Datenschutzerklärung

Datenschutzinformation der SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H.

Inhaltsübersicht:

Überblick
Name und Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten
Datenverarbeitungen im Einzelnen
Empfänger außerhalb der EU
Datensicherheit
Speicherdauer und Löschung
Cookies und Consent-Management
Ihre Rechte als betroffene Person

1. Überblick

Die folgenden Datenschutzhinweise informieren Sie über Art und Umfang der Verarbeitung personenbezogener Daten durch die SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H.. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, also z. B. Name, Adresse, E-Mail-Adresse oder Nutzerverhalten.

Die Datenverarbeitung durch die SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H. lässt sich hauptsächlich in folgende Kategorien einteilen:

Vertragsabwicklung: Zum Zwecke der Bestell- und Vertragsabwicklung verarbeiten wir alle Daten, die für den Abschluss und die Durchführung von Kaufverträgen in unserem Online-Shop erforderlich sind. Wenn wir für die Vertragsdurchführung externe Dienstleister einsetzen (z. B. Logistikunternehmen für den Versand oder Zahlungsdienstleister), geben wir die erforderlichen Daten in dem jeweils erforderlichen Umfang an diese weiter. Details dazu finden Sie weiter unten bei den jeweiligen Verarbeitungstätigkeiten.
Werbliche Ansprache: Die im Rahmen einer Bestellung erhobenen Daten verwenden wir – neben der Vertragsabwicklung – auch, um Kunden gelegentlich über neue Angebote und Aktionen zu informieren. Unter bestimmten Voraussetzungen nutzen wir dafür Ihre postalischen Kontaktdaten oder Ihre E-Mail-Adresse für Werbung für ähnliche Produkte, soweit dies gesetzlich zulässig ist. Sie haben selbstverständlich jederzeit die Möglichkeit, einer solchen werblichen Verwendung Ihrer Daten zu widersprechen oder eine erteilte Einwilligung zu widerrufen (siehe unten Abschnitt 8.2 Widerspruchsrecht).
Website-Besuch und Online-Services: Beim Besuch unserer Website werden verschiedene Informationen zwischen Ihrem Endgerät und unserem Server ausgetauscht. Darunter können auch personenbezogene Daten fallen. Die so erhobenen Informationen nutzen wir unter anderem, um die Website optimiert darzustellen oder um z. B. den Warenkorb-Funktionsumfang und andere Shop-Funktionen bereitzustellen. Darüber hinaus setzen wir – nach Ihrer Einwilligung – auch Analyse- und Tracking-Technologien ein, um die Nutzung unserer Website auszuwerten und unser Angebot sowie Werbung zu optimieren. Details hierzu finden Sie unten in Abschnitt 8. Cookies und Consent-Management.

Den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechend stehen Ihnen verschiedene Rechte zu, etwa das Recht auf Widerspruch gegen bestimmte Datenverarbeitungen (insbesondere gegen Verarbeitung zu Werbezwecken). Die Möglichkeiten zum Widerspruch bzw. zum Widerruf von Einwilligungen sind unten jeweils hervorgehoben dargestellt.

Sollten Sie Fragen zu einzelnen Datenverarbeitungen oder zu unseren Datenschutzhinweisen insgesamt haben, können Sie sich jederzeit gern an unseren Datenschutzbeauftragten wenden. Die Kontaktdaten finden Sie im nächsten Abschnitt.

2. Name und Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten

Diese Datenschutzinformation gilt für die Datenverarbeitung durch die

SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H.
Peak Vienna
Floridsdorfer Hauptstraße 1 / 26. Stock
A-1210 Wien

– im Folgenden „Verantwortlicher“ oder „wir“ genannt. Die SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H. ist Vertragspartner für Einkäufe in diesem Online-Shop.

Für die genannten Webseiten bzw. Online-Angebote der SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H. (etwa unser Shop unter shop.sigvaris.com) ist die SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H. die verantwortliche Stelle. Der/die betriebliche Datenschutzbeauftragte der SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H. ist unter der o.g. Anschrift (Stichwort: Datenschutz) bzw. per E-Mail unter support.at@sigvaris.com erreichbar.

3. Datenverarbeitungen im Einzelnen

Im Folgenden erläutern wir Ihnen konkret, welche personenbezogenen Daten wir bei der Nutzung unserer Website, unseres Online-Shops und der angebotenen Funktionen verarbeiten. Wir geben jeweils den Zweck und die Rechtsgrundlage der Verarbeitung an, nennen relevante Datenkategorien und informieren über die Empfänger Ihrer Daten sowie ggf. Drittlandtransfers. Soweit die Datenherkunft nicht bei Ihnen selbst liegt, wird dies ebenfalls erwähnt.

3.1 Aufruf unserer Webseite

Beim Aufruf unserer Website zur rein informatorischen Nutzung werden durch den auf Ihrem Endgerät verwendeten Browser automatisch bestimmte Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert. Dabei werden ohne Ihr Zutun folgende Informationen erfasst und bis zur automatisierten Löschung gespeichert:

IP-Adresse des anfragenden Geräts,
Datum und Uhrzeit des Zugriffs,
Name und URL der abgerufenen Datei,
die Webseite, von der aus der Zugriff erfolgte (Referrer-URL),
der von Ihnen verwendete Browser und das Betriebssystem Ihres Endgeräts,
der Name Ihres Zugangsproviders.

Diese Datenverarbeitung erfolgt, um den Verbindungsaufbau der Website zu ermöglichen und die Systemsicherheit zu gewährleisten. Rechtsgrundlage für die vorübergehende Speicherung der IP-Adresse und der Logdaten ist § 25 Abs. 2 TDDDG Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den genannten Zwecken (Gewährleistung eines reibungslosen Verbindungsaufbaus sowie der Stabilität und Sicherheit der Website). Wir können aus den erhobenen Log-Daten keine unmittelbaren Rückschlüsse auf Ihre Identität ziehen.

Die Logdaten werden nur so lange aufbewahrt, wie sie zur Gewährleistung der Sicherheit und Funktionsfähigkeit der Website sowie zur Erfüllung gesetzlicher Vorgaben erforderlich sind.und anschließend nach Wegfall des Speicherzwecks automatisch gelöscht.

Hinweis zu Cookies und Tracking-Tools: Beim Besuch unserer Website werden Cookies und ähnliche Technologien eingesetzt, die teils für den technischen Betrieb der Seite notwendig sind und teils zur Analyse und Werbung dienen. Details zu den dabei eingesetzten Cookies/Tools, deren Funktion sowie der Dauer der Speicherung und der Rechtsgrundlage (einschließlich Einwilligungen nach dem TDDDG) finden Sie unten in Abschnitt 7. Cookies und Consent-Management. Dort können Sie auch Ihre Cookie-Einstellungen jederzeit anpassen.

Sofern Sie in Ihrem Browser oder Betriebssystem die Geolokalisierung aktiviert haben und in diese eingewilligt haben, nutzen wir ggf. diese Funktion, um Ihnen standortbezogene Services anzubieten (z. B. Anzeige der nächstgelegenen Filiale). Ihre Standortdaten verwenden wir ausschließlich für diese Zwecke. Nach Beendigung der Nutzung wird die Standortverarbeitung beendet und die Daten werden gelöscht. (Derzeit setzen wir Geolokalisierung nicht ein; dieser Hinweis dient nur der Vollständigkeit.)

3.2 Nutzung eines Kundenkontos

Um Ihnen ein komfortables Einkaufserlebnis zu ermöglichen, bieten wir die freiwillige Einrichtung eines persönlichen Kundenkontos an. In diesem passwortgeschützten Konto können Ihre Daten dauerhaft hinterlegt werden, sodass Sie sie nicht bei jeder Bestellung neu eingeben müssen. Die Registrierung und Nutzung des Kundenkontos erfolgt auf Ihrer freiwilligen Basis. Rechtsgrundlage für die hierfür erforderliche Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie uns durch die Registrierung erteilen.

Für die Einrichtung eines Kundenkontos benötigen wir mindestens folgende Angaben von Ihnen: Vorname, Nachname, E-Mail-Adresse. Zusätzlich müssen Sie ein selbstgewähltes Passwort festlegen. Dieses Passwort verwenden Sie zusammen mit Ihrer E-Mail-Adresse für den zukünftigen Login. Bitte behandeln Sie Ihre Zugangsdaten vertraulich und geben Sie das Passwort nicht an unbefugte Dritte weiter. Wir übernehmen keine Haftung für missbräuchlich verwendete Passwörter, außer wir hätten den Missbrauch zu vertreten.

Wenn Sie in Ihrem Kundenkonto eingeloggt bleiben (z. B. durch Aktivierung der Funktion „eingeloggt bleiben“), bleiben Sie auch nach Verlassen unserer Website angemeldet, bis Sie sich aktiv ausloggen oder die Session abläuft. Bitte beachten Sie, dass das Löschen Ihres Kundenkontos (was Sie jederzeit selbst veranlassen können) nicht automatisch zur Löschung aller in Ihrem Kundenkonto einsehbaren Daten führt. Die für Bestellungen erforderlichen Daten bleiben ggf. gemäß den unten genannten Fristen gespeichert (siehe dazu Abschnitt 6. Speicherdauer und Löschung).

Unser Online-Shop wird auf der Plattform Shopify Plus der Shopify International Ltd. (Victoria Buildings, 2. Etage1-2 Haddington Road, Irland; nachfolgend „Shopify“) betrieben. Die Registrierung und Verwaltung Ihres Kundenkontos erfolgt daher technisch über Shopify. Shopify fungiert als Auftragsverarbeiter für uns. Ihre im Rahmen des Kundenkontos erhobenen Daten werden in den Shopify-Datenbanken gespeichert. Shopify verarbeitet die Daten zunächst innerhalb der EU. Eine Übermittlung an weitere Shopify-Konzerngesellschaften außerhalb der EU kann nicht ausgeschlossen werden (Details dazu unten in Abschnitt 4 Empfänger außerhalb der EU).

3.3 Bestellabwicklung im Online-Shop

Der Geschäftszweck der SIGVARIS, medizinische Kompressionsstrümpfe Gesellschaft m.b.H. ist der Versandhandel (Fernabsatz) von Waren, darunter auch medizinische Produkte, über unseren Online-Shop. Im Rahmen Ihrer Bestellung verarbeiten wir unter anderem folgende personenbezogenen Daten: Vorname, Nachname, Rechnungsanschrift, Lieferanschrift, E-Mail-Adresse, Telefonnummer (falls für Abstimmungen nötig), bestellte Produkte, Rechnungs- und Zahlungsinformationen. Gegebenenfalls verarbeiten wir auch Ihr Geburtsdatum, falls für bestimmte Produkte eine Altersprüfung erforderlich ist.

Ohne diese Daten können wir den Vertrag nicht abschließen oder abwickeln. Darüber hinaus sind wir gesetzlich verpflichtet, bestimmten Transaktionen eine elektronische Bestellbestätigung per E-Mail folgen zu lassen; hierfür stützen wir uns zusätzlich auf Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung in Verbindung mit §312i Abs.1 Nr.3 BGB).

Wir verarbeiten diese Daten zum Zweck der Vertragsabwicklung – also insbesondere zur Lieferung der Waren und zur Abwicklung der Zahlung. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags). Die Bereitstellung dieser Daten ist für den Kauf erforderlich; ohne diese Angaben können wir Ihre Bestellung nicht ausführen. Zur Zustellung und Zahlungsabwicklung kann es notwendig sein, Ihre Daten an beauftragte Versandunternehmen und Zahlungsdienstleister weiterzugeben. Diese erhalten jedoch nur die jeweils erforderlichen Informationen. Wir speichern Ihre Bestelldaten nur so lange, wie es für die Abwicklung des Vertrags und zur Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. nach Handels- und Steuerrecht) nötig ist. Nach Wegfall der Zwecke und Ablauf aller gesetzlichen Fristen werden die Daten gelöscht.

Wir möchten ausdrücklich klarstellen, dass wir in diesem Zusammenhang keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeiten – insbesondere erfassen wir keine Gesundheitsdaten im engeren Sinne (wie etwa Diagnosen oder Rezeptinformationen). Die besondere Sensibilität Ihrer Bestelldaten ergibt sich ausschließlich daraus, dass man aus bestimmten von Ihnen bestellten medizinischen Produkten möglicherweise Rückschlüsse auf Ihren Gesundheitszustand ziehen könnte. Wir sind uns dieser Sensibilität bewusst und behandeln alle entsprechenden Informationen mit besonderer Vertraulichkeit. Ihre Bestelldaten verwenden wir strikt nur zur Durchführung des Vertrags und nicht für andere Zwecke. Die Weitergabe an Versand- und Zahlungsdienstleister erfolgt zudem in pseudonymisierter Form, sodass diese aus den übermittelten Daten keine Rückschlüsse auf die konkreten von Ihnen bestellten Produkte ziehen können. Damit stellen wir sicher, dass die Verarbeitung Ihrer Daten ausschließlich im erforderlichen Umfang zur Vertragsdurchführung erfolgt. Bei bestimmten Zahlungsarten — insbesondere bei der Zahlung auf Rechnung über Klarna — werden im Rahmen des Abrechnungsprozesses auch Produktbezeichnungen und damit verbundene Bestelldaten an Klarna übermittelt, um die Zahlungsabwicklung zu ermöglichen.

Weitergabe von Daten zur Vertragsabwicklung:

ERP-System (Warenwirtschaft): Wir nutzen zur Auftragsverwaltung das System Microsoft Dynamics 365 (D365). Ihre Bestelldaten (inkl. Personenstammdaten, Bestellung und Rechnungsdaten) werden in D365 erfasst und zur Abwicklung Ihrer Bestellung verarbeitet. Microsoft verarbeitet diese Daten in unserem Auftrag. Soweit Microsoft oder verbundene Unternehmen dabei außerhalb der EU (z. B. in den USA) tätig werden, stellen wir geeignete Datenschutzgarantien sicher (z. B. EU-Standardvertragsklauseln).
Rechnungsstellung und -versand: Die Erstellung Ihrer Rechnung erfolgt ebenfalls in D365. Der Versand der Rechnung an Sie erfolgt per E-Mail über ein integriertes Tool namens Lasernet. Hierbei verwenden wir Ihre E-Mail-Adresse, um Ihnen die Rechnung im PDF-Format zuzuschicken. Lasernet ist ein Dienst zur Dokumentenverwaltung und -übermittlung, der in D365 eingebunden ist. Die E-Mail wird über unseren Mailserver bzw. über von Microsoft bereitgestellte E-Mail-Dienste verschickt. Empfänger Ihrer Rechnungsdaten sind daher unser E-Mail-Provider bzw. Microsoft als Betreiber des Systems. Die Rechtsgrundlage für den Rechnungsversand per E-Mail ist wiederum Art. 6 Abs. 1 lit. b und c DSGVO in Verbindung mit § 14 Abs. 1 UStG (gesetzliche Pflicht zur Rechnungsstellung, wobei elektronische Übermittlung mit Ihrer Bestellung einhergeht).
Weitere Empfänger innerhalb der Bestellabwicklung: Je nach der von Ihnen gewählten Zahlungsart und den Versandoptionen geben wir bestimmte Daten an spezialisierte Dienstleister weiter (siehe hierzu die folgenden Abschnitte 3.4 Zahlungsabwicklung und 3.5 Versand).

Nach vollständiger Vertragsdurchführung (d.h. Lieferung der Ware und vollständige Zahlung) werden die für die Bestellabwicklung erhobenen Daten zunächst gesperrt und nach Ablauf etwaiger gesetzlicher Gewährleistungs- und Garantiefisten gelöscht. Gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Aufbewahrung von Rechnungen) bleiben unberührt – siehe hierzu ausführlich Abschnitt 6. Speicherdauer und Löschung.

3.4 Zahlungsabwicklung

Im Rahmen der Bestellabwicklung setzen wir den Zahlungsdienst Shopify Payments ein. Shopify Payments ist ein integrierter Zahlungsdienst, der verschiedene Zahlungsarten (z. B. Kreditkarte, Lastschrift, Sofortüberweisung, Express-Zahlungen und Kauf auf Rechnung) technisch bereitstellt und abwickelt. Dabei verarbeitet Shopify als Auftragsverarbeiter die für den Zahlungsprozess erforderlichen Daten in unserem Auftrag. Die Verarbeitung erfolgt zum Zweck der Zahlungsabwicklung, zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten (z. B. steuerrechtliche Aufbewahrungspflichten) sowie zur Betrugsprävention und IT-Sicherheit. Rechtsgrundlagen der Verarbeitung sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesse an einer sicheren und effizienten Zahlungsabwicklung. Weitere Informationen zu Shopify finden Sie unter https://www.shopify.com/legal/privacy.

Keine Bonitätsprüfung im Standardfall: Bei reinem Verkauf gegen Vorkasse, Sofortzahlung oder Kreditkarte führen wir keine eigenständige Bonitätsprüfung durch. Ihre Zahlungsfähigkeit wird im Rahmen der Transaktion vom Zahlungsdienstleister (z. B. dem Kartenanbieter) beurteilt. Sollten wir in Zukunft Zahlungsarten mit Kreditrisiko anbieten (z. B. Rechnungskauf für Privatkunden), würden wir Sie hierüber gesondert informieren und ggf. eine Bonitätsauskunft einholen – dies ist derzeit nicht vorgesehen.

3.4.1 Express-Checkouts

Wenn Sie im Bestellprozess die Funktion „Express Checkout“ verwenden, erfolgt eine automatische Weiterleitung an den jeweiligen Zahlungsdienstleister, der dabei datenschutzrechtlich eigenständig verantwortlich ist. Die folgenden Anbieter Shop Pay, PayPal, Google Pay und Apple Pay sind eingebunden:

Shop Pay

Anbieter: Shopify International Ltd., Irland

Zweck: Bequemes Bezahlen mit gespeicherten Zahlungsdaten

Datenschutzhinweis: https://www.shopify.com/legal/privacy

PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg

Zweck: Abwicklung der Zahlung über PayPal-Konto oder Kreditkarte

Datenschutzhinweis: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Google Pay

Anbieter: Google Ireland Limited, Irland

Zweck: Zahlung über gespeichertes Google-Konto-Zahlungsmittel

Datenschutzhinweis: https://policies.google.com/privacy

Apple Pay

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA, 95014, USA

Zweck: Zahlung über gespeichertes Apple-Pay-Konto-Zahlungsmittel

Datenschutzhinweise: https://www.apple.com/de/privacy/

3.4.2 Kauf auf Rechnung mit Klarna

Zudem bieten wir die Option „Rechnung mit Klarna“ an. Diese wird ebenfalls über Shopify Payments technisch eingebunden. Klarna ist ein Zahlungsdienst der Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden. Wenn Sie sich für eine Klarna-Zahlungsoption entscheiden, erfolgt eine Weiterleitung an Klarna, das die Bonitätsprüfung sowie die Zahlungsabwicklung übernimmt. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit Klarna eine Bonitätsprüfung vornimmt, ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO aufgrund des berechtigten Interesse von Klarna an der Feststellung der Zahlungsfähigkeit. Weitere Informationen erhalten Sie in der Datenschutzinformation von Klarna unter https://www.klarna.com/de/datenschutz/.

Bitte beachten Sie: Wenn Sie einen externen Zahlungsanbieter auswählen, gelten die dortigen Datenschutzbestimmungen. Wir erhalten in diesen Fällen lediglich Informationen zum Zahlstatus (z. B. erfolgreich, fehlgeschlagen, storniert), nicht jedoch vollständige Zahlungsdaten.

Die Angabe Ihrer Zahlungsdaten ist für die Durchführung des Vertragsabschlusses erforderlich. Ohne diese Daten kann keine Bestellung durchgeführt werden. Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet im Rahmen der Zahlungsabwicklung nicht statt.

3.5 Versand und Lieferung

Zum Zweck der Lieferung bestellter Waren arbeiten wir mit Logistikpartnern zusammen. Für den Versand Ihrer Bestellung geben wir Ihre Lieferanschrift sowie ggf. Ihre E-Mail-Adresse und Telefonnummer an das beauftragte Logistikunternehmen weiter. Diese Weitergabe erfolgt ausschließlich zur Zustellung der Ware und zur eventuellen Lieferbenachrichtigung oder Abstimmung eines Liefertermins. Rechtsgrundlage der Datenweitergabe ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Kaufvertrages).

Wir versenden Pakete in der Regel mit GLS (General Logistics Systems Germany GmbH & Co. OHG; GLS Germany-Straße 1 – 7; 36286 Neuenstein). Für Retouren kann DHL (DHL Paket GmbH, Sträßchensweg 10; 53113 Bonn) zum Einsatz kommen. GLS erhält von uns die erforderlichen Versanddaten (Name, Anschrift, ggf. E-Mail/Telefon für Benachrichtigungen). Sofern Sie im Bestellprozess eingewilligt haben, übermitteln wir Ihre E-Mail-Adresse und ggf. Telefonnummer an GLS, damit Sie Statusbenachrichtigungen und Tracking-Informationen zu Ihrer Lieferung erhalten können. Diese Einwilligung können Sie jederzeit für zukünftige Sendungen widerrufen (z. B. durch Mitteilung an unseren Kundenservice). Ohne Ihre Einwilligung geben wir Ihre Kontaktdaten nicht für proaktive Zustell-Infos weiter; Sie erhalten dann nur die Standard-Verfolgungsinformationen über unsere Kommunikation.

Der Logistikdienstleister nutzt die übermittelten Daten ausschließlich für die Zustellung und die Kommunikation im Rahmen der Lieferung. Nach erfolgter Zustellung bzw. Abschluss des Versandauftrags werden die bei GLS/DHL gespeicherten personenbezogenen Daten wieder gelöscht bzw. nur im Rahmen gesetzlicher Aufbewahrungspflichten (z. B. Frachtbriefe) vorgehalten.

Die Abwicklung von Lagerung, Kommissionierung und Versand unserer Produkte erfolgt durch unsere Konzerngesellschaft SIGVARIS AG mit Sitz in der Schweiz. Die SIGVARIS AG erhält zu diesem Zweck Zugriff auf die Bestellinformationen (Produkt, Menge) und die Lieferanschrift, um die Bestellung physisch zu bearbeiten und zu versenden. Die Datenverarbeitung erfolgt im Rahmen einer Auftragsverarbeitung für uns. Da die Schweiz ein Drittland im Sinne der DSGVO ist, weisen wir darauf hin, dass für die Schweiz ein Angemessenheitsbeschluss der EU-Kommission besteht. Damit wird ein dem EU-Datenschutzniveau entsprechender Schutz Ihrer Daten sichergestellt.

3.6 Nutzung des B2B-Portals

Für Geschäftskunden halten wir ein separates B2B-Portal bereit. Dieses Portal ermöglicht es unseren Geschäftskunden, zu Sonderkonditionen einzukaufen und spezifische Services zu nutzen. Der Zugang ist nur einem definierten Benutzerkreis vorbehalten und erfordert eine vorherige Registrierung bzw. Freischaltung durch uns.

Für die Einrichtung eines B2B-Zugangs verarbeiten wir insbesondere die Kontaktdaten der vorgesehenen Nutzer (z. B. Name, geschäftliche E-Mail-Adresse, Unternehmen/Firma, Kunden- oder Partnernummer) sowie die Zugangsdaten (Benutzername, Passwort). Diese Daten erhalten wir in der Regel direkt von Ihnen im Rahmen der Registrierung oder von Ihrem Arbeitgeber (z. B. wenn Ihre Firma Sie als Nutzer bei uns meldet). Zweck der Verarbeitung ist die Authentifizierung und Berechtigungsprüfung, um sicherzustellen, dass nur berechtigte Partner Zugriff auf das B2B-Portal und die dort hinterlegten Informationen/Preislisten haben. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung bzw. -durchführung, sofern Sie als Einzelkaufmann/Kunde handeln) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, Zutrittskontrolle beim B2B-Portal zu gewährleisten, wenn Sie als Mitarbeiter eines Kundenunternehmens handeln). Unser berechtigtes Interesse besteht hier in der notwendigen Sicherheit und Vertraulichkeit des geschützten Partnerbereichs.

Die im Portal erfassten personenbezogenen Daten der Nutzer (z. B. getätigte Bestellungen, Kommunikationshistorie) werden ausschließlich zur Abwicklung der Geschäftskunden-Bestellungen und zur Kundenbetreuung verwendet. Empfänger dieser Daten sind – neben dem Portalbetreiber Shopify (siehe oben) – ggf. unsere internen Fachabteilungen (Vertrieb, Kundenservice B2B) sowie die im Rahmen der Bestellabwicklung eingebundenen Dienstleister (Zahlungsabwicklung, Versand, siehe oben 3.4/3.5). Eine Weitergabe an sonstige Dritte erfolgt nicht, außer sie ist zur Vertragsdurchführung erforderlich oder es liegt eine gesetzliche Verpflichtung vor. Die im B2B-Portal verarbeiteten Daten unterliegen folgender Datenschutzinformation.

3.7 Kundenkommunikation und Kontaktaufnahme

3.7.1 Kontaktaufnahme

Wenn Sie mit uns in Kontakt treten (z. B. per Kontaktformular auf der Website, per E-Mail oder Telefon), verarbeiten wir die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage. In jedem Kontaktformular sind die als Pflichtfelder benötigten Angaben gekennzeichnet (in der Regel Name, Kontaktmöglichkeit und das Anliegen). Alle weiteren Informationen können Sie freiwillig geben. Diese Daten nutzen und speichern wir ausschließlich, um Ihr Anliegen (z. B. Anfrage zu Produkten, Bitte um Rückruf, Beanstandungen) zu bearbeiten und zu beantworten.

Rechtsgrundlage für die Verarbeitung Ihrer Kontaktdaten und Inhalte der Anfrage ist Art. 6 Abs. 1 lit. a DSGVO (Ihre freiwillig erteilte Einwilligung durch Absenden der Anfrage) und/oder Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, Kundenanfragen zu beantworten und einen guten Kundenservice zu gewährleisten. Sofern Ihre Kontaktaufnahme im Rahmen einer laufenden Vertragsbeziehung erfolgt (z. B. Frage zu einer Bestellung), stützt sich die Verarbeitung zudem auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. -anbahnung).

Wenn wir Ihre Anfrage auf Grundlage Ihrer Einwilligung verarbeiten (Art. 6 Abs. 1 lit. a DSGVO), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Dazu reicht eine formlose Mitteilung an uns (z. B. per E-Mail an die unter Punkt 2 genannte Adresse). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Bitte beachten Sie jedoch, dass wir im Falle eines Widerrufs Ihr Anliegen möglicherweise nicht weiter bearbeiten können, sofern keine andere Rechtsgrundlage (z. B. Vertragserfüllung) einschlägig ist.

Wir löschen Anfragen und die damit zusammenhängende Kommunikation, sobald ihre Aufbewahrung nicht mehr erforderlich ist. Das ist regelmäßig der Fall, wenn Ihr Anliegen abschließend geklärt ist, es sei denn, gesetzliche Aufbewahrungspflichten (z. B. bei Geschäftsbriefen) bestehen oder es handelt sich um relevante Kommunikation im Rahmen eines Vertragsverhältnisses (dann speichern wir die Kommunikation zusammen mit den Vertragsunterlagen). Näheres hierzu siehe Abschnitt 6 Speicherdauer.

Ihre Kontaktanfrage wird hausintern von der zuständigen Stelle (z. B. Kundenservice, Vertrieb, Fachabteilung) bearbeitet. Falls es für die Bearbeitung erforderlich ist, können wir Daten aus Ihrer Anfrage an weitere Empfänger weiterleiten – etwa an unsere Versandabteilung (bei Lieferanfragen) oder an technische Dienstleister, sofern Ihre Anfrage dies nötig macht. Sofern dies aus betrieblichen Gründen erforderlich ist (z. B. bei personellen Engpässen oder zur Unterstützung des Kundenservice), kann eine Bearbeitung Ihrer Anfrage auch durch Mitarbeiter in Unternehmen der Unternehmensgruppe in der Schweiz erfolgen. Eine Übermittlung darüber hinaus an ein Drittland erfolgt nicht, außer über von uns eingesetzte E-Mail- oder Hosting-Provider (z. B. wenn unser E-Mail-Service von einem US-Anbieter bereitgestellt wird – in solchen Fällen stellen wir aber mittels Verträgen sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist; siehe auch Abschnitt 4).

3.7.2 Bewertungserinnerung und -überprüfung durch Judge.me

Unsere Website verwendet die App „Judge.me“ (Anbieter: Judge.me Ltd, located at c/o Buckworths 2nd Floor, 1-3 Worship Street, London, England, EC2A 2AB), um Kunden die Abgabe von Produktbewertungen zu ermöglichen und diese im Online-Shop anzuzeigen. Nach Abschluss eines Kaufs erhalten Kunden – sofern sie zuvor eingewilligt haben – ca. 14 Tage später eine Bewertungsanfrage per E-Mail. Hierfür wird die im Kaufprozess angegebene E-Mail-Adresse zusammen mit Bestellinformationen (z. B. Produkt, Bestelldatum) automatisiert an Judge.me übermittelt. Die Versendung der Bewertungsanfrage erfolgt technisch direkt über den App-Anbieter. Im Rahmen der Bewertungsabgabe werden Name oder Pseudonym, E-Mail-Adresse, Bewertungstext, Sternebewertung sowie technische Daten (IP-Adresse, Browserinformationen, Cookies) durch Judge.me verarbeitet. Judge.me speichert die Bewertungsdaten ausschließlich in seinen Systemen; eine Synchronisation mit Shopify erfolgt nur, wenn dies gesondert aktiviert wird. Nutzer können ihr Konto und ihre Bewertungen jederzeit bearbeiten oder löschen. Rechtsgrundlage für die Datenverarbeitung ist die zuvor erteilte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Um die Sicherheit Ihrer Daten zu gewährleisten, implementiert Judge.me angemessene technische und organisatorische Maßnahmen, einschließlich Verschlüsselung und regelmäßigen Sicherheitsüberprüfungen. Die Daten werden so lange aufbewahrt, wie es zur Erfüllung der Zwecke notwendig ist, oder bis der Nutzer die Löschung seiner Daten verlangt. Weitere Informationen erhalten Sie über die Datenschutzhinweise von Judge.me (https://judge.me/privacy).

3.7.3 Atlas PickUp Points

Unsere Website verwendet die App „Atlas PickUp Points“ (Anbieter: Tale Commerce, Poland), um Ihnen – auf Grundlage Ihres Standorts – anzuzeigen, welche physischen Händler unsere Produkte in Ihrer Nähe anbieten. Hierfür setzt die App einen Cookie, der Ihren Standort erfasst (z. B. über IP-Geolokalisierung). Die Standortdaten werden ausschließlich genutzt, um die Händleranzeige zu ermöglichen, und nicht zu anderen Zwecken weiterverarbeitet oder gespeichert. Zusätzlich verarbeitet die App im Rahmen des Bestellvorgangs Name, E-Mail-Adresse, Telefonnummer, Anschrift sowie Browser- und Betriebssysteminformationen. Rechtsgrundlage für den Einsatz ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Daten werden nach Beendigung der Session gelöscht. Weitere Informationen erhalten Sie über die Datenschutzhinweise von Atlas Pickup Points (https://atlaspickuppoints.com/docs/support/tos-and-privacy).

3.7.4 Notify Me

Wenn ein Produkt in unserem Online-Shop nicht verfügbar ist, können Sie über ein Formular Ihre E-Mail-Adresse hinterlassen, um automatisch benachrichtigt zu werden, sobald das Produkt wieder verfügbar ist. Diese Funktion wird durch die App „Notify Me“ (Anbieter: Notify Me!, Vancouver, BC, Kanada) bereitgestellt. Die von Ihnen eingegebene E-Mail-Adresse wird ausschließlich in der App gespeichert und verarbeitet, nicht in unseren Systemen. Wir nutzen diese Daten nicht für andere Zwecke. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie sich über den in der Benachrichtigungs-E-Mail enthaltenen Link abmelden[SD1] . Die E-Mail-Adressen werden so lange gespeichert, wie dies für die Bereitstellung des Services erforderlich ist. Weitere Informationen erhalten Sie über die Datenschutzhinweise von Notify Me (https://notify-me.io/privacy-policy).

3.8 Newsletter und Direktwerbung

3.8.1 E-Mail-Newsletter (mit Einwilligung)

Wenn Sie sich aktiv für unseren E-Mail-Newsletter anmelden, verwenden wir Ihre E-Mail-Adresse, um Ihnen regelmäßig unseren Newsletter mit Informationen über Produkte, Neuigkeiten und Angebote zuzusenden. Die Anmeldung erfolgt im sogenannten Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse auf unserer Website senden wir Ihnen eine Bestätigungs-E-Mail mit einem Link. Erst wenn Sie diesen Bestätigungslink anklicken, wird Ihre Adresse in den Verteiler aufgenommen. Dieses Verfahren stellt sicher, dass keine unbefugte Person Ihre E-Mail einträgt.

Im Rahmen der Newsletter-Anmeldung speichern wir zusätzlich zu Ihrer E-Mail auch die IP-Adresse und den Zeitpunkt der Anmeldung und Bestätigung. Dies dient allein dem Nachweis im Zweifel, dass Sie sich angemeldet haben, und damit unserer Absicherung. Rechtsgrundlagen für die Datenverarbeitung beim Newsletterversand sind Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für den Erhalt des Newsletters) und Art. 6 Abs. 1 lit. f DSGVO für die Protokollierung der Anmeldung aufgrund unseres berechtigten Interesses, die ordnungsgemäße Durchführung des Double-Opt-In nachweisen zu können.

Sie können Ihre Einwilligung in den Erhalt des Newsletters jederzeit mit Wirkung für die Zukunft widerrufen. Hierfür finden Sie am Ende jedes Newsletters einen „Abmelden“-Link. Alternativ können Sie uns auch eine kurze Mitteilung per E-Mail zukommen lassen. Nach erfolgtem Widerruf erhalten Sie keine Newsletter mehr von uns. Die Rechtmäßigkeit der bereits erfolgten Versendungen wird durch den Widerruf nicht berührt.

Für den Versand unserer Newsletter nutzen wir den Service MailChimp, eine E-Mail-Marketing-Plattform des Anbieters Intuit Inc. (2700 Coast Avenue, Mountain View, CA 94043, nachfolgend „Intuit“). Intuit agiert in Bezug auf den Newsletter-Versand als Auftragsverarbeiter für uns. Die von Ihnen bereitgestellte E-Mail-Adresse sowie ggf. weitere von Ihnen angegebene Daten (z. B. Name für persönliche Ansprache) werden auf den Servern von Intuit gespeichert. Damit ist ein Transfer Ihrer Daten in die USA verbunden. Intuit verpflichtet sich vertraglich zur Einhaltung der EU-Datenschutzstandards (Standarddatenschutzklauseln). Zudem ist Intuit unter dem EU-U.S. Data Privacy Framework zertifiziert, wodurch ein angemessenes Datenschutzniveau bestätigt wird.

MailChimp wertet für uns die Nutzung der Newsletter aus. Das bedeutet, in den versendeten E-Mails sind sog. Tracking-Pixel enthalten. Darüber können wir sehen, ob ein Newsletter geöffnet wurde und welche Links geklickt wurden. Diese Informationen nutzen wir, um unser Newsletter-Angebot zu verbessern und nur relevante Inhalte zu versenden. Die Auswertung erfolgt personengebunden, d.h. die einzelnen Nutzerreaktionen können einem Newsletter-Empfänger zugeordnet werden. Wir nutzen diese Daten jedoch nicht, um einzelne Nutzer zu überwachen, sondern um Inhalte auf Interessen abzustimmen. Wenn Sie dies nicht wünschen, können Sie den Newsletter jederzeit abbestellen. Ein Einzeltracking findet zudem nur statt, wenn Sie in den Erhalt des Newsletters eingewilligt haben.

3.8.2 Werbung ohne ausdrückliche Einwilligung für Bestandskunden

Wenn Sie bereits eine Bestellung bei uns getätigt haben, führen wir Sie als Bestandskunde. In diesem Fall lassen wir Ihnen gewisse Informationen über eigene, ähnliche Produkte zukommen:

Werbung per E-Mail: Wenn Sie bei uns Waren oder Dienstleistungen erworben und dabei Ihre E-Mail-Adresse angegeben haben, nutzen wir diese gegebenenfalls, um Ihnen Direktwerbung für eigene ähnliche Waren oder Dienstleistungen per E-Mail zu senden. Rechtsgrundlage ist § 7 Abs. 3 UWG in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses, Bestandskunden auf für sie relevante Produkte hinzuweisen. Selbstverständlich wird in jeder dieser E-Mails die Möglichkeit zum Opt-out angeboten (Abmeldelink), und wir werden Ihnen nur solche E-Mails schicken, solange Sie dem nicht widersprochen haben.
Postalische Werbung: Ihre postalischen Kontaktdaten (Name, Anschrift) verwenden wir gegebenenfalls, um Ihnen Werbematerial per Post zuzusenden – zum Beispiel Kataloge, Produktinformationen oder Sonderangebote. Auch dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenbindung und Absatzförderung). Wenn Sie keine postalische Werbung wünschen, können Sie dem jederzeit widersprechen (siehe unten Abschnitt 8.2). Von Zeit zu Zeit behalten wir uns vor, Ihre postalischen Kontaktdaten auch an sorgfältig ausgewählte Vertragspartner aus den Bereichen Versandhandel und Telekommunikation weiterzugeben, damit auch diese Sie auf dem Postweg über deren Angebote informieren können. Eine solche Weitergabe erfolgt nur im Rahmen strengster Vertraulichkeit und sofern Sie nicht widersprochen haben. Auch hier stützen wir uns auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Selbstverständlich können Sie auch dieser Weitergabe jederzeit mit Wirkung für die Zukunft widersprechen (siehe Abschnitt 8.2).

Wenn Sie keine werblichen Mitteilungen (weder von uns noch ggf. von Partnern) erhalten möchten, können Sie dem jederzeit formlos widersprechen. Senden Sie uns dazu z. B. eine E-Mail oder einen Brief an die unter Punkt 2 genannten Kontaktdaten. Nach Ausübung des Widerspruchs werden wir Ihre Kontaktdaten für die zukünftige werbliche Ansprache sperren. Bitte beachten Sie, dass es im Einzelfall nach Ihrem Widerspruch noch zu einem Überschneidungszeitraum kommen kann, in dem bereits vorbereitete Mailings noch versendet werden. Das bedeutet nicht, dass wir Ihren Widerspruch nicht umgesetzt hätten, sondern ist technisch bedingt (Vorlaufzeiten). Vielen Dank für Ihr Verständnis.

3.8.3 Maßnahmen zur Kundenrückgewinnung

Wir möchten sicherstellen, dass Sie Ihren Einkauf bei uns zu Ihrer Zufriedenheit abschließen. Falls Sie einen Bestellvorgang abbrechen oder Artikel im Warenkorb liegen lassen, ohne die Bestellung abzuschließen, behalten wir uns vor, Ihnen eine einmalige Erinnerung per E-Mail zu senden. Diese Nachricht soll Sie z. B. darauf hinweisen, dass der Warenkorb noch Artikel enthält, und Ihnen ggf. Hilfe anbieten (etwa falls technische Probleme auftraten).

Für den Versand einer solchen Warenkorb-Erinnerung verwenden wir die im begonnenen Bestellprozess angegebene E-Mail-Adresse. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, Ihnen den Kaufabschluss zu erleichtern und eventuell aufgetretene Hindernisse zu klären sowie unseren Umsatz nicht durch vergessene Warenkörbe zu verlieren. Selbstverständlich erhalten Sie solche Nachrichten nicht, wenn Sie sich ausdrücklich dagegen entschieden haben oder z. B. den Bestellprozess gar nicht bis zur Eingabe der E-Mail-Adresse durchlaufen haben. Sollten Sie eine derartige Erinnerung nicht wünschen, können Sie uns dies jederzeit mitteilen; künftig unterlassen wir dann solche Kontaktaufnahmen. Auch ein Hinweis über den Abmeldelink am Ende einer Warenkorb-Erinnerungs-Mail genügt, um weitere Nachrichten dieser Art zu unterbinden.

3.9 Interaktionen mit unseren Meta-Profilen (Facebook und Instagram)

Betreiber der Dienste Facebook und Instagram ist die Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland („Meta“).

Wir weisen Sie darauf hin, dass Sie Facebook und Instagram und deren Funktionen in eigener Verantwortung nutzen. Dies gilt insbesondere für die Nutzung der interaktiven Funktionen (z.B. Kommentieren, Teilen, Bewerten).

Ihre personenbezogenen Daten können unter Umständen aber auch dann erfasst werden, wenn Sie nicht eingeloggt sind oder keinen Account bei der jeweiligen Social Media Plattform besitzen. Diese Datenerfassung erfolgt in diesem Fall beispielsweise über Cookies oder ähnliche Technologien, die auf Ihrem Endgerät gespeichert werden oder durch Erfassung Ihrer IP-Adresse. Diese Verarbeitung erfolgt durch Meta allein.

Wenn Sie einen unsere Profile auf den Sozialen Netzwerken von Meta besuchen, verarbeiten wir Ihre Interaktionen mit diesem Kanal (z. B. den Inhalt von Nachrichten, Anfragen, Beiträgen oder Kommentaren, die Sie an uns richten oder auf unseren Social Media Kanälen hinterlassen oder wenn Sie unsere Beiträge liken oder teilen) sowie Ihre öffentlich einsehbaren Profildaten (z. B. Ihren Namen und Ihr Profilbild). Welche personenbezogenen Daten aus Ihrem Profil öffentlich einsehbar sind ist abhängig von Ihren Profileinstellungen, die Sie in Ihren Einstellungen auf der jeweiligen Social Media Plattform jeweils selbst anpassen können.

Wir betreiben eine Facebook-Seite und ein Instagram-Profil zu den genannten Zwecken. Meta verarbeitet Ihre Daten bei Interaktion mit dem Dienst zu eigenen Zwecken. Weitere Informationen hierzu finden Sie hier. Wir haben keine darüberhinausgehenden Kenntnisse über die durch Meta durchgeführte Datenverarbeitung.

Soweit Sie mit unserer Facebook-Seite oder unserem Instagram-Profil interagieren, verarbeiten wir Ihre Daten mit Meta in sogenannter gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO für sog. Insights. Hier wurde vereinbart, dass wir für die Information der Betroffenen nach Art. 12 ff. DSGVO und Meta für die Erfüllung von Betroffenengesuchen nach Art. 15 – 20 DSGVO zuständig ist. Das Widerspruchsrecht nach Art. 21 DSGVO wird von beiden jeweils in Bezug auf ihre eigenen Verarbeitungen gewahrt. Beide unterliegen den Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Sie können die Vereinbarung hier einsehen. Sie können Ihre Rechte jederzeit gegenüber beiden Verantwortlichen geltend machen.

Rechtsgrundlage für die Verarbeitung Ihrer Daten über unsere Kanäle ist Art. 6 Abs. 1 S. 1 lit. f DSGVO, basierend auf unserem berechtigten Interesse an der vorgenannten Öffentlichkeitsarbeit, der Unternehmenskommunikation sowie der Optimierung unserer Unternehmensdarstellung. Sofern Ihre Kontaktaufnahme auf den Abschluss eines Vertrags abzielt oder im Zusammenhang mit einem bestehenden Vertragsverhältnis steht, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Der Mutterkonzern von Meta Platforms Ireland ist die Meta Platforms, Inc. in den USA. Die durch Meta erzeugten Informationen werden an Server der Meta Platforms, Inc. in die USA übertragen und dort verarbeitet. Am 10.07.2023 hat die EU-Kommission einen Angemessenheitsbeschluss für das Data Privacy Framework für die Datenübermittlung an Empfänger mit Sitz in den USA erlassen. Hiernach wird bei einer Datenübermittlung an zertifizierte Empfänger mit Sitz in den USA ein angemessenes Datenschutzniveau angenommen. Bei der Meta Platforms, Inc. handelt es sich um ein zertifiziertes Unternehmen.

4 Empfänger außerhalb der EU

Im Zusammenhang mit der Datenverarbeitung kann es zu einer Datenübermittlung in Drittstaaten, d.h. an Empfänger außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR), kommen. Soweit in Bezug auf den Drittstaat ein Beschluss der Europäischen Kommission über das Bestehen eines angemessenen Schutzniveaus (vgl. Art. 45 Abs. 3 DSGVO) vorliegt, sind für die Datenübermittlung keine zusätzlichen Maßnahmen erforderlich. Im Falle einer Datenweitergabe an Empfänger mit Sitz in den USA erfolgt diese auf Grundlage des sog. Transatlantic-Data-Privacy-Framework (DPF) vom 10.07.2023, sofern der Empfänger über eine entsprechende Zertifizierung verfügt. Eine Auflistung der aktuell zertifizierten Unternehmen ist hier abrufbar. In anderen Fällen sowie bei Datenweitergaben in andere sog. nicht-sichere Drittstaaten findet eine Datenweitergabe nur statt, wenn die Voraussetzung der Art. 46 ff. DSGVO gegeben sind. Konkret bedeutet das, dass eine Übermittlung in Drittstaaten nur erfolgt, wenn

durch den Empfänger ausreichende sogenannte Garantien nach Art. 46 DSGVO für den Schutz der personenbezogenen Daten geboten werden,
Sie in die Übermittlung, nachdem wir Sie über die Risiken informiert haben, nach Art. 49 Abs. 1 lit. a DSGVO ausdrücklich eingewilligt haben,
die Übermittlung erforderlich ist, für die Erfüllung vertraglicher Verpflichtungen zwischen Ihnen und uns oder
eine andere Ausnahme gemäß Art. 49 DSGVO greift.

Welcher der vorstehend erwähnten Grundlagen im Einzelfall Anwendung findet, wird Ihnen bei der jeweiligen Verarbeitung dargestellt.

Datenübertragungen an Empfänger mit Sitz in den USA, die nicht über eine DPF-Zertifizierung verfügen und hinsichtlich derer ein angemessenes Datenschutzniveau auch nicht über Garantien im Sinne von Art. 46 DSGVO hergestellt werden kann, erfolgen ausschließlich nach Ihrer Einwilligung im Sinne von Art. 49 Abs. 1 lit. a DSGVO. Wir weisen darauf hin, dass bei Empfängern mit Sitz in den USA ohne DPF-Zertifizierung kein angemessenes Datenschutzniveau gewährleistet werden kann, das mit dem in der EU vergleichbar wäre. Bei einer solchen Übermittlung von personenbezogenen Daten bestehen deshalb folgende Risiken: Es besteht das Risiko, dass US-amerikanische Behörden aufgrund der auf Section 702 des FISA (Foreign Intelligence Surveillance Act) gestützten Überwachungsprogramme PRISM und UPSTREAM sowie auf Grundlage der Executive Order 12333 oder der Presidential Police Directive 28 Zugriff auf die personenbezogenen Daten erlangen können. EU-Bürgern stehen gegen diese Zugriffe keine effektiven Rechtsschutzmöglichkeiten in den USA oder der EU zu.

Nähere Informationen sowie eine Kopie beziehungsweise einen Verweis auf die jeweiligen angemessenen Garantien finden Sie in der Beschreibung der jeweiligen Verarbeitung. Sollten Sie zu den konkreten Datenschutzgarantien im Zusammenhang mit der Übermittlung in ein bestimmtes Land nähere Informationen wünschen, können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden.

5. Datensicherheit

Wir treffen umfangreiche technische und organisatorische Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor den Risiken des Datenverkehrs und vor dem Zugriff durch Unbefugte zu schützen. Dies beinhaltet die Verwendung von Verschlüsselungstechnologien (etwa SSL/TLS für unsere Website, erkennbar am „https://“ in der URL und dem Schloss-Symbol im Browser), regelmäßige Sicherheitsupdates unserer Systeme, Zugriffsbeschränkungen auf personenbezogene Daten sowie umfassende Datenschutz- und Datensicherheitskonzepte innerhalb unseres Unternehmens.

Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung kontinuierlich verbessert. Dennoch weisen wir darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein vollständiger Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich. Unsere Website und sonstigen Systeme sind jedoch durch aktuelle Firewall- und Anti-Virus-Systeme geschützt, um unberechtigte Zugriffe so weit wie möglich zu verhindern.

6. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten grundsätzlich nur so lange, wie es für die Erfüllung der jeweiligen Zwecke erforderlich ist. Sobald wir die Daten nicht mehr benötigen und keine gesetzlichen Aufbewahrungsfristen mehr laufen, werden wir die Daten löschen oder anonymisieren. Im Einzelnen gelten folgende grundsätzliche Löschfristen bzw. Kriterien:

Logfiles von Website-Besuchen: werden so lange wie sie zur Gewährleistung der Sicherheit und Funktionsfähigkeit der Website sowie zur Erfüllung gesetzlicher Vorgaben erforderlich sind gespeichert (siehe 3.1) und dann automatisch gelöscht, sofern kein Sicherheitsvorfall eine längere Speicherung erfordert.
Kundenkonto-Daten: bleiben gespeichert, solange das Kundenkonto aktiv ist. Wenn Sie Ihr Konto löschen, werden die darin gespeicherten Daten, die nicht anderweitigen Aufbewahrungsfristen unterliegen, umgehend gelöscht. Daten, die mit Bestellungen zusammenhängen, bleiben gemäß den unten genannten Fristen gespeichert, auch wenn das Konto gelöscht wird (z.B. können Bestelldaten nicht vor Ablauf der gesetzlichen Fristen gelöscht werden).
Bestell- und Vertragsdaten: speichern wir bis zur vollständigen Abwicklung des Vertrages und danach für die Dauer der Gewährleistungsfristen zur Abwicklung etwaiger Ansprüche. Nach Ablauf dieser Zeit werden die Daten gesperrt, falls nicht bereits für Werbung genutzt (siehe 3.8), und nach Ablauf der gesetzlichen Handels- und steuerrechtlichen Aufbewahrungsfristen gelöscht. Handels- und steuerrelevante Unterlagen (Bestellungen, Rechnungen, Zahlungsinformationen) bewahren wir gemäß §§ 147 AO, 257 HGB 6, 8 bzw. 10 Jahre auf. In dieser Zeit werden die Daten gesperrt aufbewahrt und nur noch für Zwecke der Finanzverwaltung (z. B. Prüfungen) verarbeitet.
Zahlungsdaten: Sensible Zahlungsdaten (z. B. Kreditkartennummern) speichern wir nicht selbst, diese werden von den Zahlungsdienstleistern verarbeitet. Angaben über Transaktionen (z. B. welche Zahlungsart gewählt, Zahlung erfolgt ja/nein) bewahren wir zusammen mit den Bestelldaten gemäß obiger Fristen auf.
Kommunikationsdaten (Anfragen): Daten aus Kundenanfragen (siehe 3.7) speichern wir so lange, wie es zur Abwicklung der Anfrage nötig ist. In der Regel werden Kontaktanfragen, die keiner weiteren Geschäftsbeziehung zuzuordnen sind, nach spätestens 12 Monaten gelöscht. Falls eine Kundenkommunikation Teil eines Vertrags oder einer Reklamation ist, speichern wir sie im Zweifel so lange wie die zugehörigen Vertragsunterlagen (siehe oben).
Newsletter-Daten: Wenn Sie sich vom Newsletter abmelden oder Ihre Einwilligung widerrufen, wird Ihre E-Mail-Adresse zunächst aus dem aktiven Verteiler entfernt und in einer Sperrdatei gespeichert, um sicherzustellen, dass Sie keine weiteren Newsletter erhalten. Ihre Newsletter-Anmeldedaten (E-Mail, Opt-in-Dokumentation) werden nach Abmeldung in der Regel nach 3 Jahren gelöscht, es sei denn, eine längere Speicherung ist zum Nachweis Ihrer erteilten Einwilligung angemessen.
Werbedaten Bestandskunden: Daten, die wir zur Werbeansprache von Bestandskunden verwenden (z. B. markiert als “Werbesperre” oder postalische Adresse in einer Mailingliste) prüfen wir regelmäßig auf Aktualität. Sollten Sie über einen Zeitraum von 3 Jahren keinerlei Interaktion mit uns haben (keine Käufe, keine Reaktion), werden wir Sie als inaktiv einstufen und Ihre Kontaktdaten aus unseren aktiven Werbelisten entfernen. Selbstverständlich berücksichtigen wir hierbei auch sofort jeden Widerspruch (dann erfolgt Sperrung/Löschung umgehend).
B2B-Portal-Zugangsdaten: Für Geschäftskunden bleiben Zugangsdaten aktiv, solange die Geschäftsbeziehung besteht oder bis wir von Ihrem Unternehmen eine Änderungsmitteilung (z. B. dass Sie das Unternehmen verlassen haben) erhalten. Danach werden die personenbezogenen Zugangsdaten gelöscht bzw. anonymisiert. Bestelldaten von B2B-Kunden unterliegen denselben Aufbewahrungsfristen wie B2C-Bestellungen (s.o.).
Cookies & Tracking-Daten: Die Speicherdauer von Cookies und ähnlichen Technologien variiert je nach Typ und Zweck. Session-Cookies werden z. B. nach Schließen des Browsers gelöscht, persistente Cookies können unterschiedlich lange (z. B. 30 Tage, 6 Monate, mehrere Jahre) auf Ihrem Endgerät verbleiben, sofern Sie sie nicht vorher löschen. Genaue Angaben finden Sie in unserem Consent-Management-Tool (siehe Abschnitt 7). Daten, die wir aus Tracking gewinnen (z. B. Analysedaten), werden entweder anonymisiert oder nach 14 Monaten gelöscht, sofern wir sie nicht länger benötigen.

7. Cookies und Consent-Management

7.1 Einsatz von Cookies und ähnlichen Technologien

Unsere Website verwendet Cookies. Das sind kleine Textdateien, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät (PC, Smartphone, Tablet o.ä.) gespeichert werden, wenn Sie unsere Seite besuchen. Cookies enthalten keine Viren oder Schadsoftware. In einem Cookie können Informationen abgelegt werden, die jeweils aus dem Zusammenhang mit dem spezifisch eingesetzten Gerät resultieren (z. B. eine eindeutige Kennung, die Ihr Browser erhält). Dies bedeutet aber nicht, dass wir dadurch unmittelbar Kenntnis von Ihrer Identität erhalten.

Cookies dienen dazu, die Nutzung bestimmter Funktionen zu ermöglichen bzw. komfortabler zu machen. So setzen wir Session-Cookies ein, um zu erkennen, dass Sie einzelne Seiten unserer Website bereits besucht haben oder dass Sie bereits in Ihrem Kundenkonto eingeloggt sind. Diese Cookies werden nach Verlassen der Seite automatisch gelöscht. Darüber hinaus verwenden wir auch temporäre Cookies, die für einen bestimmten festgelegten Zeitraum auf Ihrem Endgerät gespeichert werden. Besuchen Sie unsere Seite erneut, wird automatisch erkannt, dass Sie schon einmal da waren und welche Einstellungen Sie ggf. vorgenommen haben, sodass Sie diese nicht noch einmal eingeben müssen.

Einige Cookies sind für die Bereitstellung der Website-Funktionen technisch erforderlich (z. B. damit der Warenkorb funktioniert oder um die Cookie-Einstellungen zu speichern). Andere Cookies dienen dazu, die Nutzung unserer Website statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebots auszuwerten (Analyse-Cookies). Wieder andere können verwendet werden, um personaliserte Inhalte oder Werbung anzuzeigen (Marketing-/Tracking-Cookies).

Wir unterscheiden daher folgende Kategorien von Cookies: Notwendige Cookies, Statistik-Cookies, Marketing-Cookies (die genauen Bezeichnungen können variieren).

7.1.1 Notwendige Cookies

Notwendige Cookies sind für den Betrieb unserer Website unerlässlich und ermöglichen Grundfunktionen wie die Warenkorb- oder Checkout-Funktion. Ohne diese Cookies kann die Website nicht ordnungsgemäß funktionieren. Sie werden daher automatisch gesetzt und können nicht deaktiviert werden.

Cookie-Name	Anbieter	Zweck	Laufzeit	Typ
cart	Shopify	Enthält Informationen zum Warenkorb des Besuchers.	2 Wochen	First-Party
cart_sig	Shopify	Überprüft die Integrität des Warenkorbs und stellt die ordnungsgemäße Durchführung von Warenkorb-Funktionen sicher.	2 Wochen	First-Party
cart_ts	Shopify	Wird im Zusammenhang mit dem Checkout-Prozess verwendet.	2 Wochen	First-Party
cart_ver	Shopify	Wird im Zusammenhang mit dem Warenkorb verwendet.	2 Wochen	First-Party
cart_currency	Shopify	Wird nach Abschluss eines Kaufs gesetzt, um sicherzustellen, dass neue Warenkörbe die zuletzt verwendete Währung beibehalten.	2 Wochen	First-Party
checkout_token	Shopify	Dient der Zuordnung eines Nutzers im Checkout und der Sicherstellung der Zahlungsabwicklung.	1 Jahr	First-Party
_secure_session_id	Shopify	Sitzungs-ID, die verwendet wird, um einen Benutzer durch den mehrstufigen Checkout-Prozess zu führen und Bestell-, Zahlungs- und Versandinformationen zwischenzuspeichern.	1 Tag	First-Party
_shopify_m	Shopify	Dient zur Verwaltung der Datenschutzeinstellungen des Besuchers (z. B. Cookie-Einwilligungen).	1 Jahr	First-Party
_shopify_tm	Shopify	Dient zur Verwaltung der Datenschutzeinstellungen des Besuchers.	30 Minuten	First-Party
_shopify_tw	Shopify	Dient zur Verwaltung der Datenschutzeinstellungen des Besuchers.	2 Wochen	First-Party
_tracking_consent	Shopify	Speichert die Zustimmungspräferenzen des Besuchers in Bezug auf Tracking.	1 Jahr	First-Party
tracked_start_checkout	Shopify	Zeigt an, dass ein Checkout-Vorgang gestartet wurde, um begonnene Bestellungen nachverfolgen zu können.	1 Jahr	First-Party
hide_shopify_pay_for_checkout	Shopify	Speichert, wenn ein Kunde die Shop-Pay-Anmeldung im Checkout abgelehnt hat, um diese Option vorübergehend auszublenden.	Sitzung	First-Party
shopify_pay	Shopify	Erforderlich, um einen Käufer bei der Rückkehr zum Checkout (Shop Pay) automatisch einzuloggen.	1 Jahr	First-Party
shopify_pay_redirect	Shopify	Ermöglicht sichere Weiterleitungen beim Bezahlvorgang über Shop Pay.	1 Stunde	First-Party
shop_pay_accelerated	Shopify	Speichert, ob ein Käufer für beschleunigte Shop Pay-Checkouts zugelassen ist.	1 Jahr	First-Party
keep_alive	Shopify	Hält die Sitzung des Besuchers aktiv, um die Website-Funktionen ohne Unterbrechung bereitzustellen.	2 Wochen	First-Party
secure_customer_sig	Shopify	Dient der sicheren Identifizierung eines angemeldeten Kunden und schützt vor unbefugtem Zugriff auf Kundendaten.	1 Jahr	First-Party

7.1.3 Statistik Cookies

Statistik-Cookies (Analyse-Cookies) sammeln anonymisierte Daten über das Nutzungsverhalten auf unserer Website. Wir nutzen diese Informationen, um die Performance der Website zu verbessern und herauszufinden, welche Bereiche für unsere Besucher am relevantesten sind. Diese Cookies werden nur mit Ihrer Einwilligung gesetzt.

Cookie-Name	Anbieter	Zweck	Laufzeit	Typ
_shopify_y	Shopify	Wird für interne Analysen und Website-Statistiken verwendet.	1 Jahr	First-Party
_shopify_s	Shopify	Dient der statistischen Auswertung des aktuellen Besuchs (Sitzungs-Analyse).	30 Minuten	First-Party
_shopify_fs	Shopify	Enthält Analytics-Daten der ersten Besuchersitzung, um das Nutzerverhalten von Beginn an zu verfolgen.	30 Minuten	First-Party
_shopify_sa_t	Shopify	Teil von Shopifys „Marketing- und Referral“-Analytics, dient zur Verfolgung von Nutzeraktionen auf der Website.	30 Minuten	First-Party
_shopify_sa_p	Shopify	Teil von Shopifys „Marketing- und Referral“-Analytics, dient zur Analyse von Marketingkampagnen und Empfehlungen.	30 Minuten	First-Party
_ga	Google Analytics	Wird von Google Analytics verwendet, um eine eindeutige ID zuzuweisen und statistische Daten zur Websitenutzung zu erheben.	2 Jahre	Third-Party
_gid	Google Analytics	Wird von Google Analytics verwendet, um zwischen einzelnen Besuchern zu unterscheiden.	1 Tag	Third-Party
_gat	Google Analytics	Wird von Google Analytics verwendet, um die Anfragerate zu begrenzen (Throttling).	1 Minute	Third-Party

7.1.4 Marketing Cookies

Marketing-Cookies werden eingesetzt, um Besucher über Websites hinweg zu verfolgen und personalisierte Werbung auszuspielen. Sie helfen uns (und Dritten), Ihnen relevante Anzeigen auf Basis Ihrer Interessen anzuzeigen und die Effektivität von Werbekampagnen zu messen. Diese Cookies werden nur mit Ihrer Einwilligung gesetzt.

Cookie-Name	Anbieter	Zweck	Laufzeit	Typ
_fbp	Meta Platforms, Inc. (Facebook)	Wird von Facebook genutzt, um Werbeprodukte (z. B. Echtzeit-Gebote von Drittanbietern) bereitzustellen.	3 Monate	Third-Party
_gcl_au	Google (AdSense/Ads)	Wird von Google AdSense eingesetzt, um die Effizienz von Werbeanzeigen auf Websites zu testen.	3 Monate	Third-Party

7.2 Consent-Management mit OneTrust

Für die Verwaltung der Cookies und Ihrer Präferenzen nutzen wir ein Consent-Management-Tool der Firma OneTrust (OneTrust Germany GmbH, Maximiliansplatz 17, 80333 München; nachfolgend „OneTrust“). Wenn Sie unsere Website zum ersten Mal besuchen, erscheint ein Cookie-Banner, in dem Sie auswählen können, welche Cookies Sie akzeptieren möchten. Technisch notwendige Cookies werden gemäß § 25 Abs. 2 Nr. 2 TDDDG auch ohne Ihre Zustimmung gesetzt. Für alle anderen Cookies bitten wir Sie um Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG. Diese Einwilligung stellt gleichzeitig die Rechtsgrundlage nach Art. 6 Abs. 1 lit. a DSGVO für die damit verbundene Datenverarbeitung dar.

Über das OneTrust-Tool können Sie jederzeit Ihre einmal erteilte Zustimmung widerrufen oder Anpassungen vornehmen. Einen entsprechenden Link („Cookie-Einstellungen“) finden Sie am Ende unserer Website. Dort können Sie das Banner erneut aufrufen und Ihre Auswahl ändern.

OneTrust erfasst im Zusammenhang mit Ihrem Consent Ihre Einwilligungspräferenzen (d.h. welche Kategorien Sie erlaubt/abgelehnt haben) und speichert diese Informationen in einem Cookie („OptanonConsent“), damit das Banner bei erneutem Besuch weiß, welche Einstellungen Sie vorgenommen haben. Dieses Cookie hat eine begrenzte Laufzeit (i. d. R. 30 Tage).

OneTrust verarbeitet diese Daten in unserem Auftrag. Das Schwesterunternehmen, OneTrust Limited hat seinen Sitz in London, Großbritannien. Für das UK liegt ein Angemessenheitsbeschluss der EU vor, sodass ein angemessenes Datenschutzniveau sichergestellt ist. Zudem werden die Consent-Daten meist innerhalb der EU gespeichert (OneTrust verfügt über EU-Server).

7.3 Analyse- und Tracking-Tools

7.3.1 Google Analytics 4

Wir setzen auf unserer Website den Webanalysedienst Google Analytics 4 von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland; nachfolgend „Google“) ein, um die Nutzung unserer Website statistisch erfassen und auswerten zu können. Google Universal Analytics dient zu Marktforschungszwecken und dazu, unsere Website bedarfsgerecht gestalten zu können. Dabei werden Berichte über die Nutzung unserer Website erstellt. Hierzu werden pseudonymisierte Nutzungsprofile erstellt. Für die Datensammlung werden Cookies gesetzt. Zu diesen Daten gehören beispielsweise Ihre IP-Adresse, Zeitpunkt des Zugriffs, Referrer-URL sowie Browser- und Betriebssysteminformationen.

Google Universal Analytics setzen wir auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Setzung von Cookies) ein. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über das Einwilligungsmanagement-Tool widerrufen.

Es ist nicht ausgeschlossen, dass Ihre Daten auch an Server der Google LLC mit Sitz in den USA weitergegeben und dort verarbeitet werden. Für die USA gibt es von der EU-Kommission einen Angemessenheitsbeschluss (EU-US Data Privacy Framework, kurz „DPF“), der für zertifizierte Unternehmen gilt. Google ist DPF-zertifiziert. Dadurch ist gewährleistet, dass ein Schutzniveau, welches mit dem in der EU vergleichbar ist, besteht.

Die von Google verarbeiteten Daten werden in der Regel nach 14 Monaten automatisch gelöscht.

7.3.2 Meta Pixel

Wir verwenden auf unserer Website den Meta Pixel von Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland; nachfolgend „Meta“). Der Meta Pixelist ein Analysedienst, der es uns ermöglicht, die Effektivität unserer Werbemaßnahmen auf Facebook zu messen und dient der Optimierung unserer Werbekampagnen auf Facebook. Wir wollen sicherstellen, dass unsere Werbemaßnahmen relevant und zielgerichtet sind, um die Nutzererfahrung zu verbessern und die Effizienz unserer Marketingmaßnahmen zu steigern. Der Dienst setzt Cookies in Ihrem Browser und erfasst Informationen über Ihr Nutzerverhalten auf unserer Website, wie z.B. besuchte Seiten und durchgeführte Aktionen (z.B. Käufe). Diese Informationen werden an Facebook übermittelt und können mit Ihrem Facebook-Konto verknüpft werden, sofern Sie bei Facebook angemeldet sind.

Wir verarbeiten Ihre Daten auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO (für die Datenverarbeitung) und § 25 Abs. 1 S. 1 TDDDG (für die technische Zurverfügungstellung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Empfänger Ihrer Daten ist der Dienstleister. Im Rahmen der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sind wir und Meta gemeinsam für die Datenverarbeitung verantwortlich. Die Vereinbarung über die gemeinsame Verantwortlichkeit zwischen uns und Meta regelt die jeweiligen Verantwortlichkeiten wie folgt:

Information nach Art. 13, 14 DSGVO: Wir sind dafür verantwortlich, die betroffenen Personen über die Verarbeitung ihrer Daten zu informieren.
Bearbeitung der Betroffenenrechte: Meta ist verantwortlich für die Bearbeitung der Betroffenenrechte, insbesondere Auskunfts- und Löschungsersuchen.

Es kann nicht ausgeschlossen werden, dass Ihre personenbezogenen Daten auch an Server von Meta in den USA übertragen und dort verarbeitet werden. Für die USA gibt es von der EU-Kommission einen Angemessenheitsbeschluss (EU-US Data Privacy Framework, kurz „DPF“), der für zertifizierte Unternehmen gilt. Meta ist DPF-zertifiziert. Dadurch ist gewährleistet, dass ein Schutzniveau, welches mit dem in der EU vergleichbar ist, besteht.

Die durch den Meta Pixelerhobenen Daten werden für einen Zeitraum von 180 Tagen gespeichert und danach automatisch gelöscht. Diese Frist ermöglicht es uns, die Effektivität unserer Werbekampagnen zu analysieren und entsprechende Anpassungen vorzunehmen.

7.3.3 Polar Analytics

Wir nutzen auf dieser Website das Analyse- und Reporting-Tool Polar Analytics. Anbieter ist die Polar Analytics Inc, 121 W 36th, New York, NY 10018

Polar Analytics sammelt und verarbeitet Daten über das Verhalten der Besucherinnen und Besucher unserer Website und unseres Online-Shops, um die Performance, das Nutzerverhalten und die Effektivität unserer Marketingmaßnahmen zu analysieren. Dabei werden unter anderem folgende Daten erhoben: IP-Adresse (gekürzt oder anonymisiert, soweit möglich), besuchte Seiten, Klickverhalten, Geräteinformationen, Zeitstempel sowie ggf. Transaktions- und Kampagnendaten.

Zu diesem Zweck verwendet Polar Analytics auch ein sogenanntes „Polar Pixel“. Dieses arbeitet mit Cookies oder vergleichbaren Technologien (z. B. Local Storage, Tracking-IDs), um wiederkehrende Nutzer zu erkennen und Daten über Besuche geräteübergreifend zu verknüpfen.

Die Verarbeitung erfolgt ausschließlich nach Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Die Einwilligung kann jederzeit über unser Consent-Banner oder über die Cookie-Einstellungen widerrufen werden.

Polar Analytics kann Daten in Verbindung mit anderen von uns genutzten Diensten verarbeiten, insbesondere:

Google Analytics und Google Ads (Google Ireland Ltd.; Verarbeitung auch durch Google LLC, USA)
Google Merchant Center (Google Ireland Ltd.; Verarbeitung auch durch Google LLC, USA)
Mailchimp (Intuit, Inc., USA)

Weitere Informationen findest du in der Datenschutzerklärung von Polar Analytics:https://www.polaranalytics.com/policy#web-privacy-policy

Wir speichern Analyse-Daten nur solange, wie dies zur Erreichung der genannten Zwecke erforderlich ist und sofern keine längere Aufbewahrungspflicht besteht.

7.4 Google Merchant Center

Wir nutzen den Dienst Google Merchant Center der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Über Google Merchant Center können wir die Produkte aus unserem Online-Shop auch über Google Shopping in der Suchmaschine von Google bewerben und vertreiben. Hierbei werden durch Google Meta- und Kommunikationsdaten (Browser- und Gerätedaten, IP-Adressen) verarbeitet, um Ihnen ein passendes Produkt zu Ihrer Suchanfrage anzuzeigen.

Google ist eigenständig verantwortlich für die Verarbeitung Ihrer Daten, um Ihnen die passenden Produkte auszuspielen; hierauf haben wir keinen Einfluss. Allerdings haben wir unser Google Merchant Center mit Google Analytics verknüpft, um die Reichweite und Effektivität unserer Google-Produktkampagnen statistisch auswerten zu können. Hierfür ist Google als Auftragsverarbeiterin tätig. Den entsprechenden Auftragsverarbeitungsvertrag finden Sie hier.

Soweit wir für die Verarbeitung verantwortlich sind, stützen wir uns auf Ihre Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft in den Cookie-Einstellungen widerrufen.

Google verarbeitet Ihre Daten auch auf Servern ihrer Muttergesellschaft in den USA. Es kommt daher zu einer Datenübermittlung in die USA. Durch die Zertifizierung unter dem Data Privacy Framework (DPF) der US Regierung ist aber sichergestellt, dass bei der Übermittlung hinreichende Garantien für ein adäquates Datenschutzniveau gewährleistet sind. Die Zertifizierung können Sie hier einsehen.

Weitere Informationen zu der Verarbeitung durch Google finden Sie in ihrer Datenschutzerklärung hier. Näheres zu unserem Einsatz von Google Analytics erfahren Sie in Ziffer 6.3.1.

8. Ihre Rechte als betroffene Person

8.1 Überblick

Als betroffene Person im Sinne der DSGVO stehen Ihnen – bei Vorliegen der gesetzlichen Voraussetzungen – die folgenden Rechte zu:

Auskunft (Art. 15 DSGVO): Sie haben das Recht, von uns Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Kategorien von Empfängern (gegenüber denen Daten offengelegt wurden oder werden), die geplante Speicherdauer bzw. die Kriterien für deren Festlegung, die Herkunft Ihrer Daten (sofern diese nicht direkt bei Ihnen erhoben wurden) sowie das Bestehen einer automatisierten Entscheidungsfindung (inkl. Profiling) und aussagekräftige Informationen zu deren Einzelheiten.
Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Außerdem können Sie die Vervollständigung unvollständiger Daten verlangen.
Löschung (Art. 17 DSGVO): Sie haben das Recht zu verlangen, dass Ihre personenbezogenen Daten gelöscht werden, sofern die gesetzlichen Voraussetzungen vorliegen. Dies ist insbesondere der Fall, wenn der Zweck der Verarbeitung weggefallen ist, Sie eine erteilte Einwilligung widerrufen haben oder erfolgreich Widerspruch eingelegt haben (siehe unten 8.2), die Daten unrechtmäßig verarbeitet wurden oder eine gesetzliche Löschpflicht besteht. Bitte beachten Sie, dass das Recht auf Löschung eingeschränkt sein kann – z. B. wenn wir gesetzliche oder vertragliche Aufbewahrungspflichten erfüllen müssen (z. B. gesetzliche Aufbewahrungsfristen) oder wir die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.
Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn eine der Voraussetzungen des Art. 18 DSGVO gegeben ist. Dies ist z. B. der Fall, wenn Sie die Richtigkeit Ihrer Daten bestreiten (für die Dauer, die wir zur Überprüfung benötigen), wenn die Verarbeitung unrechtmäßig ist, Sie aber statt Löschung nur eine eingeschränkte Nutzung wünschen, oder wenn wir die Daten zwar nicht mehr benötigen, Sie jedoch zur Geltendmachung von Rechtsansprüchen darauf angewiesen sind. Auch wenn Sie einen Widerspruch nach Art. 21 DSGVO eingelegt haben, können Sie die Einschränkung der Verarbeitung verlangen, solange noch nicht feststeht, ob unsere berechtigten Gründe gegenüber Ihren überwiegen.
Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die von Ihnen bereitgestellten personenbezogenen Daten, die wir auf Grundlage Ihrer Einwilligung oder zur Vertragserfüllung automatisiert verarbeiten, in einem gängigen, maschinenlesbaren Format zu erhalten oder – auf Ihre Anforderung, soweit technisch machbar – direkt einem anderen Verantwortlichen übermitteln zu lassen.
Beschwerderecht (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde. Sie können sich hierfür an die für uns zuständige Behörde wenden oder an die Behörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Hinweis: Zur Ausübung Ihrer Rechte können Sie sich jederzeit über die unter Punkt 2 angegebenen Kontaktdaten an uns wenden. Bitte geben Sie dabei an, welches Recht Sie ausüben möchten, damit wir Ihr Anliegen entsprechend bearbeiten können.

8.2 Widerspruchsrecht nach Art. 21 DSGVO

Widerspruch gegen berechtigte Interessen im Einzelfall (Art. 21 Abs. 1 DSGVO)

Sofern wir eine Verarbeitung Ihrer personenbezogenen Daten auf ein berechtigtes Interesse stützen (Art. 6 Abs. 1 lit. f DSGVO), haben Sie das Recht, Widerspruch gegen diese Verarbeitung einzulegen, aus Gründen, die sich aus Ihrer besonderen Situation ergeben.

Im Falle Ihres Widerspruchs prüfen wir, ob wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder ob wir die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigen. Nur wenn wir derartige Gründe nachweisen können, dürfen wir trotz Ihres Widerspruchs Ihre Daten weiter verarbeiten. Andernfalls müssen wir die Verarbeitung, die auf Art. 6 Abs. 1 lit. f DSGVO beruhte, einstellen.

Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO)

Einen Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung können Sie jederzeit ohne Angabe von Gründen uns gegenüber erklären. Wenn Sie Widerspruch gegen Direktwerbung einlegen, werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Bitte richten Sie Ihren Widerspruch möglichst an die unter Punkt 2 genannten Kontaktmöglichkeiten (E-Mail oder Post genügt). Sie müssen dabei keine besonderen Formulierungen verwenden – wichtig ist lediglich, dass wir erkennen können, welcher Verarbeitung Sie widersprechen (z. B. Werbung per E-Mail oder Post).

Besonderer Hinweis: Das Widerspruchsrecht für Direktwerbung gilt unabhängig vom Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO oben. Das heißt, selbst wenn eine Verarbeitung auf einem berechtigten Interesse beruht und Sie dem widersprechen, müssen Sie zusätzlich ausdrücklich erwähnen, falls sich Ihr Widerspruch gegen Direktwerbung richtet – oder Sie nutzen gleich die oben beschriebenen direkten Abmeldemöglichkeiten (Newsletter-Abmeldelink, Mitteilung an uns).

Speicherung des Widerspruchs: Sollten Sie von Ihrem Widerspruchsrecht Gebrauch machen, werden wir Ihre Angaben (Name, Kontaktdaten, Art des Widerspruchs) intern speichern, um sicherzustellen, dass wir Ihrem Widerspruch dauerhaft Rechnung tragen. Dies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der Dokumentation und Einhaltung des Widerspruchs). Die gespeicherten Widerspruchs-Informationen werden ausschließlich zu diesem Zweck verwendet und nicht gelöscht, da wir ein überwiegendes Interesse daran haben, künftige Werbung oder unzulässige Verarbeitung zu unterbinden. Die Daten sind jedoch in unseren Systemen gesperrt und werden nicht für andere Zwecke genutzt.

(Version 1.0; Stand: 10.03.2026)

Diese Datenschutzerklärung wird laufend aktualisiert, um gesetzlichen Anforderungen zu genügen und unsere Leistungen/Verarbeitungen korrekt darzustellen. Wir empfehlen Ihnen daher, die Datenschutzhinweise gelegentlich erneut zu lesen.