Stand: 20. Oktober 2025

1. Verantwortlicher

DoctorBox Service GmbH
Alt-Moabit 91 B, 10559 Berlin

E-Mail: info@doctorbox.de 

Datenschutzbeauftragte/r

Dietmar Gatcke
E-Mail: datenschutz@doctorbox.de

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten beim Besuch und der Nutzung des Online-Shops unter shop.doctorbox.de („Website“) einschließlich des dort eingesetzten Cookie-/Consent-Managements.

3. Rechtsgrundlagen und Grundsätze

Wir verarbeiten personenbezogene Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Das Speichern von Informationen auf Ihrem Endgerät bzw. der Zugriff darauf erfolgt gemäß § 25 Abs. 1 TTDSG nur mit Ihrer Einwilligung; hiervon ausgenommen sind ausschließlich unbedingt erforderliche Technologien gemäß § 25 Abs. 2 Nr. 2 TTDSG. Die anschließende Datenverarbeitung stützen wir – je nach Zweck – auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), lit. b (Vertrag/Vertragsanbahnung) oder lit. f (berechtigtes Interesse, z. B. Betrieb, Sicherheit, Betrugsprävention).

4. Consent-Management (Complianz)

Wir setzen die Consent-Management-Plattform Complianz ein. Über den Einwilligungsbanner können Sie Einwilligungen für nicht unbedingt erforderliche Kategorien erteilen, verweigern oder differenziert konfigurieren. Die von Ihnen gewählten Einstellungen werden geräte-/browserbezogen gespeichert.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern: Cookie-Einstellungen öffnen.

5. Kategorien von Technologien/Trackern

• Essentiell (ohne Einwilligung): für den Betrieb der Website notwendig (z. B. Warenkorb, Login, Sicherheit, CDN, Hosting).
• Statistik (mit Einwilligung): Reichweitenmessung, Nutzungsanalyse, Usability-Verbesserung.
• Marketing (mit Einwilligung): Conversion-Messung, Reichweite, (Re-)Marketing, Zielgruppenbildung.
• Zahlungen (teils ohne separate Einwilligung, da zur Vertragserfüllung erforderlich): Abwicklung von Kaufverträgen über Zahlungsdienstleister.

6. Verarbeitungsvorgänge und eingesetzte Dienste

Nachfolgend informieren wir jeweils über Zweck, Datenarten, Rechtsgrundlage, Empfänger/Drittlandsübermittlung, Speicherdauer und Widerrufsmöglichkeiten der von uns eingesetzten Dienste.

6.1 Plattform-Dienste, Hosting & Sicherheit (essentiell)

Shopify (Plattform/Hosting)

Zweck: Betrieb des Online-Shops (Bereitstellung der Shop-Funktionen, Warenkorb, Checkout, Caching).
Datenarten: Nutzungs- und Gerätedaten, IP-Adresse, Protokolldaten; bei Nutzung von Funktionen ggf. Kunden-/Bestelldaten.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG; Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. lit. f DSGVO (Betrieb/Sicherheit).
Empfänger/Drittland: Shopify Inc. (Kanada, Angemessenheitsbeschluss); ggf. verbundene Unternehmen.
Speicherdauer: entsprechend gesetzlichen Aufbewahrungsfristen bzw. technisch erforderlich.

Shop Pay (Zahlungsabwicklung über Shopify)

Zweck: Zahlungsabwicklung/Express-Checkout.
Rolle: eigenständige/r Verantwortliche/r.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Weitere Informationen: siehe Datenschutzhinweise von Shopify/Shop Pay.

Cloudflare (CDN & Sicherheit)

Zweck: Auslieferung statischer Inhalte, DDoS-Schutz, Bot-Management, Performance.
Datenarten: IP-Adresse, Protokolldaten, Sicherheits-/Gerätedaten; essenzielle Cookies/Tokens (z. B. Clearance).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG; Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Verfügbarkeit).
Empfänger/Drittland: Cloudflare, Inc., u. a. USA; Absicherung über Standardvertragsklauseln (SCCs).
Speicherdauer: kurzzeitig/Session bzw. technisch erforderlich.

Google Hosted Libraries (CDN)

Zweck: Bereitstellung von Bibliotheken/Schrift-/Script-Ressourcen über Google-CDN.
Hinweis: Es werden in der Regel keine eigenen Cookies gesetzt; jedoch findet ein Abruf von Ihrem Endgerät bei Google-Servern statt (IP/Browser-Daten).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG; Art. 6 Abs. 1 lit. f DSGVO.

6.2 Tag-Verwaltung (essentiell / konfigurationsabhängig)

Google Tag Manager

Zweck: Verwaltung von Website-Tags; der GTM setzt selbst keine nutzerbezogenen Cookies, ermöglicht jedoch das Nachladen anderer Tools gemäß Ihrer Consent-Einstellungen.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (reines Tag-Management); nachgeladene Tools jeweils nach ihrer Kategorie (Statistik/Marketing) nur mit Einwilligung.
Empfänger/Drittland: Google LLC, USA (SCCs/DPF).

6.3 Statistik & Nutzerverhalten (mit Einwilligung)

Google Analytics 4

Zweck: Reichweitenmessung, Analyse der Nutzung des Shops; Einsatz des Google Consent Mode v2.
Datenarten: Online-Kennungen (z. B. Client-ID), Ereignisdaten, Endgerät/Browser-Informationen; IP-Adressen werden laut Google nur zur Ableitung von Geodaten verwendet und anschließend verworfen.
Rechtsgrundlage: § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Empfänger/Drittland: Google LLC, USA (SCCs/DPF).
Speicherdauer: z. B. _ga und _ga_* bis zu 24 Monate (je nach Konfiguration).
Widerruf: jederzeit über Cookie-Einstellungen.

Microsoft Clarity (Session-Recording/Heatmaps)

Zweck: Nutzungsanalyse zur Verbesserung der Usability (Heatmaps, aggregierte Session-Replays) mit Maskierung sensibler Eingaben.
Datenarten: Interaktionen auf der Website (Scrolls, Klicks), Sitzungs-/Gerätedaten, gekürzte IP.
Rechtsgrundlage: § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO.
Empfänger/Drittland: Microsoft Corporation, u. a. EU/USA (SCCs).
Widerruf: über Cookie-Einstellungen.

6.4 Marketing, Conversion-Tracking & Remarketing (mit Einwilligung)

Meta-Pixel (Meta Ads Conversion Tracking)

Zweck: Conversion-Messung, Zielgruppenbildung für Werbung auf Facebook/Instagram (Remarketing).
Datenarten: Pixel-ID, Nutzungs-/Ereignisdaten (z. B. Page Views, Käufe), ggf. gehashte E-Mail (nur bei separater Aktivierung).
Rechtsgrundlage: § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO.
Empfänger/Drittland: Meta Platforms, Inc., USA (SCCs/DPF).
Speicherdauer: z. B. _fbp bis zu 3 Monate.
Widerruf: über Cookie-Einstellungen.

TikTok Conversion Tracking & TikTok Remarketing

Zweck: Conversion-Messung und (Re-)Marketing im TikTok-Werbenetzwerk.
Datenarten: Pixel-ID, Ereignisdaten, Nutzungsdaten; ggf. Matching-Signale.
Rechtsgrundlage: § 25 Abs. 1 TTDSG; Art. 6 Abs. 1 lit. a DSGVO.
Empfänger/Drittland: TikTok Inc. (USA) und verbundene Unternehmen (SCCs).
Speicherdauer: z. B. _ttp bis zu 24 Monate.
Widerruf: über Cookie-Einstellungen.

Klaviyo (E-Mail-Marketing & Automatisierung)

Zweck: Verwaltung von E-Mail-Adressen, Versand von Marketing-E-Mails/Automationen; Versand von transaktionsbezogenen Mitteilungen (z. B. Bestell-/Versandinfos).
Rechtsgrundlage: Newsletter/Marketing: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 UWG; Transaktionsmails: Art. 6 Abs. 1 lit. b DSGVO.
Datenarten: Kontakt-, Nutzungs- und Kampagnen-Daten; ggf. Kaufhistorie (sofern aktiviert und rechtlich vorgesehen).
Empfänger/Drittland: Klaviyo Inc., USA (SCCs).
Widerruf: Abmeldung über jeden Newsletter sowie Cookie-Einstellungen für Tracking.

6.5 Zahlungsabwicklung (zur Vertragserfüllung erforderlich)

Zur Abwicklung von Zahlungen setzen wir – abhängig von Ihrer Auswahl im Checkout – folgende eigenständige Zahlungsdienstleister ein. Diese verarbeiten Ihre Daten in eigener Verantwortlichkeit.

PayPal

Zweck/Rechtsgrundlage: Zahlungsabwicklung – Art. 6 Abs. 1 lit. b DSGVO.
Datenarten: Zahlungs-/Transaktionsdaten, Identifikations- und Kommunikationsdaten.
Empfänger/Drittland: PayPal (Europa) S.à r.l. et Cie, S.C.A. und verbundene Unternehmen; ggf. Drittlandübermittlungen nach deren Standard.

Google Pay

Zweck/Rechtsgrundlage: Zahlungsabwicklung – Art. 6 Abs. 1 lit. b DSGVO.
Empfänger/Drittland: Google Ireland Limited/Google LLC (SCCs/DPF).

Apple Pay

Zweck/Rechtsgrundlage: Zahlungsabwicklung – Art. 6 Abs. 1 lit. b DSGVO.
Empfänger: Apple Distribution International Ltd.; ggf. verbundene Unternehmen.

Mastercard / Visa

Zweck/Rechtsgrundlage: Karten-Zahlungsabwicklung – Art. 6 Abs. 1 lit. b DSGVO.
Empfänger/Drittland: Mastercard Inc. / Visa Inc., u. a. USA (SCCs/DPF).

Klarna (sofern im Checkout auswählbar)

Zweck/Rechtsgrundlage: Zahlarten (z. B. Rechnung/Raten) – Art. 6 Abs. 1 lit. b DSGVO; im Einzelfall Bonitätsprüfung – Art. 6 Abs. 1 lit. f DSGVO.
Empfänger: Klarna Bank AB (publ.).

7. Cookies/Tracker-Übersicht

Die jeweils aktuelle und vollständige Cookie-/Tracker-Liste einschließlich Speicherdauern wird durch die Consent-Management-Plattform Complianz verwaltet und im Banner/der Präferenzmaske angezeigt. Nachfolgend eine beispielhafte, nicht abschließende Übersicht häufig verwendeter Einträge:

Ihre Auswahl können Sie jederzeit anpassen: Cookie-Einstellungen öffnen.

8. Empfänger, Drittlandsübermittlungen und Garantien

Sofern Daten an Anbieter außerhalb der EU/des EWR übermittelt werden, erfolgt dies vorbehaltlich geeigneter Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) oder auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (z. B. Kanada für Shopify). Bei US-Empfängern können – abhängig vom Anbieter – zusätzlich die Regeln des EU-U.S. Data Privacy Framework (DPF) Anwendung finden. Informationen hierzu sind in den Datenschutzhinweisen der jeweiligen Anbieter abrufbar.

9. Zahlungsabwicklung und Bonitätsprüfungen

Bei Auswahl bestimmter Zahlarten kann der Zahlungsdienstleister eigenständige Risikoprüfungen/Bonitätsabfragen durchführen. Hierauf haben wir keinen Einfluss. Rechtsgrundlagen, Datenkategorien, Empfänger und Speicherdauern ergeben sich aus den Datenschutzhinweisen des jeweiligen Anbieters.

10. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung essenzieller Daten ist zum Betrieb des Shops bzw. zur Vertragsdurchführung erforderlich. Ohne diese Daten ist eine Nutzung des Shops bzw. die Durchführung von Bestellungen nicht möglich. Angaben für Statistik/Marketing sind freiwillig und nur mit Ihrer Einwilligung erforderlich.

11. Speicherdauer

Sofern in dieser Erklärung nicht abweichend angegeben, speichern wir personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Gesetzliche Aufbewahrungs- und Aufbewahrungsfristen (z. B. Handels-/Steuerrecht) bleiben unberührt.

12. Ihre Rechte

Sie haben – unter den gesetzlichen Voraussetzungen – folgende Rechte: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO). Beruht eine Verarbeitung auf Ihrer Einwilligung, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter: datenschutz@doctorbox.de  Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere an Ihrem Aufenthaltsort, Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes.

13. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO), einschließlich Zugriffskontrollen, Verschlüsselung und Verfahren zur regelmäßigen Überprüfung.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn technische oder rechtliche Änderungen dies erfordern. Es gilt die jeweils auf dieser Website veröffentlichte Fassung.

15. Kontakt

Verantwortlicher:
DoctorBox Service GmbH
Alt-Moabit 91B, 10559 Berlin
E-Mail: info@doctorbox.de

Datenschutzbeauftragte/r:
Dietmar Gatcke
E-Mail: datenschutz@doctorbox.de