Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Beyza Berk
davetsy – Digitale Einladungskarten
Auf dem Damm 106
47137 Duisburg
E-Mail: support@davetsy.de

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten: Bestandsdaten (z. B. Namen, Adressen), Kontaktdaten (z. B. E-Mail, Telefonnummern), Inhaltsdaten (z. B. Einladungstexte, Fotos, Videos, Sprachnachrichten), Nutzungsdaten (z. B. besuchte Seiten), Meta-/Kommunikationsdaten (z. B. Geräte-Informationen, IP-Adressen), Zahlungsdaten (verarbeitet durch Stripe).

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Erstellung und Bereitstellung von Einladungskarten, Verarbeitung von Rückmeldungen, Zahlungsabwicklung.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verbesserung unseres Angebots, Sicherheit der Plattform, anonyme Nutzungsanalyse.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit Sie uns eine Einwilligung erteilt haben.

4. Erhebung und Nutzung von Daten

4.1 Einladungskarten erstellen

Bei der Erstellung einer Einladungskarte werden folgende Daten verarbeitet: Namen der einladenden Personen, Veranstaltungsdaten (Datum, Uhrzeit, Ort), persönliche Nachrichten, Kontaktdaten sowie E-Mail-Adresse des Erstellers. Diese Daten werden in unserer Datenbank (Supabase) gespeichert und sind über den generierten Einladungslink abrufbar.

4.2 Rückmeldungen und Gästeantworten

Wenn Gäste auf eine Einladung antworten, werden deren Name, Teilnahmestatus, Personenanzahl und ggf. eine Nachricht gespeichert. Diese Daten sind nur über das Dashboard des Erstellers einsehbar. Der Ersteller der Einladung ist als Verantwortlicher für die von seinen Gästen erhobenen Daten selbst verantwortlich.

4.3 Erinnerungen (Fotos, Videos & Sprachnachrichten)

Gäste können Fotos, Videos und Sprachnachrichten hochladen. Diese Medien werden in Supabase Storage gespeichert und sind über das Dashboard des Erstellers zugänglich. Sämtliche hochgeladene Medien werden 6 Monate nach dem Event-Datum automatisch und unwiderruflich gelöscht.

Datenminimierung bei Foto-Uploads: Vor der Übertragung an unseren Speicher entfernen wir im Browser des Nutzers automatisch die Metadaten (EXIF-Tags) aus jedem hochgeladenen Foto. Das umfasst insbesondere GPS-Standortdaten, Aufnahmegerät, Aufnahme-Datum sowie Kamera-Einstellungen. Diese Daten werden weder übertragen noch von uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO).

4.4 Songwünsche

Gäste können Musikwünsche einreichen. Dabei werden der Name (sofern angegeben) und der Songwunsch gespeichert. Diese Daten sind ausschließlich über das Dashboard des Erstellers einsehbar.

5. Auftragsverarbeitung

Der Ersteller einer Einladungskarte sammelt über unsere Plattform personenbezogene Daten seiner Gäste (Namen, Rückmeldungen, Medien). In diesem Verhältnis handelt davetsy als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Ersteller bleibt Verantwortlicher für die Daten seiner Gäste und ist verpflichtet, seine Gäste über die Datenverarbeitung zu informieren.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung des Vertragszwecks erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben.

Einladungsdaten und Rückmeldungen: Bis 6 Monate nach dem Event-Datum, danach automatische Löschung.

Hochgeladene Medien (Fotos, Videos, Sprachnachrichten): Bis 6 Monate nach dem Event-Datum, danach automatische und unwiderrufliche Löschung.

Einladungslinks: Aktiv bis 7 Tage nach dem Event-Datum.

Zahlungsdaten: Werden ausschließlich von Stripe gespeichert und verarbeitet. Wir speichern lediglich den Zahlungsstatus und die Stripe-Transaktions-ID.

Server-Logfiles: Werden automatisch nach 30 Tagen gelöscht.

7. Zahlungsabwicklung

Für die Zahlungsabwicklung nutzen wir Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert.

Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

8. Hosting und Infrastruktur

8.1 Vercel

Unsere Website wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Bei jedem Seitenaufruf werden technisch notwendige Daten (IP-Adresse, Zeitpunkt, aufgerufene Seite) in Server-Logfiles gespeichert.

8.2 Supabase

Als Datenbank und Dateispeicher nutzen wir Supabase Inc. (970 Toa Payoh North, #07-04, Singapore 318992). Alle Einladungsdaten, Rückmeldungen und hochgeladene Medien werden dort gespeichert.

9. Datenübermittlung in Drittländer

Einige unserer Dienstleister (Vercel, Supabase) haben ihren Sitz in den USA bzw. betreiben Server außerhalb des Europäischen Wirtschaftsraums (EWR). Die Datenübermittlung erfolgt auf Grundlage von:

EU-US Data Privacy Framework: Vercel und Stripe sind unter dem EU-US Data Privacy Framework zertifiziert, welches ein angemessenes Datenschutzniveau gemäß Art. 45 DSGVO gewährleistet.

Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO): Sofern kein Angemessenheitsbeschluss vorliegt, stützen wir die Datenübermittlung auf die von der EU-Kommission genehmigten Standardvertragsklauseln.

10. E-Mail-Versand

Für transaktionale E-Mails (z. B. Bestellbestätigung, Zugangslinks) nutzen wir Resend (Resend Inc., 2261 Market Street #4486, San Francisco, CA 94114, USA). Es werden ausschließlich die E-Mail-Adresse und der Name des Empfängers sowie der Inhalt der jeweiligen E-Mail übermittelt. Es erfolgt kein Newsletter-Versand ohne ausdrückliche Einwilligung.

Datenschutzerklärung von Resend: resend.com/legal/privacy-policy

11. Cookies und lokaler Speicher

Ohne Ihre Einwilligung verwenden wir keine Tracking-Cookies und keine Werbe-Pixel; ohne Einwilligung werden keine Daten an Drittanbieter zu Marketing-Zwecken übermittelt. Marketing- und Statistik-Cookies (siehe Abschnitte 11b und 11c) werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner gesetzt und können dort jederzeit widerrufen werden.

Technisch notwendiger lokaler Speicher (localStorage) wird ausschließlich für folgende Zwecke verwendet:

Spracheinstellungen der Einladung, Duplikatschutz bei Rückmeldungen und Songwünschen, temporäre Wizard-Daten bei der Einladungserstellung, Status-Speicher für einmalige Hinweise (z. B. PWA-Installations-Hinweis). Diese Daten werden ausschließlich lokal auf dem Gerät des Nutzers gespeichert und nicht an unsere Server übermittelt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich).

Session-Cookies im internen Admin-Bereich: Im internen Cockpit-Bereich (nicht öffentlich zugänglich) werden zwei technisch notwendige Session-Cookies (HttpOnly, Secure) für die Authentifizierung gesetzt. Diese betreffen ausschließlich Mitarbeiter-Logins, nicht Endnutzer.

Hinweis zu Stripe: Beim Klick auf „Bezahlen" wird der Nutzer auf die Checkout-Seite von Stripe weitergeleitet. Auf dieser externen Seite (stripe.com) werden Cookies von Stripe gesetzt — siehe Stripe-Cookie-Erklärung. Auf davetsy.de selbst werden durch Stripe keine Cookies gesetzt.

11a. Reichweitenmessung (cookieless Analytics)

Zur statistischen Verbesserung unserer Website nutzen wir eine eigene, server-seitige Reichweitenmessung. Diese erfasst aggregierte und anonymisierte Daten ohne Cookies oder Browser-Fingerprinting.

Was erfasst wird: Aufgerufene Seitenpfade, ungefähres Land (über Vercel-Edge-Geo, ohne IP-Speicherung im Klartext), grobe Gerätekategorie (Mobile/Tablet/Desktop), Browser-Familie, Verweisende Domain (z. B. „google.com"), Marketing-Kampagnen-Parameter (UTM-Quellen) sowie produktbezogene Ereignisse (z. B. „Wizard-Schritt erreicht", „Bezahlung gestartet").

Was NICHT erfasst wird: Keine Cookies, kein localStorage-Tracking, keine persistente Browser-ID, keine Klartext-IP-Speicherung, keine Session-Aufzeichnungen (Recordings), keine personenbezogenen Daten wie Name oder E-Mail-Adresse.

Anonyme Tagessitzungen: Zur groben Gruppierung mehrerer Seitenaufrufe innerhalb eines Tages bilden wir aus IP-Adresse, Browser-Kennzeichnung und Tagesdatum einen kryptografischen Hash (SHA-256) mit täglich rotierendem Salt. Dieser Hash kann nicht zurück auf die IP-Adresse aufgelöst werden, wechselt automatisch um Mitternacht (UTC) und erlaubt keine Geräte- oder Personen­wieder­erkennung über Tages­grenzen hinweg.

Speicherdauer: Rohdaten werden nach 360 Tagen automatisch gelöscht. Aggregierte Tages­summen (anonyme Statistiken ohne Personen­bezug) bleiben für historische Trend­analysen erhalten.

Speicherort: Alle Daten liegen ausschließlich in unserer eigenen Supabase-Instanz in Frankfurt am Main (EU). Es findet keine Drittanbieter-Übermittlung statt.

Rechtsgrundlage: Da keine personenbezogenen Daten verarbeitet werden und kein Zugriff auf Endgeräte erfolgt (TTDSG § 25 nicht einschlägig), entfällt eine Einwilligung. Die Verarbeitung anonymer Statistik­daten ist nach DSGVO Art. 6 Abs. 1 lit. f (berechtigtes Interesse an der Verbesserung des Angebots) zulässig.

11b. Google Ads (Conversion-Messung, nur mit Einwilligung)

Sofern Sie über unseren Cookie-Banner in „Marketing" einwilligen, nutzen wir Google Ads Conversion-Tracking der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Damit messen wir, ob ein Besuch über eine unserer Anzeigen zu einem Kauf geführt hat, um die Wirksamkeit unserer Werbung zu bewerten.

Was dabei verarbeitet wird: Beim Klick auf eine Anzeige übermittelt Google eine Klick-Kennung (gclid). Bei einem Kauf wird ein Conversion-Ereignis (mit Bestellwert und einer Transaktions-Kennung zur Doppel-Vermeidung) an Google übermittelt sowie ein Cookie zur Zuordnung gesetzt. Es werden keine Klarnamen, E-Mail-Adressen oder Gästedaten Ihrer Einladung an Google weitergegeben.

Ohne Einwilligung (Consent Mode): Lehnen Sie ab oder treffen keine Wahl, werden keine Marketing-Cookies gesetzt. Google erhält in diesem Fall lediglich anonyme, cookielose Signale (Google „Consent Mode v2“), die keine Wiedererkennung Ihrer Person ermöglichen.

Drittlandübermittlung: Dabei können Daten an Google in die USA übermittelt werden. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln.

Rechtsgrundlage: Einwilligung nach § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Cookie-Banner widerrufen. Weitere Informationen: policies.google.com/privacy.

11c. Google Analytics (Reichweiten- und Nutzungsmessung, nur mit Einwilligung)

Sofern Sie über unseren Cookie-Banner in „Marketing und Statistik" einwilligen, nutzen wir Google Analytics 4 der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Damit werten wir anonymisiert aus, wie unsere Website genutzt wird (z.B. aufgerufene Seiten, Verweildauer, Herkunftskanal), um unser Angebot zu verbessern.

Was dabei verarbeitet wird: pseudonyme Nutzungsdaten wie besuchte Seiten, Interaktionen, ungefährer Standort (auf Basis einer gekürzten IP-Adresse), Geräte- und Browser-Typ sowie eine zufällige Kennung in einem Cookie zur Wiedererkennung wiederkehrender Besuche. Es werden keine Klarnamen, E-Mail-Adressen oder Gästedaten Ihrer Einladung an Google weitergegeben.

Ohne Einwilligung (Consent Mode): Lehnen Sie ab oder treffen keine Wahl, werden keine Analyse-Cookies gesetzt. Google erhält in diesem Fall lediglich anonyme, cookielose Signale (Google „Consent Mode v2“), die keine Wiedererkennung Ihrer Person ermöglichen.

Drittlandübermittlung: Dabei können Daten an Google in die USA übermittelt werden. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln.

Rechtsgrundlage: Einwilligung nach § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Cookie-Banner widerrufen. Weitere Informationen: policies.google.com/privacy.

11d. Meta Conversions API (Conversion-Messung für Meta- und Instagram-Werbung, nur mit Einwilligung)

Sofern Sie über unseren Cookie-Banner in „Marketing und Statistik" einwilligen, übermitteln wir beim Start des Bezahlvorgangs sowie bei einem Kauf serverseitig Conversion-Ereignisse an die Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland) über die sogenannte Meta Conversions API. Damit messen wir die Wirksamkeit unserer Werbung auf Facebook und Instagram. Es wird kein Meta-Pixel im Browser geladen und kein Cookie gesetzt.

Was dabei übermittelt wird: eine serverseitig mit SHA-256 gehashte E-Mail-Adresse, Ihre IP-Adresse, das Land, Stadt und Postleitzahl der Rechnungsadresse (ebenfalls gehasht), Bestellwert und eine Transaktions-Kennung (zur Doppel-Vermeidung) sowie — sofern Sie über eine Meta-/Instagram-Werbeanzeige zu uns gefunden haben — die Klick-Kennung dieser Anzeige. Es werden keine Klarnamen oder Gästedaten Ihrer Einladung an Meta weitergegeben.

Ohne Einwilligung: Lehnen Sie ab oder treffen keine Wahl, wird kein Ereignis an Meta gesendet.

Drittlandübermittlung: Dabei können Daten an Meta in die USA übermittelt werden. Meta ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln.

Rechtsgrundlage: Einwilligung nach § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Cookie-Banner (Footer: „Cookie-Einstellungen") widerrufen. Weitere Informationen: facebook.com/privacy/policy.

12. Ihre Rechte

Sie haben jederzeit das Recht auf:

Auskunft (Art. 15 DSGVO) – Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.

Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.

Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, maschinenlesbaren Format übergeben.

Widerspruch (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten widersprechen.

Kontakt für Datenschutzanfragen: support@davetsy.de

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Eine Liste der Aufsichtsbehörden finden Sie unter: bfdi.bund.de

14. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderungen unserer Dienste oder der Rechtslage. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.