EST. 2026 — KÖLN

Zum Shop

N° 001

FIRST EDITION

Little & Loved

— Rechtliches —

Datenschutz.

Stand April 2026 — Version 1.0

Diese Datenschutzerklärung ergänzt die allgemeine Datenschutzerklärung des Online-Shops www.littleloved.de und gilt speziell für die Verarbeitung personenbezogener Daten im Rahmen der Mitgliedschaft im Little & Loved Club (www.littleloved.club).

1 · Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Little & Loved
c/o Haus der Visionäre GmbH
Innungstraße 4 A, 50354 Hürth
Deutschland
Geschäftsführer: Marian Schmid
E-Mail: datenschutz@littleloved.de

2 · Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte an die unter Punkt 1 genannte Adresse.

3 · Erhobene Daten und Verarbeitungszwecke

3.1 Registrierungsdaten

Bei der Registrierung im Club werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Verschlüsselt gespeichertes Passwort
  • Karten-Code
  • Zeitpunkt der Registrierung und Zustimmung zu Teilnahmebedingungen und Datenschutzerklärung
  • IP-Adresse zum Zeitpunkt der Registrierung und der E-Mail-Bestätigung (zur Dokumentation der Einwilligung gemäß Art. 7 Abs. 1 DSGVO)

Zwecke: Begründung und Verwaltung der Mitgliedschaft, Authentifizierung, Schutz vor Missbrauch.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Systems).

3.2 Verknüpfung mit Bestellungen

Zur Verwaltung der Mitgliedervorteile werden Bestellungen aus dem Online-Shop www.littleloved.de mit dem Mitgliedskonto verknüpft. Hierfür werden insbesondere folgende Daten verarbeitet:

  • Bestellnummer
  • Bestelldatum
  • Bestellsumme
  • Zahlungs- und Erstattungsstatus
  • Lieferadresse (zur Missbrauchserkennung in Form eines kryptografisch erzeugten Hashs)

Zwecke: Berechnung und Freischaltung der Sammelfiguren, Erkennung von Mehrfach-Accounts, Steuerung der Geburtstagsfiguren-Versendung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz).

3.3 Daten hinterlegter Kinder

Zur Bereitstellung der Geburtstagsfigur können im Mitgliederbereich Daten von bis zu fünf Kindern hinterlegt werden:

  • Vorname des Kindes
  • Geburtsdatum
  • Geschlecht (zur passenden Auswahl der Geburtstagsfigur)

Diese Verarbeitung erfolgt ausschließlich auf der Grundlage einer ausdrücklichen, gesonderten Einwilligung der erziehungsberechtigten Person (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Es werden keine Nachnamen, keine Fotos und keine über die genannten Datenkategorien hinausgehenden Informationen über Kinder erhoben.

Wird ein Kind 14 Jahre alt, werden seine Daten automatisch gelöscht. Erziehungsberechtigte können einzelne Kinderdatensätze jederzeit selbst im Mitgliederbereich löschen.

3.4 Login- und Nutzungsdaten

Bei jedem Login werden Zeitpunkt und IP-Adresse temporär verarbeitet zur Sicherheit des Accounts (z. B. Erkennung verdächtiger Login-Versuche). Diese Daten werden nach 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

3.5 E-Mail-Kommunikation

Im Rahmen der Mitgliedschaft werden folgende E-Mails versandt:

  • Bestätigungs-E-Mail bei der Registrierung (Double-Opt-In)
  • Benachrichtigungen bei Freischaltung neuer Sammelfiguren
  • Erinnerungen vor dem Geburtstag eines hinterlegten Kindes
  • Service-Kommunikation (Passwort-Reset, Änderungsmitteilungen)

Marketing-E-Mails außerhalb der Club-Funktionen werden nur bei separater Einwilligung versandt.

4 · Empfänger der Daten / Auftragsverarbeiter

Zur Erbringung der Club-Leistungen werden Daten an folgende Auftragsverarbeiter übermittelt, mit denen entsprechende Verträge nach Art. 28 DSGVO geschlossen wurden:

  • Hosting-Dienstleister: Vercel Inc., USA bzw. Hetzner Online GmbH, Deutschland (je nach finaler Wahl)
  • Datenbank-Dienstleister: Supabase Inc., USA bzw. Neon Inc., USA
  • E-Mail-Versand: Resend Inc., USA (für transaktionale E-Mails) und/oder Klaviyo Inc., USA (für Mitglieder-Kommunikation)
  • Shopify International Ltd., Irland (Shop-Plattform und Bestellabwicklung)
  • DHL Paket GmbH, Deutschland (Versand der Geburtstagsfiguren)

Bei Übermittlungen in die USA stützt sich die Verarbeitung auf den EU-US Data Privacy Framework bzw. auf Standardvertragsklauseln gemäß Art. 46 DSGVO.

5 · Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist:

  • Stammdaten des Mitglieds: für die Dauer der Mitgliedschaft, danach Soft-Delete für 30 Tage, anschließend endgültige Löschung
  • Bestelldaten im Cache: maximal 36 Monate (handelsrechtliche Aufbewahrungsfristen liegen beim Shop-Betreiber)
  • Kinderdaten: bis zur Löschung durch die erziehungsberechtigte Person, spätestens jedoch bei Vollendung des 14. Lebensjahres des Kindes
  • Einwilligungs-Dokumentation (Zeitpunkt, IP, Inhalt): drei Jahre nach Beendigung der Mitgliedschaft
  • Login- und Sicherheitsdaten: 30 Tage
  • Inaktive Accounts (kein Login über 36 Monate): nach vorheriger Erinnerungs-E-Mail werden die Daten anonymisiert oder gelöscht

6 · Rechte der betroffenen Personen

Mitglieder haben jederzeit folgende Rechte gegenüber dem Anbieter:

  • Recht auf Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist insbesondere die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf.

Anfragen zur Ausübung dieser Rechte können per E-Mail an datenschutz@littleloved.de gerichtet werden. Im Mitgliederbereich steht zudem eine Funktion zum Datenexport (Auskunft) und zur Account-Löschung zur Verfügung.

7 · Automatisierte Entscheidungsfindung

Im Rahmen des Clubs findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder die teilnehmende Person in ähnlicher Weise erheblich beeinträchtigt. Die automatische Erstellung der Geburtstagsfiguren-Bestellung erfolgt rein operativ zur Erfüllung der vertraglichen Leistung und stellt keine Entscheidung über die Person dar.

8 · Sicherheit der Datenverarbeitung

Der Anbieter setzt geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ein, insbesondere:

  • Verschlüsselte Übertragung aller Daten (TLS)
  • Speicherung von Passwörtern ausschließlich als gehashte Werte (Argon2id)
  • Zugangskontrolle und Rechte-Management im Backend
  • Protokollierung sicherheitsrelevanter Vorgänge
  • Regelmäßige Updates und Sicherheits-Reviews

9 · Cookies und vergleichbare Technologien

Auf www.littleloved.club werden ausschließlich technisch notwendige Cookies eingesetzt (Session-Cookie, CSRF-Token). Diese sind für den Betrieb der Website und die sichere Authentifizierung erforderlich. Eine Einwilligung ist hierfür nicht erforderlich.

Es werden keine Tracking-Cookies, keine Drittanbieter-Cookies und keine Werbe-Cookies eingesetzt.

10 · Änderungen der Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich rechtliche Rahmenbedingungen oder technische Gegebenheiten ändern. Die jeweils aktuelle Version ist unter www.littleloved.club/datenschutz abrufbar. Wesentliche Änderungen werden den Mitgliedern per E-Mail mitgeteilt.

Entwurf — vor Veröffentlichung anwaltlich prüfen lassen.