Datenschutzerklärung
Datenschutzerklärung für den QR-basierten Checkout
Stand:Juni 2026
Wir informieren Sie nachfolgend über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem QR-basierten Kaufprozess über unseren Shopify Checkout.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist:
MDNS Sportstudio GmbH Ingolstädter Str. 20/22 80807 München
Vertreten durch: Michael Deiga Scheck
E-Mail: deiga.mma.studio@gmail.com
2. Allgemeine Hinweise zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung, dem Bundesdatenschutzgesetz und weiteren einschlägigen Datenschutzvorschriften.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Wir verarbeiten personenbezogene Daten insbesondere, soweit dies erforderlich ist zur:
● Bereitstellung des QR-basierten Kaufprozesses,
● Durchführung von Bestellungen und Zahlungen,
● Versand von Bestell- und Kaufbestätigungen,
● Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten,
● Buchhaltung und steuerlicher Dokumentation,
● Bearbeitung von Kundenanfragen und Supportfällen,
● Sicherstellung des technischen Betriebs und der IT-Sicherheit.
Rechtsgrundlagen sind insbesondere:
● Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist,
● Art. 6 Abs. 1 lit. c DSGVO, soweit wir gesetzlich zur Verarbeitung verpflichtet sind,
● Art. 6 Abs. 1 lit. f DSGVO, soweit wir ein berechtigtes Interesse an der Verarbeitung haben.
3. QR-basierter Kaufprozess
Wenn Sie ein Produkt über unseren QR-basierten Checkout kaufen möchten, scannen Sie den am Verkaufsort bereitgestellten QR-Code. Nach dem Scan gelangen Sie auf eine Shopify-Checkout-Seite. Dort können Sie den Kauf abschließen und über die angebotenen Zahlungsarten bezahlen.
Nach erfolgreichem Kauf erhalten Sie eine Bestell- oder Kaufbestätigung per E-Mail. Die Entnahme des Produkts erfolgt anschließend direkt am Verkaufsort aus dem bereitgestellten Kühlschrank, Regal oder einer vergleichbaren Verkaufsfläche.
Im Rahmen dieses Kaufprozesses können insbesondere folgende Daten verarbeitet werden:
● technische Zugriffsdaten, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, Browser- und Geräteinformationen,
● Produkt- und Warenkorbdaten,
● Bestelldaten,
● E-Mail-Adresse,
● Zahlungsstatusdaten,
● Betrag, Zeitpunkt und Bestellnummer,
● ggf. Name, Rechnungsdaten oder weitere Angaben, soweit diese im Checkout angegeben oder für den Beleg erforderlich sind.
Zweck der Verarbeitung ist die Durchführung des Kaufvertrags, die Zahlungsabwicklung, der Versand der Bestellbestätigung, die technische Bereitstellung des Checkouts, die Dokumentation des Verkaufs sowie die Bearbeitung etwaiger Rückfragen oder Supportfälle.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit wir Daten zur Erfüllung gesetzlicher handels- und steuerrechtlicher Pflichten speichern, ist Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO.
4. Videoüberwachung am WELL KIOSK Verkaufsschrank
Zum Schutz des Verkaufsschranks und der darin befindlichen Waren sowie zur Prävention und Aufklärung konkreter Diebstahls-, Manipulations- oder Missbrauchsfälle setzen wir an einzelnen WELL KIOSK Verkaufsschränken eine Kamera ein.
Die Kamera ist im Innenbereich des Verkaufsschranks angebracht und so ausgerichtet, dass grundsätzlich nur Personen erfasst werden, die den Verkaufsschrank nach einem Kauf- oder Öffnungsvorgang aktiv öffnen. Personen, die lediglich am Verkaufsschrank vorbeigehen, sollen nicht erfasst werden.
Die Videoaufzeichnung erfolgt lokal auf einer in der Kamera eingesetzten SD-Karte. Eine dauerhafte Übertragung der Aufnahmen in eine Cloud findet nicht statt. Die Aufnahmen werden grundsätzlich nur für einen kurzen Zeitraum gespeichert und spätestens nach 7 Tagen automatisch überschrieben oder gelöscht, sofern kein konkreter Vorfall festgestellt wurde. Eine längere Speicherung erfolgt nur im Einzelfall, wenn dies zur Aufklärung eines konkreten Diebstahls-, Manipulations- oder Missbrauchsfalls, zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche oder zur Übergabe an zuständige Behörden erforderlich ist.
Verarbeitet werden können insbesondere Bildaufnahmen der Person, die den Verkaufsschrank öffnet, Zeitpunkt der Aufnahme sowie technische Metadaten der Aufzeichnung. Eine Tonaufzeichnung, Gesichtserkennung, biometrische Auswertung oder automatisierte Entscheidungsfindung findet nicht statt.
Zweck der Verarbeitung ist der Schutz des Verkaufsschranks, der darin befindlichen Waren und unserer berechtigten wirtschaftlichen Interessen sowie die Aufklärung konkreter Diebstahls-, Manipulations- oder Missbrauchsfälle.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verhinderung und Aufklärung von Diebstahl, Manipulation und missbräuchlicher Nutzung des Verkaufsschranks. Die Videoüberwachung ist räumlich auf den Innenbereich des Verkaufsschranks begrenzt und erfolgt nicht zur allgemeinen Überwachung öffentlicher oder frei zugänglicher Bereiche.
Zugriff auf die Aufnahmen erhalten nur besonders autorisierte Personen der THOLI GmbH, soweit dies zur Prüfung eines konkreten Vorfalls erforderlich ist. Eine Auswertung erfolgt nicht dauerhaft, sondern nur anlassbezogen. Eine Weitergabe an Dritte erfolgt nur, soweit dies zur Aufklärung oder Durchsetzung rechtlicher Ansprüche erforderlich ist, insbesondere an Polizei, Strafverfolgungsbehörden, Versicherungen oder Rechtsberater.
Betroffene Personen werden durch einen gut sichtbaren Hinweis am Verkaufsschrank über die Videoüberwachung informiert. Ergänzende Informationen ergeben sich aus dieser Datenschutzerklärung.
5. Shopify Checkout
Für den Checkout-Prozess nutzen wir Shopify.
Anbieter der von uns genutzten Shopify-Dienste ist, soweit Shopify für Händler im Europäischen Wirtschaftsraum tätig wird:
Shopify International Limited 2nd Floor, 1–2 Victoria Buildings Haddington Road Dublin 4, D04 XN32 Irland
Shopify stellt die technische Plattform für den Checkout, die Bestellverwaltung, den Versand transaktionsbezogener E-Mails und weitere für den Kaufprozess erforderliche Funktionen bereit.
Im Rahmen der Nutzung des Shopify Checkouts können insbesondere folgende Daten verarbeitet werden:
● E-Mail-Adresse,
● Name und Rechnungsdaten, soweit im Checkout angegeben oder erforderlich,
● Bestell- und Produktdaten,
● Zahlungsstatusdaten,
● technische Zugriffsdaten,
● Geräte- und Browserinformationen,
● Beleg- und Rechnungsdaten.
Zweck der Verarbeitung ist die technische Bereitstellung des Checkouts, die Durchführung von Bestellungen, die Zahlungsabwicklung, die Betrugsprävention, die technische Sicherheit, der Versand transaktionsbezogener E-Mails und die Verwaltung von Bestellungen.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für die Vertragsdurchführung, Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten und Art. 6 Abs. 1 lit. f DSGVO für Sicherheit, Betrugsprävention und technische Stabilität.
Shopify verarbeitet personenbezogene Daten je nach Dienstleistung teilweise als Auftragsverarbeiter und teilweise als eigenständig Verantwortlicher. Für bestimmte Shopify-Dienste können ergänzend die Datenschutzinformationen von Shopify gelten.
6. Zahlungsabwicklung über Shopify Payments und weitere Zahlungsarten
Die Zahlungsabwicklung erfolgt über den Shopify Checkout. Dort können je nach Verfügbarkeit verschiedene Zahlungsarten angeboten werden, insbesondere:
● Kreditkarte,
● PayPal,
● Apple Pay,
● weitere über Shopify Payments oder Shopify Checkout eingebundene Zahlungsarten.
Für Shopify Payments gelten ergänzend die Bedingungen und Datenschutzinformationen von Shopify und den jeweils beteiligten Zahlungsprozessoren. Zahlungsdienstleister können personenbezogene Daten auch als eigenständig Verantwortliche verarbeiten, insbesondere zur Erfüllung regulatorischer Pflichten, zur Betrugsprävention, zur Zahlungsabwicklung und zur Sicherheit.
Wir erhalten im Regelfall keine vollständigen Zahlungsdaten wie vollständige Kreditkartennummern oder vollständige Wallet-Zahlungsdaten. Wir erhalten
transaktionsbezogene Informationen, insbesondere Zahlungsstatus, Betrag, Zeitpunkt, Bestellnummer und gewählte Zahlungsart, soweit dies zur Bestellabwicklung, Buchhaltung und Dokumentation erforderlich ist.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
7. PayPal
Wenn Sie im Checkout PayPal wählen, werden zahlungsbezogene personenbezogene Daten an PayPal übermittelt oder von PayPal erhoben.
Anbieter für Deutschland ist in der Regel:
PayPal (Europe) S.à r.l. et Cie, S.C.A. 22–24 Boulevard Royal L-2449 Luxemburg
PayPal verarbeitet personenbezogene Daten zur Bereitstellung der Zahlungsdienste, zur Sicherheits- und Betrugsprävention sowie zur Erfüllung gesetzlicher Pflichten. Für die Verarbeitung durch PayPal gelten zusätzlich die Datenschutzinformationen von PayPal.
Rechtsgrundlage für die Weitergabe zahlungsrelevanter Daten an PayPal ist Art. 6 Abs. 1 lit. b DSGVO.
8. Bestell- und Transaktions-E-Mails
Nach Abschluss eines Kaufs erhalten Sie transaktionsbezogene E-Mails, insbesondere Bestellbestätigungen, Kaufbestätigungen, Zahlungsbestätigungen oder Informationen zur Bestellung.
Diese E-Mails werden über Shopify versendet.
Verarbeitet werden insbesondere:
● E-Mail-Adresse,
● Bestellnummer,
● Produktdaten,
● Kaufbetrag,
● Zahlungsstatus,
● Zeitpunkt des Kaufs,
● ggf. weitere für die Bestellbestätigung oder den Beleg erforderliche Informationen.
Zweck ist die Durchführung und Dokumentation des Kaufs sowie die Bereitstellung der Bestellinformationen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Eine Nutzung Ihrer E-Mail-Adresse für Werbung oder Newsletter erfolgt nur, wenn Sie hierfür gesondert eingewilligt haben.
9. Technische Betreuung durch THOLI GmbH
Für die technische Bereitstellung, Einrichtung, Wartung und Betreuung des QR-basierten Checkout-Prozesses setzen wir die THOLI GmbH als technischen Dienstleister ein.
THOLI GmbH Leopoldstraße 31 80802 München Deutschland
Die THOLI GmbH kann im Rahmen ihrer Tätigkeit administrativen Zugriff auf den Shopify Checkout und die dort verarbeiteten Daten erhalten, soweit dies für Einrichtung, Betrieb, Fehleranalyse, Wartung, Support oder technische Anpassungen erforderlich ist.
Dabei können insbesondere folgende Daten zugänglich sein:
● Bestelldaten,
● Produkt- und Belegdaten,
● E-Mail-Adresse,
● Zahlungsstatusdaten,
● technische Prozess- und Logdaten,
● ggf. Rechnungsdaten, soweit diese im Checkout angegeben oder für den Beleg erforderlich sind.
Die Verarbeitung durch die THOLI GmbH erfolgt ausschließlich auf unsere Weisung und auf Grundlage einer Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Rechtsgrundlage für den Einsatz der THOLI GmbH als technischem Dienstleister ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch sicheren, funktionsfähigen und effizienten Bereitstellung des QR-basierten Checkouts.
10. Empfänger und Kategorien von Empfängern
Zugriff auf personenbezogene Daten erhalten nur Stellen, die diese Daten zur Erfüllung der jeweiligen Zwecke benötigen.
Empfänger können insbesondere sein:
● interne autorisierte Personen unseres Unternehmens,
● Shopify als Checkout- und Plattformanbieter,
● Zahlungsdienstleister und Zahlungsprozessoren,
● PayPal, soweit PayPal als Zahlungsart gewählt wird,
● THOLI GmbH als technischer Dienstleister und Auftragsverarbeiter,
● unsere Buchhaltung,
● Behörden, soweit wir hierzu gesetzlich verpflichtet sind.
Soweit Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, schließen wir mit ihnen Vereinbarungen zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit erforderlich.
Soweit Zahlungsdienstleister oder Plattformanbieter personenbezogene Daten als eigenständig Verantwortliche verarbeiten, gelten ergänzend deren eigene Datenschutzinformationen.
11. Datenübermittlung in Drittländer
Eine Verarbeitung personenbezogener Daten kann auch außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgen, insbesondere wenn Dienstleister oder deren Unterauftragnehmer in Drittländern sitzen oder technische Infrastruktur in Drittländern nutzen.
Dies kann insbesondere bei Shopify, Shopify Payments, PayPal oder weiteren eingebundenen Zahlungs- oder Plattformdiensten relevant sein.
Drittlandübermittlungen erfolgen nur auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO, insbesondere Angemessenheitsbeschlüssen, EU-U.S. Data Privacy Framework, Standardvertragsklauseln oder sonstigen gesetzlich vorgesehenen Mechanismen.
Trotz solcher Garantien kann nicht vollständig ausgeschlossen werden, dass staatliche Stellen in Drittländern Zugriff auf personenbezogene Daten erhalten.
12. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
Bestell-, Kauf-, Beleg- und Transaktionsdaten Diese Daten speichern wir, soweit erforderlich, zur Vertragsdurchführung, Buchhaltung und Erfüllung gesetzlicher Aufbewahrungspflichten. Handels- und steuerrechtlich relevante Unterlagen werden regelmäßig bis zu 10 Jahre gespeichert.
E-Mail-Adresse für Bestellungen und digitale Belege Wenn Sie im Checkout Ihre E-Mail-Adresse angeben, verarbeiten wir diese zur Bestellabwicklung, zum Versand von Bestellinformationen, zur Kommunikation über die Bestellung und zur Bearbeitung von Supportfällen. Eine Nutzung zu Marketingzwecken erfolgt nur mit gesonderter Einwilligung.
Buchhaltungs- und DATEV-Daten Daten, die über pathway an DATEV, unsere Buchhaltung oder unseren Steuerberater übermittelt werden, speichern wir im Rahmen der gesetzlichen handels- und steuerrechtlichen Aufbewahrungspflichten regelmäßig bis zu 10 Jahre.
Technische Zugriffsdaten und Logdaten Technische Zugriffsdaten und Logdaten werden nur so lange gespeichert, wie dies für
Betrieb, Sicherheit, Fehleranalyse und Missbrauchsprävention erforderlich ist, sofern keine gesetzlichen Pflichten oder berechtigten Interessen eine längere Speicherung erfordern.
Nach Ablauf der jeweiligen Fristen werden personenbezogene Daten gelöscht oder anonymisiert.
13. Betroffenenrechte
Sie haben nach Maßgabe der gesetzlichen Vorschriften folgende Rechte:
● Recht auf Auskunft gemäß Art. 15 DSGVO,
● Recht auf Berichtigung gemäß Art. 16 DSGVO,
● Recht auf Löschung gemäß Art. 17 DSGVO,
● Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO,
● Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO,
● Recht auf Widerspruch gemäß Art. 21 DSGVO,
● Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO.
Wenn Sie eine Einwilligung widerrufen, bleibt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt.
14. Widerspruchsrecht
Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, können Sie der Verarbeitung aus Gründen widersprechen, die sich aus Ihrer besonderen Situation ergeben.
Wenn wir personenbezogene Daten für Direktwerbung verarbeiten, können Sie dieser Verarbeitung jederzeit widersprechen.
15. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
Zuständig ist die Datenschutzaufsichtsbehörde Ihres Wohnsitzes oder die für unseren Sitz zuständige Datenschutzaufsichtsbehörde.
16. Automatisierte Entscheidungsfindung
Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungen mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO.
Sicherheits-, Betrugspräventions-, Sanktions-, Bonitäts- oder Risikoprüfungen können durch Zahlungsdienstleister, Plattformanbieter oder andere eingebundene Dienste in eigener
Verantwortung erfolgen. Für diese Verarbeitungen gelten ergänzend die Datenschutzinformationen der jeweiligen Anbieter.
17. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Datenverarbeitungen, technischen Systeme, Dienstleister oder rechtlichen Anforderungen ändern.
Es gilt die jeweils veröffentlichte aktuelle Fassung.