Datenschutzerklärung

Stand: 20. März 2026

1. Verantwortlicher

Paramaniac Shop
Inhaber: Stephan Walkowiak
Grünwalder Str. 155
81545 München
Deutschland

Kontakt:
Telefon: +49 152 34340294
E-Mail: contact@paramaniac.de
Website: paramaniac.shop

USt-IdNr.: DE216471157

2. Allgemeines zur Datenverarbeitung

Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Erhebung und Verwendung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung. Eine Ausnahme gilt, wenn eine vorherige Einholung der Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage.

Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4. Hosting und Content Delivery Network

4.1 Saleor E-Commerce (Self-Hosted)

Dieser Online-Shop wird auf der E-Commerce-Plattform Saleor betrieben.

Anbieter: Saleor Commerce (Self-Hosted auf eigenem Server in Deutschland, kein Drittlandtransfer)
Datenschutzerklärung: paramaniac.shop/de/datenschutzerklaerung/

Verarbeitete Daten: IP-Adresse, Browser-Informationen, Geräteinformationen, Zugriffsdaten, Cookies, Session-Daten, Warenkorbdaten

Zweck: Bereitstellung und Betrieb des Online-Shops, Bestellabwicklung, technische Sicherheit

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Datenübermittlung: Keine Drittlandübermittlung (eigener Server in Deutschland)

4.1a ERPNext (Self-Hosted)

Für die Rechnungsstellung und Kundenverwaltung nutzen wir ERPNext (Open-Source, selbst gehostet auf eigenem Server in Deutschland). Es findet keine Datenübermittlung an Dritte statt.

Anbieter: ERPNext / Frappe Technologies (Self-Hosted auf eigenem Server in Deutschland, kein Drittlandtransfer)

Verarbeitete Daten: Kundendaten (Name, Adresse, E-Mail), Rechnungsdaten, Bestelldaten

Zweck: Rechnungsstellung, Kundenverwaltung, Buchhaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

Datenübermittlung: Keine Drittlandübermittlung (eigener Server in Deutschland)

4.2 Cloudflare DNS und Performance Services

Anbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA
Datenschutzerklärung: cloudflare.com/privacypolicy/

Verarbeitete Daten: IP-Adresse, HTTP-Header, Cookies, DNS-Anfragen

Zweck: DNS-Auflösung, DDoS-Schutz, Performance-Optimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Cloudflare R2 (Object Storage): Produktbilder werden über Cloudflare R2 (Object Storage) bereitgestellt. Cloudflare R2 speichert keine personenbezogenen Daten.

5. Cookies und Tracking-Technologien

Analyse- und Marketing-Tools werden nur geladen, wenn sie im Cookie-Banner aktiviert sind und eine Einwilligung vorliegt.

4.2a Cloudflare Workers (Newsletter-Proxy)

Anbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA
Datenschutzerklärung: cloudflare.com/privacypolicy/

Zweck: Sichere Übermittlung von Newsletter-Anmeldungen an unseren E-Mail-Dienstleister Brevo. Der Cloudflare Worker fungiert als Backend-Proxy und verhindert die Offenlegung von API-Schlüsseln im Browser.

Verarbeitete Daten:

• E-Mail-Adresse (für Newsletter-Anmeldung)
• IP-Adresse (für Proxy-Request)
• Newsletter-Kategorien (Gleitschirm, Motorschirm, etc.)
• Zeitstempel der Anmeldung
• Bestätigungs-Status (Double Opt-In)

Speicherdauer: Keine persistente Speicherung. Cloudflare Workers verarbeiten Daten ausschließlich im Arbeitsspeicher (V8 Isolates) und leiten sie sofort an Brevo weiter. API-Schlüssel werden verschlüsselt in Cloudflare-Umgebungsvariablen gespeichert.

Datenübermittlung: USA (Cloudflare Workers Edge Network, global verteilt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur Newsletter-Anmeldung)

Auftragsverarbeitung: Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Datenübermittlung in die USA erfolgt über EU-Standardvertragsklauseln (Art. 46 DSGVO) und das EU-US Data Privacy Framework.

Sicherheitsmaßnahmen:

• AES-256 Verschlüsselung aller API-Schlüssel
• TLS 1.3 Ende-zu-Ende Verschlüsselung
• CORS-Beschränkung auf paramaniac.shop
• Keine Speicherung personenbezogener Daten
• Zugriff nur über HTTPS

4.3 Brevo (Newsletter und Transaktions-E-Mails)

Wir nutzen Brevo (ehemals Sendinblue), Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, für den Versand von Newsletter- und Transaktions-E-Mails (Bestellbestätigungen, Versandbenachrichtigungen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Transaktions-E-Mails, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Newsletter.

Newsletter-Anmeldung erfolgt im Double-Opt-In-Verfahren. Abmeldung ist jederzeit über den Link in jeder E-Mail möglich.

5.1 Technisch notwendige Cookies

Wir verwenden technisch notwendige Cookies für die Funktionsfähigkeit des Shops. Diese Cookies werden ohne Ihre Einwilligung gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Verwendete Cookies:

• saleor_checkout_id: Warenkorb-Funktionalität (Session)
• XSRF-TOKEN: Schutz vor Cross-Site Request Forgery (Session)
• cookieConsent: Cookie-Einstellungen (12 Monate)
• language: Sprachpräferenz (30 Tage)
• paramaniac_consent: Cookie-Einwilligungspräferenzen (12 Monate)

5.2 Google Tag Manager (optional)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Datenschutzerklärung: policies.google.com/privacy

Verarbeitete Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Klicks, Geräteinformationen

Zweck: Tag-Verwaltung, Website-Analyse

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)

Cookies: _ga, _gid, _gat (bis zu 2 Jahre)

5.3 Google Analytics (optional)

Anbieter: Google Ireland Limited (siehe oben)

Verarbeitete Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, demografische Daten

Zweck: Reichweitenmessung, Nutzerverhalten-Analyse

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

IP-Anonymisierung: Aktiviert ("anonymizeIP")

Speicherdauer: 14 Monate

5.4 TikTok Pixel (optional)

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irland (EU-Niederlassung)
Muttergesellschaft: ByteDance Ltd., China/USA
Datenschutzerklärung: tiktok.com/legal/privacy-policy

Verarbeitete Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Klicks, Conversions, Geräteinformationen, TikTok-User-ID (falls eingeloggt)

Zweck: Conversion-Tracking, Zielgruppenbildung für TikTok-Werbeanzeigen, Remarketing

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)

Datenübermittlung: USA, China (Standardvertragsklauseln gemäß Art. 46 DSGVO)

Cookies: _ttp, _ttp_pixel, ttclid (bis zu 13 Monate)

Widerruf: Jederzeit über Cookie-Einstellungen oder TikTok-Konto-Einstellungen

5.5 Facebook Pixel (optional)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland
Muttergesellschaft: Meta Platforms Inc., USA
Datenschutzerklärung: facebook.com/privacy/policy/

Verarbeitete Daten: IP-Adresse (anonymisiert), Seitenaufrufe, Klicks, Conversions, Facebook-User-ID (falls eingeloggt)

Zweck: Conversion-Tracking, Custom Audiences, Lookalike Audiences, Remarketing

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)

Datenübermittlung: USA (Standardvertragsklauseln gemäß Art. 46 DSGVO)

Cookies: _fbp, fr (bis zu 90 Tage)

Widerruf: Jederzeit über Cookie-Einstellungen oder Facebook-Konto-Einstellungen

6. Datenerfassung beim Besuch der Website

6.1 Server-Logfiles

Bei jedem Aufruf erfasst unser System automatisiert folgende Daten:

• Browsertyp und Browser-Version
• Verwendetes Betriebssystem
• Internet-Service-Provider
• IP-Adresse (nach 7 Tagen anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Referrer (Herkunfts-Website)

Zweck: Funktionsfähigkeit, IT-Sicherheit, Optimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Speicherdauer: Maximal 7 Tage

7. Kontaktformular und E-Mail-Kontakt

Wenn Sie uns per Kontaktformular oder E-Mail kontaktieren, werden Ihre Angaben zur Bearbeitung gespeichert.

Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer (optional), Nachrichtentext

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)

Speicherdauer: Bis zur abschließenden Klärung Ihrer Anfrage, danach maximal 7 Tage

8. Bestellabwicklung und Zahlungsabwicklung

8.1 Datenverarbeitung bei Bestellungen

Verarbeitete Daten: Name, Adresse, E-Mail, Telefonnummer, Zahlungsdaten, Bestelldaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: 10 Jahre (gesetzliche Aufbewahrungspflicht § 147 AO, § 257 HGB)

8.2 PayPal

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg
Datenschutzerklärung: paypal.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

8.3 Stripe

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland
Datenschutzerklärung: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Sicherheit: PCI DSS Level 1 zertifiziert

Hinweis: Alle weiteren Zahlungsarten (PayPal, Klarna, SEPA-Lastschrift, Apple Pay, Google Pay, Sofortüberweisung und weitere) werden über Stripe als technischen Zahlungsdienstleister abgewickelt.

8.4 Klarna

Anbieter: Klarna AB, Sveavägen 46, 111 34 Stockholm, Schweden
Datenschutzerklärung: klarna.com/de/datenschutz/

Zahlungsarten:

• Sofortüberweisung (Klarna Sofort)
• Ratenkauf (3, 6, 12 Monate)
• Kauf auf Rechnung (nach Bonitätsprüfung)

Verarbeitete Daten: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Bestelldaten, Bonitätsdaten

Bonitätsprüfung: Bei Auswahl von "Ratenkauf" oder "Rechnung" führt Klarna eine automatische Bonitätsprüfung durch (Art. 6 Abs. 1 lit. f DSGVO). Datenweitergabe an: Schufa, Creditreform, Boniversum

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: 3 Jahre nach Vertragsende (rechtliche Aufbewahrungspflicht)

8.5 Amazon Pay

Anbieter: Amazon Payments Europe S.C.A., 38 avenue John F. Kennedy, L-1855 Luxemburg
Datenschutzerklärung: pay.amazon.de/help/201212490

Verarbeitete Daten: Bei Ihrem Amazon-Konto hinterlegte Zahlungsinformationen, Lieferadresse, E-Mail

Zweck: Schneller Checkout ohne erneute Dateneingabe

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

8.6 Apple Pay / Google Pay

Diese Zahlungsarten werden über unseren Zahlungsdienstleister Stripe (siehe 8.3) abgewickelt.

Apple Pay: Apple Distribution International Ltd., Cork, Irland
Google Pay: Google Ireland Limited, Dublin, Irland

Verarbeitete Daten: Tokenisierte Zahlungsinformationen (keine Kreditkartennummer wird übermittelt)

Sicherheit: Gerätespezifische Verschlüsselung (Secure Element)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

8.7 SEPA-Lastschrift

Bei Zahlung per SEPA-Lastschrift verarbeiten wir:

• IBAN (International Bank Account Number)
• Kontoinhaber (Name)
• SEPA-Mandat (Einzugsermächtigung)

Verarbeitung: Über unseren Zahlungsdienstleister Stripe (siehe 8.3)

Einzug: 1-3 Werktage nach Bestellbestätigung

Widerruf: Sie können innerhalb von 8 Wochen ohne Angabe von Gründen die Erstattung verlangen (§ 675x BGB)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Speicherdauer: 10 Jahre (gesetzliche Aufbewahrungspflicht § 147 AO)

8.8 Versanddienstleister

Partner: DHL, UPS, DPD, Hermes

Verarbeitete Daten: Name, Lieferadresse, Telefonnummer, Tracking-Nummer

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

9. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung (256-Bit). Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in Ihrer Browserzeile und an "https://" in der Adressleiste.

10. Ihre Rechte als betroffene Person

Sie haben folgende Rechte:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Recht auf Auskunft über gespeicherte personenbezogene Daten

10.2 Berichtigungsrecht (Art. 16 DSGVO)

Recht auf Berichtigung unrichtiger Daten

10.3 Löschungsrecht (Art. 17 DSGVO)

Recht auf Löschung personenbezogener Daten

10.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Recht auf Einschränkung der Verarbeitung

10.5 Datenübertragbarkeit (Art. 20 DSGVO)

Recht auf Datenübertragung in strukturiertem Format

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Recht auf Widerspruch gegen die Verarbeitung

10.7 Widerrufsrecht (Art. 7 Abs. 3 DSGVO)

Recht auf Widerruf erteilter Einwilligungen

10.8 Beschwerderecht (Art. 77 DSGVO)

Recht auf Beschwerde bei einer Aufsichtsbehörde

Zuständige Aufsichtsbehörde:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: 0981 180093-0
E-Mail: poststelle@lda.bayern.de
Website: www.lda.bayern.de

11. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein:

• SSL/TLS-Verschlüsselung (256-Bit)
• Verschlüsselte Datenspeicherung
• Regelmäßige Sicherheits-Updates
• Firewalls und Intrusion Detection
• DDoS-Schutz über Cloudflare
• Zugriffskontrollen
• Regelmäßige Backups

12. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen.

13. Fragen zum Datenschutz

Paramaniac Shop
Inhaber: Stephan Walkowiak
Grünwalder Str. 155
81545 München
Deutschland

Kontakt:
Telefon: +49 152 34340294
E-Mail: contact@paramaniac.de
Website: paramaniac.shop

14. Zusammenfassung der verwendeten Technologien

Hinweis zu Drittlandstransfers:

• USA: Google (Analytics, Tag Manager), TikTok (teilweise), Facebook (teilweise) → EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO
• China: TikTok (ByteDance) → Standardvertragsklauseln + zusätzliche Sicherheitsmaßnahmen
• EU: Alle anderen Dienstleister (Klarna, Stripe, PayPal, Amazon Pay, Brevo, Versanddienstleister) → 100% DSGVO-konform

Auftragsverarbeitungsverträge (AVV): Mit allen oben genannten Dienstleistern sind AVV-Verträge gemäß Art. 28 DSGVO abgeschlossen.