Datenschutzerklärung

Stand: 3. Mai 2026

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sowie sonstiger nationaler Datenschutzgesetze der Mitgliedsstaaten ist:

Arte Andino — Inhaber Vladimir Carrión Hauptstraße 20 96117 Memmelsdorf Deutschland

Telefon: +49 951 180 71 66 E-Mail: [email protected]

§ 2 Datenschutzbeauftragter

Wir haben aufgrund der Größe unseres Unternehmens keinen externen Datenschutzbeauftragten. Bei Datenschutzfragen kontaktieren Sie uns direkt unter [email protected] oder [email protected].

§ 3 Allgemeine Hinweise zur Datenverarbeitung

(1) Wir verarbeiten personenbezogene Daten unserer Nutzerinnen und Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder auf Grundlage der gesetzlichen Vorschriften (DSGVO).

(2) Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

(3) Diese Datenschutzerklärung gilt für unser Onlineangebot unter https://panamahut24.de sowie unsere Social-Media-Profile.

§ 4 Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei Verarbeitung zur Erfüllung eines Vertrags: Art. 6 Abs. 1 lit. b DSGVO. Bei rechtlicher Verpflichtung: Art. 6 Abs. 1 lit. c DSGVO. Bei berechtigtem Interesse (z. B. IT-Sicherheit, Direktwerbung Bestandskunden): Art. 6 Abs. 1 lit. f DSGVO.

§ 5 Bereitstellung der Website und Server-Logfiles

(1) Bei jedem Aufruf werden automatisch Informationen vom Browser an unseren Server übermittelt und in Logfiles gespeichert: – IP-Adresse (anonymisiert nach 7 Tagen) – Datum und Uhrzeit – Aufgerufene Seite (URL) – Referrer-URL – Browser, Betriebssystem – Provider

(2) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit, fehlerfreie Bereitstellung).

(3) Speicherdauer: Logfiles werden nach 7 Tagen anonymisiert. Bei sicherheitsrelevanten Vorfällen bis zu 30 Tage zur Aufklärung.

(4) Hosting: Unser Hosting-Dienstleister ist 10Web (10Web LLC, Newark, USA), aufgesetzt auf Google Cloud Servern in Frankfurt (DE). Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO besteht.

§ 6 Cookies und ähnliche Technologien

(1) Wir verwenden Cookies, lokale Speicher-Mechanismen und ähnliche Technologien („Cookies“). Diese sind kleine Textdateien oder Speicherobjekte im Browser des Nutzers.

(2) Wir nutzen den Cookie-Banner Real Cookie Banner (Anbieter: devowl.io GmbH, Karl-Ferdinand-Braun-Straße 7, 47057 Duisburg) zur datenschutzkonformen Einholung Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 25 TTDSG. Bei erstem Besuch erscheint ein Cookie-Banner mit Auswahlmöglichkeiten.

(3) Technisch notwendige Cookies (immer aktiv, ohne Einwilligung gemäß § 25 Abs. 2 Nr. 2 TTDSG): – WordPress-Sitzungscookies – WooCommerce Warenkorb (woocommerce_cart_hash) – Real Cookie Banner Speicherung der Einwilligung

(4) Cookies mit Einwilligung (nur nach Opt-in): – Google Site Kit / Google Analytics 4 (siehe § 9) – Brevo Tracking-Pixel (siehe § 10) – Meta/Facebook Pixel (siehe § 11) – TrustMate.io (siehe § 12) – Cart Recovery / Exit-Intent (siehe § 13) – ConveyThis Translate (Sprachpräferenz-Cookie)

(5) Sie können Ihre Einwilligung jederzeit widerrufen über das Cookie-Banner-Icon (unten links auf jeder Seite) oder im Browser-Settings.

§ 7 WooCommerce — Online-Shop

(1) Wir betreiben einen Online-Shop mit WooCommerce (Anbieter: Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA). Beim Bestellprozess werden folgende Daten erhoben und verarbeitet: – Vor- und Nachname – Lieferadresse, Rechnungsadresse – E-Mail-Adresse – Telefonnummer (optional) – Geburtsdatum (optional, nur wenn vom Kunden eingegeben) – Bestellte Artikel, Kaufbetrag – Zahlungsdaten (über Zahlungsdienstleister, siehe § 8)

(2) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); steuerliche Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO (10 Jahre HGB).

(3) Speicherdauer: 10 Jahre (handels- und steuerrechtliche Aufbewahrungsfristen).

§ 8 Zahlungsdienstleister

Bei Online-Bestellungen werden Zahlungsdaten an folgende Dienstleister übermittelt (Art. 6 Abs. 1 lit. b DSGVO):

(a) Stripe Payments (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Ireland; für Karten/Klarna/Apple Pay/Google Pay)

(b) PayPal / PayPal PLUS (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg)

(c) Vorkasse — Banküberweisung; verarbeitet durch Ihre Bank.

(d) Nachnahme (DHL) — Daten gehen an DHL Paket GmbH, Sträßchensweg 10, 53113 Bonn.

§ 9 Google Site Kit / Google Analytics 4

(1) Wir nutzen Google Site Kit (Plugin), das Google Analytics 4 (GA4) integriert. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

(2) GA4 verwendet Cookies zur Analyse des Webseiten-Traffic. Erfasst werden u. a.: IP-Adresse (anonymisiert), Geräte-Typ, besuchte Seiten, Verweildauer, Klickpfad, Conversion-Events.

(3) Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG) — nur aktiv nach Cookie-Banner Zustimmung.

(4) Drittlandtransfer USA: Es besteht ein Datenübermittlung in die USA. Google ist unter dem EU-US Data Privacy Framework zertifiziert (Adequacy Decision von Juli 2023). AVV gemäß Art. 28 DSGVO + Standardvertragsklauseln (SCC) bestehen.

(5) Datenschutzerklärung Google: https://policies.google.com/privacy Opt-out: https://tools.google.com/dlpage/gaoptout

§ 10 Brevo (Email-Marketing + Newsletter)

(1) Für unseren Newsletter und Cart-Recovery-Mails nutzen wir Brevo (ehemals Sendinblue). Anbieter: Sendinblue SAS, 7 rue de Madrid, 75008 Paris, France.

(2) Bei Newsletter-Anmeldung verwenden wir das Double-Opt-In-Verfahren: Sie erhalten nach Anmeldung eine Bestätigungs-E-Mail; nur nach Klick auf den Bestätigungslink werden Sie in unseren Verteiler aufgenommen. Speicherung: IP-Adresse, Anmeldezeitpunkt, Bestätigungszeitpunkt (zum Nachweis der Einwilligung).

(3) Brevo verarbeitet: E-Mail, ggf. Vor-/Nachname, Öffnungs- und Klick-Tracking (Pixel-Tracking in E-Mails). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

(4) Sie können sich jederzeit über den Abmeldelink in jeder Mail abmelden oder per Mail an [email protected].

(5) AVV mit Brevo besteht. Server in EU (Frankreich/Deutschland).

(6) Datenschutz Brevo: https://www.brevo.com/de/datenschutz/

§ 11 Meta-Pixel (Facebook/Instagram)

(1) Wir nutzen den Meta-Pixel (Facebook Pixel) von Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland — zur Conversion-Messung und Retargeting unserer Werbeanzeigen.

(2) Der Pixel speichert ein Cookie und übermittelt an Meta: IP-Adresse, besuchte Seiten, Geräte-Info, Klicks, Käufe.

(3) Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — nur aktiv nach Cookie-Banner Zustimmung.

(4) Drittlandtransfer USA: Meta ist unter dem EU-US Data Privacy Framework zertifiziert. AVV besteht.

(5) Opt-out: https://www.facebook.com/ads/preferences

§ 12 TrustMate.io Reviews

(1) Wir nutzen TrustMate.io (Anbieter: TrustMate S.A., Bartoszowicka 3, 51-641 Wrocław, Polen) für Kundenbewertungen.

(2) Nach Kauf erhalten Sie automatisiert eine Einladung zur Bewertung. Daten übermittelt: E-Mail, Bestellinfo, Produkt.

(3) Rechtsgrundlage: Berechtigtes Interesse zur Servicequalität-Verbesserung (Art. 6 Abs. 1 lit. f DSGVO). Sie können widersprechen unter [email protected].

(4) Datenschutz TrustMate: https://trustmate.io/privacy-policy

§ 13 Cart Recovery / Exit-Intent Popup

(1) Wir verwenden ein Exit-Intent Popup, das beim Verlassen der Seite mit Artikeln im Warenkorb erscheint und einen Rabatt im Tausch gegen E-Mail anbietet.

(2) Bei Eingabe der E-Mail wird Double-Opt-In ausgelöst (siehe § 10 Brevo). Erst nach Bestätigung gilt die Einwilligung.

(3) Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

§ 14 ConveyThis Translate (Mehrsprachigkeit)

(1) Unsere Webseite bietet Übersetzungen in EN/IT/FR/ES via ConveyThis (Anbieter: ConveyThis Inc., 1 Bridge Plaza North #275, Fort Lee NJ 07024, USA).

(2) ConveyThis speichert die Sprachpräferenz in einem Cookie und sendet anonymisierte Aufrufdaten zur Übersetzungsoptimierung.

(3) Rechtsgrundlage: Berechtigtes Interesse (Mehrsprachigkeit) Art. 6 Abs. 1 lit. f DSGVO. Speicherung Cookie nur nach Einwilligung.

(4) Datenschutz: https://www.conveythis.com/policies/privacy/

§ 15 KI-gestützte Beratung — Bot „Claud-iA“ (EU AI Act Art. 50)

⚠️ WICHTIGER HINWEIS DSGVO + EU AI Act:

(1) Auf unserer Webseite bieten wir einen automatisierten KI-Chatbot „Claud-iA“ an. Dieser wird betrieben durch das Plugin „Support Genix“ (Anbieter: Support Genix, India) in Verbindung mit dem KI-Modell-Anbieter Straico (Anbieter: Straico SAPI de CV, Mexiko), der wiederum Anfragen an OpenAI (USA) und Anthropic (USA) weiterleitet.

(2) Sie kommunizieren mit einer Künstlichen Intelligenz (KI), nicht mit einem Menschen. Antworten sind automatisch generiert und können fehlerhaft oder unpräzise sein. Verbindliche Auskünfte erhalten Sie nur vom menschlichen Kundendienst ([email protected]).

(3) Verarbeitete Daten: – Ihre Nachrichten an den Bot – IP-Adresse (anonymisiert) – Session-ID (temporär) – Optional: E-Mail wenn Sie diese eingeben

(4) Datenfluss: Browser → unser Server (panamahut24.de) → Straico API (Mexiko) → OpenAI/Anthropic (USA) → zurück.

(5) Drittlandtransfer: USA und Mexiko. Für USA: Adequacy Decision EU-US Data Privacy Framework. Für Mexiko: Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.

(6) Speicherdauer: Konversationen werden 90 Tage gespeichert zur Service-Verbesserung; danach gelöscht. Anonymisierte Statistiken können länger bleiben.

(7) Rechtsgrundlage: Einwilligung beim ersten Bot-Klick (Art. 6 Abs. 1 lit. a DSGVO) + berechtigtes Interesse Service-Verbesserung (Art. 6 Abs. 1 lit. f DSGVO).

(8) Ihre Rechte (DSGVO): – Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung – Widerspruch und Datenportabilität – Bezüglich KI-Bot: Anfrage Löschung Ihrer Konversationen unter [email protected]

(9) Wenn Sie keine KI nutzen möchten: Schreiben Sie uns direkt an [email protected] oder rufen Sie an +49 951 180 71 66.

§ 16 KI-Bildgenerierung und Bildoptimierung

(1) Einige Produktbilder auf unserer Webseite wurden mit KI-Unterstützung optimiert (z. B. Hintergrundoptimierung, Farbkorrektur). Wir verwenden hierzu unter anderem: – Flux 1.1 (Black Forest Labs / Straico) – AltText.ai (Plugin für automatische Alt-Texte)

(2) Diese KI-Verarbeitung betrifft Produktfotos, KEINE personenbezogenen Daten von Kundinnen und Kunden.

(3) Bei mit KI-Unterstützung optimierten Bildern wird ein dezenter Hinweis beim Produkt angezeigt („Produktbild teilweise mit KI-Unterstützung optimiert — entspricht dem Originalprodukt“). Dies entspricht der Transparenzpflicht nach EU AI Act Art. 50.

§ 17 Kontaktformular und E-Mail-Kontakt

(1) Bei Anfragen über unser Kontaktformular oder per E-Mail werden Ihre Angaben (Name, E-Mail, Nachricht) zur Bearbeitung der Anfrage und für mögliche Anschlussfragen gespeichert.

(2) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragsanbahnende Maßnahmen) oder lit. f (berechtigtes Interesse Anfragenbearbeitung).

(3) Speicherdauer: bis zur Erledigung der Anfrage; bei Geschäftsanbahnungen bis zu 6 Monate; bei vertraglichen Beziehungen 10 Jahre (HGB).

§ 18 Empfänger der Daten / Auftragsverarbeitung

Wir geben personenbezogene Daten nur an folgende Empfänger weiter: – Versanddienstleister (DHL, UPS, Deutsche Post) — zur Lieferung – Zahlungsdienstleister (Stripe, PayPal) — zur Zahlungsabwicklung – Steuerberater — gesetzliche Verpflichtung – Behörden bei rechtlicher Verpflichtung – Hosting-Provider (10Web/Google Cloud) — Auftragsverarbeitung – E-Mail-Provider (Brevo) — Auftragsverarbeitung – KI-Dienstleister (Straico, OpenAI, Anthropic) — siehe § 15

Mit allen Auftragsverarbeitern bestehen AVV gemäß Art. 28 DSGVO.

§ 19 Drittlandtransfer

Folgende Datentransfers in Drittländer (außerhalb EU/EWR) finden statt: – USA: Google Analytics, Stripe, Meta, ConveyThis, OpenAI, Anthropic — alle entweder unter EU-US Data Privacy Framework zertifiziert oder mit Standardvertragsklauseln (SCC) abgesichert – Mexiko: Straico — Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO – Ecuador: ausschließlich für Produktion. Personenbezogene Kundendaten werden NICHT nach Ecuador übermittelt. – Indien: Support Genix Plugin-Anbieter — Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO

§ 20 Ihre Rechte

Als betroffene Person stehen Ihnen folgende Rechte zu (Art. 15-22 DSGVO):

(a) Recht auf Auskunft (Art. 15 DSGVO) (b) Recht auf Berichtigung (Art. 16 DSGVO) (c) Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) (d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) (e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) (f) Widerspruchsrecht (Art. 21 DSGVO) (g) Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit, mit Wirkung für die Zukunft (h) Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach https://www.lda.bayern.de

Anträge können Sie an [email protected] oder [email protected] stellen.

§ 21 Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet auf unserer Webseite NICHT statt. Der KI-Bot „Claud-iA“ trifft keine rechtsverbindlichen oder vermögensrelevanten Entscheidungen — er gibt nur Beratungs- und Produktinformationen.

§ 22 Datensicherheit

Wir verwenden HTTPS/SSL-Verschlüsselung (TLS 1.3) für die gesamte Webseite. Zusätzlich nutzen wir AA Security (Malware-Scanner) und Limit Login Attempts zur Absicherung. Personenbezogene Daten werden mit Stand der Technik geschützt.

§ 23 Aktualität dieser Erklärung

Diese Datenschutzerklärung kann bei Änderungen unseres Angebots oder rechtlicher Rahmenbedingungen aktualisiert werden. Aktuelle Fassung jederzeit unter https://panamahut24.de/datenschutzerklaerung/

Stand: 3. Mai 2026