Stand: 15. Mai 2026
Jahresbox
Inhaber: Marc Drebing
Randstraße 1
22525 Hamburg
Deutschland
Telefon: +49 (0) 40 1829 0669
E-Mail: info@jahresbox.de
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist der oben genannte Inhaber.
Wir behandeln personenbezogene Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Personenbezogene Daten werden nur verarbeitet, wenn dies zur Bereitstellung einer funktionsfähigen Website, zur Erfüllung vertraglicher Leistungen, zur Erfüllung rechtlicher Verpflichtungen oder auf Grundlage einer Einwilligung erforderlich ist.
Rechtsgrundlagen für die Verarbeitung sind je nach Vorgang:
Unsere Website wird gehostet von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel betreibt Server in verschiedenen Regionen weltweit; die für unsere Website primär genutzten Regionen liegen innerhalb der Europäischen Union.
Beim Aufruf unserer Website werden technisch erforderliche Informationen verarbeitet, insbesondere:
Diese Daten werden zur Auslieferung der Website, zur Gewährleistung ihrer Sicherheit (insbesondere Schutz vor Angriffen) und zur Sicherstellung ihrer Funktionsfähigkeit benötigt.
Eine Übermittlung von Daten in die USA kann im Rahmen des Betriebs der Vercel-Infrastruktur erfolgen. Vercel Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb einer funktionsfähigen Website).
Mit Vercel besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://vercel.com/legal/privacy-policy
Wir nutzen den Webanalysedienst Vercel Analytics, betrieben von Vercel Inc., zur Auswertung der Nutzung unserer Website (insbesondere Seitenaufrufe, Top-Pages, Geräte- und Browser-Verteilung).
Vercel Analytics arbeitet vollständig ohne Cookies und ohne Erstellung von Nutzungsprofilen. Es werden ausschließlich aggregierte und anonyme Daten erhoben; eine Wiedererkennung einzelner Besucher über mehrere Seitenaufrufe hinweg findet nicht statt. Eine Personenbeziehbarkeit der erhobenen Daten ist ausgeschlossen.
Ergänzend nutzen wir Vercel Speed Insights zur Messung technischer Leistungsdaten (z. B. Ladezeiten); auch dieser Dienst arbeitet aggregiert und ohne Personenbezug.
Eine Übermittlung an Vercel Inc. (USA) kann erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datenschutzfreundlicher Reichweitenanalyse).
Weitere Informationen: https://vercel.com/docs/analytics/privacy-policy
Für die Speicherung von Kundendaten, die Verwaltung von Buchungen sowie für die Authentifizierung (Login per Magic Link) nutzen wir Supabase, betrieben durch Supabase Inc., 970 Toa Payoh North, #07-04, Singapore. Die für uns genutzten Server stehen in der Region Frankfurt am Main, Deutschland (AWS-Infrastruktur).
Verarbeitet werden insbesondere:
Eine Übermittlung von Daten an Supabase Inc. außerhalb der EU kann in einzelnen Fällen erfolgen (z. B. zu Support- und Administrationszwecken). In diesen Fällen bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://supabase.com/privacy
Im Bestellprozess bieten wir eine Adress-Vorschlagsfunktion an, die das Eingeben Ihrer Adresse erleichtert und die korrekte Schreibweise prüft. Hierfür nutzen wir den Dienst Geoapify, betrieben durch Geoapify s.r.o., Letenská 121/8, 118 00 Praha 1, Tschechische Republik.
Während der Adresseingabe werden Ihre Eingaben (z. B. teilweise oder vollständige Straßen-, Hausnummern- und Ortsangaben) an Geoapify übermittelt, um passende Vorschläge zurückzuliefern. Die Verarbeitung erfolgt auf Servern in der Europäischen Union; eine Übermittlung in Drittländer findet nicht statt.
Die Adressdaten werden ausschließlich zum Zweck der Adressvalidierung verarbeitet. Geoapify nutzt keine Cookies oder vergleichbaren Technologien.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Sicherstellung einer korrekten Lieferadresse).
Mit Geoapify besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://www.geoapify.com/privacy-policy
Im Kundenkonto haben Kunden die Möglichkeit, Fotos der von ihnen eingelagerten Gegenstände hochzuladen. Diese Fotos werden ausschließlich auf Servern von Supabase in Frankfurt am Main gespeichert und sind nur dem jeweiligen Kunden zugänglich (Zugriffsschutz über Zugriffsregeln auf Datensatzebene). Eine Auswertung oder Einsicht durch Jahresbox erfolgt nicht, soweit dies nicht ausdrücklich zur Bearbeitung einer Anfrage oder zur Mängelaufklärung erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Die Fotos werden bis zur Beendigung des Vertragsverhältnisses zuzüglich einer angemessenen Übergangsfrist gespeichert und anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Zur Zahlungsabwicklung nutzen wir Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Stripe verarbeitet personenbezogene Daten (insbesondere Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsart, Zahlungsbetrag und Zahlungsverlauf) auch als eigenständig Verantwortliche zur Erfüllung regulatorischer und vertraglicher Pflichten. Eine Übermittlung in die USA kann an die US-Muttergesellschaft Stripe, Inc. erfolgen, abgesichert durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Verpflichtungen).
Weitere Informationen zur Datenverarbeitung durch Stripe: https://stripe.com/de/privacy
Für den Versand transaktionsbezogener E-Mails (insbesondere Bestellbestätigungen, Login-Links, Terminbestätigungen und Erinnerungen) nutzen wir Resend, betrieben durch Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.
Verarbeitet werden insbesondere E-Mail-Adresse, Name sowie der Inhalt der jeweiligen Nachricht. Eine Übermittlung in die USA kann erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://resend.com/legal/privacy-policy
Persönliche E-Mail-Korrespondenz (z. B. Anfragen an info@jahresbox.de) wird über zwei Anbieter abgewickelt:
a) IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland. IONOS hostet das E-Mail-Postfach. Eingehende und ausgehende E-Mails werden auf Servern von IONOS in Deutschland gespeichert. Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
b) Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Wir rufen die E-Mails zusätzlich per IMAP/POP über Google Workspace ab, um sie dort zu lesen und zu beantworten. Dabei werden die E-Mails im Rahmen der Google-Workspace-Infrastruktur gespeichert. Eine Übermittlung an die Google LLC (USA) kann erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Cloud Data Processing Addendum).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (soweit zur Vertragserfüllung erforderlich) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
E-Mails werden gelöscht, sobald die Anfrage abschließend bearbeitet ist, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Für die interne Bearbeitung von Geschäftsvorgängen (insbesondere Dokumentenablage, interne Tabellen und Terminverwaltung) nutzen wir Google Workspace, ein Produkt der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
In Google Workspace werden personenbezogene Daten unserer Kunden insbesondere in folgenden Komponenten verarbeitet:
Wir nutzen Google Workspace in der Business-Starter-Variante; eine ausschließliche Speicherung in der Europäischen Union ist in dieser Variante nicht verfügbar. Eine Übermittlung in die USA an die Google LLC kann daher erfolgen und ist durch das EU-US Data Privacy Framework sowie Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten internen Organisation).
Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Weitere Informationen: https://workspace.google.com/terms/dpa_terms.html
Auf unserer Website werden ausschließlich technisch notwendige Cookies eingesetzt. Diese Cookies sind erforderlich, um die Website betriebsbereit zu halten und Funktionen wie die Anmeldung im Kundenkonto oder die Abwicklung von Zahlungen zu ermöglichen.
Konkret handelt es sich um:
Eine Einwilligung ist hierfür nicht erforderlich, da diese Cookies für die Bereitstellung der von Ihnen ausdrücklich gewünschten Dienste unbedingt erforderlich sind.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG.
Wir setzen derzeit keine Cookies für statistische, analytische oder Marketing-Zwecke ein.
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Maßgeblich sind insbesondere folgende Speicherfristen:
Backups werden im Rahmen der Supabase-Infrastruktur automatisch rotierend angelegt und nach Ablauf der vorgesehenen Aufbewahrungsfrist überschrieben.
Sie haben jederzeit das Recht auf:
Zur Ausübung dieser Rechte genügt eine E-Mail an info@jahresbox.de.
Zudem steht Ihnen ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu. Für Jahresbox ist zuständig:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 7. OG
20459 Hamburg
https://datenschutz-hamburg.de
Wir treffen technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schützen. Die Übertragung erfolgt ausschließlich verschlüsselt (TLS). Zugriffsrechte werden nach dem Prinzip der minimalen Berechtigung vergeben; sensible Datenbankzugriffe sind durch Zugriffsregeln auf Datensatzebene abgesichert. Unsere Systeme werden regelmäßig aktualisiert und durch automatische Backups gegen Datenverlust gesichert. Administrative Zugänge sind durch Zwei-Faktor-Authentifizierung geschützt.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, falls sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version ist unter https://jahresbox.de/datenschutz abrufbar.