Datenschutzerklärung
Stand: 15.10.2025
Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Daniel Schweighöfer
Heinrich-Wieland-Str. 21
55218 Ingelheim am Rhein, Deutschland
E-Mail: info@schweighoefer-tortechnik.de
Telefon: +49 6132 436 846 1
1. Grundsätze, Zwecke, Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten gemäß DSGVO/BDSG zu folgenden Zwecken und Rechtsgrundlagen:
- Vertrag/Anbahnung (Art. 6 Abs. 1 lit. b): Bestellungen, Retouren, Gewährleistung, Support.
- Einwilligung (Art. 6 Abs. 1 lit. a): nicht notwendige Cookies/Tracking, Newsletter-Tracking, Marketing-Pixel, externe Inhalte.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): IT-Sicherheit, Missbrauchs-/Betrugsprävention, wirtschaftlicher Betrieb, Reichweitenmessung in Pseudonymisierung.
- Rechtliche Pflichten (Art. 6 Abs. 1 lit. c): steuer-/handelsrechtliche Aufbewahrung, Nachweispflichten (z. B. Consent-Logs).
Speicherdauern richten sich nach Zweck/Fristen (siehe 10).
2. Bereitstellung der Website, Logfiles & Sicherheit
Beim Besuch unserer Seiten werden u. a. IP-Adresse, Zeitpunkt, angeforderte URL/Datei, Referrer, User-Agent/Browser, Betriebssystem, Statuscodes und Datenmenge serverseitig verarbeitet.
Zwecke: technische Auslieferung, Stabilität, Fehlersuche, IT-Sicherheit (Firewalls, WAF, Ratenbegrenzung, DDoS-Schutz). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: i. d. R. 7–30 Tage, länger bei Sicherheitsvorfällen.
3. Hosting, Shop-Plattform, CDN & Tag-Manager
3.1 Shop-Plattform/Hosting (z. B. Shopify)
Zum Betrieb des Shops nutzen wir eine Shop-Plattform mit Hosting/Datenbank/Backups. Verarbeitet werden alle im Shop anfallenden Daten (Formulare, Checkout, Kundenkonto) sowie Logdaten. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung (AV). Es kann zu Übermittlungen in Drittländer (z. B. Kanada/USA) kommen; geeignete Garantien siehe 13.
3.2 CDN/Performance
Zur schnellen, sicheren Auslieferung nutzen wir Content Delivery Networks (CDN). Dabei werden Zugriffsdaten (inkl. IP) verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
3.3 Google Tag Manager
Der Tag Manager verwaltet Skripte/Pixel. Er setzt selbst keine Tracking-Cookies; nachgeladene Tags ggf. schon (abhängig von Ihrer Einwilligung). Rechtsgrundlage: Art. 6 Abs. 1 lit. a (für nicht notwendige Tags) bzw. lit. f (rein technische Steuerung).
5. Kundenkonto, Bestellungen & Kommunikation
5.1 Kundenkonto (optional)
Verarbeitung von Stammdaten, Login-Daten (gehasht), Bestellhistorie, Adressbuch. Grundlage: Art. 6 Abs. 1 lit. b/f.
5.2 Bestellung/Vertrag
Verarbeitung von Stammdaten, Liefer-/Rechnungsadresse, E-Mail, Telefon, Positionen, Preisen, Zahlungs- und Versandinfos, Retouren/Gewährleistung. Grundlage: Art. 6 Abs. 1 lit. b; Aufbewahrung nach HGB/AO.
5.3 Kommunikation
Anfragen via Formular/E-Mail/Telefon/Chat (Supportsysteme) inkl. Ticket-/Protokolldaten. Grundlage: Art. 6 Abs. 1 lit. b (Anfragen), lit. f (Qualitätssicherung).
6. Zahlungen, Betrugsprävention & Inkasso
6.1 Zahlungsdienste (je nach Auswahl)
- Shopify Payments/Stripe
- PayPal
- Klarna (Pay Later/Ratenkauf/Sofort)
- Giropay
- SEPA-Lastschrift/Überweisung
- Apple Pay / Google Pay
- ggf. Mollie
Verarbeitete Daten: Zahler-ID, Transaktionsdaten, maskierte Kartendaten/IBAN, Risk-Scores. Grundlage: Art. 6 Abs. 1 lit. b; eigene Betrugsprävention Art. 6 Abs. 1 lit. f. Zahlungsdienste handeln teils eigenverantwortlich (eigene Datenschutzhinweise).
6.2 Betrugsprävention/Risikobewertung
Risikoprüfungen (z. B. Device-Fingerprint, Muster, Blacklists) zur Abwehr von Missbrauch. Grundlage: Art. 6 Abs. 1 lit. f.
6.3 Inkasso
Bei Verzug: Datenübermittlung an Merk: Anwälte GbR Anja & Hans-Jürgen Merk, Gustav-Pfarrius-Str. 1-3, 55543 Bad Kreuznach. Grundlage: Art. 6 Abs. 1 lit. b/f.
7. Versandabwicklung & Streckengeschäft
Zur Vertragserfüllung übermitteln wir notwendige Daten (Name, Adresse, E-Mail/Telefon für Avis) an Versand-/Logistikpartner; im Streckengeschäft auch an Hersteller/Großhändler (als Versanddienstleister).
Dienstleister u. a.: GLS Germany, UPS Deutschland, Hermes Germany, DHL Paket, Bos Dynamics, DPD Deutschland.
Avis (E-Mail/SMS/Telefon) nur mit Einwilligung (Art. 6 Abs. 1 lit. a), widerrufbar.
9. Analyse, Marketing-Pixel, A/B-Tests & reCAPTCHA
Wichtig: Alle nicht notwendigen Technologien werden erst nach Einwilligung geladen (Consent-Mode, sofern unterstützt).
9.1 Google Analytics 4
Daten: Seitenaufrufe/Events, Interaktionen, verkürzte IP, Device/Browser, Referrer, ggf. User-ID (pseudonym), ggf. Google Signals (falls aktiviert). Grundlage: Art. 6 Abs. 1 lit. a; AV mit Google; Speicherfristen (z. B. 2/14 Monate) konfiguriert.
9.2 Google Ads (Conversion/Remarketing) & Conversion Linker
Messung von Conversions, Kampagnenzuordnung, Remarketing-Zielgruppen. Grundlage: Art. 6 Abs. 1 lit. a.
9.3 Google Tag Manager
Steuert Tags; selbst keine Tracking-Cookies. Grundlage: Art. 6 Abs. 1 lit. a/f.
9.4 Meta Pixel (Facebook/Instagram)
Conversion-Messung, Custom Audiences/Lookalikes, ggf. erweiterter Abgleich (gehashte Daten). Ggf. gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Grundlage: Art. 6 Abs. 1 lit. a.
9.5 TikTok Pixel, LinkedIn Insight Tag, Pinterest Tag, Microsoft Ads (Bing UET)
Ähnliche Zwecke: Conversion-Tracking, Retargeting, Zielgruppenbildung. Grundlage: Art. 6 Abs. 1 lit. a.
9.6 Hotjar/Microsoft Clarity & A/B-Testing
Heatmaps, Klickpfade, Session-Replays, A/B-Tests; IP-Maskierung, Unterdrückung sensibler Felder. Grundlage: Art. 6 Abs. 1 lit. a.
9.7 Google reCAPTCHA
Schutz vor Spam/Bot-Missbrauch; erhebt u. a. Mausbewegungen, IP, Browser/Device-Infos. Grundlage: Art. 6 Abs. 1 lit. f.
10. Speicherdauer & Löschung
- Bestell-/Vertragsdaten: gesetzliche Aufbewahrung (i. d. R. 6–10 Jahre, AO/HGB).
- Kundenkonto: bis Löschung/Deaktivierung; gesetzliche Pflichten unberührt.
- Kontakt/Support: i. d. R. 12–36 Monate (sofern keine längeren Pflichten).
- Newsletter: bis Widerruf; Nachweis des Opt-ins bis zu 3 Jahre nach letztem Versand.
- Tracking/Marketing: entsprechend Tool-Einstellungen (z. B. GA4 2–14 Monate) oder Widerruf.
- Logfiles/Sicherheit: i. d. R. 7–30 Tage.
12. Empfänger & Kategorien
- Interne Stellen: Vertrieb, Support, Buchhaltung, IT, Marketing (Need-to-know).
- Auftragsverarbeiter: Hosting, CDN, E-Mail/SMS-Versand, Ticketing/CRM, Zahlungs-/Versanddienstleister, Newsletter-Tool, CMP, Analyse/Marketing, Monitoring.
- Dritte: Zahlungsdienste (teils eigene Verantwortliche), Behörden im Rechtsfall, Inkasso/Anwälte.
Mit Auftragsverarbeitern bestehen AV-Verträge inkl. technischer und organisatorischer Maßnahmen (TOM).
13. Drittlandübermittlungen (Art. 44 ff. DSGVO)
Bei Verarbeitung außerhalb der EU/EWR (z. B. USA, Kanada, UK) stellen wir ein angemessenes Datenschutzniveau sicher über:
- Angemessenheitsbeschlüsse (z. B. USA via EU-US DPF, soweit Anbieter zertifiziert),
- EU-Standardvertragsklauseln (SCC) und ggf. zusätzliche Maßnahmen (Verschlüsselung/Pseudonymisierung/Datensparsamkeit).
Risiko-Hinweis: Trotz Garantien kann das Schutzniveau geringer sein (behördliche Zugriffe). Über das CMP holen wir ggf. Einwilligungen nach Art. 49 Abs. 1 lit. a DSGVO für Einzelfälle ein.
14. Pflichtangaben, Minderjährige, Profiling
- Pflichtdaten: Im Checkout erforderlich; ohne diese kein Vertragsschluss.
- Minderjährige: Angebot richtet sich an Personen ab 16 Jahren.
- Automatisierte Entscheidungen: keine; Marketing-Profiling (Segmentierung/Retargeting) nur mit Einwilligung.
15. Ihre Rechte & Beschwerde
- Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).
- Widerspruch (Art. 21) gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f und gegen Direktwerbung jederzeit.
- Widerruf erteilter Einwilligungen (Art. 7) mit Wirkung für die Zukunft.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77), z. B.: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Hintere Bleiche 34, 55116 Mainz, Deutschland.
16. Kontakt für Datenschutzanliegen
Bei Auskünften, Berichtigung/Löschung, Einschränkung, Datenübertragbarkeit, Widersprüchen oder Widerrufen kontaktieren Sie uns bitte unter den oben genannten Kontaktdaten. Zur eindeutigen Identifikation machen Sie bitte angemessene Angaben (z. B. Bestell- oder Kundennummer).
Datenschutzbeauftragter: Derzeit nicht benannt; nach gesetzlichen Vorgaben keine Verpflichtung. Bei Änderung aktualisieren wir diese Erklärung.
17. Änderungen dieser Erklärung
Wir aktualisieren diese Datenschutzerklärung bei Rechtsänderungen, neuen Diensten oder internen Prozessänderungen. Maßgeblich ist die hier veröffentlichte Fassung mit oben genanntem Stand.
Anhang A – Eingesetzte Dienste
Nur die Dienste aktiv lassen/pflegen, die ihr wirklich nutzt. Alle anderen im Shop-Backend/CMP deaktivieren oder hier löschen.
- Shop-Plattform/Hosting: Shopify (Shopify International Ltd., Shopify Inc.) – AV/SCC/DPF; Zwecke: Shop, Checkout, Datenbank, E-Mail.
- CDN/Performance: z. B. Cloudflare/Fastly/Akamai – WAF/DDoS/CDN (Art. 6 Abs. 1 lit. f).
- CMP (Consent-Banner): z. B. Usercentrics, Cookiebot, Shopify-CMP – Protokollierung von Einwilligungen (§ 25 TTDSG, Art. 6 Abs. 1 lit. a/c/f).
- Analytics/Marketing: Google Analytics 4 (IP-Anonymisierung, Signals optional); Google Ads/Conversion/Remarketing + Conversion Linker; Google Tag Manager; Meta Pixel (erweiterter Abgleich optional); TikTok Pixel; LinkedIn Insight Tag; Pinterest Tag; Microsoft Ads (Bing UET); Hotjar/Microsoft Clarity (Session-Replays/Heatmaps); A/B-Testing (z. B. Optimizely/VWO). Grundlage: Art. 6 Abs. 1 lit. a.
- Spam-/Bot-Schutz: Google reCAPTCHA (Art. 6 Abs. 1 lit. f).
- E-Mail-/Newsletter-Tool: z. B. Klaviyo/Mailchimp/Brevo – Double-Opt-In; Tracking nur mit Einwilligung (Art. 6 Abs. 1 lit. a/b).
- Zahlungen: Shopify Payments/Stripe, PayPal, Klarna, Giropay, Mollie, Apple Pay, Google Pay – Art. 6 Abs. 1 lit. b (teils eigene Verantwortliche).
- Versand/Logistik: GLS, UPS, Hermes, DHL, Bos Dynamics, DPD; Streckengeschäft Hersteller/Großhändler – Art. 6 Abs. 1 lit. b; Avis nur mit Einwilligung.
- Kundenservice/Helpdesk: z. B. Zendesk/Gorgias/Intercom – Art. 6 Abs. 1 lit. b/f.
- Fehler-/Performance: z. B. Sentry/New Relic – Pseudonyme Telemetrie (Art. 6 Abs. 1 lit. f).
11. Social-Media-Auftritte
Wir betreiben Unternehmenspräsenzen auf X (Twitter), Instagram, YouTube, Pinterest, LinkedIn und Xing. Bei Besuch gelten zusätzlich die Datenschutzregeln der Plattformen. Teils besteht gemeinsame Verantwortlichkeit (Art. 26 DSGVO, z. B. Meta-Fanpages/LinkedIn-Insights). Rechtsgrundlagen: Art. 6 Abs. 1 lit. f (Öffentlichkeitsarbeit), Art. 6 Abs. 1 lit. a (Werbe-/Tracking-Einwilligungen auf Plattformen).