Holding
ZurückBack

Legal

Datenschutzerklärung

Stand: Mai 2026

Diese Datenschutzerklärung gliedert sich in zwei Teile:

  • Teil I: Datenschutz für die Websites dotmonks.com und wrappr.net
  • Teil II: Datenschutz für die mobile App „wrappr“

I. Datenschutzerklärung für die Websites dotmonks.com und wrappr.net

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Nachfolgend informieren wir Sie ausführlich darüber, welche personenbezogenen Daten wir beim Besuch unserer Websites verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht.

1. Verantwortlicher

dotmonks UG (haftungsbeschränkt)
Klörenstraße 46, 46045 Oberhausen, Deutschland
E-Mail: info@dotmonks.com
Vertretungsberechtigte Geschäftsführer: Dennis Jansen, Louis Dammeyer, Philipp Uebachs
Handelsregister: Amtsgericht Duisburg, HRB 39495

2. Datenschutzbeauftragte/r

Eine gesetzliche Pflicht zur Bestellung eines/einer Datenschutzbeauftragten besteht für uns derzeit nicht (vgl. § 38 BDSG). Bei Fragen zum Datenschutz erreichen Sie uns unter info@dotmonks.com.

3. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nur auf Basis einer der folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

  • lit. a (Einwilligung)
  • lit. b (Vertrag bzw. vorvertragliche Maßnahmen)
  • lit. c (rechtliche Verpflichtung)
  • lit. f (berechtigte Interessen)

4. Hosting und Server-Logfiles

4.1 dotmonks.com – Strato AG
Die Website dotmonks.com wird gehostet bei der Strato AG, Pascalstraße 10, 10587 Berlin, Deutschland (Serverstandort Deutschland). Mit Strato besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb der Website).

4.2 wrappr.net – Fly.io (Superfly, Inc.)
Die Website wrappr.net wird gehostet bei Superfly, Inc., 2261 Market Street #4990, San Francisco, CA 94114, USA. Mit Superfly besteht ein Auftragsverarbeitungsvertrag einschließlich EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Ergänzend wurde ein Transfer Impact Assessment durchgeführt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Datenschutzerklärung: https://fly.io/legal/privacy-policy

4.3 Server-Logfiles
Beim Aufruf unserer Websites erheben unsere Hosting-Anbieter automatisch Informationen, die Ihr Browser an den Server übermittelt. Erfasst werden insbesondere:

  • IP-Adresse (ggf. anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL
  • aufgerufene Seite/Datei und übertragene Datenmenge

Zweck: Auslieferung der Inhalte, technische Sicherheit, Fehleranalyse, Abwehr missbräuchlicher Zugriffe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: maximal 7 Tage, soweit nicht zur Aufklärung eines konkreten Vorfalls länger erforderlich.

5. Kontaktaufnahme

Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (z. B. Name, E-Mail-Adresse, Inhalt der Nachricht) zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertrag); bei reinen Auskunftsanfragen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).
Speicherdauer: bis zur abschließenden Bearbeitung Ihres Anliegens. Gesetzliche Aufbewahrungsfristen (z. B. § 257 HGB, § 147 AO) bleiben unberührt.

6. hCaptcha

Zum Schutz unserer Formulare vor automatisierten Anfragen und Spam nutzen wir hCaptcha, einen Dienst der Intuition Machines, Inc., 350 Alabama Street, San Francisco, CA 94110, USA. Dabei können u. a. IP-Adresse, Maus- und Tastatureingaben, Bildschirmauflösung, Spracheinstellungen, JavaScript-Objekte sowie Browser-Identifikatoren verarbeitet werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam- und Missbrauchsschutz); soweit eine Einwilligung erforderlich ist, Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.
Drittlandtransfer: USA, auf Basis EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Ergänzende Schutzmaßnahmen (Transfer Impact Assessment) wurden durchgeführt.
Weitere Informationen: https://www.hcaptcha.com/privacy

7. Waitlister (Wartelisten-Verwaltung)

Für die Verwaltung von Anmeldungen zu unseren Wartelisten setzen wir den Dienst Waitlister der Lemon Tree Ventures, LLC, USA, ein. Verarbeitete Daten: E-Mail-Adresse sowie ggf. weitere von Ihnen aktiv angegebene Anmeldedaten.
Zweck: Verwaltung der Warteliste, Information über Verfügbarkeit unserer Angebote.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO), z. B. per E-Mail an info@dotmonks.com.
Drittlandtransfer: USA, auf Basis EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Speicherdauer: bis zum Widerruf oder bis zur Beendigung der jeweiligen Wartelisten-Aktion.
Datenschutzerklärung: https://waitlister.me/privacy-policy

8. Cookies und vergleichbare Technologien

Unsere Websites verwenden ausschließlich technisch notwendige Cookies bzw. vergleichbare Speichertechnologien, die für den Betrieb der Website unbedingt erforderlich sind (z. B. zur Speicherung Ihrer Spracheinstellung).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG sowie Art. 6 Abs. 1 lit. f DSGVO.

Eingebundene Drittdienste (z. B. hCaptcha) können eigene technisch notwendige Speichertechnologien einsetzen. Nicht technisch notwendige Cookies werden ausschließlich nach Ihrer Einwilligung gesetzt (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).

Sie können Cookies darüber hinaus jederzeit über Ihre Browsereinstellungen verwalten, ablehnen oder löschen.

9. Datenübermittlungen in Drittländer

Soweit wir personenbezogene Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermitteln, geschieht dies auf einer der folgenden Grundlagen:

  • Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO); für die USA gilt dies, soweit der Empfänger unter dem EU-US Data Privacy Framework zertifiziert ist;
  • EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO);
  • Ihre ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO).

Wir haben für relevante Übermittlungen Transfer Impact Assessments durchgeführt und – soweit erforderlich – zusätzliche Schutzmaßnahmen (z. B. Transportverschlüsselung, Pseudonymisierung) ergriffen.

10. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet auf unseren Websites nicht statt.

11. Ihre Rechte als betroffene Person

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an info@dotmonks.com.

Hinweis auf das Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO erfolgt, Widerspruch einzulegen. Soweit eine Verarbeitung zu Zwecken der Direktwerbung erfolgt, können Sie jederzeit Widerspruch einlegen.

12. Beschwerderecht

Unbeschadet weiterer Rechtsbehelfe steht Ihnen das Recht zu, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist für uns die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf.

13. Datensicherheit

Wir setzen geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstërung oder unbefugten Zugriff zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Die Übertragung erfolgt verschlüsselt über TLS (https).

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktualisierte Datenschutzerklärung.

II. Datenschutzerklärung für die App „wrappr“

1. Verantwortlicher

dotmonks UG (haftungsbeschränkt)
Klörenstraße 46, 46045 Oberhausen, Deutschland
E-Mail: info@dotmonks.com
Vertretungsberechtigte Geschäftsführer: Dennis Jansen, Louis Dammeyer, Philipp Uebachs

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten der Nutzer nur, soweit dies zur Bereitstellung und Nutzung unserer App erforderlich ist. Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 DSGVO, insbesondere auf Basis Ihrer Einwilligung (lit. a) oder zur Vertragserfüllung (lit. b), in Einzelfällen auch zur Wahrung berechtigter Interessen (lit. f).

3. Erhobene Daten und Verwendungszwecke

3.1. Account-Daten
Sofern Sie einen Account anlegen, verarbeiten wir die hierfür erforderlichen Daten (z. B. E-Mail-Adresse, Passwort in gehashter Form, ggf. Anzeigename).
Zweck: Bereitstellung der App-Funktionen, Authentifizierung, Account-Verwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Bei Nutzung eines Single-Sign-On-Anbieters (SSO) erhalten wir die hierfür vom jeweiligen Anbieter freigegebenen Daten (insbesondere eine pseudonyme Nutzer-ID sowie – sofern von Ihnen freigegeben – E-Mail-Adresse und Name). Die Authentifizierung selbst (inkl. Passwort) erfolgt ausschließlich beim jeweiligen Anbieter; wir erhalten keine Zugangsdaten.
Eingebundene SSO-Anbieter:

  • Sign in with Apple – Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Datenschutzerklärung: https://www.apple.com/legal/privacy/
  • Sign in with Google – Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (bzw. Google LLC, USA, für Datentransfers außerhalb der EU). Drittlandtransfer: USA, EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie EU-US Data Privacy Framework (Art. 45 DSGVO). Datenschutzerklärung: https://policies.google.com/privacy
  • Amazon Cognito (AWS) – Anbieter: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg (bzw. Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109, USA, für Datentransfers außerhalb der EU). Drittlandtransfer: USA, EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie EU-US Data Privacy Framework (Art. 45 DSGVO). Datenschutzerklärung: https://aws.amazon.com/privacy/

Rechtsgrundlage für die SSO-Anmeldung: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/Vertrag); soweit zusätzliche Profilinformationen verarbeitet werden, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Freigabe im SSO-Dialog).

3.2. Standortdaten
Zur Anzeige von Restaurants in Ihrer Nähe verarbeiten wir Ihren Standort. Dieser wird nur verwendet, wenn Sie der Standortfreigabe in den Systemeinstellungen Ihres Geräts ausdrücklich zustimmen.
Zweck: Lokalisierung von Vorschlägen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.3. Geräte- und Zugriffsdaten
Beim Start der App erfassen wir technische Informationen (z. B. Gerätekennung, Betriebssystemversion, App-Version, Spracheinstellung, allgemeine Geräteklasse).
Zweck: Sicherstellung der Funktionalität, Kompatibilität, Fehleranalyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Betrieb).

3.4. Nutzungsdaten (Swipe-Verhalten, Favoriten)
Wir speichern, welche Vorschläge Sie wie bewerten (Swipe links/rechts), Favoriten sowie Gruppenentscheidungen.
Zweck: Matchmaking, Bereitstellung der Kernfunktion, Verbesserung der Nutzererfahrung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragliche Leistung).

3.5. Gruppencodes und Profile
Wenn Sie einer Gruppe beitreten, verarbeiten wir Gruppenzugehörigkeit, gewählten Namen und optional ein Profilbild.
Zweck: Verwaltung von Gruppen und Matching-Prozessen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.6. In-App-Käufe und Abonnements
Der Erwerb kostenpflichtiger Funktionen erfolgt über den Apple App Store bzw. den Google Play Store. Die Stores erheben hierfür eigenständig als jeweils Verantwortliche personenbezogene Daten (z. B. Account-Name, E-Mail-Adresse, Zahlungs- und Transaktionsdaten, Geräte-IDs). Auf diese Verarbeitung haben wir keinen Einfluss.
Verantwortlich: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland, bzw. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Zweck (bei uns): Bereitstellung kostenpflichtiger Funktionen, Verifizierung des Kauf-Status.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.7. Werbung (Google AdMob)
In der kostenfreien Version zeigen wir Werbung über Google AdMob.
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (bzw. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, für Datentransfers außerhalb der EU).
Dabei können u. a. Geräte-IDs (z. B. Werbe-ID), IP-Adresse, ungefährer Standort und Nutzungsverhalten verarbeitet werden.
Zweck: Refinanzierung der kostenfreien App-Variante.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Vor der Anzeige personalisierter Werbung holen wir Ihre Einwilligung über ein konformes Consent-Management (z. B. Google UMP / IAB TCF 2.x) ein. Unter iOS wird zusätzlich Ihre Zustimmung gemäß App Tracking Transparency (ATT) abgefragt; ohne ATT-Zustimmung erfolgt keine geräteübergreifende Werbe-ID-Verarbeitung.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft in den App-Einstellungen sowie in den Systemeinstellungen Ihres Geräts widerrufen.
Drittlandtransfer: USA, auf Basis EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO; Google LLC ist zudem unter dem EU-US Data Privacy Framework zertifiziert (Art. 45 DSGVO).
Datenschutzerklärung: https://policies.google.com/privacy

3.8. Externe APIs (z. B. Google Maps, Restaurantdatenbanken)
Wir integrieren Inhalte und Dienste von Drittanbietern, insbesondere Kartendienste und Restaurant-/Bewertungsdaten. Dabei können personenbezogene Daten (insbesondere IP-Adresse und Standortdaten) an die jeweiligen Anbieter übertragen werden.
Eingebundene Drittanbieter und Datenquellen:

  • Google Places API – Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (bzw. Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, für Datentransfers außerhalb der EU). Verarbeitet werden u. a. IP-Adresse, Standort- und Suchanfragedaten. Drittlandtransfer: USA, EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie EU-US Data Privacy Framework (Art. 45 DSGVO). Datenschutzerklärung: https://policies.google.com/privacy
  • Brave Search API – Anbieter: Brave Software, Inc., 580 Howard St #404, San Francisco, CA 94105, USA. Verarbeitet werden u. a. IP-Adresse und Suchanfragedaten. Drittlandtransfer: USA, EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Datenschutzerklärung: https://brave.com/privacy/
  • OpenStreetMap API – Anbieter: OpenStreetMap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich. Verarbeitet werden u. a. IP-Adresse und Kartenanfragedaten. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO. Datenschutzerklärung: https://osmfoundation.org/wiki/Privacy_Policy

Zweck: Anzeige von Karten, Routenberechnung, Anzeige von Restaurantinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO, soweit zur Bereitstellung der vertraglichen Funktion erforderlich.
Drittlandtransfer: USA, auf Basis EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. EU-US Data Privacy Framework (Art. 45 DSGVO).
Datenschutzerklärung Google: https://policies.google.com/privacy

3.9. Push-Benachrichtigungen
Soweit Sie Push-Benachrichtigungen aktivieren, werden Mitteilungen über die Push-Dienste von Apple (Apple Push Notification Service, APNs) bzw. Google (Firebase Cloud Messaging, FCM) zugestellt. Hierfür wird eine gerätebezogene Push-Token-Kennung verarbeitet.
Zweck: Versand technischer und/oder nutzungsbezogener Benachrichtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Systemeinstellungen Ihres Geräts). Sie können Push-Benachrichtigungen jederzeit in den Systemeinstellungen deaktivieren.

3.10. Fehler- und Absturzanalyse
Zur Stabilisierung und Verbesserung der App können bei Abstürzen oder Fehlern Diagnoseberichte (z. B. Stacktraces, Geräte- und OS-Informationen) verarbeitet werden. Sofern hierbei personenbezogene Daten anfallen, erfolgt dies auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Fehlerbehebung).
Eingesetzter Dienst: PostHog – Anbieter: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA. Mit PostHog besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO einschließlich EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Verarbeitet werden u. a. Geräte- und OS-Informationen, App-Version, Fehler- und Ereignisdaten sowie eine pseudonyme Nutzer-ID. Drittlandtransfer: USA. Datenschutzerklärung: https://posthog.com/privacy

4. Hosting der App-Backend-Dienste (Fly.io)

Anbieter: Superfly, Inc., 2261 Market Street #4990, San Francisco, CA 94114, USA.
Zweck: Hosting und Betrieb des App-Backends, Verarbeitung technischer Zugriffsdaten wie IP-Adressen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).
Drittlandtransfer: USA, auf Basis EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO inkl. SCC liegt vor; ein Transfer Impact Assessment wurde durchgeführt.
Datenschutzerklärung: https://fly.io/legal/privacy-policy

5. Weitergabe von Daten

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur, wenn:

  • Sie hierin ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO),
  • dies zur Erfüllung eines Vertrags mit Ihnen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO; z. B. App Stores, Zahlungsdienstleister),
  • eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO),
  • die Weitergabe zur Wahrung überwiegender berechtigter Interessen erforderlich ist (Art. 6 Abs. 1 lit. f DSGVO).

Mit Auftragsverarbeitern (z. B. Hosting, Crash-Analyse) haben wir Verträge gemäß Art. 28 DSGVO geschlossen.

6. Speicherdauer

Ihre Daten werden nur so lange gespeichert, wie dies zur Erfüllung des jeweiligen Zwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen. Konkret gilt insbesondere:

  • Account-Daten: bis zur Löschung des Accounts; danach werden Ihre personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Abrechnungsrelevante Daten: 6 Jahre (§ 257 HGB) bzw. 10 Jahre (§ 147 AO) ab Ende des betreffenden Kalenderjahres.
  • Server-Logfiles: maximal 7 Tage.
  • Crash- und Fehlerberichte: maximal 90 Tage.
  • Nutzungsdaten (Swipes, Favoriten, Gruppenentscheidungen): solange Ihr Account besteht bzw. solange dies für die Bereitstellung der Funktion erforderlich ist.

7. Drittlandtransfers

Soweit wir personenbezogene Daten an Empfänger in Drittländern (insb. USA) übermitteln, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) bzw. – bei zertifizierten Empfängern – auf Basis des EU-US Data Privacy Framework (Art. 45 DSGVO). Für relevante Übermittlungen wurden Transfer Impact Assessments durchgeführt.

8. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt. Soweit Vorschläge in der App personalisiert werden, geschieht dies ausschließlich auf Basis Ihrer aktiven Eingaben (z. B. Swipes, Favoriten) und entfaltet keine rechtliche oder ähnlich erhebliche Wirkung.

9. Kinder und Jugendliche

Die App richtet sich nicht an Kinder unter 16 Jahren. Personen unter 16 Jahren dürfen ohne Zustimmung der Sorgeberechtigten keine personenbezogenen Daten an uns übermitteln. Erlangen wir Kenntnis davon, dass ein Kind unter 16 Jahren Daten an uns übermittelt hat, löschen wir diese Daten unverzüglich.

10. Ihre Rechte als betroffene Person

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an info@dotmonks.com.

11. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ein, um Ihre Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schützen. Die Datenübertragung zwischen App und Backend erfolgt verschlüsselt (TLS). Passwörter werden ausschließlich in gehashter Form gespeichert.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der App oder rechtlicher Anforderungen zu aktualisieren. Die jeweils aktuelle Version ist in der App sowie unter dieser URL einsehbar.

Stand: Mai 2026

Privacy policy

Last updated: May 2026

This privacy policy is structured in two parts:

  • Part I: Privacy policy for the websites dotmonks.com and wrappr.net
  • Part II: Privacy policy for the mobile app “wrappr”

I. Privacy policy for the websites dotmonks.com and wrappr.net

We take the protection of your personal data seriously. Below we describe in detail which personal data we process when you visit our websites, for what purposes and on what legal basis.

1. Controller

dotmonks UG (haftungsbeschränkt)
Klörenstraße 46, 46045 Oberhausen, Germany
Email: info@dotmonks.com
Managing directors: Dennis Jansen, Louis Dammeyer, Philipp Uebachs
Commercial register: Amtsgericht Duisburg, HRB 39495

2. Data Protection Officer

We are currently not legally required to appoint a Data Protection Officer (cf. § 38 BDSG). For data protection questions, please contact info@dotmonks.com.

3. General information on data processing

We process personal data of our users only insofar as this is necessary to provide a functional website as well as our content and services. Processing is based on one of the following legal grounds under Art. 6 (1) GDPR:

  • (a) consent
  • (b) contract / pre-contractual measures
  • (c) legal obligation
  • (f) legitimate interests

4. Hosting and server log files

4.1 dotmonks.com – Strato AG
The website dotmonks.com is hosted by Strato AG, Pascalstraße 10, 10587 Berlin, Germany (server location: Germany). A data processing agreement under Art. 28 GDPR is in place with Strato.
Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in secure and stable operation of the website).

4.2 wrappr.net – Fly.io (Superfly, Inc.)
The website wrappr.net is hosted by Superfly, Inc., 2261 Market Street #4990, San Francisco, CA 94114, USA. A data processing agreement including EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR is in place with Superfly. A Transfer Impact Assessment has been conducted.
Legal basis: Art. 6 (1) (f) GDPR.
Privacy policy: https://fly.io/legal/privacy-policy

4.3 Server log files
When you access our websites, our hosting providers automatically collect information transmitted by your browser to the server, including:

  • IP address (anonymized where possible)
  • Date and time of the request
  • Browser type and version
  • Operating system
  • Referrer URL
  • Page/file accessed and amount of data transferred

Purpose: Delivery of content, technical security, error analysis, prevention of abusive access.
Legal basis: Art. 6 (1) (f) GDPR.
Retention: maximum of 7 days unless required longer for the investigation of a specific incident.

5. Contact

If you contact us by email or via a contact form, we process the information you provide (e.g. name, email address, content of the message) to process your inquiry.
Legal basis: Art. 6 (1) (b) GDPR (pre-contractual measures / contract); for pure information requests, Art. 6 (1) (f) GDPR (legitimate interest in responding).
Retention: until your request has been fully handled. Statutory retention obligations (e.g. § 257 HGB, § 147 AO) remain unaffected.

6. hCaptcha

To protect our forms against automated requests and spam, we use hCaptcha, a service of Intuition Machines, Inc., 350 Alabama Street, San Francisco, CA 94110, USA. This may involve processing IP address, mouse and keyboard inputs, screen resolution, language settings, JavaScript objects and browser identifiers.
Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in spam and abuse prevention); where consent is required, Art. 6 (1) (a) GDPR in conjunction with § 25 (1) TDDDG.
Third-country transfer: USA, on the basis of EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR. Supplementary safeguards (Transfer Impact Assessment) have been implemented.
Further information: https://www.hcaptcha.com/privacy

7. Waitlister (waitlist management)

For the management of waitlist sign-ups, we use the service Waitlister provided by Lemon Tree Ventures, LLC, USA. Data processed: email address and any further registration data you actively provide.
Purpose: managing the waitlist, informing you about the availability of our offerings.
Legal basis: Art. 6 (1) (a) GDPR (consent). You may withdraw your consent at any time with effect for the future (Art. 7 (3) GDPR), e.g. by sending an email to info@dotmonks.com.
Third-country transfer: USA, on the basis of EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR.
Retention: until withdrawal of consent or until the end of the respective waitlist campaign.
Privacy policy: https://waitlister.me/privacy-policy

8. Cookies and similar technologies

Our websites use only strictly necessary cookies or comparable storage technologies that are essential for the operation of the website (e.g. storing your language preference).
Legal basis: § 25 (2) (2) TDDDG and Art. 6 (1) (f) GDPR.

Embedded third-party services (e.g. hCaptcha) may use their own strictly necessary storage technologies. Non-essential cookies are only set after your consent (§ 25 (1) TDDDG, Art. 6 (1) (a) GDPR).

You can also manage, reject or delete cookies at any time via your browser settings.

9. International data transfers

Where we transfer personal data to countries outside the European Union or European Economic Area, this is done on one of the following bases:

  • Adequacy decision of the European Commission (Art. 45 GDPR); for the USA this applies insofar as the recipient is certified under the EU-US Data Privacy Framework;
  • EU Standard Contractual Clauses (Art. 46 (2) (c) GDPR);
  • Your explicit consent (Art. 49 (1) (a) GDPR).

We have conducted Transfer Impact Assessments for relevant transfers and — where required — implemented additional safeguards (e.g. transport encryption, pseudonymisation).

10. Automated decision-making / profiling

Automated decision-making, including profiling within the meaning of Art. 22 GDPR, does not take place on our websites.

11. Your rights as a data subject

  • Access to your stored data (Art. 15 GDPR)
  • Rectification of inaccurate data (Art. 16 GDPR)
  • Erasure of your data (Art. 17 GDPR)
  • Restriction of processing (Art. 18 GDPR)
  • Data portability (Art. 20 GDPR)
  • Withdrawal of consent with effect for the future (Art. 7 (3) GDPR)
  • Objection to processing (Art. 21 GDPR)

To exercise your rights, please contact info@dotmonks.com.

Note on the right to object (Art. 21 GDPR): You have the right to object at any time, on grounds relating to your particular situation, to processing of personal data concerning you which is based on Art. 6 (1) (e) or (f) GDPR. Where processing is for direct marketing purposes, you may object at any time.

12. Right to lodge a complaint

Without prejudice to any other remedy, you have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR). The competent authority for us is the Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf, Germany.

13. Data security

We implement appropriate technical and organisational security measures in accordance with Art. 32 GDPR to protect your data against accidental or intentional manipulation, loss, destruction or unauthorised access. Our security measures are continually improved in line with technological developments. Transmission is encrypted via TLS (https).

14. Changes to this privacy policy

We reserve the right to amend this privacy policy in order to comply with current legal requirements or to reflect changes to our services. The updated privacy policy will apply on your next visit.

II. Privacy policy for the app “wrappr”

1. Controller

dotmonks UG (haftungsbeschränkt)
Klörenstraße 46, 46045 Oberhausen, Germany
Email: info@dotmonks.com
Managing directors: Dennis Jansen, Louis Dammeyer, Philipp Uebachs

2. General information on data processing

We process users’ personal data only insofar as this is necessary for the provision and use of our App. Processing is carried out in accordance with Art. 6 (1) GDPR, in particular based on your consent (a) or for the performance of a contract (b), and in individual cases on the basis of legitimate interests (f).

3. Data collected and purposes of use

3.1. Account data
If you create an account, we process the data required for this (e.g. email address, password in hashed form, optional display name).
Purpose: provision of app functions, authentication, account management.
Legal basis: Art. 6 (1) (b) GDPR.

If you use a single sign-on (SSO) provider, we receive the data released for this purpose by the respective provider (in particular a pseudonymous user ID and — if released by you — email address and name). Authentication itself (including password) is carried out exclusively by the respective provider; we do not receive credentials.
Integrated SSO providers:

  • Sign in with Apple — Provider: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Ireland. Privacy policy: https://www.apple.com/legal/privacy/
  • Sign in with Google — Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (and Google LLC, USA, for transfers outside the EU). Third-country transfer: USA, EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR and EU-US Data Privacy Framework (Art. 45 GDPR). Privacy policy: https://policies.google.com/privacy
  • Amazon Cognito (AWS) — Provider: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (and Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109, USA, for transfers outside the EU). Third-country transfer: USA, EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR and EU-US Data Privacy Framework (Art. 45 GDPR). Privacy policy: https://aws.amazon.com/privacy/

Legal basis for SSO sign-in: Art. 6 (1) (b) GDPR (pre-contractual / contract); insofar as additional profile information is processed, Art. 6 (1) (a) GDPR (consent through the release in the SSO dialog).

3.2. Location data
To display restaurants near you, we process your location. This is only used if you explicitly consent in your device’s system settings.
Purpose: localisation of suggestions.
Legal basis: Art. 6 (1) (a) GDPR (consent).

3.3. Device and access data
When the App is started, we collect technical information (e.g. device identifier, operating system version, app version, language setting, general device class).
Purpose: ensuring functionality, compatibility, error analysis.
Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in stable operation).

3.4. Usage data (swipe behaviour, favourites)
We store how you rate suggestions (swipe left/right), your favourites and group decisions.
Purpose: matchmaking, provision of core functionality, improving user experience.
Legal basis: Art. 6 (1) (b) GDPR (contractual performance).

3.5. Group codes and profiles
When you join a group, we process group membership, chosen name and optionally a profile picture.
Purpose: managing groups and matching processes.
Legal basis: Art. 6 (1) (b) GDPR.

3.6. In-app purchases and subscriptions
The purchase of paid features is carried out via the Apple App Store and Google Play Store. The stores collect personal data in this context as separate controllers (e.g. account name, email address, payment and transaction data, device IDs). We have no influence on this processing.
Controllers: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Ireland; Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Purpose (for us): provision of paid features, verification of purchase status.
Legal basis: Art. 6 (1) (b) GDPR.

3.7. Advertising (Google AdMob)
In the free version, we display advertising via Google AdMob.
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (and Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, for transfers outside the EU).
Data processed may include device IDs (e.g. advertising ID), IP address, approximate location and usage behaviour.
Purpose: financing the free version of the App.
Legal basis: Art. 6 (1) (a) GDPR (consent). Before showing personalised advertising, we obtain your consent via a compliant consent management mechanism (e.g. Google UMP / IAB TCF 2.x). On iOS, we additionally request your permission via App Tracking Transparency (ATT); without ATT permission, no cross-device advertising-ID processing takes place.
You can withdraw your consent at any time with effect for the future via the in-app settings and your device’s system settings.
Third-country transfer: USA, on the basis of EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR; Google LLC is additionally certified under the EU-US Data Privacy Framework (Art. 45 GDPR).
Privacy policy: https://policies.google.com/privacy

3.8. External APIs (e.g. Google Maps, restaurant databases)
We integrate content and services from third-party providers, in particular map services and restaurant/review data. In this context, personal data (in particular IP address and location data) may be transmitted to the respective providers.
Integrated third-party providers and data sources:

  • Google Places API — Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (and Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, for transfers outside the EU). Data processed includes IP address, location and search query data. Third-country transfer: USA, EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR and EU-US Data Privacy Framework (Art. 45 GDPR). Privacy policy: https://policies.google.com/privacy
  • Brave Search API — Provider: Brave Software, Inc., 580 Howard St #404, San Francisco, CA 94105, USA. Data processed includes IP address and search query data. Third-country transfer: USA, EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR. Privacy policy: https://brave.com/privacy/
  • OpenStreetMap API — Provider: OpenStreetMap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, United Kingdom. Data processed includes IP address and map request data. For the United Kingdom, an adequacy decision of the European Commission pursuant to Art. 45 GDPR is in place. Privacy policy: https://osmfoundation.org/wiki/Privacy_Policy

Purpose: display of maps, route calculation, display of restaurant information.
Legal basis: Art. 6 (1) (a) GDPR (consent) or Art. 6 (1) (b) GDPR where required for the provision of contractual functionality.
Third-country transfer: USA, on the basis of EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR and/or EU-US Data Privacy Framework (Art. 45 GDPR).
Google privacy policy: https://policies.google.com/privacy

3.9. Push notifications
If you enable push notifications, notifications are delivered via the push services of Apple (Apple Push Notification Service, APNs) and Google (Firebase Cloud Messaging, FCM). A device-specific push token identifier is processed for this purpose.
Purpose: sending technical and/or usage-related notifications.
Legal basis: Art. 6 (1) (a) GDPR (consent via your device’s system settings). You can deactivate push notifications at any time in your device’s system settings.

3.10. Crash and error analysis
To stabilise and improve the App, diagnostic reports (e.g. stack traces, device and OS information) may be processed in the event of crashes or errors. Where personal data is involved, processing is based on Art. 6 (1) (f) GDPR (legitimate interest in error correction).
Service used: PostHog — Provider: PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA. A data processing agreement under Art. 28 GDPR including EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR is in place with PostHog. Data processed includes device and OS information, app version, error and event data as well as a pseudonymous user ID. Third-country transfer: USA. Privacy policy: https://posthog.com/privacy

4. Hosting of app backend services (Fly.io)

Provider: Superfly, Inc., 2261 Market Street #4990, San Francisco, CA 94114, USA.
Purpose: hosting and operation of the app backend, processing of technical access data such as IP addresses.
Legal basis: Art. 6 (1) (f) GDPR (legitimate interest in secure and stable operations).
Third-country transfer: USA, on the basis of EU Standard Contractual Clauses pursuant to Art. 46 (2) (c) GDPR. A data processing agreement under Art. 28 GDPR including SCCs is in place; a Transfer Impact Assessment has been conducted.
Privacy policy: https://fly.io/legal/privacy-policy

5. Disclosure of data

We only disclose your personal data to third parties if:

  • you have explicitly consented (Art. 6 (1) (a) GDPR),
  • this is necessary for the performance of a contract with you (Art. 6 (1) (b) GDPR; e.g. app stores, payment service providers),
  • there is a legal obligation (Art. 6 (1) (c) GDPR),
  • disclosure is necessary to safeguard overriding legitimate interests (Art. 6 (1) (f) GDPR).

We have entered into data processing agreements pursuant to Art. 28 GDPR with our processors (e.g. hosting, crash analysis).

6. Storage duration

Your data is stored only for as long as necessary to fulfil the respective purpose or as required by statutory retention obligations. In particular:

  • Account data: until deletion of the account; thereafter, your personal data will be deleted within 30 days, unless statutory retention obligations require otherwise.
  • Accounting-relevant data: 6 years (§ 257 HGB) or 10 years (§ 147 AO) from the end of the relevant calendar year.
  • Server log files: maximum of 7 days.
  • Crash and error reports: maximum of 90 days.
  • Usage data (swipes, favourites, group decisions): for the duration of your account or as long as required for the provision of the function.

7. International data transfers

Where we transfer personal data to recipients in third countries (in particular the USA), this is done on the basis of appropriate safeguards under Art. 46 GDPR (in particular EU Standard Contractual Clauses) or — for certified recipients — on the basis of the EU-US Data Privacy Framework (Art. 45 GDPR). Transfer Impact Assessments have been conducted for relevant transfers.

8. Automated decision-making / profiling

Automated decision-making within the meaning of Art. 22 GDPR does not take place. Where suggestions in the app are personalised, this is done exclusively on the basis of your active inputs (e.g. swipes, favourites) and produces no legal or similarly significant effect.

9. Children and minors

The app is not directed at children under the age of 16. Persons under 16 may not transmit personal data to us without the consent of their legal guardians. If we become aware that a child under 16 has transmitted data to us, we will delete it without undue delay.

10. Your rights as a data subject

  • Obtain information about your stored data (Art. 15 GDPR)
  • Request correction of inaccurate data (Art. 16 GDPR)
  • Request deletion of your data (Art. 17 GDPR)
  • Request restriction of processing (Art. 18 GDPR)
  • Data portability (Art. 20 GDPR)
  • Withdraw consent (Art. 7 (3) GDPR)
  • Object to processing (Art. 21 GDPR)
  • Lodge a complaint with a supervisory authority (Art. 77 GDPR)

To exercise your rights, please contact info@dotmonks.com.

11. Data security

We implement technical and organisational security measures in accordance with Art. 32 GDPR to protect your data against loss, manipulation or unauthorised access. Data transmission between the app and the backend is encrypted (TLS). Passwords are stored exclusively in hashed form.

12. Changes to this privacy policy

We reserve the right to update this privacy policy in the event of changes to the App or legal requirements. The current version is always available in the App and at this URL.

Last updated: May 2026