Datenschutzerklärung

Letzte Aktualisierung: 23.05.2026

Diese Datenschutzerklärung informiert Sie darüber, wie personenbezogene Daten verarbeitet werden, wenn Sie vykea.com besuchen, mit dem Verantwortlichen kommunizieren oder im Online-Shop bestellen.

1. Verantwortlicher

Epicode GmbH Unterer Schrannenplatz 1, 88131 Lindau (Bodensee), Deutschland E-Mail: service@vykea.com

Datenschutzbeauftragter Veit Hemmeter E-Mail: dataprivacy@vykea.com Postalisch erreichbar über die oben genannte Anschrift des Verantwortlichen.

2. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (z. B. Name, Adresse, E-Mail, Bestell- oder Zahlungsinformationen).

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt je nach Anlass insbesondere auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Bestellung, Kundenkonto, vorvertragliche Anfragen)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Aufbewahrung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. IT-Sicherheit, Missbrauchsabwehr)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, z. B. optionale Cookies/Marketing, falls eingesetzt)

Welche Informationen bereitzustellen sind, ergibt sich u. a. aus den Informationspflichten nach Art. 13 DSGVO.

A) Website-Nutzung

4. Hosting & Betrieb (Medusa Cloud, Vercel)

Der Shop wird technisch über Medusa Cloud betrieben. Anbieter ist die MedusaJS, Inc., 2261 Market Street, STE 5380, San Francisco, CA 94114, USA. Die Verarbeitung von Kundendaten im Rahmen der Cloud-Leistungen erfolgt in der Regel als Auftragsverarbeitung (Art. 28 DSGVO) gemäß dem dort bereitgestellten DPA.

Das Hosting erfolgt in der Region Frankfurt am Main (EU/Deutschland) gemäß der vorgenommenen Konfiguration. Support- und Wartungszugriffe können, je nach Dienstleisterstruktur, auch standortübergreifend und insbesondere aus den USA erfolgen. Soweit dabei eine Verarbeitung in den USA stattfindet, ist diese durch geeignete Garantien (z. B. EU-Standardvertragsklauseln gemäß dem Medusa-DPA) abgesichert.

Die Auslieferung der Website (Frontend) erfolgt über Vercel. Anbieter ist die Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Vercel verarbeitet dabei technische Verbindungsdaten (z. B. IP-Adresse, Zeitpunkt, angeforderte Ressourcen) als Auftragsverarbeiter (Art. 28 DSGVO) auf Grundlage des Vercel-DPA. Die Auslieferung erfolgt nach der vorgenommenen Konfiguration über Standorte in der EU (u. a. Frankfurt, Amsterdam, Paris). Soweit dabei eine Verarbeitung in den USA stattfindet, ist diese durch den EU-US Data Privacy Framework (Zertifizierung von Vercel) sowie ergänzend durch EU-Standardvertragsklauseln abgesichert.

5. Server-Logfiles

Beim Aufruf der Website werden technisch bedingt Daten verarbeitet, z. B.:

  • IP-Adresse (ggf. gekürzt/gekapselt je nach Infrastruktur)
  • Datum/Uhrzeit des Zugriffs
  • angeforderte Seite/Datei
  • Referrer-URL
  • Browser/OS, Sprache, Geräteinformationen

Zweck: Auslieferung der Website, Stabilität, Fehleranalyse, IT-Sicherheit (z. B. Abwehr von Angriffen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: technisch fehlerfreier, stabiler und sicherer Betrieb der Website sowie Schutz vor Missbrauch und Angriffen.

5a. Fehleranalyse und Stabilitätsüberwachung (Sentry)

Zur Erkennung und Behebung technischer Fehler, zur Stabilitätsüberwachung sowie zur Abwehr von Angriffen setzen wir den Dienst Sentry ein. Anbieter ist die Functional Software, Inc. d/b/a Sentry, 132 Hawthorne Street, San Francisco, CA 94107, USA, mit europäischer Datenverarbeitung über die Sentry-EU-Region (Frankfurt, Deutschland).

Verarbeitet werden technisch bedingte Informationen zu auftretenden Fehlern, insbesondere:

  • Fehlermeldung und technische Stack-Informationen
  • aufgerufene URL (ohne personenbezogene Pfadparameter)
  • Browser, Betriebssystem, Gerätetyp
  • gekürzte IP-Adresse (Anonymisierung serverseitig)
  • Release-Kennung der Anwendung
  • Zeitpunkt des Fehlers

Wir haben Sentry so konfiguriert, dass keine Sitzungsaufzeichnungen, keine Tastatureingaben und keine Formularinhalte erfasst werden. Eine Identifikation natürlicher Personen anhand der erhobenen Daten erfolgt nicht; ein technischer Bezug zu Sitzungen besteht ausschließlich zur Fehleranalyse und ist nach 90 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Stabilität, Sicherheit und fehlerfreier Betrieb der Website sowie zeitnahe Erkennung von Sicherheits- und Verfügbarkeitsproblemen. Eine Übermittlung in die USA wird durch EU-Standardvertragsklauseln gemäß dem Sentry-DPA abgesichert. Die Speicherdauer in Sentry beträgt 90 Tage.

Sie können der Verarbeitung gemäß Art. 21 DSGVO unter Angabe von Gründen widersprechen (Kontakt siehe Ziffer 1).

6. Cookies & Einwilligungen

Es werden Cookies/ähnliche Technologien eingesetzt, die entweder:

  • technisch notwendig sind (z. B. Warenkorb-Funktion), oder
  • optional (z. B. Statistik/Marketing), nur wenn Sie zustimmen.

Optionale Technologien werden (sofern eingesetzt) erst nach Einwilligung aktiviert; diese können Sie jederzeit über die Cookie-Einstellungen widerrufen/ändern. In Deutschland ist das Speichern/Auslesen auf Endgeräten zusätzlich im TDDDG geregelt.

Derzeit werden ausschließlich technisch notwendige Cookies eingesetzt. Optionale Technologien (z. B. Statistik/Marketing) werden erst aktiviert, sobald ein entsprechendes Einwilligungswerkzeug bereitgestellt wird und Sie eingewilligt haben.

B) Shop, Bestellungen, Kommunikation

7. Bestellungen & Vertragsabwicklung

Bei einer Bestellung werden Daten verarbeitet, die für Abschluss und Durchführung des Kaufvertrags erforderlich sind, z. B.:

  • Name, Rechnungs-/Lieferadresse
  • E-Mail, ggf. Telefonnummer
  • bestellte Produkte, Mengen, Preise, Zeitpunkte
  • Status-/Kommunikationsdaten (z. B. Versandstatus, Rückfragen)

Zweck: Vertragserfüllung, Versand, Retouren/Erstattungen, Kundenservice. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bereitstellung der Daten: Die Angabe der für die Bestellung erforderlichen Daten (insbesondere Name, Liefer-/Rechnungsadresse, E-Mail) ist für den Abschluss und die Durchführung des Kaufvertrags erforderlich. Ohne diese Daten können die Bestellung nicht bearbeitet und der Vertrag nicht erfüllt werden.

8. Kundenkonto (falls angeboten)

Bei Anlage eines Kundenkontos werden die dafür notwendigen Daten (z. B. Login-/Kontaktdaten sowie Bestellhistorie im Konto) gespeichert.

Zweck: Konto-Funktionen (Bestellübersicht, schnellere Checkouts). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9. Kontaktaufnahme

Bei einer Kontaktaufnahme (E-Mail/Formular) werden die Inhalte Ihrer Nachricht und die Kontaktdaten verarbeitet.

Zweck: Bearbeitung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (allgemeine Anfragen).

10. Produktbewertungen

Bei Abgabe einer Produktbewertung werden die von Ihnen angegebenen Daten (insbesondere Vor- und Nachname, Bewertungstext und Bewertung/Sterne) sowie der Produktbezug verarbeitet.

Bei der öffentlichen Anzeige der Bewertung auf der jeweiligen Produktseite wird der Vorname vollständig angezeigt, der Nachname hingegen nur mit dem ersten Buchstaben abgekürzt (Beispiel: aus Anna Mustermann wird Anna M.). Der vollständige Nachname wird nicht veröffentlicht. Bitte geben Sie keine Daten an, die Sie nicht öffentlich machen möchten.

Zweck: Darstellung von Produktbewertungen, Information anderer Kundinnen und Kunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Abgabe der Bewertung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aussagekräftigen Produktinformationen). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen; die Bewertung wird dann entfernt.

11. Weiterempfehlungen / Freunde werben

Bei Teilnahme am Empfehlungsprogramm werden die hierfür erforderlichen Daten verarbeitet, z. B. ein Ihnen zugeordneter Empfehlungscode, die Zuordnung zwischen empfehlender und geworbener Person sowie der Status etwaiger Prämien/Gutschriften.

Zweck: Durchführung und Abrechnung des Empfehlungsprogramms, Gewährung von Prämien. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Programms) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bewerbung des Angebots über Weiterempfehlungen). Wenn Sie eine andere Person aktiv einladen, stellen Sie bitte sicher, dass Sie hierzu berechtigt sind.

C) Zahlungen & Betrugsprävention

12. Zahlungsabwicklung über Stripe

Für die Zahlungsabwicklung wird Stripe genutzt. In Europa ist regelmäßig Stripe Payments Europe, Limited der Anbieter/Vertragspartner.

Dabei werden, abhängig von der gewählten Zahlungsart, insbesondere folgende Daten verarbeitet/übermittelt:

  • Stammdaten (z. B. Name, E-Mail)
  • Transaktionsdaten (Betrag, Währung, Zeitpunkte, Warenkorb-/Bestellreferenzen)
  • ggf. Rechnungs-/Lieferdaten
  • technische Daten (z. B. IP-Adresse, Geräte-/Browserinformationen), die zur Zahlungsabwicklung und Sicherheit erforderlich sind

Zweck: Durchführung der Zahlung, Missbrauchs-/Betrugsprävention, Sicherheit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie ggf. Art. 6 Abs. 1 lit. f DSGVO (Sicherheitsinteressen).

Stripe kann Daten je nach Kontext auch in eigener Verantwortlichkeit verarbeiten; Details ergeben sich aus den Stripe-Datenschutzhinweisen und dem Privacy Center. Soweit Stripe als Auftragsverarbeiter tätig wird, gilt das Stripe-DPA; dort sind auch Schutzmechanismen für mögliche Drittlandübermittlungen beschrieben (z. B. Standardvertragsklauseln).

Es werden keine vollständigen Karten-/Kontodaten gespeichert; in der Regel werden nur Informationen empfangen, die zur Bestätigung/Zuordnung erforderlich sind (z. B. Zahlungsstatus, Referenz/Token).

D) Versand & Dienstleister

13. Versand/Logistik

Zur Zustellung werden die für den Versand erforderlichen Daten an Versand-/Logistikdienstleister weitergegeben (z. B. Name, Adresse, ggf. Sendungsdaten). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

14. E-Mail-Versand (Resend)

Für den Versand transaktionsbezogener E-Mails (z. B. Bestell- und Versandbestätigungen, Konto- und Passwort-E-Mails, Rechnungsversand) wird der Dienst Resend genutzt. Anbieter ist die Plus Five Five, Inc. (Resend), 2261 Market Street #5039, San Francisco, CA 94114, USA.

Dabei werden die für den Versand erforderlichen Daten (insbesondere E-Mail-Adresse, Name sowie Inhalt der jeweiligen Benachrichtigung) verarbeitet. Resend wird als Auftragsverarbeiter (Art. 28 DSGVO) tätig.

Zweck: Zustellung vertrags- und kontobezogener Benachrichtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (sichere und zuverlässige Kommunikation).

Soweit hierbei eine Verarbeitung in den USA erfolgt, ist diese durch den EU-US Data Privacy Framework (Zertifizierung von Resend/Plus Five Five, Inc.) sowie ergänzend durch EU-Standardvertragsklauseln gemäß dem Resend-DPA abgesichert.

15. Rechnungserstellung & -archivierung

Zur Erstellung von Rechnungen und Stornorechnungen wird aus den Bestelldaten ein PDF-Dokument erzeugt. Für die Generierung wird der Dienst PDF Generator API genutzt. Anbieter ist die Actual Reports OÜ, Tõnismägi 11a, 10119 Tallinn, Estland (Handelsregister-Nr. 12318670). Entsprechend der genutzten Verarbeitungsregion erfolgt die Erzeugung der Dokumente auf Servern in den USA.

Die erstellten Rechnungen werden anschließend revisionssicher und unveränderbar in Google Cloud Storage archiviert. Anbieter ist die Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland. Der genutzte Speicherort liegt in der EU (Region europe-west3, Frankfurt). Die genannten Dienste werden insoweit als Auftragsverarbeiter (Art. 28 DSGVO) tätig.

Verarbeitet werden insbesondere Rechnungsdaten wie Name, Anschrift, Rechnungspositionen, Beträge und Steuerangaben.

Zweck: Erstellung, Bereitstellung und gesetzlich vorgeschriebene Archivierung von Rechnungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) und Art. 6 Abs. 1 lit. c DSGVO (Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten).

Soweit bei der PDF-Generierung eine Verarbeitung in den USA erfolgt, ist diese durch den EU-US Data Privacy Framework sowie ergänzend durch EU-Standardvertragsklauseln gemäß dem jeweiligen DPA abgesichert. Nähere Informationen zu diesen Garantien werden auf Anfrage über die oben genannten Kontaktdaten bereitgestellt.

16. Auftragsverarbeiter & Empfänger

Es werden sorgfältig ausgewählte Dienstleister eingesetzt, die personenbezogene Daten im Auftrag des Verantwortlichen oder, je nach Konstellation, in eigener Verantwortlichkeit verarbeiten:

  • Hosting/IT-Betrieb: Medusa Cloud (MedusaJS, Inc., Backend/Shop-Infrastruktur) und Vercel Inc. (Auslieferung der Website)
  • Zahlungsabwicklung: Stripe (Stripe Payments Europe, Limited)
  • E-Mail-Versand: Resend (Plus Five Five, Inc.)
  • Rechnungserstellung/-archivierung: PDF Generator API (Actual Reports OÜ) sowie Google Cloud Storage (Google Cloud EMEA Limited)
  • Versand/Logistik: beauftragte Versanddienstleister

Diese verarbeiten Daten entweder als Auftragsverarbeiter nach Art. 28 DSGVO (z. B. Hosting/Shop-Infrastruktur, E-Mail-Versand, Rechnungsarchivierung) oder als eigene Verantwortliche (z. B. bestimmte Zahlungs-/Versandkonstellationen). Mit Auftragsverarbeitern bestehen entsprechende Verträge nach Art. 28 DSGVO; soweit Verarbeitungen in Drittländern (insbesondere USA) stattfinden, sind diese durch geeignete Garantien (EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln) abgesichert.

E) Speicherdauer

17. Wie lange werden Daten gespeichert?

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist. Darüber hinaus werden Daten gespeichert, wenn gesetzliche Aufbewahrungspflichten bestehen. In Deutschland gelten je nach Dokumenttyp typischerweise 6, 8 oder 10 Jahre (z. B. handels-/steuerrechtliche Pflichten; seit 2025 sind bestimmte Buchungsbelege häufig 8 Jahre aufzubewahren).

Rechnungen und steuerrelevante Belege werden für die Dauer der gesetzlichen Aufbewahrungsfristen archiviert.

F) Ihre Rechte

18. Betroffenenrechte

Sie haben, je nach Voraussetzungen, folgende Rechte:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Diese Rechte ergeben sich aus der DSGVO; die Informationspflichten sind in Art. 13 DSGVO beschrieben.

19. Beschwerderecht bei der Aufsichtsbehörde

Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren. Für private Unternehmen in Bayern ist das in der Regel das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA).

G) Sonstiges

20. Automatisierte Entscheidungsfindung

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Ein Profiling zu solchen Zwecken wird nicht vorgenommen.

Im Rahmen der Zahlungsabwicklung können die eingesetzten Zahlungsdienstleister automatisierte Prüfungen zur Betrugs- und Missbrauchsprävention durchführen (z. B. Risikobewertung einer Transaktion). Diese Prüfungen dienen der Sicherheit des Zahlungsverkehrs; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.

21. Minderjährige

Das Angebot richtet sich grundsätzlich an Erwachsene. Sofern erkannt wird, dass Daten Minderjähriger ohne Zustimmung der Erziehungsberechtigten verarbeitet werden, werden diese Daten im Rahmen der rechtlichen Möglichkeiten gelöscht.

22. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird angepasst, wenn sich Prozesse, Technik oder Rechtslage ändern. Es gilt die jeweils aktuelle Version auf vykea.com.