Datenschutzerklärung
Datenschutzerklärung
FooBi Food for Business GmbH
Stand: März 2026
I. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website und im Bestellsystem ist:
FooBi Food for Business GmbH
Holstenstraße 1, 22767 Hamburg
Geschäftsführer: Joshua Meyer
Amtsgericht Hamburg HRB 188367 | USt-Id.: DE370434434
E-Mail: info@foodforbusiness.de | Tel.: +49 176 72615231
II. Datenschutzbeauftragter
Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an: info@foodforbusiness.de
Sie haben das Recht, sich jederzeit an die zuständige Aufsichtsbehörde zu wenden: Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.
III. Allgemeine Hinweise
Wir verarbeiten Ihre personenbezogenen Daten ausschließlich im Rahmen der gesetzlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Alle Datenübertragungen erfolgen verschlüsselt via SSL/TLS (HTTPS).
IV. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
- Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen
V. Website-Nutzung
Beim Besuch unserer Website werden durch Ihren Browser automatisch folgende Daten in Server-Logfiles gespeichert:
- IP-Adresse (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Name und URL der aufgerufenen Seite
- Referrer-URL, Browser, Betriebssystem, HTTP-Statuscode
Diese Daten dienen ausschließlich der Systemsicherheit und Stabilität. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
VI. Bestellsystem (Online-Bestellung)
Plattform und Hosting
Unser Bestellsystem wird als Web-App betrieben. Folgende Plattform wird dabei genutzt:
| Dienst | Details |
|---|---|
| Shopify International Ltd. (Plattform & Hosting) | Shopify International Limited, Victoria Buildings, 1-2 Haddington Road, Dublin 4, Irland | EU-Sitz | Drittlandtransfer: EU-US Data Privacy Framework (DPF) | shopify.com/legal/privacy |
Bestelldaten
Zur Abwicklung Ihrer Bestellungen verarbeiten wir:
- Bestandsdaten: Name, geschäftliche E-Mail-Adresse
- Bestelldaten: Bestellinhalt, Bestelldatum, Bestellhistorie
- Abrechnungsdaten: Arbeitgeberzuschuss/Preisanteile, Rechnungs- und Gutschriftendaten
- Organisationsdaten: Abteilung, Team, Kostenstelle (falls vorhanden)
- Zahlungsdaten (werden direkt beim Zahlungsdienstleister verarbeitet – wir speichern nur eine Zahlungsreferenz)
- System- und Logdaten: IP-Adresse, Zugriffszeiten, Geräteinformationen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Registrierung und Login
Für die Nutzung des Bestellsystems ist ein Kundenkonto erforderlich. Der Login erfolgt über E-Mail-Adresse und Passwort sowie über miniOrange als Single-Sign-On-Dienst (SSO). Ein Login über Social-Media-Drittanbieter (z. B. Google, Facebook, Apple) ist nicht möglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
VII. Zahlungsabwicklung
Zahlungen werden über folgende Dienstleister abgewickelt. Wir speichern keine vollständigen Zahlungsdaten – wir erhalten nur eine Zahlungsreferenz:
| Zahlungsanbieter | Details |
|---|---|
| Shopify Payments (Stripe) | Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA | Kreditkarte & SEPA-Lastschrift | Drittlandtransfer: DPF + SCC | stripe.com/de/privacy |
| PayPal | PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg | Hinweis: PayPal kann eine Bonitätsprüfung durchführen | paypal.com/de/privacy |
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
VIII. E-Mail-Kommunikation
Transaktions-E-Mails (keine Einwilligung erforderlich)
Folgende E-Mails versenden wir auf Basis von Art. 6 Abs. 1 lit. b DSGVO ohne gesonderte Einwilligung:
- Tägliche Lieferübersicht via FlowMail: Jeden Werktag ca. 8–9 Uhr informieren wir Besteller darüber, was heute geliefert wird.
- Bestellbestätigungen und Stornierungsbestätigungen
- Lieferbestätigungen nach erfolgter Zustellung
- Monatsrechnungen
Marketing-E-Mails und Newsletter (Einwilligung erforderlich)
Werbliche E-Mails und Newsletter versenden wir ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung (Double-Opt-In-Verfahren). Sie können Ihre Einwilligung jederzeit widerrufen – über den Abmeldelink in jeder E-Mail oder per Nachricht an info@foodforbusiness.de. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
| E-Mail-Dienst | Details |
|---|---|
| FlowMail – Flow email sender (Intelli-ua) | Tägliche Lieferübersicht (Transaktionsmail) | Sitz: Charkiw, Ukraine | Drittlandtransfer: SCC | apps.shopify.com/flowmail |
IX. Cookies
Unsere Website und unser Bestellsystem verwenden Cookies. Wir unterscheiden:
| Cookie-Typ | Beschreibung und Rechtsgrundlage |
|---|---|
| Notwendige Cookies | Technisch erforderlich (z. B. Session, Warenkorb, Login-Status). Keine Einwilligung nötig. Art. 6 Abs. 1 lit. f DSGVO. |
| Funktionale Cookies | Für erweiterte Funktionen (z. B. Treuepunkte-System via Rivo). Nur nach Einwilligung. Art. 6 Abs. 1 lit. a DSGVO. |
| Analyse-Cookies | Nur nach Ihrer Einwilligung. Art. 6 Abs. 1 lit. a DSGVO. |
| Marketing-Cookies | Nur nach Ihrer Einwilligung. Art. 6 Abs. 1 lit. a DSGVO + § 25 TTDSG. |
Ihre Cookie-Einstellungen können Sie jederzeit über unser Cookie-Banner anpassen.
X. Analyse-Tools
Wir setzen keine externen Analyse-Tools wie Google Analytics oder Meta Pixel ein.
Shopify erfasst intern anonymisierte Shop-Statistiken (Seitenaufrufe, Conversion-Daten) auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden nicht zur Identifizierung einzelner Personen genutzt.
Für die B2B-Besucheranalyse unserer Website setzen wir SalesViewer (SalesViewer GmbH, Bongardstraße 2, 44787 Bochum) ein. Dabei werden IP-Adressen pseudonymisiert und mit einer Whitelist bekannter Unternehmen abgeglichen. Eine Identifizierung einzelner Personen ist nicht möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Opt-out: salesviewer.com/opt-out
XI. Im Bestellsystem eingesetzte Dienste und Subdienstleister
Für den Betrieb unseres Bestellsystems setzen wir folgende Drittanbieter-Dienste ein. Für alle Dienste außerhalb der EU stellen wir ein angemessenes Datenschutzniveau durch SCC und/oder DPF sicher:
| Dienst | Sitz | Zweck und Datenschutzhinweis |
|---|---|---|
| Shopify International Ltd. | EU (Irland) | Hosting und Betrieb des Bestellsystems | shopify.com/legal/privacy | DPF |
| miniOrange Inc. | USA | Single Sign-On (SSO) zur sicheren Nutzer-Authentifizierung | miniorange.com/privacy-policy | SCC |
| Rivo | USA | Loyalty- und Rewards-System (Treuepunkte) | rivocommerce.com/privacy | SCC |
| Pathway Solutions GmbH | Deutschland (EU) | Buchhaltungs- und Abrechnungsprozesse, DATEV-Export | Kein Drittlandtransfer | pathway-solutions.de |
| FlowMail – Flow email sender (Intelli-ua) | Ukraine (Drittland) | Tägliche Lieferübersicht per E-Mail ca. 8–9 Uhr (Transaktions-E-Mail) | Drittlandtransfer: SCC | apps.shopify.com/flowmail |
| Plumsail LLC | EU/USA | Dokumenten- und Rechnungserstellung | plumsail.com/privacy-policy | SCC |
| ShopPad Inc. (Mesa) | USA | Workflow-Automatisierung | mesa.io/privacy | SCC |
| Codify Apps | EU/USA | Order-Cancel-Workflows | SCC |
| Asklayer | EU/USA | Interaktions- und Layer-System | SCC |
| Matrixify | EU/USA | Datenimport und -export | SCC |
| Google Ireland Ltd. | EU (Irland) | Google Workspace: Gmail, Drive, Sheets (interne Geschäftsprozesse) | policies.google.com/privacy | DPF |
Änderungen oder neue Subdienstleister werden unseren Unternehmenskunden vorab im Rahmen des Auftragsverarbeitungsvertrags (AVV nach Art. 28 DSGVO) mitgeteilt.
XII. Weitere im Geschäftsbetrieb genutzte Dienste
| Dienst | Details |
|---|---|
| DocuSign (e-Signatur) | DocuSign Inc., 221 Main Street, San Francisco, CA 94105, USA | Drittlandtransfer: SCC | docusign.com/privacy |
| Google Workspace (Gmail, Drive, Sheets) | Google Cloud EMEA Limited, Dublin, Irland | Drittlandtransfer: DPF | policies.google.com/privacy |
| SalesViewer | SalesViewer GmbH, Bongardstraße 2, 44787 Bochum | B2B-Besucheranalyse (pseudonymisiert) | salesviewer.com/de/datenschutz |
| Pathway Solutions GmbH (Buchhaltung) | Alstertwiete 3, 20099 Hamburg | EU-basiert | pathway-solutions.de |
| FlowMail – Flow email sender (Intelli-ua, Ukraine) | Tägliche Lieferübersicht (Transaktions-E-Mail) | Drittlandtransfer: SCC | apps.shopify.com/flowmail |
XIII. Auftragsverarbeitung (AVV nach Art. 28 DSGVO)
FooBi verarbeitet im Rahmen seiner Dienstleistung personenbezogene Daten der Mitarbeitenden seiner Unternehmenskunden (Arbeitgeber) als Auftragsverarbeiter. Mit jedem Unternehmenskunden wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen.
Verarbeitete Datenkategorien: Name, geschäftliche E-Mail-Adresse, Abteilung/Team/Kostenstelle, Bestelldaten, Lieferdaten, Arbeitgeberzuschuss/Preisanteile sowie Rechnungs- und Gutschriftendaten. Besondere Kategorien (Art. 9 DSGVO) werden nicht verarbeitet.
Technisch-organisatorische Maßnahmen (TOMs): 2-Faktor-Authentifizierung, rollenbasierte Zugriffsrechte, TLS/HTTPS-Verschlüsselung, regelmäßige Backups, Mandantentrennung sowie Datenschutzschulungen.
XIV. Subventions- und Arbeitgeberzuschuss-Programme
Im Rahmen von Subventionsprogrammen sind wir berechtigt, Kaufdaten der Mitarbeitenden an den jeweiligen Arbeitgeber weiterzugeben (Abrechnung des Zuschusses, § 3 Nr. 34a EStG). Mitarbeitende können das Programm jederzeit durch Kontaktaufnahme mit uns verlassen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. b DSGVO.
XV. Bewerbungen
Bewerbungsdaten werden ausschließlich zur Bearbeitung der Bewerbung genutzt und spätestens 2 Monate nach Absage gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG.
XVI. Beschäftigtendaten
Wir verarbeiten im Rahmen von Beschäftigungsverhältnissen alle erforderlichen Daten. Aufbewahrungsfristen: 10 Jahre (Lohnabrechnungen), 6 Jahre (Geschäftsbriefe), 3 Jahre (allgemeine Unterlagen). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, c, f DSGVO; § 26 BDSG.
XVII. Datenspeicherung und Löschung
| Frist | Betroffene Daten |
|---|---|
| 10 Jahre | Buchungsbelege, Rechnungen (§ 147 AO, § 257 HGB) |
| 6 Jahre | Geschäftsbriefe (§ 147 AO, § 257 HGB) |
| 3 Jahre | Kundendaten, Vertragsunterlagen (§§ 195, 199 BGB) |
| 2 Monate | Bewerbungsunterlagen (nach Absage) |
| Bis zu 3 Jahre | Newsletter-Adressen nach Abmeldung (Nachweiszweck) |
| Nach Vertragsende | AVV-Daten: Löschung oder Rückgabe nach Weisung |
XVIII. Drittstaatentransfers
Datenübermittlungen in Drittstaaten erfolgen auf Basis von:
- EU-US Data Privacy Framework (DPF)
- EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
- Angemessenheitsbeschlüsse der EU-Kommission
Die jeweilige Grundlage ist bei jedem Dienst in den Abschnitten XI und XII angegeben.
XIX. Ihre Rechte
| Recht | Inhalt |
|---|---|
| Auskunft (Art. 15) | Auskunft über Ihre verarbeiteten Daten, Zwecke, Empfänger, Speicherdauer |
| Berichtigung (Art. 16) | Berichtigung unrichtiger oder unvollständiger Daten |
| Löschung (Art. 17) | Löschung Ihrer Daten, sofern keine Aufbewahrungspflichten bestehen |
| Einschränkung (Art. 18) | Einschränkung der Verarbeitung unter bestimmten Voraussetzungen |
| Datenübertragbarkeit (Art. 20) | Erhalt Ihrer Daten in maschinenlesbarem Format |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen |
| Widerruf (Art. 7 Abs. 3) | Widerruf jederzeit erteilter Einwilligungen (Wirkung für die Zukunft) |
| Beschwerde (Art. 77) | Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg |
Zur Ausübung Ihrer Rechte: info@foodforbusiness.de
XX. Automatisierte Entscheidungsfindung
Wir setzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO ein.
XXI. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung bei Bedarf an. Die jeweils aktuelle Version ist auf unserer Website abrufbar. Stand: März 2026.