Datenschutzerklärung
Stand: 18. Juni 2026
1. Verantwortlicher
Jahresbox
Inhaber: Marc Drebing
Randstraße 1
22525 Hamburg
Deutschland
Telefon: +49 (0) 40 1829 0669
E-Mail: info@jahresbox.de
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der oben genannte Inhaber.
2. Grundsätze der Datenverarbeitung
Wir behandeln personenbezogene Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Personenbezogene Daten werden nur verarbeitet, wenn dies zur Bereitstellung einer funktionsfähigen Website, zur Erfüllung vertraglicher Leistungen, zur Erfüllung rechtlicher Verpflichtungen oder auf Grundlage einer Einwilligung erforderlich ist.
Rechtsgrundlagen für die Verarbeitung sind je nach Vorgang:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
3. Hosting der Website (Vercel)
Unsere Website wird gehostet von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel betreibt Server in verschiedenen Regionen weltweit; die für unsere Website primär genutzten Regionen liegen innerhalb der Europäischen Union.
Beim Aufruf unserer Website werden technisch erforderliche Informationen verarbeitet, insbesondere: IP-Adresse, Datum und Uhrzeit des Zugriffs, Browsertyp und -version, Betriebssystem, Referrer-URL, angeforderte URL, HTTP-Statuscode, übertragene Datenmenge.
Diese Daten werden zur Auslieferung der Website, zur Gewährleistung ihrer Sicherheit (insbesondere Schutz vor Angriffen) und zur Sicherstellung ihrer Funktionsfähigkeit benötigt.
Eine Übermittlung von Daten in die USA kann im Rahmen des Betriebs der Vercel-Infrastruktur erfolgen. Vercel Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer funktionsfähigen Website).
Mit Vercel besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://vercel.com/legal/privacy-policy
4. Reichweitenanalyse (Vercel Analytics)
Wir nutzen den Webanalysedienst Vercel Analytics, betrieben von Vercel Inc., zur Auswertung der Nutzung unserer Website (insbesondere Seitenaufrufe, Top-Pages, Geräte- und Browser-Verteilung).
Vercel Analytics arbeitet vollständig ohne Cookies und ohne Erstellung von Nutzungsprofilen. Es werden ausschließlich aggregierte und anonyme Daten erhoben; eine Wiedererkennung einzelner Besucher über mehrere Seitenaufrufe hinweg findet nicht statt. Eine Personenbeziehbarkeit der erhobenen Daten ist ausgeschlossen.
Ergänzend nutzen wir Vercel Speed Insights zur Messung technischer Leistungsdaten (z. B. Ladezeiten); auch dieser Dienst arbeitet aggregiert und ohne Personenbezug.
Eine Übermittlung an Vercel Inc. (USA) kann erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datenschutzfreundlicher Reichweitenanalyse).
Weitere Informationen: https://vercel.com/docs/analytics/privacy-policy
5. Datenbank und Authentifizierung (Supabase)
Für die Speicherung von Kundendaten, die Verwaltung von Buchungen sowie für die Authentifizierung (Login per Magic Link) nutzen wir Supabase, betrieben durch Supabase Inc., 970 Toa Payoh North, #07-04, Singapore. Die für uns genutzten Server stehen in der Region Frankfurt am Main, Deutschland (AWS-Infrastruktur).
Verarbeitet werden insbesondere: Vor- und Nachname, E-Mail-Adresse, Anschrift (Liefer- und Rechnungsadresse, ggf. abweichende Geschenkadresse), Telefonnummer, Vertragsdaten (Buchungen, Lieferungen, Status, Liefer-Kontingent), Foto-Dokumentation der eingelagerten Inhalte, sofern vom Kunden im Kundenkonto hinterlegt, technische Sitzungsdaten zur Authentifizierung.
Eine Übermittlung von Daten an Supabase Inc. außerhalb der EU kann in einzelnen Fällen erfolgen (z. B. zu Support- und Administrationszwecken). In diesen Fällen bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://supabase.com/privacy
6. Adressvalidierung im Bestellprozess (Geoapify)
Im Bestellprozess bieten wir eine Adress-Vorschlagsfunktion an, die das Eingeben Ihrer Adresse erleichtert und die korrekte Schreibweise prüft. Hierfür nutzen wir den Dienst Geoapify, betrieben durch Geoapify s.r.o., Letenská 121/8, 118 00 Praha 1, Tschechische Republik.
Während der Adresseingabe werden Ihre Eingaben (z. B. teilweise oder vollständige Straßen-, Hausnummern- und Ortsangaben) an Geoapify übermittelt, um passende Vorschläge zurückzuliefern. Die Verarbeitung erfolgt auf Servern in der Europäischen Union; eine Übermittlung in Drittländer findet nicht statt. Die Adressdaten werden ausschließlich zum Zweck der Adressvalidierung verarbeitet. Geoapify nutzt keine Cookies oder vergleichbaren Technologien.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Sicherstellung einer korrekten Lieferadresse).
Mit Geoapify besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://www.geoapify.com/privacy-policy
7. Foto-Upload zur Inhaltsdokumentation
Im Kundenkonto haben Kunden die Möglichkeit, Fotos der von ihnen eingelagerten Gegenstände hochzuladen. Diese Fotos werden ausschließlich auf Servern von Supabase in Frankfurt am Main gespeichert und sind nur dem jeweiligen Kunden zugänglich (Zugriffsschutz über Zugriffsregeln auf Datensatzebene). Eine Auswertung oder Einsicht durch Jahresbox erfolgt nicht, soweit dies nicht ausdrücklich zur Bearbeitung einer Anfrage oder zur Mängelaufklärung erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Die Fotos werden bis zur Beendigung des Vertragsverhältnisses zuzüglich einer angemessenen Übergangsfrist gespeichert und anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
8. Zahlungsabwicklung (Stripe)
Zur Zahlungsabwicklung nutzen wir Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Stripe verarbeitet personenbezogene Daten (insbesondere Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsart, Zahlungsbetrag und Zahlungsverlauf) auch als eigenständig Verantwortliche zur Erfüllung regulatorischer und vertraglicher Pflichten. Eine Übermittlung in die USA kann an die US-Muttergesellschaft Stripe, Inc. erfolgen, abgesichert durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen).
Weitere Informationen zur Datenverarbeitung durch Stripe: https://stripe.com/de/privacy
9. E-Mail-Versand transaktionsbezogener Nachrichten (Resend)
Für den Versand transaktionsbezogener E-Mails (insbesondere Bestellbestätigungen, Login-Links, Terminbestätigungen, Erinnerungen sowie Eingangsbestätigungen für Widerrufserklärungen) nutzen wir Resend, betrieben durch Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.
Verarbeitet werden insbesondere E-Mail-Adresse, Name sowie der Inhalt der jeweiligen Nachricht. Eine Übermittlung in die USA kann erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der Bestätigungspflicht nach § 356a BGB).
Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://resend.com/legal/privacy-policy
10. Widerrufsfunktion (§ 356a BGB)
Auf unserer Website stellen wir unter www.jahresbox.de/widerruf-ausueben eine elektronische Widerrufsfunktion bereit, über die Verbraucher einen mit uns online geschlossenen Vertrag widerrufen können.
Wenn Sie diese Funktion nutzen, verarbeiten wir die von Ihnen eingegebenen Daten: Ihren Namen, die Bestell- oder Buchungsnummer des betreffenden Vertrags, Ihre E-Mail-Adresse (für die gesetzlich vorgeschriebene Eingangsbestätigung) sowie einen etwaigen Grund (nur sofern freiwillig angegeben).
Wir verarbeiten diese Daten ausschließlich, um Ihren Widerruf zuzuordnen, Ihnen die gesetzlich vorgeschriebene Eingangsbestätigung zu übermitteln und den Vorgang zu dokumentieren.
Es werden nur die zur eindeutigen Zuordnung des Widerrufs erforderlichen Daten erhoben. Insbesondere werden keine IP-Adresse und keine Geräteinformationen gespeichert (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).
Die Eingangsbestätigung wird über Resend versendet (siehe Abschnitt 9).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung der gesetzlichen Pflicht zur Bereitstellung einer elektronischen Widerrufsfunktion und zur unverzüglichen Bestätigung des Eingangs nach § 356a BGB) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung im Widerrufsfall).
Speicherdauer: Wir speichern die Daten für die Dauer der Bearbeitung des Widerrufs und darüber hinaus, soweit und solange gesetzliche Aufbewahrungspflichten bestehen oder die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Danach werden sie gelöscht.
11. E-Mail-Korrespondenz (IONOS und Google Workspace)
Persönliche E-Mail-Korrespondenz (z. B. Anfragen an info@jahresbox.de) wird über zwei Anbieter abgewickelt:
a) IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. IONOS hostet das E-Mail-Postfach. Eingehende und ausgehende E-Mails werden auf Servern von IONOS in Deutschland gespeichert. Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
b) Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wir rufen die E-Mails zusätzlich per IMAP/POP über Google Workspace ab, um sie dort zu lesen und zu beantworten. Dabei werden die E-Mails im Rahmen der Google-Workspace-Infrastruktur gespeichert. Eine Übermittlung an die Google LLC (USA) kann erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Cloud Data Processing Addendum).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (soweit zur Vertragserfüllung erforderlich) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
E-Mails werden gelöscht, sobald die Anfrage abschließend bearbeitet ist, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
12. Interne Datenverarbeitung (Google Workspace)
Für die interne Bearbeitung von Geschäftsvorgängen (insbesondere Dokumentenablage, interne Tabellen und Terminverwaltung) nutzen wir Google Workspace, ein Produkt der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
In Google Workspace werden personenbezogene Daten unserer Kunden insbesondere in folgenden Komponenten verarbeitet:
Google Drive / Google Docs / Google Sheets zur Ablage und Bearbeitung interner Dokumente (z. B. Rechnungen, Verträge, interne Listen, Verzeichnis von Verarbeitungstätigkeiten)
Google Calendar zur Verwaltung von Terminen
Gmail zum Abruf und zur Bearbeitung der E-Mail-Korrespondenz (siehe Abschnitt 11)
Wir nutzen Google Workspace in der Business-Starter-Variante; eine ausschließliche Speicherung in der Europäischen Union ist in dieser Variante nicht verfügbar. Eine Übermittlung in die USA an die Google LLC kann daher erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten internen Organisation).
Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://workspace.google.com/terms/dpa_terms.html
13. Cookies
Auf unserer Website werden ausschließlich technisch notwendige Cookies eingesetzt. Diese Cookies sind erforderlich, um die Website betriebsbereit zu halten und Funktionen wie die Anmeldung im Kundenkonto oder die Abwicklung von Zahlungen zu ermöglichen.
Konkret handelt es sich um: Session-Cookies von Supabase zur Aufrechterhaltung der Anmeldung im Kundenkonto, Session-Cookies von Stripe im Rahmen der Zahlungsabwicklung.
Eine Einwilligung ist hierfür nicht erforderlich, da diese Cookies für die Bereitstellung der von Ihnen ausdrücklich gewünschten Dienste unbedingt erforderlich sind.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.
Wir setzen derzeit keine Cookies für statistische, analytische oder Marketing-Zwecke ein.
14. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Maßgeblich sind insbesondere folgende Speicherfristen:
Vertragsdaten (Kundenstammdaten, Buchungen, Liefertermine): für die Dauer des Vertragsverhältnisses und darüber hinaus, soweit zur Anspruchsdurchsetzung oder -abwehr erforderlich.
Steuer- und buchhaltungsrelevante Unterlagen (insbesondere Rechnungen, Zahlungsbelege): 10 Jahre gemäß § 147 AO bzw. § 257 HGB.
Sonstige geschäftsrelevante Kommunikation: bis zu 6 Jahre gemäß § 257 HGB.
E-Mail-Korrespondenz ohne Vertragsbezug: bis zur abschließenden Bearbeitung der Anfrage, sofern keine gesetzlichen Aufbewahrungspflichten greifen.
Foto-Dokumentation im Kundenkonto: bis zur Beendigung des Vertragsverhältnisses zuzüglich einer angemessenen Übergangsfrist.
Widerrufserklärungen und zugehörige Eingaben: für die Dauer der Bearbeitung sowie darüber hinaus, soweit gesetzliche Aufbewahrungspflichten bestehen oder die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.
Backups werden im Rahmen der Supabase-Infrastruktur automatisch rotierend angelegt und nach Ablauf der vorgesehenen Aufbewahrungsfrist überschrieben.
15. Ihre Rechte
Sie haben jederzeit das Recht auf: Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO), Berichtigung unrichtiger Daten (Art. 16 DSGVO), Löschung Ihrer Daten (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO), Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Zur Ausübung dieser Rechte genügt eine E-Mail an info@jahresbox.de.
Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu. Für Jahresbox ist zuständig: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Straße 22, 7. OG, 20459 Hamburg, https://datenschutz-hamburg.de
16. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schützen. Die Übertragung erfolgt ausschließlich verschlüsselt (TLS). Zugriffsrechte werden nach dem Prinzip der minimalen Berechtigung vergeben; sensible Datenbankzugriffe sind durch Zugriffsregeln auf Datensatzebene abgesichert. Unsere Systeme werden regelmäßig aktualisiert und durch automatische Backups gegen Datenverlust gesichert. Administrative Zugänge sind durch Zwei-Faktor-Authentifizierung geschützt.
17. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version ist unter https://jahresbox.de/datenschutz abrufbar.
