DATENSCHUTZ­ERKLÄRUNG

Stand: 23. May 2026

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Diese Datenschutzerklärung informiert dich darüber, wie wir mit deinen personenbezogenen Daten umgehen, wenn du turndown.de besuchst, kommentierst, einen Account anlegst, unseren Newsletter abonnierst oder eine Stellenanzeige inserierst. Personenbezogene Daten sind alle Informationen, mit denen du persönlich identifiziert werden kannst.

Datenerfassung auf dieser Website

Die Datenverarbeitung erfolgt entweder durch deine freiwillige Mitteilung (z.B. bei Kommentaren, Newsletter-Anmeldung, Job-Inserat) oder automatisch durch unsere Server (Server-Logs, technisch notwendige Cookies).

2. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

Thomas Harnisch
Königskinderweg 74f
22457 Hamburg
Deutschland

E-Mail: info@weloveurlaub.de

3. Hosting und Content Delivery (Cloudflare)

Diese Website wird bei einem Hosting-Provider in Deutschland gehostet. Personenbezogene Daten werden auf den Servern des Hosters gespeichert, einschließlich IP-Adressen, Kontaktanfragen, Metadaten und Kommunikationsdaten.

Zusätzlich nutzen wir Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) als Content Delivery Network (CDN) und Sicherheitsdienst. Cloudflare analysiert den Datenverkehr zur Erkennung und Abwehr von Angriffen (z.B. DDoS).

Erfasste Informationen: IP-Adresse, Systemkonfiguration, Internetanbieter-Informationen, besuchte Seiten, Zugriffszeitpunkt.

Datenübermittlung in die USA: Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert (angemessenes Datenschutzniveau gemäß Art. 45 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Performance).
Weitere Informationen: cloudflare.com/de-de/privacypolicy

4. Server-Logdateien

Beim Aufruf unserer Website erfasst unser Provider automatisch Informationen in Server-Logdateien:

  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL (zuvor besuchte Seite)
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am störungsfreien Betrieb).
Speicherdauer: 7 Tage. Eine Zusammenführung mit anderen Datenquellen erfolgt nicht.

5. Cookies und Tracking (Consent-Layer)

Wir verwenden Cookies und vergleichbare Technologien (Web Beacons, LocalStorage). Cookies sind kleine Textdateien, die im Browser gespeichert werden. Wir unterscheiden zwischen essenziellen und einwilligungspflichtigen Cookies.

5.1 Essenzielle Cookies

Diese Cookies sind technisch notwendig für den Betrieb der Website (z.B. Session-ID, CSRF-Schutz, Speicherung deiner Consent-Entscheidung). Sie werden ohne Einwilligung gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

5.2 Einwilligungspflichtige Cookies (Marketing, Analyse, Funktional)

Diese Cookies werden ausschließlich nach deiner ausdrücklichen Einwilligung über unseren Consent-Layer gesetzt. Eine Übersicht aller eingebundenen Drittanbieter findest du dort, inklusive Anbieter-Anschrift, Verarbeitungszweck, gesetzten Cookies, Speicherdauer und Datenempfänger.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: jederzeit über den Consent-Layer:

5.3 Auto-Block unbekannter Tracker

Unser Consent-Tool blockiert standardmäßig alle Drittanbieter-Skripte und Tracking-Pixel, die nicht ausdrücklich freigegeben sind — auch solche, die uns selbst noch nicht bekannt sind. Erst nach deiner Einwilligung zum jeweiligen Service werden die entsprechenden Inhalte geladen.

6. Newsletter

Wenn du dich für unseren Newsletter anmeldest, verarbeiten wir deine E-Mail-Adresse zur Zusendung des Newsletters. Wir nutzen das Double-Opt-in-Verfahren: nach der Anmeldung erhältst du eine Bestätigungsmail. Erst nach Klick auf den Bestätigungslink wird deine Adresse aufgenommen.

Verarbeitete Daten: E-Mail-Adresse, ggf. Name, IP-Adresse zum Zeitpunkt der Anmeldung, Bestätigungszeitpunkt (Nachweis der Einwilligung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: jederzeit über den Abmeldelink in jedem Newsletter oder per E-Mail an info@weloveurlaub.de.
Speicherdauer: bis zum Widerruf der Einwilligung.

7. Kommentare und Nutzer-Account

Beim Erstellen eines Nutzer-Kontos oder Hinterlassen eines Kommentars verarbeiten wir folgende Daten:

  • Name oder Pseudonym
  • E-Mail-Adresse (zur Bestätigung und ggf. Login)
  • Avatar-Bild (optional)
  • Kommentar-Inhalt + Erstellungszeitpunkt
  • IP-Adresse zum Zeitpunkt der Erstellung (zur Spam-Abwehr, anonymisiert nach 30 Tagen)

Login per Drittanbieter (Google, Apple): bei diesen Login-Optionen werden zusätzlich die jeweiligen Provider-Daten verarbeitet. Details zu diesen Anbietern findest du im Consent-Layer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: bis zur Konto-Löschung. Kommentare können nach Konto-Löschung anonymisiert erhalten bleiben (berechtigtes Interesse an der Diskussionsintegrität).

8. Stellenanzeigen / Job-Inserate

Beim Einstellen einer Stellenanzeige verarbeiten wir die übermittelten Firmen- und Kontaktdaten (Firmenname, Anschrift, E-Mail, Telefon, ggf. Bewerber-Link). Die Anzeige wird auf turndown.de veröffentlicht.

Bewerbungen: Erfolgen nicht direkt über uns, sondern über den im Inserat angegebenen Link/Kontakt der inserierenden Firma. Wir verarbeiten keine Bewerber-Daten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: bis Ablauf der Anzeige + gesetzliche Aufbewahrungsfristen (6 Jahre handelsrechtlich, 10 Jahre steuerrechtlich für Rechnungsdaten).

9. Pressemitteilungen + KI-Recherche

An info@weloveurlaub.de gesendete Pressemitteilungen verarbeiten wir redaktionell. Zur Aufbereitung nutzen wir KI-Dienste (Anthropic Claude für Text-Verarbeitung, Leonardo.ai für Bild-Generierung). Diese Dienste verarbeiten ausschließlich den von uns übermittelten Text-/Bild-Input zur Aufgabenerfüllung.

Anthropic Claude: Anbieter Anthropic PBC, USA. Daten-Übermittlung in die USA, Vertrag zur Auftragsverarbeitung geschlossen.
Leonardo.ai: Anbieter Leonardo Interactive Pty Ltd, Australien. Verträge nach Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (redaktionelle Berichterstattung im überwiegenden öffentlichen Interesse, Medienprivileg).

10. Drittanbieter-Dienste (Übersicht)

Folgende Dienste können auf turndown.de eingesetzt werden — jeweils nur nach deiner Einwilligung im Consent-Layer:

  • Google Tag Manager / Google Analytics 4 (Reichweitenmessung) — Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutz: policies.google.com/privacy
  • Google Ad Manager (Werbeauslieferung) — Google Ireland Limited.
  • MCANISM (Affiliate-Marketing) — MCANISM Technology GmbH, Paul-Dessau-Straße 1, 22761 Hamburg. Datenschutz: mcanism.com/privacy-policy
  • Cloudflare — siehe Abschnitt 3.

Die jeweils aktuell aktiven Dienste mit allen Details (Anbieter-Adresse, Zwecke, Cookies mit Speicherdauer, Datenempfänger, Drittlandtransfers) findest du im Consent-Layer unter „Einstellungen → Services".

11. Mobile Apps (TURNDOWN für iOS und Android)

Die TURNDOWN-App (Bundle-ID de.turndown.app) sendet personenbezogene Daten ausschliesslich an den Host turndown.de. Es findet keine Vermengung von Nutzerdaten mit anderen Portalen statt.

11.1 Nur auf dem Gerät gespeichert (verlassen das Gerät nicht)

Die App speichert folgende Daten lokal. Sie werden zu keinem Zeitpunkt an einen Server übermittelt:

  • Lesezeichen (Artikel-IDs + Metadaten) — AsyncStorage
  • Kategorie-Affinität (Zähler pro Kategorie) für die Reihenfolge des „Für dich"-Feeds — AsyncStorage
  • Ansichts-Modus (Karte/Liste) — AsyncStorage
  • Morgen-Briefing-Einstellungen (Uhrzeit, ein/aus) — AsyncStorage
  • Benachrichtigungs-Topics (welche Push-Themen gewählt wurden) — AsyncStorage (zusätzlich an den Server gesendet, siehe 11.2)
  • Gemerkte Suchanfragen für nicht-angemeldete Nutzer — AsyncStorage
  • Checklisten-Status interaktiver Artikel-Module — AsyncStorage, pro Artikel separat
  • Letzter Push-Token zur Identifikation am Server bei Topic-Update oder Opt-Out — AsyncStorage
  • Auth-Tokens (Access- und Refresh-Token) — iOS Keychain / Android EncryptedSharedPreferences (expo-secure-store)

Diese lokalen Daten werden beim Löschen der App automatisch entfernt.

11.2 An den Server übermittelte Daten

Nicht angemeldete Nutzer übermitteln:

  • IP-Adresse (technisch unvermeidbar), User-Agent, Tenant-Host bei jedem API-Request — Zustellung der Antwort, Server-Logging (siehe Abschnitt 4)
  • Expo-Push-Token, Plattform (ios/android), App-Version, Sprache, abonnierte Themen via POST /api/v1/devices — Push-Benachrichtigungen über neue Artikel, Breaking News, Kategorie-Updates

Der Expo-Push-Token ist anonym, der App zugeordnet und erlaubt keine Rückschlüsse auf eine Person. Er wird nach 30 Tagen Inaktivität serverseitig deaktiviert (Soft-Delete), nach weiteren 90 Tagen Hard-Delete. Widerruf jederzeit in den App-Einstellungen.

Angemeldete Nutzer übermitteln zusätzlich:

  • E-Mail, Anzeigename, Passwort (gehasht serverseitig) bei Registrierung via POST /api/v1/auth/register
  • E-Mail, Passwort beim Login via POST /api/v1/auth/login
  • Apple-Identity-Token bei „Sign in with Apple" (optional) via POST /api/v1/auth/apple — Apple übermittelt bei Erst-Login optional die E-Mail-Adresse, der Nutzer kann eine private Relay-Adresse wählen
  • Kommentar-Text + Artikel-Slug + optional Parent-Kommentar-ID via POST /api/v1/articles/:slug/comments
  • Kommentar-ID bei Like/Dislike/Meldung via Like-/Report-Endpoints
  • Job-ID via POST/DELETE /api/v1/jobs/:id/save
  • Suchanfrage-Text + Benachrichtigungs-Flag via POST /api/v1/saved-searches

Rechtsgrundlage: Kontoaktionen Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Push-Benachrichtigungen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Suchaufnahmen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

App-spezifische Speicherdauer: Push-Token: bis Widerruf oder 30 Tage Inaktivität (Soft-Delete) + 90 Tage (Hard-Delete). Account-Daten: bis Konto-Löschung. Kommentare: bis Löschung; bei Konto-Löschung Anonymisierung (Autor → „Gelöschter Nutzer").

11.3 Server-Antworten im Arbeitsspeicher

Antworten von GET-Endpoints (Artikel-Listen, Artikel-Details, Kategorien, Breaking News) werden für bis zu 60 Sekunden im Arbeitsspeicher der App gehalten. Die Daten landen nicht auf der Festplatte und werden beim Beenden der App vergessen. Authentifizierte Endpoints werden nicht gecached.

11.4 Vom Nutzer ausgelöste Übergaben an System-Apps

Folgende Aktionen lösen Standard-Systemmechanismen aus — die Daten werden vom Betriebssystem an die jeweils zuständige App übergeben, nicht von der TURNDOWN-App selbst übermittelt:

  • Tap auf E-Mail-Adresse → System-Mail-Client (mailto:) — nur die Empfänger-Adresse
  • Tap auf Telefonnummer → System-Dialer (tel:) — nur die Nummer
  • Tap auf Job-Adresse → Apple Maps / Google Maps (maps.apple.com/?q=) — Adress-Suchstring
  • Tap auf externen Link im Artikel → Standard-Browser — die jeweilige URL
  • „Als Bild teilen" auf einem Artikel → iOS / Android Share-Sheet — PNG mit Cover, Titel, Branding; Empfänger wählt der Nutzer

Diese Aktionen sind ausschliesslich nutzer-initiiert. Es findet keine automatische Übermittlung im Hintergrund statt.

11.5 Nicht erhoben

Die App erhebt explizit nicht: Kontaktdaten (Adressbuch), Kalender, Fotomediathek (ausgenommen: Ausgabe von Share-Karten in die Fotomediathek auf Wunsch des Nutzers), Standort (GPS, WLAN), Gesundheits- oder Fitness-Daten, biometrische Daten (Face-ID/Touch-ID werden systemseitig vom iPhone für Auth verwendet, verlassen das Gerät nicht), Werbe-Kennung IDFA zur personalisierten Werbung (siehe 11.6 AdMob).

11.6 Eingebundene Drittanbieter-Dienste in der App

Apple Push Notification Service (APNs) / Google Firebase Cloud Messaging (FCM)
Anbieter iOS: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA.
Anbieter Android: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland.
Zweck: Zustellung von Push-Benachrichtigungen. Auf iOS-Geräten mit gekoppelter Apple Watch wird die Benachrichtigung systemseitig auf die Uhr gespiegelt — reine iOS-System-Funktion, kein zusätzlicher Datentransfer durch unsere App.
Daten: Push-Token, Nachrichteninhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim ersten Benachrichtigungs-Dialog).
Drittlandtransfer: USA bei APNs. Apple ist unter dem EU-US Data Privacy Framework zertifiziert.

Google AdMob
Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland.
Zweck: Anzeige von Werbeanzeigen (Banner im Footer, Medium-Rectangle zwischen Artikeln).
Modus: Die App fordert ausschliesslich nicht-personalisierte Werbung (requestNonPersonalizedAdsOnly: true): keine Profil-/Interesse-/Verhaltens-basierte Personalisierung, kein Zugriff auf IDFA (AppTrackingTransparency-Prompt entfällt), Android ADID wird nicht für Profilbildung verwendet.
Verarbeitete Daten: IP-Adresse, Gerätetyp, grober Standort (Land-Ebene), Zeitpunkt der Anzeige — pseudonymisiert nach Googles „Limited Ads"-Spezifikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Monetarisierung kostenfreier Inhalte).
Drittlandtransfer: USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert.
Widerspruch: AdMob kann nicht separat deaktiviert werden — App-Deinstallation als einzige Opt-Out-Möglichkeit.

Apple Sign-In („Mit Apple anmelden")
Anbieter: Apple Inc., USA.
Zweck: Optionale Authentifizierung ohne separates Passwort.
Daten: Vom Nutzer freigegebene E-Mail-Adresse (ggf. Apple-Relay-Adresse) + Name.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) + Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittlandtransfer: USA (EU-US Data Privacy Framework).

Expo Push Notification Service (Infrastructure-Layer)
Anbieter: 650 Industries, Inc. (Expo), 100 Van Ness Ave, San Francisco, CA 94102, USA.
Zweck: Technische Infrastruktur zum Verteilen von Push-Benachrichtigungen. Wir senden Push-Nachrichten an https://exp.host/--/api/v2/push/send; Expo leitet sie an APNs/FCM weiter.
Daten: Push-Token, Nachrichteninhalt (Titel, Body, Deep-Link-Slug).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technische Zustellbarkeit).
Drittlandtransfer: USA, Auftragsverarbeitungsvertrag mit Expo besteht.

Expo Updates (OTA-Updates)
Anbieter: 650 Industries, Inc. (Expo), USA.
Zweck: JavaScript-Code-Updates ohne App-Store-Neuinstallation.
Daten: App-Version, Tenant, Runtime-Version. Keine personenbezogenen Nutzdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (zeitnahe Fehlerbehebung).
Drittlandtransfer: USA.

Apple App Store / Google Play
Download, Installation und Updates der App erfolgen über den jeweiligen Store. Dieser erhebt eigene Daten (z.B. Apple-ID, Kaufhistorie). Details in den Datenschutzerklärungen von Apple und Google.

Apple Maps (nur iOS, optional)
Anbieter: Apple Inc., USA.
Zweck: Anzeige der Adresse zu einem Job-Inserat in einer Karte, ausschliesslich auf Tap des Nutzers.
Daten: Adress-Suchstring (Strasse, PLZ, Stadt, Land) — wird über die maps.apple.com/?q=… URL ausgeliefert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Tap-Aktion).
Auf Android öffnet die gleiche URL die Karten-Web-App, hier kann der Nutzer auch eine andere installierte Karten-App wählen.

11.7 Geräte-Berechtigungen der App

Die App fragt zur Laufzeit folgende Berechtigungen an. Jede ist optional; die App funktioniert auch ohne sie, einzelne Funktionen stehen dann aber nicht bereit:

  • Benachrichtigungen — Push-Nachrichten über neue Artikel, Breaking News, Morgen-Briefing. Bei Ablehnung: keine Push-Nachrichten; Feed/Artikel funktionieren normal.
  • Kamera — Scannen von QR-Codes in Print-Magazinen, Event-Aufstellern und Hotel-Stationen (Deep-Link zum Artikel). Bei Ablehnung: QR-Scan nicht möglich; NFC-Scan geht weiter.
  • NFC Tag Reading (iOS) — Lesen von NFC-Tags an Hotel-Keycards oder Messeständen mit hinterlegter Artikel-URL. Bei Ablehnung: NFC-Scan nicht möglich.
  • Netzwerk — Kommunikation mit Portal-Host, Push-Service, AdMob. Bei Ablehnung: App funktioniert nur eingeschränkt offline (Lesezeichen bleiben lesbar, Rest benötigt Netz).

Die App fragt ausdrücklich nicht nach: Standort, Fotos, Kontakte, Kalender, Mikrofon. Face-ID/Touch-ID werden systemseitig nur intern verwendet — die App erfährt kein biometrisches Merkmal.

Stand der App-Datenschutzbestimmungen: 2026-04-26 (Version 1.2).

12. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine bei uns gespeicherten personenbezogenen Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung ("Recht auf Vergessen-werden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Widerspruch gegen Push-Benachrichtigungen der App: jederzeit in den App-Einstellungen → „Push komplett deaktivieren" oder über die iOS-/Android-Systemeinstellungen

Bitte wende dich dazu an: info@weloveurlaub.de. App-lokale Daten kannst du zusätzlich durch Deinstallation der App vollständig entfernen.

13. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 7. OG
20459 Hamburg
datenschutz-hamburg.de

14. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Du erkennst eine verschlüsselte Verbindung an „https://" in der Adresszeile deines Browsers.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets aktuellen rechtlichen Anforderungen entspricht. Für deinen erneuten Besuch gilt dann die jeweils aktuelle Version.