CBD-Supermarkt

Datenschutzerklärung

Stand: 14. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sergej Koval
Heinrich-Fehrer-Straße 42
97318 Kitzingen
Telefon: +49 177 722 1853
E-Mail: info@cbd-supermarkt.de

Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Rechtsgrundlage der Verarbeitung ist je nach Zweck Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen), lit. c DSGVO (rechtliche Verpflichtung) oder lit. f DSGVO (berechtigtes Interesse). Die jeweils einschlägige Rechtsgrundlage benennen wir bei den einzelnen Verarbeitungen.

3. Hosting und Bereitstellung der Website

Unsere Website wird bei der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Vercel verarbeitet in unserem Auftrag die Daten, die beim Aufruf der Website anfallen (insbesondere Server-Logfiles, siehe Ziffer 4). Mit Vercel haben wir einen Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) geschlossen. Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln bzw. einer Zertifizierung nach dem EU-U.S. Data Privacy Framework.

Die Datenbank, Nutzerkonten (Authentifizierung) sowie hochgeladene Inhalte werden über die Plattform Supabase betrieben. Die Daten werden in einem Rechenzentrum innerhalb der Europäischen Union (Region Frankfurt am Main, Deutschland) gespeichert. Anbieter ist die Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992. Auch mit Supabase besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Rechtsgrundlage ist unser berechtigtes Interesse an einer sicheren und effizienten Bereitstellung der Website (Art. 6 Abs. 1 lit. f DSGVO).

4. Server-Logfiles

Bei jedem Aufruf unserer Website werden durch den Browser automatisiert Informationen übermittelt und vom Hosting-Anbieter in sogenannten Server-Logfiles temporär gespeichert. Erfasst werden insbesondere:

  • die (gekürzte bzw. anonymisierte) IP-Adresse des anfragenden Geräts,
  • Datum und Uhrzeit des Zugriffs,
  • die konkret aufgerufene Seite bzw. Datei,
  • Referrer-URL (zuvor besuchte Seite),
  • verwendeter Browsertyp und Betriebssystem,
  • Statuscode und übertragene Datenmenge.

Diese Daten sind technisch erforderlich, um die Website auszuliefern, die Stabilität und Sicherheit zu gewährleisten und Angriffe abzuwehren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Eine Zusammenführung dieser Daten mit anderen Datenquellen oder eine Identifizierung einzelner Personen erfolgt nicht. Die Logfiles werden für die Dauer ihrer technischen Erforderlichkeit, regelmäßig für einen kurzen Zeitraum, gespeichert und anschließend gelöscht.

5. Cookies und lokale Speicherung

Wir setzen keine Werbe-Cookies und keine Tracking-Dienste Dritter zu Werbezwecken ein. Für den Betrieb der Seite verwenden wir technisch notwendige lokale Speicherung im Browser (localStorage). Konkret speichern wir:

  • Altersbestätigung: Ihre Bestätigung, dass Sie mindestens 18 Jahre alt sind, damit die Abfrage nicht bei jedem Aufruf erneut erscheint.
  • Cookie-/Einwilligungswahl: Ihre Entscheidung im Cookie-Banner („Nur notwendige" bzw. „Alle akzeptieren"), damit wir Ihre Auswahl respektieren können.
  • Anonyme Sitzungskennung (nur bei erteilter Einwilligung): eine zufällig erzeugte, nicht personenbezogene Kennung für die eigene Reichweitenmessung (siehe Ziffer 6).

Die Altersbestätigung und die Speicherung Ihrer Cookie-Wahl sind zur Bereitstellung der von Ihnen ausdrücklich gewünschten Funktion unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO). Für die anonyme Sitzungskennung holen wir Ihre Einwilligung ein (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über „Cookie-Einstellungen" im Seitenfuß widerrufen oder ändern. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

6. Reichweitenmessung (eigene Statistik)

Nur mit Ihrer Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO) führen wir eine eigene, datensparsame Reichweitenmessung durch. Dabei erfassen wir Aufrufe und Klicks auf Anbieter-Einträge (z. B. Aufruf eines Profils, Klick auf Website, Shop, Telefonnummer oder Karte), um Anbietern aggregierte, anonyme Statistiken über die Sichtbarkeit ihrer Einträge bereitzustellen.

Zu jedem Ereignis speichern wir lediglich: den Ereignistyp, die ID des betroffenen Anbieter-Eintrags, die anonyme Sitzungskennung sowie ggf. die (gekürzte) Referrer-URL. Es werden keine Nutzerprofile gebildet, keine Daten an Dritte verkauft und keine geräteübergreifende Wiedererkennung vorgenommen. Diese eigene Reichweitenmessung erfolgt ausschließlich auf unseren eigenen Systemen. Ohne Ihre Einwilligung findet keine solche Erfassung statt.

6a. Google Analytics 4 (nur mit Einwilligung)

Zusätzlich nutzen wir – ausschließlich nach Ihrer ausdrücklichen Einwilligung über den Cookie-Banner („Alle akzeptieren") – Google Analytics 4, einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Rechtsgrundlage ist § 25 Abs. 1 TDDDG sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Google Analytics verwendet Cookies bzw. vergleichbare Kennungen, um die Nutzung der Website auszuwerten (z. B. aufgerufene Seiten, ungefähre Herkunft, Gerätetyp). Wir haben die IP-Anonymisierung aktiviert (anonymize_ip), sodass Ihre IP-Adresse von Google vor jeder weiteren Verarbeitung gekürzt wird. Der gtag wird erst nach Ihrer Einwilligung geladen; ohne Einwilligung findet keine Übermittlung an Google statt.

Dabei können Daten an Server von Google, auch in die USA, übermittelt werden. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln. Eine vollständige Sicherheit der Daten bei einer Übermittlung in Drittländer kann jedoch nicht garantiert werden. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über „Cookie-Einstellungen" im Seitenfuß widerrufen. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.

7. Registrierung und Nutzerkonto

Anbieter können ein Nutzerkonto anlegen, um Einträge zu verwalten, Werbeplätze zu buchen oder bestehende Einträge zu beanspruchen. Bei der Registrierung verarbeiten wir die von Ihnen angegebene E-Mail- Adresse und ein (verschlüsselt gespeichertes) Passwort sowie ggf. weitere von Ihnen freiwillig angegebene Profildaten.

Die Verarbeitung erfolgt zur Bereitstellung des Nutzerkontos und zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gelöscht, sobald das Konto gelöscht wird und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Anbietereinträge und Eintrags-Beanspruchung

Unser Verzeichnis enthält Einträge zu Anbietern. Diese können von uns recherchiert oder von den Anbietern selbst eingestellt bzw. beansprucht werden. Verarbeitet werden dabei die im Eintrag angegebenen Geschäftsdaten (z. B. Firmenname, Anschrift, Kontaktdaten, Beschreibung, Logo, Öffnungszeiten). Soweit es sich um Daten von Einzelunternehmern handelt, können diese personenbezogen sein.

Beim Beanspruchen eines Eintrags („Eintrag beanspruchen") verarbeiten wir die zur Identitätsprüfung und Zuordnung erforderlichen Angaben. Rechtsgrundlage ist die Vertragserfüllung bzw. die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an einem aktuellen, korrekten Verzeichnis (Art. 6 Abs. 1 lit. f DSGVO).

9. Bewertungen

Sofern Sie eine Bewertung zu einem Anbieter abgeben, verarbeiten wir die von Ihnen eingegebenen Inhalte (Bewertungstext, Sterne, ggf. Name bzw. Pseudonym). Veröffentlichte Bewertungen sind für andere Nutzer sichtbar. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie unser berechtigtes Interesse an einer aussagekräftigen Bewertungsfunktion (Art. 6 Abs. 1 lit. f DSGVO). Sie können die Löschung einer von Ihnen abgegebenen Bewertung jederzeit verlangen.

10. Kontaktaufnahme

Wenn Sie uns per E-Mail oder Telefon kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, ansonsten unser berechtigtes Interesse an der Beantwortung der Anfrage (Art. 6 Abs. 1 lit. f DSGVO). Die Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr erforderlich sind und keine Aufbewahrungspflichten bestehen.

11. Zahlungsabwicklung (Stripe)

Für die kostenpflichtige Buchung von Werbeplätzen und Abo-Paketen nutzen wir den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland). Bei einer Zahlung werden die zur Abwicklung erforderlichen Daten (z. B. Name, E-Mail-Adresse, Zahlungs- und Rechnungsdaten) direkt von Stripe verarbeitet. Vollständige Zahlungsdaten (z. B. Kreditkartennummern) werden ausschließlich von Stripe verarbeitet und uns nicht im Klartext zugänglich gemacht.

Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie die Erfüllung gesetzlicher (insbesondere steuer- und handelsrechtlicher) Pflichten (Art. 6 Abs. 1 lit. c DSGVO). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe unter stripe.com/de/privacy.

12. Kartendarstellung (Google Maps)

Auf Anbieter-Detailseiten binden wir Kartenausschnitte über Google Maps ein, um den Standort des jeweiligen Anbieters darzustellen. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Beim Laden der eingebetteten Karte wird Ihre IP-Adresse an Google übermittelt; die Verarbeitung kann auch in den USA erfolgen. Wir haben keinen Einfluss auf die weitere Verarbeitung durch Google.

Rechtsgrundlage ist unser berechtigtes Interesse an einer nutzerfreundlichen Standortdarstellung (Art. 6 Abs. 1 lit. f DSGVO). Nähere Informationen zur Datenverarbeitung durch Google finden Sie unter policies.google.com/privacy.

13. Empfänger und Auftragsverarbeiter

Eine Weitergabe Ihrer Daten an Dritte findet nur statt, soweit dies gesetzlich zulässig oder erforderlich ist. Im Rahmen der oben beschriebenen Zwecke setzen wir sorgfältig ausgewählte Dienstleister als Auftragsverarbeiter ein (insbesondere Vercel für das Hosting, Supabase für Datenbank, Authentifizierung und Speicherung sowie Stripe für die Zahlungsabwicklung). Mit diesen bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO. Eine Übermittlung in Drittländer erfolgt nur auf Grundlage geeigneter Garantien (insbesondere EU-Standardvertragsklauseln) oder eines Angemessenheitsbeschlusses.

14. Speicherdauer

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für die Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder wie es gesetzliche Aufbewahrungsfristen (z. B. handels- und steuerrechtliche Fristen von in der Regel sechs bis zehn Jahren) vorsehen. Nach Wegfall des Zwecks bzw. Ablauf der Fristen werden die Daten routinemäßig gelöscht oder anonymisiert.

15. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten zu:

  • Recht auf Auskunft (Art. 15 DSGVO),
  • Recht auf Berichtigung (Art. 16 DSGVO),
  • Recht auf Löschung (Art. 17 DSGVO),
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an die unter Ziffer 1 genannten Kontaktdaten.

16. Widerspruchsrecht

Soweit wir personenbezogene Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen diese Verarbeitung Widerspruch einzulegen. Wir verarbeiten die betroffenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

17. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

18. Datensicherheit

Wir verwenden im Rahmen des Website-Besuchs das verbreitete TLS-Verschlüsselungsverfahren (https) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die Ihr Browser unterstützt. Darüber hinaus treffen wir geeignete technische und organisatorische Maßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den unbefugten Zugriff Dritter zu schützen.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.