Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

2. Allgemeines

Wir nehmen den Schutz deiner persönlichen Daten ernst und verarbeiten sie ausschließlich auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und der ergänzenden nationalen Vorschriften. In dieser Erklärung informieren wir dich, welche Daten wir wann erheben, wofür wir sie verwenden, wie lange wir sie speichern und welche Rechte dir zustehen.

popy.rocks ist ein B2B-Angebot und richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB bzw. entsprechender nationaler Vorschriften.

3. Hosting der Website

Diese Website wird auf der Plattform Cloudflare Workers betrieben (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein global verteiltes Edge-Netzwerk; der Traffic wird typischerweise vom geografisch nächsten Rechenzentrum bedient (in der EU u.a. Frankfurt, Amsterdam, Wien).

Cloudflare verarbeitet zur Bereitstellung dieser Website technisch notwendige Verbindungsdaten (insbesondere die IP-Adresse des Endgeräts, den Zeitpunkt und Umfang des Zugriffs sowie HTTP-Header wie User-Agent und Referrer). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, performanten Bereitstellung der Website). Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag inklusive EU-Standardvertragsklauseln.

4. Server-Log-Daten

Bei jedem Aufruf werden technische Daten automatisch erhoben und für maximal 14 Tage in Cloudflare-Logs gespeichert: IP-Adresse, Datum und Uhrzeit der Anfrage, abgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Referrer-URL, User-Agent. Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nur zur Fehleranalyse, Sicherheitsüberwachung und Missbrauchsprävention verwendet.

5. Schriftarten

Die Schriftarten Plus Jakarta Sans und DM Sans werden direkt von unserem Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google Fonts oder anderen Drittanbieter-CDNs statt; insbesondere wird deine IP-Adresse nicht an Google übertragen.

6. Cookies, Local Storage und Web-Analytics

Diese Website setzt ohne deine Einwilligung keine Tracking-Cookies. Beim ersten Besuch siehst du eine Cookie-Leiste mit den Optionen Akzeptieren oder Ablehnen. Erst nach Klick auf Akzeptieren werden Google-Analytics-Cookies gesetzt und Daten an Google übertragen.

Unabhängig von deiner Entscheidung speichern wir deine getroffene Wahl in deinem Browser im Local Storage unter dem Schlüssel popy-consent (Wert granted oder denied), damit du nicht bei jedem Besuch erneut gefragt wirst. Dieser Eintrag enthält keine personenbezogenen Daten und wird nicht an Dritte übermittelt.

6.1 Google Tag Manager & Google Analytics 4

Wir nutzen Google Analytics 4 (Property-ID G-2LDQ6BFFXR) zur statistischen Reichweitenmessung dieser Marketing-Site. Die Auslieferung erfolgt über den Google Tag Manager (Account 6238477908, Container intern 253065562). Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Wir setzen das von Google bereitgestellte Consent Mode v2 mit Default-Stellung denied ein. Das bedeutet: solange du nicht aktiv eingewilligt hast, werden keine Analyse- oder Werbe-Cookies gesetzt und keine personenbezogenen Mess-Daten an Google übertragen.

Mit deiner Einwilligung erhebt Google Analytics insbesondere: gekürzte (anonymisierte) IP-Adresse — anonymize_ip ist aktiviert, sodass das letzte Oktett vor der Speicherung entfernt wird; Geräte- und Browser-Eigenschaften (User-Agent, Bildschirmauflösung, Spracheinstellung); aufgerufene Seiten, Verweildauer und Scrolltiefe; Referrer-URL (woher der Besuch kam); näherungsweise geografische Region auf Stadt-/Landes-Ebene (aus der IP abgeleitet, nicht GPS-präzise).

Zweck: Statistische Auswertung der Nutzung dieser Marketing-Site zur Verbesserung von Inhalten und Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TTDSG.
Speicherdauer: Die Standard-Aufbewahrung von Event-Daten auf Nutzer-Ebene in GA4 beträgt 14 Monate, danach erfolgt eine automatische Löschung.
Empfänger: Google Ireland Limited (Auftragsverarbeiter, EU); Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (Sub-Auftragsverarbeiter, USA).

6.2 Widerruf deiner Einwilligung

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du den Local-Storage-Eintrag popy-consent in deinem Browser löschst (Browser-Einstellungen → Website-Daten löschen, oder Entwickler-Werkzeuge → Application/Storage → Local Storage). Beim nächsten Besuch wird das Banner erneut angezeigt und du kannst neu entscheiden.

6.3 Server-seitige Tracking-Komponenten

Ergänzend zum browser-seitigen GA4 nutzen wir das Measurement Protocol von Google Analytics für server-seitige Ereignis-Übermittlung aus unserem E-Mail- und CRM-System (z. B. zur Erfolgsmessung nach Eingang einer Partner-Anfrage). Diese server-seitige Übermittlung respektiert dieselbe Einwilligungs-Logik wie das browser-seitige Tracking: ohne deine Zustimmung erfolgt keine Übermittlung.

7. Partner-Registrierung (Kontaktformular)

Für die Registrierung als Partner erheben wir über das Formular folgende Pflichtangaben:

• Vor- und Nachname
• Name des Ladens / der Firma
• WhatsApp- bzw. Telefonnummer
• Geschäftsart (Auswahlfeld)
• Bevorzugter Kontaktweg (WhatsApp oder Telefon)

Zusätzlich werden technisch erfasst: Zeitstempel der Anfrage, ausgewählte Sprache der Website, Referrer (woher der Besucher kam), sowie etwaige UTM-Parameter aus der URL (zur Erfolgsmessung von Marketing-Kampagnen).

Zweck: Bearbeitung deiner Anfrage zur Aufnahme einer Geschäftsbeziehung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, dich auf dem von dir gewählten Kanal kontaktieren zu können).
Speicherdauer: Bis 30 Tage nach Abschluss der Kommunikation, danach automatische Löschung. Falls aus dem Erstkontakt eine Geschäftsbeziehung entsteht, gelten die handels- und steuerrechtlichen Aufbewahrungspflichten (in der Regel bis zu 10 Jahre).

8. Cloudflare Turnstile (Bot-Schutz)

Zum Schutz des Formulars vor automatisiertem Missbrauch setzen wir Cloudflare Turnstile ein — eine Captcha-Alternative, die ohne Tracking-Cookies und ohne Verhaltensauswertung auskommt. Beim Öffnen des Formulars wird ein Skript von challenges.cloudflare.com nachgeladen; im Hintergrund wird ein einmaliges Token generiert und mit deiner Anfrage an unseren Server übermittelt. Cloudflare verarbeitet hierbei deine IP-Adresse und Browser-Eigenschaften ausschließlich zur Bot-Erkennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Systeme vor automatisierten Angriffen). Mehr Informationen: cloudflare.com/privacypolicy.

9. Weitergabe an Auftragsverarbeiter

Die Inhalte aus dem Partner-Formular werden an unser internes CRM-System weitergeleitet, das auf einem von uns betriebenen Server in der EU (Hostinger International Ltd., Hosting in Litauen/Deutschland) gehostet wird. Dort werden sie zur Bearbeitung deiner Anfrage gespeichert und für die unmittelbare Kontaktaufnahme über WhatsApp bzw. Telefon verwendet.

Mit allen Auftragsverarbeitern bestehen Vereinbarungen nach Art. 28 DSGVO. Eine Weitergabe an Dritte außerhalb dieser Auftragsverarbeitung erfolgt nicht.

10. Kontaktaufnahme über WhatsApp

Sobald du uns über WhatsApp kontaktierst (auch initiiert durch unsere Antwort auf deine Anfrage), gelten zusätzlich die Datenschutzbestimmungen von WhatsApp Business (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland). Inhalte deiner WhatsApp-Nachrichten werden über die Server von Meta übertragen und sind dort gemäß deren Business Data Transfer Addendum verarbeitet.

11. Login-Bereich (Shop)

Über den Link Login wird auf shop.popyrocks.com weitergeleitet. Für diesen Bereich gilt eine separate Datenschutzerklärung; bitte beachte die Hinweise dort.

12. Datenweitergabe in Drittländer

Cloudflare ist ein US-amerikanisches Unternehmen; trotz vorrangig EU-basierter Bereitstellung kann es im Einzelfall zur Übermittlung von Verbindungsdaten in die USA kommen. Cloudflare ist nach dem EU–US Data Privacy Framework zertifiziert; zudem haben wir mit Cloudflare die EU-Standardvertragsklauseln vereinbart, sodass ein angemessenes Datenschutzniveau gemäß Art. 46 DSGVO sichergestellt ist.

13. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf bereits erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Eine formlose Mitteilung per E-Mail an support@popyrocks.com genügt.

14. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe steht dir ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes (Art. 77 DSGVO). Zuständige Aufsichtsbehörde für popy.rocks EOOD ist die Bulgarian Commission for Personal Data Protection (cpdp.bg).

15. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für deinen erneuten Besuch gilt dann die jeweils aktuelle Fassung.

Diese Datenschutzerklärung wurde zuletzt am 23. Mai 2026 aktualisiert (Ergänzung um Google Analytics 4 / Consent Mode v2).