchläuft die LuxiGift AI App eine Beta-Testphase mit ca. 25 ausgewählten Testern.

• Verarbeitete Daten: Beta-Tester werden wie reguläre Nutzer behandelt — alle Datenschutzregeln dieser Erklärung gelten uneingeschränkt auch während der Beta-Phase.
• Testplattformen: Android: Google Play Internal Testing. iOS: Apple TestFlight. Beide Plattformen haben eigene Datenschutzregeln (siehe Google Play / Apple App Store Abschnitt).
• Feedback: Freiwilliges Feedback der Beta-Tester wird per E-Mail an support@luxigift.app entgegengenommen und ausschließlich zur Produktverbesserung genutzt.
• Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Anlass-Erinnerungen und Geburtstagsdaten

Die App berechnet bevorstehende Anlässe dynamisch und zeigt diese auf der Startseite an, um Nutzern rechtzeitig an Schenkgelegenheiten zu erinnern.

• Geburtstagsdaten (recipients.date_of_birth): Das Geburtsdatum eines Empfängers ist ein Pflichtfeld beim Anlegen eines Empfänger-Profils. Es wird ausschließlich zur Berechnung bevorstehender Geburtstage und zur altersgerechten Produktfilterung verwendet.
• Standard-Anlässe: Wiederkehrende Feiertage (Weihnachten, Ostern, Muttertag etc.) werden anhand fester Daten berechnet — ohne Speicherung personenbezogener Daten.
• Custom-Anlässe (user_occasions): Nutzer können eigene Anlässe anlegen (z. B. "Jahrestag Freundin, 31.01."). Diese enthalten Titel, Datum und optional einen Empfängernamen und werden in der Supabase-Datenbank (Frankfurt/EU) gespeichert.
• Löschung: Alle Anlass-Daten werden bei Konto-Löschung sofort gelöscht.
• Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Abonnements und Vertragsdaten

Die LuxiGift AI App bietet ein kostenpflichtiges Abonnement an (Pro: 2,99 €/Monat oder 19,99 €/Jahr).

• Zahlungsabwicklung: Alle Zahlungen laufen ausschließlich über Apple App Store oder Google Play Store. Wir erhalten keine Zahlungsdaten (keine Kreditkartennummern, keine Bankdaten).
• Gespeicherte Abo-Daten (subscriptions-Tabelle): Abo-Tier, Status, Plattform (iOS/Android), Preis, Laufzeit (started_at, expires_at, cancelled_at), RevenueCat-Kunden-ID, Verlängerungsstatus. Diese Daten werden via RevenueCat synchronisiert.
• Widerrufsrecht: Das 14-tägige Widerrufsrecht gemäß §312g BGB wird über den jeweiligen App Store ausgeübt. Apple: Einstellungen → Apple ID → Abonnements. Android: Play Store → Abonnements. Der in der App eingebaute Kündigungsbutton (§312k BGB) leitet direkt dorthin weiter. Hinweis gemäß Art. 246a §3 EGBGB: Bei digitalen Inhalten und Abonnements, die sofort nach Kaufabschluss freigeschaltet werden, erlischt das Widerrufsrecht mit Beginn der Vertragsausführung, sofern der Nutzer vor dem Kauf ausdrücklich zugestimmt hat, dass die Ausführung vor Ablauf der Widerrufsfrist beginnt, und zur Kenntnis genommen hat, dass sein Widerrufsrecht damit erlischt. Diese Zustimmung wird im Kaufprozess über den jeweiligen App Store eingeholt.
• Testphase (Trial): Falls eine kostenlose Testphase angeboten wird, wird das Enddatum (trial_ends_at) gespeichert.
• Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO).

Einwilligung zur Nutzung von AI-Features (KI-Consent)

Vor der erstmaligen Nutzung der AI-gestützten Funktionen der App (AI-Grußbotschaften, AI-Vibe Check, AI-Verpackungskünstler, AI-Gift Detective) wird eine gesonderte Einwilligung eingeholt.

• Einwilligungs-Modal: Beim ersten Aufruf eines AI-Features erscheint ein Einwilligungs-Dialog, in dem der Nutzer der Übermittlung anonymisierter Eingaben an die Anthropic Claude API ausdrücklich zustimmt oder dies ablehnt. Ohne Zustimmung sind die AI-Features nicht nutzbar.
• Speicherung der Einwilligung: Der Zeitstempel der Einwilligung wird in der Spalte ai_consent_at der Nutzertabelle in der Supabase-Datenbank (Frankfurt/EU) persistent gespeichert. Zusätzlich wird der Consent-Status lokal im AsyncStorage des Geräts gehalten.
• Widerruf: Die Einwilligung kann jederzeit durch Löschung des Kontos widerrufen werden. Nach Widerruf werden keine weiteren Daten an die Claude API übermittelt.
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO i.V.m. Apple App Store Guideline 5.1.1).

Lokale Datenspeicherung auf dem Gerät

Die App speichert bestimmte Einstellungen lokal auf Ihrem Gerät.

• AsyncStorage: Speicherung von App-Einstellungen wie Analytics Opt-Out-Status, KI-Consent-Status (ai_consent_at) sowie ausstehende Affiliate-Käufe (temporär).
• SecureStore (expo-secure-store): Sichere Speicherung von Auth-Tokens im iOS Keychain bzw. Android Keystore.
• Diese Daten verlassen das Gerät nicht — sie werden nicht an unsere Server übertragen.
• Löschung: Bei Deinstallation der App werden alle lokal gespeicherten Daten gelöscht.
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen.

Zuständige Aufsichtsbehörde: Sächsischer Datenschutzbeauftragter, Devrientstraße 5, 01067 Dresden, www.saechsdsb.de

Begriffsdefinitionen

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Löschen etc.).
• Verantwortlicher: Die natürliche oder juristische Person, die über Zwecke und Mittel der Verarbeitung entscheidet.
• Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
• Einwilligung: Jede freiwillig für einen bestimmten Fall erteilte Willensbekundung in Form einer Erklärung.
• Affiliate-Nachverfolgung: Protokollierung von Affiliate-Links zur Provisionsabrechnung bei Käufen über diese Links.
• Reichweitenmessung: Auswertung der Besucherströme eines Onlineangebotes (Web Analytics).
• Tracking: Nachvollziehen des Verhaltens von Nutzern innerhalb von Onlineangeboten.