Datenschutzerklärung

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

Vollständige Pflichtangaben siehe Impressum. Einen Datenschutzbeauftragten haben wir nach Art. 37 DSGVO nicht bestellt; die gesetzlichen Schwellenwerte für eine Bestellpflicht werden nicht erreicht.

Beim Aufruf dieser Website werden vom Browser Ihres Endgeräts automatisch Daten an unseren Hosting-Anbieter (Vercel Inc., siehe Punkt 4) übertragen und in sogenannten Server-Logs gespeichert. Erfasst werden:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL und HTTP-Antwortstatus
• übertragene Datenmenge
• Browsertyp und Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren und stabilen Betrieb der Website sowie der Abwehr von Angriffen. Eine Zusammenführung dieser Daten mit anderen Datenquellen oder eine Auswertung zu Marketingzwecken findet nicht statt.

Wir setzen keine Cookies oder vergleichbaren Technologien für Tracking, Reichweitenmessung, Profilbildung oder Werbung ein. Genutzt werden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind:

• Warenkorb-Cookie (mmh_cart_v1): speichert die Produkt-IDs und Mengen Ihres Warenkorbs während des Bestellvorgangs. Es enthält keine direkt identifizierenden Daten, wird ausschließlich über verschlüsselte Verbindungen übertragen (Secure-Flag in Produktion) und ist gegen den Zugriff durch Skripte geschützt (HttpOnly, SameSite=Lax). Nach spätestens 30 Tagen wird das Cookie automatisch gelöscht. Die Speicherung ist gemäß § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, damit der Warenkorb-Dienst überhaupt funktioniert; eine Einwilligung ist hierfür nicht erforderlich.

Während der Bezahlung über Stripe (siehe Punkt 8) setzt Stripe auf seiner eigenen Domain weitere technisch notwendige Cookies zur Betrugsprävention. Diese unterliegen der Datenschutzerklärung von Stripe.

Da wir keine einwilligungspflichtigen Cookies einsetzen, ist ein Cookie-Banner nach § 25 TDDDG nicht erforderlich.

Diese Website wird in der Cloud-Infrastruktur der Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA gehostet. EU-Vertreter nach Art. 27 DSGVO ist EDPO (European Data Protection Office), Avenue Huart Hamoir 71, 1030 Brüssel, Belgien. Beim Aufruf werden die unter Punkt 2 genannten Zugriffsdaten an Vercel übertragen und dort verarbeitet. Vercel verarbeitet diese Daten in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Die Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); soweit Vercel unter dem EU-US Data Privacy Framework zertifiziert ist, stützt sich die Übermittlung zusätzlich auf den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Eine Kopie der Garantien kann bei uns angefordert werden. Rechtsgrundlage für den Einsatz ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

Datenschutzhinweise von Vercel: https://vercel.com/legal/privacy-policy

Bestelldaten, Kundenangaben (Lieferadresse, Rechnungsadresse, E-Mail) und Bestell-Status werden in einer PostgreSQL-Datenbank der Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992, gespeichert. Die Datenbank wird ausschließlich in der Region EU (Frankfurt am Main, AWS eu-central-1) betrieben; ein Datentransfer in Drittstaaten findet im Rahmen der Datenbank-Speicherung nicht statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen). Mit Supabase besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Datenschutzhinweise von Supabase: https://supabase.com/privacy

Wir verwenden die Schriften „Playfair Display" und „Inter" als selbst gehostete Web-Schriften über das Next.js-Modul next/font. Die Schriftdateien werden zum Zeitpunkt des Builds einmalig heruntergeladen und anschließend ausschließlich von unserem Server (bzw. dem CDN-Cache von Vercel) ausgeliefert. Es findet keine Verbindung Ihres Browsers zu Google-Servern statt.

Wenn Sie über den Shop Produkte bestellen, verarbeiten wir die für die Vertragsabwicklung erforderlichen Daten:

• Vor- und Nachname, Lieferadresse, ggf. abweichende Rechnungsadresse
• E-Mail-Adresse für Bestell- und Versandbestätigungen
• Bestellinhalt (Produkte, Mengen, Preise) und Bestellnummer
• Zahlungsbezogene Identifikatoren von Stripe (Session-ID, Payment-Status), nicht aber Zahlungsdaten selbst (siehe Punkt 8)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 257 HGB und § 147 AO für die handels- und steuerrechtlichen Aufbewahrungspflichten. Die Daten werden gespeichert, solange sie für die Vertragsabwicklung benötigt werden, anschließend für die gesetzliche Aufbewahrungsfrist von in der Regel 10 Jahren und werden danach gelöscht.

Die Zahlungsabwicklung im Shop erfolgt über Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, für Kunden im Europäischen Wirtschaftsraum, in Verbindung mit Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA als globaler Anbieter.

Wir leiten Sie für den Bezahlvorgang auf eine von Stripe gehostete Checkout-Seite weiter. Sie geben Ihre Zahlungsdaten (z. B. Kreditkartennummer, IBAN, PayPal-Login) ausschließlich dort ein; wir erhalten und speichern diese Daten zu keinem Zeitpunkt. Stripe übermittelt uns nach Abschluss des Bezahlvorgangs lediglich den Status der Zahlung sowie eine Stripe-interne Transaktions-ID.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Die Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); soweit Stripe unter dem EU-US Data Privacy Framework zertifiziert ist, stützt sich die Übermittlung zusätzlich auf den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Mit Stripe besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine Kopie der Garantien kann bei uns angefordert werden.

Datenschutzhinweise von Stripe: https://stripe.com/de/privacy

Bestell-, Versand- und Anfragebestätigungen versenden wir über den Dienst Resend, juristisch betrieben von Plus Five Five, Inc. (operating as Resend), 2261 Market Street #5039, San Francisco, CA 94114, USA. Hierzu wird Ihre E-Mail-Adresse zusammen mit dem Inhalt der jeweiligen Nachricht (z. B. Bestellbestätigung, Versandhinweis, Antwort auf eine Anfrage) an Resend übermittelt. Versand-Logs (Zustellstatus, Zeitpunkt) werden bei Resend zur Zustellungsdokumentation gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Shop) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Anfragebearbeitung) für Anfrageformulare. Die Datenübermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); soweit Resend unter dem EU-US Data Privacy Framework zertifiziert ist, stützt sich die Übermittlung zusätzlich auf den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine Kopie der Garantien kann bei uns angefordert werden.

Datenschutzhinweise von Resend: https://resend.com/legal/privacy-policy

Für Anfragen zu personalisierten Firmengeschenken und für Event-/Marktstand-Buchungen stellen wir auf der Website Anfrageformulare bereit. Verarbeitet werden ausschließlich die von Ihnen freiwillig angegebenen Daten:

• Firmengeschenke: Firma, Ansprechpartner, E-Mail, Telefon, gewünschte Stückzahl, Anlass, Wunschtermin, optional ein hochgeladenes Logo (siehe Punkt 11), freie Nachricht.
• Event-/Marktstand-Buchung: Name, Firma (optional), E-Mail, Telefon, Veranstaltungsart, Datum, Ort, erwartete Personenzahl, gewünschte Angebote, freie Nachricht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Die Daten werden per E-Mail an unser IONOS-Postfach übermittelt (siehe Punkt 12) und gespeichert, bis Ihre Anfrage abschließend bearbeitet ist. Anschließend werden sie gelöscht, sofern kein Vertrag zustande gekommen ist und keine handels- oder steuerrechtlichen Aufbewahrungspflichten entgegenstehen.

Beim Anfrageformular für Firmengeschenke besteht die Möglichkeit, eine PDF-Datei mit Ihrem Logo hochzuladen. Diese Datei wird im Speicherdienst Vercel Blob (Anbieter: Vercel Inc., siehe Punkt 4) abgelegt und über eine signierte URL für die Bearbeitung Ihrer Anfrage bereitgestellt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Die hochgeladene Datei wird gelöscht, sobald die Anfrage abschließend bearbeitet ist; im Fall eines Vertragsabschlusses spätestens nach Auslieferung der bestellten Mandeltüten zuzüglich gesetzlicher Aufbewahrungsfristen.

Wenn Sie uns per E-Mail kontaktieren oder Anfragen über die Formulare versenden, landet Ihre Nachricht in einem E-Mail-Postfach, das wir bei der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, betreiben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrags) bzw. lit. f DSGVO (berechtigtes Interesse an der Beantwortung). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine handels- oder steuerrechtlichen Aufbewahrungspflichten entgegenstehen.

Im Footer verlinken wir auf unser Instagram-Profil. Wir betten keine Inhalte von Instagram, Facebook oder anderen sozialen Netzwerken auf unserer Website ein. Eine Datenübertragung an diese Anbieter findet erst statt, wenn Sie den Link aktiv anklicken und auf deren Seite gelangen.

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

• Server-Logs: bei Vercel im genutzten Pro-Plan automatisch nach 1 Tag gelöscht
• Bestelldaten und Rechnungen: für die gesetzlichen Aufbewahrungsfristen nach § 257 HGB / § 147 AO (in der Regel 10 Jahre)
• Anfragedaten ohne Vertragsschluss: bis zur abschließenden Bearbeitung Ihrer Anfrage, anschließend Löschung
• Hochgeladene Logo-Dateien: bis Anfrage-Abschluss bzw. nach Vertragsausführung zuzüglich gesetzlicher Fristen
• Warenkorb-Cookie: bis zur Löschung durch Sie, längstens 30 Tage

Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21) gegen die Verarbeitung Ihrer personenbezogenen Daten. Bitte richten Sie entsprechende Anfragen an die unter Punkt 1 genannten Kontaktdaten.

Daneben besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf.

Wir passen diese Datenschutzerklärung an, sobald sich tatsächliche oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Version finden Sie immer unter dieser URL.