Datenschutzerklärung
Stand: 20.04.2026
1. Verantwortlicher im Sinne der DSGVO
Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) ist:
Walther & Lanz GbR
Vertretungsberechtigte Gesellschafter: Eric Walther und Marvin Lanz
c/o COCENTER, Koppoldstraße 1
86551 Aichach
Deutschland
E-Mail:
Umsatzsteuer-Identifikationsnummer: DE458721199
Nachfolgend zusammen „wir" oder „Roots Germany".
2. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist nicht bestellt, da wir nach § 38 BDSG nicht zur Bestellung verpflichtet sind. Bei allen datenschutzrechtlichen Fragen, Anliegen und der Geltendmachung von Betroffenenrechten wenden Sie sich bitte an die oben genannten Kontaktdaten.
3. Allgemeines zur Datenverarbeitung
3.1 Rechtsgrundlagen
Soweit wir für Verarbeitungsvorgänge Ihre Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages ist Art. 6 Abs. 1 lit. b DSGVO Rechtsgrundlage. Sofern eine rechtliche Verpflichtung die Verarbeitung erforderlich macht, dient Art. 6 Abs. 1 lit. c DSGVO als Grundlage. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses von uns oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.
3.2 Drittlandübermittlung
Für einzelne der unten beschriebenen Verarbeitungen werden Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt. Ein angemessenes Datenschutzniveau wird in diesen Fällen sichergestellt durch:
- Angemessenheitsbeschluss der EU-Kommission (z. B. Kanada, Israel, Vereinigtes Königreich).
- EU-US Data Privacy Framework (DPF) für US-Unternehmen, die sich dort zertifiziert haben.
- EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO, wo weder Angemessenheitsbeschluss noch DPF greifen.
Bei jedem Dienst wird unten das konkrete Instrument genannt. Eine Kopie der Garantien erhalten Sie über die oben genannten Kontaktdaten.
3.3 SSL/TLS-Verschlüsselung
Zum Schutz Ihrer Daten verwenden wir eine SSL/TLS-Verschlüsselung. Sie erkennen das an der Adressleiste Ihres Browsers („https://" und Schloss-Symbol).
4. Server-Logfiles beim bloßen Besuch der Website
Beim Aufruf unserer Website werden automatisch Informationen vom Browser Ihres Endgeräts an unseren Server übermittelt und temporär in sogenannten Logfiles gespeichert:
- aufgerufene URL / Ressource
- Datum und Uhrzeit des Zugriffs
- Menge der übertragenen Daten
- Meldung über erfolgreichen Abruf
- Browsertyp und -version
- Betriebssystem
- Referrer-URL (die zuvor besuchte Seite)
- IP-Adresse (in gekürzter/pseudonymisierter Form)
Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus, komfortable Nutzung der Website, Auswertung der Systemsicherheit und -stabilität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: Die Daten werden spätestens nach 7 Tagen automatisch gelöscht, es sei denn, eine weitere Speicherung ist zu Beweiszwecken erforderlich.
5. Cookies und Consent-Management
5.1 Allgemeines zu Cookies
Wir setzen auf unserer Website Cookies und vergleichbare Technologien (z. B. Local Storage) ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Manche Cookies werden am Ende Ihrer Browsersitzung gelöscht („Session-Cookies"), andere verbleiben länger auf Ihrem Gerät („persistente Cookies").
Wir unterscheiden:
- Technisch notwendige Cookies (Warenkorb, Session-ID, Consent-Speicherung): Rechtsgrundlage § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Diese Cookies können nicht abgelehnt werden, da die Website sonst nicht funktioniert.
- Einwilligungspflichtige Cookies (Analyse, Marketing, Personalisierung): werden ausschließlich nach Ihrer aktiven Einwilligung gemäß § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO gesetzt.
5.2 Consent-Management-Tool: Pandectes GDPR Compliance
Zur Einholung, Dokumentation und Verwaltung Ihrer Einwilligungen nutzen wir das Tool Pandectes GDPR Compliance, bereitgestellt von:
Pandectes LTD, 117-119 Rolfe Street, Smethwick B66 2AN, Vereinigtes Königreich.
Beim Aufruf unserer Website wird ein Cookie-Banner eingeblendet, über das Sie einzelne Cookie-Kategorien (notwendig / funktional / Analyse / Marketing / Personalisierung) aktivieren oder ablehnen können. Ihre Auswahl wird in einem Cookie gespeichert, damit sie bei zukünftigen Besuchen berücksichtigt wird. Sie können Ihre Einwilligung jederzeit widerrufen oder ändern, indem Sie das Banner am unteren Seitenrand erneut aufrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einholung und Dokumentation der Einwilligung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an rechtssicherem Betrieb).
Drittlandübermittlung: Vereinigtes Königreich; Angemessenheitsbeschluss der EU-Kommission vorhanden.
Speicherdauer: Das Consent-Cookie bleibt 12 Monate gespeichert.
6. Hosting und Content-Delivery: Shopify
Unsere Website wird auf der E-Commerce-Plattform Shopify betrieben:
Shopify International Limited, Victoria Buildings, 2nd Floor, 1-2 Haddington Road, Dublin 4, D04 XN32, Irland.
Muttergesellschaft: Shopify Inc., 151 O'Connor Street, Ottawa, ON K2P 2L8, Kanada.
Shopify verarbeitet in unserem Auftrag sämtliche Daten, die über die Website erhoben werden (z. B. Bestell-, Kunden-, Warenkorbdaten, Server-Logs, technische Telemetrie). Mit Shopify besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) und Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).
Drittlandübermittlung: Kanada – Angemessenheitsbeschluss der EU-Kommission (für kommerzielle Organisationen).
Weitere Informationen:
7. Kontaktaufnahme
Wenn Sie uns über das Kontaktformular, per E-Mail oder über sonstige Kommunikationswege kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (mindestens Name und E-Mail-Adresse, ggf. weitere Inhalte) zur Bearbeitung Ihres Anliegens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, Art. 6 Abs. 1 lit. f DSGVO bei sonstigen Anfragen (berechtigtes Interesse an der Beantwortung).
Speicherdauer: Die Daten werden gelöscht, sobald das jeweilige Anliegen vollständig bearbeitet ist und keine gesetzlichen Aufbewahrungsfristen entgegenstehen (typischerweise 6 Jahre nach § 257 HGB bzw. 10 Jahre nach § 147 AO bei kaufmännischen Vorgängen).
8. Bestellabwicklung
8.1 Allgemeines
Für die Abwicklung Ihrer Bestellung verarbeiten wir die im Bestellprozess angegebenen Daten (Name, Liefer- und Rechnungsanschrift, E-Mail, Zahlungsdaten, Bestellhistorie).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Aufbewahrungspflichten).
Speicherdauer: Nach vollständiger Vertragsabwicklung für die Dauer der gesetzlichen Aufbewahrungsfristen (in der Regel 10 Jahre).
8.2 Weitergabe an Versanddienstleister
Zur Lieferung geben wir Name, Adresse sowie – sofern zur Zustellung erforderlich – E-Mail-Adresse und Telefonnummer an unseren Versanddienstleister DHL (Deutsche Post DHL Group, Charles-de-Gaulle-Straße 20, 53113 Bonn) weiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
9. Zahlungsdienstleister
Je nach gewählter Zahlungsart werden Ihre Zahlungsdaten an den jeweiligen Dienstleister übermittelt. Die Zahlungsabwicklung erfolgt durch diesen Anbieter in dessen eigener Verantwortung; wir selbst speichern keine vollständigen Kreditkarten- oder Bankdaten.
Rechtsgrundlage jeweils: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung).
9.1 Shopify Payments / Stripe
Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland; Muttergesellschaft: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.
Bei Kreditkarten-, Apple-Pay-, Google-Pay- und Shop-Pay-Zahlungen über Shopify Payments.
Drittlandübermittlung: USA – Stripe, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert.
Datenschutz:
9.2 PayPal
PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg.
Datenschutz:
9.3 Klarna
Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden.
Bei Auswahl einer Klarna-Zahlungsart (Rechnung, Sofortüberweisung, Ratenzahlung) kann Klarna zur Bonitätsprüfung zusätzliche personenbezogene Daten erheben bzw. bei Auskunfteien abfragen.
Datenschutz:
9.4 Apple Pay / Google Pay
Bei Nutzung von Apple Pay oder Google Pay als Zahlungsart werden die Zahlungsdaten an Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, T23 YK84, Irland, bzw. Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland, übermittelt.
Drittlandübermittlung USA: Angemessenheitsniveau über das EU-US Data Privacy Framework.
10. Bewertungen / Kundenstimmen
10.1 Loox
Zur Einholung und Anzeige von Kundenbewertungen nutzen wir den Dienst Loox:
Loox Ltd., 44 Shalom Aleichem Street, Tel Aviv-Yafo, 6701315, Israel.
Nach Ihrem Einkauf kann Loox Ihnen in unserem Auftrag eine Bewertungsanfrage per E-Mail senden. Dazu werden Ihre E-Mail-Adresse, Ihr Name und Bestelldetails an Loox übermittelt. Bewertungen werden von Loox mit der zugehörigen Bestellung verknüpft, sodass ausschließlich verifizierte Käufer bewerten können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Rahmen des Bestellabschlusses für den Bewertungsversand) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an authentischen Kundenbewertungen).
Drittlandübermittlung: Israel – Angemessenheitsbeschluss der EU-Kommission.
Widerrufsmöglichkeit: Abmelde-Link in jeder Bewertungs-E-Mail.
Datenschutz:
10.2 Judge.me
Ergänzend setzen wir Judge.me für Produktbewertungen ein:
Judge.me (SureSwift Capital, 111 North Washington Avenue, Minneapolis, MN 55401, USA).
Funktion und Datenverarbeitung entsprechen Loox. Judge.me sendet Bewertungseinladungen und verwaltet Produktbewertungen.
Rechtsgrundlage: wie unter 10.1.
Drittlandübermittlung USA: EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.
Datenschutz:
11. Newsletter und E-Mail-Marketing: Klaviyo
Für den Versand unseres Newsletters, für Warenkorb-Abbruch-E-Mails, Bestellbestätigungen über unseren Marketing-Kanal sowie Onsite-Personalisierung nutzen wir den Dienst Klaviyo:
Klaviyo Inc., 125 Summer Street, 6th Floor, Boston, MA 02110, USA (Klaviyo-Company-ID: SBsddU).
11.1 Newsletter (Double-Opt-in)
Die Anmeldung zu unserem Newsletter erfolgt im sogenannten Double-Opt-in-Verfahren:
- Sie tragen Ihre E-Mail-Adresse in das Anmeldeformular ein.
- Sie erhalten eine Bestätigungs-E-Mail mit einem Verifizierungslink.
- Erst nach Klick auf diesen Link wird Ihre E-Mail-Adresse für den Newsletter-Versand freigeschaltet.
Dabei speichern wir Ihre IP-Adresse, Datum und Uhrzeit der Anmeldung und Bestätigung zum Nachweis der Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) und § 7 Abs. 2 Nr. 3 UWG.
Widerrufsmöglichkeit: Sie können Ihre Einwilligung jederzeit über den Abmelde-Link in jedem Newsletter oder per E-Mail an widerrufen.
11.2 Onsite-Tracking durch Klaviyo
Sofern Sie unsere Website besuchen, kann Klaviyo über ein Skript Daten zu Ihrem Nutzungsverhalten (besuchte Seiten, angesehene Produkte, Warenkorb-Ereignisse) erfassen und mit Ihrem bestehenden Klaviyo-Profil verknüpfen. Dieses Tracking findet nur statt, wenn Sie im Cookie-Banner der Kategorie „Marketing" zugestimmt haben.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Drittlandübermittlung USA: Klaviyo ist nach dem EU-US Data Privacy Framework zertifiziert.
Speicherdauer: Profil- und Verhaltensdaten werden gelöscht, sobald Sie sich vom Newsletter abmelden oder einer anderweitigen Löschung zustimmen, spätestens jedoch 36 Monate nach dem letzten Kontakt.
Datenschutz:
12. Reichweiten- und Nutzungsanalyse
12.1 Microsoft Clarity (Session-Recording & Heatmaps)
Wir verwenden Microsoft Clarity, um die Nutzung unserer Website zu verstehen und zu verbessern:
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA
(EU-Vertreter: Microsoft Ireland Operations Ltd., One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland).
Clarity-Projekt-ID: vc1xjyg6pl.
Clarity erstellt sogenannte Session-Recordings (aufgezeichnete Klicks, Scrollbewegungen, Mauszeiger-Bewegungen und Tastatureingaben, mit Ausnahme von Text-Eingaben in Eingabefeldern, die von Clarity maskiert werden) sowie Heatmaps. Die Aufzeichnungen werden auf Microsoft-Servern gespeichert und ausgewertet. IP-Adressen werden von Clarity gekürzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung über das Cookie-Banner, Kategorie „Analyse").
Drittlandübermittlung USA: Microsoft Corporation ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln.
Speicherdauer: bis zu 13 Monate (Microsoft-Standard), danach automatische Löschung.
Opt-out: Sie können das Tracking jederzeit über die Cookie-Einstellungen widerrufen.
Datenschutz:
12.2 Google Analytics / Google Ads Conversion Tracking
Sofern Sie im Cookie-Banner eingewilligt haben, nutzen wir über Shopify integrierte Google-Dienste von:
Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland
(Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Hierbei werden Cookies gesetzt, die eine Analyse des Nutzungsverhaltens und die Messung des Erfolgs von Werbeanzeigen (Conversion-Tracking, Remarketing) ermöglichen. Die IP-Adresse wird vor der Übertragung gekürzt (IP-Anonymisierung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Drittlandübermittlung USA: Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert.
Speicherdauer: bis zu 14 Monate (Standardeinstellung).
Widerrufsmöglichkeit: über das Cookie-Banner oder das Browser-Add-on von Google:
Datenschutz:
12.3 Meta Pixel / Conversions API
Auf unserer Website setzen wir das Meta-Pixel (vormals Facebook-Pixel) sowie ergänzend die serverseitige Conversions API (CAPI) ein:
Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland
(Muttergesellschaft: Meta Platforms, Inc., 1 Meta Way, Menlo Park, CA 94025, USA).
Das Meta-Pixel ermöglicht es uns, das Verhalten der Nutzer zu verfolgen, nachdem sie durch Klick auf eine Meta-Werbeanzeige (Facebook oder Instagram) auf unsere Website weitergeleitet wurden. Über die Conversions API werden zusätzlich serverseitig Conversion-Ereignisse (z. B. Kaufabschlüsse) mit gehashten Nutzerdaten (E-Mail, Telefon) an Meta übermittelt, um die Werbemessung zu verbessern. Mit Meta besteht eine Vereinbarung über gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO ().
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner, Kategorie „Marketing").
Drittlandübermittlung USA: Meta Platforms, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert.
Widerrufsmöglichkeit: Cookie-Banner und unter
Datenschutz:
13. Social-Media-Präsenzen (externe Links)
Auf unserer Website verlinken wir auf unsere Profile bei Instagram () und TikTok (). Es handelt sich dabei um rein statische Links; erst durch den Klick werden Daten an die jeweiligen Plattformbetreiber übermittelt. Für diese Verarbeitungen gelten die Datenschutzhinweise der jeweiligen Plattform.
14. Rechte der betroffenen Personen
Sie haben als betroffene Person jederzeit folgende Rechte:
- Auskunft nach Art. 15 DSGVO
- Berichtigung nach Art. 16 DSGVO
- Löschung („Recht auf Vergessenwerden") nach Art. 17 DSGVO
- Einschränkung der Verarbeitung nach Art. 18 DSGVO
- Datenübertragbarkeit nach Art. 20 DSGVO
- Widerruf erteilter Einwilligungen nach Art. 7 Abs. 3 DSGVO
- Beschwerde bei einer Aufsichtsbehörde nach Art. 77 DSGVO. Zuständig für uns ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach,
14.1 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
Werden Ihre Daten zur Direktwerbung verarbeitet, haben Sie das Recht, jederzeit – ohne Angabe besonderer Gründe – gegen diese Verarbeitung Widerspruch einzulegen. Dies gilt auch für ein damit verbundenes Profiling.
15. Dauer der Speicherung
Wir speichern personenbezogene Daten nur so lange, wie dies zur Erreichung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (insbesondere handels- und steuerrechtliche Fristen von 6 bzw. 10 Jahren) bestehen. Im Übrigen gelten die bei den einzelnen Verarbeitungen angegebenen Speicherdauern.
16. Keine Pflicht zur Bereitstellung der Daten
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben und auch nicht für einen Vertragsabschluss erforderlich. Sie sind nicht verpflichtet, uns personenbezogene Daten zur Verfügung zu stellen. Ohne diese Daten können wir allerdings bestimmte Leistungen (z. B. Bestellabwicklung, Newsletter) nicht erbringen.
17. Automatisierte Entscheidungen im Einzelfall / Profiling
Eine vollautomatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Ein Profiling im Sinne der oben beschriebenen Marketing-Verarbeitungen (z. B. Conversions API, Klaviyo-Segmentierung) erfolgt nur auf Basis Ihrer Einwilligung.
18. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienstleistungen anzupassen. Für Ihren Besuch gilt die jeweils aktuelle Fassung. Den Stand dieser Erklärung finden Sie zu Beginn des Dokuments.
