BauSupply Logo

Datenschutzerklärung

Wir freuen uns über Ihr Interesse an unserem Online-Shop. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachstehend informieren wir Sie ausführlich über den Umgang mit Ihren Daten gemäß Art. 13 und 14 DSGVO.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Tososto GmbH
Isestraße 3
20144 Hamburg
Deutschland
E-Mail: [email protected]
Telefon: +49 1522 4119478

Handelsregister: HRB 179259, Amtsgericht Hamburg
Vertretungsberechtigte Geschäftsführer: Leo Groth, Jonathan Gräßmann

2. Datenschutz auf einen Blick

Beim Besuch unserer Website werden technisch notwendige Daten verarbeitet (Server-Logs, Cookies). Personenbezogene Daten erheben wir nur dann, wenn Sie diese aktiv eingeben – z. B. bei der Registrierung, einer Bestellung, einer Anfrage über unser Chat-/Anfragen-System oder beim Abonnieren des Newsletters. Eine Weitergabe an Dritte erfolgt nur im gesetzlich zulässigen Rahmen oder mit Ihrer Einwilligung.

3. Zugriffsdaten und Hosting

Sie können unsere Website besuchen, ohne Angaben zu Ihrer Person zu machen. Bei jedem Aufruf einer Seite speichert der Webserver automatisch ein sogenanntes Server-Logfile, das u. a. folgende Daten enthält:

  • IP-Adresse des anfragenden Endgeräts
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • übertragene Datenmenge
  • verwendeter Browser, Betriebssystem und Spracheinstellung
  • Referrer-URL (zuvor besuchte Seite)

Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs, zur Aufrechterhaltung der IT-Sicherheit sowie zur Verbesserung unseres Angebots verarbeitet (Art. 6 Abs. 1 lit. f DSGVO). Die Logfiles werden spätestens nach 30 Tagen gelöscht oder anonymisiert; eine längere Speicherung erfolgt nur, wenn dies zur Aufklärung von Sicherheitsvorfällen erforderlich ist.

Hosting

Unsere Website und das zugehörige Backend werden bei einem Hosting-Dienstleister in der Europäischen Union betrieben. Mit dem Hosting-Anbieter haben wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen.

4. Cookies und ähnliche Technologien

Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb des Shops erforderlich sind (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG). Für diese Cookies ist keine Einwilligung erforderlich.

  • _medusa_cart_id – Speichert die Warenkorb-ID (Laufzeit: 7 Tage)
  • _medusa_jwt – Authentifizierungstoken bei Login (Laufzeit: 7 Tage)
  • _medusa_cache_id – Interne Zwischenspeicherung zur Performance-Optimierung
  • NEXT_LOCALE – Speichert die gewählte Sprach-/Länderpräferenz

Wir setzen keine Cookies für Tracking, Webanalyse oder Werbung ein. Cookies können jederzeit über die Einstellungen Ihres Browsers gelöscht oder blockiert werden; in diesem Fall können einzelne Funktionen des Shops (z. B. Warenkorb, Login) eingeschränkt sein.

5. Registrierung und Kundenkonto

Sie können bei uns ein Kundenkonto anlegen. Im Rahmen der Registrierung verarbeiten wir folgende Daten:

  • Vorname und Nachname
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • verschlüsseltes Passwort
  • Rechnungs- und Lieferadressen (Straße, PLZ, Ort, Land, ggf. Firma)

Die Verarbeitung erfolgt zum Zwecke der Vertragserfüllung sowie zur Bereitstellung Ihres Kundenkontos (Art. 6 Abs. 1 lit. b DSGVO). Zusätzlich speichern wir den Zeitpunkt der Registrierung und die dabei verwendete IP-Adresse zum Schutz vor Missbrauch (Art. 6 Abs. 1 lit. f DSGVO).

Sie können Ihr Kundenkonto jederzeit selbst über die Konto-Einstellungen löschen. Nach Löschung werden Ihre Daten entfernt, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere steuer- und handelsrechtliche Fristen von bis zu 10 Jahren gemäß § 257 HGB, § 147 AO) entgegenstehen. Bestelldaten werden in diesem Fall für die weitere Verarbeitung eingeschränkt.

6. Bestellungen und Vertragsabwicklung

Zur Abwicklung von Bestellungen und Anfragen verarbeiten wir die von Ihnen im Bestell- oder Checkout-Prozess angegebenen Daten:

  • Bestands- und Kontaktdaten (Name, Anschrift, E-Mail, Telefon)
  • Rechnungs- und Lieferadresse, ggf. Firmenname
  • Bestell- und Vertragsdaten (Produkte, Mengen, Preise)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Aufbewahrungspflichten).

Soweit zur Lieferung erforderlich, geben wir Ihre Daten (Name, Adresse, ggf. Telefonnummer/E-Mail für die Versandankündigung) an den jeweils beauftragten Versanddienstleister oder – bei Streckengeschäften – an den Hersteller bzw. Großhändler weiter.

7. Anfragen-System und Chat-Funktion

Unser Anfragen-System ermöglicht Ihnen die direkte Kommunikation mit unserem Team sowie eine KI-gestützte Erstberatung. Dabei werden folgende Daten verarbeitet:

  • Name und E-Mail-Adresse
  • Inhalt Ihrer Nachrichten
  • optional hochgeladene Dateien (z. B. Pläne, Fotos, Datenblätter – bis zu 5 Dateien je Nachricht, max. 20 MB pro Datei)
  • Zeitstempel der Kommunikation
  • Status der Anfrage

Auch ohne Kundenkonto können Sie eine Anfrage stellen; in diesem Fall ist eine Bestätigung Ihrer E-Mail-Adresse erforderlich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen und Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kundenkommunikation).

KI-gestützte Beratung (Google Gemini)

Zur Beantwortung Ihrer Anfragen setzen wir das KI-Modell Gemini der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland ein. Hierbei werden der Inhalt Ihrer Nachricht sowie der bisherige Konversationsverlauf an die Google-Schnittstelle übermittelt, um eine passende Antwort zu generieren. Eine Datenübermittlung in die USA kann erfolgen; Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Wir empfehlen, in Anfragen keine sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten) anzugeben. Weitere Informationen: https://policies.google.com/privacy.

Echtzeit-Kommunikation (Centrifugo)

Für die Übertragung neuer Nachrichten in Echtzeit setzen wir den Open-Source-WebSocket-Dienst Centrifugo ein, den wir selbst auf unserer eigenen Infrastruktur innerhalb der EU betreiben. Eine Übermittlung an Dritte findet dabei nicht statt. Verarbeitet werden lediglich Ihre Kunden- bzw. Anfrage-ID sowie die übermittelten Nachrichten zur Zustellung. Es erfolgt keine dauerhafte Speicherung der Nachrichteninhalte durch den WebSocket-Dienst. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Speicherung von Datei-Uploads

Im Rahmen von Anfragen hochgeladene Dateien werden auf einem S3-kompatiblen Cloud-Speicher (DigitalOcean Spaces, Serverstandort EU) verschlüsselt gespeichert. Der Zugriff erfolgt ausschließlich über zeitlich begrenzte, signierte URLs. Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Weitergabe Ihrer Anfrage an Hersteller und Lieferanten

Um Ihnen ein passendes Angebot unterbreiten zu können, ist es in vielen Fällen erforderlich, ein Angebot beim Hersteller oder Lieferanten des angefragten Produkts einzuholen. Mit Ihrer ausdrücklichen Zustimmung leiten wir hierzu die für die Angebotserstellung erforderlichen Daten – insbesondere Ihren Namen, Ihre Kontaktdaten (E-Mail, ggf. Telefon), die Lieferanschrift sowie den Inhalt Ihrer Anfrage einschließlich beigefügter Dateien – an den jeweiligen Hersteller bzw. Lieferanten weiter.

Die Weitergabe erfolgt ausschließlich auf Ihren Wunsch und nur insoweit, als es zur Einholung des Angebots erforderlich ist. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bitte beachten Sie, dass die Hersteller bzw. Lieferanten für die anschließende Verarbeitung Ihrer Daten datenschutzrechtlich eigenverantwortlich sind.

8. Produktsuche (Algolia)

Für die Produktsuche in unserem Shop setzen wir den Dienst Algolia der Algolia SAS, 55 Rue d'Amsterdam, 75008 Paris, Frankreich ein. Hierbei werden Ihre Sucheingaben sowie technische Daten (IP-Adresse, Browser-Informationen) an Algolia-Server (Region EU) übermittelt, um Suchanfragen zu beantworten und die Suchfunktion zu optimieren.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer leistungsfähigen Suchfunktion). Mit Algolia besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Weitere Informationen: https://www.algolia.com/policies/privacy/.

9. E-Mail-Versand

Für den Versand transaktionaler E-Mails (z. B. Registrierungs-Bestätigungen, Bestellbestätigungen, Antworten auf Anfragen, Newsletter) nutzen wir den Dienst SendGrid der Twilio Inc., 1801 California Street, Denver, Colorado 80202, USA. Übermittelt werden Ihre E-Mail-Adresse, ggf. Ihr Name sowie der jeweilige Nachrichteninhalt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Twilio ist unter dem EU-U.S. Data Privacy Framework zertifiziert; zudem haben wir Standardvertragsklauseln vereinbart. Weitere Informationen: https://www.twilio.com/legal/privacy.

10. Newsletter

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse zum Zwecke der Zusendung von Informationen zu unseren Leistungen, Aktionen und Angeboten.

Die Anmeldung erfolgt im sogenannten Double-Opt-In-Verfahren: Nach Ihrer Eintragung erhalten Sie eine Bestätigungs-E-Mail mit einem Link, über den Sie das Abonnement aktiv bestätigen müssen. Zur Nachweisbarkeit des Anmeldeprozesses speichern wir den Anmeldezeitpunkt und die dabei verwendete IP-Adresse.

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit widerrufen, z. B. über den Abmeldelink in jedem Newsletter oder per E-Mail an [email protected].

11. Händler- und Geschäftspartner-Konten

Stellen Sie als Hersteller, Händler oder Handwerker eine Anfrage zur Aufnahme als Geschäftspartner, verarbeiten wir zusätzlich folgende Daten:

  • Firmenname, Anschrift, USt-IdNr.
  • Ansprechpartner (Name, E-Mail, Telefon)
  • Firmenlogo und ggf. Unternehmenspräsentation
  • Angaben zu Sortiment, Leistungen und Referenzen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung und Durchführung des Vertragsverhältnisses).

12. Empfänger und Auftragsverarbeiter

Eine Übermittlung Ihrer Daten an Dritte erfolgt nur, sofern dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht oder Sie eingewilligt haben. Empfänger können insbesondere sein:

  • IT- und Hosting-Dienstleister innerhalb der EU
  • Versanddienstleister sowie Hersteller bei Streckenlieferungen
  • Hersteller bzw. Lieferanten zur Einholung von Angeboten – nur auf Ihren ausdrücklichen Wunsch
  • E-Mail-Versanddienstleister (SendGrid/Twilio)
  • Cloud-/Speicherdienstleister (DigitalOcean)
  • Such-Dienstleister (Algolia)
  • KI-Dienstleister (Google – Gemini)
  • Steuerberater, Wirtschaftsprüfer, Rechtsanwälte sowie zuständige Behörden im Rahmen gesetzlicher Pflichten

Mit allen Auftragsverarbeitern haben wir Verträge nach Art. 28 DSGVO geschlossen.

13. Datenübermittlung in Drittländer

Soweit wir Dienstleister einsetzen, deren Sitz oder Server sich außerhalb des Europäischen Wirtschaftsraums (EWR) befinden (insbesondere USA), erfolgt eine Übermittlung nur unter Einhaltung der Vorgaben der Art. 44 ff. DSGVO. Wir verlassen uns dabei entweder auf einen Angemessenheitsbeschluss der EU-Kommission (z. B. EU-U.S. Data Privacy Framework) oder schließen Standardvertragsklauseln der EU-Kommission ab. Trotz dieser Maßnahmen kann nicht vollständig ausgeschlossen werden, dass US-Behörden Zugriff auf personenbezogene Daten nehmen.

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Insbesondere gelten folgende Fristen:

  • Server-Logfiles: maximal 30 Tage
  • Kundenkonto-Daten: bis zur Löschung des Kontos durch Sie, danach Beschränkung auf gesetzliche Aufbewahrungspflichten
  • Bestell-, Rechnungs- und Buchungsdaten: 10 Jahre (§ 147 AO, § 257 HGB)
  • Handels- und Geschäftsbriefe (einschließlich E-Mails mit vertraglichem Bezug): 6 Jahre
  • Anfragen ohne Vertragsbezug: bis zur abschließenden Bearbeitung, anschließend Löschung
  • Newsletter-Abonnement: bis zum Widerruf der Einwilligung; danach Speicherung der E-Mail-Adresse in einer Sperrliste zum Nachweis für bis zu 3 Jahre

15. Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Hierzu zählen insbesondere die TLS-Verschlüsselung (https) aller Datenübertragungen, ein verschlüsseltes Speichern von Passwörtern, verschlüsselte Datei-Uploads, signierte Zugriffslinks für Dateien sowie strenge Zugriffsberechtigungen innerhalb unseres Unternehmens.

16. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte:

  • Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten
  • Löschung (Art. 17 DSGVO) Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen (Art. 21 DSGVO)
  • Widerruf einer Einwilligung jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an [email protected]. Für die Beschwerde ist die Datenschutzbehörde Ihres üblichen Aufenthaltsorts zuständig. Für unser Unternehmen ist dies die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.

17. Löschung Ihres Kundenkontos

Sie können Ihr Kundenkonto jederzeit selbst in den Konto-Einstellungen löschen. Dabei werden die mit Ihrem Konto verbundenen personenbezogenen Daten gelöscht oder – soweit gesetzliche Aufbewahrungspflichten bestehen – für die weitere Verarbeitung gesperrt.

18. Änderung dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen unserer Datenverarbeitung dies erforderlich machen. Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar.

Stand: Mai 2026