Datenschutzerklärung

1. Verantwortlicher im Sinne der DSGVO

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

Marke / Onlineshop: LORA (https://justlora.de)

2. Datenschutzbeauftragter

Aufgrund der Größe unseres Unternehmens und der Art unserer Datenverarbeitung sind wir nach § 38 BDSG nicht gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen. Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Ziffer 1 genannten Kontaktdaten.

3. Allgemeines

Wir freuen uns über Ihren Besuch in unserem Onlineshop. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie umfassend gemäß Art. 13 und 14 DSGVO darüber, welche personenbezogenen Daten wir wann, wie und zu welchem Zweck verarbeiten, an wen wir diese gegebenenfalls weitergeben und welche Rechte Ihnen zustehen.

LORA wird auf der E-Commerce-Plattform Shopify betrieben. Beim Besuch unseres Shops und bei Bestellungen werden personenbezogene Daten sowohl von uns als auch von Shopify verarbeitet. Bei einem Konflikt zwischen unseren Allgemeinen Geschäftsbedingungen und dieser Datenschutzerklärung hat diese Datenschutzerklärung in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten Vorrang.

4. Definitionen

Wenn wir den Begriff „personenbezogene Daten" verwenden, beziehen wir uns auf alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Personenbezogene Daten umfassen keine Informationen, die anonym erfasst oder so anonymisiert wurden, dass eine Identifizierung nicht mehr möglich ist.

5. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf einer der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (insbesondere für Marketing, Analyse, Tracking, Newsletter)
• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen (z. B. Bestellabwicklung, Kundenkonto, Zahlungsabwicklung, Versand)
• Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (z. B. IT-Sicherheit, Betrugsprävention, Performance-Optimierung)
• § 25 Abs. 1 TDDDG – Einwilligung für die Speicherung von Informationen auf und das Auslesen von Informationen aus Ihrem Endgerät (Marketing-/Analyse-Cookies, lokale Speicher, Tracking-IDs)
• § 25 Abs. 2 TDDDG – technisch zwingend erforderliche Cookies ohne Einwilligung (z. B. Warenkorb, Session)

6. Welche personenbezogenen Daten verarbeiten wir?

Je nachdem, wie Sie unsere Services nutzen, verarbeiten wir folgende Datenkategorien:

• Kontaktdaten: Name, Postanschrift, Rechnungs-/Lieferadresse, Telefonnummer, E-Mail-Adresse
• Finanzdaten: Zahlungsart, Zahlungsbestätigung, Transaktionsdetails (Kartendaten werden ausschließlich vom jeweiligen Zahlungsdienstleister verarbeitet)
• Kontoinformationen: Benutzername, Passwort (verschlüsselt), Sicherheitseinstellungen
• Transaktionsdaten: angesehene Artikel, Warenkorb, Wunschliste, Bestellhistorie, Retouren, Stornierungen
• Kommunikationsinhalte: Inhalte Ihrer Anfragen an unseren Support
• Geräte- und Verbindungsdaten: Geräte-Typ, Browser, Betriebssystem, IP-Adresse, eindeutige Geräte-Identifikatoren, Spracheinstellung, Zeitzone
• Nutzungsdaten: Klickpfade, Verweildauer, Referrer, Interaktionsdaten – soweit Sie eingewilligt haben
• Online-Marketing- und Messdaten: Cookie- und Client-IDs, Event-IDs, Anzeigen-Klickkennungen wie gclid, gbraid, wbraid oder fbclid, Conversion-Events, Warenkorb- und Bestellwerte sowie, nur mit entsprechender Einwilligung, gehashte bzw. für die Übermittlung vorbereitete Kundendaten zur Conversion-Messung

7. Quellen personenbezogener Daten

• Direkt von Ihnen – wenn Sie ein Konto erstellen, eine Bestellung aufgeben, mit uns kommunizieren oder uns anderweitig Daten übermitteln
• Automatisch über die Services – über Ihr Endgerät, beim Aufruf des Shops, durch Cookies und ähnliche Technologien
• Von Auftragsverarbeitern – z. B. Shopify, sofern diese Daten in unserem Auftrag erheben
• Von Marketing-Partnern – z. B. Google oder Meta, soweit Sie über deren Plattformen mit unseren Inhalten interagiert haben und eine entsprechende Einwilligung erteilt wurde

8. Zwecke der Verarbeitung

• Bereitstellung und Verbesserung des Onlineshops: Vertragsabwicklung, Zahlungsverarbeitung, Auftragsausführung, Versand, Retourenabwicklung, Kundenkonto, Personalisierung
• Marketing und Werbung: Versand von Werbe-E-Mails (mit Einwilligung), personalisierte Werbung, Remarketing, Conversion-Tracking
• Sicherheit und Betrugsprävention: Authentifizierung, Erkennung verdächtiger Aktivitäten, Schutz unserer Systeme
• Kommunikation: Beantwortung von Anfragen, Versand von Service-E-Mails, Kundenservice
• Rechtliche Verpflichtungen: Erfüllung gesetzlicher Aufbewahrungspflichten, Reaktion auf behördliche Anfragen, Geltendmachung und Verteidigung rechtlicher Ansprüche

9. Hosting und technische Bereitstellung

9.1 Shopify (Hosting des Onlineshops)

• Anbieter: Shopify International Limited, 2 Victoria Buildings, Haddington Road, Dublin 4, D04 XN32, Irland (EWR-Repräsentant); Mutterunternehmen: Shopify Inc., 151 O'Connor Street, Ground floor, Ottawa, Ontario, K2P 2L8, Kanada
• Zweck: Bereitstellung und Hosting des Onlineshops, Auftragsabwicklung, Zahlungsabwicklung, Speicherung von Kunden- und Bestelldaten, Performance-Telemetrie und Sicherheits-Monitoring (technisch zwingend, u. a. über die Subdomains monorail-edge.shopifysvc.com, otlp-http-production.shopifysvc.com, error-analytics-sessions-production.shopifysvc.com)
• Verarbeitete Daten: alle bei Bestellung und Shop-Nutzung anfallenden Daten (siehe Ziffer 6)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Shopbetrieb)
• Drittlandtransfer: Kanada (Angemessenheitsbeschluss der EU-Kommission), USA (auf Basis EU-US Data Privacy Framework und Standardvertragsklauseln nach Art. 46 DSGVO)
• Speicherdauer: für die Dauer der Vertragsbeziehung sowie gesetzliche Aufbewahrungsfristen
• Auftragsverarbeitungsvertrag: Mit Shopify besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO.
• Datenschutzerklärung: https://www.shopify.com/de/legal/privacy
• Datenschutzportal: https://privacy.shopify.com/de

9.2 Cloudflare (Reviews-Proxy)

• Anbieter: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA; Cloudflare Germany GmbH, Rosental 7, 80331 München (DE-Vertretung)
• Zweck: Bereitstellung eines Sicherheits- und Performance-Proxys, über den Bewertungs-Anfragen vom Onlineshop an unseren Bewertungsdienstleister geleitet werden. Direkter Drittanbieter-Kontakt aus Ihrem Browser zu Judge.me wird hierdurch vermieden.
• Verarbeitete Daten: IP-Adresse, Browser-Informationen, technische Anfragedaten
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Performance und Datenschutz)
• Drittlandtransfer: USA (Data Privacy Framework + SCCs)
• Datenschutzerklärung: https://www.cloudflare.com/de-de/privacypolicy/

9.3 Selbst gehostete Schriftarten

Wir verwenden die Schriftarten Bricolage Grotesque und Manrope. Beide werden ausschließlich von unseren eigenen Servern (über Shopify CDN) ausgeliefert. Es findet kein Verbindungsaufbau zu Google Fonts (fonts.googleapis.com, fonts.gstatic.com) oder anderen Drittanbietern statt.

9.4 Widerrufsfunktion (Widerrufsbutton)

Zur Erfüllung unserer gesetzlichen Pflicht nach § 356a BGB stellen wir eine Widerrufsschaltfläche („Vertrag widerrufen") bereit. Über sie gelangen Sie zu einem Formular, mit dem Sie Ihren Widerruf erklären können; anschließend erhalten Sie unverzüglich eine automatisierte Eingangsbestätigung per E-Mail. Die Angabe eines Widerrufsgrundes ist freiwillig und keine Voraussetzung für den Widerruf.

• Verarbeitete Daten: Name, E-Mail-Adresse, Bestellnummer; optional und freiwillig ein Widerrufsgrund sowie betroffene Artikel; Eingangszeitpunkt (Datum und Uhrzeit); zur Missbrauchsabwehr Ihre IP-Adresse (pseudonymisiert) und technische Anfragedaten
• Zweck: Entgegennahme und revisionssichere Dokumentation Ihrer Widerrufserklärung, Versand der gesetzlich vorgeschriebenen Eingangsbestätigung sowie Schutz vor missbräuchlichen Eingaben
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung); für die Missbrauchsabwehr Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit unserer Systeme)
• Technische Bereitstellung und Spam-Schutz: Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA / Cloudflare Germany GmbH, Rosental 7, 80331 München. Hosting der Widerrufsfunktion (Formular, Verarbeitung, verschlüsselte Speicherung) sowie cookieloser Spam-Schutz über Cloudflare Turnstile (setzt keine Cookies, erfordert keine Einwilligung). Die Datenbank wird in der Europäischen Union (Region Westeuropa) gehostet.
• Versand der Eingangsbestätigung: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg (Mutterunternehmen: Amazon.com, Inc., USA), Dienst „Amazon SES", Verarbeitungsregion Europa (Frankfurt am Main). Versand von der Absenderadresse widerruf@mail.justlora.de; Antworten erreichen uns unter hallo@justlora.de.
• Speicherung: Name und E-Mail-Adresse werden verschlüsselt gespeichert.
• Drittlandtransfer: USA möglich (EU-US Data Privacy Framework bzw. Standardvertragsklauseln nach Art. 46 DSGVO)
• Auftragsverarbeitung: Mit Cloudflare und mit Amazon Web Services bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
• Speicherdauer: Widerrufserklärungen werden im Rahmen der handels- und steuerrechtlichen Aufbewahrungspflichten gespeichert (in der Regel bis zu sechs Jahre) und anschließend gelöscht; pseudonymisierte Sicherheitsdaten (IP-Adresse) werden kurzfristig gelöscht
• Datenschutzerklärungen der Anbieter: Cloudflare, Amazon Web Services

10. Zahlungsdienstleister

10.1 Shop Pay

• Anbieter: Shopify Inc. (Adressen siehe 9.1)
• Zweck: Beschleunigter Checkout, Speicherung von Zahlungs- und Versanddaten zur Wiederverwendung, Zahlungsabwicklung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (auf Wunsch des Nutzers, Vertragsanbahnung/-erfüllung)
• Drittlandtransfer: USA/Kanada (Adequacy Decision + DPF + SCCs)
• Datenschutzerklärung: https://shop.app/privacy

10.2 PayPal

• Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg
• Zweck: Zahlungsabwicklung über das Verfahren „PayPal" sowie Zahlungsmethoden, die im PayPal-Checkout angeboten werden (z. B. Lastschrift, Rechnung, Ratenzahlung, je nach Bonitätsprüfung)
• Verarbeitete Daten: Name, Anschrift, E-Mail-Adresse, Telefonnummer, Bestelldaten, Zahlungsdaten (Kontoinformationen, ggf. Bonitätsdaten)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), bei Bonitätsprüfung Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Zahlungsausfallschutz)
• Drittlandtransfer: ggf. USA (DPF + SCCs)
• Datenschutzerklärung: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

10.3 Kreditkartenzahlung (Shopify Payments)

• Anbieter: Shopify Payments wird im Hintergrund über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, abgewickelt; Mutterunternehmen: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA
• Zweck: Abwicklung von Kreditkartenzahlungen (Visa, Mastercard, American Express)
• Verarbeitete Daten: Kartennummer, Karteninhaber, Gültigkeit, Prüfnummer, Rechnungsadresse, Transaktionsdaten
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Drittlandtransfer: USA (DPF + SCCs)
• Hinweis: Die Kartendaten werden direkt im PCI-DSS-zertifizierten System des Zahlungsdienstleisters verarbeitet; wir selbst erhalten keine vollständigen Kartendaten.
• Datenschutzerklärung: https://stripe.com/de/privacy sowie https://www.shopify.com/de/legal/privacy

10.4 Klarna

• Anbieter: Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden
• Zweck: Abwicklung von Zahlungen über Klarna-Zahlungsmethoden (Rechnungskauf, Ratenkauf, Sofortüberweisung), inkl. Identitäts- und Bonitätsprüfung
• Verarbeitete Daten: Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Bestelldaten, Bonitätsdaten (z. B. von Auskunfteien wie SCHUFA), Zahlungsdaten
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Bonitätsprüfung als berechtigtes Interesse), ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in Bonitätsprüfung)
• Drittlandtransfer: Verarbeitung primär innerhalb der EU/EWR; ggf. weitere Übermittlungen auf Basis SCCs
• Datenschutzerklärung: https://www.klarna.com/de/datenschutz/

11. Versand und Logistik

Zur Auslieferung Ihrer Bestellung übermitteln wir Ihre Versandadresse sowie Ihren Namen an den jeweils für die Sendung zuständigen Logistik- bzw. Fulfillment-Partner. Welcher Partner zum Einsatz kommt, hängt vom bestellten Produkt ab.

11.1 Versand durch JK Digitale Medien GmbH & Co. KG (Eigenversand)

Einen Teil der Bestellungen versenden wir selbst aus unserer Niederlassung in Köln. Hierbei übermitteln wir Ihre Versandadresse an einen oder mehrere der folgenden Paketdienstleister:

• Anbieter (je nach Sendung): Deutsche Post AG / DHL Paket GmbH, Sträßchensweg 10, 53113 Bonn — bzw. weitere im Einzelfall beauftragte Versanddienstleister
• Zweck: Auslieferung der bestellten Ware
• Verarbeitete Daten: Name, Lieferadresse, ggf. E-Mail-Adresse oder Telefonnummer für Avisierung und Sendungsverfolgung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Datenschutzerklärung DHL: https://www.dpdhl.com/de/datenschutz.html

11.2 Fulfillment durch ProChannel GmbH

Bei bestimmten Produkten erfolgen Lagerung, Kommissionierung und Versand durch unseren Fulfillment-Dienstleister:

• Anbieter: ProChannel GmbH, Sterzinger Str. 4, 86165 Augsburg, Deutschland
• Zweck: Lagerung der Ware, Kommissionierung Ihrer Bestellung sowie Versand an die von Ihnen angegebene Lieferadresse; Bearbeitung von Retouren
• Verarbeitete Daten: Name, Lieferadresse, ggf. Telefonnummer/E-Mail-Adresse für Avisierung und Sendungsverfolgung, Bestell- und Sendungsdaten
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Auftragsverarbeitungsvertrag: Mit ProChannel GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
• Speicherdauer: für die Dauer der Auftragsabwicklung; gesetzliche Aufbewahrungsfristen bleiben unberührt

12. Bewertungen (Judge.me)

• Anbieter: EcomDev OÜ (Judge.me), Tornimäe 5, 10145 Tallinn, Estland (EU); Konzernverbindung in Singapur
• Zweck: Erfassung, Verwaltung und Anzeige von Produkt- und Shop-Bewertungen unserer Kunden
• Verarbeitete Daten: Name (oder Initialen), E-Mail-Adresse, Bewertungsinhalt, Foto/Video (optional), gekauftes Produkt, IP-Adresse
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Absenden der Bewertung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an authentischen Bewertungen)
• Besonderheit: Anfragen vom Onlineshop an Judge.me werden über unseren eigenen Cloudflare-Proxy geroutet. Ihr Browser baut keine direkte Verbindung zu Judge.me-Servern auf.
• Drittlandtransfer: ggf. Singapur (auf Basis SCCs nach Art. 46 DSGVO)
• Datenschutzerklärung: https://judge.me/privacy

13. Cookies und vergleichbare Technologien

13.1 Cookie-Banner / Einwilligungsmanagement

Beim ersten Besuch unseres Shops zeigen wir Ihnen einen Cookie-Banner. Sie können dort entscheiden, welche Cookie-Kategorien Sie zulassen möchten:

• Technisch notwendige Cookies (immer aktiv, § 25 Abs. 2 TDDDG)
• Personalisierungs-Cookies (nur mit Einwilligung)
• Marketing-Cookies (nur mit Einwilligung)
• Analyse-Cookies (nur mit Einwilligung)

Die Verwaltung der Einwilligung erfolgt über das Consent-Management-Tool Pandectes GDPR Compliance in Verbindung mit der Customer Privacy API von Shopify. Pandectes ermöglicht uns, Einwilligungen einzuholen, zu dokumentieren und an Shopify- und Tracking-Schnittstellen weiterzugeben. Hierbei können insbesondere Einwilligungsstatus, Zeitpunkt der Einwilligung, zufällige Einwilligungskennung, gekürzte bzw. anonymisierte IP-Adresse und technische Browserinformationen verarbeitet werden.

Sie können Ihre Einwilligung jederzeit über den Cookie-Banner-Link im Footer („Cookie-Einstellungen") anpassen oder widerrufen. Der Widerruf wirkt für die Zukunft.

13.2 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb des Shops zwingend erforderlich:

• Warenkorb / Session – damit Ihre Auswahl im Warenkorb erhalten bleibt
• Login / Authentifizierung – damit Sie eingeloggt bleiben
• Sicherheitstoken (CSRF) – Schutz vor Cross-Site-Request-Forgery
• Spracheinstellung / Region

Diese werden auf Grundlage von § 25 Abs. 2 TDDDG ohne Einwilligung gesetzt, da sie für die ausdrücklich gewünschte Bereitstellung des digitalen Dienstes unerlässlich sind.

13.3 Consent-gated Speicherung von Anzeigen-Klickkennungen

Wenn Sie über eine Anzeige auf unseren Shop gelangen und im Cookie-Banner der Marketing-Kategorie zustimmen, speichern wir Anzeigen-Klickkennungen wie gclid, gbraid, wbraid oder fbclid zeitlich begrenzt, um spätere Käufe dieser Anzeige zuordnen und unsere Kampagnen messen zu können. Die Speicherung erfolgt in Ihrem Browser und als Bestell-/Warenkorb-Attribut in Shopify, wenn Sie eine Bestellung abschließen.

Ohne Marketing-Einwilligung speichern wir diese Anzeigen-Klickkennungen nicht individuell und spielen keine personenbezogenen Offline-Conversions an Werbeplattformen zurück. Bereits gespeicherte Werte werden gelöscht bzw. nicht weiterverwendet, soweit die Einwilligung widerrufen wird. Die Speicherdauer beträgt maximal 90 Tage, sofern Sie Ihre Einwilligung nicht vorher widerrufen.

14. Webanalyse und Online-Marketing

Die nachfolgenden Dienste verwenden wir zur Webanalyse, Conversion-Messung und Kampagnenoptimierung. Soweit hierbei Cookies, lokale Speicher, Anzeigenkennungen oder vergleichbare Technologien gesetzt oder ausgelesen werden, erfolgt dies nur nach Ihrer Einwilligung. Rechtsgrundlage ist jeweils Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG.

Für Google-Dienste setzen wir den Google Consent Mode v2 ein. Google-Tags können technisch mit dem Status „denied" geladen werden, damit Einwilligungsentscheidungen korrekt übertragen und cookielose, eingeschränkte Messsignale verarbeitet werden können. Dabei werden ohne Einwilligung keine Werbe- oder Analyse-Cookies von Google gesetzt und keine nutzerbezogenen Werbedaten oder personalisierten Werbesignale übermittelt. Ein vollständiges Tracking mit Cookies, Anzeigenkennungen und erweiterten Conversion-Daten erfolgt erst nach Ihrer Einwilligung.

14.1 Google Analytics 4

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (EU-Repräsentant); Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Property-ID: G-7G5X2CBTXC – Haupt-Property „LORA" (Webanalyse, Reichweitenmessung, Nutzungsverhalten)
• Auslieferung: über Google Tag Manager Container GTM-WZTJ4KTX
• Zweck: Statistische Analyse des Nutzungsverhaltens, Ermittlung von Reichweite, Optimierung des Shops, Conversion-Tracking
• Verarbeitete Daten: IP-Adresse, Geräte- und Browserdaten, Referrer-URL, besuchte Seiten, Verweildauer, Client-IDs, Event-IDs, Interaktionsereignisse (z. B. PageView, ViewItem, AddToCart, BeginCheckout, Purchase), Warenkorb- und Bestellwerte
• Speicherdauer: 14 Monate (Standard-Aufbewahrungsdauer in GA4)
• Drittlandtransfer: USA (auf Basis EU-US Data Privacy Framework, hilfsweise Standardvertragsklauseln)
• Widerruf: über den Cookie-Banner / im Footer „Cookie-Einstellungen" oder durch das Browser-Add-on https://tools.google.com/dlpage/gaoptout
• Datenschutzerklärung: https://policies.google.com/privacy
• Hinweis zum Consent-Modus: Siehe Einleitung zu Ziffer 14. Ohne Einwilligung werden keine Analyse-Cookies gesetzt; Google kann jedoch eingeschränkte cookielose Signale zur Modellierung und technischen Messung erhalten.

14.2 Google Ads (Conversion-Tracking & Remarketing)

• Anbieter: wie 14.1
• Conversion-ID: AW-18176866695
• Auslieferung: über Google Tag Manager Container GTM-WZTJ4KTX
• Zweck: Messen des Erfolgs unserer Werbeanzeigen bei Google, Remarketing (erneutes Anzeigen von Werbung an Besucher), Optimierung von Google-Ads-Kampagnen
• Verarbeitete Daten: Klickdaten von Anzeigen, IP-Adresse, Cookie- und Client-IDs, Anzeigen-Klickkennungen wie gclid, gbraid und wbraid, Conversion-Events (z. B. Käufe, Warenkorb, Checkout-Start), Bestellwert, Währung, Transaktions-ID sowie, nur bei entsprechender Einwilligung, gehashte bzw. für die Übermittlung vorbereitete Kundendaten wie E-Mail-Adresse, Telefonnummer und Adressdaten für erweiterte Conversions.
• Erweiterte Conversions / Offline-Messung: Wenn Sie der Marketing-Kategorie zustimmen, können wir zur besseren Zuordnung von Käufen zu Anzeigen gehashte Kundendaten und Anzeigen-Klickkennungen an Google übermitteln. Ohne Marketing-Einwilligung erfolgt keine individuelle Offline-Rückspielung von Conversions an Google Ads.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG
• Drittlandtransfer: USA (DPF + SCCs)
• Widerruf: Cookie-Banner sowie https://adssettings.google.com
• Datenschutzerklärung: https://policies.google.com/privacy

14.3 Google Merchant Center

• Anbieter: wie 14.1
• Zweck: Verwaltung und Übermittlung von Produktdaten an Google Merchant Center, Schaltung von Google-Shopping-Anzeigen und Messung der Performance von Produktanzeigen.
• Verarbeitete Daten: Produktdaten, Shop- und Domaininformationen, ggf. Produkt-Views, Conversion-Events, IP-Adresse, Geräteinformationen und Anzeigen-Klickkennungen, soweit Sie in Marketing-/Analyse-Technologien eingewilligt haben.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die technische Bereitstellung von Produktfeeds gegenüber Google, Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG für nutzerbezogene Marketing- und Conversion-Messung.
• Drittlandtransfer: USA (DPF + SCCs)
• Datenschutzerklärung: https://policies.google.com/privacy

14.4 Google Tag Manager

• Anbieter: wie 14.1
• Container-ID: GTM-WZTJ4KTX
• Zweck: Technische Verwaltung und Auslieferung der oben genannten Google-Tags und Messereignisse. Der Tag Manager selbst setzt nach unserer Kenntnis keine eigenen Marketing-Cookies, kann jedoch andere Tags auslösen, die Cookies oder vergleichbare Technologien verwenden.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO für die technische Verwaltung der Einwilligungs- und Tag-Infrastruktur; Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG für Analyse- und Marketing-Tags, die über den Tag Manager ausgelöst werden.

14.5 Meta-Pixel (Facebook & Instagram)

• Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland; Mutterunternehmen: Meta Platforms, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA
• Meta-Datensatz / Pixel-ID: 99960266088690
• Einbindung: über den Shopify-Vertriebskanal Facebook & Instagram by Meta mit der Datenfreigabe-Stufe Maximum. Dabei können Meta-Pixel, erweiterter Abgleich und die Meta Conversions API eingesetzt werden.
• Zweck: Conversion-Tracking, Remarketing über Facebook und Instagram, Optimierung unserer Meta-Werbekampagnen, Produktkatalog-Synchronisierung für Meta-Werbeformate sowie Bildung von Custom Audiences und Lookalike Audiences, soweit Sie hierin eingewilligt haben.
• Verarbeitete Daten: IP-Adresse, Browser- und Geräteinformationen, Referrer, besuchte Seiten, Pixel-Events (z. B. PageView, ViewContent, AddToCart, InitiateCheckout, Purchase), Bestellwert, Währung, Event-ID, Cookies bzw. Kennungen wie _fbp und _fbc sowie ggf. gehashte Kontaktdaten wie E-Mail-Adresse oder Telefonnummer zur verbesserten Ereigniszuordnung, sofern Sie eingewilligt haben.
• Conversions API: Bei der Datenfreigabe-Stufe Maximum können Ereignisse zusätzlich serverseitig zwischen Shopify und Meta übermittelt werden. Browser- und serverseitige Events werden über Event-IDs dedupliziert. Eine Übermittlung erfolgt nur, soweit hierfür eine Marketing-Einwilligung vorliegt.
• Gemeinsame Verantwortlichkeit: Für bestimmte Erhebungs- und Übermittlungsvorgänge über Meta Business Tools sind Meta und wir gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Die Vereinbarung über die gemeinsame Verarbeitung ist abrufbar unter https://www.facebook.com/legal/controller_addendum. Für bestimmte Mess- und Analysezwecke verarbeitet Meta Daten auch als Auftragsverarbeiter nach den Meta Business Tools Terms bzw. Data Processing Terms.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG
• Drittlandtransfer: USA (DPF + SCCs)
• Widerruf: Cookie-Banner sowie https://www.facebook.com/ads/preferences und https://www.instagram.com/accounts/privacy_and_security/
• Datenschutzerklärung: https://www.facebook.com/about/privacy
• Meta Business Tools Terms: https://www.facebook.com/legal/terms/businesstools

15. Eingebettete Inhalte

15.1 YouTube (erweiterter Datenschutzmodus)

Sofern wir auf unserer Website Videos einbinden, nutzen wir den erweiterten Datenschutzmodus von YouTube (Domain youtube-nocookie.com). Vor dem Klick auf das Vorschaubild wird keine Verbindung zu YouTube/Google aufgebaut.

• Anbieter: Google Ireland Limited / Google LLC (Adressen siehe 14.1)
• Zweck: Anzeige eingebetteter Videoinhalte
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung durch Klick auf den Play-Button
• Drittlandtransfer: USA (DPF + SCCs)
• Datenschutzerklärung: https://policies.google.com/privacy

15.2 Vimeo

Sofern wir Vimeo-Videos einbinden, geschieht dies im Do-Not-Track-Modus (?dnt=1). Tracking und Analytics durch Vimeo sind dadurch deaktiviert.

• Anbieter: Vimeo.com, Inc., 555 West 18th Street, New York, New York 10011, USA
• Zweck: Anzeige eingebetteter Videoinhalte
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung durch Klick auf den Play-Button
• Drittlandtransfer: USA (DPF + SCCs)
• Datenschutzerklärung: https://vimeo.com/privacy

16. Kommunikation mit uns

16.1 Kontaktanfragen per E-Mail oder Formular

Wenn Sie uns per E-Mail oder Kontaktformular eine Anfrage senden, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse sowie den Inhalt Ihrer Nachricht zur Bearbeitung Ihres Anliegens.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich, sofern Anfrage produktbezogen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation)
• Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage; gesetzliche Aufbewahrungsfristen bleiben unberührt

16.2 Kundenkonto

Sie können freiwillig ein Kundenkonto bei uns anlegen, in dem Ihre Bestelldaten und Adressen gespeichert werden.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
• Speicherdauer: bis zur Löschung des Kontos durch Sie; gesetzliche Aufbewahrungspflichten bleiben unberührt

17. Marketing

17.1 E-Mail- und SMS-Marketing

Mit Ihrer ausdrücklichen Einwilligung versenden wir Ihnen Newsletter und/oder SMS mit Produktinformationen und Angeboten. Wir nutzen das Double-Opt-In-Verfahren: Nach Eintragung erhalten Sie eine Bestätigungs-Mail, mit der Sie Ihre Anmeldung verifizieren müssen.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Speicherdauer: bis zum Widerruf
• Widerruf: jederzeit über den Abmelde-Link in jeder E-Mail oder per Mitteilung an mail@justlora.de

18. Datenweitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt ausschließlich:

• an Auftragsverarbeiter im Rahmen der oben genannten Verarbeitungen (Shopify, Cloudflare, Judge.me, Versanddienstleister, Zahlungsdienstleister, ProChannel GmbH)
• an Marketing-Partner mit Ihrer Einwilligung (insbesondere Google und Meta)
• auf Ihre Anweisung hin (z. B. Versand der Bestellung)
• an verbundene Unternehmen unserer Unternehmensgruppe
• bei rechtlicher Verpflichtung (z. B. behördliche Anfragen, Strafverfolgung, Zivilverfahren)
• im Rahmen einer Unternehmenstransaktion (z. B. Verkauf, Fusion)

19. Übermittlung in Drittländer

Einige der oben genannten Dienste verarbeiten Daten in Ländern außerhalb des Europäischen Wirtschaftsraums, insbesondere in den USA und Kanada. Wir stützen diese Übermittlungen auf:

• den EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, soweit der Empfänger zertifiziert ist)
• den Angemessenheitsbeschluss Kanada (für die kommerzielle Datenverarbeitung)
• Standardvertragsklauseln der EU-Kommission (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, ggf. ergänzt durch zusätzliche technische und organisatorische Maßnahmen

20. Speicherdauer

Wir speichern personenbezogene Daten nur solange, wie es für die jeweiligen Zwecke erforderlich ist:

• Bestelldaten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungsfrist gemäß § 257 HGB, § 147 AO)
• Vertragsdaten / Kundenkonto: Dauer der Vertragsbeziehung + gesetzliche Aufbewahrungsfristen
• Newsletter / Marketing-Einwilligungen: bis zum Widerruf
• Einwilligungsnachweise: für die Dauer der Nachweispflichten, regelmäßig bis zu 3 Jahre
• Kontaktanfragen: bis 6 Monate nach abschließender Bearbeitung
• Server-Logs: in der Regel max. 14 Tage (durch Shopify automatisch)
• Anzeigen-Klickkennungen: maximal 90 Tage, soweit eine Marketing-Einwilligung vorliegt
• Cookies: je nach Cookie unterschiedlich (Session-Cookies: bis Ende der Browsersitzung; persistente Cookies: bis maximal 24 Monate)

21. Ihre Rechte

Ihnen stehen nach der DSGVO folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO) – Sie können eine Bestätigung darüber verlangen, ob wir Daten von Ihnen verarbeiten, sowie Auskunft über diese Daten erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO) – Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf Art. 6 Abs. 1 lit. e oder f DSGVO basiert. Bei Direktwerbung steht Ihnen ein jederzeitiges Widerspruchsrecht ohne Begründung zu.
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) – Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
• Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden (Art. 22 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Ziffer 1 genannten Kontaktdaten. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats, beantworten.

22. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:

Sie können sich auch an die Aufsichtsbehörde Ihres Wohnsitzes oder Arbeitsplatzes wenden.

23. Daten von Kindern

Unser Onlineshop richtet sich nicht an Kinder. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten Sie als Eltern oder Erziehungsberechtigter feststellen, dass uns Daten Ihres Kindes übermittelt wurden, kontaktieren Sie uns bitte unter den Angaben in Ziffer 1 – wir werden die Daten unverzüglich löschen.

24. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust und unberechtigten Zugriff zu schützen. Hierzu gehören insbesondere:

• Transportverschlüsselung der gesamten Website mittels TLS (HTTPS)
• Verschlüsselte Speicherung von Passwörtern (Hashing) durch Shopify
• Zugriffsbeschränkungen auf personenbezogene Daten (need-to-know)
• Regelmäßige Sicherheitsupdates unserer Systeme

Unsere Sicherheitsmaßnahmen werden entsprechend dem technologischen Fortschritt fortlaufend angepasst. Trotz aller Sorgfalt können wir jedoch keine vollständige Sicherheit garantieren. Übersenden Sie uns deshalb keine sensiblen Daten über unsichere Kanäle.

25. Verlinkte Drittwebsites

Unser Shop kann Links zu externen Websites enthalten. Auf den Datenschutz dieser verlinkten Seiten haben wir keinen Einfluss. Wir empfehlen, die Datenschutzerklärung der jeweiligen Anbieter zu prüfen.

26. Aktualisierung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslage oder geänderte Verarbeitungstätigkeiten anzupassen. Die jeweils aktuelle Fassung ist auf https://justlora.de/policies/privacy-policy abrufbar. Den Stand erkennen Sie am Datum „Stand" am Anfang dieser Erklärung.

27. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an:

Stand: 15. Juni 2026