Rechtliches
Datenschutz — Käufer:innen
Für die Abwicklung eines Postkarten-Kaufs: Bestellung, Zahlung, Druck und Versand.
Stand: April 2026.
Drei Datenschutzerklärungen — je nach Rolle
- Website & App — allgemeine Nutzung
- Diese Seite: Käufer:innen einer Postkarte
- Empfänger:innen einer Postkarte
I. Verantwortlicher
baltic pixels UG (haftungsbeschränkt)
Gärtnerwinkel 8
24943 Flensburg
Deutschland
E-Mail: datenschutz@sendsome.de
II. Zweck und Rechtsgrundlage der Verarbeitung
Um deine Bestellung auszuführen, verarbeiten wir die Daten, die du uns im Bestellprozess zur Verfügung stellst. Ohne diese Daten ist eine Vertragsabwicklung nicht möglich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des mit dir geschlossenen Vertrags und Durchführung vorvertraglicher Maßnahmen).
Für die steuer- und handelsrechtliche Aufbewahrung gilt ergänzend Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung). Soweit wir Daten zur Betrugsprävention oder Fehleranalyse nutzen, stützen wir dies zusätzlich auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Geschäftsbetrieb).
III. Kategorien personenbezogener Daten
Zur Abwicklung deiner Bestellung verarbeiten wir:
- Stammdaten: Vor- und Nachname, ggf. Firma
- Kontaktdaten: E-Mail-Adresse, ggf. Telefonnummer, Lieferanschrift (wenn du dich selbst als Empfänger:in einträgst)
- Bestelldaten: Produktauswahl, Motiv, persönlicher Text, ausgewählte Handschrift, Bestelldatum
- Empfängerdaten: Name und Postanschrift der Person, an die die Karte verschickt werden soll (siehe dazu auch Datenschutz Empfänger:innen)
- Zahlungsdaten: Die von dir gewählte Zahlungsart und die für die Abwicklung notwendigen Informationen. Die Zahlungsdaten im engeren Sinn (Kreditkartennummer, Kontodaten, Apple-Pay-Token etc.) verarbeiten wir nicht selbst — sie werden direkt bei unserem Payment-Service-Provider verschlüsselt erfasst und an uns lediglich als pseudonymisierte Transaktions-Kennung weitergegeben.
- Kommunikationsdaten: E-Mail-Korrespondenz zu deiner Bestellung (Bestellbestätigung, Versandbenachrichtigung, Support-Anfragen)
IV. Auftragsverarbeiter und Dritte im Bestellprozess
Zur Auftragsabwicklung arbeiten wir mit sorgfältig ausgewählten externen Dienstleistern zusammen. Alle sind durch Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO gebunden oder — im Fall eigener Verantwortlichkeit, etwa für den Postversand — in die Abwicklung deines Vertrags eingebunden (Art. 6 Abs. 1 lit. b DSGVO).
- Druckdienstleister: abex Direktwerbung GmbH & Co. KG, Jacobsenweg 6–8, 22525 Hamburg. Erhält die Motivdatei und die Empfängerdaten zur Kartenproduktion.
- Versanddienstleister: Deutsche Post AG, Charles-de-Gaulle-Straße 20, 53113 Bonn. Erhält die adressierte Karte und übernimmt die Zustellung.
- Payment-Service-Provider: Den konkret genutzten Zahlungsdienstleister nennen wir dir vor der Zahlung transparent im Bestellprozess. Die Datenschutzerklärung des jeweiligen Anbieters ist ergänzend zu dieser Erklärung zu beachten.
- E-Mail-Versand (Transaktionsmails): Postmark (ActiveCampaign, LLC, Chicago, USA) als technischer Versender von Bestellbestätigungen, Versandbenachrichtigungen und Support-Antworten. Datenübermittlung auf Basis von EU-Standardvertragsklauseln und EU-U.S. Data Privacy Framework.
- Hosting & Cloud-Infrastruktur: IONOS SE (Montabaur, Deutschland) für die Website; unsere App-Backend-Daten werden auf EU-Servern gespeichert.
V. Speicherdauer und Löschfristen
Wir speichern deine personenbezogenen Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Konkret gilt:
| Datenkategorie | Dauer | Rechtsgrundlage |
|---|---|---|
| Motivdateien, persönlicher Text, Empfänger-Adresse in der Produktion | Bis zur erfolgreichen Zustellung, danach Löschung beim Druckdienstleister spätestens nach 30 Tagen | Art. 6 Abs. 1 lit. b DSGVO |
| Bestelldaten im Kundenkonto (Historie) | Dauer des Kundenkontos; bei Kontolöschung auf Anonymisierung oder Löschung | Art. 6 Abs. 1 lit. b DSGVO |
| Allgemeine Vertragsdaten (Gewährleistung, Ansprüche) | 3 Jahre zum Jahresende (regelmäßige Verjährung, § 195, § 199 BGB) | Art. 6 Abs. 1 lit. f DSGVO |
| Handelsbriefe, empfangene/versendete Geschäftskorrespondenz | 6 Jahre (§ 257 Abs. 1 Nr. 2 HGB, § 147 Abs. 3 AO) | Art. 6 Abs. 1 lit. c DSGVO |
| Buchungsbelege, Rechnungen | 8 Jahre (§ 147 Abs. 3 AO in der seit 2025 geltenden Fassung; für Belege aus Altjahren vor 2025 gelten ggf. längere Übergangsfristen) | Art. 6 Abs. 1 lit. c DSGVO |
Für die Zeit der Aufbewahrungspflicht wird die Verarbeitung eingeschränkt (Art. 18 DSGVO): die Daten werden nicht mehr aktiv verarbeitet, sondern ausschließlich aufbewahrt. Nach Ablauf der jeweiligen Frist werden sie unverzüglich gelöscht.
VI. Übermittlung in Drittländer
Zahlungs- und E-Mail-Dienste können Daten in die USA übertragen. Wir stellen ein angemessenes Datenschutzniveau durch EU-Standardvertragsklauseln (Art. 46 DSGVO) und die Zertifizierung der Empfänger unter dem EU-U.S. Data Privacy Framework sicher.
VII. Automatisierte Entscheidungsfindung
Wir nutzen für die Vertragsabwicklung keine automatisierten Entscheidungsfindungen oder Profiling im Sinne des Art. 22 DSGVO. Soweit in Einzelfällen (z. B. Betrugsprävention) eine algorithmische Vorprüfung stattfindet, wird vor einer geschäftsentscheidenden Maßnahme stets ein Mensch einbezogen.
VIII. Deine Rechte
Dir stehen die Rechte nach Art. 15–22 DSGVO zu: Auskunft, Berichtigung, Löschung (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen), Einschränkung, Datenübertragbarkeit und Widerspruch. Außerdem hast du nach Art. 77 DSGVO ein Beschwerderecht bei einer Aufsichtsbehörde — für uns zuständig ist das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Holstenstr. 98, 24103 Kiel.
Wende dich bei Fragen jederzeit an datenschutz@sendsome.de.