Rechtliches

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist: [FOUNDER: Firma], [FOUNDER: Straße und Hausnummer], [FOUNDER: PLZ und Ort], Deutschland. E-Mail: datenschutz@wedpilot.de

2. Grundsätze

WedPilot ist ein Dienst zur Planung einer Hochzeit, zum Sammeln der Fotos am Hochzeitstag und zur Aufbewahrung der Erinnerungen. Wir verkaufen keine Daten, schalten keine Werbung und setzen keine Marketing- oder Tracking-Cookies. Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.

3. Unsere Rolle bei der Verarbeitung von Gästedaten

Paare, die WedPilot für die Planung ihrer eigenen Hochzeit nutzen, handeln dabei regelmäßig im Rahmen einer ausschließlich persönlichen bzw. familiären Tätigkeit. Auf sie findet die DSGVO gemäß Art. 2 Abs. 2 lit. c DSGVO keine Anwendung (sogenannte Haushaltsausnahme). Für uns als Anbieter der Plattform gilt die DSGVO uneingeschränkt (vgl. Erwägungsgrund 18 Satz 2 DSGVO). Wir verarbeiten die über die Plattform erfassten Gästedaten (z. B. Namen auf der Gästeliste, Rückmeldungen auf Einladungen, hochgeladene Fotos) daher in eigener datenschutzrechtlicher Verantwortung als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Gäste und andere abgebildete Personen können sämtliche Betroffenenrechte (Art. 15 bis 21 DSGVO) unmittelbar uns gegenüber geltend machen.

Nutzen gewerbliche Kundinnen und Kunden (z. B. Hochzeitsplaner:innen oder Veranstaltungsorte) die Plattform zur Verarbeitung von Gästedaten, sind diese Kunden Verantwortliche; wir werden insoweit als Auftragsverarbeiter nach Art. 28 DSGVO tätig. Näheres auf unserer Seite Auftragsverarbeitung.

4. Hosting und Server-Logfiles

Unsere Anwendung und Datenbank laufen auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (Auftragsverarbeitung nach Art. 28 DSGVO, Rechenzentren in Deutschland). Beim Aufruf unserer Seiten verarbeitet unser Server automatisch Informationen, die Ihr Browser übermittelt (IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene URL, Referrer-URL, Browsertyp und -version, Betriebssystem). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der Stabilität, Betriebssicherheit und Missbrauchsabwehr unseres Dienstes (vgl. Erwägungsgrund 49 DSGVO). Die Logfiles werden nach spätestens 7 Tagen gelöscht oder anonymisiert; eine längere Aufbewahrung erfolgt nur zur Aufklärung konkreter Angriffe oder Störungen.

5. Konto- und Hochzeitsdaten

Bei der Registrierung verarbeiten wir E-Mail-Adresse und Passwort (ausschließlich als Hash) sowie die Inhalte, die Sie eingeben: Namen, Hochzeitstermin, Gästeliste, Aufgaben, Budget, Sitzplan, Dokumente, Zeitplan und Fotos. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für die Kontoerstellung sind E-Mail-Adresse und Passwort erforderlich; ohne diese Angaben kann kein Konto bereitgestellt werden (Art. 13 Abs. 2 lit. e DSGVO). Jede Hochzeit kann von höchstens zwei Mitgliedern (dem Paar) genutzt werden.

6. Cookies

Wir verwenden ausschließlich ein technisch notwendiges Session-Cookie zur Anmeldung und Sitzungsverwaltung. Die Speicherung dieses Cookies ist unbedingt erforderlich, damit wir den von Ihnen ausdrücklich gewünschten digitalen Dienst, den Zugang zu Ihrem passwortgeschützten Konto, bereitstellen können (§ 25 Abs. 2 Nr. 2 TDDDG). Eine Einwilligung ist hierfür nicht erforderlich; wir setzen daher kein Cookie-Banner ein. Die damit verbundene Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und zur Gewährleistung eines sicheren Log-ins (Art. 6 Abs. 1 lit. f DSGVO). Auf Bezahlseiten setzt unser Zahlungsdienstleister Stripe eigene, für die Betrugsprävention erforderliche Cookies; wir laden Stripe-Skripte ausschließlich dort.

7. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir Stripe. Anbieter für Kund:innen im EWR ist Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe"). Stripe verarbeitet Zahlungsdaten (z. B. Name, E-Mail-Adresse, Zahlungsmittel, Betrag) teils als unser Auftragsverarbeiter (Zahlungsabwicklung), teils in eigener Verantwortlichkeit (insbesondere Betrugsprävention und gesetzliche Pflichten). Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (sichere Zahlungsabwicklung). Kreditkartendaten erreichen unsere Server nicht. Dabei können Daten an die Stripe, Inc. in die USA übermittelt werden; Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert, ergänzend gelten die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Weitere Informationen: stripe.com/de/privacy

8. Transaktions-E-Mails (Resend)

System-E-Mails (Bestätigung der E-Mail-Adresse, Passwort-Zurücksetzen, Einladungen an das zweite Mitglied, Zahlungs-, Kündigungs- und Löschhinweise) versenden wir über Resend, Inc., USA, als Auftragsverarbeiter. Der Versand erfolgt über Infrastruktur in Irland (EU); Kontodaten und Versandprotokolle speichert Resend in den USA. Resend ist unter dem EU-U.S. Data Privacy Framework zertifiziert, ergänzend gelten die EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Wir senden ausschließlich E-Mails an Konto-Inhaber (das Paar), niemals an Hochzeitsgäste; E-Mail-Adressen von Gästen erheben wir gar nicht erst.

9. Foto- und Dokumentenspeicher (Cloudflare R2)

Fotos und hochgeladene Dokumente speichern wir im Objektspeicher R2 von Cloudflare. Die Speicherregion ist vertraglich auf die Europäische Union beschränkt („EU Jurisdiction"); gespeichert und verarbeitet wird ausschließlich auf Servern in der EU. Cloudflare ist als Auftragsverarbeiter für uns tätig (Art. 28 DSGVO). Da die Muttergesellschaft Cloudflare, Inc. ihren Sitz in den USA hat, kann ein Zugriff aus einem Drittland nicht vollständig ausgeschlossen werden; für etwaige Übermittlungen ist Cloudflare unter dem EU-U.S. Data Privacy Framework zertifiziert, ergänzend gelten die EU-Standardvertragsklauseln. Uploads laufen TLS-verschlüsselt direkt vom Gerät zum Speicher. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

10. Fehlerdiagnose (Sentry)

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software, Inc., USA) als Auftragsverarbeiter mit Datenspeicherung in der EU-Region. Verarbeitet werden technische Fehlerinformationen (Fehlermeldung, Zeitpunkt, Browser- und Systeminformationen); IP-Adressen und Nutzerkennungen minimieren wir vor der Übertragung. Für etwaige Übermittlungen in die USA ist Functional Software, Inc. unter dem EU-U.S. Data Privacy Framework zertifiziert, ergänzend gelten die EU-Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Stabilität und Sicherheit des Dienstes).

11. Reichweitenmessung (Umami, selbst gehostet)

Wir messen Seitenaufrufe mit der Open-Source-Software Umami, die wir selbst auf unseren Servern betreiben. Umami verwendet keine Cookies und speichert keine Informationen auf Ihrem Endgerät; auf im Endgerät gespeicherte Informationen wird nicht zugegriffen. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist daher nicht erforderlich. Verarbeitet werden ausschließlich aggregierte Nutzungsdaten (aufgerufene Seite, Referrer, Browsertyp, Gerätetyp, Sprache, Land). Ihre IP-Adresse wird nicht gespeichert, sondern nur flüchtig zur Bildung eines täglich wechselnden, nicht rückrechenbaren Hash-Werts verwendet; geräteübergreifende Profile entstehen nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Sie können der Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen (Art. 21 Abs. 1 DSGVO).

12. Verarbeitung von Gästedaten (Gästeliste, Rückmeldungen, Foto-Uploads)

Gästeliste: Paare können Namen und organisatorische Angaben ihrer Gäste (z. B. Haushalt, Zu-/Absage-Status, Tischzuordnung) erfassen. Diese Daten erhalten wir nicht von den Gästen selbst, sondern vom jeweiligen Paar (Art. 14 Abs. 2 lit. f DSGVO). Rechtsgrundlage der Speicherung ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der Bereitstellung der von unseren Kund:innen gewünschten Planungsfunktionen. Da wir von Gästen keine Kontaktdaten erheben, ist uns eine direkte Information der Gäste nicht möglich (Art. 14 Abs. 5 lit. b DSGVO); wir stellen diese Erklärung deshalb öffentlich bereit und verlinken sie auf jeder Einladungs-, Rückmelde- und Galerie-Seite.

Rückmeldungen: Gäste können über den Einladungslink zu- oder absagen. Freiwillige Angaben zu Essenswünschen, Allergien oder Unverträglichkeiten verarbeiten wir nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), stellen sie ausschließlich dem Paar zur Verfügung und löschen sie spätestens 30 Tage nach der Hochzeit.

Foto-Uploads: Gäste können über den QR-Code der Hochzeit Fotos in eine zugriffsgeschützte Galerie hochladen, die nur dem Paar und den Gästen der Hochzeit zugänglich ist. Beim Upload weisen wir darauf hin, dass Fotos mit dem Paar und den Gästen geteilt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Auf Fotos können weitere Personen abgebildet sein; abgebildete Personen können jederzeit die Löschung einzelner Fotos über uns verlangen (Art. 17 DSGVO), unabhängig davon, wer sie hochgeladen hat. Das Paar kann jedes Foto jederzeit ausblenden oder löschen und den QR-Code erneuern.

13. Speicherdauer und Löschung

Nach Kündigung oder Ende des Abos bleiben alle Inhalte 60 Tage lang im Nur-Lese-Zugriff und als ZIP-Export verfügbar (Exportfrist). Danach werden alle Daten, Datenbankeinträge wie Fotos, endgültig und unwiederbringlich gelöscht. Eine Kontolöschung (Art. 17 DSGVO) nutzt denselben Löschweg. Verschlüsselte Datenbank-Sicherungen werden 30 Tage vorgehalten und rollieren dann aus. Gesetzliche Aufbewahrungspflichten (z. B. für Rechnungsdaten) bleiben unberührt.

14. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) und Datenübertragbarkeit (Art. 20 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Sie haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO); zuständig für uns ist [FOUNDER: Landesdatenschutzbehörde des Sitz-Bundeslands]. Wenden Sie sich an datenschutz@wedpilot.de.

15. Datensicherheit

Alle Verbindungen sind TLS-verschlüsselt. Gäste-Zugriffe sind ausschließlich über zwei Zugangswege möglich: den Einladungslink der jeweiligen Einladung und den QR-Code der Hochzeit; letzteren kann das Paar jederzeit erneuern. Passwörter speichern wir ausschließlich als Hash.

16. Änderungen

Wir passen diese Erklärung an, wenn sich der Dienst oder die Rechtslage ändert. Es gilt die jeweils hier veröffentlichte Fassung.