Rechtliches
Datenschutzerklärung
2. Zweck, Umfang und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten personenbezogene Daten, um die Web-Applikation „Wichtlify“ bereitzustellen und Gruppen-Wichteln zu organisieren.
- Bereitstellung der Plattform / Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
- Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO), z. B. E-Mail-Benachrichtigungen
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), z. B. IT-Sicherheit, Missbrauchs-/Spam-Abwehr, Fehleranalyse
Webanalyse (Google Analytics 4) – nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Wir setzen Google Analytics 4 (GA4) zur Reichweitenmessung und Verbesserung unseres Angebots ein.
Die Erhebung/Analyse erfolgt nur, wenn du über unseren Cookie-Banner zustimmst (Consent Mode v2).
Ohne Einwilligung werden keine Analyse-Cookies gesetzt.
3. Kategorien personenbezogener Daten
- Gruppendaten: Gruppenname, Einstellungen (Selbstregistrierung, Schrottwichtel, „Jeder kann Wünsche sehen“, E-Mail-Benachrichtigungen), allgemeiner Info-Text, technische Hashes (group_hash, admin_hash), Zeitpunkte (z. B. Letzte Auslosung, falls vorhanden).
- Mitglieder: Name, optionale E-Mail, Wunschtext, Ausschließungen, privater Link (private_hash), Zuordnungen durch Auslosung (wer wen zieht; ggf. zusätzlich Schrottwichtel).
- Registrierungen: Angaben zur Gruppenerstellung inkl. Double-Opt-In (E-Mail, confirm_token), gewählte Optionen, IP/UA beim Antrag (zur Missbrauchsvermeidung).
- Protokolldaten: Server-Logfiles (IP-Adresse, Datum/Uhrzeit, abgerufene URL, Statuscode, User-Agent, Referrer), Rate-Limit-Zähler.
- Kommunikation: E-Mail-Inhalte bei Systemmails (Auslosung, Wunsch-Updates), Metadaten (Empfänger, Zeitpunkt).
- Nutzungs-/Gerätedaten (nur bei Einwilligung zu Analyse): Seitenaufrufe, Klickpfade, ungefähre Standortdaten (auf Basis anonymisierter IP), Browser-/Geräteinformationen, Spracheinstellungen, Bildschirmauflösung, Referrer-URL sowie technische Messwerte (z. B. Ladezeiten). In GA4 werden hierfür pseudonyme Kennungen verwendet.
- Consent-Daten: Deine gewählte Einwilligung (z. B. „Analytics: ja/nein“) wird lokal gespeichert, um deine Präferenz bei späteren Besuchen zu berücksichtigen.
4. Funktionsspezifische Hinweise
4.1 Registrierung & Double-Opt-In
Zur Erstellung einer Gruppe verarbeiten wir die von dir angegebenen Daten und versenden eine Bestätigungs-E-Mail mit Bestätigungslink. Erst nach Bestätigung wird die Gruppe angelegt.
4.2 Mitgliederverwaltung
Mitglieder können durch den Admin angelegt oder sich – bei aktivierter Selbstregistrierung – selbst eintragen. Jede Person erhält einen privaten Link (private_hash) zur eigenen Ansicht (Wunsch pflegen, Zulosung einsehen).
4.3 Wünsche
Standardmäßig sieht nur die jeweils zugeloste Person den Wunsch. Falls der Admin die Option „Jeder kann Wünsche sehen“ aktiviert, sind die Wünsche für alle Gruppenmitglieder sichtbar.
4.4 Ausschließungen
Vom Admin oder den Mitgliedern gesetzte Ausschließungen werden bei der Auslosung berücksichtigt. Änderungen nach erfolgter Auslosung wirken erst bei einer erneuten Auslosung.
4.5 Schrottwichtel
Ist Schrottwichtel aktiv, wird zusätzlich eine weitere Person zugelost (möglichst eine andere als beim „normalen“ Wichtel).
4.6 E-Mail-Benachrichtigungen an Mitglieder
Falls aktiviert („Mitglieder-Benachrichtigungen“), informieren wir Mitglieder mit hinterlegter E-Mail über die Auslosung (inkl. Information, wen man gezogen hat, sowie Wunsch des Gegenübers – falls vorhanden) sowie bei neuen/aktualisierten Wünschen.
4.7 Webanalyse / Google Analytics 4 (GA4, Consent Mode v2)
Wir verwenden Google Analytics 4 der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GA4 wird erst nach deiner Einwilligung aktiviert.
- Keine Cookies ohne Einwilligung: Mit Consent Mode v2 sind Analyse-Speicherungen bis zur Zustimmung „verweigert“.
- Bei Einwilligung: GA4 setzt Cookies/IDs zur pseudonymen Reichweitenmessung (siehe „Cookies & lokale Speicherung“).
- Kein Google-Signals/Remarketing: Wir nutzen weder Google-Signals noch Werbefunktionen/Remarketing.
- IP-Schutz: GA4 protokolliert keine vollständigen IP-Adressen und anonymisiert sie laut Google standardmäßig.
- Widerruf/Änderung: Du kannst deine Auswahl jederzeit unter „Cookie-Einstellungen“ (Footer-Link) ändern.
5. Empfänger / Auftragsverarbeiter
- Hosting/Serverbetrieb: easyname GmbH, Österreich (Bereitstellung von Infrastruktur, E-Mail-Versand über Hosting-Server).
- E-Mail-Versand: Interner Mailserver des Hosters.
- Webanalyse: Google Ireland Limited (Dienst „Google Analytics 4“). Mit Google bestehen die erforderlichen Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) inkl. Standardvertragsklauseln für etwaige Drittlandübermittlungen.
Mit Auftragsverarbeitern bestehen – soweit erforderlich – Verträge gem. Art. 28 DSGVO.
6. Drittlandübermittlung
Bei Nutzung von Google Analytics 4 kann es zu Übermittlungen an Unternehmen der Google-Gruppe in Drittländer (insb. USA) kommen. Dies erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO). Wir aktivieren GA4 ausschließlich nach Einwilligung. Gleichwohl können bei internationalen Datenflüssen erhöhte Risiken (z. B. Zugriffe durch Behörden) nicht vollständig ausgeschlossen werden.
7. Speicherdauer
- Gruppen & Mitglieder: bis zur Löschung durch Admin oder Abschluss/Zweckerreichung (z. B. manuelles Löschen nach dem Wichteln).
- Registrierungen (nicht bestätigte): üblicherweise automatische Löschung nach 30 Tagen.
- Server-Logs: für IT-Sicherheit und Fehleranalyse
- Rate-Limit/Spam-Schutz: kurzzeitige Zähler (technisch bedingt), z. B. Minuten/Stundenbereich.
- E-Mail-Kommunikation: Metadaten gemäß gesetzlichen Aufbewahrungsfristen.
- Analytics-Daten (nur bei Einwilligung):Ereignis-/Nutzungsdaten in GA4 werden gemäß unserer Property-Einstellung standardmäßig 14 Monate aufbewahrt.
8. Cookies & lokale Speicherung
- consent.v1 (localStorage): Merkt deine Cookie-Einstellung. Zweck: Consent-Management. Laufzeit: persistent bis Änderung/Löschung.
- Technisch erforderliche Cookies (immer aktiv): PHPSESSID (Session-Cookie): Zuweisung der Sitzung; wird beim Schließen des Browsers/Session-Timeout gelöscht. CSRF-Token (serverseitig): Schutz vor Formular-Missbrauch.
-
Analyse-Cookies (nur bei Einwilligung)
- _ga: unterscheidet Nutzer, Laufzeit: bis zu 2 Jahre.
- ga: Sitzungs-/Ereignis-Status, Laufzeit: bis zu 2 Jahre.
Ohne Einwilligung werden keine Analyse-Cookies gesetzt; wir nutzen den Consent Mode v2, der Analyse-Speicherungen verweigert.
- Einwilligung ändern/widerrufen: Du kannst deine Auswahl jederzeit über den Link „Cookie-Einstellungen“ im Footer anpassen.
9. Erforderlichkeit der Bereitstellung
Die Bereitstellung bestimmter Daten ist für die Nutzung des Dienstes erforderlich (z. B. Gruppenname, Mitglieder-Namen). E-Mails sind optional, werden jedoch für Benachrichtigungen benötigt.
Die Einwilligung in Analyse ist freiwillig und nicht erforderlich für die Nutzung der Kernfunktionen.
10. Sicherheit
Wir schützen Daten durch technische und organisatorische Maßnahmen (u. a. TLS-Verschlüsselung, Zugriffsbeschränkungen, Hash-basierte private Links). Bitte teile deinen privaten Link nicht mit Dritten.
11. Rechte der betroffenen Personen
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO). Erteilte Einwilligungen (Art. 6 Abs. 1 lit. a) kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Eine erteilte Einwilligung (Analytics) kannst du jederzeit mit Wirkung für die Zukunft über „Cookie-Einstellungen“ widerrufen.
Zur Wahrnehmung deiner Rechte genügt eine E-Mail an kontakt@wichtlify.com. Zur Identifizierung können wir zusätzliche Angaben benötigen.
12. Beschwerderecht
Du kannst dich bei einer Datenschutz-Aufsichtsbehörde beschweren. In Österreich ist zuständig:
Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Web: https://www.dsb.gv.at
E-Mail: dsb@dsb.gv.at
13. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Dienste, Rechtslage oder technische Standards ändern. Der jeweils aktuelle Stand ist auf dieser Seite einsehbar.
Stand: 19.10.2025
