DATENSCHUTZPRIVACY POLICY

Stand: Mai 2026Last updated: May 2026

1. Verantwortlicher1. Data Controller

Verantwortlich für die Datenverarbeitung auf dieser Website ist:The party responsible for data processing on this website is:

Nord System s.r.o.
handelnd unter der Marke operating under the brand Glow Up Peptides
Milíčova 471/25, Žižkov
130 00 Praha 3, Tschechische RepublikCzech Republic
E-Mail: [email protected]

1a. Datenschutzbeauftragter1a. Data Protection Officer

Wir haben gemäß Art. 37 DSGVO geprüft, ob ein Datenschutzbeauftragter (DSB) bestellt werden muss. Da unser Kerngeschäft nicht in der umfangreichen regelmäßigen Beobachtung von Personen besteht und wir keine besonderen Datenkategorien (Art. 9) systematisch verarbeiten, ist die Bestellung eines DSB nicht zwingend erforderlich. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte an: [email protected] (geplant nach Domain-Live, bis dahin via support@).We have reviewed pursuant to Art. 37 GDPR whether a Data Protection Officer (DPO) must be appointed. As our core business does not consist of extensive regular monitoring of individuals, and we do not systematically process special categories of data (Art. 9), the appointment of a DPO is not mandatorily required. For data protection inquiries, please contact: [email protected] (planned after domain go-live, until then via support@).

2. Überblick über die Datenverarbeitung2. Overview of Data Processing

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen — insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, warum wir sie erheben und welche Rechte Sie haben.The protection of your personal data is of great importance to us. We process your data exclusively on the basis of legal provisions — in particular the EU General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG). This privacy policy informs you about which data we collect, why we collect it, and what rights you have.

3. Hosting3. Hosting

Unsere Website wird über Cloudflare Pages gehostet. Beim Besuch unserer Website werden automatisch Informationen in sogenannten Server-Log-Dateien gespeichert, die Ihr Browser automatisch übermittelt. Dies umfasst:Our website is hosted via Cloudflare Pages. When you visit our website, information is automatically stored in server log files, which your browser transmits automatically. This includes:

• IP-Adresse (anonymisiert)IP address (anonymized)
• Datum und Uhrzeit der AnfrageDate and time of the request
• Browsertyp und -versionBrowser type and version
• Verwendetes BetriebssystemOperating system used
• Referrer-URLReferrer URL

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Sicherheit und Optimierung unseres Angebots. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.Processing is carried out pursuant to Art. 6(1)(f) GDPR based on our legitimate interest in the security and optimization of our services. This data is not merged with other data sources.

Auftragsverarbeiter: Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Cloudflare verarbeitet IP-Adressen + Request-Metadaten zur DDoS-Abwehr und CDN-Auslieferung. Es besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO. Cloudflare nutzt EU-Standardvertragsklauseln für Drittland-Übermittlung (USA).Processor: Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Cloudflare processes IP addresses + request metadata for DDoS mitigation and CDN delivery. A data processing agreement (DPA) per Art. 28 GDPR is in place. Cloudflare uses EU Standard Contractual Clauses for third-country transfers (USA).

3a. Schutz vor automatisierten Angriffen3a. Protection Against Automated Attacks

Zum Schutz unserer Formulare (Bestellung, Kundenkonto, Newsletter, Support, Lager-Benachrichtigungen) vor automatisierten Angriffen (DDoS, Spam-Bots, Brute-Force) speichern wir bei jeder Anfrage folgende Daten in einer separaten Schutz-Tabelle:To protect our forms (order, customer account, newsletter, support, stock notifications) against automated attacks (DDoS, spam bots, brute-force), we store the following data on each request in a separate protection table:

• IP-Adresse (vollständig, zur Wiedererkennung)IP address (full, for re-identification)
• Endpoint-Bezeichnung (welches Formular)Endpoint identifier (which form)
• Bei Bestellungen / Newsletter / Lager-Benachrichtigungen: die eingegebene E-Mail (zur Identifikation als gleicher Nutzer)On orders / newsletter / stock-notifications: the submitted email (to identify the same user)
• Browser-Kennung (User-Agent)Browser identifier (User-Agent)

Diese Daten werden maximal 24 Stunden gespeichert und danach automatisch gelöscht (stündlicher Cleanup-Cron-Job). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Belastbarkeit unserer Systeme gemäß Art. 32 Abs. 1 lit. b DSGVO). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nicht an Dritte weitergegeben.This data is stored for a maximum of 24 hours and then automatically deleted (hourly cleanup cron job). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in system resilience per Art. 32(1)(b) GDPR). This data is not merged with other data sources and not shared with third parties.

Hinweis nach Art. 22 DSGVO: Falls Sie durch unseren automatischen Bot-Schutz fälschlicherweise blockiert werden (z.B. wegen ungewöhnlichem Browser-Fingerprint), haben Sie das Recht auf manuelle Überprüfung. Schreiben Sie uns an [email protected] mit Betreff „Bot-Block — manuelle Überprüfung" — wir prüfen den Fall innerhalb von 24 Stunden manuell und stellen ggf. den Zugang wieder her.Notice per Art. 22 GDPR: If you are erroneously blocked by our automated bot protection (e.g. due to unusual browser fingerprint), you have the right to manual review. Please email [email protected] with subject "Bot-Block — manual review" — we review the case manually within 24 hours and restore access if appropriate.

4. Bestelldaten4. Order Data

Wenn Sie eine Bestellung aufgeben, erheben wir folgende Daten:When you place an order, we collect the following data:

• Vor- und NachnameFirst and last name
• E-Mail-AdresseEmail address
• LieferadresseShipping address
• Telefonnummer (optional)Phone number (optional)
• ZahlungsinformationenPayment information
• BestellverlaufOrder history

Die Verarbeitung erfolgt zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Ihre Daten werden nur so lange gespeichert, wie es für die Abwicklung der Bestellung und die Erfüllung gesetzlicher Aufbewahrungspflichten (z. B. steuerrechtlich: 10 Jahre) erforderlich ist.Processing is carried out for the performance of a contract pursuant to Art. 6(1)(b) GDPR. Your data is stored only for as long as is necessary for order processing and compliance with statutory retention obligations (e.g., tax law: 10 years).

4a. Speicherdauer pro Datenkategorie4a. Retention Period per Data Category

Wir löschen oder anonymisieren personenbezogene Daten gemäß folgender Tabelle:We delete or anonymize personal data according to the following table:

Hinweis zum DSGVO Art. 17 vs. §147 AO Konflikt: Bei Kontolöschung (Self-Service via „Mein Konto" → „Konto löschen") werden folgende Daten HARD-DELETED: Kundenkonto-Profil (Email, Name, Adresse), Newsletter-Abonnement, Wishlist, Reviews-Klarnamen. Folgende Daten werden ANONYMISIERT (PII entfernt, Bestellnummer + Beträge bleiben für Steuerprüfung): Bestellungen, Rechnungen, Zahlungstransaktionen — gemäß §147 AO 10 Jahre Aufbewahrungspflicht. Diese Daten haben nach Anonymisierung KEINEN Personenbezug mehr (Customer-ID = NULL, Email = `anonymized_@deleted.invalid`, Adresse = `[Anonymisiert]`).Note on GDPR Art. 17 vs. §147 AO conflict: Upon account deletion (self-service via "My Account" → "Delete Account"), the following data is HARD-DELETED: customer profile (email, name, address), newsletter subscription, wishlist, review real names. The following data is ANONYMIZED (PII removed, order number + amounts retained for tax audit): orders, invoices, payment transactions — pursuant to §147 AO 10-year retention obligation. After anonymization this data has NO personal reference anymore (customer-ID = NULL, email = `anonymized_@deleted.invalid`, address = `[Anonymized]`).

5. Kundenkonto5. Customer Account

Sie können auf unserer Website ein Kundenkonto anlegen. Dabei werden Ihre E-Mail-Adresse und ein verschlüsseltes Passwort gespeichert. Die Passwörter werden serverseitig durch unseren Auth-Anbieter Supabase mittels bcrypt-Hash und individuellem Salt gespeichert — wir haben zu keinem Zeitpunkt Zugriff auf Ihr Klartext-Passwort. Die Verarbeitung erfolgt auf Basis Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihr Konto jederzeit löschen, indem Sie uns unter [email protected] kontaktieren.You can create a customer account on our website. Your email address and an encrypted password are stored. Passwords are stored server-side by our auth provider Supabase using bcrypt hashing with individual salt — we never have access to your plaintext password. Processing is based on your consent pursuant to Art. 6(1)(a) GDPR. You can delete your account at any time by contacting us at [email protected].

6. Zahlungsabwicklung6. Payment Processing

Bei SEPA-Banküberweisung werden Ihre Bankdaten ausschließlich für die Zuordnung der Zahlung verwendet und nicht an Dritte weitergegeben.For SEPA bank transfers, your banking details are used solely for payment allocation and are not shared with third parties.

Für Kredit-/Debitkartenzahlung, Apple Pay sowie Krypto-Zahlung (Bitcoin, USDT, USDC, ETH) nutzen wir paygate.to als externen Zahlungsdienstleister mit Hosted-Payment-Page. Bei diesen Zahlungen werden Sie auf die gesicherte Seite von paygate.to umgeleitet. Ihre Zahlungsdaten werden direkt dort verarbeitet — wir haben zu keinem Zeitpunkt Zugriff auf Kartennummern, Wallet-Adressen oder vollständige Kontodaten. Übermittelte Daten: Bestellreferenz, Betrag, Währung. Weitere Informationen finden Sie in der Datenschutzerklärung von paygate.to.For credit/debit card payments, Apple Pay, and crypto payments (Bitcoin, USDT, USDC, ETH), we use paygate.to as an external payment processor with a hosted payment page. For these payments, you are redirected to paygate.to's secure page. Your payment data is processed directly there — we never have access to card numbers, wallet addresses, or complete account details. Transferred data: order reference, amount, currency. For more information, please refer to the paygate.to privacy policy.

7. Datenbank & Speicherung7. Database & Storage

Wir verwenden Supabase (Supabase, Inc.) als Datenbank-Infrastruktur. Ihre Daten werden in einem Rechenzentrum in Frankfurt am Main (eu-central-1) gespeichert und verlassen den europäischen Wirtschaftsraum nicht. Alle Datenbanktabellen sind durch Row Level Security (RLS) geschützt, sodass Nutzer nur auf ihre eigenen Daten zugreifen können.We use Supabase (Supabase, Inc.) as our database infrastructure. Your data is stored in a data center in Frankfurt am Main (eu-central-1) and does not leave the European Economic Area. All database tables are protected by Row Level Security (RLS), ensuring users can only access their own data.

8. Web-Analyse8. Web Analytics

Wir verwenden Umami Analytics, einen datenschutzfreundlichen Analyse-Dienst. Umami erhebt keine personenbezogenen Daten, setzt keine Cookies und speichert keine IP-Adressen. Es werden ausschließlich aggregierte, anonyme Nutzungsstatistiken erfasst. Umami ist konform mit der DSGVO, CCPA und PECR und benötigt daher keine Einwilligung über den Cookie-Banner.We use Umami Analytics, a privacy-friendly analytics service. Umami does not collect personal data, does not set cookies, and does not store IP addresses. Only aggregated, anonymous usage statistics are collected. Umami is compliant with GDPR, CCPA, and PECR and therefore does not require consent via the cookie banner.

9. Fehlerüberwachung & Analyse-Dienste (mit Einwilligung)9. Error Monitoring & Analytics Services (with consent)

Die folgenden Dienste werden ausschließlich nach Ihrer Einwilligung im Cookie-Banner geladen. Bei „Nur notwendige" werden sie nicht geladen. Da die Anbieter ihren Sitz in den USA haben, erfolgt eine Drittland-Übermittlung auf Basis der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO.The following services are loaded only after your consent via the cookie banner. When you click "Necessary only", they are not loaded. Since these providers are based in the USA, third-country transfer occurs on the basis of EU Standard Contractual Clauses (SCCs) pursuant to Art. 46 GDPR.

• Sentry (Functional Software, Inc., USA) — zur Erkennung und Behebung technischer Fehler. Übermittelt: Browser, Betriebssystem, Fehlerdetails. IP-Adressen werden nicht gespeichert. Datenschutzerklärung.Sentry (Functional Software, Inc., USA) — for detecting and resolving technical errors. Transmitted: browser, OS, error details. IP addresses are not stored. Privacy policy.
• PostHog (PostHog Inc., EU-Region Frankfurt) — Produkt-Analyse zur Verbesserung der Nutzererfahrung. Übermittelt: aggregierte Klick- und Nutzungs-Events ohne personenbezogene Daten. EU-Hosting in Frankfurt. Datenschutzerklärung.PostHog (PostHog Inc., EU region Frankfurt) — product analytics for improving user experience. Transmitted: aggregated click and usage events without personal data. EU hosting in Frankfurt. Privacy policy.
• Microsoft Clarity (Microsoft Corporation, USA) — Session-Heatmaps zur UX-Analyse. Übermittelt: anonymisierte Maus- und Scroll-Bewegungen, keine Eingabe-Inhalte (Form-Felder werden maskiert). Datenschutzerklärung.Microsoft Clarity (Microsoft Corporation, USA) — session heatmaps for UX analysis. Transmitted: anonymized mouse and scroll movements, no input contents (form fields are masked). Privacy policy.
• Cloudflare Web Analytics (Cloudflare, Inc., USA) — datenschutzfreundliche Performance-Metriken (Web Vitals) ohne Cookies und ohne personenbezogene Daten. Datenverarbeitung ist DSGVO-konform und cookie-frei. Datenschutzerklärung.Cloudflare Web Analytics (Cloudflare, Inc., USA) — privacy-friendly performance metrics (Web Vitals) without cookies and without personal data. Data processing is GDPR-compliant and cookie-free. Privacy policy.

10. Cookies & lokale Speicherung10. Cookies & Local Storage

Unsere Website verwendet standardmäßig keine Tracking-Cookies. Bei Zustimmung im Cookie-Banner ("Alle akzeptieren") werden Analyse-Dienste (Sentry, PostHog, Clarity) geladen, die technische Nutzungsdaten erfassen. Bei "Nur notwendige" werden ausschließlich funktionale Daten gespeichert. Wir nutzen ausschließlich den lokalen Speicher (localStorage) Ihres Browsers für folgende Zwecke:Our website does not use tracking cookies by default. When you click "Accept All" in the cookie banner, analytics services (Sentry, PostHog, Clarity) are loaded and collect technical usage data. With "Necessary only", only functional data is stored. We exclusively use your browser's local storage (localStorage) for the following purposes:

• Warenkorb: Speicherung Ihrer ausgewählten ProdukteShopping cart: Storage of your selected products
• Spracheinstellung: Ihre gewählte Sprache (DE/EN)Language preference: Your selected language (DE/EN)
• Cookie-Einwilligung: Ob Sie dem Cookie-Banner zugestimmt habenCookie consent: Whether you have accepted the cookie banner
• Kontodaten: Verschlüsselte Login-SessionAccount data: Encrypted login session
• Dark Mode: Ihre DesignpräferenzDark mode: Your design preference

Diese Daten werden ausschließlich lokal in Ihrem Browser gespeichert und nicht an unsere Server übertragen. Sie können diese Daten jederzeit über die Browsereinstellungen löschen.This data is stored exclusively locally in your browser and is not transmitted to our servers. You can delete this data at any time via your browser settings.

11. Rücksendungen & Erstattungen11. Returns & Refunds

Rückgabeberechtigung: Rücksendungen werden ausschließlich für ungeöffnete, unbenutzte Produkte in der Originalverpackung akzeptiert. Alle Bestellungen werden aus unserem Lager in Wien, Österreich versendet.Return eligibility: Returns are accepted only for unopened, unused products in their original packaging. All orders are shipped from our facility in Vienna, Austria.

Rücksendeautorisierung: Sie müssen uns innerhalb von 14 Tagen nach Erhalt der Ware kontaktieren, um eine Rücksendenummer (RMA) zu erhalten (Transportschäden: innerhalb von 48 Stunden). Rücksendungen ohne RMA-Nummer können nicht bearbeitet werden. Kontakt: [email protected] — siehe vollständige Widerrufs- & Rückgaberichtlinie.Return authorization: You must contact us within 14 days of receipt to obtain a Return Merchandise Authorization (RMA) number (transit damage: within 48 hours). Returns without an RMA number cannot be processed. Contact: [email protected] — see full cancellation & returns policy.

Nicht rückgabefähige Produkte: Geöffnete, benutzte, rekonstituierte oder durch unsachgemäße Lagerung beschädigte Produkte können nicht zurückgegeben oder erstattet werden. Aufgrund der besonderen Beschaffenheit von Forschungspeptiden und der Notwendigkeit, Produktintegrität und Sicherheit zu gewährleisten, ist eine Rücknahme in diesen Fällen ausgeschlossen.Non-returnable items: Opened, used, reconstituted, or products damaged due to improper storage cannot be returned or refunded. Due to the specialized nature of research peptides and the necessity to ensure product integrity and safety, returns in these cases are excluded.

Rücksendekosten: Die Kosten für die Rücksendung tragen Sie, es sei denn, die Rücksendung erfolgt aufgrund eines Fehlers unsererseits oder eines defekten Produkts. In diesem Fall übernehmen wir die Versandkosten.Return shipping costs: You are responsible for the cost of return shipping unless the return is due to our error or a defective product. In such cases, we will cover the shipping costs.

Erstattungsbearbeitung: Erstattungen werden innerhalb von 14 Tagen bearbeitet, nachdem wir den zurückgesendeten Artikel erhalten und geprüft haben. Die Rückzahlung erfolgt über die ursprüngliche Zahlungsmethode.Refund processing: Refunds will be processed within 14 days after we receive and inspect the returned item. Refunds will be issued via the original payment method.

Rechtskonformität: Unsere Rückgaberichtlinie folgt dem tschechischen Občanský zákoník (Zákon č. 89/2012 Sb., § 1837 písm. g) — dem Sitzlandsrecht der Nord System s.r.o. — und ist mit der EU-Verbraucherrechte-Richtlinie 2011/83/EU sowie deren harmonisierter Umsetzung in allen Versandländern (z. B. § 312g Abs. 2 Nr. 3 BGB in Deutschland, § 18 Abs. 1 Z 5 FAGG in Österreich) abgestimmt. Details finden Sie auf unserer Widerrufsseite.Legal compliance: Our return policy follows the Czech Civil Code (Zákon č. 89/2012 Sb., § 1837 lit. g) — Nord System s.r.o.'s registered seat — and is aligned with EU Consumer Rights Directive 2011/83/EU and its harmonized implementation across all shipping countries (e.g., § 312g(2) No. 3 BGB in Germany, § 18(1) Z 5 FAGG in Austria). For further details, please see our cancellation policy page.

12. E-Mail-Kommunikation12. Email Communication

Für transaktionale E-Mails (Bestellbestätigung, Versandbestätigung, Zahlungsbestätigung) verwenden wir Resend (Resend, Inc.). Diese E-Mails werden ausschließlich im Zusammenhang mit Ihrer Bestellung versendet und sind keine Werbung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).For transactional emails (order confirmation, shipping confirmation, payment confirmation), we use Resend (Resend, Inc.). These emails are sent exclusively in connection with your order and are not advertising. The legal basis is Art. 6(1)(b) GDPR (performance of a contract).

12a. Newsletter (mit ausdrücklicher Einwilligung)12a. Newsletter (with explicit consent)

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir Ihre E-Mail-Adresse zum Versand redaktioneller und werblicher Inhalte (z. B. neue Produkte, Lab-Reports, saisonale Aktionen). Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG.If you subscribe to our newsletter, we process your email address to send editorial and promotional content (e. g. new products, lab reports, seasonal offers). The legal basis is your consent under Art. 6(1)(a) GDPR.

Double-Opt-In-Verfahren: Nach Eintragung Ihrer E-Mail-Adresse senden wir Ihnen eine Bestätigungsmail mit einem Link. Erst nach Klick auf diesen Link sind Sie als Abonnent aktiv und erhalten unseren Newsletter. So stellen wir sicher, dass niemand fremde Adressen ohne Zustimmung anmeldet.Double-opt-in process: After you submit your email address, we send a confirmation email with a link. Only after clicking that link are you registered as an active subscriber and start receiving our newsletter. This ensures that nobody can subscribe a third-party address without consent.

Speicherdauer: Wenn Sie den Bestätigungs-Link nicht innerhalb von 7 Tagen anklicken, wird Ihre E-Mail-Adresse automatisch aus unserer Datenbank gelöscht. Aktive Abonnenten bleiben gespeichert, bis Sie sich abmelden.Storage period: If you do not click the confirmation link within 7 days, your email address is automatically deleted from our database. Active subscribers remain stored until you unsubscribe.

Widerruf jederzeit möglich: Jede Newsletter-Mail enthält einen Abmelde-Link am Ende. Ein Klick darauf genügt — keine Begründung notwendig, keine weiteren E-Mails. Alternativ können Sie sich auch direkt unter /unsubscribe.html abmelden oder eine Mail an [email protected] schicken.Right to withdraw at any time: Every newsletter email contains an unsubscribe link at the bottom. One click is enough — no justification needed, no further emails. You can also unsubscribe directly at /unsubscribe.html or send a message to [email protected].

Versand-Tracking: Wir nutzen unseren E-Mail-Dienstleister Resend (Resend, Inc.) zur Auslieferung. Resend protokolliert technische Zustellereignisse (Zustellung, Bounces, Spam-Beschwerden) zur Reputations-Sicherung. Bei Hard-Bounces oder Spam-Klicks werden Sie automatisch aus der Liste entfernt. Wir verwenden kein Open- oder Click-Tracking zur Profilbildung.Delivery tracking: We use our email service provider Resend (Resend, Inc.) for delivery. Resend logs technical delivery events (delivered, bounces, spam complaints) for sender reputation. On hard-bounce or spam complaint, you are automatically removed from the list. We do not perform open- or click-tracking for profiling.

Widerspruch gegen Profilbildung (Art. 21 DSGVO): Sie können der weiteren Verarbeitung Ihrer Daten zu Marketingzwecken jederzeit widersprechen — durch Klick auf den Abmelde-Link oder per E-Mail an [email protected].Right to object to profiling (Art. 21 GDPR): You can object to further processing of your data for marketing purposes at any time — via the unsubscribe link or by email to [email protected].

13. SSL/TLS-Verschlüsselung13. SSL/TLS Encryption

Unsere Website nutzt aus Sicherheitsgründen eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL/TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.Our website uses SSL/TLS encryption for security purposes. You can recognize an encrypted connection by the browser address bar changing from "http://" to "https://" and by the lock symbol in your browser bar. When SSL/TLS encryption is activated, the data you transmit to us cannot be read by third parties.

14. Ihre Rechte14. Your Rights

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:Under the GDPR, you have the following rights regarding your personal data:

• Auskunftsrecht (Art. 15): Sie können jederzeit Auskunft über Ihre bei uns gespeicherten Daten verlangen.Right of access (Art. 15): You can request information about your data stored with us at any time.
• Berichtigungsrecht (Art. 16): Sie können die Korrektur unrichtiger Daten verlangen.Right to rectification (Art. 16): You can request correction of inaccurate data.
• Löschungsrecht (Art. 17): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.Right to erasure (Art. 17): You can request deletion of your data, provided there are no statutory retention obligations.
• Einschränkung der Verarbeitung (Art. 18): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.Right to restriction (Art. 18): You can request restriction of the processing of your data.
• Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.Right to data portability (Art. 20): You can receive your data in a structured, commonly used format.
• Widerspruchsrecht (Art. 21): Sie können der Verarbeitung Ihrer Daten widersprechen.Right to object (Art. 21): You can object to the processing of your data.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter [email protected].To exercise your rights, please contact us at [email protected].

15. Beschwerderecht15. Right to Lodge a Complaint

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Da unser Unternehmen in der Tschechischen Republik registriert ist, ist die zuständige Hauptaufsichtsbehörde:You have the right to lodge a complaint with a data protection supervisory authority regarding the processing of your personal data. As our company is registered in the Czech Republic, the lead supervisory authority is:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27
170 00 Praha 7
Tschechische Republik / Czech Republic
www.uoou.cz

Alternativ können Sie sich auch an die Datenschutz-Aufsichtsbehörde Ihres Wohnsitzlandes wenden (z. B. BfDI in Deutschland, Datenschutzbehörde in Österreich, EDÖB in der Schweiz).Alternatively, you may also contact the data protection authority of your country of residence (e. g. BfDI in Germany, Datenschutzbehörde in Austria, FDPIC in Switzerland).

16. Weitergabe von Daten an Dritte16. Disclosure of Data to Third Parties

Wir geben Ihre personenbezogenen Daten nur weiter, wenn dies für die Vertragserfüllung erforderlich ist. Dies betrifft:We only share your personal data when it is necessary for the performance of a contract. This applies to:

• Versanddienstleister (DPD AT): Name und Lieferadresse zur Zustellung Ihrer BestellungShipping carrier (DPD AT): Name and delivery address for shipment of your order
• Zahlungsdienstleister (paygate.to): Zahlungsinformationen zur Abwicklung von Kartenzahlungen und Krypto-TransaktionenPayment processor (paygate.to): Payment information for card and crypto transaction processing
• E-Mail-Dienst (Resend): E-Mail-Adresse zum Versand transaktionaler E-MailsEmail service (Resend): Email address for sending transactional emails
• Hosting/CDN (Cloudflare): IP-Adresse + Request-Metadaten für DDoS-Abwehr und schnelle AuslieferungHosting/CDN (Cloudflare): IP address + request metadata for DDoS mitigation and fast delivery
• Datenbank-Hosting (Supabase, EU Frankfurt): alle Bestelldaten + Kundenkonto-DatenDatabase hosting (Supabase, EU Frankfurt): all order data + customer account data
• Captcha (Cloudflare Turnstile): IP + Browser-Kennung zum Bot-Schutz auf FormularenCaptcha (Cloudflare Turnstile): IP + browser fingerprint for bot protection on forms
• Telegram Messenger (optional, nur bei freiwilliger Kontaktaufnahme): Wenn Sie uns über unseren Telegram-Kanal @glowuppeptides kontaktieren, werden die ausgetauschten Nachrichten von Telegram Messenger Inc. (UK) bzw. Telegram FZ-LLC (UAE) als eigenständigem Verantwortlichen verarbeitet. Die Kontaktaufnahme über Telegram ist freiwillig — alternativ erreichen Sie uns jederzeit per E-Mail an [email protected] (Server in Deutschland). Telegram-Datenschutzerklärung: telegram.org/privacy.Telegram Messenger (optional, only if you voluntarily contact us): If you contact us via our Telegram channel @glowuppeptides, the exchanged messages are processed by Telegram Messenger Inc. (UK) and Telegram FZ-LLC (UAE) as independent controllers. Contact via Telegram is voluntary — you can alternatively reach us at any time by email at [email protected] (servers in Germany). Telegram privacy policy: telegram.org/privacy.

Mit den vorgenannten Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Drittland-Übermittlungen erfolgen auf gesetzlich zulässiger Grundlage: EU-Standardvertragsklauseln (USA), Angemessenheitsbeschluss der EU-Kommission (UK, 28.06.2021) oder Ihrer freiwilligen Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO (z. B. wenn Sie Telegram als Kontaktweg wählen).Data processing agreements per Art. 28 GDPR are in place with the aforementioned processors. Third-country transfers occur on legally permissible grounds: EU Standard Contractual Clauses (USA), the EU Commission's adequacy decision (UK, 28 June 2021), or your voluntary consent under Art. 49(1)(a) GDPR (e. g. if you choose Telegram as a contact channel).

Eine Weitergabe zu Werbezwecken oder an sonstige Dritte findet nicht statt.Data is never shared for advertising purposes or with any other third parties.

17. Änderungen dieser Datenschutzerklärung17. Changes to This Privacy Policy

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an aktuelle rechtliche Anforderungen oder Änderungen unserer Dienstleistungen anzugleichen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite.We reserve the right to update this privacy policy to comply with current legal requirements or changes to our services. The most current version will always be available on this page.