Datenschutzerklärung
Stand: 30. Mai 2026
Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir beim Besuch unserer Website https://www.closetlab.de (nachfolgend „Website“) und bei Nutzung unseres Online-Shops (gemeinsam „Services“) verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Ihnen zustehen.
1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
CLOSETLAB – Inhaberin: Iya Ogurtsova
Fortnerstraße 24, 80933 München, Deutschland
E-Mail: shop@closetlab.de | Tel.: +49 157 573 43811
2. Datenschutzbeauftragter
Als Einzelunternehmen mit weniger als 20 Personen, die regelmäßig automatisiert personenbezogene Daten verarbeiten, und ohne umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder systematische Überwachung sind wir gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (Art. 37 DSGVO, § 38 BDSG). Für sämtliche Datenschutzanliegen wenden Sie sich bitte an die oben genannte Verantwortliche.
3. Geltungsbereich
-
die Website https://www.closetlab.de (alle Unterseiten)
-
unsere Social-Media-Auftritte, sofern dort auf diese Erklärung verwiesen wird
4. Begriffsbestimmungen
Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ oder „Empfänger“ entsprechen den Definitionen des Art. 4 DSGVO.
5. Kategorien personenbezogener Daten & Quellen
|
Kategorie |
Beispiele |
Quelle |
|
Identifikations- & Kontaktdaten |
Name, Postanschrift, E-Mail, Telefonnummer |
Von Ihnen bereitgestellt |
|
Vertrags- & Bestelldaten |
Produkte, Liefer-/Rechnungsadresse, Bestellverlauf |
Von Ihnen / System |
|
Zahlungsdaten |
Zahlungsart, Transaktions-ID, Kartentoken |
Zahlungsdienstleister |
|
Nutzungsdaten |
IP-Adresse, Gerät, Browser, Klickpfade |
Automatisch (Cookies/Tracking) |
|
Kommunikationsdaten |
Support-E-Mails, Chat-Nachrichten |
Von Ihnen |
|
Marketing-Segmentdaten |
Interessen-/Verhaltenscluster („Lookalike Audiences“) |
Drittanbieter (Google, Pinterest, Reddit) |
6. Zwecke, Rechtsgrundlagen, Interessenabwägung & Aufbewahrungsfristen
|
Zweck |
Rechtsgrundlage |
Berechtigtes Interesse (Art. 6 Abs. 1 f DSGVO) |
Interessenabwägung |
Aufbewahrungsfrist |
|
Shopbetrieb, Bestellung, Lieferung |
Art. 6 Abs. 1 b DSGVO |
– |
Direkter Bezug zur Vertragserfüllung |
Vertragsdauer; anschl. 6 / 10 Jahre (HGB/AO) |
|
Zahlungsabwicklung |
Art. 6 Abs. 1 b DSGVO |
– |
Erforderlich zur Zahlungsabwicklung |
10 Jahre (AO) |
|
Kundensupport & Prozessoptimierung |
Art. 6 Abs. 1 f DSGVO |
Effiziente Bearbeitung von Anfragen, Serviceverbesserung |
Verarbeitung beschränkt auf Anfrageinhalte; keine Profilbildung; geringe Eingriffstiefe |
Löschung 24 Monate nach Abschluss der Anfrage |
|
Verwaltung inaktiver Kundenkonten |
Art. 6 Abs. 1 f DSGVO |
Datenminimierung, Missbrauchsprävention |
Nutzung nur interner Aktivitätsdaten; Löschung nach 24 Monaten Inaktivität |
Löschung / Anonymisierung nach 24 Monaten |
|
IT-Sicherheit & Betrugsprävention |
Art. 6 Abs. 1 f DSGVO |
Schutz unserer Systeme & Nutzer |
Analyse lediglich technischer Log-Daten; Pseudonymisierung; erheblicher Sicherheitsgewinn |
24 Monate; länger bei Vorfällen |
|
Web-Analyse (GA4) |
§ 25 Abs. 1 TDDDG; Art. 6 Abs. 1 a DSGVO |
– |
Nur mit vorheriger Einwilligung |
14 Monate |
|
Marketing / Remarketing (Google Ads, Pinterest, Reddit) |
§ 25 Abs. 1 TDDDG; Art. 6 Abs. 1 a DSGVO |
– |
Nur mit vorheriger Einwilligung |
Bis 24 Monate bzw. Widerruf |
|
Newsletter-Versand |
Art. 6 Abs. 1 a DSGVO |
– |
Nur mit Double-Opt-In |
Bis Widerruf; Nachweis 3 Jahre |
|
Rechtsdurchsetzung & -verteidigung |
Art. 6 Abs. 1 c und f DSGVO |
Abwehr / Geltendmachung von Ansprüchen |
Verarbeitung nur anlassbezogen; ohne Daten kein Rechtsschutz |
Bis Abschluss + Verjährungsfristen |
7. Empfänger & Auftragsverarbeiter
Wir übermitteln personenbezogene Daten ausschließlich an folgende Kategorien von Empfängern, soweit dies für die oben genannten Zwecke erforderlich ist:
|
Kategorie |
Empfänger (Beispiele) |
Sitz / Drittland |
Garantie bei Drittlandtransfer |
|
Hosting & Shop-Plattform |
Shopify International Ltd. |
Irland / Kanada / USA |
Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Zahlungsdienstleister |
Shopify Payments (Stripe EU), Klarna, PayPal, Visa, Mastercard |
EU / EWR / USA |
Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Versandlogistik |
DHL Paket GmbH |
Deutschland |
— |
|
Web-Analyse |
Google LLC (GA4) |
USA |
Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Marketing / Remarketing |
Google LLC (Google Ads), Pinterest Europe Ltd., Reddit Inc. |
Irland / USA |
Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
IT-Wartung & Support |
Zertifizierte Shopify-Partner |
EU / EWR |
— |
Unsere Prüfung hat ergeben, dass sämtliche genannten Unternehmen als Auftragsverarbeiter oder eigenständige Verantwortliche auf Basis unserer Weisungen tätig werden. Gemeinsame Verantwortlichkeiten gem. Art. 26 DSGVO bestehen derzeit nicht.
8. Internationale Datenübermittlungen
Übermittlungen in Drittländer erfolgen nur, wenn
• ein Angemessenheitsbeschluss der EU-Kommission vorliegt (z. B. Kanada), oder
• mit den Empfängern EU-Standardvertragsklauseln (SCC) einschließlich ergänzender Schutzmaßnahmen vereinbart wurden.
9. Cookies, ähnliche Technologien & Einwilligungsmanagement
Wir verwenden Cookies und vergleichbare Technologien.
Beim ersten Besuch unserer Website erscheint ein Einwilligungsbanner (Shopify
Consent Manager).
Dort können Sie:
- Technisch notwendige Cookies akzeptieren (Warenkorb, Checkout,
Zahlungsabwicklung, Sicherheit) – diese sind nicht deaktivierbar
- Analyse-Cookies (Google Analytics 4) separat aktivieren oder ablehnen
- Marketing-Cookies (Google Ads, Pinterest, Reddit) separat aktivieren
oder ablehnen
- Ihre Auswahl jederzeit über „Cookie-Einstellungen" im Seitenfuß
anpassen oder widerrufen
Folgende Drittanbieter werden dabei eingesetzt:
|
Anbieter |
Zweck |
Sitz |
Rechtsgrundlage |
|
Google LLC (GA4) |
Web-Analyse |
USA |
Einwilligung, Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Google LLC (Google Ads) |
Conversion-Tracking |
USA |
Einwilligung, Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Pinterest Europe Ltd. |
Conversion-Tracking |
Irland |
Einwilligung, Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Reddit Inc. |
Conversion-Tracking |
USA |
Einwilligung, Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
|
Shopify International Ltd. |
Shop-Betrieb, Analyse |
Irland |
Einwilligung / berechtigtes Interesse, Angemessenheitsbeschluss (EU-US Data Protection Framework - DPF); hilfsweise EU-SCC |
Die Einwilligung wird mit Zeitstempel protokolliert und gemäß Art. 7 Abs. 1 DSGVO drei Jahre aufbewahrt.
10. Zahlungsdienstleister
Zur Zahlungsabwicklung übermitteln wir die notwendigen Daten (Name, Rechnungsbetrag, Zahlungsinformationen) an den von Ihnen gewählten Zahlungsdienst. Es gelten ergänzend deren eigene Datenschutzhinweise:
• Stripe / Shopify Payments
• Klarna
• PayPal
11. Versanddienstleister
Zur Zustellung von Bestellungen übermitteln wir Ihren Namen und die Lieferadresse an die DHL Paket GmbH, Charles-de-Gaulle-Str. 20, 53113 Bonn, Deutschland (Art. 6 Abs. 1 b DSGVO).
Ihre E-Mail-Adresse und/oder Telefonnummer geben wir zum Zweck der Paketankündigung und Sendungsverfolgung nur dann an DHL weiter, wenn Sie hierzu im Bestellprozess Ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 a DSGVO). Diese Einwilligung kann jederzeit widerrufen werden. Ohne diese Einwilligung ist eine detaillierte Sendungsverfolgung über DHL durch den Empfänger möglicherweise nicht möglich.
12. Drittquellen & Profilbildung
Mit Ihrer Einwilligung übermitteln wir pseudonymisierte Daten (gehashte E-Mail-Adresse) an Google, Pinterest und Reddit, um sogenannte „Lookalike Audiences“ und Remarketing-Zielgruppen zu erstellen. Eine direkte Identifizierung einzelner Personen ist hierbei nicht möglich. Die Daten werden spätestens nach 24 Monaten oder unmittelbar nach Widerruf Ihrer Einwilligung gelöscht.
Hinweis zur smarten Steuerung: Für den Betrieb des Bluetooth-Klimasensors oder der Smart-Steckdose wird die App eines Drittanbieters benötigt. CLOSETLAB hat keinen Zugriff auf die Daten, die in dieser App verarbeitet werden. Es gelten die Datenschutzbestimmungen des jeweiligen App-Anbieters.
13. Keine automatisierte Entscheidungsfindung
Wir führen keine ausschließlich automatisierten Entscheidungen einschließlich Profiling im Sinne von Art. 22 DSGVO durch.
14. Datensicherheit
-
TLS 1.3-Verschlüsselung aller Datenübertragungen
-
Zwei-Faktor-Authentifizierung für Admin-Zugänge
-
Rollen- & Berechtigungskonzepte (Least-Privilege)
-
Verschlüsselte Back-ups in EU-Rechenzentren
-
Regelmäßige Penetrationstests & DSGVO-Audits
15. Grundsatz der Datenminimierung
Wir verarbeiten nur personenbezogene Daten, die für den jeweiligen Zweck erforderlich sind, und löschen bzw. anonymisieren sie, sobald ihre Speicherung nicht mehr notwendig ist.
16. Pflicht zur Bereitstellung von Daten
Für Bestellungen benötigen wir bestimmte Angaben (z. B. Lieferadresse, Zahlungsdaten). Ohne diese Angaben ist ein Vertragsabschluss nicht möglich. Ein rein informativer Website-Besuch ist – abgesehen von technisch notwendigen Server-Logs – ohne Angabe personenbezogener Daten möglich.
17. Ihre Rechte
Sie haben das Recht auf:
• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 f DSGVO
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
Recht auf Datenübertragbarkeit
Auf Anfrage stellen wir Ihnen Ihre personenbezogenen Vertrags-, Bestell- und Kontodaten innerhalb von 30 Tagen in einem strukturierten, gängigen und maschinenlesbaren Format (CSV oder JSON) bereit. Die Bereitstellung erfolgt über einen gesicherten Download-Link oder eine passwortgeschützte ZIP-Datei.
18. Beschwerde- & Klagerecht
Sie können sich jederzeit bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig für CLOSETLAB ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, Deutschland, Tel. +49 981 180093-0, www.lda.bayern.de. Ihnen steht zudem der gerichtliche Rechtsbehelf nach Art. 79 DSGVO zu.
19. Ergebnis der DSFA-Prüfung
Wir haben die mit Google Analytics 4, Google Ads, Pinterest Tag und Reddit Pixel verbundenen Verarbeitungen gem. Art. 35 DSGVO einer Vorab-Risikoprüfung unterzogen. Da ausschließlich pseudonyme IDs verarbeitet, Einwilligungen zwingend eingeholt, Speicherdauern begrenzt und Standardvertragsklauseln vereinbart werden, liegt nach unserer Bewertung kein voraussichtlich hohes Risiko für die Betroffenen vor. Eine Datenschutz-Folgenabschätzung ist daher derzeit nicht erforderlich. Wir überprüfen diese Einschätzung regelmäßig.
20. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern Änderungen unseres Online-Angebots oder rechtliche Vorgaben dies erfordern. Die jeweils aktuelle Fassung ist jederzeit auf dieser Seite abrufbar.
© 2026 CLOSETLAB – Alle Rechte vorbehalten