1. Einleitung & Verantwortlicher
Wir freuen uns über dein Interesse an unserem Online-Shop. Der Schutz deiner personenbezogenen Daten ist uns wichtig. Im Folgenden informieren wir dich darüber, welche Daten wir wann und zu welchem Zweck verarbeiten.
Daniel Nepke (Vape Taxi Schwanewede)
Rotdornweg 24, 28790 Schwanewede
E-Mail: info@vapetaxischwanewede.de
Telefon: 0176 72155422
2. Begriffsbestimmungen
Diese Datenschutzerklärung verwendet die Begriffe der DSGVO. „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. „Verarbeitung" ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Löschen usw.).
3. Bereitstellung der Website & Server-Logfiles
Beim Aufruf unserer Website werden durch den Hosting-Provider automatisch Daten in sogenannten Server-Logfiles erfasst, die dein Browser übermittelt. Das sind:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL / übertragene Datenmenge
- Referrer-URL (zuvor besuchte Seite)
- Browsertyp / Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien Darstellung und Sicherheit unserer Website).
Speicherdauer: kurzfristig — die Logs werden im Rahmen der üblichen Log-Rotation des Hosting-Providers automatisch gelöscht oder anonymisiert. Im Rahmen einer Untersuchung sicherheitsrelevanter Ereignisse können einzelne Einträge länger aufbewahrt werden.
Missbrauchs-Abwehr (Rate-Limiting): Zur Abwehr automatisierter Zugriffe (z. B. massenhafte Bestell-, Login- oder Suchanfragen) werten wir die IP-Adresse zusätzlich kurzzeitig im Arbeitsspeicher des Servers aus und begrenzen die Anzahl der Anfragen pro Zeitraum. Diese Daten werden nicht dauerhaft gespeichert, sondern verfallen automatisch nach wenigen Minuten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit des Dienstes).
4. Cookies & Local Storage
Wir setzen ausschließlich technisch notwendige Speicherfunktionen ein. Keine Tracking-, Marketing- oder Analyse-Cookies, keine Drittanbieter-Cookies.
Im Einzelnen verwenden wir:
customer_session(Cookie, HttpOnly, Secure, SameSite=Lax) — wird nach deinem Login im Kundenkonto gesetzt und hält dich angemeldet, damit du Bestellbestätigungen wiederfindest und schneller zur Kasse kommst. Lebensdauer: 14 Tage ab Login. Inhalt: ein kryptografisch signiertes Token mit deiner Konto-Kennung, einer Sitzungs-Version und der Ablaufzeit. Ohne gültige Signatur ist das Token unbrauchbar; es enthält weder Passwort noch Klartext-Namen oder E-Mail-Adresse.recent_orders(Cookie, HttpOnly, Secure, SameSite=Lax) — wird beim Absenden einer Bestellung gesetzt und merkt sich kryptografisch signiert die Bestellnummern, die du in diesem Browser aufgegeben hast (max. 15). Nur so kann die Bestellbestätigungs-Seite deine Bestelldaten anzeigen bzw. eine Gast-Bestellung später deinem Konto zugeordnet werden — Dritte, die nur eine Bestellnummer kennen, sehen nichts. Lebensdauer: 7 Tage. Enthält ausschließlich Bestellnummern, keine weiteren Daten.admin_session(Cookie, HttpOnly, Secure, SameSite=Strict) — wird ausschließlich im internen Verwaltungsbereich gesetzt und betrifft nur Mitarbeiter, nicht reguläre Besucher der Website. Lebensdauer: 7 Tage.vape-taxi-cart-v2(Browser-LocalStorage) — speichert deinen aktuellen Warenkorb und deine Altersbestätigung lokal auf deinem Gerät. Wird nicht an uns übermittelt, solange du keine Bestellung absendest. Bleibt erhalten, bis du ihn manuell oder über die Browser-Einstellungen löschst.vt-cookie-ack(Browser-LocalStorage) — merkt sich, dass du diesen Cookie-Hinweis bereits gesehen hast, damit er dir nicht bei jedem Seitenaufruf erneut angezeigt wird. Enthält nur den Wert „1".
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung — soweit Login bzw. Bestellabwicklung betroffen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Seite) i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den vom Nutzer ausdrücklich gewünschten Telemediendienst). Eine Einwilligungspflicht besteht für diese technisch notwendigen Speicherfunktionen nicht.
5. Bestellabwicklung
Für die Abwicklung deiner Bestellung verarbeiten wir folgende Daten: Vor- und Nachname, Lieferadresse (bei Lieferung), Telefonnummer, E-Mail-Adresse, Bestellinhalt, gewählter Zeitslot, Zahlungsart, Bestätigung deines Mindestalters.
Zwecke: Vertragsabschluss und -erfüllung, Auslieferung, Altersnachweis nach § 10 JuSchG, Abrechnung, Buchhaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten, insb. § 147 AO, § 257 HGB).
Speicherdauer: Bestelldaten werden mindestens für die gesetzlichen Aufbewahrungsfristen (in der Regel 6 bzw. 10 Jahre) aufbewahrt.
6. Kontaktaufnahme per E-Mail oder Telefon
Wenn du uns kontaktierst, verarbeiten wir die von dir mitgeteilten Daten (mind. Name + Kontakt) zur Bearbeitung deiner Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (sofern deine Anfrage auf einen Vertragsabschluss zielt) bzw. lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
7. Hosting
Unser Webauftritt wird betrieben bei: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
8. Kundenkonto & E-Mail-Bestätigung
Du kannst optional ein Kundenkonto anlegen, um deine Lieferadresse zu speichern und deine Bestellhistorie einzusehen. Die Bestellung selbst ist auch als Gast möglich.
Beim Anlegen verarbeiten wir Vor- und Nachname, E-Mail-Adresse, Telefon sowie optional die Lieferadresse. Das Passwort wird ausschließlich als Hash (scrypt) gespeichert — wir können es selbst nicht einsehen.
Nach der Registrierung senden wir dir eine Bestätigungs-Mail mit einem zeitlich befristeten Link (48 Stunden). Die Verifikation ist optional — sie hilft, Tippfehler in der E-Mail-Adresse zu erkennen, damit dich Bestellbestätigungen sicher erreichen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung / Komfortfunktion auf Wunsch des Nutzers).
Speicherdauer: bis zur Löschung des Kontos durch dich. Beim Löschen werden alle direkt mit dem Konto verknüpften Daten entfernt; vergangene Bestellungen werden anonymisiert (Name, Adresse, E-Mail, Telefon werden überschrieben), bleiben aber wegen der steuerrechtlichen Aufbewahrungspflichten als Datensatz bestehen.
9. Sicherheits-Logs (Admin-Aktionen)
Aktionen in unserem internen Verwaltungsbereich (z.B. Statusänderungen an Bestellungen, Produktbearbeitungen) werden mit Zeitstempel und IP-Adresse protokolliert. Diese Logs dienen ausschließlich der Nachvollziehbarkeit administrativer Eingriffe und der Erkennung von Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Nachvollziehbarkeit).
Speicherdauer: 12 Monate, danach werden Einträge automatisch gelöscht.
10. Empfänger / Auftragsverarbeiter
Wir geben deine Daten nur an folgende Empfänger weiter, soweit dies zur Vertragserfüllung oder aufgrund gesetzlicher Verpflichtung notwendig ist. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO:
- Hosting-Provider (siehe Abschnitt 7)
- Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — Versand transaktionaler E-Mails (Bestellbestätigung, E-Mail-Verifikation). Resend verarbeitet dabei E-Mail-Adresse, Name und Bestellinhalte. Übermittlung in die USA gestützt auf EU-US Data Privacy Framework + Standardvertragsklauseln. DPA: resend.com/legal/dpa.
- IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland — Domain-Registrierung und Betrieb des E-Mail-Postfachs (Empfang eingehender Kundenanfragen an die Kontaktadresse).
- Steuerberater / Buchhaltung (gesetzliche Aufbewahrungspflichten)
- Bei Vorab-Überweisung: dein und unser Kreditinstitut
- Bei Behördenanfragen: zuständige Behörden, soweit gesetzlich verpflichtet
11. Karten / Liefergebiet (OpenStreetMap)
Auf der Liefergebiet-Seite zeigen wir eine Karte, deren Kacheln direkt von OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich, geladen werden. Beim Aufruf der Karte sieht OSM kurzzeitig deine IP-Adresse; ein Tracking findet nicht statt. Die OSM Foundation hat ihren Sitz im Vereinigten Königreich; Übermittlungen dorthin sind durch den jeweils geltenden Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (Art. 45 DSGVO) abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer informativen Darstellung des Liefergebiets). Datenschutzhinweise von OSM: osmfoundation.org/wiki/Privacy_Policy.
12. Übermittlung in Drittländer
Eine Übermittlung in Drittländer erfolgt ausschließlich an Resend Inc. (USA) zum Versand transaktionaler E-Mails (siehe Abschnitt 10). Die Übermittlung ist abgesichert durch das EU-US Data Privacy Framework und Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
13. Deine Rechte
Du hast jederzeit folgende Rechte:
- Auskunft über deine bei uns gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung aus Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung deiner Rechte genügt eine formlose Mitteilung an info@vapetaxischwanewede.de.
Als angemeldeter Kunde kannst du deine bei uns gespeicherten Konto- und Bestelldaten jederzeit selbst als JSON-Datei herunterladen unter vapetaxischwanewede.de/konto/datenexport. Dein Konto kannst du im Profilbereich vollständig löschen lassen (Art. 17 DSGVO); vergangene Bestellungen werden dabei anonymisiert.
14. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).
Für uns zuständig ist:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
lfd.niedersachsen.de
15. Pflicht zur Bereitstellung der Daten
Im Rahmen einer Bestellung musst du nur die Daten bereitstellen, die für Vertragsabschluss und -erfüllung notwendig sind. Ohne diese Daten können wir keinen Vertrag mit dir abschließen.
16. Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung (einschließlich Profiling) im Sinne von Art. 22 DSGVO statt.
17. SSL-/TLS-Verschlüsselung
Die Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du am „https://" in der Adresszeile deines Browsers.
18. Pre-Launch-Bedarfsumfrage
Vor dem Start bieten wir eine freiwillige, anonyme Umfrage an, mit der wir den lokalen Bedarf einschätzen, damit unser Sortiment zum Start passt. Die Teilnahme erfordert keinen Login und keine E-Mail-Adresse.
Verarbeitete Angaben: genutzte Geräteart, bevorzugte Geschmacksrichtungen, Nikotinstärke, Bestellhäufigkeit sowie optional Lieblingsmarken, Produktwünsche (Freitext) und Postleitzahl. Bitte gib in den Freitextfeldern keine Angaben an, die dich identifizieren.
Die Antworten werden ohne Personenbezug gespeichert. Insbesondere wird keine IP-Adresse gespeichert — sie wird ausschließlich flüchtig zur Spam-/Missbrauchs-Abwehr (Rate-Limiting) im Arbeitsspeicher ausgewertet und nicht zur Antwort abgelegt.
Zweck: Einschätzung der lokalen Nachfrage und Planung der Erstbestückung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer bedarfsgerechten Sortimentsplanung). Die Teilnahme ist vollständig freiwillig.
Speicherdauer: bis zu 12 Monate ab Einsendung, danach automatische Löschung.
19. Aktualität / Änderung dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder Änderungen unserer Leistungen anzupassen. Die jeweils aktuelle Fassung findest du stets auf dieser Seite.