Stand: 10. April 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Personalized Nutrition Systems GmbH
Rosental 4
53332 Bornheim
E-Mail: info@suppify.io
Bei Fragen zum Datenschutz oder zur Ausuebung Ihrer Betroffenenrechte erreichen Sie uns jederzeit unter der oben genannten E-Mail-Adresse.
Fuer den Betrieb unserer Plattform setzen wir die folgenden Infrastruktur-Dienstleister ein:
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und performanten Bereitstellung unserer Plattform). Mit allen Hosting-Anbietern bestehen Auftragsverarbeitungsvertraege gemaess Art. 28 DSGVO.
Die Authentifizierung auf unserer B2B-Plattform erfolgt ueber die Shopify Customer Account API. Shopify fungiert hierbei als Identitaetsprovider und uebermittelt nach erfolgreicher Anmeldung ein verifiziertes Authentifizierungstoken an unsere Plattform.
Im Rahmen des Onboarding-Prozesses erheben wir folgende Stammdaten:
Darueber hinaus erfassen wir im Rahmen der B2B-Selbstauskunft Consent-Daten, die IP-Adresse, den User-Agent sowie den Zeitstempel der Einwilligung, um die Nachweisbarkeit der abgegebenen Erklaerungen sicherzustellen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung). Die Verarbeitung ist erforderlich fuer die Begruendung und Durchfuehrung der Geschaeftsbeziehung.
Speicherdauer: Ihre Stammdaten werden fuer die Dauer der Geschaeftsbeziehung gespeichert. Nach Beendigung der Geschaeftsbeziehung bewahren wir die Daten fuer weitere 6 bzw. 10 Jahre auf, soweit dies zur Erfuellung handelsrechtlicher (Paragraph 257 HGB) und steuerrechtlicher (Paragraph 147 AO) Aufbewahrungspflichten erforderlich ist.
Im Rahmen der Nutzung unserer Plattform verarbeiten wir Daten, die im Zusammenhang mit der Produktkonfiguration stehen. Dazu gehoeren insbesondere:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung). Die Verarbeitung dieser Daten ist unmittelbar erforderlich fuer die Erbringung unserer Dienstleistung.
Ihre Rezepturdaten unterliegen dem Vertraulichkeitsschutz gemaess unseren Allgemeinen Geschaeftsbedingungen. Wir stellen durch technische und organisatorische Massnahmen sicher, dass Rezepturdaten streng kundenbezogen verarbeitet und nicht an Dritte weitergegeben werden.
Speicherdauer: Rezeptur- und Produktkonfigurationsdaten werden fuer die Dauer der Geschaeftsbeziehung gespeichert. Nach Beendigung der Geschaeftsbeziehung werden diese Daten geloescht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bei Bestellungen ueber unsere Plattform verarbeiten wir folgende Daten:
Die Zahlungsabwicklung erfolgt ueber Stripe Inc. Stripe agiert hierbei als eigenstaendiger datenschutzrechtlich Verantwortlicher und nicht als Auftragsverarbeiter von Suppify. Vollstaendige Kreditkartendaten werden zu keinem Zeitpunkt auf unseren Systemen gespeichert oder verarbeitet. Naehere Informationen zum Datenschutz bei Stripe finden Sie unter https://stripe.com/de/privacy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung). Die Verarbeitung ist zur Durchfuehrung und Abwicklung Ihrer Bestellungen erforderlich.
Speicherdauer: Bestelldaten und Rechnungen werden fuer 10 Jahre aufbewahrt, um den gesetzlichen Aufbewahrungspflichten nach Paragraph 147 AO und Paragraph 257 HGB zu entsprechen.
Im Rahmen des Fulfillment-Prozesses verarbeitet Suppify Endkundendaten (insbesondere Name und Lieferadresse) im Auftrag unserer B2B-Kunden. Suppify handelt hierbei als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die entsprechende Auftragsverarbeitungsvereinbarung (AVV) ist Bestandteil der Vertragsanlagen.
Die Endkundendaten werden ausschliesslich zum Zweck der Versandabwicklung verarbeitet und nicht fuer eigene Zwecke von Suppify verwendet.
Zur Durchfuehrung des Versands uebermitteln wir die Lieferinformationen an Versanddienstleister. Aktuell arbeiten wir mit DHL zusammen; zukuenftig koennen weitere Dienstleister wie GLS, UPS und DPD hinzukommen. Diese Versanddienstleister handeln als eigenstaendige datenschutzrechtlich Verantwortliche.
Speicherdauer: Endkundendaten aus dem Fulfillment-Prozess werden 90 Tage nach Versand geloescht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Unsere Plattform verwendet Cookies und aehnliche Technologien. Zur Verwaltung Ihrer Einwilligungen setzen wir Cookiebot als Consent Management Platform (CMP) ein.
Essenzielle Cookies sind fuer den Betrieb der Plattform technisch erforderlich. Dazu gehoeren insbesondere Session-Cookies und Authentifizierungstoken (Auth-Token). Diese Cookies werden ohne gesonderte Einwilligung gesetzt, da sie fuer die Bereitstellung des von Ihnen angeforderten Dienstes unbedingt erforderlich sind.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Bereitstellung der Plattform).
Alle weiteren Cookies (z.B. fuer Analyse- und Marketingzwecke) werden erst nach Ihrer ausdruecklichen Einwilligung ueber das Cookiebot-Cookie-Banner gesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie koennen Ihre Einwilligung jederzeit mit Wirkung fuer die Zukunft ueber die Cookiebot-Einstellungen widerrufen.
Die folgenden Dienste werden ausschliesslich nach Ihrer ausdruecklichen Einwilligung ueber unser Consent Management aktiviert:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie koennen Ihre Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen ueber das Cookiebot-Banner anpassen.
Im Rahmen der Vertragsabwicklung versenden wir transaktionale E-Mails, insbesondere Bestellbestaetigungen und Versandstatus-Benachrichtigungen. Der Versand dieser E-Mails erfolgt ueber Klaviyo.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung). Der Versand transaktionaler E-Mails ist erforderlich fuer die ordnungsgemaesse Abwicklung Ihrer Bestellungen.
Unsere Plattform bietet ein Kontaktformular sowie eine Feedback-Funktion. Wenn Sie diese nutzen, verarbeiten wir die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage.
Sofern Sie in den Empfang von Marketing-E-Mails eingewilligt haben, nutzen wir ebenfalls Klaviyo fuer den Versand von Newslettern und Werbekommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie koennen Ihre Einwilligung jederzeit mit Wirkung fuer die Zukunft widerrufen, beispielsweise ueber den Abmeldelink in jeder Marketing-E-Mail.
Im Rahmen unserer Geschaeftstaetigkeit arbeiten wir mit den folgenden Drittanbietern zusammen, an die personenbezogene Daten uebermittelt werden koennen:
| Empfaenger | Zweck | Rolle | Standort |
|---|---|---|---|
| Shopify | Authentifizierung, Bestellsync | Eigenst. Verantwortlicher | Kanada/USA (DPF) |
| Stripe | Zahlungsabwicklung | Eigenst. Verantwortlicher | USA (DPF) |
| Supabase | Datenbank-Hosting | Auftragsverarbeiter | EU |
| Vercel | App-Hosting | Auftragsverarbeiter | EU Edge |
| AWS | Serverless Functions | Auftragsverarbeiter | EU (Frankfurt) |
| DHL/GLS/UPS/DPD | Versand | Eigenst. Verantwortliche | DE/EU |
| Klaviyo | E-Mail-Marketing | Auftragsverarbeiter | USA (DPF) |
| Cookiebot (Cybot A/S) | Consent Management | Auftragsverarbeiter | DK (EU) |
| Google/Meta/TikTok | Marketing (nach Consent) | Eigenst. Verantwortliche | USA (DPF/SCCs) |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsvertraege gemaess Art. 28 DSGVO. Eigenstaendige Verantwortliche verarbeiten Ihre Daten auf Grundlage eigener Datenschutzerklaerungen.
Einige der von uns eingesetzten Drittanbieter haben ihren Sitz ausserhalb der Europaeischen Union, insbesondere in den USA. Fuer diese Datenuebermittlungen gelten folgende Schutzmechanismen:
Ihnen stehen im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten folgende Rechte zu:
Widerruf von Einwilligungen: Sofern Sie eine Einwilligung zur Datenverarbeitung erteilt haben, koennen Sie diese jederzeit mit Wirkung fuer die Zukunft widerrufen. Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberuehrt.
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde ueber die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die fuer uns zustaendige Aufsichtsbehoerde ist die Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Recht auf Loeschung des Kundenkontos: Sie haben jederzeit das Recht, die Loeschung Ihres Kundenkontos zu verlangen. Bitte beachten Sie, dass gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Fristen) der sofortigen vollstaendigen Loeschung einzelner Datenkategorien entgegenstehen koennen. In diesem Fall wird die Verarbeitung auf die Erfuellung der gesetzlichen Pflichten beschraenkt und das Konto fuer die weitere Nutzung gesperrt.
Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an: info@suppify.io
Die folgende Uebersicht zeigt die Speicherdauer fuer die verschiedenen Datenkategorien:
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logs | 30 Tage |
| Kundenstammdaten | Geschaeftsbeziehung + 10 Jahre |
| Bestelldaten/Rechnungen | 10 Jahre |
| Rezepturen | Geschaeftsbeziehung + Loeschung/Anonymisierung |
| Consent-Daten | 3 Jahre nach letzter Interaktion |
| Endkundendaten (Fulfillment) | 90 Tage nach Versand |
| Marketing-Cookies | Laut Cookiebot-Konfiguration |
Nach Ablauf der jeweiligen Speicherdauer werden die Daten routinemaessig geloescht oder anonymisiert, sofern sie nicht mehr fuer den urspruenglichen Verarbeitungszweck oder die Erfuellung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Diese Datenschutzerklaerung hat den Stand vom 10. April 2026. Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, um sie an geaenderte Rechtslagen, technische Neuerungen oder Aenderungen unserer Datenverarbeitungsprozesse anzugleichen. Die jeweils aktuelle Fassung ist stets auf unserer Plattform abrufbar.
Wir empfehlen Ihnen, diese Datenschutzerklaerung regelmaessig einzusehen, um ueber den aktuellen Stand der Datenverarbeitung informiert zu bleiben.
