Datenschutzerklärung

Stand: März 2026 — gemäß EU-Datenschutz-Grundverordnung (DSGVO)

1. Verantwortlicher

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wir haben keinen Datenschutzbeauftragten bestellt, da wir nach Art. 37 DSGVO i.V.m. § 38 BDSG hierzu nicht verpflichtet sind. Für datenschutzrechtliche Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Überblick der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen:

• Bestandsdaten — Namen, Adressen, Kontaktdaten
• Zahlungsdaten — Bankverbindungen, Rechnungen, Zahlungshistorie (via Stripe)
• Nutzungsdaten — besuchte Seiten, Zugriffszeiten, Interesse an Inhalten
• Kommunikationsdaten — Telegram-Benutzer-ID, Chat-Nachrichten zu Bestellungen
• Bestelldaten — Bestellte Produkte, Mengen, Lieferadressen, Bestellverlauf
• Meta-/Kommunikationsdaten — IP-Adressen, Geräte-Informationen, Zeitstempel

3. Maßgebliche Rechtsgrundlagen

Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben (z.B. Cookie-Einwilligung für Analyse-Tools, Newsletter-Anmeldung).
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Die Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erforderlich.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. steuerliche Aufbewahrungspflichten).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

4. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere:

• Verschlüsselung der Datenübertragung (TLS/SSL) für alle Verbindungen
• Zugriffskontrolle auf Datenbanken und Server (rollenbasierte Zugriffssteuerung)
• Regelmäßige Sicherheits-Updates und Sicherheitsüberprüfungen
• Pseudonymisierung und Anonymisierung, wo möglich
• Sicherung der Daten durch regelmäßige Backups
• Verschlüsselte Speicherung sensibler Daten (Passwörter, Tokens)

5. Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass die Daten an andere Stellen, Unternehmen oder Personen übermittelt oder ihnen gegenüber offengelegt werden. Zu den Empfängern gehören:

• Stripe Payments Europe, Limited (Zahlungsabwicklung) — 1 Grand Canal Street Lower, Dublin 2, Irland. Zwischen uns und Stripe besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO. Datenschutzerklärung Stripe
• Telegram Messenger Inc. (Kommunikationsplattform) — Für die Zustellung von Nachrichten und den Betrieb des Telegram-Bots. Datenschutzerklärung Telegram
• Supabase Inc. (Datenbank-Hosting) — Hosting der Anwendungsdaten innerhalb der EU (Frankfurt am Main). Zwischen uns und Supabase besteht ein Data Processing Agreement gemäß Art. 28 DSGVO. Datenschutzerklärung Supabase
• Railway Corp. (Anwendungs-Hosting) — Hosting der Backend-Anwendung im EU-Rechenzentrum Amsterdam, Niederlande. Zwischen uns und Railway besteht ein Data Processing Agreement gemäß Art. 28 DSGVO. Datenschutzerklärung Railway
• Google Ireland Limited (Webanalyse, Werbung) — Nur bei erteilter Einwilligung über den Cookie-Banner. Siehe Abschnitt 12.
• Meta Platforms Ireland Limited (Werbung, Conversion-Tracking) — Nur bei erteilter Einwilligung über den Cookie-Banner. Siehe Abschnitt 13.

6. Auftragsverarbeitung

Soweit wir im Rahmen unserer Verarbeitung Daten gegenüber anderen Personen und Unternehmen (Auftragsverarbeitern) offenlegen, diese an sie übermitteln oder ihnen sonst Zugriff auf die Daten gewähren, erfolgt dies nur auf Grundlage einer gesetzlichen Erlaubnis, einer Einwilligung der Nutzer oder auf Grundlage unserer berechtigten Interessen.

Sofern wir Dritte mit der Verarbeitung von Daten beauftragen, geschieht dies auf Grundlage eines sogenannten Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO. Wir setzen Auftragsverarbeiter nur ein, wenn diese hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

7. Datenübermittlung in Drittländer

Sofern wir Daten in einem Drittland (d.h. außerhalb der EU/EWR) verarbeiten oder dies im Rahmen der Inanspruchnahme von Diensten Dritter geschieht, erfolgt dies nur:

• Zur Erfüllung unserer (vor-)vertraglichen Pflichten,
• auf Grundlage Ihrer Einwilligung,
• aufgrund einer rechtlichen Verpflichtung, oder
• auf Grundlage unserer berechtigten Interessen.

Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) gemäß dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, soweit der Empfänger unter dem DPF zertifiziert ist. Für nicht-zertifizierte Empfänger nutzen wir EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Transfermechanismus und führen bei Bedarf ergänzende Schutzmaßnahmen (Transfer Impact Assessment) durch.

8. Bereitstellung des Onlineangebotes und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste bereitzustellen. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

• Verarbeitete Datenarten: Nutzungsdaten, Meta- und Kommunikationsdaten, Protokolldaten (IP-Adresse, Datum/Uhrzeit des Zugriffs, angeforderte URL, Referrer-URL, verwendeter Browser, Betriebssystem)
• Betroffene Personen: Nutzer unserer Website, des Web-Shops (shop.tgramm.app) und der Telegram-WebApp
• Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
• Hosting: Railway Corp. (Server-Standort: Amsterdam, Niederlande, EU). Supabase Inc. (Datenbank-Standort: Frankfurt am Main, EU)

Server-Logdateien werden automatisch nach 30 Tagen gelöscht.

9. Registrierung, Anmeldung und Bestellungen

Händler können über den Telegram-Bot oder die Registrierungsseite (shop.tgramm.app/onboarding) einen Shop erstellen. Endkunden können Bestellungen über den Web-Shop oder die Telegram-WebApp aufgeben. Im Rahmen der Registrierung und Bestellungen werden folgende Daten verarbeitet:

• Telegram-Benutzer-ID, Vorname, Nachname, Benutzername
• Shop-Name, Kontaktdaten des Shop-Betreibers
• Bestelldetails: Produkte, Mengen, Gewichte, Lieferadresse
• Zahlungsinformationen (verarbeitet durch Stripe, Kartendaten werden nicht bei uns gespeichert)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Speicherdauer: Die Daten werden gespeichert, solange der Account oder die Geschäftsbeziehung besteht, und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen (handelsrechtlich 6 Jahre gemäß § 257 Abs. 1 HGB, steuerrechtlich 10 Jahre gemäß § 147 Abs. 1 AO). Nach Ablauf dieser Fristen werden die Daten gelöscht.

10. Zahlungsabwicklung — Stripe

Zur Abwicklung von Zahlungen nutzen wir den Dienst Stripe. Anbieter ist die Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irland.

Stripe verarbeitet in unserem Auftrag folgende personenbezogene Daten:

• Name und Kontaktdaten des Käufers (Name, Telefonnummer)
• Zahlungsdaten (Kartennummer, Ablaufdatum, CVC — werden ausschließlich von Stripe verarbeitet und gespeichert)
• Zahlungsbetrag und Transaktionsdetails
• Technische Identifikatoren (Telegram-User-ID in Metadaten)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Zwischen uns und Stripe besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) gemäß Art. 28 DSGVO. Stripe ist zertifiziert unter dem EU-US Data Privacy Framework und verwendet Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten. Weitere Informationen: stripe.com/de/privacy

11. Nutzung der Telegram-Plattform

Wir nutzen die Telegram-Plattform für die Bereitstellung unseres Dienstes (Bot und WebApp). Bei der Nutzung von Telegram werden Daten durch Telegram Messenger Inc. (mit Sitz in den Britischen Jungferninseln und Büros in Dubai) verarbeitet. Wir haben keinen Einfluss auf die Datenverarbeitung durch Telegram selbst und verweisen auf die Datenschutzerklärung von Telegram.

Im Rahmen unseres Telegram-Bots verarbeiten wir:

• Telegram-Benutzer-ID und öffentlich sichtbare Profilinformationen (Vorname, Nachname, Benutzername, Profilbild)
• Nachrichten, die Sie direkt an unseren Bot senden
• Interaktionen mit der WebApp (Katalogansicht, Bestellungen, Zahlungen)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Hinweis: Für Händler erfolgt die Verwaltung des Shops unter anderem über einen Telegram-Bot. Endkunden können alternativ über den Web-Shop (shop.tgramm.app) bestellen, ohne ein Telegram-Konto zu benötigen. In diesem Fall erhalten sie Benachrichtigungen per E-Mail.

12. Einsatz von Cookies und Einwilligungsverwaltung

Wir setzen Cookies und vergleichbare Technologien (Local Storage) ein, um unsere Website bereitzustellen und Ihre Präferenzen zu speichern.

12.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website zwingend erforderlich und können nicht deaktiviert werden.

• tgramm_cookie_consent — Speichert Ihre Cookie-Einwilligung (Local Storage). Dauer: Unbegrenzt bis zum manuellen Löschen.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) bzw. § 25 Abs. 2 Nr. 2 TDDDG (technische Erforderlichkeit).

12.2 Analyse- und Marketing-Cookies

Die folgenden Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt, die Sie über unseren Cookie-Banner erteilen können:

Google Analytics 4

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wir nutzen Google Analytics 4 zur Analyse der Websitenutzung. Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Die IP-Adresse wird anonymisiert (anonymize_ip: true). Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Google ist zertifiziert unter dem EU-US Data Privacy Framework. Weitere Informationen: Google Datenschutzerklärung. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Cookie-Einstellungen löschen (Local Storage leeren) oder ein Browser-Add-On zur Deaktivierung von Google Analytics verwenden: Browser-Add-On.

Google Ads Conversion-Tracking

Anbieter: Google Ireland Limited. Wir nutzen Google Ads, um die Wirksamkeit unserer Werbemaßnahmen zu messen. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird ein Cookie gesetzt, mit dem Konversionen erfasst werden können. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG).

Meta Pixel (Facebook)

Anbieter: Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland. Wir nutzen das Meta Pixel zur Messung der Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram. Bei aktiviertem Pixel wird ein Cookie gesetzt, das Seitenaufrufe erfasst und an Meta übermittelt. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Meta ist zertifiziert unter dem EU-US Data Privacy Framework. Weitere Informationen: Meta Datenschutzerklärung.

Sie können Ihre Einwilligung zu allen Analyse- und Marketing-Cookies jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Local-Storage-Eintrag tgramm_cookie_consent in Ihrem Browser löschen. Beim nächsten Seitenaufruf wird der Cookie-Banner erneut angezeigt.

13. Google Fonts

Unsere Website nutzt Schriftarten von Google Fonts, einem Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Die Schriftarten (Playfair Display, DM Sans, Space Mono) werden beim Seitenaufruf direkt von Servern von Google geladen. Dabei wird Ihre IP-Adresse an Google übermittelt.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse liegt in der optisch ansprechenden Darstellung unserer Website. Google ist zertifiziert unter dem EU-US Data Privacy Framework. Weitere Informationen: Google Datenschutzerklärung, Google Fonts FAQ.

Hinweis: Sie können das Laden von Google Fonts durch entsprechende Browser-Einstellungen oder -Erweiterungen unterbinden.

14. Newsletter und E-Mail-Marketing

Wir bieten auf unserer Website die Möglichkeit, einen Newsletter zu abonnieren. Im Rahmen der Newsletter-Anmeldung verarbeiten wir folgende Daten:

• E-Mail-Adresse (Pflichtfeld)
• Sprachpräferenz (automatisch erkannt anhand der Seitensprache)
• Quelle der Anmeldung (z.B. Footer, Blog)
• UTM-Parameter (sofern vorhanden, zur Zuordnung des Marketing-Kanals)
• Zeitpunkt der Anmeldung

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Abmeldelink in jeder E-Mail nutzen oder uns eine E-Mail an datenschutz@tgramm.app senden.

Speicherdauer: Ihre E-Mail-Adresse wird gespeichert, bis Sie den Newsletter abbestellen. Nach Abmeldung wird Ihre Adresse unverzüglich aus dem Verteiler entfernt.

15. Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden, und auf Auskunft über diese Daten sowie auf weitere Informationen und eine Kopie der Daten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Vervollständigung oder Berichtigung unrichtiger Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die unverzügliche Löschung betreffender Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z.B. wenn Sie die Richtigkeit der Daten bestreiten.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.
• Recht auf Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung gegen die DSGVO verstößt. Sie können sich hierfür insbesondere an die Aufsichtsbehörde Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes wenden.

Die für uns zuständige Aufsichtsbehörde ist:

16. Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubte Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt (Sperrung).

Aufbewahrungsfristen:

• Handelsrechtliche Aufbewahrung: 6 Jahre (§ 257 Abs. 1 HGB) — Handelsbriefe, Inventare etc.
• Steuerrechtliche Aufbewahrung: 10 Jahre (§ 147 Abs. 1 AO) — Buchungsbelege, Rechnungen, Jahresabschlüsse
• Account-Daten nach Kündigung: 30 Tage (Übergangsfrist), dann Löschung sofern keine gesetzlichen Pflichten entgegenstehen
• Server-Logdateien: 30 Tage

17. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Wesentliche Änderungen werden wir über unsere Website oder per E-Mail mitteilen.