Gatherlight

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Kevin Willkomm

Schillerstraße 45

41515 Grevenbroich

Deutschland

Telefon: +49 176 60360705

E-Mail: support@gatherlight.de

2. Erhobene Daten

Im Rahmen der Nutzung von Gatherlight werden folgende personenbezogene Daten erhoben:

  • Bestandsdaten (Accountinhaber): Name, E-Mail-Adresse (bei Registrierung via Google OAuth oder Magic Link), Profilbild (sofern über Google OAuth bereitgestellt)
  • Zahlungsdaten: Werden ausschließlich durch den Zahlungsdienstleister Stripe verarbeitet. Auf unseren Servern werden lediglich die Stripe-Kunden-ID, die Zahlungsreferenz sowie der Zahlungsstatus gespeichert. Kreditkartennummern oder Bankdaten werden zu keinem Zeitpunkt auf unseren Servern gespeichert.
  • Inhaltsdaten (Uploads): Von Gästen und Albuminhaber hochgeladene Fotos (JPEG, PNG, HEIC, WebP, max. 50 MB) und Videos (MP4, MOV, WebM, max. 500 MB) sowie Gästebuch-Einträge
  • Gäste-Metadaten: Bei Uploads durch Gäste werden der vom Gast angegebene Name (uploaded_by_name), die IP-Adresse des Uploaders und der Zeitpunkt des Uploads gespeichert
  • Nutzungsdaten: Anonyme Zugriffsdaten wie Seitenaufrufe, Verweildauer und Referrer über Plausible Analytics (kein personenbezogenes Tracking, keine Cookies)
  • Kommunikationsdaten: E-Mail-Inhalte und Absenderinformationen bei Kontaktanfragen an support@gatherlight.de
  • Technische Daten: IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs (Serverprotokolle). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

3. Zweck der Verarbeitung

Die Verarbeitung der Daten erfolgt zu folgenden Zwecken:

  • Bereitstellung und Betrieb des digitalen Event-Album-Dienstes (Erstellung von Alben, Upload und Anzeige von Medien, Download-Funktionalität)
  • Authentifizierung und Zugangssteuerung (Login via Google OAuth oder Magic Link)
  • Abwicklung von Zahlungsvorgängen über Stripe
  • Zusendung transaktionaler E-Mails (Kaufbestätigungen, Album-Einladungen, Erinnerungen vor Ablauf der Speicherdauer)
  • Beantwortung von Kontaktanfragen und Kundenservice
  • Verbesserung des Dienstes durch anonyme, cookie-freie Nutzungsstatistiken (Plausible Analytics)
  • Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. Rechnungsdaten)

4. Rechtsgrundlage

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung der Bestands-, Zahlungs- und Inhaltsdaten zur Erfüllung des Vertrags über die Bereitstellung des Album-Dienstes
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verarbeitung von Gäste-Uploads (Gäste stimmen beim Upload zu, dass ihre Inhalte und der angegebene Name im Album gespeichert werden)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung technischer Daten zur Gewährleistung der Sicherheit und Stabilität des Dienstes, anonyme Nutzungsstatistiken, Schutz vor Missbrauch
  • Art. 6 Abs. 1 lit. c DSGVO (Gesetzliche Verpflichtung): Aufbewahrung von Rechnungsdaten gemäß steuer- und handelsrechtlichen Vorschriften (6 bzw. 10 Jahre)

5. Drittanbieter und Auftragsverarbeiter

Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter ein:

Supabase (Supabase Inc.)

Zweck: Datenbank, Authentifizierung (Google OAuth und Magic Link) und Benutzerverwaltung.

Verarbeitete Daten: E-Mail-Adresse, Name, Profilbild, Login-Zeitpunkte, Album- und Upload-Metadaten.

Standort: EU (Frankfurt am Main, Deutschland).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO liegt vor.

Datenschutzerklärung von Supabase

Hetzner Online GmbH

Zweck: Speicherung aller hochgeladenen Fotos und Videos in Hetzner Object Storage.

Verarbeitete Daten: Hochgeladene Mediendateien (Fotos und Videos), Dateinamen, Dateigrößen.

Standort: Deutschland (Falkenstein / Nürnberg).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO liegt vor.

Datenschutzerklärung von Hetzner

Stripe Inc.

Zweck: Zahlungsabwicklung für einmalige Paket-Käufe.

Verarbeitete Daten: Zahlungsinformationen (Kreditkartendaten, Bankdaten), Name, E-Mail-Adresse, IP-Adresse. Stripe verarbeitet diese Daten als eigenverantwortliche Stelle gemäß Art. 26 DSGVO.

Standort: USA/Irland. Datenübertragung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework. Zusätzlich bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Datenschutzerklärung von Stripe

Resend Inc.

Zweck: Versand transaktionaler E-Mails (Kaufbestätigungen, Album-Einladungen, Erinnerungen vor Ablauf der Speicherdauer, Magic-Link-E-Mails).

Verarbeitete Daten: E-Mail-Adresse und Name des Empfängers, E-Mail-Inhalt.

Standort: USA. Datenübertragung auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Auftragsverarbeitungsvertrag liegt vor.

Datenschutzerklärung von Resend

Plausible Analytics (Plausible Insights OÜ)

Zweck: Cookie-freie, datenschutzfreundliche Webanalyse.

Verarbeitete Daten: Keine personenbezogenen Daten. Plausible erhebt ausschließlich anonyme, aggregierte Nutzungsstatistiken (Seitenaufrufe, Referrer, Gerätetyp, Land). Es werden keine Cookies gesetzt und keine IP-Adressen gespeichert.

Standort: EU (Hosting in Deutschland).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Ein Auftragsverarbeitungsvertrag ist mangels Verarbeitung personenbezogener Daten nicht erforderlich.

Datenschutzerklärung von Plausible

6. Cookies

Gatherlight verwendet keine Tracking-Cookies, keine Werbe-Cookies und keine Cookies zu Analysezwecken. Ein Cookie-Banner ist daher nicht erforderlich.

Es werden ausschließlich technisch notwendige Cookies eingesetzt, die für den Betrieb der Webseite und die Authentifizierung zwingend erforderlich sind:

  • Session-/Auth-Cookies: Speichern den Anmeldestatus des Nutzers nach dem Login (via Supabase Auth). Diese Cookies werden beim Abmelden oder nach Ablauf der Sitzung automatisch gelöscht.

Rechtsgrundlage für den Einsatz technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit des Dienstes) in Verbindung mit §25 Abs. 2 TDDDG.

7. Gäste-Uploads (Nutzung ohne Account)

Gäste können über einen QR-Code oder einen direkten Link Fotos und Videos in ein Album hochladen, ohne sich zu registrieren oder ein Konto zu erstellen.

Bei einem Gäste-Upload werden folgende Daten erhoben:

  • Name des Gastes (uploaded_by_name): Der vom Gast freiwillig angegebene Name, der im Album angezeigt wird
  • IP-Adresse: Wird zum Schutz vor Missbrauch (Spam, unzulässige Inhalte) temporär gespeichert
  • Hochgeladene Dateien: Fotos und/oder Videos, die der Gast ausgewählt hat
  • Upload-Zeitpunkt: Datum und Uhrzeit des Uploads

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Gast wird vor dem Upload darüber informiert, welche Daten erhoben werden, und stimmt mit dem Absenden des Uploads der Verarbeitung zu. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, indem der Albuminhaber oder der Gast uns per E-Mail an support@gatherlight.de kontaktiert.

8. Speicherdauer und Löschung

Die Speicherdauer der hochgeladenen Medien richtet sich nach dem gewählten Paket:

Starter (29 €): 30 Tage ab Erstellung des Albums

Premium (59 €): 90 Tage ab Erstellung des Albums

Gold (99 €): 365 Tage ab Erstellung des Albums

Nach Ablauf der Speicherdauer werden alle Medien (Fotos, Videos), Metadaten (Gästenamen, Upload-Zeitpunkte) und Album-Daten automatisch und unwiderruflich gelöscht. Eine Wiederherstellung ist nach der Löschung technisch nicht möglich.

Wir empfehlen, alle Inhalte vor Ablauf der Speicherfrist herunterzuladen. Der Albuminhaber erhält rechtzeitig vor Ablauf eine Erinnerungs-E-Mail.

Account-Daten (Name, E-Mail) werden so lange gespeichert, wie der Nutzer ein Konto bei Gatherlight unterhält. Bei Löschung des Kontos werden alle personenbezogenen Daten entfernt, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Rechnungsdaten werden gemäß steuerrechtlichen Vorschriften für 10 Jahre aufbewahrt (§147 AO, §14b UStG).

9. Betroffenenrechte (Art. 15–21 DSGVO)

Als betroffene Person haben Sie gegenüber dem Verantwortlichen folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten sowie deren Herkunft, Empfänger und den Zweck der Verarbeitung verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder die Übermittlung an einen anderen Verantwortlichen verlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einlegen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, es liegen zwingende schutzwürdige Gründe vor.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
  • Beschwerderecht: Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an support@gatherlight.de. Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb eines Monats, bearbeiten.

10. Auftragsverarbeitung (Art. 28 DSGVO)

Mit allen Drittanbietern, die in unserem Auftrag personenbezogene Daten verarbeiten, haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen. Diese Verträge gewährleisten, dass die Auftragsverarbeiter personenbezogene Daten nur nach unserer Weisung verarbeiten und angemessene technische und organisatorische Maßnahmen zum Schutz der Daten treffen.

Für Drittanbieter mit Sitz außerhalb der EU/des EWR (Stripe, Resend) bestehen zusätzlich Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder eine Zertifizierung nach dem EU-US Data Privacy Framework als Grundlage für die Datenübermittlung.

11. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung und den Zugriff unberechtigter Personen zu schützen. Dazu gehören insbesondere:

  • Verschlüsselte Datenübertragung via TLS/SSL für alle Verbindungen
  • Speicherung aller Mediendateien in Hetzner Object Storage in Deutschland
  • Datenbank-Hosting bei Supabase in der EU (Frankfurt)
  • Zugriffsbeschränkungen nach dem Least-Privilege-Prinzip
  • Regelmäßige Sicherheitsupdates und Schwachstellenprüfungen
  • Automatische Löschung von Daten nach Ablauf der Speicherfrist

Unsere Sicherheitsmaßnahmen werden dem technologischen Fortschritt entsprechend fortlaufend verbessert.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, um sie an geänderte Rechtsverhältnisse oder bei Änderungen des Dienstes oder der Datenverarbeitung zu aktualisieren. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir registrierte Nutzer zusätzlich per E-Mail.

← Zurück zur Startseite