Datenschutzrichtlinie
Die vorliegende Richtlinie beschreibt, wie die Magicbau GmbH als Betreiberin der Website gardeco.ch Ihre Personendaten erhebt, verwendet und schützt. Sie steht im Einklang mit dem Schweizer Datenschutzgesetz (DSG, Revision 2023) und mit der EU-Datenschutz-Grundverordnung (DSGVO), soweit anwendbar.
1. Verantwortlicher der Bearbeitung
- Magicbau GmbH (Betreiberin der Marke Gardeco®)
- Frobenstrasse 57, 4053 Basel, Schweiz
- UID : CHE-255.338.679
- Allgemeiner Kontakt :
contact@gardeco.ch
2. Datenschutzbeauftragter (DSB)
Die Funktion des Datenschutzbeauftragten wird intern von der Magicbau GmbH wahrgenommen.
- Kontakt DSB :
dpo@gardeco.ch
Jede Anfrage betreffend die Bearbeitung Ihrer Personendaten kann an diese Adresse gerichtet werden, die einen direkten Kommunikationskanal mit dem Verantwortlichen darstellt.
3. Erfasste Daten
Wir erheben ausschliesslich diejenigen Daten, die für die nachfolgend beschriebenen Zwecke erforderlich sind. Ausserhalb der für den Betrieb der Website notwendigen technischen Cookies werden keine Daten ohne Ihre Kenntnis erhoben.
- Kontoeröffnung / Bestellung : Vor- und Nachname, E-Mail-Adresse, Lieferadresse, Rechnungsadresse, Telefonnummer (optional, für Lieferungszwecke).
- Zahlung : keine Bankdaten werden bei der Magicbau GmbH gespeichert — die Bearbeitung erfolgt vollständig durch Stripe (Kreditkarte) und TWINT AG (TWINT), die ihre eigenen Sicherheitsstandards anwenden (siehe § 6).
- Newsletter und Marketing-Angebote : E-Mail-Adresse + Zeitstempel des Opt-ins und jeder Abmeldung, Version des angezeigten Einwilligungstextes, IP-Adresse und User-Agent des Browsers (Nachweispflicht — Art. 7(1) DSGVO). Double-Opt-in-Verfahren : Sie erhalten eine Bestätigungs-E-Mail, kein Marketing-Versand erfolgt, solange Sie nicht auf den Bestätigungslink geklickt haben.
- Kundenkonto : Bestellverlauf, gespeicherte Adressen, Kommunikationspräferenzen.
- Verlassener Warenkorb : E-Mail-Adresse falls angegeben + Warenkorb-Inhalt, höchstens 6 Monate aufbewahrt, um eine kommerzielle Erinnerung und das Wiederaufnehmen der Bestellung zu ermöglichen.
- Kundendienst / Tickets : Inhalt Ihrer Nachrichten, Anhänge, Verlauf der Kommunikation mit unserem Team.
- Analyse : anonymisierte Nutzungsdaten (Google Analytics 4 mit Consent Mode v2 — kein Tracking ohne Einwilligung).
- Cookies : siehe entsprechender Abschnitt unten.
4. Rechtsgrundlagen der Bearbeitung (DSGVO)
Jede Bearbeitung stützt sich auf eine identifizierte Rechtsgrundlage:
- Vertragserfüllung (Art. 6(1)(b) DSGVO) : Bestellung, Lieferung, Rechnungsstellung, Garantie, Kundendienst.
- Rechtliche Verpflichtung (Art. 6(1)(c) DSGVO) : Buchführung (Aufbewahrung 10 Jahre in der Schweiz), Betrugsbekämpfung, steuerliche Pflichten.
- Berechtigtes Interesse (Art. 6(1)(f) DSGVO) : Verbesserung des Service, Sicherheit der Website, Betrugsprävention, anonymisierte Nutzungsstatistik, Direktansprache bestehender Kunden für ähnliche Produkte.
- Einwilligung (Art. 6(1)(a) DSGVO) : Newsletter, Marketing-Angebote, Analyse- und Marketing-Cookies. Jede Einwilligung wird separat protokolliert, jederzeit widerrufbar und unabhängig von den anderen (Sie können sich beispielsweise vom Marketing abmelden, ohne den Newsletter zu verlieren).
5. Aufbewahrungsdauer
| Daten | Dauer |
|---|---|
| Bestellungen (Buchführungspflicht CH) | 10 Jahre |
| Aktive Kundenkonten | Solange das Konto aktiv ist + 6 Monate nach Löschung |
| Verlassene Warenkörbe | 6 Monate |
| Newsletter / Marketing-Angebote (Anmeldung) | Solange das Opt-in gültig ist |
| Einwilligungsprotokoll (Nachweis Opt-in / Opt-out) | Dauer der Einwilligung + 12 Monate nach Widerruf |
| Kundendienst-Tickets / Kundenkommunikation | 3 Jahre nach letzter Interaktion |
| Technische Logs (Sicherheit) | Maximal 12 Monate |
Nach Ablauf dieser Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert.
6. Empfänger der Daten (Auftragsbearbeiter)
Die Magicbau GmbH stützt sich auf folgende Auftragsbearbeiter, jeweils gebunden durch einen Vertrag gemäss Art. 28 DSGVO:
| Dienst | Rolle | Standort | Übermittlung ausser EU/CH |
|---|---|---|---|
| Hetzner Online GmbH | Hosting | Deutschland (EU) | Nein |
| Supabase (Region EU Frankfurt) | Datenbank + Auth | Deutschland (EU) | Nein |
| Stripe | Kreditkartenzahlung | USA | Ja — Standardvertragsklauseln (SCC) |
| TWINT AG | TWINT-Zahlung | Schweiz | Nein |
| Resend Inc. | Versand transaktionaler und Marketing-E-Mails | Gesellschaft USA — Daten gehostet in EU-Region (Frankfurt) | Ja — SCC |
| Google (GA4, Ads, Maps) | Analyse + Werbung | USA | Ja — Consent Mode v2 + SCC |
| Microsoft Clarity | Heatmaps & UX-Analyse | USA | Ja — SCC |
| Bexio (Phase 2) | Buchhaltung / Rechnungen | Schweiz | Nein |
Die aktualisierte Liste der Auftragsbearbeiter ist auf einfache Anfrage an contact@gardeco.ch erhältlich.
7. Datenübermittlungen ausser EU / Schweiz
Einige unserer Auftragsbearbeiter sind in den USA niedergelassen (Stripe, Resend, Google, Microsoft). Die Datenübermittlungen an diese Empfänger werden abgesichert durch:
- die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (Standard Contractual Clauses, SCC), oder
- anerkannte Angemessenheitsbeschlüsse (insbesondere das EU-U.S. Data Privacy Framework für zertifizierte Unternehmen), oder
- ergänzende technische Massnahmen (Verschlüsselung in Transit und at-rest, Pseudonymisierung wo anwendbar).
Bei Übermittlungen in die USA werden Sie darüber informiert, dass die US-amerikanische Gesetzgebung unter bestimmten Voraussetzungen den Zugriff durch lokale Behörden ermöglichen kann. Die Magicbau GmbH bewertet dieses Risiko und bevorzugt, wann immer möglich, Auftragsbearbeiter mit europäischer oder schweizerischer Infrastruktur.
8. Cookies
Die Website verwendet verschiedene Cookie-Kategorien:
- Technische Cookies (Warenkorb, Sprache, Session, Anzeigepräferenzen) — keine Einwilligung erforderlich (berechtigtes Interesse, Funktionsfähigkeit der Website).
- Analyse-Cookies (Google Analytics 4 mit anonymisierter IP, Microsoft Clarity) — nur nach Ihrer ausdrücklichen Einwilligung gesetzt.
- Marketing-Cookies (Google Ads, Retargeting) — nur nach Ihrer ausdrücklichen und spezifischen Einwilligung gesetzt.
- Drittanbieter-Cookies (Stripe-Iframe, YouTube-Einbettungen) — gesetzt im Moment der Nutzung, nach spezifischer Einwilligung.
Sie können Ihre Präferenzen jederzeit einsehen und ändern, indem Sie auf das Cookie-Symbol unten links auf jeder Seite klicken.
9. Ihre Rechte
Gemäss DSG CH und DSGVO EU haben Sie folgende Rechte hinsichtlich Ihrer Daten:
- Auskunftsrecht : Bestätigung erhalten, dass Ihre Daten bearbeitet werden, und eine Kopie davon erhalten.
- Berichtigungsrecht : unrichtige oder unvollständige Daten korrigieren.
- Recht auf Löschung („Recht auf Vergessenwerden”).
- Recht auf Datenübertragbarkeit : Erhalt Ihrer Daten in einem strukturierten und wiederverwendbaren Format.
- Widerspruchsrecht : bestimmte Bearbeitungen ablehnen (insbesondere Marketing).
- Recht auf Einschränkung : Bearbeitung vorübergehend einfrieren.
- Recht auf Widerruf Ihrer Einwilligung jederzeit, ohne Auswirkungen auf die Rechtmässigkeit der vorherigen Bearbeitung.
Recht im Selbstbedienungsmodus ausüben über Ihr Kundenkonto:
- Auskunft / Datenübertragbarkeit : Schaltfläche „Meine Daten herunterladen” in
/de/mein-konto/profil/— sofortiger JSON-Export sämtlicher Daten.- Löschung : Schaltfläche „Mein Konto löschen” auf derselben Seite (Hinweis: der Bestellverlauf wird gemäss schweizerischer Buchhaltungspflicht 10 Jahre aufbewahrt, jedoch von Ihrer Identität entkoppelt).
- Newsletter- / Marketing-Abmeldung : über
/de/mein-konto/einstellungen/ODER direkt über den Link „Abmelden” in jeder Marketing-E-Mail (One-Click, ohne Anmeldung).Für jede andere Anfrage (Berichtigung, Widerspruch, Einschränkung, DSB-Kontakt) schreiben Sie an contact@gardeco.ch mit einem Identitätsnachweis. Wir antworten innerhalb von 30 Tagen.
Beschwerderecht
Wenn Sie der Auffassung sind, dass die Bearbeitung Ihrer Daten nicht den Vorschriften entspricht, können Sie Beschwerde einreichen bei:
- Schweiz : Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) — edoeb.admin.ch
- Europäische Union : Aufsichtsbehörde Ihres Wohnsitzlandes.
10. Sicherheit
Die Magicbau GmbH setzt angemessene technische und organisatorische Massnahmen um, um Ihre Daten vor unbefugtem Zugriff, Verlust, Änderung oder Offenlegung zu schützen. Insbesondere:
- Obligatorische HTTPS-Verbindung auf der gesamten Website, mit aktiviertem HSTS (kein Umschalten auf HTTP möglich).
- Passwörter mit modernen Algorithmen gehasht (bcrypt/Argon2) — niemals im Klartext gespeichert.
- Row-Level Security (RLS) auf Supabase : jeder Nutzer kann ausschliesslich auf seine eigenen Daten zugreifen, dank Isolation auf Datenbankebene.
- Tägliche verschlüsselte Sicherungen auf Hetzner- / Supabase-Infrastruktur (AES-256-Verschlüsselung at-rest).
- Interner Datenzugriff strikt auf das Notwendige beschränkt (Prinzip der minimalen Rechte) — nur befugte Personen des Magicbau-Teams haben Zugang zu Betriebsdaten, und jeder Zugriff wird protokolliert.
- Keine Speicherung von Bankdaten bei der Magicbau GmbH — die gesamte Kartenverarbeitung wird an Stripe (zertifiziert PCI DSS Level 1) und TWINT AG delegiert.
- Verschlüsselung der transaktionalen E-Mails in Transit (TLS) zwischen Resend und dem Empfänger-Server.
Trotz dieser Massnahmen ist kein System absolut unverletzlich. Im Falle einer Datenschutzverletzung mit Risiko für Ihre Rechte und Freiheiten verpflichtet sich die Magicbau GmbH, Sie innerhalb der gesetzlichen Fristen (72 Std. DSG CH / DSGVO) sowie die zuständige Aufsichtsbehörde zu benachrichtigen.
Letzte Aktualisierung : 2026-05-25
Diese Richtlinie wird bei jeder wesentlichen Änderung der Bearbeitung (neuer Auftragsbearbeiter, neue Zweckbestimmung, substanzielle Änderung der Aufbewahrungsdauer) aktualisiert. Nutzer mit Konto werden über wesentliche Änderungen per E-Mail benachrichtigt.