• Bestseller
Anmelden

Land

Sprache

Warenkorb

Dein Warenkorb ist leer

Datenschutzerklärung

ShirtStore – ein Angebot der BT Merchandising GmbH

Letzte Fassung: 2. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

BT Merchandising GmbH
Wilhelm-Kabus-Straße 21–35, 10829 Berlin, Deutschland
E-Mail: service@bt-merchandising.de · Telefon: +49 (30) 690418142

Die vollständigen Anbieterangaben finden Sie in unserem Impressum unter /policies/legal-notice.

Diese Website (Storefront) wird über Netlify bereitgestellt; der Bestell- und Bezahlvorgang (Checkout) wird über Shopify abgewickelt. Nachfolgend informieren wir Sie über die Verarbeitung personenbezogener Daten in beiden Bereichen.

Diese Datenschutzerklärung beschreibt, wie wir personenbezogene Daten erfassen, verwenden und weitergeben, wenn Sie unsere Website besuchen, unsere Services nutzen, einen Kauf oder eine andere Transaktion tätigen oder anderweitig mit uns kommunizieren. Sie dient Ihrer Information nach Art. 13 und 14 DSGVO. Eine Einwilligung erteilen Sie nicht bereits durch die Nutzung der Website, sondern – soweit eine Verarbeitung auf Einwilligung gestützt wird – stets durch eine gesonderte, aktive Erklärung (z. B. über unser Cookie-Consent-Banner oder ein Opt-in-Feld).

2. Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen einer Bestellpflicht (§ 38 BDSG, Art. 37 DSGVO) bei uns derzeit nicht vorliegen. Für alle Datenschutzanliegen erreichen Sie uns unter den in Ziffer 1 genannten Kontaktdaten.

3. Welche personenbezogenen Daten verarbeiten wir?

„Personenbezogene Daten" sind Informationen, die Sie oder eine andere Person identifizieren oder unmittelbar mit Ihnen in Verbindung gebracht werden können. Anonyme oder anonymisierte Informationen zählen nicht dazu. Je nach Interaktion verarbeiten wir folgende Kategorien:

  • Kontaktdaten – Name, Postanschrift, Rechnungs- und Lieferadresse, Telefonnummer, E-Mail-Adresse.
  • Finanz- und Zahlungsdaten – Zahlungsart, Transaktionsdetails, Zahlungsbestätigung sowie ggf. Karten-/Kontoinformationen (Letztere werden ausschließlich vom Zahlungsdienstleister verarbeitet, siehe Ziffer 7).
  • Kontoinformationen – Benutzername, Passwort (verschlüsselt), Einstellungen und Konfigurationen.
  • Transaktionsinformationen – angesehene, in den Warenkorb gelegte, auf die Wunschliste gesetzte, gekaufte, zurückgegebene oder stornierte Artikel sowie vergangene Transaktionen.
  • Kommunikationsdaten – Inhalte Ihrer Anfragen an uns, z. B. an den Kundensupport.
  • Geräte- und Verbindungsdaten – Gerät, Browser, Netzwerkverbindung, IP-Adresse und andere Identifikatoren.
  • Nutzungsdaten – Informationen über Ihre Interaktion mit unseren Services.

Pflicht- und freiwillige Angaben

Für den Abschluss und die Abwicklung eines Vertrags (Bestellung) benötigen wir die dafür erforderlichen Kontakt-, Liefer- und Zahlungsdaten. Ohne diese Angaben können wir den Vertrag nicht erfüllen. Alle weiteren Angaben sind freiwillig; ihre Nichtbereitstellung hat keine Nachteile außer dem Entfall der jeweiligen Zusatzfunktion (z. B. Newsletter, Bewertungen).

4. Quellen der Daten

Wir erfassen personenbezogene Daten:

  • direkt von Ihnen – z. B. bei Kontoerstellung, Bestellung oder Kommunikation;
  • automatisch über die Services – über Ihr Gerät sowie über Cookies und ähnliche Technologien (siehe Ziffer 6);
  • von unseren Dienstleistern – soweit diese in unserem Auftrag Daten erfassen oder verarbeiten;
  • von Partnern und anderen Drittanbietern – z. B. von Marketing- oder Versandpartnern, soweit diese uns im Rahmen ihrer eigenen Datenschutzbestimmungen Daten übermitteln.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

Zweck Beschreibung Rechtsgrundlage
Bereitstellung der Services Erfüllung des Vertrags, Zahlungsabwicklung, Bestellausführung, Kontoverwaltung, Versand, Rückgaben/Umtausch, Kontobenachrichtigungen. Art. 6 Abs. 1 lit. b DSGVO
Anpassung und Verbesserung Speicherung von Konfigurationen, Produktempfehlungen, Optimierung der Services. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an attraktiven, funktionsfähigen Services)
Marketing und Werbung Versand von Werbung per E-Mail, SMS oder Post; Online-Werbung. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); für E-Mail-Werbung an Bestandskunden ggf. § 7 Abs. 3 UWG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. SMS-Werbung erfolgt ausschließlich mit Einwilligung.
Sicherheit und Betrugsprävention Authentifizierung, sichere Zahlung, Erkennung und Abwehr von Missbrauch. Art. 6 Abs. 1 lit. f DSGVO; Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzlich geboten
Kommunikation Kundensupport, Bearbeitung von Anfragen, Pflege der Geschäftsbeziehung. Art. 6 Abs. 1 lit. b und f DSGVO
Rechtliche Gründe Einhaltung gesetzlicher Pflichten, Reaktion auf behördliche Anfragen, Geltendmachung/Verteidigung von Rechtsansprüchen. Art. 6 Abs. 1 lit. c und f DSGVO

Marketing- und Analyse-Technologien (z. B. Google Analytics 4, Google Ads) setzen wir ausschließlich nach Ihrer ausdrücklichen Einwilligung ein (siehe Ziffer 6 und 8).

Keine automatisierte Entscheidung im Einzelfall

Eine automatisierte Entscheidungsfindung einschließlich Profiling mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt. Soweit wir Produktempfehlungen aussprechen, personalisierte Werbung ausspielen oder hochgeladene Inhalte automatisiert auf Zulässigkeit prüfen (siehe Ziffer 7), dient dies allein der Verbesserung der Services bzw. der Inhaltsmoderation und entfaltet keine rechtliche Wirkung Ihnen gegenüber.

6. Cookies und ähnliche Technologien

Wir setzen auf unserer Website Cookies und vergleichbare Technologien ein. Einige sind technisch notwendig, andere – insbesondere Analyse- und Marketing-Technologien – werden ausschließlich auf Grundlage Ihrer Einwilligung verwendet.

Eine vollständige, stets aktuelle Auflistung aller eingesetzten Cookies mit Anbieter, Zweck und Speicherdauer finden Sie jederzeit über die Cookie-Einstellungen (Consent-Banner von Cookiebot). Dort können Sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft anpassen oder widerrufen.

Technisch notwendige und funktionale Cookies

Die folgenden Cookies sind für den sicheren Betrieb und grundlegende Funktionen erforderlich und werden ohne gesonderte Einwilligung gesetzt (§ 25 Abs. 2 TDDDG; Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer sicheren, funktionsfähigen Website):

Cookie / Speicher Anbieter Zweck Speicherdauer
__cf_bm Cloudflare (über Supabase) Bot-Erkennung, Schutz unserer Schnittstellen bis zu 1 Tag
__nfsec Netlify Sicherheits-Cookie des Hosting-Anbieters Sitzung
_shopify_essential Shopify Anbindung von Warenkorb und Checkout Sitzung
CookieConsent Cookiebot Speicherung Ihrer Cookie-Einwilligung bis zu 1 Jahr
shirtstore-configurator ShirtStore (lokal) Zustand der Konfigurator-Sitzung (Produkt, Größe, Farbe, Motiv) bis zum Löschen im Browser
tilly_chat_state, tilly_tone_override ShirtStore (lokal) Zustand des Support-Chats „Tilly" während der Sitzung Sitzung

Im Bereich des Shopify-Checkouts können zusätzliche, von Shopify gesetzte technisch notwendige Cookies (z. B. zur Warenkorb-, Sitzungs- und Sicherheitsverwaltung) zum Einsatz kommen.

7. Eingesetzte Dienste, Empfänger und Drittlandübermittlungen

Nachfolgend informieren wir konkret über die wichtigsten Dienstleister (Auftragsverarbeiter bzw. Empfänger), den jeweiligen Zweck, die Rechtsgrundlage und etwaige Übermittlungen in Drittländer. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

Hosting der Website (Netlify)

Diese Website (Storefront) wird bei der Netlify, Inc. (512 2nd Street, Suite 200, San Francisco, CA 94107, USA) gehostet und über deren Content-Delivery-Network ausgeliefert. Netlify verarbeitet automatisch Server-Log-Daten – insbesondere IP-Adresse, Browsertyp und -version, Betriebssystem, Referrer-URL sowie Datum und Uhrzeit des Zugriffs –, um die Website sicher und stabil bereitzustellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sichere und effiziente Bereitstellung). Speicherdauer: Server-Logs werden in der Regel nach spätestens 30 Tagen gelöscht oder anonymisiert, soweit sie nicht zur Aufklärung konkreter Sicherheitsvorfälle benötigt werden. Drittlandtransfer: USA, gestützt auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln. Weitere Informationen: https://www.netlify.com/privacy/.

Backend, Datenbank und Schnittstellen-Schutz (Supabase, Cloudflare)

Für Backend-Funktionen (z. B. Speicherung von Konfigurator-Designs und Shop-Konfiguration) nutzen wir Supabase, Inc. Die für uns genutzten Server stehen in der EU (Irland) – insoweit findet keine Drittlandübermittlung statt. Verarbeitet werden u. a. hochgeladene Designs und technische Metadaten. Der Zugriff auf unsere Backend-Schnittstellen ist über Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) gegen Missbrauch und Bots abgesichert; dabei wird ein technischer Cookie (__cf_bm) gesetzt und es können technische Verbindungsdaten (u. a. IP-Adresse) in den USA verarbeitet werden, gestützt auf Standardvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Speicherdauer: Konfigurator-Designs werden gelöscht, sobald sie für die Bestellabwicklung nicht mehr benötigt werden bzw. nach Ablauf gesetzlicher Aufbewahrungsfristen (siehe Ziffer 9).

Bestellung und Bezahlung (Shopify, Shop Pay)

Der Bestell- und Bezahlvorgang (Checkout) sowie zentrale Shop-Funktionen werden über Shopify abgewickelt (für Kundinnen und Kunden im EWR: Shopify International Ltd., Irland; Shopify Inc., Kanada). Verarbeitet werden Bestell-, Kontakt-, Zahlungs- und Kontodaten zur Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandtransfer: Shopify kann Daten u. a. in Kanada (Angemessenheitsbeschluss der EU-Kommission) und in den USA verarbeiten; Übermittlungen werden auf den Angemessenheitsbeschluss bzw. das EU-US Data Privacy Framework und Standardvertragsklauseln gestützt. Sofern Sie den beschleunigten Bezahldienst „Shop Pay" (Shopify, über shop.app) nutzen, werden Ihre Kontakt- und Zahlungsdaten zusätzlich von Shopify verarbeitet und gespeichert, um künftige Bestellungen zu beschleunigen; die Nutzung ist freiwillig. Einzelheiten: https://www.shopify.com/legal/privacy.

Produktbewertungen (Judge.me)

Für Produktbewertungen setzen wir Judge.me ein. Verarbeitet werden u. a. Name bzw. Anzeigename, Bewertungsinhalt, E-Mail-Adresse (für Bewertungsanfragen), zugehörige Bestell- und Kundendaten sowie die IP-Adresse. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aussagekräftigen Bewertungen). Drittlandtransfer: Judge.me hostet auf Infrastruktur in den USA (u. a. AWS/Heroku); die Übermittlung wird auf Standardvertragsklauseln gestützt.

Produkt-Konfigurator, Produkt-Designer und Bild-Uploads (Magnific, Google Gemini)

Bei Nutzung des Produkt-Konfigurators bzw. Produkt-Designers verarbeiten wir von Ihnen hochgeladene Bilder und Designs. Zur Bildbearbeitung (z. B. Hintergrundentfernung, Hochskalierung, Zuschnitt, KI-Bildgenerierung) setzen wir Magnific (Freepik Company S.L., Spanien/EU) ein; zur KI-gestützten Moderation (Erkennung unzulässiger Inhalte) Google Gemini. Magnific verarbeitet innerhalb der EU (kein Drittland-Transfer); Google (Gemini) kann auch in den USA verarbeiten (gestützt auf das EU-US Data Privacy Framework). Für individualisierbare Produkte kann zur technischen Bereitstellung eine spezialisierte Drittanbieter-Anwendung eingebunden sein, die eine technische Sitzungskennung setzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Hinweis zu hochgeladenen Inhalten: Bitte laden Sie keine Bilder hoch, die besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO enthalten (z. B. Gesundheits-, religiöse oder politische Inhalte sowie biometrische Daten), es sei denn, dies ist für Ihr gewünschtes Produkt erforderlich. Mit dem Hochladen solcher Inhalte willigen Sie in deren Verarbeitung zum Zweck der Produkterstellung ein (Art. 9 Abs. 2 lit. a DSGVO).

Kontakt-, Anfrage- und Upload-Formulare (Jotform)

Für bestimmte Kontakt-, Anfrage- oder Datei-Upload-Formulare kann der Dienst Jotform (Jotform Inc., 111 Pine Street, Suite 1815, San Francisco, CA 94111, USA) eingebunden sein. Übermittelt werden die eingegebenen Daten (z. B. Name, E-Mail-Adresse, Nachricht, hochgeladene Dateien) sowie technische Verbindungsdaten; eine Verarbeitung in den USA ist möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Drittlandtransfer: Standardvertragsklauseln. Speicherdauer: Anfragedaten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungsfristen entgegenstehen.

KI-gestützte Funktionen (Support-Chat „Tilly", Suche)

Unseren Support-Chat „Tilly" betreiben wir mit Google Gemini (Google Ireland Ltd./Google LLC); dabei werden Ihre Chat-Eingaben verarbeitet. Für die interne Such- und Wissensfunktion erzeugen wir Text-Embeddings mit OpenAI, L.L.C. (USA). Eine Verarbeitung kann in den USA erfolgen und wird auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln gestützt. Übertragene Inhalte werden ausschließlich zur Beantwortung Ihrer Anfrage bzw. zur Bereitstellung der Suche genutzt und nicht zum Training der Modelle verwendet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f und b DSGVO. Die Nutzung des Chatbots ist freiwillig und erfolgt erst durch aktives Öffnen des Chat-Fensters; Sie können jederzeit die Löschung Ihrer Chat-Daten verlangen. Speicherdauer: Chat-Nachrichten werden nach 90 Tagen automatisch gelöscht.

E-Mail-Kommunikation (Microsoft 365)

Für unsere E-Mail-Kommunikation (z. B. Service- und Bestellkommunikation) nutzen wir Microsoft 365 / Exchange Online (Microsoft Ireland Operations Ltd.). Verarbeitet werden Inhalte und Metadaten Ihrer Nachrichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Drittlandtransfer: soweit Daten in Drittländer übermittelt werden, gestützt auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln.

Einwilligungsverwaltung, Web-Analyse und Marketing (Cookiebot, Google Analytics 4, Google Ads)

Zur Verwaltung Ihrer Einwilligungen setzen wir das Consent-Management-Tool Cookiebot (Usercentrics A/S, Dänemark) ein. Analyse- und Marketing-Dienste – insbesondere Google Analytics 4 und Google Ads, eingebunden über den Google Tag Manager – werden erst nach Ihrer ausdrücklichen Einwilligung geladen und ausgeführt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Bis zu einer Einwilligung werden keine Analyse- oder Marketing-Cookies gesetzt; technisch nicht notwendige Dienste bleiben blockiert (Google Consent Mode v2). Dabei können Daten an Google (Google Ireland Ltd.; Google LLC, USA) übermittelt werden; Übermittlungen in die USA werden auf das EU-US Data Privacy Framework gestützt. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft über die Cookie-Einstellungen widerrufen.

8. Beziehung mit Shopify

Die Services werden von Shopify gehostet, wobei Shopify personenbezogene Daten über Ihren Zugriff auf die Services und deren Nutzung verarbeitet, um die Services bereitzustellen und zu verbessern. Soweit Shopify dabei eigene erweiterte Funktionen einsetzt und Daten aus Ihren Interaktionen mit unserem Shop, anderen Händlern und Shopify einbezieht, ist Shopify für diese Verarbeitung eigenständig verantwortlich. Weitere Informationen sowie die Möglichkeit zur Ausübung Ihrer Rechte gegenüber Shopify finden Sie unter https://www.shopify.com/legal/privacy/app-users und https://privacy.shopify.com/en.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Maßgeblich sind insbesondere:

  • Vertrags- und Bestelldaten: für die Dauer der Geschäftsbeziehung sowie anschließend im Rahmen der gesetzlichen Aufbewahrungsfristen – 10 Jahre für Buchungsbelege und Rechnungen (§ 147 AO, § 257 HGB) bzw. 6 Jahre für Handels- und Geschäftsbriefe;
  • Kontodaten: bis zur Löschung des Kundenkontos, vorbehaltlich gesetzlicher Aufbewahrungspflichten;
  • Server-Logs (Netlify): in der Regel maximal 30 Tage;
  • Chat-Daten „Tilly": 90 Tage;
  • Daten aus Kontakt-/Anfrageformularen: bis zur abschließenden Bearbeitung, sofern keine gesetzlichen Fristen entgegenstehen;
  • auf Einwilligung gestützte Verarbeitungen (z. B. Newsletter, Analyse/Marketing): bis zum Widerruf der Einwilligung.

Bitte beachten Sie, dass keine Sicherheitsmaßnahme vollständig undurchdringlich ist; wir empfehlen, sensible Informationen nicht über unsichere Kanäle zu übermitteln.

10. Daten von Kindern

Die Services richten sich nicht an Kinder. Wir erfassen wissentlich keine personenbezogenen Daten von Personen, die nach dem für sie geltenden Recht noch nicht volljährig sind. Eltern oder Erziehungsberechtigte können über die in Ziffer 1 genannten Kontaktdaten die Löschung solcher Daten verlangen.

11. Ihre Rechte

Nach Maßgabe der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) – über die zu Ihrer Person gespeicherten Daten;
  • Berichtigung (Art. 16 DSGVO) – unrichtiger Daten;
  • Löschung (Art. 17 DSGVO) – Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen;
  • Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format;
  • Widerspruch (Art. 21 DSGVO) – gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie jederzeit gegen Direktwerbung;
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – mit Wirkung für die Zukunft, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Werbliche Kommunikation können Sie jederzeit abbestellen, indem Sie den Abmeldelink in unseren E-Mails nutzen. Nicht werbliche Service-Nachrichten (z. B. zu Ihrem Konto oder Ihren Bestellungen) bleiben hiervon unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich an die in Ziffer 1 genannten Kontaktdaten. Aus Sicherheitsgründen müssen wir ggf. Ihre Identität überprüfen. Durch die Ausübung dieser Rechte entstehen Ihnen keine Nachteile. Wir beantworten Ihre Anfrage innerhalb der gesetzlichen Fristen.

12. Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit. Eine Liste der Aufsichtsbehörden im EWR finden Sie unter https://edpb.europa.eu/about-edpb/about-edpb/members.

13. Internationale Übermittlungen

Wir können Ihre personenbezogenen Daten außerhalb Ihres Wohnsitzlandes übertragen, speichern und verarbeiten. Bei Übermittlungen außerhalb des Europäischen Wirtschaftsraums stützen wir uns auf anerkannte Übermittlungsmechanismen – insbesondere einen Angemessenheitsbeschluss der EU-Kommission, eine Zertifizierung nach dem EU-US Data Privacy Framework oder die Standardvertragsklauseln der Europäischen Kommission nebst geeigneter zusätzlicher Schutzmaßnahmen.

14. Links zu Websites Dritter

Unsere Services können Links zu Websites Dritter enthalten. Für deren Datenverarbeitung sind ausschließlich die jeweiligen Betreiber verantwortlich; bitte beachten Sie deren Datenschutzhinweise. Die Aufnahme solcher Links bedeutet keine Billigung der dortigen Inhalte.

15. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Verfahren oder der Rechtslage zu berücksichtigen. Die jeweils aktuelle Fassung veröffentlichen wir auf dieser Website mit angepasstem Datum der „Letzten Fassung".

16. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Ausübung Ihrer Rechte erreichen Sie uns:

BT Merchandising GmbH
Wilhelm-Kabus-Straße 21–35, 10829 Berlin
Telefon: +49 (30) 690418142 · E-Mail: service@bt-merchandising.de