Datenschutzerklärung

1. Verantwortliche Person

Irene Janzen

Marke: GLANZKOST

Stahlgruberring 7a

81829 München

E-Mail: datenschutz@glanzkost.com

Website: www.glanzkost.com

2. Besonderheit: Verarbeitung von Gesundheitsdaten

Art. 9 DSGVO – Besondere Kategorien personenbezogener Daten

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO und genießen erhöhten Schutz. Im Rahmen der Ernährungsberatung werden sie ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

3. Rechtsgrundlagen der Datenverarbeitung

Je nach Art der Datenverarbeitung gelten folgende Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z.B. Newsletter, Analyse-Tools)

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Buchung, Beratung, Zahlungsabwicklung)

Art. 6 Abs. 1 lit. c DSGVO – Gesetzliche Verpflichtung (Buchführung, Steuer)

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (IT-Sicherheit, Betrugsschutz)

Art. 9 Abs. 2 lit. a DSGVO – Ausdrückliche Einwilligung für Gesundheitsdaten

§ 25 TDDDG – Einwilligung für Cookies und Tracking

4. Erhobene Daten und Zwecke

4.1 Kontakt- und Buchungsdaten

Beim Buchen eines Beratungstermins erheben wir: Vor- und Nachname, E-Mail-Adresse, Telefonnumme (optional), Buchungsdatum und -uhrzeit, gewähltes Beratungsformat, Zahlungsinformationen.

Zweck: Terminverwaltung, Vertragserfüllung, Rechnungsstellung. Speicherdauer: Buchungsdaten 10 Jahre gemäß § 147 AO; sonstige Kommunikationsdaten 3 Jahre nach Abschluss der Beratungsbeziehung.

4.2 Gesundheits- und Beratungsdaten

Im Rahmen der Ernährungsberatung können folgende Gesundheitsdaten erhoben werden: Diagnosen, Behandlungsangaben, Medikamente, Unverträglichkeiten, Laborwerte, Ernährungsprotokolle.

Zweck: Durchführung der individuellen Ernährungsberatung. Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Speicherdauer: Dauer der Beratungsbeziehung + 3 Jahre.

5. Eingesetzte Dienste und Auftragsverarbeiter

5.1 Shopify (Shop-Infrastruktur, Zahlungsabwicklung)

Anbieter: Shopify International Limited, Victoria Buildings, 2nd Floor, 1-2 Haddington Road, Dublin 4, D04 XN32, Irland

Zweck: Betrieb des Online-Shops, Zahlungsabwicklung, E-Mail-Transaktionen

Verarbeitete Daten: Name, E-Mail, Adresse, Zahlungsdaten, Bestelldaten

Serverstandort: EU (primär), USA/Kanada möglich

Drittlandtransfer Kanada: EU-Angemessenheitsbeschluss. USA: EU-US Data Privacy

Framework (DPF)

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO

AVV Automatisch via Shopify Data Processing Addendum

(shopify.com/legal/dpa)

Datenschutz shopify.com/legal/privacy

5.2 PayPal (Zahlungsabwicklung)

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg

Zweck: Sichere Abwicklung von Zahlungen per PayPal

Verarbeitete Daten: Name, E-Mail, Rechnungs- und Zahlungsdaten

Serverstandort: EU (Luxemburg) + möglicher Datentransfer USA

Drittlandtransfer EU-US Data Privacy Framework (DPF) – PayPal zertifiziert

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO

Hinweis Nur bei Auswahl von PayPal als Zahlungsmethode. PayPal verarbeitet Daten unter eigener Verantwortung.

Datenschutz paypal.com/de/webapps/mpp/ua/privacy-full

5.3 Appointment Booking App ointo / Appointo (Terminbuchung)

Anbieter: Sidepanda Services LLP, Indien (Shopify-App-Entwickler)

Zweck: Online-Terminbuchung für Beratungsgespräche, Kalenderverwaltung,automatische Buchungsbestätigungen und Erinnerungen per E-Mail

Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer (optional), Buchungsdatum/-uhrzeit, gewähltes Beratungsformat – ausschließlich Kontakt- und Terminverwaltungsdaten

Gesundheitsdaten: Keine. Über Appointo werden keinerlei Gesundheitsdaten oder besondere Kategorien personenbezogener Daten übermittelt.

Serverstandort: USA (Shopify-App-Infrastruktur)

Drittlandtransfer Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Terminverwaltung). Da ausschließlich einfache Kontakt- und Buchungsdaten ohne Gesundheitsbezug verarbeitet werden, ist das Risikoprofil dieser Verarbeitung gering.

Teams-Hinweis: Für Online-Beratungen wird Microsoft Teams verwendet. Der Meeting-Link wird manuell oder über Kalender-Integration bereitgestellt.

Datenschutz appointo.me/privacy

5.4 Google Analytics 4 (Website-Analyse)

Einwilligungspflicht – nur mit Consent via Consentmo aktiv. Google Analytics wird ausschließlich nach erteilter Einwilligung über Consentmo geladen (§ 25 Abs. 1 TDDDG). Ohne Ihre Einwilligung werden keine Analyse-Cookies gesetzt und keine Daten an Google übermittelt.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA)

Zweck: Analyse des Nutzerverhaltens auf der Website (Seitenaufrufe, Verweildauer, Herkunft, Gerät)

Verarbeitete Daten: IP-Adresse (anonymisiert), Browser, Betriebssystem, Seitenaufrufe, Ereignisse

IP-Anonymisierung: IP-Anonymisierung in GA4-Konfiguration aktiv

Serverstandort: EU-Rechenzentren (primär), USA möglich

Drittlandtransfer EU-US Data Privacy Framework (DPF) – Google zertifiziert

Rechtsgrundlage: Einwilligung Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG

Speicherdauer: 14 Monate (GA4-Standard, konfigurierbar)

Opt-out Cookie-Einstellungen jederzeit über Consentmo-Banner anpassbar.

Google Analytics Opt-out Add-on: tools.google.com/dlpage/gaoptout

Datenschutz policies.google.com/privacy

5.5 Microsoft Clarity (Heatmaps & Nutzerverhalten)

Einwilligungspflicht – nur mit Consent via Consentmo aktiv. Microsoft Clarity wird ausschließlich nach erteilter Einwilligung geladen (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO). Ohne Einwilligung werden keine Clarity-Cookies gesetzt.

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland

Zweck: Analyse des Nutzerverhaltens (Heatmaps, Klickpfade, Sitzungsaufzeichnungen)

Verarbeitete Daten: IP-Adresse (ggf. gekürzt), Mausbewegungen, Klicks, Seitenbesuche, Gerätedaten, Session-IDs

Cookies _clck (1 Jahr), _clsk (30 Min.), CLID (1 Jahr)

Serverstandort: EU + USA möglich

Drittlandtransfer EU-US Data Privacy Framework (DPF) – Microsoft zertifiziert

Rechtsgrundlage: Einwilligung Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG

Speicherdauer Sitzungsaufzeichnungen: 30 Tage; Analysedaten: bis 13 Monate

Opt-out Über Consentmo-Cookie-Einstellungen; oder: clarity.microsoft.com/opt-out

Datenschutz privacy.microsoft.com/de-de/privacystatement

5.6 Klaviyo (E-Mail-Marketing und Automation)

Anbieter: Klaviyo, Inc., 125 Summer St, Floor 6, Boston, MA 02110, USA

Zweck: E-Mail-Marketing, Newsletter-Versand, automatisierte Transaktions-E-Mails, Buchungsbestätigungen und -erinnerungen

Verarbeitete Daten: E-Mail-Adresse, Name, Kaufhistorie (via Shopify), Öffnungs- und Klickverhalten

Double-Opt-in Newsletter-Anmeldung ausschließlich mit Double-Opt-in-Verfahren (§ 7UWG)

Serverstandort: USA

Drittlandtransfer EU-US Data Privacy Framework (DPF) – Klaviyo zertifiziert (Stand 2025)

Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, Newsletter); Art. 6 Abs. 1 lit. b für transaktionale E-Mails

AVV Data Processing Agreement (DPA): klaviyo.com/legal/dpa

Datenschutz klaviyo.com/legal/privacy-notice

5.7 Microsoft 365 Business (Teams, Outlook) – Datenablage & Videoberatung

Microsoft 365 – EU Data Boundary seit Februar 2025

Seit Februar 2025 speichert Microsoft 365 alle Kundendaten ausschließlich im Europäischen Wirtschaftsraum (EWR) – für Deutschland in den Rechenzentren Frankfurt und Berlin. Der AVV ist automatisch über das Microsoft Online Services Data Protection Addendum (DPA) abgeschlossen.

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, Dublin 18, Irland

Zweck: (Teams) Durchführung von Online-Ernährungsberatungen per Microsoft Teams (Video-Call)

Zweck: (Outlook/M365) Interne Kommunikation, E-Mail, Ablage von Beratungsunterlagen und Klientinnendaten

Verarbeitete Daten: (Teams) Name, E-Mail, Audio-/Videodaten während des Meetings, Chat- Nachrichten (falls genutzt)

Verarbeitete Daten (M365) Beratungsnotizen, Ernährungsanamnesen, E-Mail-Korrespondenz (enthält ggf. Gesundheitsdaten)

Serverstandort EU Data Boundary: Deutschland (Frankfurt, Berlin)

Drittlandtransfer Weitgehend eliminiert durch EU Data Boundary; Metadaten: DPF + SCCs

Aufzeichnung Nur mit ausdrücklicher Einwilligung. Automatische Aufzeichnung NICHT aktiviert.

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 9 Abs. 2 lit. a für Gesundheitsdaten

AVV Microsoft Online Services DPA:

microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-

Data-Protection-Addendum-DPA

Datenschutz microsoft.com/de-de/trust-center/privacy

5.8 Webhostone (Hosting, Domain, E-Mail)

Anbieter webhostone GmbH, [Adresse webhostone]

Zweck: Webhosting der Domain glanzkost.com, DNS-Verwaltung, E-Mail-Postfächer

Serverstandort Ausschließlich Deutschland (ISO-zertifiziert, 100 % Ökostrom)

Verarbeitete Daten: Server-Logfiles (IP-Adresse, Timestamp, Seitenaufruf), E-Mail Kommunikation

Rechtsgrundlage Art. 6 Abs. 1 lit. b, f DSGVO

AVV nach Art. 28 DSGVO mit webhostone abgeschlossen

5.9 Jotform (Ernährungsanamnese-Formulare und Einwilligungserklärungen)

Anbieter: Jotform Ltd. (EU-Vertragspartner); Muttergesellschaft: Jotform Inc., 111 Pine St., Suite 1815, San Francisco, CA, USA

Zweck: Erfassung von Ernährungsanamnesen, Einwilligungsformularen undGesundheitsdaten vor der Beratung

Verarbeitete Daten: Name, E-Mail, Gesundheitsdaten (Diagnose, Behandlung, Medikamente, Ernährungsangaben) – Art. 9 DSGVO

Serverstandort EU: Frankfurt, Deutschland (Google Cloud) Rechtsgrundlage Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) + Art. 6 Abs. 1 lit. b 

Vorausgefüllter AVV auf jotform.com/gdpr-compliance

Datenschutz jotform.com/privacy/

5.10 Consentmo GDPR & Cookie Manager (Cookie-Consent)

Anbieter: iSenseLabs, 4 Prof. Georgi Bradistilov Street
Sofia, Bulgarien

Zweck: Cookie-Consent-Management: Einholung, Speicherung und Verwaltung von Einwilligungen nach § 25 TDDDG und DSGVO

Verarbeitete Daten: Consent-Status (ja/nein pro Cookie-Kategorie), IP-Adresse (anonymisiert), Zeitstempel, Besucher-ID 

Serverstandort: Amsterdam, Niederlande (EU)

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung aus § 25 TDDDG)

Speicherdauer Consent-Protokolle: 3 Jahre (Nachweispflicht)

AVV Datenschutzvereinbarung mit Consentmo

Hinweis Consentmo steuert, welche Cookies (Google Analytics, Microsoft Clarity, Klaviyo) geladen werden. Ohne Einwilligung werden diese nicht aktiviert.

5.11 Orderly Emails (E-Mail-Vorlagen)

Anbieter: Orderly Apps Inc. (Shopify-App)

Zweck: Anpassung und Gestaltung von automatischen Shopify-Transaktions-E-Mails (Buchungsbestätigung, Bestellbestätigung, Rechnungen)

Verarbeitete Daten: Name, E-Mail-Adresse, Bestelldaten – ausschließlich über Shopify-Infrastruktur

Serverstandort: Shopify-Infrastruktur (siehe 5.1)

Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Hinweis: Orderly Emails verarbeitet keine eigenständigen Daten; es nutzt ausschließlich Shopify-Daten für die Template-Darstellung.

5.12 EU-Widerruf Button (§ 356a BGB)

Anbieter: 401layers UG (haftungsbeschränkt), Dorothea-Erx.-Str. 1a, 40721 Hilden, Deutschland · euwiderrufsbutton.de

Zweck: Bereitstellung des gesetzlich vorgeschriebenen elektronischen Widerrufsbuttons (§ 356a BGB, Pflicht ab 19.06.2026)

Verarbeitete Daten: Bestellnummer oder Buchungskennung, E-Mail-Adresse, Zeitpunkt und Inhalt der Widerrufserklärung, Bearbeitungsstatus

Serverstandort: Deutschland (Anbieter mit Sitz in Hilden, DE)

Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung aus § 356a BGB)

Speicherdauer 6 Monate nach Eingang der Widerrufserklärung zu Dokumentations- und Nachweiszwecken

AVV mit 401layers UG

Datenschutz: euwiderrufsbutton.de

6. Cookies

Wir setzen auf unserer Website Cookies ein. Technisch notwendige Cookies werden ohne Einwilligung gesetzt (§ 25 Abs. 2 TDDDG). Alle weiteren Cookies (Analyse, Marketing) werden erst nach Ihrer Einwilligung über den Consentmo-Banner aktiviert. Sie können Ihre Einwilligung jederzeit über den Link "Cookie-Einstellungen" im Footer anpassen oder widerrufen.

Cookie Anbieter Laufzeit Zweck & Rechtsgrundlage

_shopify_session Shopify Session Technisch notwendig (§25 Abs.2 TDDDG)

cart Shopify 2 Wochen Warenkorb (§25 Abs.2 TDDDG)

_clck, _clsk Microsoft Clarity 1 Jahr / 30 Min Analyse – Einwilligung §25 Abs.1 TDDDG

_ga, _gid Google Analytics 2 J. / 24 Std. Analyse – Einwilligung §25 Abs.1 TDDDG

klaviyo_* Klaviyo 1 Jahr Marketing – Einwilligung §25 Abs.1 TDDDG

consentmo_* Consentmo 1 Jahr Consent-Status – notwendig §25 Abs.2 TDDDG

7. Weitergabe von Daten an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich:

An Auftragsverarbeiter gemäß Art. 28 DSGVO (siehe Abschnitt 5)

Bei gesetzlicher Verpflichtung (z.B. Steuerbehörden)

Mit ausdrücklicher Einwilligung (insbesondere Gesundheitsdaten an Ärzt:innen oder Labore)

Eine Weitergabe zu Werbezwecken oder an nicht aufgeführte Dritte findet nicht statt.

8. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)

Auskunftsrecht (Art. 15): Welche Daten verarbeiten wir über Sie?

Berichtigungsrecht (Art. 16): Unrichtige Daten korrigieren lassen

Löschungsrecht (Art. 17): "Recht auf Vergessenwerden"

Einschränkungsrecht (Art. 18): Verarbeitung einschränken lassen

Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format erhalten

Widerspruchsrecht (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen widersprechen

Widerruf (Art. 7 Abs. 3): Einwilligung jederzeit per E-Mail widerrufen – ohne Nachteile

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@glanzkost.com

9. Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für Bayern:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach,

www.lda.bayern.de.