Verantwortlicher expertpal UG (haftungsbeschränkt) Nettelbeckstr. 15, 40477 Düsseldorf, Deutschland Geschäftsführer: Illya Konovalov E-Mail: [email protected]

Geltung: Diese Datenschutzerklärung gilt für replitoy.com (inkl. Unterseiten), unsere Auftritte auf Drittplattformen (z. B. Etsy) in dem hier beschriebenen Umfang sowie für von uns bereitgestellte Online-Dienste/SaaS-Tools.

Stand: 15. Oktober 2025

1. Grundsätze & Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten im Einklang mit DSGVO und BDSG. Je nach Zweck stützen wir uns auf:

• Art. 6 Abs. 1 lit. b DSGVO – Vertrag/Anbahnung (Bestellungen, Produktion personalisierter Produkte, Kundenkonto, Support).
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, optionale Cookies/Analytics/Marketing, Portfolio-Einwilligungen).
• Art. 6 Abs. 1 lit. c DSGVO – Rechtspflichten (Aufbewahrung HGB/AO, Verbraucherinformationen).
• Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (IT-Sicherheit, Missbrauchs-/Betrugsprävention, Betriebsstatistiken, ansprechende Web-Darstellung).

Wir treffen angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO). Keine automatisierte Einzelentscheidung i.S.d. Art. 22; kein Profiling mit Rechtswirkung.

2. Datenkategorien

• Stamm- & Kommunikationsdaten: Name, Anschrift, E-Mail, Inhalte aus Kontakt/Support.
• Vertrags-/Zahlungs-/Versanddaten: Bestellpositionen, Beträge, Zahlungsstatus, Transaktions-IDs, Versandinformationen.
• Bild-/Mediendaten (Personalisierung): von Ihnen bereitgestellte Fotos/Logos/Texte zur künstlerischen Annäherung (Cartoon/Stilisierung; keine 1:1-Identität).
• Web-/Nutzungsdaten: Server-Logs (IP, Timestamp, URL, Referrer, User-Agent), ggf. Consent-Protokolle, Cookie-IDs.
• SaaS/Online-Dienste: Account-/Login-Daten, Nutzungs-/Telemetriedaten (sofern erforderlich), Support-/Ticketdaten.

3. Zwecke

• Vertragserfüllung & Produktion (inkl. optionaler Proof/Korrekturen).
• Zahlungsabwicklung & Versand mit Dienstleistern.
• Kundenservice/Kommunikation und Fehleranalyse.
• IT-Betrieb & Sicherheit (Logs, Missbrauchsvermeidung).
• Gesetzliche Pflichten (Steuer/Handel).
• Marketing (Newsletter, Bestandskunden-Werbung gem. § 7 Abs. 3 UWG).
• SaaS/Software-Betrieb („as is/available“, s. § 11).

4. Herkunft der Daten

• Direkt von Ihnen (Bestellung, Upload, Kontakt).
• Plattformen (z. B. Etsy): Wir erhalten zur Abwicklung notwendige Daten von der Plattform, die eigener Verantwortlicher i.S.d. DSGVO ist.

5. Plattformen / Marktplätze (z. B. Etsy)

Bei Bestellungen über Plattformen verarbeitet die Plattform Ihre Daten eigenverantwortlich nach deren Datenschutzregeln. Wir verarbeiten die uns übermittelten Bestell-/Kontakt-/Versanddaten zur Vertragserfüllung (Art. 6 Abs. 1 lit. b). Bitte beachten Sie zusätzlich die Datenschutzhinweise der jeweiligen Plattform.

6. Bilder, Personenbezug & Minderjährige

Für personalisierte Produkte verarbeiten wir Ihre Fotos/Logos/Texte zur künstlerischen Umsetzung.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).

• Minderjährige: Stellen Sie sicher, dass Sorgeberechtigte zugestimmt haben.

• Portfolio:

  • Originalfotos mit erkennbaren Personen veröffentlichen wir nicht ohne Einwilligung (Art. 6 Abs. 1 lit. a).
  • Produktfotos der von uns gefertigten Objekte nutzen wir gemäß AGB; soweit Personen erkennbar wären, holen wir vorher Einwilligungen ein. Einwilligungen können jederzeit widerrufen werden (E-Mail an [email protected]).

7. Empfänger & Dienstleister

Wir setzen – soweit erforderlich – folgende Kategorien ein; Weitergaben erfolgen zweckgebunden und minimiert:

• Hosting/IT/CDN (Serverbetrieb, Speicherung, Sicherheit).
• E-Mail/Newsletter/Consent-Management (Double-Opt-In, Abmeldungen, Einwilligungsverwaltung).
• Zahlungsdienste: Stripe (Details § 9).
• Versand/Logistik (z. B. DHL/DPD/UPS).
• Analyse/Marketing (nur bei Einwilligung: Google Analytics; Details § 10).
• YouTube-Einbindung (Details § 10.3).
• Kundenservice/Support (Ticket-/Helpdesk-Systeme).

Je nach Rolle handeln Dienstleister als Auftragsverarbeiter (Art. 28) oder eigene Verantwortliche (z. B. Stripe, Google).

8. Drittlandübermittlungen

Kommt es zu Übermittlungen in Drittländer (außerhalb EWR), setzen wir geeignete Garantien ein (insb. EU-Standardvertragsklauseln/SCC gem. Art. 46) und ergänzende Schutzmaßnahmen. Alternativ stützen wir uns auf Einwilligungen. Details teilen wir auf Anfrage mit.

9. Zahlungsabwicklung mit Stripe

Anbieter im EWR: Stripe Technology Europe Limited, The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland. Zwecke: Zahlungsabwicklung (Kartenzahlung u. a.), Risikoprüfung/Betrugsprävention, gesetzliche Pflichten. Daten: Zahlungs-/Transaktionsdaten, Name, E-Mail, Rechnungs-/Lieferadresse, IP, Geräte/Browser-Infos, ggf. 3D-Secure-Daten. Volle Kartendaten werden nur von Stripe verarbeitet; wir erhalten maskierte Informationen (z. B. „Last 4“), Status, Token/IDs. Rolle: Stripe agiert für wesentliche Teile eigenverantwortlich (eigene Zwecke/Mittel). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (Vertrag), Art. 6 Abs. 1 lit. f (berechtigtes Interesse an sicherer, komfortabler Zahlung), Art. 6 Abs. 1 lit. c (Pflichten). Drittland: Stripe kann Daten innerhalb des Konzerns in Drittländer (u. a. USA) übermitteln; es werden SCC und zusätzliche Maßnahmen eingesetzt. Cookies/Technologien: Für sichere Zahlungen kann Stripe technisch notwendige Cookies verwenden (Art. 6 Abs. 1 lit. b/f).

10. Cookies, Consent & Dritt-Dienste

10.1 Consent-Management

Beim ersten Besuch fragen wir Ihre Einwilligung für optionale Cookies/Dienste ab (Banner/Preference-Center). Sie können Ihre Auswahl jederzeit ändern/widerrufen.

10.2 Google Analytics (nur mit Einwilligung)

Wir setzen Google Analytics ein, sofern Sie zugestimmt haben (Art. 6 Abs. 1 lit. a).

• Funktionen: Messung von Seitenaufrufen, Interaktionen, Reichweite; Geräte-/Browserdaten; ggf. pseudonyme IDs.
• IP-Anonymisierung: aktiviert.
• Speicherdauer/Retention: nach unseren Analytics-Einstellungen (z. B. 14 Monate) oder wie im Consent-Tool ausgewiesen.
• Widerspruch: jederzeit im Consent-Tool möglich.
• Drittland: Es kann zu Übermittlungen in Drittländer kommen; Google setzt SCC ein.

10.3 YouTube-Einbindung

Wir binden Videos von YouTube ein – nach Möglichkeit im „erweiterten Datenschutzmodus“.

• Zweck: ansprechende Darstellung unserer Inhalte (Art. 6 Abs. 1 lit. f); gesetzte Cookies/Tracking durch YouTube/Google erst nach Ihrem aktiven Start des Videos bzw. nur mit Einwilligung (Art. 6 Abs. 1 lit. a) je nach Einbindungsart/Consent-Tool.
• Drittland: mögliche Übermittlungen; SCC durch Google.
• Hinweis: Beim Abspielen verarbeitet YouTube/Google Geräte-, Nutzungs- und ggf. Account-Daten nach deren Datenschutzhinweisen.

10.4 Technisch notwendige Cookies

Zur Sicherstellung von Funktionen/Sicherheit (z. B. Warenkorb, Session, CSRF-Schutz, Consent-Speicher) setzen wir erforderliche Cookies ein (Art. 6 Abs. 1 lit. f bzw. lit. b).

11. Online-Dienste / SaaS („as is“)

Wir können SaaS-/Software-Dienste bereitstellen:

• Zwecke: Kontoführung, Betrieb, Sicherheit, Support (Art. 6 Abs. 1 lit. b/f; ggf. lit. a für optionale Features).
• Bedingungen: Für SaaS/Software gelten separate/zusätzliche AGB (mit Vorrang bei Widerspruch).
• B2B-Auftragsverarbeitung: Sofern wir Daten im Auftrag verarbeiten, schließen wir eine AVV (Art. 28 DSGVO).

12. Server-Logs & Sicherheit

Bei Aufruf unserer Seiten werden Server-Logs verarbeitet (IP, Datum/Uhrzeit, URL, Referrer, User-Agent). Zwecke: IT-Sicherheit, Fehleranalyse, Missbrauchsvermeidung (Art. 6 Abs. 1 lit. f). Löschung/Anonymisierung: i. d. R. nach 7–30 Tagen.

13. Newsletter & Direktwerbung

• Newsletter: nur nach Double-Opt-In (Art. 6 Abs. 1 lit. a). Abmeldung jederzeit über Link oder E-Mail.
• Bestandskund:innen: E-Mail-Werbung für ähnliche Produkte gem. § 7 Abs. 3 UWG (Art. 6 Abs. 1 lit. f); Widerspruch jederzeit möglich.

14. Social-Media (Links statt Plugins)

Wir verlinken ggf. auf Instagram/Meta, LinkedIn, X (ehem. Twitter), YouTube etc. Ohne aktiven Klick werden keine Daten an diese Anbieter übertragen. Nach dem Klick gelten die Datenschutzregeln des jeweiligen Anbieters. Tracking durch Dritte auf unserer Seite erfolgt nur mit Einwilligung.

15. Speicherdauer & Löschung

• Vertrags-/Steuerdaten: regulär 6–10 Jahre (HGB/AO).
• Kommunikationsdaten: bis Abschluss des Vorgangs, danach Löschung, soweit keine Aufbewahrungspflichten bestehen.
• Bilder zur Personalisierung: bis Auftragserfüllung + angemessener Zeitraum (z. B. Nachbesserung); anschließend Löschung/Anonymisierung. Portfolio-Medien nur mit Einwilligung bis Widerruf.
• Cookies/Analytics-IDs: gemäß Laufzeiten; Widerruf jederzeit im Consent-Tool.

16. Pflicht zur Bereitstellung

Für Bestellung/Vertrag sind bestimmte Angaben erforderlich; ohne sie ist eine Leistungserbringung nicht möglich. Für optionale Features (Newsletter, optionale Cookies) besteht keine Pflicht.

17. Ihre Rechte

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).
• Widerspruch (Art. 21) gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e/f, insbesondere gegen Direktwerbung.
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) jederzeit mit Wirkung für die Zukunft.
• Beschwerde (Art. 77) bei einer Aufsichtsbehörde, z. B.: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf — ldi.nrw.de

Kontakt für Rechte: [email protected]. Wir antworten zeitnah innerhalb gesetzlicher Fristen.

18. Hinweise zu künftiger Hardware (ElektroG/BattG – Datenschutzbezug)

Sollten wir künftig elektrische/elektronische Geräte (z. B. Flaschenhalter mit Sensorik) anbieten, informieren wir gesondert über ElektroG/WEEE und ggf. BattG (Rückgabe, Kennzeichnung, Entnahme von Batterien). Datenschutzrelevant verarbeiten wir dabei ggf. Kontakt-/Gerätedaten zur Abwicklung (Art. 6 Abs. 1 lit. b/c/f).

19. Aktualisierungen

Wir passen diese Erklärung an, wenn sich Rechtslage, Dienste oder Prozesse ändern. Die jeweils aktuelle Fassung ist auf replitoy.com/privacy abrufbar.