Datenschutzerklärung

bellybox UG (haftungsbeschränkt)
Heilwigstraße 32b, 81827 München, Deutschland
E-Mail: info@bellybox.de

Wir verarbeiten personenbezogene Daten nur, soweit dies gesetzlich zulässig ist, insbesondere zur Bereitstellung einer funktionsfähigen Website sowie zur Durchführung von Vertragsbeziehungen.

• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung), lit. f (berechtigtes Interesse), lit. a (Einwilligung, wo erforderlich).
• Besondere Kategorie – voraussichtlicher Geburtstermin (Gesundheitsdatum): Der voraussichtliche Geburtstermin offenbart eine Schwangerschaft und stellt ein Gesundheitsdatum im Sinne von Art. 9 Abs. 1 DSGVO (besondere Kategorie personenbezogener Daten) dar. Wir verarbeiten dieses Datum, um dir die jeweils phasengerechte Box zum richtigen Zeitpunkt zuzusenden und passende Inhalte im digitalen Begleiter bereitzustellen. Für ein Abonnement ist die Angabe des voraussichtlichen Geburtstermins oder eines vergleichbaren Zeitraums erforderlich, da unser Versandrhythmus darauf basiert. Einzelboxen können ohne Angabe des Geburtstermins bestellt werden. Die Verarbeitung erfolgt ausschließlich auf Basis deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO. Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – per E-Mail an info@bellybox.de. Nach dem Widerruf wird der Geburtstermin umgehend gelöscht und wir koordinieren den weiteren Versandrhythmus gemeinsam mit dir manuell.
• Speicherdauer: Nur solange zur Zweckerfüllung erforderlich oder gesetzliche Aufbewahrungspflichten bestehen; danach löschen oder anonymisieren wir die Daten.

Beim Aufrufen unserer Website werden durch den Browser automatisch Informationen an den Server übermittelt: (gekürzte) IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer-URL, Browsertyp/-version, ggf. Betriebssystem. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (technische Bereitstellung und Sicherheit der Website).

Bei Kontakt per E-Mail verarbeiten wir Name, E-Mail-Adresse und Nachrichteninhalt zur Bearbeitung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO.

Für Bestellungen und Abonnements verarbeiten wir E-Mail-Adresse, Vor- und Nachnamen, Passwort, optional Telefon sowie Rechnungs- und Versandadresse. Wir nutzen Supabase (Auth und Datenbank) als Auftragsverarbeiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Im Checkout legen wir zur Zahlungsabwicklung einen Stripe-Kunden an und speichern die Stripe-Kundennummer in deinem Profil. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

• Datenkategorien: Profildaten, Adress- und Versanddaten, Bestell- und Zahlungsdaten, ggf. Supportkommunikation sowie optional den voraussichtlichen Geburtstermin zur Anpassung der Lieferzyklen.
• Zwecke: Bestell- und Aboverwaltung, Versandabwicklung, Kundenservice, Rechnungsstellung, Betrugsprävention, Systemstabilität.
• Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), lit. f (berechtigtes Interesse). Für den voraussichtlichen Geburtstermin gilt zusätzlich: Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten; jederzeit widerrufbar, ohne Nachteile für das Abonnement).

Wir nutzen Stripe (Stripe Payments Europe, Ltd., Irland) als eigenständig Verantwortlichen für Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO. Datenschutz Stripe.

Wir nutzen Klaro als Consent-Management-Plattform. Deine Entscheidung wird im lokalen Speicher gespeichert (365 Tage). Cookie-Einstellungen sind jederzeit änderbar: Cookie-Einstellungen jetzt ändern.

Zusätzlich speichern wir das technische Consent-Cookie bb_marketing_consent (Wert: granted oder denied, 365 Tage).

Technisch notwendige Cookies (kein Opt-in)

• Session-Cookie (Login, Warenkorb) – Sitzungsdauer
• Stripe.js – Zahlungsabwicklung, Sitzungsdauer
• bellybox_aff – Affiliate-Zuordnung (30 Tage); wird nur gesetzt wenn ein Empfehlungslink aktiv aufgerufen wird. Weitere Details in Abschnitt 11.

Analyse-Cookies (nur mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO)

• Google Analytics 4 (Google Ireland Ltd., Dublin, Irland; Datentransfer USA via EU-Standardvertragsklauseln; AVV gemäß Art. 28 DSGVO abgeschlossen). IP-Adressen werden in GA4 standardmäßig anonymisiert und nicht vollständig gespeichert. Cookies: _ga (2 J.), _ga_* (2 J.), _gid (1 Tag). Datenschutz Google.

Marketing-Cookies (nur mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO)

• Meta Pixel (Meta Platforms Ireland Ltd., Dublin). Cookies: _fbp, _fbc (je 3 Monate). Zweck: Conversion-Tracking & Retargeting. Kein Noscript-Tag – lädt ausschließlich nach Einwilligung. Datenschutz Meta.
• TikTok Pixel (TikTok Technology Limited, Dublin). Cookies: _ttp, _tt_enable_cookie (je 13 Monate), tt_appInfo (Sitzung). Zweck: Conversion-Tracking & Retargeting. Lädt ausschließlich nach Einwilligung.

Zusätzlich zum Browser-Pixel nutzen wir die Meta Conversions API und die TikTok Events API für serverseitiges Tracking. Die APIs werden nur bei aktiver Marketing-Einwilligung ausgelöst. Übertragene Daten:

• E-Mail-Adresse (SHA-256 gehasht)
• Telefonnummer und externe Nutzer-ID (SHA-256 gehasht, sofern vorhanden)
• IP-Adresse (nur für das Ereignis, nicht dauerhaft gespeichert)
• User-Agent, Ereignistyp, Zeitstempel, URL, Content- und Warenkorbdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Für E-Mail-Kommunikation nutzen wir MailerLite (UAB MailerLite, Vilnius, Litauen; Auftragsverarbeitung gemäß AVV). Datenschutz MailerLite.

• Newsletter und Marketing-E-Mails: Nur mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wir verwenden das Double-Opt-In-Verfahren: Nach der Anmeldung erhältst du eine Bestätigungs-E-Mail; erst nach Bestätigung des Links wirst du in den Verteiler aufgenommen. Die Einwilligung kann jederzeit widerrufen werden – über den Abmeldelink in jeder E-Mail oder an info@bellybox.de.
• Transaktions-E-Mails (Bestellbestätigung, Versandbenachrichtigung, Rechnungen, Kontoänderungen): Diese E-Mails sind zur Vertragserfüllung erforderlich und werden unabhängig vom Newsletter-Status versendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Wir betreiben ein eigenes Affiliate-Programm für Partnerinnen (z. B. Influencerinnen, Hebammen). Dabei werden zwei Mechanismen genutzt:

• Empfehlungslink: Beim Aufruf eines personalisierten Links (bellybox.de/r/[code]) wird ein Cookie bellybox_aff (30 Tage, httpOnly) gesetzt, der die Affiliate-ID speichert. Zusätzlich wird ein gehashter IP-Fingerabdruck (nicht rückverfolgbar) sowie der Browsertyp in unserer Datenbank protokolliert, um Mehrfachklicks zu erkennen.
• Gutscheincode: Bei Eingabe eines Partnercodes im Checkout wird die Code-Nutzung der jeweiligen Partnerin zugeordnet und ebenfalls protokolliert.

Im Kaufabschluss wird die Zuordnung (Link, Code oder beides) zusammen mit dem Bestellwert, dem Rabattbetrag und der berechneten Provision gespeichert – ausschließlich für die Provisionsabrechnung mit der Partnerin. Käuferidentitäten werden nicht an Partnerinnen weitergegeben. Der Cookie bellybox_aff wird nach 30 Tagen automatisch gelöscht; die Konversionsdaten werden nach Abschluss der Provisionsabrechnung anonymisiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit der Partnerin) und lit. f DSGVO (berechtigtes Interesse an der korrekten Provisionszuordnung). Der Cookie bellybox_aff ist für die Funktion des Programms technisch erforderlich und wird ohne gesonderte Einwilligung gesetzt, sofern du einen Empfehlungslink aktiv aufrufst.

• Vercel Inc. (San Francisco, USA): Website-Hosting und serverseitige Funktionsausführung; EU-Regionen Stockholm, Paris und Frankfurt werden genutzt; Auftragsverarbeitung gemäß AVV.
• Supabase Inc. (San Francisco, USA): Auth & Datenbank; EU-Region (Frankfurt); Auftragsverarbeitung gemäß AVV.
• Amazon Web Services EMEA SARL (Luxemburg) / AWS Inc. (Seattle, USA): Bildspeicherung (S3); EU-Region Frankfurt; Auftragsverarbeitung gemäß AVV.
• Stripe: Zahlungsabwicklung (eigenständig verantwortlich, Irland/USA)
• MailerLite: E-Mail-Marketing (Auftragsverarbeitung, Litauen)
• Meta Platforms Ireland Ltd.: Pixel + CAPI (USA)
• TikTok Technology Ltd. / TikTok IT UK Ltd.: Pixel + Events API
• Google Ireland Ltd.: Analytics (USA)
• DHL Paket GmbH (Sträßchensweg 10, 53113 Bonn): Versand und Zustellung (Adress- und Versanddaten); Auftragsverarbeitung gemäß AVV.

Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO):

• Vercel Inc. (USA) – Daten werden in EU-Regionen verarbeitet; US-Muttergesellschaft unterliegt dem CLOUD Act.
• Supabase Inc. (USA) – Daten werden in EU-Region (Frankfurt) verarbeitet; US-Muttergesellschaft unterliegt dem CLOUD Act.
• Amazon Web Services Inc. (USA) – Daten werden in EU-Region Frankfurt verarbeitet; US-Muttergesellschaft unterliegt dem CLOUD Act.
• Meta Platforms Ireland Ltd. → Meta Platforms Inc. (USA)
• TikTok Technology Ltd. / TikTok IT UK Ltd. → TikTok-Unternehmen (USA/Singapur) sowie ggf. ByteDance Ltd. (Peking, China); für China besteht kein EU-Angemessenheitsbeschluss; Übermittlung auf Basis von EU-Standardvertragsklauseln.
• Google Ireland Ltd. → Google LLC (USA)
• Stripe Payments Europe Ltd. → Stripe Inc. (USA)

Personenbezogene Daten werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist. Gesetzliche Aufbewahrungsfristen (handels- und steuerrechtlich bis zu 10 Jahre) bleiben unberührt.

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Geltendmachung: info@bellybox.de. Zuständige Aufsichtsbehörde: Bayerischer Landesbeauftragter für den Datenschutz.

Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Bei Verarbeitung auf Basis berechtigter Interessen steht dir das Widerspruchsrecht nach Art. 21 DSGVO zu. Widerruf/Widerspruch an info@bellybox.de.

Wir setzen technische und organisatorische Maßnahmen ein, um Daten gegen Verlust, Missbrauch oder unbefugten Zugriff zu schützen. Die Übertragung erfolgt per TLS/SSL.