Datenschutzerklärung

1. Kurzübersicht

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich einer identifizierbaren natürlichen Person zuordnen lassen – etwa Name, IP-Adresse, E-Mail-Adresse oder Nutzungsverhalten. Diese Datenschutzerklärung erläutert, welche Daten wir auf extragroup.de erheben, zu welchen Zwecken wir sie verwenden und welche Rechte Sie uns gegenüber haben.

Woher stammen Ihre Daten?

Manche Daten erfassen wir automatisch beim Seitenbesuch (z. B. technische Protokolldaten). Andere teilen Sie uns aktiv mit, etwa beim Ausfüllen eines Kontaktformulars oder einer Bestellung im Shop. Für Analyse- und Marketingdienste holen wir Ihre Einwilligung über ein Cookie-Banner ein, bevor diese Dienste aktiv werden.

Ihre Rechte auf einen Blick

Sie haben das Recht auf Auskunft über Ihre gespeicherten Daten, auf Berichtigung, Löschung und Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie ein Widerspruchsrecht. Erteilte Einwilligungen können Sie jederzeit widerrufen. Bei Fragen wenden Sie sich bitte an unseren Datenschutzbeauftragten oder direkt an uns.

2. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist:

extragroup GmbH
Pottkamp 19
48149 Münster
Telefon: +49 (0) 251 390 89-0
E-Mail: info@extragroup.de

3. Datenschutzbeauftragter

Wir haben einen externen Datenschutzbeauftragten bestellt:

lexICT GmbH
Kai Korte
Ostfeldstraße 49
30559 Hannover
Telefon: +49 (0511) 165 80 40 9
E-Mail: korte@lexict.de

4. Hosting

Diese Website wird auf Servern der Hetzner Online GmbH gehostet:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen

Der Einsatz von Hetzner erfolgt im Interesse eines sicheren, schnellen und zuverlässigen Betriebs unserer Website (Art. 6 Abs. 1 lit. f DSGVO). Mit Hetzner haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen. Hetzner verarbeitet Ihre Daten ausschließlich nach unseren Weisungen und im Einklang mit der DSGVO.

5. Server-Protokolldateien

Bei jedem Seitenaufruf protokolliert unser Webserver automatisch folgende technische Daten:

• IP-Adresse des anfragenden Endgeräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL sowie verwendete HTTP-Methode
• HTTP-Statuscode und übertragene Datenmenge
• Zuletzt besuchte Seite (Referer)
• Browser-Kennung (User-Agent: Browsertyp, Betriebssystem)

Diese Daten sind für den technisch fehlerfreien Betrieb der Website unerlässlich und helfen uns, Fehler zu diagnostizieren sowie Angriffe zu erkennen und abzuwehren. Die Protokolldateien werden nach spätestens 14 Tagen automatisch gelöscht. Eine Zusammenführung dieser Daten mit anderen Datenquellen oder eine Weitergabe an Dritte findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Fehleranalyse).

6. Verschlüsselte Übertragung (HTTPS)

Diese Website ist ausschließlich über eine verschlüsselte HTTPS-Verbindung erreichbar. Unverschlüsselte Anfragen werden automatisch auf HTTPS umgeleitet. Die TLS-Verschlüsselung schützt alle Daten, die zwischen Ihrem Browser und unserem Server ausgetauscht werden, vor dem Zugriff unbefugter Dritter.

7. Cookies und Einwilligungsverwaltung (CookieYes)

Unsere Website verwendet Cookies – das sind kleine Textdateien, die Ihr Browser lokal speichert. Technisch notwendige Cookies gewährleisten grundlegende Funktionen der Website (z. B. Warenkorbfunktion, Login-Status) und können ohne Einwilligung gesetzt werden. Alle anderen Cookies – für Analyse, Marketing oder Tracking – setzen wir nur nach Ihrer ausdrücklichen Einwilligung.

Die Einwilligungsverwaltung übernimmt das Consent-Management-Plugin CookieYes von WebToffee Solutions Ltd. (Ground Floor, No. 9 Victoria Buildings, Haddington Road, Dublin 4, Irland). Beim ersten Seitenaufruf erscheint ein Banner, in dem Sie Ihre Einwilligung für die einzelnen Cookie-Kategorien erteilen oder verweigern können. Ihre Entscheidung können Sie jederzeit über den Link „Cookie-Einstellungen“ am unteren Seitenrand ändern oder widerrufen.

CookieYes speichert Ihre Einwilligungsentscheidung in einem Cookie (cookieyes-consent) für bis zu einem Jahr. Dabei wird eine anonymisierte Geolocation-Abfrage über geoip.cookieyes.com durchgeführt, um länderspezifische Consent-Anforderungen zu erfüllen.

Rechtsgrundlage: § 25 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO für einwilligungspflichtige Cookies; Art. 6 Abs. 1 lit. f DSGVO für technisch notwendige Cookies.
Datenschutzerklärung CookieYes: https://www.cookieyes.com/privacy-policy/

8. Google Tag Manager

Wir nutzen den Google Tag Manager von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Der Tag Manager ist ein reines Container-Werkzeug, das selbst keine personenbezogenen Daten erhebt und keine Cookies setzt. Er steuert lediglich das Laden der nachfolgend beschriebenen Analyse- und Marketing-Tags – und zwar erst dann, wenn Sie die entsprechende Cookie-Kategorie im Consent-Banner aktiviert haben. Ohne Ihre Einwilligung werden diese Tags nicht ausgeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO für den technischen Betrieb des Containers.

9. Google Analytics

Mit Ihrer Einwilligung verwenden wir Google Analytics, einen Webanalysedienst von Google Ireland Limited. Google Analytics wertet das Nutzungsverhalten auf unserer Website statistisch aus und hilft uns zu verstehen, wie Besucher unsere Inhalte nutzen. Die erhobenen Daten (z. B. Seitenaufrufe, Verweildauer, Gerätekategorie) werden in aggregierter Form zur Verbesserung unseres Angebots verwendet. Wir haben die IP-Anonymisierung aktiviert, sodass IP-Adressen innerhalb der EU vor der Weitergabe an Google-Server gekürzt werden.

Daten können in die USA übertragen werden. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; die EU-Kommission hat den DPF im Juli 2023 als angemessenes Datenschutzniveau anerkannt (Art. 45 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (§ 25 TTDSG). Einwilligung jederzeit widerrufbar über die Cookie-Einstellungen.
Datenschutzerklärung Google: https://policies.google.com/privacy

10. Google Ads und Conversion-Tracking

Mit Ihrer Einwilligung schalten wir Werbeanzeigen über Google Ads (Google Ireland Limited). Google Ads ermöglicht das Ausspielen von Anzeigen in der Google-Suche und im Google Display-Netzwerk. Über Conversion-Tracking können wir nachvollziehen, welche Aktionen (z. B. Käufe, Kontaktanfragen) nach einem Klick auf unsere Anzeige erfolgt sind. Remarketing-Funktionen ermöglichen es, Besuchern unserer Website auf anderen Plattformen relevante Anzeigen anzuzeigen. Für diese Funktionen setzt Google Cookies (z. B. _gcl_au, IDE).

Datenübertragung in die USA; Google LLC ist DPF-zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (§ 25 TTDSG).

11. Facebook Pixel / Meta

Mit Ihrer Einwilligung setzen wir das Meta-Pixel von Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland) ein. Das Meta-Pixel übermittelt bestimmte Aktionen auf unserer Website (z. B. Seitenaufrufe, Produktansichten, Käufe) an Meta. Diese Informationen nutzen wir, um die Wirksamkeit unserer Werbekampagnen auf Facebook und Instagram zu messen und Zielgruppen für zukünftige Werbemaßnahmen zu definieren.

Daten können in die USA übertragen werden. Meta Platforms, Inc. ist DPF-zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (§ 25 TTDSG).
Datenschutzerklärung Meta: https://www.facebook.com/privacy/policy/

12. Sourcebuster (Traffic-Quellenanalyse)

Mit Ihrer Einwilligung verwenden wir Sourcebuster, eine JavaScript-Bibliothek, die über den Google Tag Manager eingebunden wird. Sourcebuster erfasst den Ursprung Ihres Website-Besuchs (z. B. Suchmaschine, Werbekampagne, direkter Aufruf) und speichert diese Information in Cookies (sbjs_current, sbjs_first, sbjs_session u. a.) im Ihrem Browser. Die Daten dienen ausschließlich unserer internen Analyse und werden nicht an externe Server übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (§ 25 TTDSG).

13. Brevo (Marketing-Automation)

Wir setzen auf dieser Website das Tracking-Script des Marketing-Automation-Dienstleisters Brevo (früher Sendinblue) ein. Betreiber ist Brevo SAS, 55 Rue d’Amsterdam, 75008 Paris, Frankreich. Das Script (sibautomation.com/sa.js) ermöglicht es, bekannte Kontakte (z. B. Newsletter-Abonnenten) bei ihrem Websitebesuch wiederzuerkennen und ihr Verhalten – etwa besuchte Seiten und Aktionen – für automatisierte E-Mail-Strecken auszuwerten. Die Verarbeitung findet innerhalb der EU statt; eine Übertragung in Drittstaaten ist nicht vorgesehen.

Datenschutzerklärung Brevo: https://www.brevo.com/de/legal/privacypolicy/
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (§ 25 TTDSG). Einwilligung jederzeit widerrufbar über die Cookie-Einstellungen.

14. Google Fonts

Wir verwenden Google Fonts (Google Ireland Limited) zur einheitlichen Darstellung von Schriftarten auf unserer Website. Beim Laden einer Seite ruft Ihr Browser die benötigte Schriftdatei (Roboto) von Google-Servern ab. Dabei wird Ihre IP-Adresse an Google übertragen. Server befinden sich hauptsächlich in den USA; Google LLC ist DPF-zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer konsistenten Darstellung unserer Website).

15. YouTube-Videos

Auf einigen Seiten haben wir Videos von YouTube (Google Ireland Limited) eingebettet. Wir nutzen den erweiterten Datenschutzmodus von YouTube, bei dem bis zum Starten des Videos keine Tracking-Cookies gesetzt werden. Sobald Sie ein Video abspielen, können YouTube und Google Daten über Ihr Nutzungsverhalten erfassen.

Datenübertragung in die USA; Google LLC ist DPF-zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (§ 25 TTDSG) für das Setzen von Cookies bei Wiedergabe; Art. 6 Abs. 1 lit. f DSGVO für die Einbindung selbst.
Datenschutzerklärung Google/YouTube: https://policies.google.com/privacy

16. WooCommerce / Online-Shop

Für den Betrieb unseres Online-Shops verwenden wir WooCommerce, ein Open-Source-Plugin für WordPress. Wenn Sie bei uns bestellen, verarbeiten wir die zur Vertragsabwicklung erforderlichen Daten: Name, Lieferanschrift, E-Mail-Adresse, Telefonnummer sowie Informationen zur Bestellung und Zahlung. Die Daten werden für die gesetzlichen Aufbewahrungsfristen (in der Regel 10 Jahre für steuerlich relevante Unterlagen) gespeichert und anschließend gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

17. Stripe (Zahlungsabwicklung)

Für die Abwicklung von Kreditkartenzahlungen und weiterer Zahlungsmethoden (z. B. Google Pay, Apple Pay) nutzen wir den Zahlungsdienstleister Stripe. Betreiber in Europa ist Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Ihre Zahlungsdaten werden direkt und ausschließlich an Stripe übertragen; wir selbst speichern keine vollständigen Zahlungsdaten. Stripe verarbeitet die Daten entsprechend den PCI-DSS-Standards.

Daten können in die USA übertragen werden; Stripe, Inc. ist DPF-zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Datenschutzerklärung Stripe: https://stripe.com/de/privacy

18. PayPal

Als zusätzliche Zahlungsoption bieten wir PayPal an. Betreiber ist PayPal (Europe) S.à r.l. et Cie, S.C.A. (22-24 Boulevard Royal, 2449 Luxemburg). Wenn Sie PayPal als Zahlungsart wählen, werden Sie für den Zahlungsvorgang auf die PayPal-Plattform weitergeleitet oder die Zahlung wird direkt über die PayPal-Integration verarbeitet. Welche Daten PayPal dabei erhebt und wie sie verarbeitet werden, entnehmen Sie der PayPal-Datenschutzerklärung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Datenschutzerklärung PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

19. Kontaktformulare und E-Mail-Kontakt

Wenn Sie uns über ein Formular auf dieser Website oder per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Angaben (Name, E-Mail-Adresse, Nachricht sowie etwaige weitere Felder) zur Bearbeitung Ihrer Anfrage. Eine Weitergabe dieser Daten an Dritte erfolgt nicht, sofern dies für die Bearbeitung nicht erforderlich ist. Die Daten werden gelöscht, sobald Ihre Anfrage abgeschlossen ist und keine steuerlichen oder rechtlichen Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO, wenn die Anfrage im Zusammenhang mit einem Vertrag steht.

20. Datenweitergabe in Drittstaaten

Einige der von uns eingesetzten Dienste (insbesondere Google, Meta, Stripe) verarbeiten Daten außerhalb der Europäischen Union, insbesondere in den USA. Für diese Übertragungen stützen wir uns – sofern die Anbieter entsprechend zertifiziert sind – auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF) vom Juli 2023 gemäß Art. 45 DSGVO. Google LLC, Meta Platforms, Inc. und Stripe, Inc. sind jeweils DPF-zertifiziert. Für nicht DPF-zertifizierte Empfänger in Drittstaaten stützen wir uns auf die von der EU-Kommission genehmigten Standarddatenschutzklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO.

21. Speicherdauer

Personenbezogene Daten werden nicht länger gespeichert als für den jeweiligen Verarbeitungszweck erforderlich. Es sei denn, gesetzliche Aufbewahrungspflichten schreiben eine längere Speicherung vor:

• Server-Protokolldateien: 14 Tage
• Kontaktanfragen: bis zum Abschluss der Bearbeitung
• Bestelldaten: 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht)
• Cookie-Einwilligung (CookieYes): 1 Jahr

Wenn Sie die Löschung Ihrer Daten beantragen oder eine Einwilligung widerrufen, werden Ihre Daten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

22. Ihre Rechte als betroffene Person

Auskunft (Art. 15 DSGVO)

Sie können jederzeit unentgeltlich Auskunft über die zu Ihrer Person gespeicherten Daten, deren Herkunft, Empfänger und Verarbeitungszweck verlangen.

Berichtigung (Art. 16 DSGVO)

Sind Daten über Sie unrichtig oder unvollständig, haben Sie das Recht auf unverzügliche Berichtigung.

Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern der Verarbeitungszweck weggefallen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter bestimmten Voraussetzungen (z. B. während der Prüfung eines Widerspruchs) können Sie verlangen, dass Ihre Daten nur eingeschränkt – also nur noch gespeichert, nicht aber aktiv verarbeitet – werden.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Daten, die Sie uns auf Basis einer Einwilligung oder zur Vertragserfüllung bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.

Widerspruch (Art. 21 DSGVO)

WENN DATEN AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO VERARBEITET WERDEN, KÖNNEN SIE JEDERZEIT WIDERSPRUCH EINLEGEN. BEI WIDERSPRUCH GEGEN DIREKTWERBUNG WERDEN WIR DIE BETREFFENDEN DATEN SOFORT NICHT MEHR FÜR DIESEN ZWECK VERWENDEN.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Einwilligungen zur Datenverarbeitung können Sie jederzeit mit Wirkung für die Zukunft widerrufen – beispielsweise über den Link „Cookie-Einstellungen“ am unteren Seitenrand. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Beschwerderecht (Art. 77 DSGVO)

Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für Unternehmen mit Sitz in Nordrhein-Westfalen ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, www.ldi.nrw.de.

Zur Ausübung Ihrer Rechte wenden Sie sich an unseren Datenschutzbeauftragten (Kontaktdaten s. Abschnitt 3) oder direkt an uns unter info@extragroup.de.