Privacy Policy

Last updated: May 17, 2026

This page is bilingual. The English version is below for our customers. The German version (Datenschutzerklärung) follows further down and is the legally controlling text under German law.

→ English | → Deutsch

Privacy Policy

This Privacy Policy explains how Rori Blooms collects, uses, shares, and protects your personal information when you visit our website, place an order, or otherwise interact with our services.

1. Who We Are (Data Controller)

The data controller responsible for processing your personal data under the EU General Data Protection Regulation (GDPR) is:

Patricia Böntgen
Röpkestraße 63
40235 Düsseldorf
Germany
Email: info@roriblooms.com
Phone: +49 152 56137712

Although our store ships exclusively to customers outside of Germany, our business is operated from Germany. EU data protection law (the GDPR) therefore applies to all processing of personal data, regardless of where you live.

2. Data Protection Officer

Due to the nature and scale of our processing activities, we are not required to appoint a Data Protection Officer under Art. 37 GDPR or § 38 of the German Federal Data Protection Act (BDSG). For any questions about data protection, please contact us directly using the details above.

3. What Personal Data We Collect

Depending on how you interact with our store, we may collect the following categories of personal data:

Information you provide directly:

Name, shipping address, billing address, email address, phone number, order details (items purchased, quantities, prices), payment information (processed by our payment providers — we do not store full card numbers), communications with customer service, account credentials if you create an account, and any other information you choose to provide.

Information collected automatically:

IP address, browser type and version, device type, operating system, referring URL, pages viewed, time spent on pages, click and scroll behavior, and cookies and similar tracking technologies (see Section 9).

4. How We Use Your Data and Legal Basis

We process your personal data only where we have a lawful basis under Art. 6 GDPR. The specific basis depends on the purpose:

Order fulfillment (Art. 6(1)(b) — contract): Processing your order, arranging shipping, handling returns, providing customer service related to your purchase.

Legal obligations (Art. 6(1)(c)): Retaining order and invoice data for tax and accounting purposes (10 years under § 147 of the German Fiscal Code), responding to lawful requests from authorities.

Legitimate interests (Art. 6(1)(f)): Fraud prevention, site security, basic site analytics that do not require consent (such as detecting technical errors), and direct communications about orders you have placed.

Consent (Art. 6(1)(a)): Marketing emails, non-essential cookies, analytics, conversion tracking, and personalized advertising. You can withdraw consent at any time (see Section 8).

5. Who Receives Your Data

We share your personal data only with the following categories of recipients, each of whom acts as a processor on our behalf under a Data Processing Agreement (Art. 28 GDPR):

Shopify International Ltd. (Ireland) — provides our store platform, hosting, order management, email infrastructure (Shopify Email), and built-in analytics (Shopify Analytics). Shopify's parent company Shopify Inc. is based in Canada, which the European Commission has determined to provide an adequate level of data protection.

Shopify Payments / Stripe, Inc. (USA) — processes credit and debit card payments. Stripe is certified under the EU-US Data Privacy Framework.

PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg) — processes payments made via PayPal. PayPal's European entity processes data within the EU.

Google Ireland Ltd. (Ireland) / Google LLC (USA) — provides Google Analytics 4 for website analytics. Google LLC is certified under the EU-US Data Privacy Framework. Loaded only after you give consent.

TrackBee B.V. (Netherlands) — provides server-side conversion tracking. TrackBee is established in the EU. Loaded only after you give consent.

Cybot A/S (Cookiebot) (Denmark) — provides our cookie consent management. EU-based.

Shipping carriers — receive your name and shipping address only as needed to deliver your order.

We do not sell your personal data to third parties.

6. International Data Transfers

Some of our processors are based outside the European Economic Area (EEA). Where this is the case, we ensure appropriate safeguards are in place:

  • For transfers to Stripe and Google (USA): the EU-US Data Privacy Framework adequacy decision (European Commission, July 2023) applies.
  • For transfers to Shopify Inc. (Canada): the European Commission's adequacy decision for Canada applies.
  • Where no adequacy decision exists, we rely on the European Commission's Standard Contractual Clauses (SCCs) under Art. 46(2)(c) GDPR.

Copies of these safeguards are available on request.

7. How Long We Keep Your Data

We retain personal data only for as long as necessary for the purpose for which it was collected, or as required by law:

  • Order and invoice data: 10 years from the end of the year in which the transaction occurred, as required by § 147 of the German Fiscal Code (Abgabenordnung).
  • Customer account data: until you delete your account or request deletion, subject to legal retention obligations.
  • Marketing consent records: until you withdraw consent, plus a brief period to document the withdrawal.
  • Google Analytics data: 14 months from collection.
  • Cookie consent records: 12 months, then re-prompted.
  • Server logs: typically 30 days, longer if needed for security investigations.

8. Your Rights

Under the GDPR, you have the following rights:

  • Right of access (Art. 15): to obtain confirmation of whether we process your data and, if so, a copy of that data.
  • Right to rectification (Art. 16): to have inaccurate data corrected.
  • Right to erasure (Art. 17): to have your data deleted in certain circumstances ("right to be forgotten").
  • Right to restriction (Art. 18): to have processing of your data restricted in certain circumstances.
  • Right to data portability (Art. 20): to receive your data in a structured, machine-readable format.
  • Right to object (Art. 21): to object to processing based on legitimate interests, including direct marketing.
  • Right to withdraw consent (Art. 7(3)): to withdraw any consent you have given, at any time, without affecting the lawfulness of prior processing.
  • Right to lodge a complaint (Art. 77): to complain to a data protection supervisory authority.

To exercise any of these rights, email info@roriblooms.com. We will respond within one month.

Our competent supervisory authority is:

Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf, Germany
Website: www.ldi.nrw.de

9. Cookies and Tracking Technologies

We use cookies and similar technologies on our website. Cookies fall into the following categories:

Necessary cookies: Required for the website to function (shopping cart, checkout, session management, security). These are processed under Art. 6(1)(b) GDPR (contract) and § 25(2) of the German Digital Services Act (DDG). No consent is required.

Statistics cookies: Google Analytics 4 — collects anonymized data about how visitors use the site so we can improve it. Loaded only after you give consent.

Marketing cookies: TrackBee — measures conversions and the effectiveness of any future advertising campaigns. Loaded only after you give consent.

When you first visit our website, our consent management platform (Cookiebot) presents a banner allowing you to accept or reject each category. You can change your preferences at any time by clicking the "Cookie settings" link in the footer.

A complete, automatically-updated list of all cookies used on this site is available on our Cookie Policy page.

10. Automated Decision-Making

Our payment and order processing includes automated fraud screening provided by Shopify and our payment processors. This system flags potentially fraudulent orders for review. It does not produce legal effects for you or significantly affect you, and any decision to cancel an order based on a fraud flag is reviewed manually before action is taken.

We do not engage in any other automated decision-making or profiling that produces legal or similarly significant effects under Art. 22 GDPR.

11. Children's Data

Our store is not directed at children under 16, and we do not knowingly collect personal data from children. If you believe a child has provided us with personal data, please contact us and we will delete it.

12. Data Security

We use industry-standard security measures, including TLS encryption for all data transmitted to and from our site, secure hosting through Shopify, and access controls on customer data. No system can guarantee absolute security, but we work to protect your data appropriately to the risk.

13. Changes to This Policy

We may update this Privacy Policy from time to time to reflect changes to our practices, services, or legal requirements. The "Last updated" date at the top of this page reflects the most recent revision. Material changes will be communicated through our website.

14. Contact

For any questions about this Privacy Policy or how we handle your personal data, contact us at:

Patricia Böntgen
Röpkestraße 63
40235 Düsseldorf, Germany
Email: info@roriblooms.com
Phone: +49 152 56137712

Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten beim Besuch unserer Website und der Nutzung unserer Dienste.

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Patricia Böntgen
Röpkestraße 63
40235 Düsseldorf
Deutschland
E-Mail: info@roriblooms.com
Telefon: +49 152 56137712

Obwohl unser Onlineshop ausschließlich Kunden außerhalb Deutschlands beliefert, wird unser Geschäft von Deutschland aus betrieben. Die DSGVO findet daher auf alle Verarbeitungen personenbezogener Daten Anwendung, unabhängig vom Wohnsitz der betroffenen Person.

§ 2 Datenschutzbeauftragter

Aufgrund der Art und des Umfangs unserer Datenverarbeitung sind wir nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen (Art. 37 DSGVO, § 38 BDSG). Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannten Kontaktdaten.

§ 3 Erhobene personenbezogene Daten

Je nach Ihrer Interaktion mit unserem Shop verarbeiten wir folgende Kategorien personenbezogener Daten:

Von Ihnen direkt bereitgestellte Daten: Name, Lieferadresse, Rechnungsadresse, E-Mail-Adresse, Telefonnummer, Bestelldetails (gekaufte Artikel, Mengen, Preise), Zahlungsinformationen (verarbeitet durch unsere Zahlungsdienstleister — vollständige Kartennummern speichern wir nicht), Kommunikation mit dem Kundenservice, ggf. Account-Daten bei Kontoerstellung sowie weitere von Ihnen freiwillig übermittelte Angaben.

Automatisch erhobene Daten: IP-Adresse, Browsertyp und -version, Geräteart, Betriebssystem, Referrer-URL, aufgerufene Seiten, Verweildauer, Klick- und Scrollverhalten sowie Cookies und ähnliche Tracking-Technologien (siehe § 9).

§ 4 Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten nur auf Grundlage einer Rechtsgrundlage nach Art. 6 DSGVO:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Abwicklung Ihrer Bestellung, Versandorganisation, Bearbeitung von Retouren, Kundenservice in Bezug auf Ihre Bestellung.

Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Bestell- und Rechnungsdaten zu steuerlichen und handelsrechtlichen Zwecken (10 Jahre nach § 147 AO), Beantwortung rechtmäßiger Auskunftsersuchen.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Betrugsprävention, IT-Sicherheit, technische Fehleranalyse sowie direkte Kommunikation zu Ihren Bestellungen.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Marketing-E-Mails, nicht-essenzielle Cookies, Analyse-Tools, Conversion-Tracking und personalisierte Werbung. Sie können Ihre Einwilligung jederzeit widerrufen (siehe § 8).

§ 5 Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten nur an folgende Empfänger weiter, die als Auftragsverarbeiter im Sinne von Art. 28 DSGVO im Rahmen abgeschlossener Auftragsverarbeitungsverträge tätig werden:

Shopify International Ltd. (Irland) — Bereitstellung der Shop-Plattform, Hosting, Bestellverwaltung, E-Mail-Infrastruktur (Shopify Email) und integrierte Analytik (Shopify Analytics). Die Muttergesellschaft Shopify Inc. hat ihren Sitz in Kanada, für das ein Angemessenheitsbeschluss der EU-Kommission besteht.

Shopify Payments / Stripe, Inc. (USA) — Verarbeitung von Kredit- und Debitkartenzahlungen. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert.

PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) — Verarbeitung von PayPal-Zahlungen. Verarbeitung erfolgt innerhalb der EU.

Google Ireland Ltd. (Irland) / Google LLC (USA) — Google Analytics 4 zur Webanalyse. Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert. Laden erfolgt nur nach Ihrer Einwilligung.

TrackBee B.V. (Niederlande) — Server-seitiges Conversion-Tracking. Sitz in der EU. Laden erfolgt nur nach Ihrer Einwilligung.

Cybot A/S (Cookiebot) (Dänemark) — Cookie-Consent-Management. Sitz in der EU.

Versanddienstleister — Erhalt von Name und Lieferadresse zur Zustellung Ihrer Bestellung.

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.

§ 6 Datenübermittlung in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). In diesen Fällen stellen wir geeignete Garantien sicher:

  • Für Übermittlungen an Stripe und Google (USA): Angemessenheitsbeschluss EU-US Data Privacy Framework (Beschluss der EU-Kommission vom Juli 2023).
  • Für Übermittlungen an Shopify Inc. (Kanada): Angemessenheitsbeschluss der EU-Kommission für Kanada.
  • Im Übrigen Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Kopien der Garantien stellen wir auf Anfrage zur Verfügung.

§ 7 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Verarbeitungszwecke erforderlich oder gesetzlich vorgeschrieben ist:

  • Bestell- und Rechnungsdaten: 10 Jahre ab Ende des Jahres, in dem die Transaktion erfolgte (§ 147 AO).
  • Kundenkontodaten: bis zur Löschung des Kontos bzw. Löschungsantrag, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Einwilligungen für Marketing: bis zum Widerruf, zzgl. kurzer Dokumentationszeit.
  • Google-Analytics-Daten: 14 Monate ab Erhebung.
  • Cookie-Einwilligungen: 12 Monate, danach erneute Abfrage.
  • Serverlogs: in der Regel 30 Tage, ggf. länger bei Sicherheitsuntersuchungen.

§ 8 Ihre Rechte

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO), insbesondere gegen Direktwerbung
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO), ohne Berührung der Rechtmäßigkeit der bisherigen Verarbeitung
  • Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an info@roriblooms.com. Wir antworten innerhalb eines Monats.

Zuständige Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit
Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
Web: www.ldi.nrw.de

§ 9 Cookies und Tracking

Wir verwenden Cookies und ähnliche Technologien auf unserer Website. Diese unterteilen sich in folgende Kategorien:

Notwendige Cookies: Erforderlich für den technischen Betrieb der Website (Warenkorb, Checkout, Sitzungsverwaltung, Sicherheit). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie § 25 Abs. 2 DDG. Eine Einwilligung ist nicht erforderlich.

Statistik-Cookies: Google Analytics 4 — Erhebung anonymisierter Nutzungsdaten zur Verbesserung der Website. Einsatz nur nach Einwilligung.

Marketing-Cookies: TrackBee — Conversion-Messung und Werbewirkungsanalyse. Einsatz nur nach Einwilligung.

Beim ersten Besuch unserer Website zeigt unser Consent-Management-Tool (Cookiebot) ein Banner an, über das Sie jede Kategorie einzeln annehmen oder ablehnen können. Ihre Auswahl können Sie jederzeit über den Link "Cookie-Einstellungen" im Footer ändern.

Eine vollständige, automatisch aktualisierte Liste aller verwendeten Cookies finden Sie auf unserer Cookie-Richtlinien-Seite.

§ 10 Automatisierte Entscheidungsfindung

Unsere Zahlungs- und Bestellabwicklung umfasst eine automatisierte Betrugsprüfung durch Shopify und unsere Zahlungsdienstleister. Dieses System markiert potenziell betrügerische Bestellungen zur Überprüfung. Es entfaltet keine rechtliche Wirkung oder vergleichbar erhebliche Beeinträchtigung; jede Entscheidung über eine Bestellstornierung aufgrund eines Betrugshinweises wird manuell überprüft.

Im Übrigen findet keine automatisierte Entscheidungsfindung oder Profilbildung im Sinne von Art. 22 DSGVO statt.

§ 11 Daten von Kindern

Unser Angebot richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten Sie Kenntnis davon erlangen, dass ein Kind uns Daten übermittelt hat, bitten wir um Mitteilung; wir werden die Daten umgehend löschen.

§ 12 Datensicherheit

Wir verwenden branchenübliche Sicherheitsmaßnahmen, einschließlich TLS-Verschlüsselung für die Datenübertragung, sicheres Hosting über Shopify und Zugriffskontrollen auf Kundendaten. Eine absolute Sicherheit ist technisch nicht möglich; wir bemühen uns jedoch, einen dem Risiko angemessenen Schutz zu gewährleisten.

§ 13 Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken, Dienste oder rechtlicher Anforderungen abzubilden. Das Datum oben auf dieser Seite zeigt die letzte Überarbeitung. Wesentliche Änderungen kommunizieren wir über unsere Website.

§ 14 Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung Ihrer Daten:

Patricia Böntgen
Röpkestraße 63
40235 Düsseldorf, Deutschland
E-Mail: info@roriblooms.com
Telefon: +49 152 56137712