Datenschutzerklärung

Stand: Mai 2026 (Rev. 6)

1 Verantwortlicher

Bodyfit Handels KG
Marke: The Virtù Line
Wiener Straße 190, 4020 Linz, Österreich
Telefon: +43 5356 90990
E-Mail: info@bodyfit-shop.at
Vertretungsbefugt: Daniel Hofer, Carina Hager BSc

2 Datenschutzbeauftragter

Aufgrund von Art und Umfang unserer Datenverarbeitung sind wir gemäß Art. 37 DSGVO nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Datenschutzrechtliche Anfragen richten Sie bitte direkt an info@bodyfit-shop.at.

3 Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG). Eine Verarbeitung erfolgt nur, sofern eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO besteht:

  • lit. a – Einwilligung der betroffenen Person
  • lit. b – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen
  • lit. c – Erfüllung einer rechtlichen Verpflichtung
  • lit. f – Wahrung berechtigter Interessen, sofern keine überwiegenden Interessen der betroffenen Person entgegenstehen

Soweit wir uns für Verarbeitungen auf Art. 6 Abs. 1 lit. f DSGVO stützen, ist unser berechtigtes Interesse jeweils im konkreten Abschnitt benannt.

4 Aufruf der Website und Server-Logfiles

Beim bloßen Aufruf der Website werden technisch erforderliche Daten erhoben: IP-Adresse, Datum und Uhrzeit, übertragene Datenmenge, Quelle der Anforderung, verwendeter Browser, Betriebssystem und Sprache.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Berechtigtes Interesse: Sicherstellung des stabilen Betriebs der Website, Erkennung und Abwehr von Angriffen.
Speicherdauer: maximal 14 Tage, anschließend Löschung oder Anonymisierung.

5 Hosting und Shop-System – Shopify

Diese Website wird auf der Plattform Shopify (Shopify International Limited, 2nd Floor, Victoria Buildings, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland) betrieben. Shopify verarbeitet in unserem Auftrag personenbezogene Daten zur Bereitstellung des Shops, zur Abwicklung von Bestellungen und zur Sicherstellung der Erreichbarkeit. Eine Datenübermittlung in die USA und nach Kanada kann erfolgen; Shopify ist gemäß EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Bereitstellung eines stabilen, sicheren Shopsystems).
Details: shopify.com/legal/privacy.

5.1 Shopify Network Intelligence

Im Rahmen der Shopify-Plattform nutzen wir zentral bereitgestellte Marketing-, Empfehlungs- und Optimierungsfunktionen, die in ihrer Gesamtheit als „Shopify Network Intelligence" bezeichnet werden. Hierzu zählen insbesondere die automatisierte Erinnerung an unvollständige Bestellungen (siehe Abschnitt 6b), Shop Campaigns, Audiences, Bewertungsmanagement und die Absenderkonfiguration für Shopify Email.

Verarbeitete Daten: aggregierte Bestell-, Reichweiten- und Verhaltensdaten innerhalb des Shopify-Netzwerks, soweit für die jeweilige Funktion erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung von Vertriebs- und Marketingprozessen sowie an der Bereitstellung zeitgemäßer E-Commerce-Funktionen).

Drittland-Übermittlung: erfolgt im Rahmen des in Abschnitt 5 beschriebenen Auftragsverarbeitungsverhältnisses mit Shopify (USA und Kanada, EU-US Data Privacy Framework bzw. Angemessenheitsbeschluss Kanada).

Widerspruch: über die Datenschutzeinstellungen im Shopify-Kundenkonto sowie auf Anfrage unter info@bodyfit-shop.at.

6 Bestellabwicklung

Bei einer Bestellung verarbeiten wir die zur Vertragsabwicklung notwendigen Daten: Vor- und Nachname, Liefer- und Rechnungsadresse, E-Mail-Adresse, Telefonnummer, Bestellinhalt, Zahlungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Aufbewahrungsfrist: gemäß § 132 BAO und § 212 UGB sieben Jahre, danach Löschung.
Folgen der Nichtbereitstellung: Die Bereitstellung der vorstehenden Pflichtangaben ist zur Begründung und Durchführung des Kaufvertrags erforderlich (Art. 13 Abs. 2 lit. e DSGVO). Ohne diese Daten kann der Kaufvertrag nicht zustande kommen oder erfüllt werden.

6a Geschenkgutscheine an Dritte

Bei Erwerb eines Geschenkgutscheins für eine andere Person verarbeiten wir die von Ihnen angegebenen Empfängerdaten (Name oder Kurzname, E-Mail-Adresse sowie eine etwaige persönliche Nachricht) ausschließlich zum Versand des Gutscheins und der Nachricht an die Empfängerin oder den Empfänger.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung Ihnen gegenüber) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfüllung des Schenkungsvorgangs).

Eine weitergehende Verwendung der Empfängerdaten – insbesondere für Werbezwecke – erfolgt nicht. Sollte die Empfängerin oder der Empfänger der Verarbeitung widersprechen, leiten Sie uns dies bitte unter info@bodyfit-shop.at weiter; wir löschen die Daten dann unverzüglich.

6b Erinnerung an unvollständige Bestellungen

Wenn Sie im Bestellprozess Ihre E-Mail-Adresse eingegeben, den Bestellvorgang aber nicht abgeschlossen haben, kann unser Shopsystem Ihnen automatisiert eine Erinnerung an Ihren noch offenen Warenkorb zusenden.

Verarbeitete Daten: E-Mail-Adresse, Inhalt des Warenkorbs (gewählte Produkte, Varianten, Mengen), gegebenenfalls eingegebene Liefer- und Rechnungsadresse, Zwischensumme, Zeitpunkt des Abbruchs.

Rechtsgrundlage: Ihre im Bestellprozess erteilte Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 174 TKG. Der Versand der Erinnerung erfolgt nur, wenn Sie im Checkout der Verwendung Ihrer Kontaktdaten für Erinnerungen und Marketingzwecke ausdrücklich zugestimmt haben. Ohne Einwilligung wird keine Erinnerung versendet.

Sie können der weiteren Nutzung Ihrer Daten zu diesem Zweck jederzeit mit Wirkung für die Zukunft widersprechen, indem Sie auf die Erinnerungs-E-Mail antworten oder uns formlos unter info@bodyfit-shop.at kontaktieren. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt (Art. 7 Abs. 3 DSGVO).

Speicherdauer: nicht abgeschlossene Warenkorbdaten werden in unserem Shopsystem für maximal 90 Tage gespeichert und anschließend automatisiert gelöscht, sofern aus der Bestellung kein Vertragsschluss zustande kommt.
Empfänger der Daten: ausschließlich wir als Verantwortlicher sowie Shopify als Auftragsverarbeiter im Rahmen des in Abschnitt 5 beschriebenen Hosting- und Shopsystems.

7 Zahlungsdienstleister

Sämtliche Karten- und Kontodaten werden im Bestellprozess verschlüsselt direkt an den jeweiligen Zahlungsdienstleister übermittelt. Wir selbst erhalten und speichern keine vollständigen Kartennummern, CVV-Codes oder Bankzugangsdaten. Die Zahlungsabwicklung erfolgt ausschließlich über Anbieter, die nach dem Payment Card Industry Data Security Standard (PCI-DSS) zertifiziert sind.

Wir setzen folgende Zahlungsdienstleister ein. Die Datenverarbeitung erfolgt jeweils auf Grundlage Art. 6 Abs. 1 lit. b DSGVO.

  • Shopify Payments – Shopify International Limited, Dublin, Irland. Wickelt Kreditkarten- und Debitkartenzahlungen (Visa, Mastercard, American Express, Maestro) sowie je nach Endgerät Apple Pay und Google Pay ab. Übermittelte Daten: Name, Rechnungsadresse, Karten- und Transaktionsdaten.
  • PayPal – PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg. Bei Zahlung über PayPal werden die zur Abwicklung erforderlichen Daten an PayPal übermittelt.
  • Klarna – Klarna Bank AB (publ), Sveavägen 46, 11134 Stockholm, Schweden. Bei Wahl einer Klarna-Zahlungsart (Rechnungskauf, Ratenzahlung) übermittelt Klarna die zur Identitäts- und Bonitätsprüfung erforderlichen Daten an Auskunfteien (in Österreich u. a. KSV1870, CRIF GmbH; in Deutschland u. a. SCHUFA Holding AG). Klarna trifft auf Basis dieser Daten eine automatisierte Einzelfallentscheidung im Sinne des Art. 22 DSGVO über die Annahme der Bestellung in der gewählten Zahlart. Sie haben das Recht, eine Überprüfung dieser automatisierten Entscheidung durch eine natürliche Person bei Klarna zu verlangen sowie Ihren Standpunkt darzulegen. Details und Datenschutzhinweise: klarna.com/at/datenschutz.
  • Vorauskasse / Banküberweisung – Erfolgt manuell auf unser Geschäftskonto bei der Raiffeisenlandesbank Oberösterreich AG. Es werden keine Daten an Drittdienstleister übermittelt.

Starke Kundenauthentifizierung (SCA). Bei Online-Zahlungen mit Karte oder vergleichbaren Zahlungsmitteln ist gemäß der EU-Zahlungsdiensterichtlinie (PSD2) und dem österreichischen Zahlungsdienstegesetz 2018 (ZaDiG 2018) in den meisten Fällen eine starke Kundenauthentifizierung erforderlich. Dabei wird Ihre Zahlung zusätzlich zur Karten- bzw. Kontoinformation durch ein zweites unabhängiges Verfahren bestätigt – etwa per Bestätigungs-App, SMS-Code oder biometrischem Verfahren Ihres Karten- oder Finanzinstituts. Die Authentifizierung erfolgt direkt zwischen Ihnen und Ihrem Finanzinstitut bzw. dem zuständigen Zahlungsdienstleister; wir selbst erhalten keine Authentifizierungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 87 ZaDiG 2018 sowie der delegierten Verordnung (EU) 2018/389 (RTS-SCA).

8 Versanddienstleister

Zur Lieferung übermitteln wir Name, Lieferadresse und ggf. E-Mail oder Telefon an den jeweils beauftragten Paket- oder Speditionsdienstleister (z. B. Österreichische Post AG, DHL, GLS, DPD, sowie Speditionspartner für Großgeräte).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

9 Cookies und Consent-Management

Beim Aufruf der Website werden technisch erforderliche Cookies gesetzt (Warenkorb, Sitzungsverwaltung, Sicherheit, Sprachauswahl).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Berechtigtes Interesse: Sicherstellung der Grundfunktionen des Shops.

Nicht-essenzielle Cookies und Tracking-Technologien werden ausschließlich nach Ihrer aktiven Einwilligung geladen. Die Einwilligungssteuerung erfolgt über das in Shopify integrierte Cookie-Banner und die zugehörige Customer Privacy API von Shopify. Diese stellt sicher, dass Drittanbieter-Skripte – insbesondere Analyse- und Werbe-Cookies – erst nach Ihrer Zustimmung ausgeführt werden. Die Einwilligung kann jederzeit über den Footer-Link „Cookie-Einstellungen" widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 165 Abs. 3 TKG.

Folgende Tools werden ausschließlich bei aktiver Einwilligung geladen:

  • Shopify Analytics – Reichweitenanalyse innerhalb der Shopify-Plattform. Anbieter: Shopify International Ltd. Speicherdauer bis zu 24 Monate.
  • Google Analytics 4 – Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Webanalysedienst zur Auswertung von Seitenaufrufen, Verweildauer, Nutzerinteraktionen, Geräteinformationen sowie Conversion- und E-Commerce-Daten (Käufe, Warenkorb-Aktionen). Unsere Mess-ID: G-RLRRXJ181N. IP-Adressen werden gekürzt verarbeitet. Speicherdauer der Cookies bis zu 24 Monate. Übermittlung in die USA möglich (EU-US Data Privacy Framework). Sie können das Tracking zusätzlich über das Browser-Add-on tools.google.com/dlpage/gaoptout deaktivieren.
  • Google Tag (Google & YouTube App) – Google Ireland Limited. Übergreifender Tag-Container (Tag-ID GT-NF7F9H4W), der gemeinsam mit Google Analytics 4 die Verknüpfung zu weiteren Google-Diensten (Google Merchant Center, ggf. Google Ads) ermöglicht. Speicherdauer bis zu 24 Monate. Übermittlung in die USA möglich (EU-US Data Privacy Framework).
  • Meta Pixel (Facebook & Instagram) – Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland. Conversion-Tracking, Retargeting für Werbeanzeigen auf Facebook und Instagram. Speicherdauer bis zu 180 Tage. Übermittlung in die USA möglich (EU-US Data Privacy Framework). Zur Einbindung von Facebook- und Instagram-Shopping als Vertriebskanal sowie zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO siehe Abschnitt 15.3.
  • Instagram-Feed (Square Instagram Feed) – Einbindung des Instagram-Feeds. Beim Laden werden Daten an Meta Platforms Ireland Ltd. übertragen.
  • G | translate Shop Translator – Übersetzungsdienst von Edge GmbH. Beim Aufruf werden Spracheinstellung und ggf. Inhalte zur Übersetzung verarbeitet.

10 Bot-Schutz und Sicherheit

Im Login- und Bestellprozess setzen wir Captcha-Mechanismen von Shopify ein, um die Website vor automatisierten Anfragen, Spam und Angriffen zu schützen. Dabei werden technische Daten verarbeitet (IP-Adresse, Browser-Informationen, Mauszeiger- und Tastatur-Interaktionen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Berechtigtes Interesse: Schutz der Website-Infrastruktur und der Bestellprozesse vor Missbrauch.

11 Funktionale Apps und Auftragsverarbeiter

Im Rahmen des Shopbetriebs setzen wir folgende Anwendungen ein, die in unserem Auftrag personenbezogene Daten verarbeiten:

  • EcomRise Upsell & Bundle – Anzeige passender Zusatzprodukte im Bestellprozess.
  • EComposer Builder – Erstellung und Pflege von Seiteninhalten.
  • Translate & Adapt – Inhaltliche Übersetzung des Shops (Shopify-eigen).
  • Shopify Email (Messaging) – E-Mail-Versand an Kunden im Rahmen der Bestellabwicklung.
  • Google & YouTube (Sales-Channel-App) – Shopify-Integration von Google Ireland Limited. Stellt die Verbindung zwischen unserem Shop und den Google-Diensten (Google Analytics 4, Google Merchant Center, ggf. Google Ads) her. Verarbeitet zur Produkt-Synchronisation, Conversion-Messung und Listing-Pflege Produktinformationen sowie aggregierte Bestelldaten.

Rechtsgrundlage jeweils Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Berechtigtes Interesse: ordnungsgemäße Abwicklung der Geschäftsprozesse und mehrsprachige Bereitstellung des Angebots. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

12 Kundenkonto

Sie können freiwillig ein Kundenkonto anlegen. Die dort gespeicherten Daten dienen der Bestellhistorie, der Adressverwaltung und der vereinfachten Bestellabwicklung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Sie können das Konto jederzeit selbst löschen oder per Nachricht an uns deaktivieren lassen.

13 Kontaktaufnahme

Bei Kontaktaufnahme per E-Mail, Telefon oder Kontaktformular werden Ihre Angaben zur Bearbeitung der Anfrage verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO.
Berechtigtes Interesse: zeitnahe Beantwortung von Anfragen.
Speicherdauer: bis zur abschließenden Bearbeitung, längstens drei Jahre.

14 Empfänger und Drittlandtransfer

Eine Übermittlung in Drittländer (insbesondere USA, Kanada) erfolgt ausschließlich an Empfänger, mit denen Standardvertragsklauseln nach Art. 46 DSGVO bestehen oder die nach EU-US Data Privacy Framework zertifiziert sind. Auf Wunsch stellen wir Ihnen eine Kopie der Garantien zur Verfügung.

15 Vertriebskanäle und Drittplattformen

Wir bieten unsere Produkte neben unserem Online-Shop www.virtu-line.com auch über weitere, von Shopify bereitgestellte oder integrierte Vertriebskanäle an. Bei der Nutzung dieser Kanäle werden personenbezogene Daten der Besucher und Kunden auch durch den jeweiligen Plattformbetreiber verarbeitet. Im Folgenden informieren wir über die wesentlichen Datenflüsse:

15.1 Shopify Shop-App

Anbieter: Shopify Inc., 151 O'Connor Street, Ottawa, Ontario, K2P 2L8, Kanada (für Kunden im Europäischen Wirtschaftsraum: Shopify International Ltd., 2nd Floor Victoria Buildings, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland).
Zweck: Darstellung unserer Produkte in der Shopify Shop-App, Abwicklung von Bestellungen, Bestell-Tracking, Wiedererkennung des Kunden über sein Shopify-Konto.
Verarbeitete Daten: Bestelldaten, Kontaktdaten, IP-Adresse, Geräte- und Browser-Informationen, ggf. mit dem Shopify-Konto verknüpfte Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung effizienter Vertriebskanäle).
Drittland-Übermittlung: Übermittlungen in Drittstaaten (Kanada, USA) erfolgen auf Grundlage eines EU-Angemessenheitsbeschlusses (Kanada) bzw. der Standardvertragsklauseln und – sofern anwendbar – des EU-US Data Privacy Frameworks.

15.2 Agentic Storefronts (KI-Vertriebskanäle)

Wir nehmen am Shopify-Programm „Agentic Storefronts" teil. Über dieses Programm können KI-gestützte Anwendungen und Plattformen unsere Produktdaten verarbeiten und – im Fall eines tatsächlichen Bestellvorgangs über einen Partner – auch personenbezogene Kundendaten erhalten.

Aktuell aktive Partner:

  • ChatGPT – OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA (für Kunden im Europäischen Wirtschaftsraum: OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland).
  • Microsoft Copilot – Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA (für Kunden im Europäischen Wirtschaftsraum: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland).
  • Shop – Shopify Inc., 151 O'Connor Street, Ottawa, Ontario, K2P 2L8, Kanada (für Kunden im Europäischen Wirtschaftsraum: Shopify International Ltd., 2nd Floor Victoria Buildings, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland).

Zweck: Auffindbarkeit unserer Produkte in KI-gestützten Such- und Chat-Diensten, Produktempfehlungen, Such- und Ranking-Funktionen sowie – sofern ein Kunde über einen Agentic-Storefronts-Partner einen Bestellvorgang einleitet – die Initiierung, Verarbeitung und Abwicklung dieser Bestellung, Übermittlung von Bestellstatus-Aktualisierungen, Betrugsbekämpfung und Erfüllung rechtlicher Verpflichtungen.

Verarbeitete Daten:

  • Produktinformationen aus dem Shopify Catalog (Titel, Beschreibungen, Bilder, Preise, Varianten, Verfügbarkeit, Versandinformationen) und Inhalte unserer Shop-Richtlinien.
  • Ausschließlich im Fall eines über einen Partner getätigten Bestellvorgangs: die zur Bestellabwicklung erforderlichen personenbezogenen Daten (Name, Liefer- und Rechnungsadresse, E-Mail-Adresse, Telefonnummer, Bestellinhalt, Zahlungs-Metadaten, Bestellstatus). Vollständige Karten- und Zahlungsdaten werden weiterhin ausschließlich gemäß Abschnitt 7 verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung zusätzlicher Vertriebs- und Sichtbarkeitskanäle, insbesondere im wachsenden KI-gestützten Discovery-Markt für hochwertige Pilates- und Trainingsgeräte). Für die Verarbeitung eines konkreten Bestellvorgangs über einen Partner zusätzlich Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung).

Verantwortlichkeits-Struktur: Im Rahmen der Bereitstellung des Programms verarbeitet Shopify die Daten in unserem Auftrag als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die jeweiligen Participating Partners verarbeiten die ihnen übermittelten Daten als eigenständig Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO oder – soweit eine gemeinsame Festlegung von Zwecken und Mitteln vorliegt – als gemeinsam Verantwortliche gemäß Art. 26 DSGVO.

Drittland-Übermittlung:

  • USA (OpenAI, Microsoft): Übermittlungen erfolgen auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795), soweit der jeweilige Empfänger zertifiziert ist. Subsidiär gelten EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 in Verbindung mit dem Shopify-Datenverarbeitungsvertrag (https://www.shopify.com/legal/dpa) sowie den Partner-Datenschutzrichtlinien.
  • Kanada (Shopify Inc.): Übermittlungen erfolgen auf Grundlage des EU-Angemessenheitsbeschlusses für Kanada gemäß Art. 45 DSGVO (Beschluss 2002/2/EG vom 20. Dezember 2001).

Weitere Informationen:

Widerspruch und Opt-Out: Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen (Art. 21 DSGVO). Wir können die Übermittlung Ihrer Produkt- und Bestelldaten an einzelne oder alle Agentic-Storefronts-Partner deaktivieren; die entsprechenden Einstellungen verwalten wir im Shopify Admin. Anfragen richten Sie bitte an info@bodyfit-shop.at unter dem Stichwort „Agentic Storefronts Widerspruch". Hinweis: Auch nach Deaktivierung können bereits an einen Partner übermittelte Daten gemäß dessen eigener Aufbewahrungs- und Löschfristen weiter gespeichert werden.

Speicherdauer: bei uns gemäß Abschnitt 6 (Bestellabwicklung) bzw. den steuer- und unternehmensrechtlichen Aufbewahrungsfristen; bei den Partnern gemäß deren jeweiliger Datenschutzrichtlinien.

15.3 Meta-Plattformen (Facebook, Instagram, Meta-Pixel)

Anbieter: Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, D04 X2K5, Irland (gemeinsame Verantwortlichkeit mit Meta Platforms Inc., 1601 Willow Road, Menlo Park, CA 94025, USA).
Zweck: Darstellung unserer Produkte auf Facebook und Instagram (Shopping-Funktion), Reichweitenanalyse, Conversion-Tracking, ggf. zielgerichtete Werbung.
Verarbeitete Daten: IP-Adresse, Geräte- und Browser-Informationen, Pseudo-Identifier (z. B. Cookies, Fingerprint), Interaktionen mit unseren Inhalten, ggf. Bestelldaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über unser Consent-Banner). Ohne Ihre Einwilligung werden keine Daten an Meta übermittelt, die über die zur Bereitstellung notwendigen technischen Daten hinausgehen. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
Gemeinsame Verantwortlichkeit: Für die Verarbeitung im Rahmen von Facebook-Insights und Meta-Pixel besteht eine gemeinsame Verantwortlichkeit zwischen uns und Meta gemäß Art. 26 DSGVO. Die Vereinbarung ist abrufbar unter https://www.facebook.com/legal/controller_addendum.
Drittland-Übermittlung: Übermittlungen in die USA erfolgen auf Grundlage der Standardvertragsklauseln und – sofern anwendbar – des EU-US Data Privacy Frameworks.

15.4 Google-Plattformen (Search, Shopping, Merchant Center, Business Profile)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für Kunden im Europäischen Wirtschaftsraum); konzernverbundene Empfänger: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Zweck: Auffindbarkeit unserer Produkte und Standorte über Google-Dienste (Google-Suche, Google Shopping, Google Maps, Google Business Profile), kostenlose Produkt-Listings sowie Reichweiten- und Indexierungsanalyse über Google Search Console.
Verarbeitete Daten: Produktinformationen, Geschäftsdaten unserer Showrooms (Adresse, Öffnungszeiten, Telefon, Fotos, Posts), aggregierte Suchanfragen und Klick-/Impressionsdaten (Google Search Console), Statistiken zu Profil-Aufrufen, Anrufen und Wegbeschreibungen (Google Business Profile). Personenbezogene Webanalysedaten werden ausschließlich nach Einwilligung über unser Consent-Banner und Google Analytics 4 verarbeitet (siehe Abschnitt 9).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung zusätzlicher Vertriebs- und Sichtbarkeits-Kanäle für unsere Showrooms und Produkte). Für die personenbezogene Webanalyse zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittland-Übermittlung: Übermittlungen in die USA erfolgen auf Grundlage der Standardvertragsklauseln und – sofern anwendbar – des EU-US Data Privacy Frameworks. Google ist nach dem EU-US Data Privacy Framework zertifiziert.

15.5 Microsoft Bing Webmaster Tools

Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland.
Zweck: Reichweiten-, Indexierungs- und Performance-Analyse unseres Auftritts in der Suchmaschine Bing.
Verarbeitete Daten: ausschließlich aggregierte, nicht direkt personenbezogene Daten zu Suchanfragen, Impressionen und Klicks.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse unserer Sichtbarkeit in Suchmaschinen).
Drittland-Übermittlung: Übermittlungen in die USA erfolgen auf Grundlage der Standardvertragsklauseln und – sofern anwendbar – des EU-US Data Privacy Frameworks.

15.6 Betroffenenrechte

Ihre Betroffenenrechte für die unter diesem Abschnitt beschriebenen Verarbeitungen ergeben sich aus Abschnitt 16. Anfragen richten Sie bitte an info@bodyfit-shop.at.

16 Ihre Rechte

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt (Art. 7 Abs. 3 DSGVO).

Beschwerderecht bei der österreichischen Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, www.dsb.gv.at.

17 Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Maßgabe des Art. 32 DSGVO, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen. Hierzu zählen insbesondere:

  • Transportverschlüsselung: TLS (Transport Layer Security, Version 1.2 oder höher) bei der gesamten Datenübertragung — erkennbar am https in der Adresszeile sowie am Schlosssymbol Ihres Browsers.
  • Verschlüsselte Speicherung sensibler Daten: Passwörter werden ausschließlich als kryptografische Hashes gespeichert. Vollständige Karten- und Zahlungsdaten werden nicht bei uns, sondern direkt bei den nach PCI-DSS zertifizierten Zahlungsdienstleistern verarbeitet (siehe Abschnitt 7).
  • Zugriffskontrolle: Zugriff auf personenbezogene Daten ausschließlich durch befugte Mitarbeiter, rollenbasierte Berechtigungsvergabe und regelmäßige Überprüfung der Zugriffsrechte.
  • Systemwartung: Regelmäßige Sicherheitsupdates und Patches der eingesetzten Softwarekomponenten innerhalb der Shopify-Plattform.
  • Datensicherung: Automatisierte Datensicherungen (Backups) innerhalb der Shopify-Plattform-Infrastruktur.
  • Sensibilisierung: Schulung und vertragliche Verpflichtung unserer Mitarbeiter zum vertraulichen Umgang mit personenbezogenen Daten.

Bitte beachten Sie, dass eine vollständige Sicherheit bei der Datenübertragung im Internet technisch nicht garantiert werden kann. Wir empfehlen ergänzend die Verwendung sicherer Passwörter und die sorgfältige Geheimhaltung Ihrer Zugangsdaten.

18 Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen. Im Einzelnen:

  • Server-Logfiles: maximal 14 Tage, anschließend Löschung oder Anonymisierung (siehe Abschnitt 4).
  • Bestelldaten / Vertragsabwicklung: sieben Jahre nach vollständiger Abwicklung der Bestellung gemäß § 132 BAO und § 212 UGB (steuer- und unternehmensrechtliche Aufbewahrungspflichten); danach Löschung.
  • Warenkorbdaten bei abgebrochenen Bestellungen: maximal 90 Tage, sofern kein Vertragsschluss zustande kommt (siehe Abschnitt 6b).
  • Empfängerdaten Geschenkgutscheine an Dritte: bis zum Versand des Gutscheins, danach Löschung (siehe Abschnitt 6a).
  • Kontaktanfragen: bis zur abschließenden Bearbeitung der Anfrage, längstens drei Jahre (siehe Abschnitt 13).
  • Kundenkonto-Daten: bis zur Löschung des Kontos durch Sie oder auf Ihren Wunsch, vorbehaltlich gesetzlicher Aufbewahrungspflichten (siehe Abschnitt 12).
  • Daten aus Vertriebskanälen und Drittplattformen: bei uns gemäß den vorstehenden Fristen; bei den jeweiligen Partnern gemäß deren Datenschutzrichtlinien (siehe Abschnitt 15).
  • Verjährungsfristen: Vertragliche und vorvertragliche Daten drei Jahre ab Ende des Jahres, in dem der Anspruch entstanden ist (allgemeine Verjährungsfrist § 1489 ABGB), sofern keine längeren Aufbewahrungspflichten greifen.

Nach Ablauf der jeweiligen Frist werden die Daten routinemäßig gelöscht oder anonymisiert, sofern keine längere Verarbeitung erforderlich oder gesetzlich vorgeschrieben ist.

19 Erforderlichkeit der Datenbereitstellung

Die Bereitstellung Ihrer personenbezogenen Daten ist teilweise gesetzlich vorgeschrieben (insbesondere durch steuer- und unternehmensrechtliche Vorschriften gemäß BAO und UGB) oder vertraglich erforderlich.

Für den Abschluss eines Kaufvertrags benötigen wir die in Abschnitt 6 genannten Pflichtangaben (Vor- und Nachname, Liefer- und Rechnungsadresse, E-Mail-Adresse, Bestellinhalt, Zahlungsdaten). Ohne diese Daten kann der Kaufvertrag mit Ihnen nicht geschlossen und Ihre Bestellung nicht abgewickelt werden.

Die Bereitstellung weiterer Daten — etwa für ein freiwilliges Kundenkonto, eine Kontaktanfrage oder Marketing-Einwilligungen — ist freiwillig. Eine Nichtbereitstellung hat keine Auswirkungen auf den Vertragsschluss, kann jedoch dazu führen, dass wir Ihnen bestimmte Informationen, Angebote oder Service-Funktionen nicht zur Verfügung stellen können.

20 Sprachversionen

Diese Datenschutzerklärung liegt in deutscher Sprache vor und wird ggf. in weitere Sprachen übersetzt. Im Falle von Abweichungen zwischen den Sprachversionen ist die deutsche Fassung maßgeblich.

21 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern dies aufgrund neuer Technologien oder geänderter Rechtslage erforderlich wird. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.