Datenschutzerklärung

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Rahmen dieser Website ist:

OxyVanityHair
Die vollständigen Kontaktdaten (Adresse, E-Mail, Telefon) finden Sie im Impressum.

Für Fragen zum Datenschutz erreichen Sie uns über das Kontaktformular oder die im Impressum genannte E-Mail-Adresse.

2. Welche Daten wir erheben – Übersicht

Je nach Nutzung unserer Website können folgende Kategorien von Daten anfallen:

• Registrierung: E-Mail, Passwort (nur als kryptografischer Hash gespeichert), Vorname, Nachname, Telefon (fakultativ).
• Anmeldung (Login): E-Mail und Passwort werden zur Prüfung abgeglichen; das Passwort wird nicht gespeichert, sondern nur mit dem gespeicherten Hash verglichen.
• Kontaktformular: Name, E-Mail, Betreff, Nachricht. Diese werden ausschliesslich zur Bearbeitung Ihrer Anfrage per E-Mail genutzt und nicht dauerhaft in einer Datenbank gespeichert.
• Newsletter: E-Mail-Adresse (bei Anmeldung über das Formular auf der Website).
• Bestellung: Vorname, Nachname, E-Mail, Telefon (fakultativ), Strasse, PLZ, Stadt, Land, bestellte Produkte, Mengen, Preise, Gesamtbetrag, Versandkosten, Zahlungsart, Bestellnummer, Status, ggf. Tracking-Nummer und Verwendungszweck/Notizen. Bei Kreditkartenzahlung zusätzlich: Stripe-Session-ID und Zahlungsstatus (siehe Abschnitt 4).
• Warenkorb: Bei Nutzung des Warenkorbs werden Produkt-IDs und Mengen in Ihrer Session sowie – bei eingeloggten Kunden – in der Datenbank (Tabelle Warenkorb) gespeichert.
• Cookies und lokaler Speicher: Session-Cookie (zur Aufrechterhaltung der Sitzung, z. B. Warenkorb, Login). Beim Cookie-Hinweis wird Ihre Einwilligung („Alle akzeptieren“ oder „Alles ablehnen“) im lokalen Speicher des Browsers (localStorage) unter dem Schlüssel cookie_consent gespeichert.
• Server-Zugriffe: Beim Abruf unserer Seiten können bei unserem Hosting-Anbieter typische Zugriffsdaten anfallen (IP-Adresse, Datum/Uhrzeit, angeforderte URL, Browserkennung, Referrer). Diese werden in der Regel nur kurz vorgehalten oder anonymisiert.
• Bild-Uploads (nur Admin): Im Admin-Bereich hochgeladene Produkt- und Kategoriebilder. Sie enthalten in der Regel keine personenbezogenen Daten.

3. Zweck und Rechtsgrundlage

Wir verarbeiten personenbezogene Daten, um Verträge (Bestellungen, Kundenkonto) abzuwickeln, Ihre Anfragen zu bearbeiten, den Newsletter zu versenden, die technische Bereitstellung und Sicherheit der Website zu gewährleisten sowie gesetzliche Aufbewahrungspflichten zu erfüllen.

Rechtsgrundlagen sind: Vertragserfüllung, berechtigtes Interesse (z. B. Betrieb der Website, Betrugsprävention), Ihre Einwilligung (z. B. Cookie-Einwilligung, Newsletter) sowie ggf. gesetzliche Verpflichtungen.

4. Zahlungsabwicklung mit Stripe (Kreditkarte)

Für Kreditkartenzahlungen nutzen wir den Dienst Stripe (Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA; https://stripe.com/privacy). Stripe ist auch in der Schweiz und in der EU tätig und unterliegt dort geltenden Datenschutzregelungen; für Übermittlungen in die USA werden u. a. Standardvertragsklauseln der EU-Kommission verwendet.

4.1 Was wir an Stripe übermitteln

Beim Start des Kreditkarten-Checkouts übermitteln wir an die Stripe-API: Ihre E-Mail-Adresse, Vorname, Nachname, Telefon (aus unserem Checkout-Formular), die bestellten Produkte mit Bezeichnung, Einzelpreis und Menge sowie die Versandkosten. Ausserdem fordern wir bei Stripe die Erhebung der Rechnungsadresse (billing_address_collection) und der Versandadresse (shipping_address_collection für CH, DE, AT, IT) an.

4.2 Was Stripe auf ihrer Zahlungsseite erhebt

Auf der von Stripe bereitgestellten Checkout-Seite erhebt Stripe direkt: Zahlungsdaten der Karte (Kartennummer, Ablaufdatum, Prüfziffer etc.), die Rechnungsadresse und die Versandadresse. Diese sensiblen Zahlungsdaten werden ausschliesslich von Stripe verarbeitet und niemals auf unseren Servern gespeichert oder bei uns übertragen.

4.3 Was wir speichern

In unserer Datenbank speichern wir für Kreditkartenbestellungen: Ihre Bestelldaten aus unserem eigenen Formular (Vorname, Nachname, E-Mail, Telefon, Strasse, PLZ, Stadt, Land, bestellte Artikel, Beträge, Zahlungsart „Kreditkarte“), die Stripe-Session-ID (stripe_session_id) und den Zahlungsstatus (payment_status bzw. Status „bezahlt“). Wir speichern keine Kreditkartennummern, keine von Stripe erhobenen Rechnungs- oder Versandadressen.

4.4 Stripe Webhook und Success-Seite

Um die Zahlung abzusichern und Doppelbuchungen zu vermeiden, rufen wir nach dem Bezahlvorgang über die Stripe-API den Zahlungsstatus ab (z. B. über die Checkout-Session). Zudem können wir über einen Stripe-Webhook Benachrichtigungen von Stripe erhalten (z. B. checkout.session.completed, payment_intent.succeeded). Der Webhook wird mit dem Stripe-Webhook-Geheimnis signaturgeprüft. Es werden nur die zur Bestätigung und Zuordnung erforderlichen Angaben (z. B. Session-ID, Zahlungsstatus, Event-Typ) verarbeitet.

Weitere Informationen zur Datenverarbeitung durch Stripe, zu Speicherfristen und zu Ihren Rechten gegenüber Stripe finden Sie in der Datenschutzerklärung von Stripe.

5. Banküberweisung

Bei der Zahlungsart „Banküberweisung“ werden die Bankverbindungsdaten (z. B. Bank, IBAN, Kontoinhaber, Firma) von uns in den Einstellungen des Shops hinterlegt. Diese unseren Bankdaten übermitteln wir Ihnen zur Durchführung der Überweisung per E-Mail (Bestellbestätigung mit Zahlungsinformationen). Ihre Bankdaten (Kontonummer, IBAN etc.) werden von uns nicht erhoben oder gespeichert.

6. E-Mail-Versand und Empfänger

E-Mails werden über einen SMTP-Server (z. B. Ihres Hosting- oder E-Mail-Anbieters) versendet. Dabei können die E-Mail-Inhalte und Metadaten (Absender, Empfänger, Betreff, Zeitpunkt) auf den Servern des Anbieters verarbeitet werden.

Wir versenden u. a. folgende E-Mails:

• Bestellbestätigung und Zahlungsinformationen (bei Banküberweisung inkl. IBAN) an Ihre angegebene E-Mail-Adresse.
• Status-Updates zu Ihrer Bestellung (z. B. „Bezahlt“, „Versendet“ inkl. Tracking-Nummer) an Ihre E-Mail-Adresse.
• Willkommens-E-Mail nach Registrierung.
• Newsletter (wenn Sie sich angemeldet haben).
• Antwort auf Kontaktanfragen (Ihre Nachricht wird an die Shop-Betreiberin bzw. den Shop-Betreiber weitergeleitet; die Kontaktdaten sind in den Einstellungen hinterlegt).
• Benachrichtigungen über neue Bestellungen an die für den Shop verantwortliche E-Mail-Adresse (z. B. Admin/Betreiber), um die Bestellabwicklung durchzuführen.

7. Hosting und Server-Logs

Die Website wird bei einem Hosting-Anbieter (in der Regel in der Schweiz oder im EWR) betrieben. Beim Zugriff auf unsere Seiten können typische Zugriffs- und Protokolldaten anfallen (z. B. IP-Adresse, Datum und Uhrzeit, angeforderte URL, übertragene Datenmenge, Browsertyp, Referrer). Diese werden in der Regel nur für einen begrenzten Zeitraum vorgehalten oder anonymisiert und nicht mit anderen personenbezogenen Daten zusammengeführt, sofern nicht zur Abwehr von Angriffen oder zur Verfolgung von Missbrauch erforderlich.

8. Externe Dienste und Inhalte

In unsere Seite werden Inhalte Dritter eingebunden, damit bestimmte Funktionen (z. B. Schriften, Icons) bereitgestellt werden. Dabei können beim Laden der Ressource Ihr Gerät, Ihre IP-Adresse und technische Merkmale an die Anbieter übermittelt werden.

• Font Awesome (über cdnjs.cloudflare.com): Icons. Es gelten die Datenschutzbestimmungen von Cloudflare bzw. Font Awesome.
• Google Fonts (fonts.googleapis.com / fonts.gstatic.com): Schriften. Beim Abruf können Daten (z. B. IP, URL) an Google (USA) übermittelt werden. Informationen: https://policies.google.com/privacy.

Soweit wir neben den technisch notwendigen Cookies weitere (z. B. Analyse oder Marketing) einsetzen, erfolgt dies nur mit Ihrer Einwilligung über unseren Cookie-Hinweis.

9. Cookies und lokaler Speicher

9.1 Notwendige Cookies

Wir setzen ein Session-Cookie (z. B. PHPSESSID oder vergleichbar), das für den Betrieb der Website erforderlich ist (z. B. Warenkorb, Anmeldestatus). Es wird mit dem Schliessen des Browsers oder nach Ablauf der Sitzung ungültig. Eine Einwilligung ist hierfür nicht erforderlich.

9.2 Cookie-Einwilligung (Cookie-Banner)

Beim ersten Besuch erscheint ein Cookie-Hinweis. Sie können „Alle akzeptieren“ oder „Alles ablehnen“ wählen. Ihre Wahl wird im lokalen Speicher Ihres Browsers (localStorage) unter dem Schlüssel cookie_consent mit den Werten all oder necessary gespeichert. Dadurch wird der Hinweis bei weiteren Besuchen nicht erneut angezeigt. Die Speicherung dient ausschliesslich der Dokumentation Ihrer Einwilligung; sie erfolgt lokal in Ihrem Browser und wird von uns nicht auf einem Server ausgelesen.

Wenn Sie „Alles ablehnen“ wählen, setzen wir ausschliesslich die technisch notwendigen Cookies (z. B. Session). Sofern wir künftig weitere Cookies (z. B. Analyse) nur bei Einwilligung „Alle akzeptieren“ einsetzen, werden diese dann nur in diesem Fall geladen.

10. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung der genannten Zwecke oder aufgrund gesetzlicher Aufbewahrungspflichten (z. B. handels- und steuerrechtlich, in der Schweiz typischerweise 10 Jahre für Rechnungen und Buchungsbelege) erforderlich ist. Kontaktanfragen, die nur per E-Mail bearbeitet werden, unterliegen den Aufbewahrungsregelungen des E-Mail-Systems; eine dauerhafte Speicherung in einer Datenbank erfolgt nicht.

Warenkorbdaten (Session und bei eingeloggten Nutzern die Warenkorb-Tabelle) werden im Regelfall mit dem Abschluss der Bestellung oder bei Abmeldung/Löschung des Kontos entfernt. Session-Daten erlöschen sich mit dem Ende der Sitzung.

11. Ihre Rechte

Sie haben unter den gesetzlichen Voraussetzungen u. a. folgende Rechte:

• Auskunft: Sie können Auskunft über die Sie betreffenden personenbezogenen Daten verlangen.
• Berichtigung: Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung: Sie können die Löschung Ihrer Daten verlangen, soweit keine Aufbewahrungspflichten entgegenstehen.
• Einschränkung: Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit: Sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt, können Sie die Übertragung Ihrer Daten in einem gängigen Format verlangen.
• Widerspruch: Sie können der Verarbeitung aus berechtigtem Interesse oder für Marketing widersprechen.
• Widerruf der Einwilligung: Eine erteilte Einwilligung (z. B. Newsletter, Cookie) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an uns über das Kontaktformular oder die im Impressum angegebenen Kontaktdaten. Für Newsletter können Sie sich zudem in jeder E-Mail über den Abmeldelink abmelden.

Sie haben ferner das Recht, sich bei einer Aufsichtsbehörde zu beschweren (in der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB; in der EU: die zuständige Datenschutzbehörde Ihres Landes).

12. Datensicherheit

Wir setzen technische und organisatorische Massnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören u. a.:

• Verschlüsselung der Datenübertragung per SSL/TLS (HTTPS).
• Speicherung von Passwörtern nur als kryptografische Hashwerte (z. B. mit password_hash und password_verify).
• Zugriff auf den Admin-Bereich und auf Bestellungen nur nach Anmeldung mit Berechtigungsprüfung.
• Sichere Konfiguration der Umgebung (z. B. .env für sensibles Konfigurationsdateien, keine Weitergabe von Kreditkartendaten über unsere Server).

Die vollständige Sicherheit der Daten im Internet kann dennoch nicht garantiert werden. Wir empfehlen, Passwörter sicher zu wählen und nicht weiterzugeben.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen (z. B. bei neuen Funktionen, Diensten oder rechtlichen Änderungen). Die jeweils aktuelle Fassung finden Sie auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie, soweit möglich, über die Website oder per E-Mail informieren.