Datenschutzerklärung

Zuletzt aktualisiert: 29. April 2026

Wir haben xwish.ai mit Datenschutz als Priorität entwickelt: Empfänger benötigen niemals ein Konto, anonyme Kartenerstellung wird unterstützt und wir erheben nur das Notwendige für den Betrieb des Dienstes. Diese Richtlinie erläutert, was wir erheben, warum und welche Rechte Sie haben.

1. Verantwortlicher für die Datenverarbeitung

xwish.ai betreibt die Grußkartenplattform unter https://xwish.ai. Im Sinne des anwendbaren Datenschutzrechts ist xwish.ai der Verantwortliche für Ihre personenbezogenen Daten.

xwish.ai

E-Mail: support@xwish.ai

Website: https://xwish.ai

Für Datenschutzanfragen, Fragen oder Beschwerden nutzen Sie bitte die obigen Kontaktdaten. Wir bemühen uns, innerhalb von 30 Tagen zu antworten.

2. Erhobene Informationen

2.1 Von Ihnen direkt bereitgestellte Informationen

Daten	Zeitpunkt der Erhebung	Erforderlich?
Name / Anzeigename	Kontoerstellung (via Google OAuth)	Ja, für Konten
E-Mail-Adresse	Kontoerstellung; Kartenversand per E-Mail	Ja, für Konten
Profilbild-URL	Kontoerstellung (via Google OAuth)	Nein (kann leer sein)
Name des Absenders	Kartenerstellung (anonym oder eingeloggt)	Ja, für alle Karten
Name des Empfängers	Kartenerstellung	Ja, für alle Karten
Karteninhalt	Kartenerstellung (KI-generiert aus Ihren Eingaben)	Ja
E-Mail des Empfängers	Optionale E-Mail-Zustellungsfunktion	Nein
Persönliches Detail / Kontext	Optionale KI-Eingabe zur Personalisierung	Nein

2.2 Automatisch erhobene Informationen

Anonymes Token — eine zufällige UUID, die in einem Browser-Cookie (anon_token) gespeichert wird, für Nutzer, die Karten ohne Konto erstellen. Dient ausschließlich dazu, Ihnen den Zugriff auf ohne Anmeldung erstellte Karten zu ermöglichen. Läuft nach 1 Jahr ab.
Spracheinstellung — ein Cookie (xwish_lang_pref), das Ihre gewählte Sprache speichert. Läuft nach 1 Jahr ab.
Sitzungs-Token — ein HttpOnly, SameSite=Lax Cookie nach dem Einloggen. Läuft nach 7 Tagen ab.
Nutzungsdaten — einschließlich erstellter Karten, verdienter und verbrauchter Credits, täglicher Anmeldedaten und Funktionsinteraktionen. In unserer Datenbank gespeichert.
IP-Adresse und Anfrage-Metadaten — von Cloudflare als Teil des Infrastrukturbetriebs verarbeitet. Nicht in unserer Anwendungsdatenbank gespeichert.

2.3 Zahlungsinformationen

Wenn Sie Credits kaufen, werden Ihre Zahlungskartendaten direkt in Stripes sichere Schnittstelle eingegeben und nie an unsere Server übermittelt oder dort gespeichert. Wir erhalten lediglich die Zahlungsbestätigung, das erworbene Paket und die Stripe-Transaktionsreferenz.

2.4 Informationen über Kartenempfänger

Wenn Sie die E-Mail-Adresse eines Empfängers für die Kartenlieferung angeben, speichern wir diese Adresse zum Versand der Zustellungs-E-Mail über Resend. Empfänger müssen kein Konto erstellen und wir kontaktieren sie nicht proaktiv für andere Zwecke als die Zustellung der an sie adressierten Karte.

3. Verwendung Ihrer Informationen

Zweck	Verwendete Informationen
Bereitstellung und Betrieb des Dienstes	Kontodaten, Karteninhalt, Sitzungs-Token, anonymes Token
KI-Generierung von Karteninhalten	Anlass, Absender-/Empfängernamen, Ton, persönliches Detail (an KI-Modell übergeben; nach Generierung nicht gespeichert)
Kartenlieferung per E-Mail	Empfänger-E-Mail, Absendername, Kartenlink
Zahlungsverarbeitung und Credit-Verwaltung	E-Mail, Zahlungsbestätigung, Credit-Protokolle
Transaktionsmitteilungen	E-Mail (Credit-Ablaufwarnungen, Bestellbestätigungen)
Betrugsprävention und Sicherheit	Nutzungsmuster, Sitzungsdaten, IP (via Cloudflare)
Analyse und Serviceverbesserung	Aggregierte, anonymisierte Nutzungsdaten; Google Analytics (falls aktiviert)
Rechtliche Compliance	Zahlungsaufzeichnungen, Kontodaten (gesetzlich erforderlich)

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir verwenden Ihre personenbezogenen Daten nicht für zielgerichtete Werbung oder zum Erstellen von Werbeprofilen.

Wenn Google Analytics auf unserer Website aktiviert ist, kann Google Nutzungsdaten erheben, wie in der Datenschutzrichtlinie von Google beschrieben. Sie können sich über Google Analytics Opt-out abmelden.

4. Rechtsgrundlage der Verarbeitung (DSGVO)

Für Nutzer im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich verarbeiten wir Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:

Verarbeitungstätigkeit	Rechtsgrundlage
Kontoerstellung und -verwaltung	Vertrag (Art. 6(1)(b) DSGVO)
Bereitstellung von Kartenerstellungs- und Zustelldiensten	Vertrag (Art. 6(1)(b) DSGVO)
Zahlungsverarbeitung	Vertrag (Art. 6(1)(b) DSGVO)
Transaktions-E-Mails (Bestellbestätigungen, Credit-Ablauf)	Vertrag / Berechtigte Interessen (Art. 6(1)(f) DSGVO)
Sicherheit, Betrugsprävention, Missbrauchserkennung	Berechtigte Interessen (Art. 6(1)(f) DSGVO)
Analyse und Serviceverbesserung	Berechtigte Interessen (Art. 6(1)(f) DSGVO)
Rechtliche Compliance (Steueraufzeichnungen, finanzielle Verpflichtungen)	Rechtliche Verpflichtung (Art. 6(1)(c) DSGVO)
Cookie-Einwilligung (nicht wesentliche Cookies)	Einwilligung (Art. 6(1)(a) DSGVO)

Soweit wir uns auf berechtigte Interessen stützen, haben wir diese gegen Ihre Rechte und Interessen abgewogen. Sie können der auf berechtigten Interessen basierenden Verarbeitung jederzeit widersprechen (siehe Abschnitt 9).

5. Weitergabe Ihrer Informationen

Wir geben personenbezogene Daten nur in folgenden Fällen weiter:

Dienstleister (Auftragsverarbeiter)

Anbieter	Zweck	Standort	Datenschutzrichtlinie
Cloudflare, Inc.	Infrastruktur, Edge-Computing, Datenbank, Speicher, KI-Modelle	Global (inkl. EU)	Link
Google LLC	OAuth 2.0-Authentifizierung; optionale Analyse	USA / Global	Link
Stripe, Inc.	Zahlungsverarbeitung (wenn aktiviert)	USA / Global	Link
Lemon Squeezy LLC	Zahlungsverarbeitung und Steuererhebung (Merchant of Record)	USA	Link
Paddle.com Market Ltd	Zahlungsverarbeitung und Steuererhebung (Merchant of Record)	UK / Global	Link
Resend, Inc.	Transaktions-E-Mail-Zustellung	USA	Link

Alle Dienstleister sind durch Datenverarbeitungsverträge gebunden und es ist ihnen untersagt, Ihre personenbezogenen Daten für eigene Zwecke zu verwenden.

Gesetzlich vorgeschriebene Offenlegungen

Wir können personenbezogene Daten offenlegen, wenn dies gesetzlich, durch Gerichtsbeschluss oder behördliche Anordnung erforderlich ist, oder wenn wir in gutem Glauben davon überzeugt sind, dass die Offenlegung zum Schutz der Rechte, des Eigentums oder der Sicherheit von xwish.ai, unseren Nutzern oder der Öffentlichkeit notwendig ist.

Unternehmensübertragungen

Im Falle einer Fusion, Übernahme oder des Verkaufs aller oder eines wesentlichen Teils unserer Vermögenswerte können personenbezogene Daten als Teil dieser Transaktion übertragen werden. Wir werden Sie per E-Mail oder durch einen deutlichen Hinweis auf dem Dienst informieren, bevor Ihre Daten übertragen und einer anderen Datenschutzrichtlinie unterstellt werden.

6. Internationale Datenübermittlungen

Unsere Infrastruktur wird von Cloudflare bereitgestellt, das ein globales Netzwerk mit Rechenzentren im Europäischen Wirtschaftsraum betreibt. Einige unserer Dienstleister (Google, Stripe, Resend) haben jedoch ihren Sitz in den USA oder operieren global.

Für Übermittlungen personenbezogener Daten aus dem EWR/UK in Länder ohne Angemessenheitsbeschluss der Europäischen Kommission stützen wir uns auf von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCC) oder gleichwertige Übermittlungsmechanismen gemäß UK-DSGVO.

Durch die Nutzung des Dienstes außerhalb der USA erkennen Sie an, dass Ihre Informationen in die USA und andere Länder, in denen unsere Dienstleister tätig sind, übertragen, gespeichert und verarbeitet werden können.

7. Cookies und Tracking-Technologien

Von uns verwendete Cookies

Cookie	Zweck	Typ	Dauer
`session`	Aufrechterhaltung Ihrer Anmeldesitzung	Notwendig	7 Tage
`anon_token`	Identifiziert ohne Konto erstellte Karten	Notwendig (funktional)	1 Jahr
`xwish_lang_pref`	Speichert Ihre Spracheinstellung	Funktional	1 Jahr
Google Analytics (`_ga`, `_ga_*`)	Nutzungsanalyse (wenn GA konfiguriert)	Analyse	2 Jahre

Cookie-Verwaltung

Notwendige Cookies sind für den Betrieb des Dienstes erforderlich und können nicht deaktiviert werden, ohne Ihre Nutzung erheblich zu beeinträchtigen. Sie können funktionale und Analyse-Cookies über Ihre Browsereinstellungen verwalten. Die meisten Browser ermöglichen das Ablehnen oder Löschen von Cookies; lesen Sie bitte die Hilfedokumentation Ihres Browsers.

Wenn Sie sich im EWR, im Vereinigten Königreich oder einer anderen Rechtsordnung befinden, die eine vorherige Einwilligung für nicht wesentliche Cookies erfordert, werden wir Ihre Einwilligung einholen, bevor wir Analyse-Cookies setzen.

8. Datenspeicherung

Daten	Speicherdauer	Grund
Kontoprofildaten	Bis zur Kontolöschung + 30 Tage	Dienstbetrieb
Karten (Inhalt, Metadaten)	Bis zur Löschung durch den Ersteller oder 2 Jahre nach letztem Aufruf	Dienstbetrieb
Credit- und Punkteprotokolle	3 Jahre ab Transaktion	Finanzaudit-Compliance
Zahlungsbestellaufzeichnungen	7 Jahre ab Transaktion	Steuerliche und rechtliche Verpflichtung
Zugestellte E-Mails (Empfängeradresse)	90 Tage nach Zustellung	Zustellungsbestätigung
Anonyme Tokens (Cookies)	1 Jahr ab letzter Nutzung	Funktional (Kartenzugriff)

Nach Ablauf der Speicherfrist löschen oder anonymisieren wir die Daten. Sie können eine vorzeitige Löschung Ihres Kontos und der zugehörigen Daten beantragen (siehe Abschnitt 9).

9. Ihre Datenschutzrechte

Je nach Ihrem Standort haben Sie folgende Rechte hinsichtlich Ihrer personenbezogenen Daten. Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter support@xwish.ai. Wir werden innerhalb von 30 Tagen (oder dem geltenden gesetzlichen Zeitraum) antworten.

Alle Nutzer

Auskunft — fordern Sie eine Kopie der personenbezogenen Daten an, die wir über Sie gespeichert haben.
Berichtigung — fordern Sie die Korrektur unrichtiger oder unvollständiger Daten an.
Löschung — fordern Sie die Löschung Ihrer personenbezogenen Daten an, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Beschwerde — reichen Sie eine Beschwerde bei Ihrer lokalen Datenschutzbehörde ein.

EWR / UK Nutzer (DSGVO / UK GDPR)

Einschränkung der Verarbeitung — fordern Sie an, dass wir die Verarbeitung Ihrer Daten unter bestimmten Umständen einschränken.
Datenübertragbarkeit — erhalten Sie Ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format.
Widerspruch — widersprechen Sie der Verarbeitung auf Basis berechtigter Interessen oder zu Direktmarketingzwecken.
Widerruf der Einwilligung — soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu berühren.
Sie haben das Recht, eine Beschwerde bei Ihrer nationalen Aufsichtsbehörde einzureichen. In der EU finden Sie Ihre Behörde unter edpb.europa.eu. Im Vereinigten Königreich wenden Sie sich an den ICO.

Einwohner Kaliforniens (CCPA / CPRA)

Recht auf Auskunft — fordern Sie Offenlegung der Kategorien und spezifischen personenbezogenen Daten, die wir erheben, verwenden und weitergeben.
Recht auf Löschung — fordern Sie die Löschung erhobener personenbezogener Daten (vorbehaltlich bestimmter Ausnahmen).
Recht auf Berichtigung — fordern Sie die Korrektur unrichtiger personenbezogener Daten.
Recht auf Widerspruch gegen Verkauf / Weitergabe — xwish.ai verkauft oder teilt Ihre personenbezogenen Daten nicht für kontextübergreifende Verhaltenswerbung. Kein Opt-out erforderlich.
Recht auf Nichtdiskriminierung — wir werden Sie nicht diskriminieren, wenn Sie CCPA-Rechte ausüben.

Einwohner Kaliforniens können Anfragen per E-Mail an support@xwish.ai mit dem Betreff „California Privacy Request" einreichen.

Kanadische Einwohner (PIPEDA)

Gemäß dem kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA) haben Sie das Recht, auf Ihre personenbezogenen Daten zuzugreifen und deren Richtigkeit anzufechten. Für eine Anfrage kontaktieren Sie uns unter support@xwish.ai.

Australische Einwohner

Gemäß dem Privacy Act 1988 (Cth) und den Australian Privacy Principles haben Sie das Recht, auf Ihre personenbezogenen Daten zuzugreifen und diese zu berichtigen. Sie können auch beim Office of the Australian Information Commissioner (OAIC) Beschwerde einreichen, wenn Sie der Meinung sind, dass Ihre Datenschutzrechte verletzt wurden.

Brasilianische Einwohner (LGPD)

Gemäß der brasilianischen Lei Geral de Proteção de Dados (LGPD) haben Sie Rechte einschließlich Auskunft, Berichtigung, Anonymisierung, Übertragbarkeit, Löschung und Information über die Weitergabe. Sie können auch Beschwerden bei der Autoridade Nacional de Proteção de Dados (ANPD) einreichen.

Naher Osten und andere Regionen

Wir respektieren die geltenden Datenschutzgesetze in allen Rechtsordnungen, in denen wir tätig sind, einschließlich des VAE-Datenschutzgesetzes (Bundesgesetzesdekret Nr. 45 von 2021) und des saudi-arabischen Datenschutzgesetzes (PDPL). Einwohner dieser Regionen können ihre Auskunfts- und Berichtigungsrechte ausüben, indem sie uns unter support@xwish.ai kontaktieren.

10. Datenschutz für Kinder

Der Dienst richtet sich nicht an Kinder unter 13 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren. Im Europäischen Wirtschaftsraum müssen Nutzer unter 16 Jahren eine nachweisbare elterliche Zustimmung haben, bevor sie ein Konto erstellen oder personenbezogene Daten übermitteln.

Wenn Sie glauben, dass ein Kind unter dem geltenden Mindestalter uns ohne angemessene Zustimmung personenbezogene Daten übermittelt hat, kontaktieren Sie uns sofort unter support@xwish.ai. Wir werden umgehend Maßnahmen zur Löschung dieser Daten ergreifen.

11. Sicherheit

Wir implementieren technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Vernichtung. Dazu gehören:

HTTPS-Verschlüsselung für alle Daten bei der Übertragung;
HttpOnly, SameSite Sitzungs-Cookies;
Cloudflare-Infrastruktur mit integriertem DDoS-Schutz und WAF;
Zugriffskontrollen, die den Datenbankzugriff auf die Anwendungsschicht beschränken;
Zahlungsdaten, die ausschließlich über Stripes PCI-DSS-konforme Umgebung verarbeitet werden.

Keine Übertragungsmethode über das Internet oder elektronische Speicherung ist 100 % sicher. Obwohl wir uns bemühen, kommerziell akzeptable Mittel zum Schutz Ihrer personenbezogenen Daten einzusetzen, können wir deren absolute Sicherheit nicht garantieren.

Wenn Sie eine Sicherheitslücke entdecken oder vermuten, kontaktieren Sie uns sofort unter support@xwish.ai.

12. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung gelegentlich aktualisieren. Bei wesentlichen Änderungen aktualisieren wir das Datum „Zuletzt aktualisiert" oben auf dieser Seite und benachrichtigen, soweit möglich, registrierte Nutzer per E-Mail oder In-App-Hinweis mindestens 14 Tage vor Inkrafttreten der Änderungen.

Ihre weitere Nutzung des Dienstes nach dem Inkrafttreten einer überarbeiteten Richtlinie stellt Ihre Zustimmung zu den Änderungen dar. Wir empfehlen, diese Richtlinie regelmäßig zu überprüfen.

Frühere Versionen dieser Richtlinie sind auf Anfrage erhältlich.

13. Kontakt

Für Fragen, Anfragen oder Anliegen zu dieser Datenschutzerklärung oder unseren Datenpraktiken kontaktieren Sie uns bitte:

xwish.ai — Datenschutz

E-Mail: support@xwish.ai

Website: https://xwish.ai

Wir bemühen uns, alle Datenschutzanfragen innerhalb von 30 Tagen zu beantworten. Bei komplexen Anfragen oder wenn dies nach geltendem Recht erforderlich ist, können wir diese Frist um weitere 30 Tage verlängern, mit vorheriger Benachrichtigung.

Wenn Sie mit unserer Antwort nicht zufrieden sind, haben Sie das Recht, eine Beschwerde bei Ihrer lokalen Datenschutz-Aufsichtsbehörde einzureichen.