Kevin Crenshaw, VaroTech, Gothaer Str. 19c, 36093 Künzell
E-Mail: [email protected] | Tel: +49 151 28507601
VaroTech beschäftigt weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten und betreibt keine Verarbeitung als Kerntätigkeit im Sinne von Art. 37 Abs. 1 lit. b/c DSGVO. Damit sind die gesetzlichen Schwellenwerte des § 38 BDSG nicht erreicht und die Bestellung eines Datenschutzbeauftragten ist nicht verpflichtend. Anfragen zu Datenschutz richten Sie bitte direkt an [email protected]. Wir antworten innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO.
Beim Aufruf unserer Website werden in Server-Logfiles gespeichert: IP-Adresse, Datum/Uhrzeit, abgerufene URL, Referrer, User-Agent, übertragene Datenmenge, HTTP-Statuscode. Speicherdauer: 7 Tage in voller Form, danach automatische IP-Anonymisierung (Kürzung auf /24 IPv4 bzw. /48 IPv6); pseudonymisierte Logs werden nach weiteren 30 Tagen gelöscht. Bei sicherheitsrelevanten Vorfällen (siehe §12) kann die Aufbewahrung im Einzelfall verlängert werden. Zwecke: Bereitstellung des Webservers, Fehleranalyse, Abwehr von Missbrauch (DDoS, Brute-Force, Injection-Versuche). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Betrieb).
Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben (Name, ggf. Firma, E-Mail, optional Telefon, Betreff, Nachricht) zwecks Bearbeitung der Anfrage gespeichert. Speicherdauer: 6 Monate ab letzter Korrespondenz, danach automatische Löschung. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO). Bei der über Stripe angebotenen Zahlungsart Klarna findet bei Klarna selbst eine Bonitätsprüfung statt – eine automatisierte Einzelfallentscheidung im Sinne von Art. 22 DSGVO (Details siehe § 9). Sie haben dabei das Recht aus Art. 22 Abs. 3 DSGVO auf Eingreifen einer Person, Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung – geltend zu machen direkt gegenüber Klarna. Kontakt für alle Betroffenenrechte gegenüber VaroTech: [email protected].
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für VaroTech zuständig ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Telefon: 0611/1408-0 · Telefax: 0611/1408-611
E-Mail: [email protected]
Web: datenschutz.hessen.de
Sie können sich auch an die Aufsichtsbehörde Ihres EU-Wohnsitzes wenden.
Unsere Dienste richten sich nicht an Personen unter 16 Jahren. Personen unter 16 Jahren dürfen ohne Zustimmung der Erziehungsberechtigten keine personenbezogenen Daten an uns übermitteln und keine Bestellungen tätigen. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis von einer derartigen Datenerhebung erhalten, werden die betroffenen Daten unverzüglich gelöscht.
Wir verwenden weder Google Analytics, Matomo, etracker, Facebook Pixel, Google Tag Manager noch sonstige Drittanbieter-Tracking-Tools. Es findet keine Profilbildung über das Surf-Verhalten unserer Nutzer statt. Newsletter enthalten ein Zählpixel zur reinen Erfolgsmessung mit pseudonymisiertem Token (siehe § 14).
Diese Website verwendet keine Tracking- oder Analyse-Cookies. Wir speichern lediglich technisch notwendige Daten – sowie einen optionalen, einwilligungsbasierten Komfort-Cookie für die Admin-2FA:
vt_consent, vt_consent_v). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + § 25 Abs. 2 Nr. 2 TDDDG (technisch zwingend erforderlich für die Funktion „Warenkorb" bzw. zur Erfüllung der gesetzlichen Consent-Dokumentationspflicht).Bei Registrierung eines Kundenkontos erheben und speichern wir: Vor- und Nachname, E-Mail-Adresse, optional Firma, Rechnungsadresse, USt-ID, Telefon, Sprache, Newsletter-Einwilligung, Registrierungs-Geräteinfo (User-Agent, IP). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Daten werden für die Vertragsabwicklung und Bestellhistorie verwendet und nicht an Dritte weitergegeben (außer an Zahlungsdienstleister, siehe §9). Sie können Ihr Konto jederzeit selbst löschen (Art. 17 DSGVO).
Bei einem Kauf speichern wir: Bestelldetails, Empfängeradresse, gekaufte Artikel, Rechnungsbetrag, Zahlungsmethode, Bestell-IP. Diese Daten werden gemäß § 147 AO und § 14b UStG 10 Jahre aufbewahrt (Aufbewahrungspflicht für Rechnungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland; Mutterunternehmen Stripe Inc., USA) – bei Kreditkarten-, SEPA-, Apple-Pay-, Google-Pay- und Klarna-Zahlungen. Stripe verarbeitet Zahlungsdaten (Kartennummer, Bankdaten, Transaktionssumme) direkt; wir erhalten nur das Zahlungsergebnis. Übermittlung in die USA erfolgt auf Grundlage von Art. 45 Abs. 3 DSGVO i.V.m. dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023 – Stripe Inc. ist DPF-zertifiziert) sowie ergänzend EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). US-Behörden können nach FISA 702 und dem Cloud Act auf in den USA verarbeitete Daten zugreifen. Datenschutz: stripe.com/de/privacy
Klarna (Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden) – falls Sie im Stripe-Checkout eine der Klarna-Zahlungsarten ( „Sofort bezahlen", „Rechnungskauf" oder „Ratenkauf") auswählen. Stripe leitet Sie zur Klarna-Anwendung weiter; Klarna agiert dabei als eigenständiger Verantwortlicher. Klarna führt eine eigene Bonitätsprüfung durch – eine automatisierte Einzelfallentscheidung im Sinne von Art. 22 DSGVO unter Einbeziehung von Auskunfteien (z. B. Schufa, CRIF Bürgel, Boniversum). Sie haben das Recht, eine manuelle Überprüfung durch Klarna zu verlangen, Ihren Standpunkt darzulegen und die Entscheidung anzufechten (Art. 22 Abs. 3 DSGVO) – geltend zu machen direkt gegenüber Klarna. Übermittelte Daten: Name, Anschrift, E-Mail, Telefon, Geburtsdatum, IP-Adresse, Bestelldetails. Schweden ist EU-Mitgliedsstaat (kein Drittland-Risiko). Datenschutz: klarna.com/de/datenschutz
Apple Pay (Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA) – falls Sie im Stripe-Checkout Apple Pay auswählen. Apple agiert als eigenständiger Verantwortlicher für die Tokenisierung der Karte; an uns wird ausschließlich das Zahlungsergebnis übermittelt. Datentransfer in die USA wie bei Stripe (DPF + SCC). Datenschutz: apple.com/legal/privacy/de-ww
Google Pay (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; verbundene Verarbeitung mit Google LLC, USA) – falls Sie im Stripe-Checkout Google Pay auswählen. Tokenisierung analog Apple Pay. Übermittlung in die USA: DPF + SCC (Google LLC ist DPF-zertifiziert). Datenschutz: policies.google.com/privacy
PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg) – falls Sie im Stripe-Checkout PayPal auswählen. PayPal agiert als eigenständiger Verantwortlicher und kann bei Auswahl „PayPal Ratenkauf" eine eigene Bonitätsprüfung durchführen (Art. 22 DSGVO; Recht auf manuelle Überprüfung gemäß Art. 22 Abs. 3 DSGVO direkt gegenüber PayPal). Datentransfer in die USA an PayPal Inc. erfolgt auf Grundlage des EU-US Data Privacy Framework und ergänzender SCC. Datenschutz: paypal.com/de/legalhub/privacy-full
Amazon Pay (Amazon Payments Europe S.C.A., 38 avenue J.F. Kennedy, L-1855 Luxemburg) – falls Sie im Stripe-Checkout Amazon Pay auswählen. Amazon Payments agiert als eigenständiger Verantwortlicher; an uns wird ausschließlich das Zahlungsergebnis übermittelt. Datentransfer in die USA an Amazon.com Inc. erfolgt auf Grundlage von DPF + SCC. Datenschutz: pay.amazon.de/help/201751600
BlockBee (BlockBee LDA, Lissabon, Portugal) – bei Kryptowährungs-Zahlungen. BlockBee leitet Zahlungen weiter, erhält Wallet-Adressen und Transaktionsdaten. Portugal ist EU-Mitgliedsstaat (kein Drittland-Risiko). Datenschutz: blockbee.io/privacy
Weitere im Stripe-Checkout verfügbare Zahlungsarten – je nach Konfiguration in unserem Stripe-Account können zusätzlich angeboten sein: SEPA-Lastschrift, Sofortüberweisung, EPS (AT), Bancontact (BE), iDEAL (NL), Przelewy24 (PL), Multibanco (PT), BLIK (PL), Cash App Pay, Revolut Pay (Litauen), Link by Stripe. Die Verarbeitung dieser Methoden erfolgt vollständig über Stripe – es entstehen keine zusätzlichen externen Verantwortlichen außer den oben genannten. Eine Übersicht der aktuell aktivierten Methoden sehen Sie im Checkout vor Bestellabschluss.
Rechtsgrundlage für alle Zahlungsdienstleister: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für Bonitätsprüfungen (Klarna, ggf. PayPal Ratenkauf) zusätzlich Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Zahlungssicherheit). Sie können Drittland-Übermittlungen in die USA vermeiden, indem Sie eine EU-basierte Zahlungsart wählen – „Kauf auf Rechnung" (Banküberweisung), „Klarna" (Schweden), „PayPal" (Luxemburg, ohne USA-Sub-Verarbeitung sofern keine Einwilligung erteilt) oder „Kryptowährung" (BlockBee, Portugal).
Auf Formularen (Login, Registrierung, Kontakt, Passwort-zurücksetzen) verwenden wir Cloudflare Turnstile zur Abwehr automatisierter Angriffe (Bot-Schutz). Das Skript wird erst beim Absenden des jeweiligen Formulars nachgeladen – also nicht bereits beim bloßen Aufruf der Seite. Dabei werden Geräte-Eigenschaften, IP-Adresse und Browser-Verhalten an Cloudflare übermittelt; Turnstile setzt nach Anbieterangaben keine Cookies, sondern arbeitet ausschließlich mit kurzlebigen Tokens. Sie können die Übermittlung verhindern, indem Sie das Formular nicht abschicken; eine Bestellung über Stripe ist auch ohne Turnstile-Aufruf möglich.
Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA (Datenschutz: cloudflare.com/privacypolicy). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Spam-Abwehr und Schutz vor automatisierten Angriffen auf unsere Formulare). Eine Berufung auf § 25 Abs. 2 Nr. 2 TDDDG ( „technisch zwingend erforderlich") erfolgt ausdrücklich nicht, da Bot-Schutz nicht als zwingend erforderlicher Dienst gilt – Sie können das Formular auch ohne Turnstile aufrufen, der Schutz wird erst beim Absenden aktiv. Eine Einwilligung nach § 25 Abs. 1 TDDDG ist nicht erforderlich, da Turnstile nach Anbieterangaben keine Cookies bzw. Cookie-ähnliche Datenträger im Endgerät setzt. Übermittlung in die USA erfolgt auf Grundlage von Art. 45 Abs. 3 DSGVO i.V.m. dem EU-US Data Privacy Framework (Cloudflare ist DPF-zertifiziert) sowie ergänzend EU-Standardvertragsklauseln. Wir weisen darauf hin, dass US-Behörden (insbesondere nach FISA 702 und dem Cloud Act) auf in den USA verarbeitete Daten zugreifen können und die Durchsetzung Betroffenenrechte erschwert sein kann.
Beim Checkout und in der Live-Warenkorb-Übersicht ermitteln wir Herkunftsland, Stadt und Internet-Provider Ihrer IP-Adresse zur Erkennung von Hochrisiko-Regionen und Hosting-Provider-Zugriffen (typisch für Bot-Aktivität). Diese Auflösung erfolgt vollständig lokal auf unserem Server mittels der frei verfügbaren MaxMind GeoLite2-Datenbank – Ihre IP-Adresse verlässt unseren Server nicht und wird an keinen externen Dienst übermittelt. Es findet folglich auch keine Übermittlung in ein Drittland statt. Die Datenbank selbst wird wöchentlich aktualisiert (Download von MaxMind, Inc., USA) – dabei werden ausschließlich anonyme Datenbank-Dateien geladen, ohne Übertragung von Nutzerdaten. Speicherdauer des Lookup-Ergebnisses: 24 Stunden im serverseitigen Cache, anschließend automatische Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention und IT-Sicherheit).
Sicherheitsrelevante Ereignisse (Login-Versuche, Bestellungen, Passwort-Änderungen, Admin-Aktionen) werden in einem Aktivitätsprotokoll mit Zeitstempel, IP-Adresse und User-ID gespeichert. Speicherdauer: maximal 12 Monate, danach automatische Löschung. Zweck: Erkennung von Sicherheitsvorfällen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
Alle erstellten Rechnungen werden kryptographisch in einer Hash-Kette (SHA-256) verkettet zur Erkennung nachträglicher Manipulationen. Dies dient der Einhaltung der GoBD (Grundsätze ordnungsmäßiger Buchführung) gemäß § 146 AO. Aufbewahrungsfrist: 10 Jahre.
Beim Eintrag in den Newsletter (im Registrierungsformular oder im Kundenkonto unter „Einstellungen → Newsletter") erhalten Sie eine Bestätigungs-E-Mail mit individuellem Aktivierungslink (Double-Opt-In). Erst nach Klick auf diesen Link wird Ihre Adresse für den Versand freigeschaltet. Zur Erfüllung der Beweispflicht nach Art. 7 Abs. 1 DSGVO und § 7 Abs. 2 Nr. 3 UWG speichern wir folgende Anmelde-Daten dauerhaft, jedoch maximal 3 Jahre über den Widerruf hinaus:
Newsletter-Mails enthalten ein zähl-Pixel zur Erfolgsmessung mit pseudonymisierter Newsletter-ID – wir erheben darüber keine IP-Adressen oder Standort-Daten. Den Newsletter können Sie jederzeit über den Abmeldelink in jeder E-Mail (RFC 8058 One-Click-Unsubscribe) oder über Ihr Kundenkonto widerrufen – der Widerruf ist genauso einfach wie die Erteilung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Anmeldung), Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 2 Nr. 3 UWG (Beweisspeicherung).
Diese Seite nutzt eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie an https:// in der Adresszeile.
Der Nutzung von veröffentlichten Kontaktdaten zur Übersendung nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen.
Im Bereich „Mein Konto → Profil bearbeiten" können Sie alle bei VaroTech gespeicherten Daten als JSON-Datei herunterladen (DSGVO Art. 15 + 20). Die Datei enthält Profil, Bestellungen, Rechnungen-Metadaten, Aktivitäts-Log, Einwilligungs-Historie, Push-Subscriptions, Trusted-Devices, offene Warenkörbe und Mahnverlauf.
Folgende externe Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten. Mit jedem dieser Anbieter besteht ein Auftragsverarbeitungs-Vertrag (AVV) bzw. werden die Daten auf Basis der EU-Standardvertragsklauseln (SCC) übermittelt:
| Anbieter | Zweck | Daten | Sitz | Rechtsgrundlage |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Kreditkarten- & SEPA-Zahlungen | Name, E-Mail, Adresse, Zahlungsdaten | Irland (EU); Sub-Verarbeitung USA (DPF) | AVV (Stripe DPA, automatisch im Stripe-Account) + SCC |
| BlockBee LDA | Krypto-Zahlungen (BTC, ETH, LTC u.a.) | Wallet-Adressen, Transaktions-IDs | Lissabon, Portugal (EU) | AVV (BlockBee Terms of Service) |
| Cloudflare, Inc. | CDN, DDoS-Schutz, WAF, Turnstile-Captcha | IP-Adressen, Request-Header, Browser-Fingerprint (Captcha) | USA | Cloudflare DPA + SCC + DPF |
| OVH SAS | Server-Hosting (Dedicated/Cloud-Server) | Alle technisch gespeicherten Daten | 2 rue Kellermann, 59100 Roubaix, Frankreich (EU) | AVV nach Art. 28 DSGVO (OVH DPA) |
| Google LLC (FCM) / Mozilla Foundation | Push-Benachrichtigungen (NUR Admin-Panel) | Push-Endpoint-URLs | USA | SCC, Einwilligung Admin-User |
Auf Anforderung legen wir Ihnen die jeweiligen AVVs als PDF vor. Bitte E-Mail an [email protected].
Im Admin-Panel können Push-Benachrichtigungen für neue Bestellungen, fällige Mahnungen oder bezahlte Rechnungen aktiviert werden. Dabei wird eine Endpoint-URL bei Google LLC (Chrome/Edge: FCM, USA) bzw. Mozilla Foundation (Firefox: autopush, USA/Kanada) gespeichert. Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (SCC). Push-Payloads enthalten keine Klartext-Kundendaten – nur generische Trigger-Hinweise. Widerruf jederzeit möglich über die Browser-Einstellungen oder über den „Deaktivieren"-Button im Admin-Panel.
Im Checkout wird die Kunden-IP einmalig auf Hosting-Provider-Indikatoren geprüft (siehe § 11 – die Auflösung erfolgt vollständig lokal über die MaxMind-GeoLite2-Datenbank ohne externen Datentransfer). Wird ein typischer Hosting-/VPN-Provider erkannt, kann die Auswahl der Zahlungsart automatisch eingeschränkt werden (z. B. „Kauf auf Rechnung" nicht verfügbar). Es entsteht kein Vertragsabschluss-Verbot – der Kauf bleibt mit anderen Zahlungsarten möglich. Sie können jederzeit per E-Mail an [email protected] eine manuelle Prüfung anfordern.
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist (DSGVO Art. 5 I e):
Stand: Mai 2026