Datenschutzerklärung
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Web-Applikation unter voeux.app sowie der nativen iOS-App „VOEUX“ (nachfolgend gemeinsam „Dienst“). VOEUX ist ein privat betriebenes Hobby-Projekt zum Anlegen, Verwalten und Teilen von Wunschlisten.
1. Verantwortlicher
Dominic Su-Ming Huang
Dauborner Weg 2a
65597 Hünfelden
Deutschland
E-Mail: info@voeux.app
2. Hosting — Vercel
Die Web-Applikation wird auf der Infrastruktur von Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Beim Aufruf der Seite verarbeitet Vercel automatisch Server-Logs (IP-Adresse, User-Agent, Zeitstempel, aufgerufene URL, HTTP-Statuscode). Diese Logs dienen der Fehlerdiagnose, der Sicherheitsüberwachung und dem stabilen Betrieb des Dienstes und werden kurzfristig gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und zuverlässigen Betrieb). Zwischen dem Betreiber und Vercel besteht ein Auftragsverarbeitungsvertrag (DPA).
3. Datenbank und Speicher — Supabase
Konto- und Inhaltsdaten werden bei Supabase Inc. gespeichert. Das Projekt liegt in der EU-Region Irland (AWS eu-west-1). Supabase verarbeitet personenbezogene Daten als Auftragsverarbeiter gemäß einem abgeschlossenen DPA.
Verarbeitet werden dabei insbesondere: Konto- und Profildaten (E-Mail-Adresse, Anzeigename), Wunschlisten, Wünsche und deren Angaben (Titel, Beschreibung, Preis, Links), Reservierungen, Mitgliedschaften an geteilten Listen sowie hochgeladene Fotos (in Supabase Storage). Diese Daten geben Nutzerinnen und Nutzer selbst ein bzw. laden sie selbst hoch. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags), im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb).
4. Registrierung und Anmeldung
Die Authentifizierung erfolgt über Supabase Auth. Für die Registrierung und Anmeldung stehen folgende Verfahren zur Verfügung:
E-Mail und Passwort: Bei der Registrierung werden E-Mail-Adresse und Passwort (verschlüsselt) gespeichert. Zur Bestätigung der E-Mail-Adresse und zum Zurücksetzen des Passworts (über einen per E-Mail versandten Einmalcode bzw. Link) werden transaktionale E-Mails versendet (siehe Abschnitt 5). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Google Sign-In: Nutzerinnen und Nutzer können sich optional über Google anmelden. Dabei werden Name und E-Mail-Adresse von Google an den Dienst übertragen. Verantwortlich für die Datenverarbeitung bei Google ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland); es gilt die Google-Datenschutzerklärung. Die Datenweitergabe an Google erfolgt nur bei aktiver Auswahl dieser Anmeldemethode. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Sign in with Apple: Ausschließlich in der iOS-App steht zusätzlich die Anmeldung über Sign in with Apple zur Verfügung. Dabei werden Name und E-Mail-Adresse (bzw. eine von Apple bereitgestellte anonymisierte Relay-Adresse) an den Dienst übertragen. Die Datenweitergabe an Apple erfolgt nur bei aktiver Auswahl dieser Anmeldemethode. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
5. E-Mail-Versand — Resend
Für den Versand transaktionaler E-Mails (z. B. Bestätigungslinks, Passwort-Reset) nutzt der Betreiber den Dienst Resend (Resend Inc., 2261 Market St #5039, San Francisco, CA 94114, USA). Resend verarbeitet dazu die E-Mail-Adresse der empfangenden Person. Zwischen dem Betreiber und Resend besteht ein DPA. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
6. Cookies und lokaler Speicher
Der Dienst setzt ausschließlich technisch notwendige Cookies und nutzt den lokalen Speicher des Browsers ausschließlich für Sitzungs- und Authentifizierungszwecke:
Auth-Session-Cookie: Wird von Supabase im Rahmen der serverseitigen Anmeldung (Supabase SSR) gesetzt und enthält das verschlüsselte Sitzungstoken. Ohne dieses Cookie ist keine authentifizierte Nutzung möglich. Ablauf: entspricht der Sitzungslaufzeit bzw. einer konfigurierten Refresh-Frist.
Locale-Cookie: Speichert die bevorzugte Anzeigesprache (z. B. „de“ oder „en“). Kein Personenbezug, kein Tracking.
Es werden keine Analyse-, Werbe- oder Tracking-Cookies gesetzt, keine Analyse- oder Statistik-Werkzeuge eingesetzt und keine Werbung ausgeliefert. Da ausschließlich technisch erforderliche Cookies zum Einsatz kommen, ist deren Speicherung nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei; ein Cookie-Banner ist daher nicht erforderlich. Rechtsgrundlage für die zugehörige Verarbeitung: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb).
7. Autofill-Funktion (nur iOS-App)
Beim Anlegen eines Wunsches bietet die iOS-App zwei optionale Hilfsfunktionen, um Eingabefelder automatisch zu befüllen. Beide werden ausschließlich durch eine aktive Handlung der nutzenden Person ausgelöst; ohne diese Handlung findet keine Übertragung statt.
Produkt-Link (kein KI-Einsatz): Fügt die nutzende Person eine Produkt-URL ein, ruft der Dienst diese Seite serverseitig auf und liest öffentlich verfügbare Metadaten (Titel, Beschreibung, Preis, Bild) aus, um die Felder vorzuschlagen. Übertragen wird nur die von der nutzenden Person selbst eingegebene URL; personenbezogene Daten werden dabei nicht an Dritte weitergegeben.
Foto-Analyse (KI-Einsatz): Tippt die nutzende Person aktiv auf „Foto analysieren“, wird das ausgewählte Foto zur Erkennung von Produkttitel und -beschreibung an einen KI-Dienst übermittelt. Als Vermittler kommt OpenRouter (OpenRouter, Inc., USA) zum Einsatz, der die Anfrage an ein Vision-fähiges Sprachmodell weiterleitet. Übertragen wird ausschließlich das für diese eine Analyse gewählte Foto; die Übertragung erfolgt erst nach ausdrücklicher Bestätigung durch die nutzende Person und nur zum Zweck der einmaligen Analyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese Funktion ist Premium-Nutzerinnen und -Nutzern der iOS-App vorbehalten.
8. In-App-Kauf (nur iOS-App)
Premium-Funktionen werden ausschließlich in der iOS-App als kostenpflichtiges Abonnement angeboten. Kauf und Abrechnung erfolgen über den In-App-Kauf von Apple (Apple Distribution International Ltd., Irland); zur technischen Verwaltung der Abonnements setzt der Betreiber den Abwicklungsdienst RevenueCat (RevenueCat, Inc., USA) ein. Da für Web- und iOS-Nutzung dasselbe Konto verwendet wird, kann eine Abonnement-Kennung dem Konto zugeordnet werden. Die Web-Applikation selbst wickelt keine Zahlungen ab. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
9. Empfänger und Auftragsverarbeiter
Personenbezogene Daten werden an folgende Empfänger weitergegeben, jeweils nur im erforderlichen Umfang und zum genannten Zweck:
Vercel (Hosting/CDN der Web-App) — bei jedem Seitenaufruf.
Supabase (Datenbank, Speicher, Authentifizierung) — für alle Konto- und Inhaltsdaten.
Resend (E-Mail-Versand) — für transaktionale E-Mails.
Google — nur bei Nutzung von Google Sign-In.
Apple und RevenueCat — nur bei Sign in with Apple bzw. beim In-App-Abonnement (iOS-App).
OpenRouter (KI-Vermittler) — nur bei aktiver Nutzung der Foto-Analyse (iOS-App).
Mit den als Auftragsverarbeiter tätigen Diensten bestehen entsprechende Verträge (DPA). Soweit Empfänger Daten außerhalb der EU/des EWR verarbeiten, erfolgt dies auf Grundlage geeigneter Garantien (insbesondere EU-Standardvertragsklauseln bzw. eines gültigen Angemessenheitsrahmens).
10. Speicherdauer und Löschung
Konto- und Inhaltsdaten werden gespeichert, solange das Konto besteht. Nutzerinnen und Nutzer können ihr Konto jederzeit selbst über das Profil in der App löschen. Die Kontolöschung entfernt die zugehörigen personenbezogenen Daten einschließlich der Wunschlisten, Wünsche, Reservierungen, Mitgliedschaften und hochgeladenen Fotos unverzüglich. Server-Logs bei Vercel werden kurzfristig gelöscht. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
11. Rechte der betroffenen Personen
Betroffene Personen haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie das Recht, der Verarbeitung zu widersprechen (Art. 21 DSGVO). Erteilte Einwilligungen (z. B. für Google Sign-In oder die Foto-Analyse) können jederzeit mit Wirkung für die Zukunft widerrufen werden. Anfragen können per E-Mail an info@voeux.app gerichtet werden.
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.
12. Beschwerderecht
Betroffene Personen haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde für den Betreiber ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden (www.datenschutz.hessen.de).
Stand: 04.07.2026