Happy Coffee Logo

Datenschutz

Datenschutzerklärung

1. Verantwortlicher

Happy Coffee GmbH
Theodor-Heuss-Str. 15
53562 St. Katharinen

E-Mail: support@happycoffee.org
Telefon: +49 (0) 160 94763961

Geschäftsführung: Christian Häfner
Handelsregister: HRB 25042, Amtsgericht Montabaur

2. Überblick

Wir nehmen den Schutz deiner persönlichen Daten sehr ernst. In dieser Datenschutzerklärung erklären wir, welche Daten wir verarbeiten, zu welchen Zwecken wir das tun und welche Rechte du hast.

Unsere gesamte Infrastruktur wird bei europäischen Anbietern betrieben. Deine Daten verlassen die EU nicht.

3. Hosting und technische Infrastruktur

Hetzner Online GmbH (Deutschland)

Unsere Server, Datenbanken und Dateispeicher werden bei Hetzner betrieben. Alle Daten befinden sich im Hetzner Rechenzentrum in Falkenstein, Deutschland. Hetzner verarbeitet technisch notwendige Daten wie IP-Adressen in Server-Logs, um den sicheren Betrieb der Systeme zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).

Auftragsverarbeitung: Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datenschutzhinweise: https://www.hetzner.com/rechtliches/datenschutz

Bunny CDN (BunnyWay d.o.o., Slowenien)

Wir nutzen ein Content Delivery Network, um Inhalte performant auszuliefern. Dabei wird deine IP-Adresse verarbeitet, um den nächstgelegenen Server zu bestimmen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an performanter Bereitstellung).

Auftragsverarbeitung: Mit BunnyWay besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

4. Kundenkonto und Bestellungen

Bei Registrierung und Bestellungen verarbeiten wir u. a. folgende Daten:

  • Name, Adresse
  • E-Mail-Adresse, ggf. Telefonnummer
  • Bestell- und Zahlungsinformationen
  • Kommunikationseinstellungen
  • Login-Daten und Präferenzen

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention und Kundenpflege)
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung bei steuerrechtlich relevanten Daten)

Speicherdauer

  • Rechnungen und buchhalterische Unterlagen: 10 Jahre gemäß § 147 AO
  • Sonstige Bestelldaten: Löschung nach 2 Jahren (gesetzliche Gewährleistung), sofern nicht länger erforderlich
  • Kundenkonto-Daten: Löschung nach 3 Jahren Inaktivität (mit vorheriger Benachrichtigung per E-Mail)
  • Bei Einwilligung: Speicherung bis Widerruf
  • Bei berechtigtem Interesse: max. 5 Jahre Inaktivität, sofern kein Widerspruch erfolgt

5. Datenqualität und E-Mail-Validierung

Um die Qualität unserer Kundendaten zu gewährleisten und fehlerhafte E-Mail-Adressen zu vermeiden, nutzen wir den E-Mail-Validierungsservice der Byteplant GmbH (Deutschland).

Verarbeitete Daten:

  • E-Mail-Adressen neuer Kunden zur Validierung der Syntax und Erreichbarkeit
  • Bei der Adress-Eingabe: Teilweise Adressdaten zur Autovervollständigung (ohne Personenbezug)

Zeitpunkt: Die E-Mail-Validierung erfolgt einmalig bei Neuregistrierung oder Änderung der E-Mail-Adresse, nicht bei jedem Login.

Zweck:

  • Sicherstellung der Erreichbarkeit für Bestellbestätigungen und wichtige Mitteilungen
  • Vermeidung von Tippfehlern bei der Registrierung
  • Reduzierung von Zustellproblemen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Kundenkommunikation und Vermeidung von Zustellfehlern)

Auftragsverarbeitung: Mit Byteplant besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datenübermittlung: Die E-Mail-Adresse wird zur Validierung an Byteplant übermittelt. Byteplant speichert keine personenbezogenen Daten dauerhaft.

Weitere Informationen: https://www.byteplant.com/

6. Zahlungsabwicklung

Wir nutzen Mollie B.V. (Niederlande) für die Zahlungsabwicklung. Je nach Zahlungsart werden unterschiedliche Daten übertragen (z. B. Karten- oder Kontoinformationen).

Verarbeitete Daten:

  • Name, E-Mail-Adresse
  • Rechnungs- und ggf. Lieferadresse
  • Bestellbetrag und Bestellnummer
  • Je nach Zahlungsart: Zahlungsmitteldaten (z.B. IBAN, Kreditkartennummer)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Verantwortlichkeit: Mollie ist für die Zahlungsabwicklung eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO.

Datenschutzhinweise von Mollie: https://www.mollie.com/de/privacy

7. Versand

Wir übermitteln Name und Lieferadresse an unsere Versanddienstleister:

  • DHL (Deutsche Post AG, Deutschland)
  • UPS (United Parcel Service Deutschland S.à r.l. & Co. OHG, Deutschland)

Die Daten werden ausschließlich zur Auslieferung deiner Bestellung verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzhinweise:

8. E-Mail-Kommunikation und Newsletter

Für den Versand von E-Mails nutzen wir den Dienst Brevo (Sendinblue GmbH, Deutschland/Frankreich). Brevo ist ein europäischer E-Mail-Dienstleister mit Sitz in der EU.

Transaktions-E-Mails (Bestellbestätigungen, etc.)

Wir speichern E-Mails zur Bearbeitung deiner Anfragen und zur Dokumentation unserer Geschäftsbeziehung.

Verarbeitete Daten durch Brevo:

  • E-Mail-Adresse
  • Name (sofern angegeben)
  • Technische Metadaten (Zustellstatus, Öffnungs- und Klickverhalten bei Marketing-E-Mails)

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung)

Auftragsverarbeitung: Mit Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Speicherdauer: 2 Jahre (für Rückfragen und Qualitätskontrolle), sofern nicht gesetzliche Aufbewahrungspflichten länger greifen.

Datenschutzhinweise: https://www.brevo.com/de/legal/privacypolicy/

Marketing-E-Mails und Newsletter

Mit deiner Einwilligung senden wir dir Marketing-E-Mails und Newsletter mit Informationen zu unseren Produkten, Angeboten und Neuigkeiten. Der E-Mail-Versand erfolgt über Brevo.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Anmeldung: Du kannst den Empfang von Marketing-E-Mails in den Kommunikationseinstellungen deines Kundenkontos aktivieren. Marketing-E-Mails sind standardmäßig deaktiviert und erfordern deine aktive Zustimmung.

Widerruf: Du kannst deine Einwilligung jederzeit widerrufen durch:

Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Speicherdauer: Bis zum Widerruf der Einwilligung.

Wichtig: Bestellbestätigungen und andere vertragsrelevante E-Mails (z.B. Versandbenachrichtigungen) sind von dieser Einstellung unabhängig und werden auf Grundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) versendet. Diese können nicht deaktiviert werden, da sie für die ordnungsgemäße Abwicklung deiner Bestellung erforderlich sind.

9. Chat-Support

Unser Chat-System läuft auf unseren eigenen Servern bei Hetzner in Deutschland.

Verarbeitete Daten:

  • Chat-Nachrichten und technische Metadaten
  • Ggf. E-Mail-Adresse zur Kontaktaufnahme
  • IP-Adresse (für Sicherheitszwecke)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Kundenservice) und lit. f DSGVO (berechtigtes Interesse an effizientem Support)

Speicherdauer: max. 1 Jahr zur Qualitätssicherung

10. Produktdiskussionen und Kommentar-Benachrichtigungen

Wir bieten die Möglichkeit, an Produktdiskussionen teilzunehmen und Kommentare zu hinterlassen. Wenn du einen Kommentar verfasst, kannst du wählen, ob du per E-Mail über Antworten auf deinen Kommentar informiert werden möchtest.

Verarbeitete Daten:

  • E-Mail-Adresse
  • Kommentartext und Metadaten
  • Benachrichtigungspräferenzen pro Diskussion

Zeitpunkt der Einwilligung: Beim Verfassen eines Kommentars kannst du die Option "Benachrichtige mich über Antworten" aktivieren oder deaktivieren. Diese Einstellung gilt nur für die jeweilige Diskussion, an der du teilnimmst.

Zweck:

  • Ermöglichung der Teilnahme an Produktdiskussionen
  • Benachrichtigung über Antworten auf deine Kommentare
  • Förderung des Austauschs zwischen Kunden

Rechtsgrundlage:

  • Kommentarfunktion: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. f DSGVO (berechtigtes Interesse an Kundenkommunikation)
  • E-Mail-Benachrichtigungen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Kontext der Diskussionsteilnahme)

Widerruf: Du kannst E-Mail-Benachrichtigungen für einzelne Diskussionen jederzeit deaktivieren durch:

  • Klick auf "Diskussion stumm schalten" in jeder Benachrichtigungs-E-Mail
  • Anpassung in deinen Kommunikationseinstellungen im Kundenkonto
  • E-Mail an support@happycoffee.org

Speicherdauer:

  • Kommentare: Solange dein Kundenkonto besteht oder bis zur Löschung des Kommentars
  • Benachrichtigungspräferenzen: Bis zur Deaktivierung oder Löschung deines Kundenkontos

11. KI-gestützte Funktionen

Wir setzen KI-Modelle ein, z. B. für:

  • Produktempfehlungen
  • Automatisierte Chat-Antworten
  • Suchfunktionen

Wichtig: Alle KI-Modelle laufen ausschließlich auf unseren eigenen Servern bei Hetzner in Deutschland.

Es erfolgt KEINE Übermittlung personenbezogener Daten an externe KI-Anbieter (wie OpenAI, Google, etc.).

Automatisierte Einzelentscheidungen: Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung gemäß Art. 22 DSGVO. Produktempfehlungen sind unverbindliche Vorschläge.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an verbesserter Nutzerfreundlichkeit)

12. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein. Es werden KEINE Tracking-, Analyse- oder Marketing-Cookies verwendet.

Eingesetzte Cookies

Cookie-Name Zweck Laufzeit Sicherheit
better_auth.session_token Authentifizierung (Login-Status, Sitzungsverwaltung) 7 Tage HttpOnly, Secure, SameSite=Lax
better_auth.session_token_cache Performance-Cache für Sitzungsprüfung 5 Minuten HttpOnly, Secure, SameSite=Lax
cart_session_id Warenkorb-Zuordnung für Gast-Nutzer 30 Tage HttpOnly, Secure, SameSite=Lax
cart Warenkorb-Daten für Gast-Nutzer 7 Tage Secure, SameSite=Lax
guest_session_id Gast-Sitzung (anonyme Nutzung) Browser-Sitzung HttpOnly, Secure, SameSite=Lax
cart_payment_method Bevorzugte Zahlungsmethode (Gast) 7 Tage HttpOnly, Secure, SameSite=Lax
payment_origin Rücksprung-URL während Zahlungsvorgang 30 Minuten HttpOnly, Secure, SameSite=Lax
mollie_oauth_state CSRF-Schutz bei Mollie-Anbindung 10 Minuten HttpOnly, Secure, SameSite=Lax
benefit_invitation Benefit-Einladungsdaten während Registrierung 24 Stunden HttpOnly, Secure, SameSite=Lax
payment_method_added UI-Status nach Zahlungsmittel-Hinzufügung 5 Minuten Secure, SameSite=Lax

Funktionale Zwecke

  • Login-Verwaltung: Erhalt des Login-Status während der Nutzung (better_auth.session_token)
  • Warenkorb: Speicherung der Produkte im Warenkorb (auch als Gast)
  • Sitzungsverwaltung: Performance-Optimierung durch Sitzungs-Caching
  • Zahlungsabwicklung: Sichere Weiterleitung bei externen Zahlungsvorgängen
  • Benefit-Programme: Übertragung von Einladungsdaten bei der Registrierung

Sicherheitsmerkmale

Alle Cookies verwenden modernste Sicherheitsstandards:

  • HttpOnly: Schutz vor Cross-Site-Scripting (XSS) Angriffen (wo technisch sinnvoll)
  • Secure: Übertragung nur über verschlüsselte HTTPS-Verbindung
  • SameSite=Lax: Schutz vor Cross-Site-Request-Forgery (CSRF) Angriffen

Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionalität der Website)
  • § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderliche Cookies, keine Einwilligung erforderlich)

Wichtiger Hinweis

Da wir ausschließlich technisch notwendige Cookies einsetzen, ist gemäß § 25 Abs. 2 Nr. 2 TDDDG keine separate Cookie-Einwilligung (Cookie-Banner) erforderlich. Diese Cookies sind für den Betrieb der Website unerlässlich und können nicht deaktiviert werden, ohne die Funktionalität erheblich zu beeinträchtigen.

13. Deine Rechte (DSGVO)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Bestätigung, ob und welche Daten über dich verarbeitet werden
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Löschung deiner Daten, sofern keine Aufbewahrungspflichten entgegenstehen
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung unter bestimmten Voraussetzungen
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt deiner Daten in strukturiertem Format
  • Widerruf von Einwilligungen: Jederzeit möglich, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird

⚠️ WIDERSPRUCHSRECHT (Art. 21 DSGVO)

Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.

Dies gilt insbesondere für:

  • Verarbeitung zur Betrugsprävention und Kundenpflege
  • Verarbeitung für KI-gestützte Funktionen (Produktempfehlungen, Chat-Antworten)
  • Verarbeitung für E-Mail-Validierung
  • Verarbeitung für Qualitätssicherung im Support

Nach Eingang deines Widerspruchs werden wir die betroffenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Widerspruch einlegen: support@happycoffee.org

Zur Ausübung deiner Rechte kontaktiere uns unter: support@happycoffee.org

Wir werden deine Anfrage innerhalb eines Monats beantworten.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:

  • Für Rheinland-Pfalz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
  • Oder bei der Aufsichtsbehörde deines Bundeslandes

14. Datensicherheit

Wir nehmen die Sicherheit deiner Daten sehr ernst und setzen umfassende technische und organisatorische Maßnahmen ein, die weit über gesetzliche Mindestanforderungen hinausgehen.

Verschlüsselung

Datenübertragung:

  • TLS-Verschlüsselung für alle Datenübertragungen (Website, E-Mail, API)
  • Let's Encrypt Zertifikate mit automatischer Erneuerung
  • HSTS (HTTP Strict Transport Security) zum Schutz vor Downgrade-Angriffen

Datenspeicherung:

  • LUKS2-Verschlüsselung (Linux Unified Key Setup) aller produktiven Datenträger
    • Algorithmus: AES-XTS-Plain64
    • Schlüssellänge: 512 Bit
    • Hash-Algorithmus: SHA256
  • AES-256-CBC Verschlüsselung für archivierte Rechnungsdaten
  • Verschlüsselte Datenspeicherung auf unseren Servern
  • Keine unverschlüsselte Speicherung sensibler Daten

E-Mail-Sicherheit:

  • SPF (Sender Policy Framework): Verhindert E-Mail-Spoofing
  • DKIM (DomainKeys Identified Mail): Kryptographische Signatur aller ausgehenden E-Mails
  • DMARC (Domain-based Message Authentication): Strikte Policy zum Schutz vor unbefugter Domain-Nutzung
  • Alle E-Mail-Verbindungen über verschlüsselte Kanäle

Infrastruktur und Rechenzentrum

Standort:

  • Alle Server befinden sich im Hetzner Rechenzentrum in Falkenstein, Deutschland
  • Physische Sicherheit durch Hetzner (24/7 Überwachung, Zugangskontrollen, redundante Stromversorgung)
  • Compliance mit deutschen Datenschutzstandards

Server-Sicherheit:

  • Regelmäßige Sicherheitsupdates (Betriebssystem, Anwendungen)
  • Firewall und DDoS-Schutz
  • Verschlüsselte Volume-Speicher mit Passphrase-Schutz
  • Keine automatische Entschlüsselung bei Neustart (bewusste Sicherheitsentscheidung)

Zugriffskontrolle

  • Zugriffsbeschränkungen für Mitarbeiter nach Need-to-know-Prinzip
  • Zwei-Faktor-Authentifizierung (2FA) für administrative Zugänge
  • SSH-Schlüssel-basierte Authentifizierung für Server-Zugriff
  • Protokollierung aller administrativen Zugriffe
  • Starke Passwort-Richtlinien (Mindestlänge 16 Zeichen)

Backup und Notfallwiederherstellung

  • Regelmäßige Backups mit verschlüsselter Speicherung
  • Tägliche Volume-Snapshots
  • Monatliche Vollbackups
  • Externe Sicherung der Backup-Daten
  • Dokumentierte Wiederherstellungsprozeduren
  • Regelmäßige Tests der Backup-Wiederherstellung

GoBD-konforme Rechnungsarchivierung

Für steuerrechtlich relevante Dokumente (Rechnungen) setzen wir ein besonders geschütztes Archivierungssystem ein:

  • WORM-Speicher (Write Once Read Many) mit Object Lock im Compliance-Modus
  • 10 Jahre Aufbewahrungsfrist automatisch gesetzt
  • Unveränderbarkeit der archivierten Rechnungen garantiert
  • AES-256 Verschlüsselung aller Rechnungsdaten
  • Vollständige Nachvollziehbarkeit durch Audit-Protokollierung
  • Konforme Umsetzung der GoBD-Anforderungen (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form)

Monitoring und Incident Response

  • Tägliches Monitoring der Systemverfügbarkeit
  • Automatische Benachrichtigung bei Anomalien
  • Dokumentierte Prozesse für Sicherheitsvorfälle
  • Regelmäßige Sicherheitsaudits unserer Infrastruktur

Datenschutz durch Technikgestaltung (Privacy by Design)

  • Minimierung der Datenerhebung auf das notwendige Maß
  • Verschlüsselung als Standard, nicht als Option
  • Keine Weitergabe von Daten an Drittländer außerhalb der EU
  • Selbst gehostete Infrastruktur statt Abhängigkeit von US-Cloud-Diensten
  • Keine Nutzung externer KI-Dienste für personenbezogene Daten

15. Auftragsverarbeiter (Art. 28 DSGVO)

Wir haben Auftragsverarbeitungsverträge abgeschlossen mit:

  • Hetzner Online GmbH (Hosting, Server, Datenbanken)
  • BunnyWay d.o.o. (Content Delivery Network)
  • Byteplant GmbH (E-Mail-Validierung, Adress-Autovervollständigung)
  • Brevo (Sendinblue GmbH) (E-Mail-Versand)

Alle Auftragsverarbeiter verarbeiten Daten ausschließlich nach unseren Weisungen und ausschließlich innerhalb der EU.

16. Keine Datenweitergabe an Drittländer

Wir übermitteln keine personenbezogenen Daten in Länder außerhalb der EU/EWR. Alle Datenverarbeitungen erfolgen ausschließlich auf Servern innerhalb der Europäischen Union.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich gesetzliche oder technische Anforderungen ändern. Die jeweils aktuelle Version findest du auf unserer Website.

Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir dich per E-Mail oder durch einen deutlichen Hinweis auf unserer Website.

Stand: 02. Februar 2026