Datenschutzerklärung - Shopilo Deutschland
Letzte Aktualisierung: 20. März 2026
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten wir auf shopilo.de verarbeiten, zu welchen Zwecken dies geschieht, auf welche Rechtsgrundlagen wir uns stützen und welche Rechte Ihnen zustehen. Wir nehmen den Schutz Ihrer Daten ernst und verarbeiten personenbezogene Daten nur im unbedingt erforderlichen Umfang.
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten auf shopilo.de ist:
DontPayFull SRLStr. Zece Mese Nr. 9, Ap. 1
024061 București
Rumänien
Handelsregistereintrag: J40/14765/2015 (Registru Comerțului București)
Steueridentifikationsnummer (USt-IdNr.): RO35294618
Gesetzliche Vertreter: Andrei Vasilescu (Geschäftsführer), Adrian Cristea (Technischer Direktor)
E-Mail (allgemein): [email protected]
E-Mail (Datenschutz): [email protected]
Telefon: +40 748 316 698
1.1 Datenschutzbeauftragter
Nach unserer Einschätzung ist die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO für unser Unternehmen derzeit nicht verpflichtend. Für alle Datenschutzfragen wenden Sie sich bitte an [email protected].
1.2 Was wir NICHT erheben
Shopilo.de erhebt ausdrücklich nicht:
- Zahlungsdaten oder Bankdaten - Käufe werden ausschließlich auf den Händlerseiten abgewickelt
- Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), z.B. Gesundheitsdaten, ethnische Herkunft, politische Überzeugungen
- Inhalt von Warenkörben beim jeweiligen Händler
- Affiliate-Tracking-Cookies - diese werden ausschließlich von Händlern auf deren eigenen Domains gesetzt; shopilo.de setzt selbst keine Affiliate-Cookies
2. Welche Daten verarbeiten wir und warum?
Die folgende Tabelle gibt einen Überblick über alle Verarbeitungstätigkeiten auf shopilo.de:
| Datenkategorie | Konkrete Daten | Verarbeitungszweck | Rechtsgrundlage | Aufbewahrung |
|---|---|---|---|---|
| A. Nutzungsdaten | Anonymisierte Navigationsverläufe, Stadt und Land (ermittelt aus IP-Adresse, IP wird anschliessend auf EU-Proxy-Server gekürzt und nicht vollständig gespeichert), Browser-Typ, Betriebssystem, Bildschirmauflösung, besuchte Seiten, Sitzungsdauer, Herkunfts-URL | Analyse der Website-Nutzung (Google Analytics 4), Optimierung des Dienstes, Fehlerdiagnose | Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse (Dienst-Optimierung und Sicherheit) | 26 Monate (GA4-Standard) |
| B. Cookie-/Einwilligungsdaten | Einwilligungspräferenzen und Zeitstempel der Einwilligung, gespeichert durch CookieScript | Nachweis und Verwaltung von Cookie-Einwilligungen gemäß TDDDG §25 und Art. 7 DSGVO | Art. 6 Abs. 1 lit. c DSGVO - rechtliche Verpflichtung | 13 Monate |
| C. Marketingdaten | Seitenaufrufe, Conversion-Ereignisse via Meta Pixel (nur bei erteilter Einwilligung aktiv) | Zielgruppenanalyse und Reichweitenmessung für Marketingkampagnen | Art. 6 Abs. 1 lit. a DSGVO - Einwilligung (über CookieScript eingeholt) | 90 Tage |
| D. Kontodaten | E-Mail-Adresse, Anzeigename, gespeicherte Suchpräferenzen (nur bei freiwilliger Kontoregistrierung) | Bereitstellung personalisierter Dienst-Funktionen (Merkliste, Suchhistorie, Preisalarm-Verwaltung) | Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung | Dauer der Kontolaufzeit + 30 Tage nach Kontoschließung |
| E. Preisalarm-Daten | E-Mail-Adresse für Preisbenachrichtigungen, gewünschtes Produkt und Zielpreis (nur bei ausdrücklicher Anmeldung) | Versand von Preisbenachrichtigungs-E-Mails bei Unterschreiten des gewünschten Preises | Art. 6 Abs. 1 lit. a DSGVO - Einwilligung; Einwilligung jederzeit widerrufbar | Bis zur Abmeldung vom Preisalarm |
2.1 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Soweit wir Nutzungsdaten auf Basis berechtigter Interessen verarbeiten, bestehen unsere berechtigten Interessen darin, den Dienst technisch stabil und nutzerfreundlich betreiben zu können, Missbrauch zu erkennen und zu verhindern sowie den Dienst anhand aggregierter Nutzungsstatistiken weiterzuentwickeln. Bei der Interessenabwägung haben wir berücksichtigt, dass die Daten vor Weitergabe an Google Analytics 4 serverseitig anonymisiert werden (IP-Kürzung via EU-Proxy, Google Signals deaktiviert) und keine Daten an Dritte für deren eigene Zwecke übermittelt werden.
2.2 Preisalarm und Newsletter - Double-opt-in
Preisalarme erfordern Ihre ausdrückliche Einwilligung per Double-opt-in-Verfahren gemäß Art. 6 Abs. 1 lit. a DSGVO. Sofern wir künftig einen Newsletter anbieten, gilt dasselbe; die Einholung der Einwilligung erfolgt gemäß §7 Abs. 2 Nr. 3 UWG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Berechtigtes Interesse ist als Rechtsgrundlage für E-Mail-Marketing ausdrücklich ausgeschlossen.
2.3 Minderjährige
Shopilo.de richtet sich nicht gezielt an Kinder oder Jugendliche unter 16 Jahren. Gemäß §8 BDSG in Verbindung mit Art. 8 DSGVO liegt das Einwilligungsalter in Deutschland bei 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Sollte uns bekannt werden, dass solche Daten erhoben wurden, werden wir sie unverzüglich löschen.
3. Auftragsverarbeiter und Empfänger
Wir setzen die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) abgeschlossen:
| Verarbeiter | Adresse | Zweck | Land | Rechtsgrundlage Transfer | Datenschutzinformation |
|---|---|---|---|---|---|
| Google LLC | 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA | Google Analytics 4 (Webanalyse) | USA | EU-US Data Privacy Framework (DPF) | policies.google.com/privacy |
| Meta Platforms Inc. | 1 Hacker Way, Menlo Park, CA 94025, USA | Meta Pixel (Marketing, nur mit Einwilligung) | USA | EU-US Data Privacy Framework (DPF) | facebook.com/privacy/policy |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Hosting und Serverbetrieb (inkl. EU-Proxy für GA4) | Deutschland (EU) | Art. 28 DSGVO (AVV vorhanden) - Intra-EU | hetzner.com/legal/privacy-policy |
| Cloudflare Inc. | 101 Townsend St., San Francisco, CA 94107, USA | CDN, DDoS-Schutz, Web-Sicherheit | USA (Verarbeitung über EU-PoPs) | EU-US DPF + Standardvertragsklauseln (SCC) | cloudflare.com/privacypolicy |
| CookieScript | EU | Cookie-Einwilligungsmanagement (Consent Management Platform) | EU | Art. 28 DSGVO (AVV vorhanden) - Intra-EU | cookie-script.com/privacy-policy |
Sonstige Dritte erhalten Ihre personenbezogenen Daten nur dann, wenn dies gesetzlich vorgeschrieben ist (z.B. auf Anforderung von Strafverfolgungsbehörden nach Vorlage einer rechtskräftigen Anordnung) oder wenn Sie ausdrücklich eingewilligt haben.
4. Internationale Datenübermittlungen
Einige unserer Auftragsverarbeiter sitzen außerhalb des Europäischen Wirtschaftsraums (EWR). Für derartige Drittlandübermittlungen stellen wir das nach Art. 44 ff. DSGVO erforderliche Schutzniveau wie folgt sicher:
4.1 Google LLC und Meta Platforms Inc. - EU-US Data Privacy Framework
Google LLC und Meta Platforms Inc. sind unter dem EU-US Data Privacy Framework (DPF) zertifiziert, das von der Europäischen Kommission mit Angemessenheitsbeschluss vom 10. Juli 2023 (C(2023) 4745) anerkannt wurde. Die Übermittlung in die USA ist daher gemäß Art. 45 DSGVO zulässig. Die aktuellen Zertifizierungen können unter dataprivacyframework.gov eingesehen werden.
4.2 Google Analytics 4 - Zusätzliche technische Schutzmaßnahmen
Wir haben Google Analytics 4 mit folgenden datenschutzfreundlichen Einstellungen konfiguriert:
- IP-Anonymisierung: Aktiv - Die IP-Adresse wird vor Übertragung an Google auf unserem EU-Proxy-Server (Hetzner, Deutschland) gekürzt, sodass kein vollständiger IP-Wert Google erreicht
- Serverseitiges Tagging: Aktiviert - Datenpunkte werden zunächst auf unserem EU-Server verarbeitet und gefiltert
- Google Signals: Deaktiviert - keine geräteübergreifende Nutzeridentifikation durch Google
4.3 Cloudflare Inc. - DPF und Standardvertragsklauseln
Cloudflare ist ebenfalls unter dem EU-US DPF zertifiziert. Zusätzlich sind Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Der Großteil der Datenverarbeitung erfolgt über europäische Points of Presence (PoPs) innerhalb des EWR.
4.4 Hetzner Online GmbH und CookieScript - Intra-EU
Hetzner Online GmbH (Deutschland) und CookieScript (EU) verarbeiten Daten ausschließlich innerhalb des EWR. Für diese Verarbeiter sind keine besonderen Drittland-Übermittlungsgarantien erforderlich.
6. Aufbewahrungsfristen
Personenbezogene Daten werden gelöscht oder anonymisiert, sobald der Verarbeitungszweck entfallen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die nachfolgende Tabelle fasst die Fristen zusammen:
| Datenkategorie | Aufbewahrungsfrist | Begründung / Quelle |
|---|---|---|
| A. Nutzungsdaten (GA4) | 26 Monate | GA4-Standardeinstellung; danach automatische Löschung durch Google |
| B. Cookie-/Einwilligungsdaten (CookieScript) | 13 Monate | Nachweis der Einwilligung; Erneuerung der Einwilligung nach Ablauf |
| C. Marketingdaten (Meta Pixel) | 90 Tage | Meta-Standard für Pixel-Ereignisdaten |
| D. Kontodaten | Kontolaufzeit + 30 Tage nach Löschung | Art. 6(1)(b) DSGVO (Vertragserfüllung); 30-Tage-Puffer für versehentliche Löschanfragen |
| E. Preisalarm-Daten | Bis zur Abmeldung | Einwilligung widerrufbar; danach sofortige Löschung |
| Server-Logs (Sicherheit) | 7 Tage (Cloudflare) / 30 Tage (Hetzner) | Sicherheitsprotokollierung; danach automatische Überschreibung |
Gesetzliche Aufbewahrungspflichten (z.B. steuerrechtliche Aufbewahrungspflichten gemäß rumänischem Steuerrecht) können im Einzelfall längere Aufbewahrungsfristen begründen. In diesem Fall beschränkt sich die Verarbeitung auf den gesetzlich erforderlichen Umfang.
7. Ihre Rechte
Als betroffene Person stehen Ihnen gegenüber DontPayFull SRL die folgenden Rechte zu. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an [email protected]. Wir beantworten Ihren Antrag innerhalb von einem Monat (Art. 12 Abs. 3 DSGVO).
7.1 Rechte nach DSGVO (Art. 15-22)
| Recht | Rechtsgrundlage | Inhalt |
|---|---|---|
| Auskunft | Art. 15 DSGVO | Bestätigung, ob wir personenbezogene Daten über Sie verarbeiten; Kopie der Daten und Informationen zur Verarbeitung |
| Berichtigung | Art. 16 DSGVO | Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten |
| Löschung | Art. 17 DSGVO | Löschung Ihrer personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht |
| Einschränkung | Art. 18 DSGVO | Einschränkung der Verarbeitung in den gesetzlich vorgesehenen Fällen (z.B. während der Prüfung einer Berichtigungsanfrage) |
| Datenübertragbarkeit | Art. 20 DSGVO | Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format und Übermittlung an einen anderen Verantwortlichen (gilt für automatisiert verarbeitete Daten auf Basis Einwilligung oder Vertrag) |
| Widerspruch | Art. 21 DSGVO | Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 6(1)(f)); wir stellen die Verarbeitung ein, sofern wir keine zwingenden schutzwürdigen Gründe nachweisen können |
| Widerruf der Einwilligung | Art. 7 Abs. 3 DSGVO | Jederzeit widerrufbar mit Wirkung für die Zukunft, ohne Angabe von Gründen; Widerruf berührt nicht die Rechtmäßigkeit der bisherigen Verarbeitung |
| Kein automatisiertes Entscheiden | Art. 22 DSGVO | Wir treffen keine auf ausschließlich automatisierter Verarbeitung beruhenden Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten |
7.2 Ergänzende Rechte nach BDSG für in Deutschland ansässige Personen
Ergänzend zu den DSGVO-Rechten stehen Ihnen als in Deutschland ansässige Person auch die Rechte gemäß BDSG zu, insbesondere:
- §32 BDSG (Auskunft) - Weitergehendes Auskunftsrecht in Bezug auf die Verarbeitung Ihrer Daten, soweit das BDSG über die DSGVO hinausgeht
- §35 BDSG (Löschung) - Ergänzende Regelungen zum Recht auf Löschung, insbesondere bei besonderer Kategorien oder besonderem Schutzbedarf
7.3 Keine Pflicht zur Bereitstellung von Daten
Die Nutzung der Grundfunktionen von shopilo.de setzt keine Angabe personenbezogener Daten voraus. Soweit die Inanspruchnahme bestimmter Funktionen (Konto, Preisalarm) die Angabe von Daten erfordert, werden Sie bei der Eingabe darauf hingewiesen. Die Nichtangabe dieser Daten hat lediglich zur Folge, dass die jeweilige Funktion nicht genutzt werden kann.
8. Aufsichtsbehörden
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO).
8.1 Federführende Aufsichtsbehörde (One-Stop-Shop)
Die zuständige federführende Aufsichtsbehörde gemäß Art. 56 DSGVO (One-Stop-Shop-Mechanismus) ist die rumänische Datenschutzbehörde:
ANSPDCP - Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal(Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten, Rumänien)
B-dul G-ral. Gheorghe Magheru 28-30, Sektor 1, 010336 București, Rumänien
Webseite: www.dataprotection.ro
8.2 Lokale Aufsichtsbehörde für deutsche Nutzer
Deutsche Nutzer können sich zudem an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)Graurheindorfer Str. 153, 53117 Bonn, Deutschland
Webseite: www.bfdi.bund.de
Alternativ können Sie sich auch an die Aufsichtsbehörde Ihres Bundeslandes wenden. Das Recht zur Beschwerde bei der Aufsichtsbehörde lässt andere Rechtsbehelfe unberührt.
9. Kontakt und Datenschutzanfragen
Für alle Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder für Datenschutzmitteilungen wenden Sie sich bitte an:
DontPayFull SRL - DatenschutzStr. Zece Mese Nr. 9, Ap. 1
024061 București
Rumänien
Datenschutz-E-Mail: [email protected]
Allgemeine Anfragen: [email protected]
Telefon: +40 748 316 698
Wir beantworten Datenschutzanfragen kostenlos innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Bei komplexen oder zahlreichen Anfragen können wir die Frist um weitere zwei Monate verlängern, worüber wir Sie vorab informieren werden.
9.1 Identitätsnachweise bei Betroffenenanfragen
Um Ihre Daten vor unbefugtem Zugriff zu schützen, können wir bei Betroffenenanfragen einen angemessenen Identitätsnachweis verlangen. Wir werden die erhobenen Identifikationsdaten ausschließlich zur Bearbeitung Ihrer Anfrage verwenden und anschließend löschen.
9.2 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtsvorschriften, technische Gegebenheiten oder unser Dienst ändern. Wesentliche Änderungen werden wir mindestens 14 Tage vor ihrem Inkrafttreten durch einen deutlichen Hinweis auf shopilo.de oder, soweit möglich, per E-Mail an registrierte Nutzer ankündigen. Die Änderungen gelten nicht durch fortgesetzte Nutzung des Dienstes als akzeptiert; vielmehr werden wir Sie um eine aktive Kenntnisnahme bitten. Das Datum der letzten Aktualisierung am Seitenanfang wird entsprechend angepasst.
Weitere rechtliche Informationen finden Sie in unserem Impressum, den Nutzungsbedingungen sowie in der Cookie-Richtlinie.
Stand: 20. März 2026 - DontPayFull SRL, București, Rumänien - J40/14765/2015 - USt-IdNr. RO35294618