Stand: Mai 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
posyco GmbH
Taunusanlage 8, c/o WeWork
60329 Frankfurt am Main
Deutschland
E-Mail: datenschutz@posy.co
Telefon: 015206284545
Geschäftsführung: Dennis Damian Jonda
Handelsregister: Amtsgericht Frankfurt am Main (HRB 142631)
Beim Besuch unserer Website werden automatisch folgende Informationen erfasst, die Ihr Browser an unseren Server übermittelt (sogenannte Server-Logfiles):
Bei der Registrierung und Nutzung unseres Dienstes erheben wir folgende personenbezogene Daten:
Die Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung unserer Website).
Wir verwenden Ihre personenbezogenen Daten für folgende Zwecke:
Bereitstellung und Verwaltung Ihres Blumen-Abonnements, einschließlich der Erstellung Ihres Kundenkontos, der Verwaltung Ihrer Lieferpräferenzen, der Koordination und Planung Ihrer Blumenlieferungen sowie der Kommunikation bezüglich Ihres Abonnements (Lieferbestätigungen, Statusupdates, Rechnungen).
Die Abwicklung Ihrer Zahlungen erfolgt über unseren Zahlungsdienstleister Stripe, Inc. Hierzu werden Ihre Zahlungsdaten (Kreditkartennummer, IBAN bei SEPA-Lastschrift) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten, sondern lediglich eine Referenz-ID (Stripe Customer ID und Payment Method ID). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Zur Erfüllung Ihres Abonnements übermitteln wir Ihre Lieferadresse und relevante Lieferinformationen (Name, Zeitfenster, Ablageort, besondere Hinweise) an den Ihnen zugewiesenen Partner-Floristen. Diese Übermittlung ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
Bearbeitung Ihrer Anfragen, Reklamationen und Beschwerden. Wir speichern Ihre Kontaktanfragen zur Verbesserung unseres Service für die Dauer von 24 Monaten.
Versand von transaktionalen E-Mails (Bestellbestätigungen, Liefererinnerungen, Zahlungsbelege) sowie optionalen Marketing-Mitteilungen, sofern Sie dem zugestimmt haben. Sie können Marketing-E-Mails jederzeit in Ihren Kontoeinstellungen abbestellen.
Wenn Sie bei der Registrierung oder über ein Anmeldeformular der Newsletter-Einwilligung zustimmen, verarbeiten wir Ihre personenbezogenen Daten (insbesondere Name, E-Mail-Adresse, optional Telefonnummer und Nutzerverhalten) für folgende Zwecke:
Die Kontaktaufnahme erfolgt per E-Mail, SMS, Telefon, App-Benachrichtigungen oder gelegentlich per Post (z.B. saisonale Karten oder gedruckte Aktionen), je nach Ihrer Einwilligung und den verfügbaren Kontaktdaten.
Widerruf: Ihre Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden, z.B. per E-Mail an datenschutz@posy.co, über den Abmeldelink in jeder Nachricht oder direkt in den Einstellungen Ihres posyco-Kontos. Der Widerruf ist kostenlos, es fallen lediglich die Übermittlungskosten nach Ihrem Basistarif an.
Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO und § 7 Abs. 2 Nr. 3 UWG.
Als betroffene Person haben Sie gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO. Sie können eine Kopie Ihrer Daten jederzeit über Ihr Kundenkonto oder per E-Mail an datenschutz@posy.co anfordern.
Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Viele Daten können Sie direkt in Ihrem Kundenkonto unter Einstellungen aktualisieren.
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Bei einer Löschungsanfrage werden wir Ihre Daten unverzüglich löschen, es sei denn, es bestehen steuer- oder handelsrechtliche Aufbewahrungsfristen (bis zu 10 Jahre gemäß §257 HGB bzw. §147 AO).
Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht. Wenn Sie Widerspruch einlegen, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Website: datenschutz.hessen.de
Wie übe ich diese Rechte aus?
Schreibe uns formlos an datenschutz@posy.co. Wir bearbeiten deine Anfrage innerhalb von 30 Tagen nach Eingang (Art. 12 Abs. 3 DSGVO) und kostenfrei. Auskunfts- und Löschanfragen prüfen wir manuell; zur Identitätsverifikation kann die Antwort an die uns hinterlegte E-Mail-Adresse erfolgen oder eine Rückfrage zur Bestätigung gestellt werden. Bei offensichtlich unbegründeten oder exzessiven Anfragen behalten wir uns gemäß Art. 12 Abs. 5 DSGVO vor, eine angemessene Bearbeitungsgebühr zu erheben oder die Bearbeitung abzulehnen.
Für die Zahlungsabwicklung setzen wir den Zahlungsdienstleister Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) ein. Stripe ist als Auftragsverarbeiter gemäß Art. 28 DSGVO für uns tätig.
Wir speichern auf unseren Servern lediglich eine Stripe-Kunden-ID sowie eine Zahlungsmethoden-Referenz (letzte vier Ziffern der Karte bzw. verschleierte IBAN). Vollständige Zahlungsdaten werden zu keinem Zeitpunkt auf unseren Servern verarbeitet oder gespeichert.
Die Zahlungsabwicklung erfolgt auf Basis der Per-Delivery-Abrechnung: Jede einzelne Lieferung wird individuell zwei Tage vor dem geplanten Lieferdatum über eine Stripe-Rechnung abgerechnet. Sie erhalten für jede Lieferung einen separaten Zahlungsbeleg.
Stripe ist nach dem Payment Card Industry Data Security Standard (PCI DSS) Level 1 zertifiziert. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe.
Für die Datenübermittlung in die USA stützt sich Stripe auf das EU-U.S. Data Privacy Framework sowie Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Wir übermitteln Ihre personenbezogenen Daten nur an Dritte, wenn dies zur Vertragserfüllung erforderlich ist, Sie ausdrücklich eingewilligt haben oder eine gesetzliche Verpflichtung besteht. Im Einzelnen:
Zur Erfüllung Ihres Blumen-Abonnements übermitteln wir folgende Daten an den Ihnen zugewiesenen lokalen Floristen: Name des Empfängers, Lieferadresse, gewünschtes Lieferzeitfenster, Ablageort-Hinweise, Stilpräferenzen (Blumenfarben, -stil), Grußkartentexte (sofern bestellt) sowie allergiebedingte Einschränkungen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Siehe §6 dieser Datenschutzerklärung. Stripe verarbeitet Ihre Zahlungsdaten im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Zur Berechnung von Lieferzonen und der Darstellung interaktiver Karten nutzen wir den Dienst Mapbox (740 15th Street NW, Suite 500, Washington, DC 20005, USA). Bei der Nutzung kartenbezogener Funktionen wird Ihre IP-Adresse an Mapbox übermittelt. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Weitere Informationen finden Sie in der Datenschutzerklärung von Mapbox.
Unsere Website wird auf Servern von Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet die oben genannten Server-Logfiles im Rahmen eines Auftragsverarbeitungsvertrags. Für die Datenübermittlung in die USA stützt sich Vercel auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Unsere Datenbank, Authentifizierung und Server-Side-Funktionalität wird über Supabase Inc. (970 Toa Payoh North #07-04 Singapur, mit Datenstandort EU/Frankfurt am Main) bereitgestellt. Verarbeitete Daten umfassen sämtliche Kontodaten, Bestelldaten und Inhaltsdaten. Die Verarbeitung erfolgt im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Daten werden in der EU gespeichert.
Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software Inc., 132 Hawthorne Street, San Francisco, CA 94107, USA) mit EU-Datenstandort (Frankfurt am Main). Sentry erfasst ausschließlich technische Fehlerinformationen (Stacktrace, Browsertyp, Seiten-URL); personenbezogene Daten werden vor der Übertragung pseudonymisiert (E-Mail, Telefon, Name, IBAN automatisiert entfernt). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Plattform). Die Verarbeitung erfolgt im Rahmen eines Auftragsverarbeitungsvertrags.
Für den transaktionalen E-Mail-Versand (Bestellbestätigungen, Lieferbenachrichtigungen, Newsletter) nutzen wir Resend (548 Market St, San Francisco, CA 94104, USA). Übermittelt werden E-Mail-Adresse, Name und der jeweilige Mail-Inhalt. Die Verarbeitung erfolgt im Rahmen eines Auftragsverarbeitungsvertrags. Für die Datenübermittlung in die USA stützt sich Resend auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. das EU-U.S. Data Privacy Framework (Art. 45 DSGVO).
Im Kundensupport-Chat sowie für interne Support-Antwortvorschläge setzen wir die Sprachmodelle der Anthropic, PBC (548 Market St #58181, San Francisco, CA 94104, USA) unter dem Produktnamen Claude ein. Im Support-Kontext werden Chat-Inhalte (einschließlich gegebenenfalls enthaltener personenbezogener Daten wie Name oder Bestellnummer) an Anthropic übermittelt. Anthropic nutzt API-Daten gemäß seiner Nutzungsbedingungen nicht zum Training. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO. Die Datenübermittlung in die USA stützt sich auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Speicherung der Eingaben durch Anthropic ist auf maximal 30 Tage zur Missbrauchserkennung begrenzt.
Für die telefonische Erreichbarkeit unseres Partner-Supports nutzen wir die Sprachausgabe von ElevenLabs Inc. (169 Madison Ave #2484, New York, NY 10016, USA). Übermittelt werden Telefonate-bezogene Daten (Telefonnummer, Gesprächsinhalt). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Verarbeitung erfolgt ausschließlich im Partner-Bereich, nicht im Endkunden-Service.
Zum Schutz unserer öffentlich erreichbaren Endpunkte vor Missbrauch und Brute-Force-Angriffen nutzen wir Upstash, Inc. (340 S Lemon Ave #2598, Walnut, CA 91789, USA) mit EU-Datenstandort (Frankfurt am Main) zur kurzfristigen Speicherung pseudonymisierter Zugriffszähler (gehashte IP-Adressen, kurze Zeitfenster im Sekunden- bis Minutenbereich). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Zur Abwehr automatisierter Angriffe auf unsere Anmelde- und Registrierungsformulare setzen wir Cloudflare Turnstile (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) ein. Dabei werden Browser-Eigenschaften, IP-Adresse und ein temporärer Token an Cloudflare übermittelt; eine Profilbildung findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Plattformsicherheit). Für die Datenübermittlung in die USA stützt sich Cloudflare auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO bzw. das EU-U.S. Data Privacy Framework. Weitere Informationen: Datenschutzerklärung von Cloudflare.
Zur statistischen Analyse der Nutzung unserer öffentlichen Seiten und des Kunden-Dashboards setzen wir PostHog (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA) mit EU-Datenstandort (eu.i.posthog.com) ein. Erfasst werden pseudonymisierte Pageviews und Klicks; Autocapture, Session-Recording und Heatmaps sind deaktiviert. Admin- und Partner-Bereiche sind vom Tracking ausgenommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung). Die Verarbeitung erfolgt im Rahmen eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Weitere Informationen: Datenschutzerklärung von PostHog.
Eine Weitergabe Ihrer Daten an sonstige Dritte oder für Werbezwecke erfolgt nicht ohne Ihre ausdrückliche Einwilligung.
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Unsere Sicherheitsmaßnahmen umfassen:
Unsere Sicherheitsmaßnahmen werden fortlaufend dem technologischen Fortschritt angepasst. Trotz aller Vorkehrungen kann eine absolute Sicherheit bei der Datenübertragung im Internet nicht gewährleistet werden.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Neuerungen oder Änderungen unserer Dienstleistungen anzupassen.
Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie rechtzeitig per E-Mail oder über eine Benachrichtigung in Ihrem Kundenkonto informieren. Die jeweils aktuelle Version dieser Datenschutzerklärung ist stets auf unserer Website unter posy.co/datenschutz abrufbar.
Die fortgesetzte Nutzung unserer Dienste nach Inkrafttreten der geänderten Datenschutzerklärung gilt als Zustimmung zu den Änderungen.
Letzte Aktualisierung: Mai 2026
Version 1.1
Kontaktiere uns bei Fragen zu deinen Daten oder nutze unser Kontaktformular