Datenschutzerklärung

Letzte Aktualisierung: 01.06.2026

Diese Datenschutzerklärung informiert Sie darüber, wie personenbezogene Daten verarbeitet werden, wenn Sie vykea.com besuchen, mit dem Verantwortlichen kommunizieren oder im Online-Shop bestellen.

1. Verantwortlicher

Epicode GmbH Unterer Schrannenplatz 1, 88131 Lindau (Bodensee), Deutschland E-Mail: service@vykea.com

Datenschutzbeauftragter Veit Hemmeter E-Mail: dataprivacy@vykea.com Postalisch erreichbar über die oben genannte Anschrift des Verantwortlichen.

2. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (z. B. Name, Adresse, E-Mail, Bestell- oder Zahlungsinformationen).

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt je nach Anlass insbesondere auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Bestellung, Kundenkonto, vorvertragliche Anfragen)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Aufbewahrung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. IT-Sicherheit, Missbrauchsabwehr)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. optionale Statistik- und Komfortfunktionen)

Welche Informationen bereitzustellen sind, ergibt sich u. a. aus den Informationspflichten nach Art. 13 DSGVO.

A) Website-Nutzung

4. Hosting & Betrieb (Medusa Cloud, Vercel)

Der Shop wird technisch über Medusa Cloud betrieben. Anbieter ist die MedusaJS, Inc., 2261 Market Street, STE 5380, San Francisco, CA 94114, USA. Die Verarbeitung von Kundendaten im Rahmen der Cloud-Leistungen erfolgt in der Regel als Auftragsverarbeitung (Art. 28 DSGVO) gemäß dem dort bereitgestellten DPA.

Das Hosting erfolgt in der Region Frankfurt am Main (EU/Deutschland) gemäß der vorgenommenen Konfiguration. Support- und Wartungszugriffe können, je nach Dienstleisterstruktur, auch standortübergreifend und insbesondere aus den USA erfolgen. Soweit dabei eine Verarbeitung in den USA stattfindet, ist diese durch geeignete Garantien (z. B. EU-Standardvertragsklauseln gemäß dem Medusa-DPA) abgesichert.

Die Auslieferung der Website (Frontend) erfolgt über Vercel. Anbieter ist die Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Vercel verarbeitet dabei technische Verbindungsdaten (z. B. IP-Adresse, Zeitpunkt, angeforderte Ressourcen) als Auftragsverarbeiter (Art. 28 DSGVO) auf Grundlage des Vercel-DPA. Die Auslieferung erfolgt nach der vorgenommenen Konfiguration über Standorte in der EU (u. a. Frankfurt, Amsterdam, Paris). Soweit dabei eine Verarbeitung in den USA stattfindet, ist diese durch den EU-US Data Privacy Framework (Zertifizierung von Vercel) sowie ergänzend durch EU-Standardvertragsklauseln abgesichert.

5. Server-Logfiles

Beim Aufruf der Website werden technisch bedingt Daten verarbeitet, z. B.:

  • IP-Adresse (ggf. gekürzt/gekapselt je nach Infrastruktur)
  • Datum/Uhrzeit des Zugriffs
  • angeforderte Seite/Datei
  • Referrer-URL
  • Browser/OS, Sprache, Geräteinformationen

Zweck: Auslieferung der Website, Stabilität, Fehleranalyse, IT-Sicherheit (z. B. Abwehr von Angriffen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: technisch fehlerfreier, stabiler und sicherer Betrieb der Website sowie Schutz vor Missbrauch und Angriffen.

5a. Fehleranalyse und Stabilitätsüberwachung (Sentry)

Zur Erkennung und Behebung technischer Fehler, zur Stabilitätsüberwachung sowie zur Abwehr von Angriffen setzen wir den Dienst Sentry ein. Anbieter ist die Functional Software, Inc. d/b/a Sentry, 132 Hawthorne Street, San Francisco, CA 94107, USA, mit europäischer Datenverarbeitung über die Sentry-EU-Region (Frankfurt, Deutschland).

Verarbeitet werden technisch bedingte Informationen zu auftretenden Fehlern, insbesondere:

  • Fehlermeldung und technische Stack-Informationen
  • aufgerufene URL (ohne personenbezogene Pfadparameter)
  • Browser, Betriebssystem, Gerätetyp
  • gekürzte IP-Adresse (Anonymisierung serverseitig)
  • Release-Kennung der Anwendung
  • Zeitpunkt des Fehlers

Wir haben Sentry so konfiguriert, dass keine Sitzungsaufzeichnungen, keine Tastatureingaben und keine Formularinhalte erfasst werden. Eine Identifikation natürlicher Personen anhand der erhobenen Daten erfolgt nicht; ein technischer Bezug zu Sitzungen besteht ausschließlich zur Fehleranalyse und ist nach 90 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Stabilität, Sicherheit und fehlerfreier Betrieb der Website sowie zeitnahe Erkennung von Sicherheits- und Verfügbarkeitsproblemen. Eine Übermittlung in die USA wird durch EU-Standardvertragsklauseln gemäß dem Sentry-DPA abgesichert. Die Speicherdauer in Sentry beträgt 90 Tage.

Sie können der Verarbeitung gemäß Art. 21 DSGVO unter Angabe von Gründen widersprechen (Kontakt siehe Ziffer 1).

5b. Bot- und Missbrauchsabwehr (Vercel BotID)

Zum Schutz sicherheitsrelevanter Formulare (insbesondere Anmeldung, Registrierung, Passwort-Zurücksetzen, Adress- und E-Mail-Änderung sowie Checkout) wird der Dienst Vercel BotID eingesetzt, der automatisierte Zugriffe (Bots) von menschlichen Eingaben unterscheidet. Anbieter ist die Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA.

Dabei werden technische Informationen des Endgeräts und der Verbindung ausgewertet, z. B.:

  • Browser- und Geräteeigenschaften
  • technische Interaktions- und Verbindungsmerkmale
  • IP-Adresse

Der Dienst läuft unsichtbar im Hintergrund und ist für das Absenden der genannten Formulare technisch erforderlich. Inhalte von Eingabefeldern werden dabei nicht ausgewertet; ein Profiling zu Werbezwecken findet nicht statt.

Zweck: Abwehr automatisierter Angriffe und missbräuchlicher Anfragen, Schutz von Konten und Bestellvorgängen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Schutz vor automatisiertem Missbrauch, Betrug und Angriffen auf sicherheitsrelevante Funktionen. Soweit dabei eine Verarbeitung in den USA erfolgt, ist diese durch den EU-US Data Privacy Framework (Zertifizierung von Vercel) sowie ergänzend durch EU-Standardvertragsklauseln abgesichert.

6. Cookies & Einwilligungen

Es werden Cookies/ähnliche Technologien eingesetzt, die entweder:

  • technisch notwendig sind (z. B. Warenkorb-Funktion), oder
  • optional (z. B. Statistik), nur wenn Sie zustimmen.

Optionale Technologien werden (sofern eingesetzt) erst nach Einwilligung aktiviert; diese können Sie jederzeit über die Cookie-Einstellungen widerrufen/ändern. In Deutschland ist das Speichern/Auslesen auf Endgeräten zusätzlich im TDDDG geregelt.

Neben technisch notwendigen Cookies werden optionale Analyse-Technologien des Analysedienstes Mixpanel (EU-Projekt) eingesetzt. Diese werden ausschließlich nach Ihrer Einwilligung über das Cookie-Einwilligungswerkzeug aktiviert; ohne Einwilligung findet keine Analyse statt. Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen mit Wirkung für die Zukunft widerrufen. Einzelheiten zur Analyse beschreibt Abschnitt 11a. Die weiteren optionalen, nur nach Einwilligung aktiven Dienste sind in den Abschnitten 6a, 6b und 6c beschrieben.

6a. Reichweiten- und Performancemessung (Vercel Analytics, Vercel Speed Insights)

Sofern Sie die Statistik-Kategorie im Cookie-Einwilligungswerkzeug aktivieren, werden die Dienste Vercel Analytics und Vercel Speed Insights eingesetzt. Anbieter ist die Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Vercel Analytics erfasst aggregierte Nutzungsstatistiken (z. B. Seitenaufrufe), Vercel Speed Insights misst technische Performancewerte (z. B. Ladezeiten und Interaktivität). Die Erhebung erfolgt aggregiert und ohne Speicherung direkt personenbezogener Daten.

Zweck: Reichweitenmessung sowie Analyse und Optimierung der technischen Performance der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Ohne Einwilligung findet keine Erfassung statt. Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen mit Wirkung für die Zukunft widerrufen. Soweit dabei eine Verarbeitung in den USA erfolgt, ist diese durch EU-Standardvertragsklauseln abgesichert.

6b. Live-Chat (Intercom)

Sofern Sie die funktionale Kategorie im Cookie-Einwilligungswerkzeug aktivieren, wird ein Chat-Widget des Dienstes Intercom bereitgestellt, über das Sie mit dem Kundenservice kommunizieren können. Anbieter ist die Intercom R&D Unlimited Company, 2nd Floor, Stephen Court, 18-21 Saint Stephen's Green, Dublin 2, Irland.

Dabei werden insbesondere die von Ihnen im Chat übermittelten Inhalte sowie, bei angemeldeten Kundinnen und Kunden, Kontaktdaten (z. B. Name, E-Mail-Adresse, ggf. Telefonnummer) verarbeitet. Ohne Einwilligung bleibt der Chat deaktiviert.

Zweck: Kundenkommunikation und Support über einen Live-Chat. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen mit Wirkung für die Zukunft widerrufen. Intercom verarbeitet Daten teilweise in den USA; diese Übermittlung ist durch EU-Standardvertragsklauseln abgesichert.

6c. Adress-Autovervollständigung im Checkout (Google Maps Places)

Sofern Sie die funktionale Kategorie im Cookie-Einwilligungswerkzeug aktivieren, wird im Checkout eine Adress-Autovervollständigung über die Google Maps Places API angeboten. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; eine Übermittlung an die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, kann stattfinden.

Dabei werden die von Ihnen eingegebenen Adressdaten zur Ermittlung passender Vorschläge an Google übermittelt. Ohne Einwilligung steht die Funktion nicht zur Verfügung; Sie geben Ihre Adresse in diesem Fall manuell ein.

Zweck: Komfortable und fehlerarme Eingabe von Liefer- und Rechnungsadressen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Ihre Einwilligung können Sie jederzeit über die Cookie-Einstellungen mit Wirkung für die Zukunft widerrufen. Eine Übermittlung in die USA ist durch den EU-US Data Privacy Framework (Zertifizierung von Google) sowie ergänzend durch EU-Standardvertragsklauseln abgesichert.

B) Shop, Bestellungen, Kommunikation

7. Bestellungen & Vertragsabwicklung

Bei einer Bestellung werden Daten verarbeitet, die für Abschluss und Durchführung des Kaufvertrags erforderlich sind, z. B.:

  • Name, Rechnungs-/Lieferadresse
  • E-Mail, ggf. Telefonnummer
  • bestellte Produkte, Mengen, Preise, Zeitpunkte
  • Status-/Kommunikationsdaten (z. B. Versandstatus, Rückfragen)

Zweck: Vertragserfüllung, Versand, Retouren/Erstattungen, Kundenservice. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bereitstellung der Daten: Die Angabe der für die Bestellung erforderlichen Daten (insbesondere Name, Liefer-/Rechnungsadresse, E-Mail) ist für den Abschluss und die Durchführung des Kaufvertrags erforderlich. Ohne diese Daten können die Bestellung nicht bearbeitet und der Vertrag nicht erfüllt werden.

8. Kundenkonto (falls angeboten)

Bei Anlage eines Kundenkontos werden die dafür notwendigen Daten (z. B. Login-/Kontaktdaten sowie Bestellhistorie im Konto) gespeichert.

Zweck: Konto-Funktionen (Bestellübersicht, schnellere Checkouts). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Kontaktaufnahme

Bei einer Kontaktaufnahme (E-Mail/Formular) werden die Inhalte Ihrer Nachricht und die Kontaktdaten verarbeitet.

Zweck: Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (allgemeine Anfragen).

9a. Newsletter

Sofern Sie sich für den Newsletter anmelden, werden die von Ihnen angegebene E-Mail-Adresse sowie der Status und die Zeitpunkte Ihrer An- und Abmeldung verarbeitet. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Ihrer Eingabe wird eine Bestätigungs-E-Mail versendet, und der Newsletter wird erst nach Bestätigung über den darin enthaltenen Link aktiviert. Anmeldung und Bestätigung werden zum Nachweis Ihrer Einwilligung gespeichert. Der Versand des Newsletters und der Bestätigungs-E-Mail erfolgt über den E-Mail-Dienstleister Resend (siehe Ziffer 14).

Zweck: Regelmäßige Information über Produkte, Angebote und Neuigkeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie § 7 UWG. Sie können den Newsletter jederzeit abbestellen und Ihre Einwilligung mit Wirkung für die Zukunft widerrufen, z. B. über den Abmeldelink am Ende jeder Newsletter-E-Mail; eine Abmeldung ist mit einem Klick möglich. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

10. Produktbewertungen

Bei Abgabe einer Produktbewertung werden die von Ihnen angegebenen Daten (insbesondere Vor- und Nachname, Bewertungstext und Bewertung/Sterne) sowie der Produktbezug verarbeitet.

Bei der öffentlichen Anzeige der Bewertung auf der jeweiligen Produktseite wird der Vorname vollständig angezeigt, der Nachname hingegen nur mit dem ersten Buchstaben abgekürzt (Beispiel: aus Anna Mustermann wird Anna M.). Der vollständige Nachname wird nicht veröffentlicht. Bitte geben Sie keine Daten an, die Sie nicht öffentlich machen möchten.

Zweck: Darstellung von Produktbewertungen, Information anderer Kundinnen und Kunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Abgabe der Bewertung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aussagekräftigen Produktinformationen). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen; die Bewertung wird dann entfernt.

11. Weiterempfehlungen / Freunde werben

Bei Teilnahme am Empfehlungsprogramm werden die hierfür erforderlichen Daten verarbeitet, z. B. ein Ihnen zugeordneter Empfehlungscode, die Zuordnung zwischen empfehlender und geworbener Person sowie der Status etwaiger Prämien/Gutschriften.

Zweck: Durchführung und Abrechnung des Empfehlungsprogramms, Gewährung von Prämien. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Programms) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bewerbung des Angebots über Weiterempfehlungen). Wenn Sie eine andere Person aktiv einladen, stellen Sie bitte sicher, dass Sie hierzu berechtigt sind.

11a. QR-Code-Scans bei Partnerärzten

Beim Scannen eines QR-Codes eines Partnerarztes erfolgt die Datenverarbeitung in zwei Stufen.

1. Aggregierte, einwilligungsfreie Zählung. Es wird gezählt, wie oft jeder Partner-QR-Code gescannt wird. Dazu wird ein gesalzener Hash eines anonymen Browser-Cookies verwendet, der sich monatlich ändert. Eine E-Mail-Adresse oder ein Name werden nicht gespeichert. Aus der IP-Adresse wird ausschließlich das Länderkürzel abgeleitet und gespeichert; die IP-Adresse selbst wird nicht gespeichert. Der Hash wechselt jeden Kalendermonat, sodass kein dauerhaftes Profil entsteht. Die aggregierte Zahl wird in der eigenen Datenbank sowie zusätzlich im Analysedienst Mixpanel (EU-Projekt) auf derselben Rechtsgrundlage gespeichert, ohne personenbezogene Daten und ohne dass der Analysedienst Cookies auf Ihrem Gerät setzt. Rechtsgrundlage: Vertragserfüllung im Rahmen des Partnerprogramms (Art. 6 Abs. 1 lit. b DSGVO) sowie das berechtigte Interesse am Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

2. Analyse für einwilligende Besucher. Besucher, die die Analyse-Cookie-Kategorie akzeptiert haben, lassen ihre Interaktion mit der Promo-Seite, den Produktseiten, dem Warenkorb und dem Checkout in Mixpanel erfassen, unter derselben Einwilligungskategorie. Diese nachgelagerten Ereignisse ergänzen die einwilligungsfreie Zählung; sie laufen auf zustimmenden Geräten zusätzlich. Auf Geräten mit erteilter Analyse-Einwilligung werden zudem Seitenaufrufe sowie eine Sitzungsaufzeichnung (Session Replay) erfasst, um die Nutzung der Seiten nachzuvollziehen und sie zu verbessern. Eingabefelder, Passwörter und als vertraulich markierte Inhalte werden dabei automatisch maskiert und nicht aufgezeichnet. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.

C) Zahlungen & Betrugsprävention

12. Zahlungsabwicklung über Stripe

Für die Zahlungsabwicklung wird Stripe genutzt. In Europa ist regelmäßig Stripe Payments Europe, Limited der Anbieter/Vertragspartner.

Dabei werden, abhängig von der gewählten Zahlungsart, insbesondere folgende Daten verarbeitet/übermittelt:

  • Stammdaten (z. B. Name, E-Mail)
  • Transaktionsdaten (Betrag, Währung, Zeitpunkte, Warenkorb-/Bestellreferenzen)
  • ggf. Rechnungs-/Lieferdaten
  • technische Daten (z. B. IP-Adresse, Geräte-/Browserinformationen), die zur Zahlungsabwicklung und Sicherheit erforderlich sind

Zweck: Durchführung der Zahlung, Missbrauchs-/Betrugsprävention, Sicherheit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie ggf. Art. 6 Abs. 1 lit. f DSGVO (Sicherheitsinteressen).

Stripe kann Daten je nach Kontext auch in eigener Verantwortlichkeit verarbeiten; Details ergeben sich aus den Stripe-Datenschutzhinweisen und dem Privacy Center. Soweit Stripe als Auftragsverarbeiter tätig wird, gilt das Stripe-DPA; dort sind auch Schutzmechanismen für mögliche Drittlandübermittlungen beschrieben (z. B. Standardvertragsklauseln).

Es werden keine vollständigen Karten-/Kontodaten gespeichert; in der Regel werden nur Informationen empfangen, die zur Bestätigung/Zuordnung erforderlich sind (z. B. Zahlungsstatus, Referenz/Token).

D) Versand & Dienstleister

13. Versand/Logistik

Zur Zustellung werden die für den Versand erforderlichen Daten an Versand-/Logistikdienstleister weitergegeben (z. B. Name, Adresse, ggf. Sendungsdaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

14. E-Mail-Versand (Resend)

Für den Versand transaktionsbezogener E-Mails (z. B. Bestell- und Versandbestätigungen, Konto- und Passwort-E-Mails, Rechnungsversand) sowie des Newsletters (Ziffer 9a) wird der Dienst Resend genutzt. Anbieter ist die Plus Five Five, Inc. (Resend), 2261 Market Street #5039, San Francisco, CA 94114, USA.

Dabei werden die für den Versand erforderlichen Daten (insbesondere E-Mail-Adresse, Name sowie Inhalt der jeweiligen Benachrichtigung) verarbeitet. Resend wird als Auftragsverarbeiter (Art. 28 DSGVO) tätig.

Zweck: Zustellung vertrags- und kontobezogener Benachrichtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (sichere und zuverlässige Kommunikation).

Soweit hierbei eine Verarbeitung in den USA erfolgt, ist diese durch den EU-US Data Privacy Framework (Zertifizierung von Resend/Plus Five Five, Inc.) sowie ergänzend durch EU-Standardvertragsklauseln gemäß dem Resend-DPA abgesichert.

15. Rechnungserstellung & -archivierung

Zur Erstellung von Rechnungen und Stornorechnungen wird aus den Bestelldaten ein PDF-Dokument erzeugt. Für die Generierung wird der Dienst PDF Generator API genutzt. Anbieter ist die Actual Reports OÜ, Tõnismägi 11a, 10119 Tallinn, Estland (Handelsregister-Nr. 12318670). Entsprechend der genutzten Verarbeitungsregion erfolgt die Erzeugung der Dokumente auf Servern in den USA.

Die erstellten Rechnungen werden anschließend revisionssicher und unveränderbar in Google Cloud Storage archiviert. Anbieter ist die Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland. Der genutzte Speicherort liegt in der EU (Region europe-west3, Frankfurt). Die genannten Dienste werden insoweit als Auftragsverarbeiter (Art. 28 DSGVO) tätig.

Verarbeitet werden insbesondere Rechnungsdaten wie Name, Anschrift, Rechnungspositionen, Beträge und Steuerangaben.

Zweck: Erstellung, Bereitstellung und gesetzlich vorgeschriebene Archivierung von Rechnungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten).

Soweit bei der PDF-Generierung eine Verarbeitung in den USA erfolgt, ist diese durch den EU-US Data Privacy Framework sowie ergänzend durch EU-Standardvertragsklauseln gemäß dem jeweiligen DPA abgesichert. Nähere Informationen zu diesen Garantien werden auf Anfrage über die oben genannten Kontaktdaten bereitgestellt.

16. Auftragsverarbeiter & Empfänger

Es werden sorgfältig ausgewählte Dienstleister eingesetzt, die personenbezogene Daten im Auftrag des Verantwortlichen oder, je nach Konstellation, in eigener Verantwortlichkeit verarbeiten:

  • Hosting/IT-Betrieb: Medusa Cloud (MedusaJS, Inc., Backend/Shop-Infrastruktur) und Vercel Inc. (Auslieferung der Website)
  • Zahlungsabwicklung: Stripe (Stripe Payments Europe, Limited)
  • E-Mail-Versand: Resend (Plus Five Five, Inc.)
  • Rechnungserstellung/-archivierung: PDF Generator API (Actual Reports OÜ) sowie Google Cloud Storage (Google Cloud EMEA Limited)
  • Versand/Logistik: beauftragte Versanddienstleister
  • Bot- und Missbrauchsabwehr: Vercel BotID (Vercel Inc.)
  • Produktanalyse (nur mit Einwilligung): Mixpanel (Mixpanel, Inc.)
  • Reichweiten- und Performancemessung (nur mit Einwilligung): Vercel Analytics und Vercel Speed Insights (Vercel Inc.)
  • Live-Chat/Support (nur mit Einwilligung): Intercom (Intercom R&D Unlimited Company)
  • Adress-Autovervollständigung im Checkout (nur mit Einwilligung): Google Maps Places (Google Ireland Limited / Google LLC)

Diese verarbeiten Daten entweder als Auftragsverarbeiter nach Art. 28 DSGVO (z. B. Hosting/Shop-Infrastruktur, E-Mail-Versand, Rechnungsarchivierung) oder als eigene Verantwortliche (z. B. bestimmte Zahlungs-/Versandkonstellationen). Mit Auftragsverarbeitern bestehen entsprechende Verträge nach Art. 28 DSGVO; soweit Verarbeitungen in Drittländern (insbesondere USA) stattfinden, sind diese durch geeignete Garantien (EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln) abgesichert.

E) Speicherdauer

17. Wie lange werden Daten gespeichert?

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist. Darüber hinaus werden Daten gespeichert, wenn gesetzliche Aufbewahrungspflichten bestehen. In Deutschland gelten je nach Dokumenttyp typischerweise 6, 8 oder 10 Jahre (z. B. handels-/steuerrechtliche Pflichten; seit 2025 sind bestimmte Buchungsbelege häufig 8 Jahre aufzubewahren).

Rechnungen und steuerrelevante Belege werden für die Dauer der gesetzlichen Aufbewahrungsfristen archiviert.

F) Ihre Rechte

18. Betroffenenrechte

Sie haben, je nach Voraussetzungen, folgende Rechte:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Diese Rechte ergeben sich aus der DSGVO; die Informationspflichten sind in Art. 13 DSGVO beschrieben.

19. Beschwerderecht bei der Aufsichtsbehörde

Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren. Für private Unternehmen in Bayern ist das in der Regel das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA).

G) Sonstiges

20. Automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Ein Profiling zu solchen Zwecken wird nicht vorgenommen.

Im Rahmen der Zahlungsabwicklung können die eingesetzten Zahlungsdienstleister automatisierte Prüfungen zur Betrugs- und Missbrauchsprävention durchführen (z. B. Risikobewertung einer Transaktion). Diese Prüfungen dienen der Sicherheit des Zahlungsverkehrs; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.

21. Minderjährige

Das Angebot richtet sich grundsätzlich an Erwachsene. Sofern erkannt wird, dass Daten Minderjähriger ohne Zustimmung der Erziehungsberechtigten verarbeitet werden, werden diese Daten im Rahmen der rechtlichen Möglichkeiten gelöscht.

22. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, wenn sich Prozesse, Technik oder Rechtslage ändern. Es gilt die jeweils aktuelle Version auf vykea.com.