1. EINLEITUNG
ESPACE ECOMMERCE FRANCE SARL (nachfolgend “der Verantwortliche” oder “wir”) legt großen Wert auf den Schutz der Privatsphäre und der personenbezogenen Daten der Nutzer der Website www.justbob.de (nachfolgend die “Website”).
Die vorliegende Datenschutzerklärung (nachfolgend die “Datenschutzerklärung”) beschreibt die Zwecke, die Modalitäten, die Rechtsgrundlagen und die Speicherdauer der über die Website erhobenen personenbezogenen Daten. Sie ist gemäß Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (nachfolgend die “DSGVO”), gemäß dem Bundesdatenschutzgesetz vom 30. Juni 2017 (nachfolgend das “BDSG”) in der ab April 2026 geltenden konsolidierten Fassung, gemäß dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz vom 14. Mai 2024 (nachfolgend das “TDDDG”), gemäß dem Gesetz gegen den unlauteren Wettbewerb (UWG), insbesondere § 7 Abs. 2 und Abs. 3, gemäß der Richtlinie 2002/58/EG (ePrivacy) und ihren innerstaatlichen Umsetzungsvorschriften sowie unter Berücksichtigung der Leitlinien des Europäischen Datenschutzausschusses (EDSA) und der Beschlüsse und Orientierungshilfen der Datenschutzkonferenz (DSK) und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.
Die vorliegende Datenschutzerklärung betrifft ausschließlich die Verarbeitung personenbezogener Daten, die über die Website erfolgt, und erstreckt sich nicht auf Websites Dritter, auf die der Nutzer über auf der Website vorhandene Verlinkungen zugreifen kann. Der Verantwortliche übernimmt keine Verantwortung für die Verarbeitung personenbezogener Daten durch Drittseiten, die der Nutzer auf eigene Verantwortung aufruft. Für alle Informationen zu den auf der Website verwendeten Cookies und sonstigen Tracking-Technologien konsultieren Sie bitte unsere Cookie-Richtlinie, die die vorliegende Datenschutzerklärung ergänzt.
Gemäß Art. 5 DSGVO erfolgt die Verarbeitung personenbezogener Daten unter Wahrung der Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit. Der Verantwortliche ist im Sinne von Art. 5 Abs. 2 DSGVO (Grundsatz der Rechenschaftspflicht oder “Accountability”) in der Lage, die Konformität seiner Verarbeitungstätigkeiten mit den Grundsätzen der Verordnung nachzuweisen.
Der Nutzer wird gebeten, die vorliegende Datenschutzerklärung vor der Bereitstellung jeglicher personenbezogener Daten an die Website aufmerksam zu lesen. Die Nutzung der Website, die Erstellung eines Kundenkontos, die Aufgabe einer Bestellung oder die Übermittlung einer Nachricht über das Kontaktformular setzen die Kenntnisnahme der vorliegenden Datenschutzerklärung voraus.
2. VERANTWORTLICHER
Verantwortlicher für die Verarbeitung der über die Website erhobenen personenbezogenen Daten ist:
ESPACE ECOMMERCE FRANCE SARL
- Rechtsform: Société à Responsabilité Limitée (SARL) nach französischem Recht
- Sitz: 16 rue Cuvier, 69006 Lyon (Frankreich)
- Umsatzsteuer-Identifikationsnummer: FR62920502598
- SIREN: 920 502 598
- SIRET: 920 502 598 00013
- APE-Code: 47.91A
- Stammkapital: 2.000 EUR
- E-Mail: info@justbob.de
- Telefon: +49 800 1810200 (Montag bis Freitag, 10:00 bis 17:00 Uhr, ausgenommen gesetzliche Feiertage)
- Website: www.justbob.de
Unter Berücksichtigung der Art und des Umfangs der verarbeiteten Daten sowie des Fehlens einer regelmäßigen und systematischen Überwachung von betroffenen Personen in großem Umfang oder einer umfangreichen Verarbeitung besonderer Datenkategorien ist der Verantwortliche nicht verpflichtet, einen Datenschutzbeauftragten im Sinne von Art. 37 DSGVO zu benennen. Jegliche Anfrage zur Verarbeitung personenbezogener Daten, einschließlich der Ausübung der in den Art. 15 bis 22 DSGVO anerkannten Rechte, kann an die E-Mail-Adresse info@justbob.de gerichtet werden, die als bevorzugter Kommunikationskanal mit dem Verantwortlichen in Datenschutzangelegenheiten dient.
Der Verantwortliche verfügt über seine alleinige Niederlassung in Frankreich: die Commission Nationale de l’Informatique et des Libertés (CNIL) ist daher gleichzeitig die federführende Aufsichtsbehörde im Sinne von Art. 56 DSGVO und die nationale Bezugsbehörde für die französische Tätigkeit des Verantwortlichen (siehe Abschnitt 12.3 der vorliegenden Datenschutzerklärung).
3. ERHOBENE PERSONENBEZOGENE DATEN
Je nach Interaktion des Nutzers mit der Website kann der Verantwortliche folgende Kategorien personenbezogener Daten erheben:
- a) Identifikations- und Kontaktdaten: Vorname, Nachname, Postanschrift, E-Mail-Adresse, Telefonnummer.
- b) Rechnungsdaten: Rechnungsanschrift (sofern abweichend von der Lieferanschrift), Steuer-Identifikationsnummer oder Umsatzsteuer-Identifikationsnummer (in Fällen, in denen der Kunde die Ausstellung einer Rechnung verlangt).
- c) Transaktionsdaten: gekaufte Produkte, Betrag, Zahlungsart (maskierte Zahlungsdaten), Bestellnummer, Bestellhistorie.
- d) Kundenkontodaten: Benutzername, Passwort (in verschlüsselter Form mittels eines sicheren Hash-Algorithmus gespeichert), Kontoeinstellungen.
- e) Navigationsdaten: IP-Adresse (zu analytischen Zwecken anonymisiert), Browsertyp und -version, Betriebssystem, besuchte Seiten, Datum und Uhrzeit jedes Zugriffs, Herkunfts-URL. Diese Daten werden automatisch von den Informatiksystemen der Website erfasst (siehe Abschnitt 4).
- f) Kommunikationsdaten: Inhalt der per E-Mail oder über das Kontaktformular übermittelten Nachrichten, Verlauf der mit dem Kundenservice geführten Kommunikation, gegebenenfalls beigefügte Anhänge oder Bestellreferenzen, die zur Bearbeitung der Anfrage dienlich sind.
Der Verantwortliche erhebt ausschließlich personenbezogene Daten, die für den ordnungsgemäßen Betrieb der Website, die Erbringung der angeforderten Dienstleistungen und die Erfüllung gesetzlicher Pflichten strikt erforderlich sind, in voller Übereinstimmung mit dem in Art. 5 Abs. 1 lit. c DSGVO verankerten Grundsatz der Datenminimierung. Die Erhebung weiterer Daten über die genannten hinaus, sofern für besondere Zwecke erforderlich, wird Gegenstand einer vorherigen Information und, soweit gesetzlich vorgeschrieben, einer ausdrücklichen Einwilligung sein.
Der Verantwortliche erhebt und verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, einschließlich Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetischer oder biometrischer Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung. Der Verantwortliche fordert vom Nutzer keine Informationen dieser Art an und beabsichtigt nicht, solche spontan entgegenzunehmen. Im Falle einer spontanen Übermittlung von Daten dieser Art durch den Nutzer wird der Verantwortliche von ihrer Verarbeitung absehen und ihre sichere Löschung in den kürzestmöglichen Fristen vornehmen.
4. NAVIGATIONSDATEN
Die für den Betrieb der Website verwendeten Informatiksysteme und Software-Verfahren erheben im Rahmen ihres ordnungsgemäßen Betriebs automatisch bestimmte personenbezogene Daten, deren Übermittlung in der Nutzung der Internet-Kommunikationsprotokolle implizit angelegt ist. Diese Daten umfassen:
- IP-Adressen (zu analytischen Zwecken anonymisiert)
- Browsertyp und -version
- Betriebssystem
- Besuchte Seiten und Navigationspfad
- Datum und Uhrzeit jeder Serveranfrage
- Herkunfts-URL (die Seite, von der aus der Nutzer die Website aufgerufen hat)
- Internetdienstanbieter (ISP)
Diese Daten werden ausschließlich zum Zweck der Gewährleistung des ordnungsgemäßen Betriebs der Website und der Sicherheit des Systems verwendet, etwa zur Erkennung unbefugter Zugriffe, Eindringversuche, Computerangriffe vom Typ Brute-Force, DDoS oder anderer Bedrohungen für die Verfügbarkeit und Integrität des Dienstes. Die Verarbeitung dient der ordentlichen Wartung der Infrastruktur sowie der aggregierten statistischen Auswertung des Datenverkehrs zur Optimierung des technischen Betriebs der Website.
Die Rechtsgrundlage der Verarbeitung ist das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) an der Gewährleistung der Netz- und Informationssicherheit, im Einklang mit Erwägungsgrund 49 der DSGVO. Dieses berechtigte Interesse wurde einer spezifischen Abwägung mit den Rechten und Freiheiten der betroffenen Personen unterzogen (Legitimate Interest Assessment), die die Verhältnismäßigkeit der Verarbeitung im Hinblick auf den verfolgten Zweck bestätigt hat.
Die Navigationsdaten werden in den Server-Logdateien für einen maximalen Zeitraum von 12 Monaten gespeichert und anschließend automatisch gelöscht, vorbehaltlich der Notwendigkeit einer längeren Speicherung im Rahmen von Ermittlungen der zuständigen Behörden bei Sicherheitsvorfällen oder gerichtlichen Untersuchungen.
5. FREIWILLIG VOM NUTZER BEREITGESTELLTE DATEN
Der Nutzer kann personenbezogene Daten in den folgenden Fällen freiwillig bereitstellen:
- a) Registrierung eines Kundenkontos: bei der Erstellung eines Kundenkontos auf der Website werden Vorname, Nachname, E-Mail-Adresse und Passwort erfragt. Diese Daten sind für die Erstellung und Verwaltung des Kundenkontos erforderlich (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung). Die Verweigerung ihrer Bereitstellung verhindert die Registrierung und den Zugang zu den für registrierte Nutzer vorgesehenen Funktionen.
- b) Aufgabe von Bestellungen: zur Ausführung einer Bestellung sind Vorname, Nachname, Lieferanschrift, E-Mail-Adresse und Telefonnummer erforderlich. Diese Daten sind für die Erfüllung des Kaufvertrags unerlässlich (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO). Die Zahlungen werden durch externe, autorisierte Zahlungsdienstleister in einer den Normen PCI DSS entsprechenden Umgebung abgewickelt: der Verantwortliche speichert keine vollständigen Zahlungskartendaten und hat keinen Zugriff darauf.
- c) Kontaktformular und E-Mail: das freiwillige Senden von E-Mails oder das Ausfüllen des Kontaktformulars hat die Erhebung der E-Mail-Adresse des Absenders sowie aller weiteren in der Nachricht enthaltenen personenbezogenen Daten zur Folge, ausschließlich zum Zweck der Bearbeitung der Anfrage (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
- d) Anmeldung zum Newsletter: der Nutzer kann sich freiwillig zum Newsletter anmelden, indem er seine E-Mail-Adresse angibt. Die Rechtsgrundlage unterscheidet sich je nach Sachverhalt:
- Für neu angemeldete Nutzer ohne vorbestehende Geschäftsbeziehung mit dem Verantwortlichen: ausdrückliche Einwilligung, die freiwillig, in informierter Weise, spezifisch und unmissverständlich gemäß Art. 6 Abs. 1 lit. a DSGVO erteilt wurde, jederzeit widerrufbar über den Abmeldelink in jeder Mitteilung oder per E-Mail an info@justbob.de.
- Für Bestandskunden in Bezug auf Produkte oder Dienstleistungen, die denen ähneln, die bereits erworben wurden: gemäß § 7 Abs. 3 UWG (deutsche Umsetzung des sogenannten “soft opt-in”-Mechanismus gemäß Art. 13 der Richtlinie 2002/58/EG) kann der Verantwortliche Werbe-E-Mails versenden, ohne dass eine spezifische vorherige Einwilligung erforderlich ist, sofern (i) die E-Mail-Adresse rechtmäßig im Zusammenhang mit einem Kaufvertrag erhoben wurde, (ii) die Werbung sich auf eigene ähnliche Waren oder Dienstleistungen bezieht, (iii) der Kunde der Verwendung seiner E-Mail-Adresse zum Zeitpunkt der Erhebung nicht widersprochen hat und (iv) in jeder weiteren Mitteilung klar und deutlich auf das Widerspruchsrecht hingewiesen wird (Widerspruchshinweis). Der Kunde kann dieser Verarbeitung jederzeit, unentgeltlich und formlos widersprechen, indem er den in jeder Mitteilung enthaltenen Abmeldelink nutzt oder eine E-Mail an info@justbob.de sendet.
Der Versand der E-Mails wird von Brevo SAS (ehemals Sendinblue) abgewickelt, das als Auftragsverarbeiter im Sinne von Art. 28 DSGVO handelt.
- e) Betrugsprävention und Rechtsverteidigung: sämtliche erhobenen personenbezogenen Daten können bei Bedarf zur Prävention von Betrug, zum Schutz vor Verhaltensweisen, die den Allgemeinen Geschäftsbedingungen der Website widersprechen, und zur Verteidigung der Rechte des Verantwortlichen vor Gericht oder im außergerichtlichen Rahmen verarbeitet werden (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse). In diesen Fällen behält die betroffene Person ihr Widerspruchsrecht im Sinne von Art. 21 DSGVO.
6. ZWECKE UND RECHTSGRUNDLAGEN DER VERARBEITUNG
Die über die Website erhobenen personenbezogenen Daten werden für die folgenden Zwecke verarbeitet, jeweils mit eigener Rechtsgrundlage:
| Zweck | Rechtsgrundlage (Art. 6 DSGVO) | Verarbeitete Daten |
|---|---|---|
| Abwicklung und Ausführung von Bestellungen (einschließlich Versand und Lieferung) | Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung | Vorname, Nachname, Lieferanschrift, E-Mail, Telefon, Bestelldaten |
| Einrichtung und Verwaltung des Kundenkontos | Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung | Name, E-Mail, Passwort (Hash), Einstellungen |
| Erfüllung steuerlicher und buchhalterischer Pflichten | Art. 6 Abs. 1 lit. c DSGVO, rechtliche Verpflichtung (§ 257 HGB; § 147 AO; § 14b UStG) | Name, Rechnungsanschrift, Transaktionsdaten, Steuer-Identifikationsnummer oder Umsatzsteuer-Identifikationsnummer |
| Kundenservice und Nachverkaufsunterstützung | Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung | Name, E-Mail, Kommunikationshistorie |
| Versand von Werbemitteilungen (Newsletter) an neu angemeldete Nutzer | Art. 6 Abs. 1 lit. a DSGVO, Einwilligung | E-Mail-Adresse |
| Versand von Werbemitteilungen an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen | § 7 Abs. 3 UWG (Bestandskundenprivileg) | E-Mail-Adresse, Kaufhistorie |
| Technische Überwachung der Website-Leistung (Google Analytics 4, anonymisiert) | Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Wartung und der technischen Verbesserung des Dienstes | Anonymisierte Navigationsdaten (gekürzte IP-Adresse), keine personenbezogenen Identifikationsdaten |
| Sicherheit der Website und Betrugsprävention | Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse | IP-Adresse, Zugriffsprotokolle, Endgerätedaten |
| Verteidigung von Rechten in gerichtlichen oder außergerichtlichen Verfahren | Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse | Alle für die Verteidigung strikt erforderlichen Daten |
Hinweis zum berechtigten Interesse: wenn die Rechtsgrundlage der Verarbeitung das berechtigte Interesse des Verantwortlichen ist, hat die betroffene Person das Recht, der Verarbeitung jederzeit aus Gründen, die sich aus ihrer besonderen Situation ergeben, im Sinne von Art. 21 DSGVO zu widersprechen. In einem solchen Fall wird der Verantwortliche von der Verarbeitung der Daten absehen, sofern er nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Zur Ausübung des Widerspruchsrechts kann die betroffene Person eine E-Mail an info@justbob.de senden.
Hinweis zur Einwilligung: die für den Versand von Werbemitteilungen und für jede sonstige auf Art. 6 Abs. 1 lit. a DSGVO gestützte Verarbeitung erteilte Einwilligung kann jederzeit mit derselben Leichtigkeit widerrufen werden, mit der sie erteilt wurde, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung beeinträchtigt wird (Art. 7 Abs. 3 DSGVO). Der Widerruf der Einwilligung hat keine rückwirkende Wirkung auf die bereits durchgeführten Verarbeitungen.
Bereitstellung der Daten und Folgen der Nichtbereitstellung: die Bereitstellung der für die Vertragserfüllung erforderlichen Daten (Bestellungen, Kundenkonto) und für die Erfüllung gesetzlicher Pflichten (Rechnungsstellung, steuerliche Aufbewahrung) ist verpflichtend: die fehlende Bereitstellung verhindert es dem Verantwortlichen, dem Anliegen der betroffenen Person nachzukommen. Die Bereitstellung von Daten zu Marketingzwecken (Newsletter) ist hingegen freiwillig und beeinträchtigt in keiner Weise die Möglichkeit, die Website und die Dienste zu nutzen.
7. AUFTRAGSVERARBEITER (ART. 28 DSGVO)
Zur Erbringung unserer Dienstleistungen können personenbezogene Daten von folgenden Auftragsverarbeitern verarbeitet werden, mit denen der Verantwortliche entsprechende Auftragsverarbeitungsverträge (Data Processing Agreement, DPA) im Sinne von Art. 28 DSGVO geschlossen hat:
| Auftragsverarbeiter | Dienstleistung | Sitz |
|---|---|---|
| Planetel S.p.A. (ehemals NetAdmin S.r.l.) | Hosting der Website und Wartung der Server | Via Mattei 10, 24060 Brusaporto (BG), Italien (EU) |
| Brevo SAS (ehemals Sendinblue) | Versand transaktionaler Mitteilungen zu Bestellungen und des Newsletters | 7 rue de Madrid, 75008 Paris, Frankreich (EU), RCS Paris 498 019 298 |
| Google LLC | Anonymisierte technische Überwachung der Website-Leistung (Google Analytics 4) | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (zertifiziert nach EU-US Data Privacy Framework) |
Die Zahlungsabwicklung erfolgt durch externe, autorisierte Zahlungsdienstleister, die je nach spezifischer Phase der Verarbeitung als eigenständige Verantwortliche oder als Auftragsverarbeiter tätig werden und dabei ihre eigenen Datenschutzerklärungen und den Normen PCI DSS entsprechende Sicherheitsmaßnahmen anwenden. Der Verantwortliche speichert keine vollständigen Zahlungsdaten (Kartennummern, CVV, Sicherheitscodes) und hat keinen direkten Zugriff darauf: er erhält ausschließlich die zur Bestellabwicklung erforderlichen Informationen über das Ergebnis der Transaktion.
Die Auftragsverarbeiter werden vom Verantwortlichen unter Anbietern ausgewählt, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so ergriffen werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DSGVO). Jeder Auftragsverarbeiter ist durch einen schriftlichen Vertrag (Data Processing Agreement) gebunden, der spezifisch die Art, die Dauer, die Zwecke und die Kategorien der verarbeiteten Daten, die Vertraulichkeitspflichten, die Sicherheitsmaßnahmen, die Verwaltung weiterer Auftragsverarbeiter, die Zusammenarbeit bei der Ausübung der Rechte der betroffenen Person und bei der Meldung etwaiger Verletzungen regelt.
Die vollständige und aktualisierte Liste der Auftragsverarbeiter, einschließlich etwaiger weiterer von den Hauptauftragsverarbeitern benannten Subauftragsverarbeiter, ist auf Anfrage unter info@justbob.de erhältlich.
8. ÜBERMITTLUNG AN DRITTE
Der Verantwortliche verkauft, vermietet und überlässt keine personenbezogenen Daten an Dritte.
Die personenbezogenen Daten können ausschließlich für die in der vorliegenden Datenschutzerklärung angegebenen Zwecke an die folgenden Empfängerkategorien übermittelt werden:
- a) Auftragsverarbeiter (Art. 28 DSGVO): Drittanbieter, die personenbezogene Daten im Auftrag des Verantwortlichen auf Grundlage eines Auftragsverarbeitungsvertrags verarbeiten. Siehe Abschnitt 7 für Einzelheiten.
- b) Berufsträger und Berater: Kanzleien und Berufsträger, die dem Verantwortlichen buchhalterische, administrative, rechtliche, steuerliche, finanzielle oder Inkassodienstleistungen erbringen und je nach Sachverhalt als Auftragsverarbeiter oder als eigenständige Verantwortliche handeln.
- c) Öffentliche Stellen: Behörden, Ämter oder Einrichtungen, an die die Übermittlung personenbezogener Daten aufgrund gesetzlicher Vorschriften oder begründeter Anordnungen der zuständigen Stellen verpflichtend ist (zum Beispiel Justizbehörden, Strafverfolgungsbehörden, Steuerbehörden).
- d) Befugtes Personal: Mitarbeitende und Mitarbeitende des Verantwortlichen, die zur Verarbeitung personenbezogener Daten gemäß Art. 29 DSGVO ausdrücklich befugt sind und besonderen Anweisungen sowie Verschwiegenheitspflichten unterliegen.
Die personenbezogenen Daten werden in keinem Fall öffentlich verbreitet.
9. INTERNATIONALE DATENÜBERMITTLUNGEN
Einige Auftragsverarbeiter können personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten. Insbesondere:
| Auftragsverarbeiter | Land | Angewandte Garantie |
|---|---|---|
| Google LLC (Google Analytics 4) | Vereinigte Staaten | Zertifiziert nach dem EU-US Data Privacy Framework (DPF), Gegenstand des Durchführungsbeschlusses (EU) 2023/1795 der Europäischen Kommission vom 10. Juli 2023 über die Angemessenheit des Schutzniveaus personenbezogener Daten. Die DPF-Zertifizierung von Google LLC kann über das öffentliche Register www.dataprivacyframework.gov eingesehen werden. Ergänzend zum DPF hat der Verantwortliche die Anonymisierung der IP-Adresse (IP-Masking) aktiviert, um die übermittelten personenbezogenen Daten zu minimieren. |
| Brevo SAS | Frankreich (EU) | Server innerhalb der Europäischen Union. Keine Übermittlung außerhalb des EWR. |
| Planetel S.p.A. | Italien (EU) | Server innerhalb der Europäischen Union. Keine Übermittlung außerhalb des EWR. |
Im Falle einer Ungültigerklärung oder Änderung des EU-US Data Privacy Framework wird der Verantwortliche die erforderlichen Garantien ergreifen, insbesondere die von der Europäischen Kommission mit dem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 genehmigten Standardvertragsklauseln, gegebenenfalls ergänzt durch zusätzliche technische Maßnahmen (zum Beispiel Verschlüsselung, Pseudonymisierung, Anonymisierung der Identifikatoren) und vertragliche Maßnahmen, um ein angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten.
Die Gültigkeit des EU-US Data Privacy Framework wurde durch das Gericht der Europäischen Union mit seinem Urteil T-553/23 Latombe vom 3. September 2025 bestätigt. Der Verantwortliche verfolgt fortlaufend die Entwicklung des Rechtsrahmens für internationale Datenübermittlungen, einschließlich der rechtsprechungsbezogenen Entwicklungen zur Gültigkeit des DPF, und verpflichtet sich, die vorliegende Datenschutzerklärung sowie gegebenenfalls die Rechtsgrundlagen der Übermittlungen zu aktualisieren.
Für weitere Informationen zu den auf internationale Datenübermittlungen angewandten Garantien, einschließlich Kopie oder Verweis auf gegebenenfalls verwendete Standardvertragsklauseln, kann die betroffene Person eine E-Mail an info@justbob.de senden.
10. VERARBEITUNGSMETHODEN UND SICHERHEIT
Die personenbezogenen Daten werden mit Informatik- und Telematikwerkzeugen verarbeitet, nach Logiken, die strikt mit den in der vorliegenden Datenschutzerklärung angegebenen Zwecken verbunden sind, und in jedem Fall in einer Weise, die ihre Sicherheit und Integrität gewährleistet.
Gemäß Art. 32 DSGVO trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, darunter:
- Verschlüsselung der Kommunikation über das HTTPS-Protokoll (TLS 1.2 / 1.3) auf der gesamten Website
- Speicherung der Passwörter mittels sicherer Hash-Algorithmen (bcrypt / scrypt)
- Beschränkung des Zugangs zu personenbezogenen Daten auf ausdrücklich befugtes Personal mit individuellen Zugangsdaten
- Tägliche und wöchentliche Sicherungskopien (Backups) der Systeme und Datenbanken, in verschlüsselter Form gespeichert
- Überwachung der Zugriffsprotokolle zur Erkennung unbefugter Zugriffsversuche
- Regelmäßige Aktualisierung des CMS, der Erweiterungen und der eingesetzten Software
- Hosting-Infrastruktur, die den vom Anbieter erklärten Sicherheitsstandards entspricht
Automatisierte Entscheidungsfindung und Profiling: der Verantwortliche trifft keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen und nimmt keine Profilbildung vor, die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, im Sinne von Art. 22 DSGVO.
Verletzung des Schutzes personenbezogener Daten (Data Breach): der Verantwortliche hat ein internes Verfahren zur Verwaltung von Datenschutzverletzungen eingeführt, das die Modalitäten der Erkennung, Analyse, Risikoklassifizierung, Meldung und Mitteilung sowie die Führung des internen Verzeichnisses der Verletzungen regelt. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, wird der Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnisnahme im Sinne von Art. 33 DSGVO benachrichtigen und, sofern die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, das Ereignis im Sinne von Art. 34 DSGVO unverzüglich den betroffenen Personen mitteilen.
Wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, erfolgt die Mitteilung an die betroffenen Personen per E-Mail an die vom Nutzer dem Verantwortlichen mitgeteilte Adresse, mit Beschreibung in einfacher und klarer Sprache der Art der Verletzung, der wahrscheinlichen Folgen, der zu deren Behebung und Eindämmung getroffenen oder vorgeschlagenen Maßnahmen sowie der Kontaktdaten zur Erlangung weiterer Informationen.
11. SPEICHERDAUER
Die personenbezogenen Daten werden für die Dauer gespeichert, die zur Verwirklichung der Zwecke, für die sie erhoben wurden, strikt erforderlich ist, und in jedem Fall unter Einhaltung der folgenden Zeiträume:
| Zweck | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Bestellabwicklung und steuerliche/buchhalterische Unterlagen | 10 Jahre ab Ablauf des Geschäftsjahres der letzten Eintragung | § 257 HGB; § 147 AO; § 14b UStG |
| Kundenkontodaten | Bis zur Löschung des Kundenkontos durch den Nutzer, zuzüglich 3 Jahre Regelverjährung | Art. 6 Abs. 1 lit. b DSGVO; § 195 BGB (Regelverjährung) |
| Kundenservice | 3 Jahre ab der letzten Kommunikation | Art. 6 Abs. 1 lit. b DSGVO; Grundsatz der Verhältnismäßigkeit unter Berücksichtigung der Regelverjährung gemäß § 195 BGB |
| Werbemitteilungen (Newsletter) | Bis zum Widerruf der Einwilligung oder Widerspruch der betroffenen Person | Art. 6 Abs. 1 lit. a DSGVO; Art. 21 Abs. 3 DSGVO; § 7 Abs. 3 UWG |
| Technische Website-Überwachung (Google Analytics 4, anonymisiert) | Höchstens 14 Monate (GA4-Konfiguration) | Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse |
| Navigationsdaten (Server-Logs) | 12 Monate | Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Systemsicherheit |
| Daten zur Ausübung der Rechte der betroffenen Person | 3 Jahre ab der letzten Anfrage | Art. 6 Abs. 1 lit. c DSGVO; Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) |
Nach Ablauf der angegebenen Zeiträume werden die personenbezogenen Daten sicher gelöscht oder unwiderruflich anonymisiert, vorbehaltlich gesetzlicher Verpflichtungen, die eine längere Speicherung vorschreiben (zum Beispiel steuerliche Pflichten, Geldwäschebekämpfung, gerichtlicher Schutz).
Hinweis zur deutschen steuerlichen Aufbewahrungsfrist: das deutsche Recht legt eine Aufbewahrungsfrist von zehn Jahren für Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Konzernabschlüsse, Lageberichte, Belege für Buchungen sowie Buchungsbelege fest (§ 257 Abs. 4 HGB). Eine entsprechende zehnjährige Aufbewahrungsfrist gilt nach § 147 AO für steuerlich relevante Unterlagen sowie nach § 14b UStG für Rechnungen zu umsatzsteuerlichen Zwecken. Diese Aufbewahrungsfristen gehen der allgemeinen Regelverjährung von drei Jahren gemäß § 195 BGB vor, soweit die Aufbewahrung gesetzlich vorgeschrieben ist.
Kriterien zur Festlegung der Speicherdauer: für Zwecke, für die keine genaue Frist angegeben ist, legt der Verantwortliche die Speicherdauer der Daten auf der Grundlage der folgenden Kriterien fest: (i) Dauer des Vertrags- oder Vorvertragsverhältnisses mit der betroffenen Person; (ii) etwaige gesetzliche, regulatorische oder vertragliche Aufbewahrungspflichten; (iii) Verjährungsfristen, die für gegen den Verantwortlichen ausübbare Ansprüche gelten; (iv) Empfehlungen der DSK, des BfDI und des EDSA zur Datenminimierung bei der Speicherung.
12. RECHTE DER BETROFFENEN PERSON
Gemäß den Art. 15 bis 22 DSGVO und den Bestimmungen des BDSG verfügt die betroffene Person gegenüber dem Verantwortlichen über die folgenden Rechte:
| Recht | Beschreibung | Rechtsgrundlage |
|---|---|---|
| Auskunft | Bestätigung darüber zu erhalten, ob personenbezogene Daten verarbeitet werden, und gegebenenfalls Zugang zu diesen Daten sowie zu den Informationen zur Verarbeitung | Art. 15 DSGVO; § 34 BDSG |
| Berichtigung | Berichtigung unrichtiger Daten oder Vervollständigung unvollständiger Daten zu verlangen | Art. 16 DSGVO |
| Löschung (Recht auf Vergessenwerden) | Löschung der eigenen Daten zu verlangen, wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind, bei Widerruf der Einwilligung, Widerspruch, unrechtmäßiger Verarbeitung oder zur Erfüllung einer rechtlichen Verpflichtung | Art. 17 DSGVO; § 35 BDSG |
| Einschränkung der Verarbeitung | Eine vorübergehende Aussetzung der Verarbeitung in bestimmten Fällen zu verlangen (Bestreiten der Richtigkeit, unrechtmäßige Verarbeitung, Notwendigkeit der Daten zur Rechtsverteidigung, anhängiger Widerspruch) | Art. 18 DSGVO |
| Datenübertragbarkeit | Die eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf Einwilligung oder Vertragserfüllung beruht und mit automatisierten Mitteln durchgeführt wird | Art. 20 DSGVO |
| Widerspruch | Der Verarbeitung der eigenen Daten aus Gründen, die sich aus der besonderen Situation ergeben, zu widersprechen, insbesondere wenn die Rechtsgrundlage das berechtigte Interesse ist. Für Direktwerbung ist das Widerspruchsrecht unbeschränkt und unbedingt | Art. 21 DSGVO |
| Widerruf der Einwilligung | Die erteilte Einwilligung jederzeit mit derselben Leichtigkeit, mit der sie erteilt wurde, zu widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung beeinträchtigt wird | Art. 7 Abs. 3 DSGVO |
| Keine automatisierte Entscheidung im Einzelfall | Keiner ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigt | Art. 22 DSGVO |
12.1 Modalitäten der Ausübung der Rechte
Die betroffene Person kann eines oder mehrere dieser Rechte ausüben, indem sie eine Anfrage über folgende Kanäle an den Verantwortlichen richtet:
- E-Mail: info@justbob.de
- Postanschrift: ESPACE ECOMMERCE FRANCE SARL, 16 rue Cuvier, 69006 Lyon, Frankreich
Die Anfrage muss Vorname und Nachname, die dem Kundenkonto zugeordnete E-Mail-Adresse (sofern vorhanden) sowie eine klare Beschreibung des ausgeübten Rechts enthalten. Der Verantwortliche kann Dokumente zur Verifizierung der Identität der betroffenen Person anfordern, mit dem alleinigen Ziel, einen unbefugten Zugriff auf Daten Dritter zu verhindern, gemäß Art. 12 Abs. 6 DSGVO. Im Einklang mit den Empfehlungen der Aufsichtsbehörden beschränkt sich die Anforderung von Identitätsdokumenten auf Fälle objektiven Zweifels, und die übermittelten Dokumente werden vernichtet, sobald die Identität verifiziert ist, vorbehaltlich gegenteiliger gesetzlicher Bestimmungen.
Wenn der Verantwortliche nicht in der Lage ist, die betroffene Person auf Grundlage der erhaltenen Informationen zu identifizieren, wird er diese unverzüglich darüber informieren und kann gemäß Art. 11 Abs. 2 DSGVO ablehnen, dem Antrag nachzukommen, vorbehaltlich der Möglichkeit der betroffenen Person, zusätzliche Informationen zur Identifizierung beizubringen.
12.2 Antwortfristen
Der Verantwortliche beantwortet die Anfragen innerhalb einer Frist von einem (1) Monat ab dem Eingang. Diese Frist kann unter Berücksichtigung der Komplexität und der Anzahl der Anfragen um weitere zwei (2) Monate verlängert werden (insgesamt höchstens drei Monate), mit begründeter Mitteilung an die betroffene Person innerhalb des ersten Monats (Art. 12 Abs. 3 DSGVO).
Die Antwort auf die Anfrage ist unentgeltlich, außer in Fällen offenkundig unbegründeter oder exzessiver Anfragen, insbesondere im Fall häufiger Wiederholung, für die der Verantwortliche ein angemessenes Entgelt zur Deckung der entstandenen Kosten verlangen oder ablehnen kann, dem Antrag nachzukommen (Art. 12 Abs. 5 DSGVO).
12.3 Beschwerde bei der Aufsichtsbehörde
Wenn die betroffene Person der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten nicht im Einklang mit den geltenden Vorschriften steht, hat sie das Recht, gemäß Art. 77 DSGVO eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
Da der Verantwortliche seine alleinige Niederlassung in Frankreich hat, unterliegt ESPACE ECOMMERCE FRANCE SARL dem europäischen One-Stop-Shop-Mechanismus gemäß Art. 56 und 60 DSGVO.
Federführende Aufsichtsbehörde (Lead Supervisory Authority) gemäß Art. 56 DSGVO:
CNIL Commission Nationale de l’Informatique et des Libertés
- Sitz: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich
- Telefon: +33 (0)1 53 73 22 22
- Website: www.cnil.fr
- Online-Beschwerde: www.cnil.fr/
- Postanschrift für Beschwerden: CNIL, Service des Plaintes, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich
Deutsche Aufsichtsbehörden:
Als in Deutschland ansässige Person haben Sie gemäß Art. 77 DSGVO ferner das Recht, sich an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes zu wenden. Auf Bundesebene ist die nachstehende Behörde ansprechbar:
BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
- Sitz: Graurheindorfer Straße 153, 53117 Bonn, Deutschland
- Telefon: +49 228 997799-0
- E-Mail: poststelle@bfdi.bund.de
- Website: www.bfdi.bund.de
Für den nicht-öffentlichen Bereich (privater Sektor, einschließlich elektronischer Geschäftsverkehr) ist in der Regel der Landesdatenschutzbeauftragte des Bundeslandes Ihres Wohnsitzes zuständig. Die aktuelle Liste sämtlicher Landesdatenschutzbeauftragten ist über das vom BfDI geführte öffentliche Verzeichnis verfügbar: www.bfdi.bund.de.
Zusätzlich zur verwaltungsrechtlichen Beschwerde steht der betroffenen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gemäß Art. 78 DSGVO gegenüber der Aufsichtsbehörde und gemäß Art. 79 DSGVO gegenüber dem Verantwortlichen zur Verfügung, vor den zuständigen Gerichten, insbesondere vor dem Gericht ihres Wohnsitzes, gemäß Verordnung (EU) 1215/2012 (Brüssel Ia), Art. 17 bis 19, sowie § 29c ZPO (Gerichtsstand des Verbrauchers). Der gerichtliche Rechtsbehelf kann alternativ oder kumulativ zur verwaltungsrechtlichen Beschwerde eingelegt werden und hat den effektiven Schutz der durch die DSGVO anerkannten Rechte einschließlich des Schadensersatzanspruchs gemäß Art. 82 der Verordnung zum Gegenstand.
13. MINDERJÄHRIGE
Die Website www.justbob.de ist ausschließlich volljährigen Personen (ab 18 Jahren) vorbehalten. Der Verantwortliche erhebt oder verarbeitet wissentlich keine personenbezogenen Daten von Minderjährigen unter 18 Jahren. Sollte der Verantwortliche Kenntnis davon erhalten, dass personenbezogene Daten eines Minderjährigen unter 18 Jahren verarbeitet wurden, werden diese Daten unverzüglich gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Gemäß Art. 8 DSGVO liegt in Deutschland das Mindestalter für eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten im Rahmen des direkten Angebots von Diensten der Informationsgesellschaft bei 16 Jahren. Deutschland hat von der in Art. 8 DSGVO vorgesehenen Möglichkeit einer Senkung dieser Altersgrenze keinen Gebrauch gemacht. Diese Altersgrenze ist für die Website www.justbob.de ohne praktische Bedeutung, da der Zugang zur Website in jedem Fall an ein Mindestalter von 18 Jahren gebunden ist.
Wenn ein Elternteil oder ein Erziehungsberechtigter der Auffassung ist, dass ein Minderjähriger unter 18 Jahren personenbezogene Daten an den Verantwortlichen übermittelt hat, kann er eine E-Mail an info@justbob.de senden und die Löschung verlangen. Der Verantwortliche kommt der Anfrage ohne ungerechtfertigte Verzögerung nach, indem er alle vernünftigen Maßnahmen ergreift, um die Eigenschaft des Anfragenden als Inhaber der elterlichen Sorge oder der Vormundschaft zu überprüfen, und unter Wahrung der Rechte etwaiger weiterer betroffener Personen.
Der Verantwortliche trifft darüber hinaus technische und organisatorische Maßnahmen, die den Zugang zur Website durch Minderjährige erschweren, einschließlich des Vorhandenseins von Hinweisen auf das erforderliche Mindestalter, der Erklärung der Altersbedingungen in den Phasen der Registrierung und der Bezahlung sowie der Überwachung etwaiger Zugriffsmuster, die sich auf minderjährige Nutzer zurückführen lassen.
14. ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG
Der Verantwortliche behält sich das Recht vor, die vorliegende Datenschutzerklärung jederzeit zu ändern oder zu aktualisieren, um sie an gesetzliche Neuerungen, Entwicklungen der Rechtsprechung, Beschlüsse der Aufsichtsbehörden oder bewährte Verfahren der Branche anzupassen.
Jede wesentliche Änderung wird den Nutzern über einen auf der Website veröffentlichten Hinweis mit angemessener Vorankündigung vor dem Inkrafttreten der neuen Bestimmungen mitgeteilt sowie, in den gesetzlich vorgesehenen Fällen, durch direkte Mitteilung per E-Mail an die registrierten Nutzer.
Es wird empfohlen, die vorliegende Datenschutzerklärung regelmäßig zu konsultieren. Das am Anfang des Dokuments angegebene Datum “Letzte Aktualisierung” ermöglicht es, den Zeitpunkt der letzten Änderung zu überprüfen.
Wenn die Änderungen eine Variation der Zwecke oder der Rechtsgrundlagen der Verarbeitung mit sich bringen, wird der Verantwortliche eine neue Einwilligung der betroffenen Person einholen, sofern die geltenden Vorschriften dies erfordern. Bis zur tatsächlichen Erteilung einer neuen Einwilligung wird der Verantwortliche die Daten weiterhin auf Grundlage der zuvor erteilten Einwilligung verarbeiten, im Rahmen der ursprünglich angegebenen Zwecke.
15. ANWENDBARES RECHT UND GERICHTSSTAND
Die vorliegende Datenschutzerklärung unterliegt deutschem Recht, insbesondere der DSGVO, dem BDSG, dem TDDDG, dem UWG und den sonstigen anwendbaren innerstaatlichen Bestimmungen, vorbehaltlich der zwingenden, für den Verbraucher günstigeren Bestimmungen des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, gemäß Art. 6 der Verordnung (EG) 593/2008 (“Rom I”).
Für jegliche Streitigkeit aus der Auslegung oder Anwendung der vorliegenden Datenschutzerklärung ist das Gericht des Wohnsitzes oder des gewöhnlichen Aufenthaltsorts des Verbrauchers zuständig, gemäß Verordnung (EU) 1215/2012 (“Brüssel Ia”), Art. 17 bis 19, sowie § 29c ZPO (Gerichtsstand des Verbrauchers). Das Recht der betroffenen Person, einen gerichtlichen Rechtsbehelf im Sinne der Art. 78 und 79 DSGVO einzulegen, bleibt in jedem Fall gewahrt.
Der Nutzer in seiner Eigenschaft als Verbraucher kann ferner auf die in den deutschen und europäischen Rechtsvorschriften vorgesehenen Mechanismen der alternativen Streitbeilegung (Alternative Dispute Resolution, ADR) zurückgreifen. Zu diesem Zweck stellt die Europäische Kommission das europäische Portal für die außergerichtliche Beilegung von Verbraucherrechtsstreitigkeiten zur Verfügung, das unter https://consumer-redress.ec.europa.eu/ erreichbar ist, gemäß Verordnung (EU) 2024/3228, die mit Wirkung vom 20. Juli 2025 die Verordnung (EU) Nr. 524/2013 aufgehoben hat. Die Nutzung dieser Mechanismen ist freiwillig und nimmt dem Verbraucher nicht das Recht, das zuständige Gericht anzurufen.
16. KONTAKT
Für jegliche Frage, Anfrage oder Mitteilung in Bezug auf die vorliegende Datenschutzerklärung oder die Verarbeitung personenbezogener Daten kann die betroffene Person den Verantwortlichen über folgende Kanäle kontaktieren:
ESPACE ECOMMERCE FRANCE SARL
- Postanschrift: 16 rue Cuvier, 69006 Lyon, Frankreich
- E-Mail: info@justbob.de
- Telefon: +49 800 1810200
- Servicezeiten des Kundendienstes: Montag bis Freitag, 10:00 bis 17:00 Uhr (mitteleuropäische Zeit), ausgenommen gesetzliche Feiertage
- Website: www.justbob.de
Der bevorzugte Kanal für die Ausübung der Rechte der betroffenen Person und für jegliche Mitteilung in Bezug auf die Verarbeitung personenbezogener Daten ist die E-Mail-Adresse info@justbob.de.
Die Anfragen der betroffenen Personen werden in chronologischer Reihenfolge ihres Eingangs bearbeitet. Bei komplexen oder besonders wichtigen Anfragen behält sich der Verantwortliche die Möglichkeit vor, die betroffene Person zu kontaktieren, um Klarstellungen zu erbitten, mit dem alleinigen Ziel, eine zielgerichtetere und genauere Antwort zu geben.
Zur besseren Klarheit und Transparenz wird darauf hingewiesen, dass die vorliegende Datenschutzerklärung durch die Cookie-Richtlinie und die Allgemeinen Geschäftsbedingungen der Website ergänzt wird, die in den entsprechenden Bereichen von www.justbob.de einsehbar sind. Die gemeinsame Lektüre dieser Dokumente ermöglicht es dem Nutzer, einen vollständigen Überblick über seine Rechte und Pflichten als betroffene Person und als Verbraucher zu erhalten.
