Datenschutzerklärung

1. Verantwortliche Stelle

2. Allgemeine Hinweise zur Datenverarbeitung

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Diese Datenschutzerklärung klärt Sie über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten innerhalb unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte auf (nachfolgend gemeinsam bezeichnet als "Onlineangebot" oder "Website").

Die Datenschutzerklärung gilt unabhängig von den verwendeten Domains, Systemen, Plattformen und Geräten (z.B. Desktop oder Mobile), auf denen das Onlineangebot ausgeführt wird.

3. Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, wenn eine der folgenden Rechtsgrundlagen gegeben ist:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Verarbeitung auf Basis Ihrer Einwilligung, z.B. bei der Nutzung von Analyse-Tools
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Erfüllung eines Vertrags, z.B. Bestellabwicklung, Zahlungsabwicklung
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Verarbeitung zur Erfüllung rechtlicher Verpflichtungen, z.B. steuerrechtliche Aufbewahrungspflichten
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung zur Wahrung unserer berechtigten Interessen, z.B. Sicherheit der Website, Verhinderung von Missbrauch

4. Hosting und technische Infrastruktur

4.1 Vercel (Hosting-Anbieter)

Unsere Website wird gehostet bei:

Verarbeitete Daten:

• IP-Adresse
• Zeitpunkt des Zugriffs
• Aufgerufene Seiten
• Browser-Informationen
• Betriebssystem
• Referrer-URL

Zweck: Bereitstellung und Betrieb der Website, Sicherstellung der Systemsicherheit und Stabilität

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Drittlandtransfer: Daten können in den USA verarbeitet werden. Vercel nutzt das EU-US Data Privacy Framework.

Speicherdauer: Server-Logs werden nach 30 Tagen gelöscht

4.2 IONOS (Domain-Provider)

Unsere Domain wird verwaltet von:

Zweck: Domain-Registrierung und DNS-Verwaltung

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

5. Datenerhebung beim Besuch der Website

5.1 Server-Log-Dateien

Bei jedem Zugriff auf unsere Website werden automatisch Informationen erfasst und in Server-Logfiles gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung über erfolgreichen Abruf (HTTP-Response-Code)
• Browsertyp und Browserversion
• Betriebssystem
• Referrer URL (zuvor besuchte Seite)

Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus, Gewährleistung einer komfortablen Nutzung, Auswertung der Systemsicherheit und -stabilität, Missbrauchserkennung

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Speicherdauer: 30 Tage, anschließend automatische Löschung

6. Cookies und lokale Speicherung

6.1 Was sind Cookies?

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Einige der von uns verwendeten Cookies werden nach Ende der Browser-Sitzung, also nach Schließen Ihres Browsers, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen uns, Ihren Browser beim nächsten Besuch wiederzuerkennen (persistente Cookies).

6.2 Cookie-Consent-Management (CookieYes)

Wir verwenden CookieYes zur Verwaltung Ihrer Cookie-Einwilligungen:

Gespeicherter Cookie: cookieyes-consent (Speicherdauer: 1 Jahr)

Zweck: Speicherung Ihrer Cookie-Präferenzen

Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

6.3 Lokale Speicherung (Local Storage)

Wir verwenden die Local Storage-Technologie Ihres Browsers zur Speicherung bestimmter Daten:

Hinweis: Local Storage-Daten werden ausschließlich lokal auf Ihrem Gerät gespeichert und nicht an unsere Server übertragen. Sie können diese Daten jederzeit in Ihren Browser-Einstellungen löschen.

7. Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Erhobene Daten:

• Name (Pflichtfeld, 2-100 Zeichen)
• E-Mail-Adresse (Pflichtfeld, valide E-Mail-Adresse)
• Betreff (Pflichtfeld, 2-200 Zeichen)
• Nachricht (Pflichtfeld, 10-2000 Zeichen)
• IP-Adresse (automatisch, für Sicherheitszwecke)
• Zeitstempel der Anfrage

E-Mail-Versand via EmailJS/IONOS

Zur Zustellung Ihrer Kontaktanfrage nutzen wir EmailJS in Verbindung mit IONOS SMTP:

Verarbeitete Daten:

• Alle Formularinhalte werden per E-Mail an contact@commonblaze.eu gesendet
• Sie erhalten eine automatische Bestätigungs-E-Mail an Ihre angegebene Adresse
• Alle Eingaben werden vor Versand sanitiert (XSS-Schutz)

Zweck: Bearbeitung Ihrer Kontaktanfrage, Kundenservice

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) durch Absenden des Formulars

Speicherdauer: E-Mails werden bis zur vollständigen Bearbeitung Ihrer Anfrage gespeichert, anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen

Sicherheitsmaßnahmen

• Rate Limiting: Maximal 10 Anfragen pro Minute pro IP-Adresse
• CSRF-Schutz: Verifizierung der Anfragen-Herkunft
• Honeypot-Feld: Schutz vor automatisierten Spam-Bots
• Eingabe-Validierung: Alle Felder werden serverseitig validiert
• TLS-Verschlüsselung: Sichere Übertragung per HTTPS und SMTP (Port 465, SSL/TLS)

8. Bestellabwicklung und Zahlungsabwicklung

8.1 Checkout-Prozess

Zur Abwicklung Ihrer Bestellung erheben wir folgende Daten:

Versanddaten:

• E-Mail-Adresse (Pflichtfeld)
• Vorname (Pflichtfeld, 2-100 Zeichen)
• Nachname (Pflichtfeld, 2-100 Zeichen)
• Adresse (Pflichtfeld, 5-500 Zeichen)
• Stadt (Pflichtfeld, 2-100 Zeichen)
• Land (Pflichtfeld, ISO-Code)
• Postleitzahl (Pflichtfeld, 4-20 Zeichen)
• Telefonnummer (Optional, max. 20 Zeichen)

Bestelldaten:

• Produkt-IDs, Namen, SKUs
• Mengen, Preise, Varianten (z.B. Größen)
• Gesamtbetrag in EUR
• Bestellzeitpunkt

Zweck: Vertragserfüllung, Lieferung der bestellten Waren, Rechnungsstellung

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

8.2 Stripe (Zahlungsabwicklung)

Für die Abwicklung von Kreditkarten- und Debitkartenzahlungen nutzen wir Stripe:

An Stripe übermittelte Daten:

• Alle Versand- und Rechnungsdaten (siehe oben)
• Zahlungsinformationen (Kartendaten werden direkt von Stripe verarbeitet, nicht von uns gespeichert)
• Bestellsumme in EUR
• Produkt-Metadaten (Namen, Mengen, Preise)
• Statement Descriptor: "COMMONBLAZE"

Zweck: Sichere Zahlungsabwicklung, Betrugsprävention

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Drittlandtransfer: USA. Stripe ist zertifiziert unter dem EU-US Data Privacy Framework.

Speicherdauer: Stripe speichert Zahlungsdaten gemäß eigener Datenschutzrichtlinie. Wir speichern nur Payment Intent IDs (Referenznummern).

Sicherheit: PCI DSS Level 1 zertifiziert, höchster Sicherheitsstandard für Zahlungsabwicklung

8.3 PayPal

Als alternative Zahlungsmethode bieten wir PayPal an:

Zweck: Zahlungsabwicklung über PayPal-Konto

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Bei Auswahl von PayPal werden Sie zu PayPal weitergeleitet. Die Datenverarbeitung erfolgt gemäß der PayPal-Datenschutzerklärung.

8.4 Wix (Produktkatalog & Bestellverwaltung)

Für Produktinformationen und Bestellverwaltung nutzen wir das Wix Headless CMS:

An Wix übermittelte Daten:

• Bestellinformationen (Produkte, Mengen, Preise)
• Käuferinformationen (Name, E-Mail, Adresse)
• Payment Intent IDs von Stripe

Zweck: Verwaltung von Produktkatalog und Bestellungen, Lagerverwaltung

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Drittlandtransfer: Israel verfügt über einen Angemessenheitsbeschluss der EU-Kommission (angemessenes Datenschutzniveau).

8.5 Bestelldaten-Speicherung

Bestelldaten werden temporär im Server-Cache gespeichert:

• Technologie: In-Memory-Cache (node-cache)
• Speicherdauer: 24 Stunden, dann automatische Löschung
• Zweck: Anzeige der Bestellbestätigungsseite
• Inhalt: Bestellnummer, Status, Artikel, Versanddaten, Gesamtbetrag

Wichtig: Wir betreiben keine dauerhafte Datenbank für Kundendaten. Nach 24 Stunden werden alle Bestelldaten aus unserem Cache gelöscht. Langfristige Speicherung erfolgt nur bei den Drittanbietern (Stripe, Wix) gemäß deren Datenschutzrichtlinien.

9. Web-Analyse und Performance-Monitoring

9.1 Vercel Analytics

Wir nutzen Vercel Analytics zur Analyse des Nutzerverhaltens:

Erhobene Daten:

• Seitenaufrufe (anonymisiert)
• Verweildauer
• Klickpfade
• Gerätetyp (Desktop/Mobile/Tablet)
• Browser-Typ
• Ungefährer Standort (Land/Stadt)

Zweck: Verbesserung der Website-Nutzererfahrung, Optimierung der Inhalte

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Einwilligung erforderlich: Ja, Analytics wird nur nach Ihrer Zustimmung über das Cookie-Banner aktiviert

Datenschutz: Keine Verwendung von Cookies, keine personenbezogenen Daten, vollständig anonymisierte Auswertung

9.2 Vercel Speed Insights

Zur Überwachung der Website-Performance nutzen wir Vercel Speed Insights:

Erhobene Daten:

• Core Web Vitals (Ladezeiten, Interaktivität, visuelle Stabilität)
• Browser-Performance-Metriken
• Geräte-Performance

Zweck: Optimierung der Ladegeschwindigkeit und Performance

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Einwilligung erforderlich: Ja, wird nur nach Zustimmung geladen

10. Social Media

Instagram

Auf unserer Website befindet sich ein Link zu unserem Instagram-Profil. Es handelt sich um einen einfachen Hyperlink, kein eingebettetes Widget oder Tracking-Pixel.

Link: https://instagram.com/commonblaze

Datenübertragung: Erst beim Klick auf den Link verlassen Sie unsere Website und werden zu Instagram weitergeleitet. Ab diesem Zeitpunkt gilt die Datenschutzerklärung von Meta.

Betreiber: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland

11. Technische und organisatorische Sicherheitsmaßnahmen

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen:

Verschlüsselung

• HTTPS/TLS-Verschlüsselung für alle Datenübertragungen
• SSL/TLS für E-Mail-Versand (Port 465)
• Stripe: PCI DSS Level 1 zertifiziert

Zugriffskontrolle

• Rate Limiting zur Verhinderung von Missbrauch
• CSRF-Schutz bei allen Formularen
• IP-basierte Zugriffsbeschränkungen

Eingabevalidierung

• Serverseitige Validierung aller Eingaben (Zod-Schema)
• XSS-Schutz durch Input-Sanitisierung
• Honeypot-Felder gegen Spam-Bots
• Größenbeschränkungen für Anfragen

Logging und Monitoring

• Strukturiertes Logging sicherheitsrelevanter Ereignisse
• Automatische Erkennung verdächtiger Aktivitäten
• Regelmäßige Sicherheitsüberprüfungen

Datensparsamkeit

• Keine dauerhafte Speicherung von Kundendaten (24h Cache-TTL)
• Minimierung der erhobenen Daten auf das Notwendige
• Keine Speicherung von Zahlungsdaten auf unseren Servern

12. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

12.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen (z.B. Verarbeitungszwecke, Kategorien personenbezogener Daten, Empfänger).

12.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

12.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern die gesetzlichen Voraussetzungen vorliegen (z.B. Wegfall des Verarbeitungszwecks, Widerruf der Einwilligung).

12.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen erfüllt sind (z.B. Bestreitung der Richtigkeit der Daten).

12.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

12.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

12.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

12.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

Zuständige Aufsichtsbehörde:

13. Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte oder bei Fragen zum Datenschutz wenden Sie sich bitte an:

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfrichten bestehen:

15. Automatisierte Entscheidungsfindung und Profiling

Wir nutzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO. Es werden keine automatisierten Entscheidungen getroffen, die rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

16. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz außerhalb der Europäischen Union. In diesen Fällen stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

17. Verarbeitung von Daten Minderjähriger

Unser Angebot richtet sich ausschließlich an volljährige Personen. Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 18 Jahren. Sollten Sie feststellen, dass wir versehentlich Daten von Minderjährigen erhoben haben, kontaktieren Sie uns bitte umgehend.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes sowie der Datenverarbeitung anzupassen. Für die Nutzung unserer Website gilt stets die aktuelle Fassung.

Letzte Aktualisierung: 01.03.2026