Datenschutzerklärung

1. Verantwortlicher

THOLI GmbH
Leopoldstraße 31, 80802 München

Vertreten durch die Geschäftsführer: Oliver Kracheel und Thomas Viegener

Kontakt:
E-Mail: info@well-kiosk.com
Telefon: 0151-74403945 

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie den einschlägigen nationalen Datenschutzvorschriften.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die Verarbeitung erfolgt nur, soweit dies zur Bereitstellung unserer Website, des QR-basierten Kaufprozesses am Verkaufsschrank WELL KIOSK, zur Vertragsdurchführung, zur Kommunikation oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.

Rechtsgrundlagen der Verarbeitung sind insbesondere:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

3. Kategorien personenbezogener Daten

Je nach Nutzung unseres Angebots verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

  • Kontaktdaten (z. B. E-Mail-Adresse, Mobilfunknummer)

  • Vertrags- und Transaktionsdaten

  • Kommunikationsdaten

  • Nutzungs- und Zugriffsdaten (z. B. IP-Adresse, Logfiles)

  • Einwilligungs- und Präferenzdaten

4. Hosting und technische Infrastruktur

Microsoft Azure

Wir nutzen Microsoft Azure (Microsoft Ireland Operations Limited) als Cloud-Infrastruktur für Hosting, Betrieb und Wartung unserer Software, Backend-Systeme und Datenbanken.

  • Zweck: Betrieb und technische Bereitstellung unserer Systeme

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

  • Serverstandort: Europäische Union (Schweden)

STRATO AG

Unsere Website sowie die geschäftliche E-Mail-Kommunikation werden über die STRATO AG betrieben.

  • Zweck: Website- und E-Mail-Hosting

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

  • Serverstandort: Deutschland / EU

Squarespace

Unsere Website wird unter Nutzung von Squarespace (Squarespace Inc.) betrieben.

  • Zweck: Darstellung und Betrieb der Website

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

  • Serverstandort: EU / ggf. USA

  • Drittland Übertragung: Absicherung über EU-U.S. Data Privacy Framework

5. Zugriffsdaten und Server-Logfiles

Beim Aufruf unserer Website werden automatisch folgende Daten verarbeitet:

  • IP-Adresse

  • Datum und Uhrzeit des Zugriffs

  • Browsertyp und Betriebssystem

  • Referrer-URL

  • Zweck: Betriebssicherheit, Fehleranalyse, Schutz vor Missbrauch

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

  • Speicherdauer: maximal 30 Tage

6. Kaufprozess am Verkaufsschrank

Beim Kauf eines Produkts über den QR-Code am Verkaufsschrank verarbeiten wir ausschließlich die für die Abwicklung erforderlichen Daten:

  • Mobilfunknummer (nur bei optionaler SMS-Verifizierung)

  • E-Mail-Adresse (bei Wunsch nach digitalen Beleg oder bei E-Mail Verifizierung)

  • Zweck: Vertragsdurchführung, Verifizierung, Belegversand

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

7. Zahlungsabwicklung

  • Zahlungsabwicklung (SumUp)
    Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister SumUp Payments Limited.

  • SumUp verarbeitet die zur Zahlungsabwicklung erforderlichen personenbezogenen Daten als eigenständig Verantwortlicher. Zahlungsdaten (z. B. Karten- oder Wallet-Daten) werden ausschließlich von SumUp verarbeitet.

  • Wir erhalten lediglich transaktionsbezogene Informationen (z. B. Zahlungsstatus, Zeitpunkt, Betrag), jedoch keine vollständigen Zahlungsdaten.

Die jeweils verfügbaren Zahlungsmethoden werden im Kaufprozess angezeigt.

8. SMS-Versand

Link Mobility

Für die optionale SMS-Verifizierung nutzen wir Link Mobility Germany GmbH.

  • Zweck: Versand von SMS zur Verifizierung

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

  • Serverstandort: Europäische Union

9. System- und Support-E-Mails

Postmark

Für den Versand technischer System-E-Mails (z. B. Kaufbestätigungen, Statusmeldungen) nutzen wir Postmark (ActiveCampaign, LLC).

  • Zweck: Versand von System- und Transaktions-E-Mails

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

  • Serverstandort: USA

  • Drittland Übertragung: EU-U.S. Data Privacy Framework

10. Kontaktaufnahme

Typeform

Für Kontaktformulare nutzen wir Typeform (Typeform S.L.).

  • Verarbeitete Daten: Name, E-Mail-Adresse, Inhalt der Anfrage

  • Zweck: Bearbeitung von Anfragen

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

11. Analyse- und Tracking-Tools

Google Analytics

Wir nutzen Google Analytics (Google Ireland Limited) zur Analyse der Nutzung unserer Website.

  • Zweck: Reichweitenmessung und Optimierung der Website

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

  • Datenübertragung: USA

  • Schutzmechanismus: EU-U.S. Data Privacy Framework

  • Widerruf: jederzeit über die Cookie-Einstellungen möglich

Google Tag Manager

Der Google Tag Manager dient der technischen Verwaltung von Website-Tags.

  • Zweck: Verwaltung und Steuerung weiterer Dienste

  • Hinweis: Der Google Tag Manager selbst verarbeitet keine personenbezogenen Daten, ermöglicht jedoch die Einbindung und Steuerung von Diensten, die personenbezogene Daten verarbeiten können.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

  • Datenübertragung: USA

  • Schutzmechanismus: EU-U.S. Data Privacy Framework

Meta Pixel

Wir nutzen das Meta Pixel (Meta Platforms Ireland Limited) zur Erfolgsmessung von Marketingmaßnahmen.

  • Zweck: Conversion-Tracking und Marketingoptimierung

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

  • Datenübertragung: USA

  • Schutzmechanismus: EU-U.S. Data Privacy Framework

Online-Werbung

Google Ads

Wir nutzen Google Ads (Google Ireland Limited), um auf externen Websites auf unser Angebot aufmerksam zu machen.

  • Zweck: Reichweitenmessung, Conversion-Tracking, zielgerichtete Werbung

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

  • Datenübertragung: USA

  • Schutzmechanismus: EU-U.S. Data Privacy Framework

  • Widerruf: jederzeit über die Cookie-Einstellungen möglich

Instagram (Meta Platforms)

Wir nutzen Funktionen von Instagram (Meta Platforms Ireland Limited) zu Marketing- und Kommunikationszwecken.

  • Zweck: Darstellung unseres Unternehmens, Marketingkommunikation

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

  • Datenübertragung: USA

  • Schutzmechanismus: EU-U.S. Data Privacy Framework

  • Hinweis: Meta verarbeitet personenbezogene Daten auch zu eigenen Zwecken.

  • Widerruf: jederzeit über die Cookie-Einstellungen möglich

12. Newsletter

Klaviyo

Für den Versand von Newslettern und Marketing-Kommunikation nutzen wir Klaviyo (Klaviyo, Inc.).

  • Zweck: Versand von Marketing-E-Mails sowie Analyse und Optimierung unserer Marketingkommunikation

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Double-Opt-In-Verfahren)

  • Verarbeitete Daten: E-Mail-Adresse, ggf. Name, Nutzungs- und Interaktionsdaten (z. B. Öffnungs- und Klickverhalten)

  • Tracking: Auswertung von Öffnungs- und Klickraten zur Verbesserung unserer Inhalte

  • Datenübertragung: USA

  • Schutzmechanismus: EU-U.S. Data Privacy Framework

  • Abmeldung: jederzeit über den Abmeldelink in jeder E-Mail möglich

13. WhatsApp-Kontakt

Wir bieten die Möglichkeit, über WhatsApp mit uns in Kontakt zu treten.

  • Anbieter: Meta Platforms Ireland Limited

  • Zweck: Kundenkommunikation

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

  • Hinweis: WhatsApp verarbeitet personenbezogene Daten auch zu eigenen Zwecken. Es gelten zusätzlich die Datenschutzbestimmungen von WhatsApp.

14. Empfänger und Kategorien von Empfängern

Zugriff auf personenbezogene Daten erhalten ausschließlich solche Stellen, die diese zur Erfüllung der jeweiligen Zwecke benötigen:

  • Interne Stellen:
    autorisierte Mitarbeiter der WELL KIOSK GmbH i. G. (z. B. Betrieb, technischer Support)

  • Auftragsverarbeiter gemäß Art. 28 DSGVO:
    technische Dienstleister für Hosting, Betrieb, Wartung und Support der smarten Verkaufsschränke und der zugehörigen Software, einschließlich unseres Lieferanten des smarten Verkaufssystems.
    Diese verarbeiten Daten ausschließlich weisungsgebunden und zu den vertraglich festgelegten Zwecken.

  • Eigenständig Verantwortliche:
    Zahlungsdienstleister (z. B. SumUp)

Eine Weitergabe personenbezogener Daten an Dritte zu eigenen Zwecken findet nicht statt.

15. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Kauf- und Transaktionsdaten:
    Speicherung auf Grundlage handels- und steuerrechtlicher Aufbewahrungspflichten (z. B. § 147 AO, § 257 HGB), derzeit bis zu 10 Jahre

  • E-Mail-Adresse für digitale Belege:
    Sofern Sie beim Kauf einen digitalen Beleg wünschen, verarbeiten wir Ihre E-Mail-Adresse zum Versand des Belegs sowie zur ordnungsgemäßen Abwicklung des Vertrags.

  • Die E-Mail-Adresse kann darüber hinaus im System gespeichert bleiben, sofern ein fortbestehender Zweck besteht, insbesondere zur
    – Bearbeitung von Support- oder Serviceanfragen,
    – Nachvollziehbarkeit von Transaktionen oder
    – technischen Fehleranalysen.

  • Die Nutzung der E-Mail-Adresse zu Marketingzwecken (z. B. Versand von Informationen oder Angeboten) erfolgt ausschließlich auf Grundlage einer gesonderten, ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (Double-Opt-In).

  • Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die E-Mail-Adresse wird gelöscht, sobald der jeweilige Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  • Mobilfunknummern (SMS-Verifizierung):
    Die Mobilfunknummer wird zur Durchführung der SMS-Verifizierung verarbeitet. Darüber hinaus kann die Mobilfunknummer im System gespeichert bleiben, sofern ein fortbestehender Zweck besteht (z. B. Nachvollziehbarkeit von Transaktionen, Support, Missbrauchsprävention).

  • Eine Nutzung der Mobilfunknummer zu Marketingzwecken (z. B. Versand von Informationen oder Angeboten per SMS) erfolgt ausschließlich auf Grundlage einer gesonderten, ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 7 UWG.

  • Die Mobilfunknummer wird gelöscht, sobald der Zweck der Verarbeitung entfällt oder eine erteilte Einwilligung widerrufen wird, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  • Kontaktanfragen:
    Kontaktanfragen
    Wenn Sie uns per Kontaktformular, E-Mail oder über andere Kommunikationswege kontaktieren, verarbeiten wir die von Ihnen übermittelten personenbezogenen Daten (z. B. Name, E-Mail-Adresse, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens.

  • Die im Rahmen der Kontaktaufnahme verarbeiteten Daten werden im System gespeichert, solange dies zur Bearbeitung der Anfrage sowie zur anschließenden Kommunikation, Dokumentation und Nachvollziehbarkeit erforderlich ist.

  • Eine Löschung erfolgt, sobald kein sachlicher oder rechtlicher Zweck für die weitere Speicherung mehr besteht und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  • Erfolgt im Anschluss an die Kontaktanfrage ein Vertragsverhältnis oder eine weitergehende Geschäftsbeziehung, können die Daten im Rahmen der entsprechenden gesetzlichen Aufbewahrungspflichten weiter gespeichert werden.

  • Newsletter-Daten:
    Speicherung bis zum Widerruf der Einwilligung

  • Server- und Logdaten:
    Die Speicherung erfolgt für einen begrenzten Zeitraum und wird regelmäßig überprüft. Logdaten werden in der Regel nach spätestens 30 Tagen automatisiert gelöscht oder anonymisiert, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung im Einzelfall erforderlich machen.

Nach Ablauf der jeweiligen Fristen werden die Daten gelöscht oder anonymisiert.

16. Betroffenenrechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten.

Sie haben zudem das Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen.

17. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Wohnsitzes oder des Firmensitzes.

18. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.

19. Datenübermittlung in Drittländer

Sofern personenbezogene Daten in Drittländer (insbesondere die USA) übermittelt werden, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (EU-U.S. Data Privacy Framework, Standardvertragsklauseln).

Trotz bestehender Angemessenheitsbeschlüsse kann nicht ausgeschlossen werden, dass staatliche Stellen in Drittländern Zugriff auf personenbezogene Daten erhalten. Wir haben ergänzende vertragliche und organisatorische Maßnahmen getroffen, um ein angemessenes Datenschutzniveau sicherzustellen.

20. Stand der Datenschutzerklärung

Stand: 20. Januar 2026