Stand: 10. April 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Personalized Nutrition Systems GmbH
Rosental 4
53332 Bornheim
E-Mail: info@suppify.io
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte erreichen Sie uns jederzeit unter der oben genannten E-Mail-Adresse.
Für den Betrieb unserer Plattform setzen wir die folgenden Infrastruktur-Dienstleister ein:
Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und performanten Bereitstellung unserer Plattform). Mit allen Hosting-Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.
Die Authentifizierung auf unserer B2B-Plattform erfolgt über die Shopify Customer Account API. Shopify fungiert hierbei als Identitätsprovider und übermittelt nach erfolgreicher Anmeldung ein verifiziertes Authentifizierungstoken an unsere Plattform.
Im Rahmen des Onboarding-Prozesses erheben wir folgende Stammdaten:
Darüber hinaus erfassen wir im Rahmen der B2B-Selbstauskunft Consent-Daten, die IP-Adresse, den User-Agent sowie den Zeitstempel der Einwilligung, um die Nachweisbarkeit der abgegebenen Erklärungen sicherzustellen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung ist erforderlich für die Begründung und Durchführung der Geschäftsbeziehung.
Speicherdauer: Ihre Stammdaten werden für die Dauer der Geschäftsbeziehung gespeichert. Nach Beendigung der Geschäftsbeziehung bewahren wir die Daten für weitere 6 bzw. 10 Jahre auf, soweit dies zur Erfüllung handelsrechtlicher (§ 257 HGB) und steuerrechtlicher (§ 147 AO) Aufbewahrungspflichten erforderlich ist.
Im Rahmen der Nutzung unserer Plattform verarbeiten wir Daten, die im Zusammenhang mit der Produktkonfiguration stehen. Dazu gehören insbesondere:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung dieser Daten ist unmittelbar erforderlich für die Erbringung unserer Dienstleistung.
Ihre Rezepturdaten unterliegen dem Vertraulichkeitsschutz gemäß unseren Allgemeinen Geschäftsbedingungen. Wir stellen durch technische und organisatorische Maßnahmen sicher, dass Rezepturdaten streng kundenbezogen verarbeitet und nicht an Dritte weitergegeben werden.
Speicherdauer: Rezeptur- und Produktkonfigurationsdaten werden für die Dauer der Geschäftsbeziehung gespeichert. Nach Beendigung der Geschäftsbeziehung werden diese Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Bei Bestellungen über unsere Plattform verarbeiten wir folgende Daten:
Die Zahlungsabwicklung erfolgt über Stripe Inc. Stripe agiert hierbei als eigenständiger datenschutzrechtlich Verantwortlicher und nicht als Auftragsverarbeiter von Suppify. Vollständige Kreditkartendaten werden zu keinem Zeitpunkt auf unseren Systemen gespeichert oder verarbeitet. Nähere Informationen zum Datenschutz bei Stripe finden Sie unter https://stripe.com/de/privacy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Verarbeitung ist zur Durchführung und Abwicklung Ihrer Bestellungen erforderlich.
Speicherdauer: Bestelldaten und Rechnungen werden für 10 Jahre aufbewahrt, um den gesetzlichen Aufbewahrungspflichten nach § 147 AO und § 257 HGB zu entsprechen.
Im Rahmen des Fulfillment-Prozesses verarbeitet Suppify Endkundendaten (insbesondere Name und Lieferadresse) im Auftrag unserer B2B-Kunden. Suppify handelt hierbei als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die entsprechende Auftragsverarbeitungsvereinbarung (AVV) ist Bestandteil der Vertragsanlagen.
Die Endkundendaten werden ausschließlich zum Zweck der Versandabwicklung verarbeitet und nicht für eigene Zwecke von Suppify verwendet.
Zur Durchführung des Versands übermitteln wir die Lieferinformationen an Versanddienstleister. Aktuell arbeiten wir mit DHL zusammen; zukünftig können weitere Dienstleister wie GLS, UPS und DPD hinzukommen. Diese Versanddienstleister handeln als eigenständige datenschutzrechtlich Verantwortliche.
Speicherdauer: Endkundendaten aus dem Fulfillment-Prozess werden 90 Tage nach Versand gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Unsere Plattform verwendet Cookies und ähnliche Technologien. Zur Verwaltung Ihrer Einwilligungen setzen wir Cookiebot als Consent Management Platform (CMP) ein.
Essenzielle Cookies sind für den Betrieb der Plattform technisch erforderlich. Dazu gehören insbesondere Session-Cookies und Authentifizierungstoken (Auth-Token). Diese Cookies werden ohne gesonderte Einwilligung gesetzt, da sie für die Bereitstellung des von Ihnen angeforderten Dienstes unbedingt erforderlich sind.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Bereitstellung der Plattform).
Alle weiteren Cookies (z.B. für Analyse- und Marketingzwecke) werden erst nach Ihrer ausdrücklichen Einwilligung über das Cookiebot-Cookie-Banner gesetzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookiebot-Einstellungen widerrufen.
Die folgenden Dienste werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Consent Management aktiviert:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen über das Cookiebot-Banner anpassen.
Im Rahmen der Vertragsabwicklung versenden wir transaktionale E-Mails, insbesondere Bestellbestätigungen und Versandstatus-Benachrichtigungen. Der Versand dieser E-Mails erfolgt über Klaviyo.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Versand transaktionaler E-Mails ist erforderlich für die ordnungsgemäße Abwicklung Ihrer Bestellungen.
Unsere Plattform bietet ein Kontaktformular sowie eine Feedback-Funktion. Wenn Sie diese nutzen, verarbeiten wir die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage.
Sofern Sie in den Empfang von Marketing-E-Mails eingewilligt haben, nutzen wir ebenfalls Klaviyo für den Versand von Newslettern und Werbekommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, beispielsweise über den Abmeldelink in jeder Marketing-E-Mail.
Im Rahmen unserer Geschäftstätigkeit arbeiten wir mit den folgenden Drittanbietern zusammen, an die personenbezogene Daten übermittelt werden können:
| Empfänger | Zweck | Rolle | Standort |
|---|---|---|---|
| Shopify | Authentifizierung, Bestellsync | Eigenst. Verantwortlicher | Kanada/USA (DPF) |
| Stripe | Zahlungsabwicklung | Eigenst. Verantwortlicher | USA (DPF) |
| Supabase | Datenbank-Hosting | Auftragsverarbeiter | EU |
| Vercel | App-Hosting | Auftragsverarbeiter | EU Edge |
| AWS | Serverless Functions | Auftragsverarbeiter | EU (Frankfurt) |
| DHL/GLS/UPS/DPD | Versand | Eigenst. Verantwortliche | DE/EU |
| Klaviyo | E-Mail-Marketing | Auftragsverarbeiter | USA (DPF) |
| Cookiebot (Cybot A/S) | Consent Management | Auftragsverarbeiter | DK (EU) |
| Google/Meta/TikTok | Marketing (nach Consent) | Eigenst. Verantwortliche | USA (DPF/SCCs) |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Eigenständige Verantwortliche verarbeiten Ihre Daten auf Grundlage eigener Datenschutzerklärungen.
Einige der von uns eingesetzten Drittanbieter haben ihren Sitz außerhalb der Europäischen Union, insbesondere in den USA. Für diese Datenübermittlungen gelten folgende Schutzmechanismen:
Ihnen stehen im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Daten folgende Rechte zu:
Widerruf von Einwilligungen: Sofern Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Beschwerderecht: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Recht auf Löschung des Kundenkontos: Sie haben jederzeit das Recht, die Löschung Ihres Kundenkontos zu verlangen. Bitte beachten Sie, dass gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Fristen) der sofortigen vollständigen Löschung einzelner Datenkategorien entgegenstehen können. In diesem Fall wird die Verarbeitung auf die Erfüllung der gesetzlichen Pflichten beschränkt und das Konto für die weitere Nutzung gesperrt.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@suppify.io
Die folgende Übersicht zeigt die Speicherdauer für die verschiedenen Datenkategorien:
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logs | 30 Tage |
| Kundenstammdaten | Geschäftsbeziehung + 10 Jahre |
| Bestelldaten/Rechnungen | 10 Jahre |
| Rezepturen | Geschäftsbeziehung + Löschung/Anonymisierung |
| Consent-Daten | 3 Jahre nach letzter Interaktion |
| Endkundendaten (Fulfillment) | 90 Tage nach Versand |
| Marketing-Cookies | Laut Cookiebot-Konfiguration |
Nach Ablauf der jeweiligen Speicherdauer werden die Daten routinemäßig gelöscht oder anonymisiert, sofern sie nicht mehr für den ursprünglichen Verarbeitungszweck oder die Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Diese Datenschutzerklärung hat den Stand vom 10. April 2026. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Neuerungen oder Änderungen unserer Datenverarbeitungsprozesse anzugleichen. Die jeweils aktuelle Fassung ist stets auf unserer Plattform abrufbar.
Wir empfehlen Ihnen, diese Datenschutzerklärung regelmäßig einzusehen, um über den aktuellen Stand der Datenverarbeitung informiert zu bleiben.
