Diese Datenschutzerklärung beschreibt, wie PassPad personenbezogene Daten verarbeitet, wenn du unsere Website, den Ankauf, den Shop, Kontaktformulare, Newsletter, Nutzerkonto, Uploads, Zahlungen oder Versandfunktionen nutzt.
Verantwortliche Stelle
Verantwortlich ist Herr Rick Hoffmann und Herr Joe Hoffmann GbR, Rostocker Straße 11, 18069 Lambrechtshagen. Du erreichst uns per E-Mail an kontakt@passpad.de oder telefonisch unter +49 152 59341395.
Welche Daten wir verarbeiten
Je nach Nutzung verarbeiten wir Stammdaten, Kontakt- und Kommunikationsdaten, Login- und Sitzungsdaten, Warenkorb- und Checkout-Daten, Ankauf- und Bestelldaten, Zahlungs- und Versanddaten, Produktbilder, Scan-Ergebnisse, Newsletterdaten sowie technische Zugriffsdaten wie Browser, Gerät, Referrer, Seitenaufruf und Sicherheitsereignisse.
Die Verarbeitung erfolgt zur Bereitstellung der Website, zur Durchführung vorvertraglicher Maßnahmen und Verträge, zur Erfüllung gesetzlicher Pflichten, zur Betrugs- und Missbrauchsprävention, zur Kommunikation mit dir und, wenn du einwilligst, für Analyse, Experimente, Marketingmessung und externe Inhalte.
Cookies, Consent und Widerruf
Notwendige Cookies und vergleichbare Speicherungen nutzen wir für Grundfunktionen wie Login, Warenkorb, Sicherheit und Consent-Speicherung. Analyse, Marketing und externe Inhalte setzen wir nur ein, wenn du dafür einwilligst. Deine Auswahl wird pseudonym mit Consent-ID, Policy-Version, Auswahl-Hash und gehashtem User-Agent protokolliert, damit wir Einwilligungen nachweisen können.
Du kannst deine Auswahl jederzeit ändern. Details findest du in der Cookie-Richtlinie.
Analyse, Experimente und Marketing
Bei Analyse-Einwilligung nutzen wir PostHog Cloud EU, um Seitenaufrufe, Events, Web Vitals, Funnel, Fehlerhinweise, PostHog-Umfragen, Session-Replay sowie Feature-Flag- oder Experiment-Zuordnungen auszuwerten. PassPad nutzt dafür eine pseudonyme Distinct-ID. Ohne Analyse-Einwilligung bleibt PostHog im Browser opt-out und speichert keine dauerhafte PostHog-ID.
Bei Marketing-Einwilligung können Google Tag Manager, Google Analytics 4, Google Ads, Google Analytics Remarketing, Conversion Linker und erweiterte Conversion-Signale Conversion- und Kampagnendaten verarbeiten. Google Consent Mode wird standardmäßig mit verweigerter Analyse- und Werbespeicherung initialisiert und erst nach deiner Einwilligung aktualisiert.
Dienstleister und Empfänger
Wir setzen technische und operative Dienstleister ein, soweit dies für Betrieb, Ankauf, Shop, Zahlung, Versand, Kommunikation, Analyse oder Produktfunktionen erforderlich ist. Die folgende Übersicht beschreibt die aktuell gepflegten Anbieter in dieser Implementierung.
Vercel
Notwendig
Zweck
Hosting, Auslieferung der Website, Sicherheit und Server-Logs.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO, bei Vertragsbezug Art. 6 Abs. 1 lit. b DSGVO.
Daten
IP-Adresse, Request-Daten, technische Browser- und Zugriffsdaten.
Speicherdauer
Server-Logs nach Anbieter- und Sicherheitsvorgaben, soweit erforderlich.
Empfänger
Vercel Inc.
Drittlandbezug
USA; Absicherung nach den jeweils verfügbaren Datenschutzmechanismen.
Google reCAPTCHA
Notwendig
Zweck
Schutz der Kontaktformulare vor Spam, automatisiertem Missbrauch und Sicherheitsangriffen.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 TDDDG.
Daten
IP-Adresse, Browser- und Gerätedaten, Interaktionssignale, Referrer, Zeitpunkt und reCAPTCHA-Token.
Cookies
_GRECAPTCHA, rc::a, rc::b, rc::c und vergleichbare Sicherheitskennungen.
Speicherdauer
Nach Google-Sicherheits- und Missbrauchsschutzvorgaben.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
Neon / PostgreSQL
Dienstleister
Zweck
Speicherung von Nutzer-, Warenkorb-, Ankauf-, Shop- und Verwaltungsdaten.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.
Daten
Konto-, Bestell-, Ankauf-, Kontakt-, Produkt- und Transaktionsdaten.
Speicherdauer
Nach gesetzlichen Aufbewahrungsfristen und internen Löschkonzepten.
Empfänger
Neon Serverless Postgres.
Clerk
Notwendig
Zweck
Authentifizierung, Login, Account-Verwaltung und Sitzungsverwaltung.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Daten
Login-Daten, E-Mail-Adresse, Session- und Sicherheitsdaten.
Cookies
Clerk Session- und Sicherheits-Cookies.
Speicherdauer
Solange das Konto besteht oder gesetzliche Pflichten greifen.
Empfänger
Clerk Inc.
Drittlandbezug
USA; Absicherung nach Anbieterangaben.
Shopify
Dienstleister
Zweck
Shop, Warenkorb, Checkout, Produktverwaltung und Kundenkommunikation.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO.
Daten
Shop-Warenkorb, Bestell-, Produkt-, Kontakt- und Kundendaten.
Speicherdauer
Nach Vertrags- und gesetzlichen Aufbewahrungsfristen.
Empfänger
Shopify International Ltd. und verbundene Unternehmen.
Drittlandbezug
Mögliche Verarbeitung außerhalb der EU nach Shopify-Datenschutzbedingungen.
PostHog EU
Analyse
Zweck
Produkt-Analytik, Funnel-Messung, Web Vitals, Fehlerdiagnose, Feature Flags, A/B-Tests, PostHog-Umfragen und Session-Replay.
Rechtsgrundlage
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Daten
Seitenaufrufe, Events, technische Daten, pseudonyme IDs, Feature-Flag- und Experiment-Zuordnungen, Umfrageantworten sowie Session-Replay-Interaktionen.
Cookies
ph_<project>_posthog, passpad_analytics_id nach Einwilligung.
Speicherdauer
Bis zum Widerruf deiner Einwilligung; bereits erhobene Ereignisdaten werden nach den in PostHog hinterlegten Retentionsfristen gelöscht.
Empfänger
PostHog Cloud EU.
Google Tag Manager
Marketing
Zweck
Aussteuerung von Analyse- und Marketing-Tags sowie technische Umsetzung des Google Consent Mode.
Rechtsgrundlage
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Daten
Tag-Auslösungen, technische Browserdaten, Seiten- und Consent-Status.
Cookies
Google Tag Manager setzt selbst keine eigenen Cookies; er steuert Google-Tags nach Consent.
Speicherdauer
Nach Google-Datenschutz- und Tag-Manager-Vorgaben.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
Google Analytics 4, Leistungsberichte, demografische Merkmale und Interessen
Analyse
Zweck
Messung von Seitenaufrufen, Ereignissen, Kampagnenquellen, Website-Performance sowie Berichten zu demografischen Merkmalen und Interessen.
Rechtsgrundlage
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Daten
Nutzungsereignisse, Seitenpfade, Referrer, Kampagnenparameter, technische Daten, GA Client ID und werbebezogene Gerätekennungen, soweit Google diese bereitstellt.
Cookies
_ga, _ga_<container> und verwandte Google-Analytics-Cookies nach Einwilligung.
Speicherdauer
Bis zum Widerruf deiner Einwilligung; einzelne Google-Cookies können in der Regel bis zu 24 Monate bestehen.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
Google Ads, erweiterte Conversions, Remarketing und Conversion Linker
Marketing
Zweck
Conversion-Messung, Kampagnenauswertung, Google-Ads-Remarketing, erweiterte Conversion-Signale und Zuordnung von Anzeigenklicks zu Warenkorb- oder Checkout-Ereignissen.
Rechtsgrundlage
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Daten
Kampagnenparameter, GCLID/GBRAID/WBRAID, GA Client ID, pseudonyme Nutzer-ID, Warenkorb-, Checkout- und Conversion-Ereignisse.
Cookies
_gcl_au, _gcl_aw, _gcl_dc, IDE, test_cookie und verwandte Google-Ads-Cookies nach Einwilligung.
Speicherdauer
Bis zum Widerruf deiner Einwilligung; Conversion-Linker-Cookies typischerweise bis zu 90 Tage, andere Google-Cookies nach Google-Vorgaben.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
Remarketing mit Google Analytics
Marketing
Zweck
Bildung pseudonymer Zielgruppen auf Basis von GA4-Ereignissen, um Google-Ads-Kampagnen auszuwerten und Remarketing-Zielgruppen zu steuern.
Rechtsgrundlage
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Daten
Pseudonyme GA4-Zielgruppen, Seitenaufrufe, Ereignisse, Kampagnenparameter und technische Daten.
Cookies
_ga, _ga_<container>, _gcl_au und verwandte Google-Cookies nach Einwilligung.
Speicherdauer
Nach Google-Analytics- und Google-Ads-Vorgaben, längstens bis zum Widerruf im Browser.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
Google Maps
Externe Inhalte
Zweck
Anzeige des Standorts auf Kontaktseiten.
Rechtsgrundlage
Einwilligung, Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Daten
IP-Adresse, Browserdaten und ggf. Standort-/Nutzungsdaten beim Laden der Karte.
Speicherdauer
Nach Google-Datenschutzbedingungen.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
Kontaktformular und Resend
Dienstleister
Zweck
Bearbeitung von Kontaktanfragen, Produktanfragen und optional hochgeladenen Screenshots sowie Versand der Anfrage an PassPad.
Bis Zweckfortfall, Ablauf gesetzlicher Pflichten oder berechtigter Nachweisinteressen.
Empfänger
PassPad und Resend Inc.
Drittlandbezug
Mögliche Verarbeitung außerhalb der EU nach Anbieterbedingungen.
Newsletter / Mailingliste mit MailerLite
Dienstleister
Zweck
Newsletter-Anmeldung, Double-Opt-In, Abmeldung, Mailinglisten-Verwaltung und Versand von Newsletter- oder Kampagnen-E-Mails.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b, lit. f DSGVO; Newsletter nach Art. 6 Abs. 1 lit. a DSGVO.
Daten
E-Mail-Adresse, Name, Quelle der Anmeldung, Einwilligungsstatus, Versand- und Interaktionsstatus.
Speicherdauer
Bis Zweckfortfall, Widerruf oder Ablauf gesetzlicher Pflichten.
Empfänger
MailerLite und Resend Inc. für einzelne transaktionale Bestätigungs-E-Mails.
Drittlandbezug
Mögliche Verarbeitung außerhalb der EU nach Anbieterbedingungen.
WhatsApp Business Kontaktlink
Externe Inhalte
Zweck
Kontaktaufnahme per WhatsApp über externe Links auf Kontakt-, Footer- und Produktseiten.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b und lit. f DSGVO; beim Öffnen von WhatsApp gelten die Datenschutzbedingungen von WhatsApp/Meta.
Daten
Von dir an WhatsApp übergebene Nachricht, Telefonnummer, technische Zugriffsdaten und ggf. Produktkontext im vorbereiteten Nachrichtentext.
Cookies
PassPad setzt dafür keine WhatsApp-Cookies; Datenübertragung erfolgt erst beim Öffnen des externen Links.
Speicherdauer
Nach WhatsApp-/Meta-Vorgaben und deiner Nutzung des WhatsApp-Dienstes.
Empfänger
WhatsApp Ireland Ltd. / Meta Platforms.
Drittlandbezug
Mögliche Verarbeitung durch Meta außerhalb der EU.
Google Fonts
Dienstleister
Zweck
Schriftgestaltung. Website-Schriften werden über Next.js lokal ausgeliefert; einzelne E-Mail- und Bildgenerierungs-Templates referenzieren Google-Font-Dateien.
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO.
Daten
Beim lokalen Website-Font keine direkte Browser-Anfrage an Google; bei E-Mail-/Bildaufrufen technische Zugriffsdaten.
Speicherdauer
Nach Google-Datenschutzbedingungen bzw. lokalen Cache- und Build-Artefakten.
Empfänger
Google Ireland Ltd.
Drittlandbezug
Mögliche Verarbeitung durch Google LLC in den USA.
DHL, PayPal und Stripe
Dienstleister
Zweck
Versand, Tracking, Auszahlung, Zahlungsabwicklung und Betrugs-/Webhook-Prüfung.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b und lit. c DSGVO.
Daten
Adress-, Kontakt-, Versand-, Zahlungs- und Transaktionsdaten.
Speicherdauer
Nach Vertrags-, Handels- und Steuerrecht.
Empfänger
DHL, PayPal, Stripe und verbundene Zahlungs-/Logistikdienstleister.
AWS S3
Dienstleister
Zweck
Speicherung von hochgeladenen Produkt-, Scan- und Auftragsbildern.
Solange für Auftrag, Produktpflege oder Nachweiszwecke erforderlich.
Empfänger
Amazon Web Services.
Drittlandbezug
Mögliche Verarbeitung nach AWS-Datenschutzbedingungen.
Google Gemini / ThirdEye
Dienstleister
Zweck
KI-gestützte Erkennung hochgeladener Produktbilder im Ankauf-Scanner.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Daten
Hochgeladene Produktbilder, technische Anfrageinformationen, optionale Nutzerhinweise und erkannte Produktmerkmale.
Speicherdauer
Bilddateien liegen in PassPad/AWS S3; ThirdEye speichert Anfrage-Metadaten und Analyseergebnisse für Auftrag, Fehleranalyse und Nachvollziehbarkeit.
Empfänger
PassPad ThirdEye-Service und Google Gemini API.
Drittlandbezug
Mögliche Verarbeitung durch Google außerhalb der EU nach Google-Datenschutzbedingungen.
OpenAI
Dienstleister
Zweck
KI-Chat und Produktberatung im öffentlichen Website-Chat.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Daten
Chatnachrichten, technische Anfrageinformationen und Produkt-/Kontextdaten, die du im Chat eingibst oder anfragst.
Speicherdauer
Chatverläufe werden im Browser gehalten und serverseitig nicht als dauerhaftes Kundenkonto-Profil gespeichert; technische Logs werden nach Betriebs- und Sicherheitsbedarf gelöscht.
Empfänger
OpenAI, LLC.
Drittlandbezug
Mögliche Verarbeitung in den USA nach OpenAI-Datenschutzbedingungen.
Rechtsgrundlagen und Speicherdauer
Vertrags- und vorvertragliche Verarbeitungen erfolgen insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Gesetzliche Pflichten stützen sich auf Art. 6 Abs. 1 lit. c DSGVO. Sicherheits-, Missbrauchs-, Betriebs- und Nachweiszwecke stützen wir auf Art. 6 Abs. 1 lit. f DSGVO. Consent-pflichtige Cookies, Analyse, Marketing und externe Inhalte verarbeiten wir auf Grundlage deiner Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.
Wir speichern Daten nur so lange, wie der jeweilige Zweck, gesetzliche Aufbewahrungsfristen, Nachweisinteressen oder Sicherheitsanforderungen dies erfordern. Danach werden Daten gelöscht oder anonymisiert, soweit keine rechtlichen Gründe entgegenstehen.
Deine Rechte
Du hast nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Du kannst erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Außerdem hast du ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.