Datenschutzerklärung
Wie wir mit Ihren personenbezogenen Daten umgehen und Ihre Rechte als betroffene Person.
Zuletzt aktualisiert: 13. Mai 2026
Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten AutoSound24 — ein Handelsname der LEUPEN Group B.V. — erhebt, wenn Sie unsere Website besuchen oder eine Bestellung aufgeben, zu welchem Zweck wir diese Daten verwenden, mit wem wir sie teilen, wie lange wir sie aufbewahren und welche Rechte Sie haben. Diese Erklärung wurde in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und, für das Vereinigte Königreich, der UK GDPR + Data Protection Act 2018 erstellt.
1. Verantwortlicher
Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten ist:
LEUPEN Group B.V.
Tocht 18, 1713 GP Obdam, Niederlande
KvK-Nummer: 91997143
BTW-Nummer (USt-IdNr.): NL865844999B01
E-Mail: privacy@leupen-group.com
Wir haben keinen Datenschutzbeauftragten (DSB) benannt, da dies für unsere Größe und unsere Tätigkeiten gemäß der DSGVO nicht verpflichtend ist. Fragen zum Datenschutz können Sie direkt an die oben genannte E-Mail-Adresse richten.
2. Welche Daten wir erheben
Wir erheben ausschließlich Daten, die für die Ausführung Ihrer Bestellung, die Verwaltung Ihres Kontos oder für Zwecke erforderlich sind, für die Sie ausdrücklich Ihre Einwilligung erteilt haben.
2.1 Daten, die Sie uns selbst zur Verfügung stellen
- Name, Adresse, Wohnort, Telefonnummer und E-Mail-Adresse (bei Bestellung, Konto oder Kontaktformular)
- Rechnungs- und Lieferadresse
- Für Geschäftskunden: Firmenname, KvK-Nummer, BTW-Nummer (USt-IdNr.)
- Bestellhistorie und Zahlungsmethode (Zahlungsdaten werden nicht bei uns gespeichert — siehe Abschnitt 4)
- Eventuelle Inhalte von Fragen oder Beschwerden bei Kontaktaufnahme
2.2 Daten, die automatisch erhoben werden
- IP-Adresse und allgemeine Standortinformationen, die aus dieser IP-Adresse abgeleitet werden (Land, Region)
- Browsertyp, Betriebssystem, Bildschirmauflösung
- Besuchte Seiten, Klickverhalten und Sitzungsdauer (nur nach Einwilligung für "Statistiken")
- Herkunfts-Werbekanal — Google Ads, Meta, TikTok — falls Sie über eine Anzeige zu uns gelangen (nur nach Einwilligung für "Marketing")
Wir erheben keine besonderen Kategorien personenbezogener Daten (wie ethnische Herkunft, religiöse Überzeugung, Gesundheit, politische Präferenz oder sexuelle Orientierung).
3. Zwecke und Rechtsgrundlagen der Verarbeitung
| Zweck | Rechtsgrundlage (DSGVO Art. 6) | Aufbewahrungsfrist |
|---|---|---|
| Abwicklung Ihrer Bestellung, Lieferung und Rechnungsstellung | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | 7 Jahre (steuerliche Aufbewahrungspflicht) |
| Kundenkonto und Bestellhistorie | Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Bis zur Löschung des Kontos + 2 Jahre |
| Beantwortung von Fragen über das Kontaktformular oder per E-Mail | Berechtigtes Interesse — Kundenservice (Art. 6 Abs. 1 lit. f) | 2 Jahre nach dem letzten Kontakt |
| Newsletter und Marketing-E-Mails | Einwilligung (Art. 6 Abs. 1 lit. a) | Bis zur Abmeldung |
| Produktbewertungen über WebwinkelKeur | Einwilligung (Art. 6 Abs. 1 lit. a) — bei Einladung | Gemäß WebwinkelKeur-Richtlinie |
| Statistiken und Website-Verbesserung (Google Analytics 4) | Einwilligung (Art. 6 Abs. 1 lit. a) | 14 Monate (GA4-Aufbewahrungseinstellung) |
| Anzeigen-Attribution und Remarketing (Meta, TikTok, Google Ads) | Einwilligung (Art. 6 Abs. 1 lit. a) | 90 Tage bis 13 Monate (je nach Plattform) |
| Betrugsprävention und IT-Sicherheit (Server-Logs) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | 30 Tage |
| Speicherung der Einwilligungs-Auswahl (Audit-Log) | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c — Nachweispflicht DSGVO Art. 7) | 25 Monate |
| Steuerliche Verwaltung | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) | 7 Jahre |
4. Wie wir messen und werben — hybride Server-Side-Architektur
Für die Messung der Website-Nutzung und die Bewertung unserer Werbeeffektivität verwenden wir einen hybriden Ansatz, den wir bewusst gewählt haben, um Ihre Privatsphäre besser zu schützen als bei einem traditionellen Setup mit Tracking-Pixeln im Browser.
4.1 Was wir tun
- Google Analytics 4 (gtag.js, client-side): misst anonym, wie Besucher die Website nutzen. Nur nach Ihrer Einwilligung aktiv. IP-Adressen werden von Google anonymisiert, bevor sie gespeichert werden.
- Google Analytics 4 — server-side Kaufregistrierung: Sobald Sie eine Zahlung abschließen, sendet unser Server (nicht Ihr Browser) ein Kaufereignis mit dem Bestellwert und den Produkten an Google. Personenbezogene Daten werden dabei als SHA-256-Hash gesendet.
- Meta Conversions API (server-side): Wir senden Kaufereignisse direkt von unserem Server an Meta zur Anzeigen-Attribution. Wir verwenden kein Facebook-Pixel-Skript in Ihrem Browser.
- TikTok Events API (server-side): dito, nur server-side, kein TikTok-Pixel-Skript in Ihrem Browser.
- WebwinkelKeur: Nach einer Bestellung können wir Sie einladen, eine Bewertung zu hinterlassen — nur, wenn Sie Ihre Einwilligung für Marketing erteilt haben.
4.2 Was wir bewusst nicht tun
- Kein Google Tag Manager (Web-Container) — wir verwalten den Tracking-Code direkt in unserem Quellcode.
- Kein Facebook Pixel JavaScript (
fbevents.js) in Ihrem Browser. - Kein TikTok Pixel JavaScript in Ihrem Browser.
- Keine Third-Party-Tracking-Netzwerke wie AddThis, Criteo oder vergleichbare Werbepartner, die über mehrere Websites hinweg Profile erstellen.
- Kein Verkauf oder keine Vermietung Ihrer personenbezogenen Daten an Dritte für deren eigene Marketingzwecke.
Eine vollständige Übersicht der Cookies finden Sie in unserer Cookie-Richtlinie.
5. Mit wem wir Daten teilen
Wir teilen Ihre Daten nur mit Parteien, die für die Ausführung Ihrer Bestellung oder für rechtliche Verpflichtungen erforderlich sind, oder für die Sie ausdrücklich Ihre Einwilligung erteilt haben. Mit all diesen Parteien schließen wir einen Auftragsverarbeitungsvertrag ab.
5.1 Übermittlung außerhalb des Europäischen Wirtschaftsraums (EWR)
Einige unserer Lieferanten haben ihren Sitz in den Vereinigten Staaten. Die Rechtmäßigkeit dieser Übermittlung stützen wir auf das EU-U.S. Data Privacy Framework (DPF) — ein von der Europäischen Kommission als angemessen anerkanntes Verfahren — oder auf Standard Contractual Clauses (Standardvertragsklauseln) mit zusätzlichen technischen Maßnahmen.
| Partei | Zweck | Land | Übermittlungsmechanismus |
|---|---|---|---|
| Vercel Inc. | Hosting dieser Website (Server in der EU-Region) | USA | DPF (aktiv, jährliche Überprüfung) |
| Neon Database | Datenbank-Hosting (EU-Region) | USA | DPF (aktiv) |
| Google LLC | Google Analytics 4, Google Ads | USA | DPF (aktiv bis 13. September 2026, kommerzielle + HR-Daten) |
| Meta Platforms Inc. | Meta Conversions API (Anzeigen-Attribution) | USA | DPF (aktiv bis 23. Juli 2026, kommerzielle Daten) |
| TikTok (ByteDance) | TikTok Events API (Anzeigen-Attribution) | USA / Irland / Singapur | Kein DPF — Standard Contractual Clauses (Standardvertragsklauseln) mit zusätzlichen technischen Maßnahmen ("Project Clover"). Erhöhtes Risikoprofil — wir teilen nur gehashte Identifikatoren. |
| Mollie B.V. | Zahlungsabwicklung — wir erhalten keine Kreditkarten- oder Bankdaten | Niederlande (EU) | Nicht zutreffend — innerhalb des EWR |
| WebwinkelKeur B.V. | Kundenbewertungen | Niederlande (EU) | Nicht zutreffend — innerhalb des EWR |
| DHL / PostNL / GLS / DPD | Lieferung Ihrer Bestellung | EU | Nicht zutreffend — innerhalb des EWR |
| Buchhaltungsbüro | Steuerliche Verwaltung | Niederlande (EU) | Nicht zutreffend — innerhalb des EWR |
Wir geben Ihre Daten ausschließlich aufgrund einer rechtlichen Verpflichtung oder einer Anordnung einer gerichtlichen oder behördlichen Instanz weiter. Wir verkaufen oder vermieten Ihre personenbezogenen Daten niemals an Dritte für deren eigene Marketingzwecke.
6. Sicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor Verlust, unrechtmäßiger Verarbeitung oder unbefugtem Zugriff zu schützen:
- Alle Verbindungen zu unserer Website erfolgen über HTTPS (TLS 1.3)
- Passwörter werden als Einweg-Hash (bcrypt) gespeichert
- Unsere Datenbank ist über Neon Database "encrypted at rest" (im Ruhezustand verschlüsselt)
- Der Zugriff auf personenbezogene Daten innerhalb unserer Organisation ist auf Mitarbeiter beschränkt, die diese für ihre Arbeit benötigen
- Wir führen regelmäßig Sicherheitsaudits durch und halten unsere Software auf dem neuesten Stand
- Wir speichern keine Zahlungskartendaten — diese werden direkt von Mollie verarbeitet
7. Datenpannen
Sollte es wider Erwarten zu einer Datenpanne kommen, melden wir dies innerhalb von 72 Stunden nach Entdeckung dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), sofern die Verletzung ein Risiko für Ihre Rechte und Freiheiten darstellt. Bei einem hohen Risiko werden wir auch Sie persönlich benachrichtigen.
8. Ihre Rechte
Gemäß der DSGVO haben Sie die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten:
- Recht auf Auskunft (Art. 15) — Sie können eine Übersicht darüber anfordern, welche Daten wir über Sie verarbeiten.
- Recht auf Berichtigung (Art. 16) — Sie können unrichtige oder unvollständige Daten korrigieren lassen.
- Recht auf Löschung (Art. 17, "Recht auf Vergessenwerden") — Sie können die Löschung Ihrer Daten verlangen, vorbehaltlich gesetzlicher Aufbewahrungsfristen (zum Beispiel der steuerlichen Aufbewahrungspflicht von 7 Jahren).
- Recht auf Einschränkung der Verarbeitung (Art. 18) — Sie können verlangen, dass die Verarbeitung vorübergehend eingestellt wird.
- Recht auf Datenübertragbarkeit (Art. 20) — Sie können einen maschinenlesbaren Export Ihrer Daten anfordern.
- Widerspruchsrecht (Art. 21) — Sie können der Verarbeitung aufgrund eines berechtigten Interesses oder für Direktmarketing widersprechen.
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3) — für Verarbeitungen, die auf einer Einwilligung beruhen, jederzeit, ohne Auswirkungen auf bereits verarbeitete Daten. Ihre Cookie-Einwilligung können Sie über die Schaltfläche Cookie-Einstellungen in der Fußzeile widerrufen.
8.1 Wie Sie eine Anfrage stellen
Senden Sie Ihre Anfrage per E-Mail an privacy@leupen-group.com. Um Missbrauch vorzubeugen, können wir Sie bitten, Ihre Identität nachzuweisen (zum Beispiel durch eine Kopie Ihres Personalausweises, auf der Sie die Ausweisnummer und das Passfoto geschwärzt haben). Wir antworten innerhalb von 30 Tagen nach Erhalt einer vollständigen Anfrage.
9. Automatisierte Entscheidungsfindung und Profiling
Wir treffen keine vollständig automatisierten Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen im Sinne von DSGVO Art. 22. Wir verwenden jedoch — nur nach Ihrer Einwilligung — aggregierte Segmentierung für Werbezwecke (zum Beispiel: "Besucher der Kategorie X erhalten Anzeigen für die Produktlinie Y"). Dabei erstellen wir kein individuelles persönliches Profil.
10. Beschwerden
Haben Sie eine Beschwerde darüber, wie wir mit Ihren Daten umgehen? Bitte kontaktieren Sie uns zunächst über privacy@leupen-group.com. Wenn wir gemeinsam keine Lösung finden, können Sie:
- Ihre Beschwerde bei Ihrer nationalen Datenschutzaufsichtsbehörde einreichen. In Deutschland ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (www.bfdi.bund.de).
- Für Streitigkeiten, die sich aus einem Online-Kauf ergeben, können Sie die Europäische Plattform zur Online-Streitbeilegung (OS) nutzen: ec.europa.eu/odr.
11. Änderungen dieser Erklärung
Wir behalten uns das Recht vor, diese Datenschutzerklärung anzupassen, beispielsweise bei Gesetzesänderungen, neuen Lieferanten oder geänderten Verarbeitungen. Das Datum oben auf dieser Seite zeigt an, wann diese Version aktualisiert wurde. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, informieren wir Sie per E-Mail (sofern Sie ein Konto haben) oder durch einen auffälligen Hinweis auf unserer Website.
12. Kontakt
LEUPEN Group B.V.
Tocht 18, 1713 GP Obdam, Niederlande
KvK 91997143 — BTW (USt-IdNr.) NL865844999B01
E-Mail: privacy@leupen-group.com