Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Paul Hellmann
Drosselweg 1a
86836 Obermeitingen
E-Mail: support@widerrufwidget.de

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder aufgrund unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. Hosting (Hetzner)

Diese Website wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Beim Aufruf unserer Seiten wird Ihre IP-Adresse erfasst und für die Dauer der Sitzung in Server-Logfiles gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb). Die Daten werden ausschließlich auf Servern in Deutschland verarbeitet. Weitere Informationen: hetzner.com/de/legal/privacy-policy.

4. Datenbank und Authentifizierung (Supabase)

Für die Speicherung von Nutzerdaten (Merchant-Accounts, Widerrufsdaten) sowie die Authentifizierung nutzen wir Supabase (Supabase Inc., 970 Toa Payoh North, Singapur). Die Daten werden in der EU-West-Region (Irland) gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Supabase besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Weitere Informationen: supabase.com/privacy.

5. E-Mail-Versand (Brevo)

Für den automatischen Versand von Eingangsbestätigungen (§ 356a Abs. 4 BGB) und Händler-Benachrichtigungen nutzen wir Brevo (Brevo SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich). Die E-Mails werden über Server in der EU versandt und enthalten die für die gesetzliche Bestätigung notwendigen Daten (Name des Verbrauchers, Bestellnummer, Zeitstempel, Eingangsreferenz). Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus § 356a BGB). Mit Brevo besteht ein AVV gemäß Art. 28 DSGVO. Weitere Informationen: brevo.com/de/legal/privacypolicy.

6. Zahlungsabwicklung (Stripe)

Zahlungen werden über Stripe (Stripe Technology Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) abgewickelt. Bei einem Kauf werden die für den Kaufabschluss notwendigen Daten (Name, E-Mail, Zahlungsdaten) an Stripe übermittelt. Wir erhalten ausschließlich die für die Kontoeinrichtung notwendigen Daten (E-Mail, Domain). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe verarbeitet Zahlungsdaten in der EU über seine irische Niederlassung. Weitere Informationen: stripe.com/de/privacy.

7. Widerrufsdaten der Endkunden

Über das Widerrufsbutton-Widget erhobene Daten (Name, E-Mail, Bestellnummer, Zeitstempel, URL der Seite) werden gemäß § 356a BGB unveränderlich gespeichert. Die IP-Adresse des Verbrauchers wird ausschließlich als SHA-256-Hash mit Salt (pseudonymisiert) gespeichert; die originale IP-Adresse wird nicht persistiert. Rechtsgrundlage für die IP-Pseudonymisierung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchserkennung).

Diese Daten werden im Auftrag der jeweiligen Händler (Verantwortliche im Sinne der DSGVO) verarbeitet. Wir handeln insoweit als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung sind in unseren AGB (§ 10) geregelt.

7a. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Widerrufsdaten (Name, E-Mail, Bestellnummer, Zeitstempel): 6 Jahre nach Ende des Kalenderjahres der Erstellung (§ 257 Abs. 1 Nr. 2, Abs. 4 HGB – Handelskorrespondenz), bei steuerlicher Relevanz bis zu 10 Jahre (§ 147 Abs. 3 AO).
  • Pseudonymisierte IP-Hashes: 90 Tage, danach automatische Löschung (Zweck: Missbrauchserkennung und Duplikatprüfung).
  • Server-Logfiles (Hetzner): 30 Tage (automatische Löschung durch den Hosting-Anbieter).
  • Kundenkonto-Daten (Merchants): Dauer des Vertragsverhältnisses zuzüglich 3 Jahre (regelmäßige Verjährungsfrist, § 195 BGB).
  • Rechnungs- und Zahlungsdaten: 10 Jahre (§ 147 Abs. 1 Nr. 1, Abs. 3 AO – steuerliche Aufbewahrungspflicht).

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden die Daten gelöscht, sofern keine andere gesetzliche Grundlage die weitere Speicherung rechtfertigt (Art. 17 Abs. 3 DSGVO).

8. Webanalyse (Google Analytics 4)

Wir nutzen Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur statistischen Auswertung der Websitenutzung. Google Analytics erfasst unter anderem: aufgerufene Seiten, Verweildauer, verwendetes Endgerät und Herkunftsland. Eine IP-Anonymisierung ist in Google Analytics 4 standardmäßig aktiviert; Ihre IP-Adresse wird innerhalb der EU gekürzt, bevor sie an Google-Server übermittelt wird.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bedarfsgerechten Gestaltung unseres Angebots). Sie können die Erfassung durch Google Analytics verhindern, indem Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren: tools.google.com/dlpage/gaoptout.

Weitere Informationen zum Datenschutz bei Google: policies.google.com/privacy.

9. Cookies

Wir setzen technisch notwendige Cookies (Session-Cookie zur Authentifizierung) sowie Analyse-Cookies durch Google Analytics 4 ein. Die technisch notwendigen Cookies erfordern keine Einwilligung (§ 25 Abs. 2 TDDDG). Für die Analyse-Cookies von Google Analytics stützen wir uns auf unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Sie können der Nutzung jederzeit über das oben genannte Browser-Add-on widersprechen.

10. Unterauftragsverarbeiter

Für die Erbringung unserer Leistungen setzen wir die folgenden Unterauftragsverarbeiter ein:

  • Supabase Inc. – Datenbank und Authentifizierung (EU-West, Irland)
  • Brevo SAS – E-Mail-Versand (Frankreich, EU)
  • Hetzner Online GmbH – Hosting (Deutschland, EU)
  • Stripe Technology Europe, Ltd. – Zahlungsabwicklung (Irland, EU)
  • Google Ireland Ltd. – Webanalyse (Irland)

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Sämtliche Auftragsverarbeiter verarbeiten Daten innerhalb der EU/des EWR. Über Änderungen an der Liste der Unterauftragsverarbeiter informieren wir auf dieser Seite.

11. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@widerrufwidget.de

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, www.lda.bayern.de.