Datenschutzerklärung

Anonyme Datenerhebung

Wir freuen uns, dass Sie unseren Shop besuchen und bedanken uns für Ihr Interesse an unserem Unternehmen, unseren Produkten und unseren Webseiten. Der Schutz Ihrer Privatsphäre bei der Nutzung unserer Webseiten ist uns wichtig. Daher nehmen Sie bitte nachstehende Informationen zur Kenntnis:

 

1. Erhebung, Verarbeitung und Nutzung personenbezogener Daten

Daten Sie können unsere Webseiten grundsätzlich besuchen, ohne dass wir personenbezogene Daten von Ihnen erheben. Personenbezogene Daten werden nur erhoben, wenn Sie uns diese von sich aus zur Durchführung eines Vertrages, bei der Eröffnung eines Kundenkontos oder im Rahmen der Kontaktaufnahme mitteilen. Diese Daten werden ohne Ihre ausdrückliche Einwilligung jeweils allein zur Vertragsabwicklung und Bearbeitung Ihrer Anfragen genutzt. Nach vollständiger Abwicklung des Vertrages und vollständiger Kaufpreisbezahlung werden Ihre Daten mit Rücksicht auf steuer- und handelsrechtliche Aufbewahrungsfristen gespeichert, nach Ablauf dieser Fristen gelöscht.

Darüber hinaus werden personenbezogene Daten erhoben, wenn Sie sich zu unserem E-Mail-Newsletter anmelden. Diese Daten werden von uns zu eigenen Werbezwecken in Form unseres E-Mail-Newsletters genutzt, sofern sie hierin ausdrücklich wie folgt eingewilligt haben: „Haltet mich auf dem Laufenden“

Sie können den Newsletter jederzeit über den dafür vorgesehenen Link im Newsletter oder durch entsprechende Nachricht an uns abbestellen. Nach erfolgter Abmeldung wird Ihre E-Mailadresse unverzüglich gelöscht. Der Versand von E-Mail-Newslettern erfolgt über den Dienstleister The Rocket Science Group, LLC d/b/a MailChimp, 512 Means St., Suite 404 Atlanta, Georgia- 30318, USA (http://www.mailchimp.com/), an die wir Ihre Daten zum Zweck der Newslettererstellung und –übersendung weitergeben. Die The Rocket Science Group hat sich dem so genannten Safe Harbor-Abkommen unterworfen, durch welches ein den europäischen Standards entsprechendes Datenschutzniveau gewährleistet werden soll. Die Zertifizierung der The Rocket Science Group für das Safe Harbor-Abkommen kann im Internet unter https://safeharbor.export.gov/companyinfo.aspx?id=23996 eingesehen werden. Sie können der Speicherung und Nutzung Ihrer Daten jederzeit mit Wirkung für die Zukunft widersprechen, hierzu nehmen Sie über die im Impressum einsehbare E-Mailadresse mit uns Kontakt auf.

 

2. Weitergabe personenbezogener Daten

2.1 Bestellabwicklung

Die von uns erhobenen personenbezogenen Daten werden im Rahmen der Vertragsabwicklung an das mit der Lieferung beauftragte Transportunternehmen weitergegeben, soweit dies zur Lieferung der Ware erforderlich ist. Ihre Zahlungsdaten geben wir im Rahmen der Zahlungsabwicklung an das beauftragte Kreditinstitut weiter, sofern dies für die Zahlungsabwicklung erforderlich ist.

Erfolgt die Zustellung der Ware durch den Transportdienstleister DHL (Deutsche Post AG, Charles-de-Gaulle-Straße 20, 53113 Bonn), so geben wir Ihre E-Mail-Adresse vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins an DHL weiter, sofern Sie hierin wie folgt ausdrücklich eingewilligt haben: „Ich bin damit einverstanden, dass meine E-Mail-Adresse an DHL (Deutsche Post AG, Charles-de-Gaulle-Straße 20, 53113 Bonn) weitergegeben wird, damit DHL vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins per E-Mail Kontakt mit mir aufnehmen kann. Meine diesbezüglich erteilte Einwilligung kann ich Ihnen gegenüber jederzeit widerrufen.“ Anderenfalls geben wir nur den Namen des Empfängers und die Lieferadresse an DHL weiter. In diesem Fall ist eine vorherige Abstimmung des Liefertermins mit DHL nicht möglich.

Erfolgt die Zustellung der Ware durch den Transportdienstleister GLS (General Logistics Systems Germany GmbH & Co. OHG, GLS Germany-Straße 1 – 7, 36286 Neuenstein), so geben wir Ihre E-Mail-Adresse vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins an GLS weiter, sofern Sie hierin ausdrücklich eingewilligt haben wie folgt: „Ich bin damit einverstanden, dass meine E-Mail-Adresse an GLS (General Logistics Systems Germany GmbH & Co. OHG, GLS Germany-Straße 1 – 7, 36286 Neuenstein) weitergegeben wird, damit GLS vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins per E-Mail Kontakt mit mir aufnehmen kann. Meine diesbezüglich erteilte Einwilligung kann ich Ihnen gegenüber jederzeit widerrufen.“ Anderenfalls geben wir nur den Namen des Empfängers und die Lieferadresse an GLS weiter. In diesem Fall ist eine vorherige Abstimmung des Liefertermins mit GLS nicht möglich.

Erfolgt die Zustellung der Ware durch den Transportdienstleister UPS (United Parcel Service Deutschland Inc. & Co. OHG, Görlitzer Straße 1, 41460 Neuss), so geben wir Ihre E-Mail- Adresse vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins an UPS weiter, sofern Sie hierin wie folgt ausdrücklich eingewilligt haben wie folgt: „Ich bin damit einverstanden, dass meine E-Mail-Adresse an UPS (United Parcel Service Deutschland Inc. & Co. OHG, Görlitzer Straße 1, 41460 Neuss) weitergegeben wird, damit UPS vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins per E-Mail Kontakt mit mir aufnehmen bzw. Statusinformationen zur Sendungszustellung übermitteln kann. Meine diesbezüglich erteilte Einwilligung kann ich Ihnen gegenüber jederzeit widerrufen.“ Anderenfalls geben wir nur den Namen des Empfängers und die Lieferadresse an UPS weiter. In diesem Fall ist eine vorherige Abstimmung des Liefertermins mit UPS bzw. die Übermittlung von Statusinformationen der Sendungszustellung nicht möglich.

Erfolgt die Zustellung der Ware durch den Transportdienstleister DPD (DPD Dynamic Parcel Distribution GmbH & Co. KG, Wailandtstraße 1, 63741 Aschaffenburg), so geben wir Ihre E-Mail-Adresse und/ oder Ihre Telefonnummer vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins an DPD weiter, sofern Sie hierin wie folgt ausdrücklich eingewilligt haben: „Ich bin damit einverstanden, dass meine E-Mail-Adresse sowie meine Telefonnummer an DPD (DPD Dynamic Parcel Distribution GmbH & Co. KG, Wailandtstraße 1, 63741 Aschaffenburg) weitergegeben wird, damit DPD vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins per E-Mail oder Telefon Kontakt mit mir aufnehmen kann. Meine diesbezüglich erteilte Einwilligung kann ich Ihnen gegenüber jederzeit widerrufen.“ Anderenfalls geben wir nur den Namen des Empfängers und die Lieferadresse an DPD weiter. In diesem Fall ist eine vorherige Abstimmung des Liefertermins mit DPD nicht möglich.

Erfolgt die Zustellung der Ware durch den Transportdienstleister Hermes (Hermes Logistik Gruppe Deutschland GmbH, Essener Straße 89, 22419 Hamburg), so geben wir Ihre E-Mail-Adresse vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins an Hermes weiter, sofern Sie hierin ausdrücklich eingewilligt haben wie folgt: "Ich bin damit einverstanden, dass meine E-Mail-Adresse an Hermes (Hermes Logistik Gruppe Deutschland GmbH, Essener Straße 89, 22419 Hamburg) weitergegeben wird, damit Hermes vor der Zustellung der Ware zum Zwecke der Abstimmung eines Liefertermins per E-Mail Kontakt mit mir aufnehmen bzw. Statusinformationen zur Sendungszustellung übermitteln kann. Meine diesbezüglich erteilte Einwilligung kann ich Ihnen gegenüber jederzeit widerrufen." Anderenfalls geben wir nur den Namen des Empfängers und die Lieferadresse an Hermes weiter. In diesem Fall ist eine vorherige Abstimmung des Liefertermins mit Hermes bzw. die Übermittlung von Statusinformationen der Sendungszustellung nicht möglich.

Bei Zahlung via PayPal, Kreditkarte via PayPal, Lastschrift via PayPal oder — falls angeboten — „Kauf auf Rechnung“ via PayPal geben wir Ihre Zahlungsdaten im Rahmen der Zahlungsabwicklung an die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg (nachfolgend "PayPal"), weiter. PayPal behält sich für die Zahlungsmethoden Kreditkarte via PayPal, Lastschrift via PayPal oder — falls angeboten — „Kauf auf Rechnung“ via PayPal die Durchführung einer Bonitätsauskunft vor. Das Ergebnis der Bonitätsprüfung in Bezug auf die statistische Zahlungsausfallwahrscheinlichkeit verwendet PayPal zum Zwecke der Entscheidung über die Bereitstellung der jeweiligen Zahlungsmethode. Die Bonitätsauskunft kann Wahrscheinlichkeitswerte enthalten (sog. Score-Werte). Soweit Score-Werte in das Ergebnis der Bonitätsauskunft einfließen, haben diese ihre Grundlage in einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren. In die Berechnung der Score-Werte fließen unter anderem Anschriftendaten ein. Weitere datenschutzrechtliche Informationen, unter anderem zu den verwendeten Auskunfteien, entnehmen Sie bitte der Datenschutzerklärung von PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

 

3. Cookies

Um den Besuch unserer Website attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir auf verschiedenen Seiten sogenannte Cookies. Hierbei handelt es sich um kleine Textdateien, die auf Ihrem Endgerät abgelegt werden. Einige der von uns verwendeten Cookies werden nach dem Ende der Browser-Sitzung, also nach Schließen Ihres Browsers, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen uns oder unseren Partnerunternehmen, Ihren Browser beim nächsten Besuch wiederzuerkennen (persistente Cookies). Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und einzeln über deren Annahme entscheiden oder die Annahme von Cookies für bestimmte Fälle oder generell ausschließen. Bei der Nichtannahme von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

 

4. Verwendung von Youtube-Videos

Diese Webseite nutzt die Youtube-Einbettungsfunktion zur Anzeige und Wiedergabe von Videos des Anbieters „Youtube“. Hierbei wird der erweiterte Datenschutzmodus verwendet, der nach Anbieterangaben eine Speicherung von Nutzerinformationen erst bei Wiedergabe des/der Videos in Gang setzt. Wird die Wiedergabe eingebetteter Youtube-Videos gestartet, setzt der Anbieter „Youtube“ Cookies ein, um Informationen über das Nutzerverhalten zu sammeln. Hinweisen von „Youtube“ zufolge dienen diese unter anderem dazu, Videostatistiken zu erfassen, die Nutzerfreundlichkeit zu verbessern und missbräuchliche Handlungsweisen zu unterbinden. Unabhängig von einer Wiedergabe der eingebetteten Videos wird bei jedem Aufruf dieser Webseite eine Verbindung zum Google-Netzwerk aufgenommen, was ohne unseren Einfluss weitere Datenverarbeitungsvorgänge auslösen kann. Weitere Informationen zum Datenschutz bei „YouTube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy

 

5. Einsatz von Google AdWords Conversion-Tracking

Diese Webseite nutzt das Online-Werbeprogramm „Google AdWords“ und im Rahmen von Google AdWords das Conversion-Tracking. Das Cookie für Conversion-Tracking wird gesetzt, wenn ein Nutzer auf eine von Google geschaltete Anzeige klickt. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrem Computersystem abgelegt werden. Diese Cookies verlieren nach 90 Tagen ihre Gültigkeit und dienen nicht der persönlichen Identifizierung. Besucht der Nutzer bestimmte Seiten dieser Website und das Cookie ist noch nicht abgelaufen, können Google und wir erkennen, dass der Nutzer auf die Anzeige geklickt hat und zu dieser Seite weitergeleitet wurde. Jeder Google AdWords-Kunde erhält ein anderes Cookie. Cookies können somit nicht über die Websites von AdWords-Kunden nachverfolgt werden. Die mithilfe des Conversion-Cookies eingeholten Informationen dienen dazu, Conversion-Statistiken für AdWords-Kunden zu erstellen, die sich für Conversion-Tracking entschieden haben. Die Kunden erfahren die Gesamtanzahl der Nutzer, die auf ihre Anzeige geklickt haben und zu einer mit einem Conversion-Tracking-Tag versehenen Seite weitergeleitet wurden. Sie erhalten jedoch keine Informationen, mit denen sich Nutzer persönlich identifizieren lassen. Wenn Sie nicht am Tracking teilnehmen möchten, können Sie dieser Nutzung widersprechen, indem Sie das Cookie des Google Conversion-Trackings über ihren Internet-Browser unter Nutzereinstellungen leicht deaktivieren. Sie werden sodann nicht in die Conversion-Tracking Statistiken aufgenommen. Unter der nachstehenden Internetadresse erhalten Sie weitere Informationen über die Datenschutzbestimmungen von Google: http://www.google.de/policies/privacy

 

6. Verwendung von Facebook-Plugins

Auf unserer Website werden sogenannte Social Plugins („Plugins“) des sozialen Netzwerkes Facebook verwendet, das von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA („Facebook“) betrieben wird. Die Plugins sind mit einem Facebook-Logo oder dem Zusatz „Soziales Plug-in von Facebook“ bzw. „Facebook Social Plugin“ gekennzeichnet. Eine Übersicht über die Facebook Plugins und deren Aussehen finden Sie hier: https://developers.facebook.com/docs/plugins

Wenn Sie eine Seite unseres Webauftritts aufrufen, die ein solches Plugin enthält, stellt Ihr Browser eine direkte Verbindung zu den Servern von Facebook her. Der Inhalt des Plugins wird von Facebook direkt an Ihren Browser übermittelt und in die Seite eingebunden. Durch diese Einbindung erhält Facebook die Information, dass Ihr Browser die entsprechende Seite unseres Webauftritts aufgerufen hat, auch wenn Sie kein Facebook-Profil besitzen oder gerade nicht bei Facebook eingeloggt sind. Diese Information (einschließlich Ihrer IP-Adresse) wird von Ihrem Browser direkt an einen Server von Facebook in die USA übermittelt und dort gespeichert. Sind Sie bei Facebook eingeloggt, kann Facebook den Besuch unserer Website Ihrem Facebook-Profil unmittelbar zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den "Gefällt mir"-Button betätigen oder einen Kommentar abgeben, wird diese Information ebenfalls direkt an einen Server von Facebook übermittelt und dort gespeichert. Die Informationen werden außerdem auf Ihrem Facebook- Profil veröffentlicht und Ihren Facebook-Freunden angezeigt. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Facebook: http://www.facebook.com/policy.php
Wenn Sie nicht möchten, dass Facebook die über unseren Webauftritt gesammelten Daten unmittelbar Ihrem Facebook-Profil zuordnet, müssen Sie sich vor Ihrem Besuch unserer Website bei Facebook ausloggen. Sie können das Laden der Facebook Plugins auch mit Add-Ons für Ihren Browser komplett verhindern, z.B. mit dem „Facebook Blocker“:
https://addons.mozilla.org/de/firefox/addon/facebook_blocker/.

 

7. Verwendung von Twitter-Plugins

Auf unserer Website werden sogenannte Social Plugins („Plugins“) des Mikroblogging-Dienstes Twitter verwendet, der von der Twitter Inc., 1355 Market St, Suite 900, San Francisco, CA 94103, USA („Twitter“) betrieben wird. Die Plugins sind mit einem Twitter-Logo beispielsweise in Form eines blauen „Twitter- Vogels“ gekennzeichnet. Eine Übersicht über die Twitter Plugins und deren Aussehen finden Sie hier: https://twitter.com/about/resources/buttons
Wenn Sie eine Seite unseres Webauftritts aufrufen, die ein solches Plugin enthält, stellt Ihr Browser eine direkte Verbindung zu den Servern von Twitter her. Der Inhalt des Plugins wird von Twitter direkt an Ihren Browser übermittelt und in die Seite eingebunden. Durch die Einbindung erhält Twitter die Information, dass Ihr Browser die entsprechende Seite unseres Webauftritts aufgerufen hat, auch wenn Sie kein Profil bei Twitter besitzen oder gerade nicht bei Twitter eingeloggt sind. Diese Information (einschließlich Ihrer IP-Adresse) wird von Ihrem Browser direkt an einen Server von Twitter in die USA übermittelt und dort gespeichert. Sind Sie bei Twitter eingeloggt, kann Twitter den Besuch unserer Website Ihrem Twitter-Account unmittelbar zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den „Twittern“-Button betätigen, wird die entsprechende Information ebenfalls direkt an einen Server von Twitter übermittelt und dort gespeichert. Die Informationen werden außerdem auf Ihrem Twitter-Account veröffentlicht und dort Ihren Kontakten angezeigt. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Twitter sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Twitter: https://twitter.com/privacy
Wenn Sie nicht möchten, dass Twitter die über unseren Webauftritt gesammelten Daten unmittelbar Ihrem Twitter-Account zuordnet, müssen Sie sich vor Ihrem Besuch unserer Website bei Twitter ausloggen. Sie können das Laden der Twitter Plugins auch mit Add-Ons für Ihren Browser komplett verhindern, z. B. mit dem Skript-Blocker „NoScript“ (http://noscript.net/).

 

8. Verwendung von Instagram-Plugins

Auf unserer Website werden sogenannte Social Plugins („Plugins“) des Online-Dienstes Instagram verwendet, das von der Instagram LLC., 1601 Willow Road, Menlo Park, CA 94025, USA („Instagram“) betrieben wird. Die Plugins sind mit einem Instagram-Logo beispielsweise in Form einer "Instagram-Kamera" gekennzeichnet. Eine Übersicht über die Instagram Plugins und deren Aussehen finden Sie hier: http://blog.instagram.com/post/36222022872/introducing-instagram-badges.

Wenn Sie eine Seite unseres Webauftritts aufrufen, die ein solches Plugin enthält, stellt Ihr Browser eine direkte Verbindung zu den Servern von Instagram her. Der Inhalt des Plugins wird von Instagram direkt an Ihren Browser übermittelt und in die Seite eingebunden. Durch diese Einbindung erhält Instagram die Information, dass Ihr Browser die entsprechende Seite unseres Webauftritts aufgerufen hat, auch wenn Sie kein Instagram-Profil besitzen oder gerade nicht bei Instagram eingeloggt sind. Diese Information (einschließlich Ihrer IP-Adresse) wird von Ihrem Browser direkt an einen Server von Instagram in die USA übermittelt und dort gespeichert.Sind Sie bei Instagram eingeloggt, kann Instagram den Besuch unserer Website Ihrem Instagram-Account unmittelbar zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den „Instagram Kamera“-Button betätigen, wird diese Information ebenfalls direkt an einen Server von Instagram übermittelt und dort gespeichert. Die Informationen werden außerdem auf Ihrem Instagram-Account veröffentlicht und dort Ihren Kontakten angezeigt. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Instagram sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Instagram: https://help.instagram.com/155833707900388/.
Wenn Sie nicht möchten, dass Instagram die über unseren Webauftritt gesammelten Daten unmittelbar Ihrem Instagram-Account zuordnet, müssen Sie sich vor Ihrem Besuch unserer Website bei Instagram ausloggen. Sie können das Laden der Instagram Plugins auch mit Add-Ons für Ihren Browser komplett verhindern, z. B. mit dem Skript-Blocker „NoScript“ (http://noscript.net/).

 

9. Verwendung von Pinterest-Plugins

Auf den Seiten des Verkäufers werden sogenannt Social Plugins („Plugins“) des sozialen Netzwerkes Pinterest verwendet, das von der Pinterest Inc., 635 High Street, Palo Alto, CA, 94301, USA („Pinterest“) betrieben wird. Wenn Sie eine Seite des Verkäufers aufrufen die ein solches Plugin enthält, stellt Ihr Browser eine direkte Verbindung zu den Servern von Pinterest her. Das Plugin übermittelt hierbei sog. Protokolldaten an den Server von Pinterest in die USA. Diese Protokolldaten enthalten möglicherweise die IP-Adresse, die Adresse der besuchten Websites, die über Pinterest-Funktionen verfügen, Art und Einstellungen des Browsers, Datum und Zeitpunkt der Anfrage, Ihre Verwendungsweise von Pinterest sowie Cookies. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Pinterest sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von Pinterest: https://about.pinterest.com/de/privacy-policy

 

10. Verwendung von Retargeting-Technologie der Facebook Inc. („Facebook-Pixel“)

Wenn Sie uns Ihre ausdrückliche Einwilligung erteilt haben, indem Sie Sie einen entsprechend hierfür vorgesehenen Button geklickt haben, setzen wir innerhalb unseres Internetauftritts den „Facebook-Pixel“ der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA („Facebook“) ein. So kann das Verhalten von Nutzern nachverfolgt werden, nachdem diese eine Facebook-Werbeanzeige gesehen oder angeklickt haben. Dieses Verfahren dient dazu, die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke auszuwerten und kann dazu beitragen, zukünftige Werbemaßnahmen zu optimieren.Die erhobenen Daten sind für uns anonym, bieten uns also keine Rückschlüsse auf die Identität der Nutzer. Allerdings werden die Daten von Facebook gespeichert und verarbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und Facebook die Daten für eigene Werbezwecke, entsprechend der Facebook- Datenverwendungsrichtlinie (https://www.facebook.com/about/privacy/) verwenden kann. Sie können Facebook sowie dessen Partnern das Schalten von Werbeanzeigen auf und außerhalb von Facebook ermöglichen. Es kann ferner zu diesen Zwecken ein Cookie auf Ihrem Rechner gespeichert werden.Eine Einwilligung in den Einsatz des Facebook-Pixels darf nur von Nutzern, die älter als 13 Jahre alt sind, erklärt werden. Falls Sie jünger sind, bitten wir Sie, Ihre Erziehungsberechtigten um Erlaubnis zu fragen. Um der Verwendung von Cookies auf Ihrem Computer generell zu widersprechen, können Sie Ihren Internetbrowser so einstellen, dass zukünftig keine Cookies mehr auf Ihrem Computer abgelegt werden können bzw. bereits abgelegte Cookies gelöscht werden. Das Abschalten sämtlicher Cookies kann jedoch dazu führen, dass einige Funktionen auf unseren Internetseiten nicht mehr ausgeführt werden können. Sie können der Verwendung von Cookies durch Drittanbieter wie z.B. Facebook auch auf folgender Webseite der Digital Advertising Alliance deaktivieren: http://www.aboutads.info/choices/

 

11. Vertrag über die Verarbeitung personenbezogener Daten (Art. 28 DSGVO) – Auftragsverarbeitungsvertrag –

im Auftrag der

Name/Firma __________________
Straße, Hausnummer __________________
PLZ, Ort __________________
– Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO –
– nachfolgend „Auftraggeber“ genannt –

durch die

Klar Insights GmbH
Marktstraße 18
80802 München
– Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO –
– nachfolgend „Auftragnehmer“ genannt –
– nachfolgend jeweils auch „Partei“ bzw. gemeinsam „Parteien“ genannt –

§1 Gegenstand und Dauer der Auftragsverarbeitung

1. Details zum Gegenstand und der Dauer der Verarbeitung ergeben sich jeweils aus der zwischen den Parteien geschlossenen, diesem Vertrag zugrunde liegenden Allgemeinen Geschäftsbedingungen (Nutzungsbedingungen) nach der aktuellen auf der Webseite veröffentlichten Fassung (nachfolgend Hauptvertrag genannt). Vorliegender Vertrag ist rechtlich unselbständig und teilt das rechtliche Schicksal des Hauptvertrags; eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen Auftragsverarbeitungsvertrags keine (weitere) Auftragsverarbeitung durchgeführt werden darf.
2. Eine isolierte ordentliche Kündigung dieses Vertrags ist ausgeschlossen.

§2 Konkretisierung des Auftragsinhalts

1. Im Rahmen des Auftrags werden personenbezogene Daten durch den Auftragnehmer im Sinne des Art. 4 Nr. 2 DSGVO verarbeitet. Der Gegenstand des Auftrags ergibt sich aus den Allgemeinen Geschäftsbedingungen (Nutzungsbedingungen) und der Beschreibung in Anlage 1.
2. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Verlagerungen oder Datenverarbeitungen in einem Drittland dürfen nur erfolgen, wenn die besonderen Voraussetzungen des Art. 44 ff. DSGVO erfüllt sind. Das angemessene Schutzniveau ist hierbei festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO) oder durch die Festlegung durch Standardvertragsklauseln (Art. 46 Abs. 2 lit. c und d DSGVO). Für die in Anlage 2 gelisteten Unterauftragsverarbeiter gilt die Zustimmung als erteilt.
3. Die Art der verwendeten personenbezogenen Daten (Datenkategorien) und die Kategorien der betroffenen Personen sind konkret in der Anlage 1 beschrieben.

§3 Qualitätssicherung und sonstige Pflichten des Auftragnehmers gem. Art. 28 Abs. 3 S. 1 DSGVO

1. Soweit gesetzlich verpflichtet, benennt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragte für den Datenschutz, die ihre Tätigkeit gemäß Art. 37 ff. DSGVO ausübt. Die beim BayLDA benannte Datenschutzbeauftragte ist: Maren Wienands mail@maren-wienands.de. Sämtliche Änderungen in der Person des Datenschutzbeauftragten sind dem Auftraggeber unverzüglich anzuzeigen.
2. Der Auftragnehmer gewährleistet gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
3. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung (Art. 29, 32 Abs. 4 DSGVO) des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
4. Der Auftragnehmer gewährleistet die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO [Anlage 4].
5. Der Auftraggeber und der Auftragnehmer (und ggf. deren Vertreter) arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO).
6. Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich über aufsichtsbehördliche Kontrollhandlungen und Maßnahmen zu informieren, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
7. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
8. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
9. Der Auftragnehmer gewährleistet die Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach § 5 dieses Vertrags.

§4 Unterauftragsverhältnisse gem. Art. 28 Abs. 3 S. 2 lit. d DSGVO i.V.m. Art. 28 Abs. 2 und 4 DSGVO

1. Als Unterauftragsverhältnisse sind Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
2. Der Auftragnehmer nimmt die in Anlage 2 genannten Unterauftragnehmer zur Ausführung einzelner Verarbeitungstätigkeiten in Anspruch. Der Wechsel von bestehenden Unterauftragnehmern oder die Hinzuziehung neuer Unterauftragnehmer ist zulässig, wenn der Auftragnehmer eine solche Änderung dem Auftraggeber eine angemessene Zeit, mindestens 14 Tage, vorab mitteilt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Veränderung erhebt. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 10 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann der Auftragnehmer diesen Vertrag wie auch gegebenenfalls den Hauptvertrag zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen. Im Falle von technischen Problemen oder Datenschutzvorfällen beim Unterauftragnehmer ist der Auftragnehmer berechtigt, unverzüglich und ohne Einhaltung einer vorgegebenen Frist den Unterauftragnehmer zu wechseln, um die fortlaufende Sicherstellung des angebotenen Dienstes zu gewährleisten. Eine vertragliche Vereinbarung gem. Art. 28 Abs. 2–4 DSGVO ist obligatorisch.
3. Zur Sicherstellung eines geeigneten Schutzniveaus bei Unterauftragnehmern und sonstigen Lieferanten des Auftragnehmers wird bei jedem Lieferanten und Geschäftspartner eine Lieferantenprüfung in Anlehnung an Best Practices der ISO/IEC 27001:2022 durchgeführt, um nicht akzeptable Risiken der Integrität, Vertraulichkeit und Verfügbarkeit auszuschließen.

§5 Kontrollrechte des Auftraggebers gem. Art. 28 Abs. 3 S. 2 lit. h DSGVO

1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer, die nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen dürfen, durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, welche mindestens 14 Tage vorab anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
3. Der Nachweis solcher Maßnahmen kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO oder aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudits.
4. Wird bei einem Audit festgestellt, dass der Auftragnehmer die Bestimmungen dieses Abkommens nicht einhält, so ergreift er alle erforderlichen Maßnahmen, um die Einhaltung der Bestimmungen wieder zu gewährleisten.

§6 Mitteilungspflichten des Auftragnehmers gem. Art. 28 Abs. 3 S. 2 lit. e und f DSGVO

1. Der Auftragnehmer unterstützt den Auftraggeber angemessen und nach Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten gem. Kapitel 3 der DSGVO. Macht ein Betroffener Rechte hinsichtlich seiner Daten unmittelbar gegenüber dem Auftragnehmer geltend, so verweist dieser den Betroffenen unverzüglich an den Auftraggeber.
2. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen. Hierzu gehören die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen.
3. Der Auftragnehmer hat die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden. Ebenso hat der Auftragnehmer den Auftraggeber im Rahmen seiner Informationspflichten gegenüber der betroffenen Person zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen. Der Auftragnehmer und der Auftraggeber arbeiten auf Anfragen der zuständigen Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben zusammen.
4. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten und nicht auf ein Fehlverhalten des Auftragnehmers oder eines Unterauftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung i. H. v. 120 €/Std beanspruchen.

§7 Weisungsbefugnis des Auftraggebers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderweitigen Verarbeitung verpflichtet ist (Art. 28 Abs. 3 S. 3 lit. a, Art. 29 DSGVO). Im Falle einer solchen Verpflichtung teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2. Der Auftragnehmer gewährleistet, dass die Auftragsverarbeitung im Einklang mit den Weisungen des Auftraggebers erfolgt. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren; nach einer entsprechenden Mitteilung an den Auftraggeber ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen. Die Parteien stimmen darin überein, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung beim Auftraggeber liegt.
3. Die Weisungen des Auftraggebers erfolgen grundsätzlich in Schrift- oder Textform. Bei Bedarf kann der Auftraggeber Weisungen auch (fern-)mündlich erteilen. (Fern-)Mündlich erteilte Weisungen bestätigt der Auftraggeber unverzüglich in Schrift- oder Textform.

§8 Löschung und Rückgabe von personenbezogenen Daten

1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Davon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
2. Nach Beendigung der Leistungsvereinbarung wird der Auftragnehmer sämtliche Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber aushändigen oder nach vorheriger Zustimmung datenschutzgerecht vernichten.
3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§9 Technische und organisatorische Maßnahmen

1. Der Auftragnehmer hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Verfügung zu stellen.
2. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, 2 DSGVO, herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme und Dienste. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1].
3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§10 Pflichten des Auftraggebers

1. Der Auftraggeber ist verpflichtet, in seine Datenschutzerklärung einen Hinweis auf die Nutzung der Dienste der Klar Insights GmbH aufzunehmen. Ein beispielhafter Hinweis ist in Anlage 3 dieses Vertrags aufgeführt. Der Auftraggeber stellt sicher, dass der in seiner Datenschutzerklärung verwendete Hinweis aktuell und korrekt ist und den jeweils geltenden datenschutzrechtlichen Bestimmungen entspricht. Die aktuellen Vorlagen finden sich stets in den Datenquellen-Einstellungen auf der Klar! Plattform.

§11 Sonstige Bestimmungen

1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
3. Für Nebenabreden ist die Schriftform erforderlich. Dies gilt in gleicher Weise für den Verzicht auf dieses Formerfordernis.
4. Die Einrede des Zurückbehaltungsrechts, gleich aus welchem Rechtsgrund, wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
5. Sollten sich einzelne Bestimmungen des Vertrags ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen der Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, so bleiben die übrigen Vertragsbestimmungen und die Wirksamkeit des Vertrags im Ganzen hiervon unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt. Sollte sich der Vertrag als lückenhaft erweisen, so gelten die Bestimmungen als vereinbart, die dem Sinn und Zweck des Vertrags entsprechen und im Falle des Bedachtwerdens vereinbart worden wären.
6. Der Vertrag unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss seiner internationalen Verweisungsnormen.

Anlage 1 – Konkretisierung des Auftragsinhalts (inkl. Kategorien pb Daten, Kategorien betroffener Personen)
Anlage 2 – Liste der genehmigten Unterauftragsverarbeiter
Anlage 3 – Vorlagen für Datenschutzhinweise des Auftraggebers (Beispielhaft)
Anlage 4 – TOM

Anlage 1 – Konkretisierung des Auftragsinhalts

Art und Zweck der Verarbeitung personenbezogener Daten:

Die Verarbeitung der u. a. personenbezogenen Daten erfolgt zum Zwecke der Systematisierung, tabellarischer und/oder grafischer Auswertung der Daten zur Erstellung von Prognosen und Reichweitenmessungen zu Marketingzwecken sowie Anonymisierung der Daten auf Anforderung des Auftraggeber bzw. Unkenntlichmachung zur statistischen Auswertung, Wartung und Hosting der dem Service zugrundeliegenden IT-Systeme, Software und Datenbanken sowie der Umgang mit Backups.

Im Einzelnen sind insbesondere die folgenden Tätigkeiten Bestandteil der Datenverarbeitung:

• Verarbeitung der vom Auftraggeber über technische Schnittstellen (APIs) bereitgestellten personenbezogenen Daten, die aus den angebundenen Datenquellen (Werbeplattformen, sozialen Netzwerken oder Shopsystemen) stammen.
• Verarbeitung der durch das eingebundene „Klar Pixel“ (Klar Attribution) generierten personenbezogenen Daten und das damit zusammenhängende Tracking-Skript. Erhebung und Übermittlung von personenbezogenen Daten über aktuelle Web-Sitzungen zum Zwecke der Effizienzmessung.
• Verarbeitung der IP-Adressen der Kunden des Verantwortlichen zum Zwecke der Analyse und Zuordnung von Marketingmaßnahmen sowie zur Optimierung dieser Maßnahmen.
• Anonymisierung der IP-Adressen nach Ablauf der Speicherfrist von 90 Tagen zur weiteren statistische Auswertungen und langfristige Erfolgskontrollen der Marketingstrategien ohne Personenbezug.

Kategorien personenbezogener Daten:

• Klar Core: Kundennummer, Bestellnummer und Bestell-ID (nach Systematik des Verantwortlichen)
• Klar API: E-Mail-Adresse (optional), Bestellnummer und Bestell-ID (nach Systematik des Verantwortlichen)
• Klar Attribution / Klar Pixel: Benutzer- und Sitzungs-IDs, E-Mail-Adresse, IP-Adresse, Online-Identifikatoren (Cookie-ID, Geräte-ID)
• Amazon Selling Partner-API: Benutzer-ID

Kategorien betroffener Personen:

• Mitarbeiter
• Kunden
• Lieferanten
• Geschäftspartner

Anlage 2 – Liste der genehmigten Unterauftragsverarbeiter

Unterauftragnehmer	Anschrift/ Land	Leistung
Hetzner Online GmbH	Industriestr. 25 91710 Gunzenhausen Deutschland	Rechenzentrum, Hosting
Google LLC	Gordon House Barrow Street Dublin 4 Irland	Authentifizierung
OpenBridge Inc.	119 Braintree St Ste 413 Boston MA, 02134-1697 USA	Datensynchronisation Amazon Seller
Cloudflare Germany GmbH	Rosental 7 80331 München	Verwaltung von Domains, DNS- Service, ZeroTrust, Cloudspeicher, CDN
Microsoft GmbH	Walter-Gropius-Str. 5 80807 München Deutschland	Authentifizierung, Microsoft Clarity
Shopify International Ltd.	Intertrust Ireland 2nd Floor 1-2 Victoria Buildings Haddington Road Dublin 4 Irland	Authentifizierung
Intercom R&D Unlimited Company	124 St Stephen's Green Dublin 2 Ireland	Support-Chat, Knowledge Base
Twilio	Twilio Ireland Limited 70 Sir John Rogerson's Quay Dublin 2 Ireland	Transaktionsmail
Amazon Web Services, Inc.	410 Terry Avenue North Seattle WA 98109 USA	Datensspeicherung Amazon Seller

Anlage 3 – Vorlagen für Datenschutzhinweise des Auftraggebers (Beispielhaft)

Die nachfolgenden Textbausteine dienen lediglich als beispielhafte Vorlagen. Es ist zwingend erforderlich, dass diese Beispiele entsprechend der konkret genutzten Funktionen angepasst und insbesondere die URLs für den Cookie-Widerspruch mit der eigenen Domain ergänzt werden, damit diese korrekt funktionieren.

Für den Einsatz von Klar! Insights – Core

Einsatz von Klar! Insights – Core
Wir nutzen die Dienste der Klar Insights GmbH, Marktstr. 18, 80802 München, Deutschland, einem SaaS-Anbieter für Business-Intelligence-Lösungen für eCommerce Firmen, zur Unterstützung unserer Geschäftsbuchhaltung sowie zur Analyse der Rentabilität unserer Marketingmaßnahmen.

In diesem Zusammenhang und auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO übermitteln wir folgende personenbezogene Daten, gemäß unserer internen Struktur, an die Klar Insights GmbH:

• Kundennummer
• Bestellnummer, Bestell-ID

Die Verarbeitung dieser Daten ermöglicht es uns, die Wirksamkeit unserer Marketingaktivitäten auszuwerten und unsere Geschäftsprozesse entsprechend zu optimieren. Die Daten werden ausschließlich zu internen Analysezwecken verwendet und weder für Werbezwecke genutzt noch unbefugt an Dritte weitergegeben.

Informationen zum Datenschutz und zur Datennutzung durch Klar können Sie der nachfolgenden Webseite entnehmen: https://app.getklar.com/legal/data-protection

Sie haben das Recht, dieser Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen. Weitere Informationen zu Ihren Rechten als betroffene Person finden Sie in dieser Datenschutzerklärung.

Für den Einsatz von Klar! Insights – Attribution

Einsatz von Klar! Insights – Attribution
Wir nutzen die Dienste der Klar Insights GmbH, Marktstr. 18, 80802 München, Deutschland, einem SaaS-Anbieter für Business-Intelligence-Lösungen für eCommerce Firmen. Klar Insights GmbH erhebt, verarbeitet und speichert auf dieser Webseite und deren Unterseiten Daten (Benutzer- und Sitzungs-IDs, E-Mail Adresse, IP-Adresse, Online-Identifikatoren (Cookie-ID, Geräte-ID)) zur Reichweitenmessung und statistischen Analyse in unserem Auftrag. Dazu haben wir einen Auftragsverarbeitungsvertrag mit der Klar Insights GmbH abgeschlossen.

Die Erhebung der personenbezogenen Daten erfolgt auf der Rechtsgrundlage der Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO.

Wird die Einwilligung durch den Nutzer erteilt, werden die zu verarbeitenden Daten unter Berücksichtigung von § 25 Abs. 1 Satz 1 TDDDG, nutzerbezogen erhoben.

Für die vorgenannten unterschiedlichen Erfassungsarten werden folgende Cookies eingesetzt, um die jeweilige Erfassungsart zu gewährleisten.

• september_id
• september_has_consent
• september_do_not_track (bei Widerspruch)

Cookie - Widerspruch
Um der Verwendung von Klar! Insights grundsätzlich zu widersprechen, verwenden Sie bitte diesen Link. Dadurch wird ein Cookie mit dem Namen „september_do_not_track“ von der Domain „Ihre-Domain.de“ (ersetzen durch eigene Domain) gesetzt. Bitte löschen Sie dieses nicht, da sonst nicht gewährleistet werden kann, dass Sie nicht durch Klar getrackt werden.

Informationen zum Datenschutz und zur Datennutzung durch Klar können Sie der nachfolgenden Webseite entnehmen: https://app.getklar.com/legal/data-protection

Anlage 4 – Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Einführung

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die von der Klar Insights GmbH zum Schutz von Informationen, insbesondere personenbezogenen Daten, unter Berücksichtigung von Art. 32 DSGVO festgelegt und implementiert wurden. Alle getroffenen Maßnahmen berücksichtigen das mit der jeweiligen Datenverarbeitung verbundene Risiko.

Standort des Rechenzentrums: Deutschland

1. Vertraulichkeit

Zutritts-, Zugangs-, und Zugriffskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren; Maßnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen; Maßnahmen zur Sicherstellung, dass Berechtigte ausschließlich auf die ihrer Zugriffsberechtigungen unterliegenden Daten zugreifen können.

Technische Maßnahmen	Organisatorische Maßnahmen
Büroräume nur für Mitarbeiter zugänglich	Schlüsselausgabe erfolgt in protokollierter Form
Räumlichkeiten durch Schließanlage gesichert	Kein unbeaufsichtigter Besucher in Büroräumen
Login mit Benutzername + Passwort (mind. 10 Zeichen, Groß-/Kleinschreibung, Zahl, Sonderzeichen)	Netzwerkequipment im abgeschlossenen Netzwerkschrank
Verwendung von Passwort-Safe (z. Zt. 1Password-Cloud)	Pflicht zur Änderung von Initialpasswörtern
Remote-Serverzugang nur via verschlüsselter SSH (Public/Private Key) + VPN	Verwalten von Benutzerberechtigungen
Festplattenverschlüsselung (FileVault)	Erstellen von Benutzerprofilen
Automatische Desktopsperre	Passwortrichtlinie „Sicheres Passwort“ (mind. 12 Zeichen)
ZeroTrust-gesicherter Zugriff	Sperrung Systemzugang nach Fehlanmeldeversuchen
Keine Speicherung von Unternehmensdaten lokal	Anleitung manuelle Desktopsperre (Windows +L)
	Minimale Anzahl Administratoren, Protokollierung von Admintätigkeiten, zentrale Passwortvergabe
	Sichere Aufbewahrung von Datenträgern, zertifizierte Akten-/Datenvernichtung
	Clean-Desk-Policy; definierter Joiner-/Mover-/Leaver-Prozess; Segregation of Duties

Trennungskontrolle

Technische Maßnahmen	Organisatorische Maßnahmen
Trennung von Produktiv- und Testumgebung	Steuerung über Berechtigungskonzept
Logische Mandantentrennung, Mandantenfähigkeit der Anwendungen	Produktionsumgebungen nur durch ausgewählte Mitarbeiter
Verschlüsselung von Datensätzen je Zweck	Zweck-Attribute in Datensätzen; definierte Datenbankrechte
Trennung Zuordnungsdatei bei Pseudonymisierung	Produktionsumgebungen auf getrennten Server-Instanzen

Pseudonymisierung & Verschlüsselung

Technische Maßnahmen	Organisatorische Maßnahmen
Datenmaskierung; Passwörter nie im Klartext	Interne Anweisung zu Anonymisierung/Pseudonymisierung nach Löschfristen/Weitergabe
Kundennummern zur Pseudonymisierung
TLS 1.2 (Data in Transit)

2. Integrität

Eingabekontrolle – Protokollierung auf OS-, Netzwerk-, Firewall-, DB- und Applikationsebene.

Technische Maßnahmen	Organisatorische Maßnahmen
Technische Protokollierung von Eingabe/Änderung/Löschung	Übersichten, welche Programme welche Daten verändern dürfen
Manuelle/automatisierte Log-Kontrollen	Individuelle Benutzernamen; Rechtevergabe per Konzept
	Klare Zuständigkeiten für Löschungen; Aufbewahrung von Eingabeformularen

Weitergabekontrolle

Technische Maßnahmen	Organisatorische Maßnahmen
Verschlüsselung vertraulicher Informationen via OTS	Übersicht regelmäßiger Abruf-/Übermittlungsvorgänge
E-Mail-Verschlüsselung (sofern unterstützt)
Protokollierung der Zugriffe/Abrufe; HTTPS

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle – Sicherstellung, dass Systeme/Daten verfügbar sind; schneller Wiederanlauf.

Technische Maßnahmen	Organisatorische Maßnahmen
Tägliche Datensicherungen	Backup- & Recovery-Konzept
Virenscanner, SPAM-Filter	Patchmanagement
Getrennte Partitionen OS/Daten; Festplattenspiegelung
Verschlüsselungsprogramme
USV, Netzersatzanlage
Dauerhaft aktiver DDoS-Schutz
Softwarefirewall & Portreglementierungen

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung – Datenschutz-Management

Technische Maßnahmen	Organisatorische Maßnahmen
Zentrale Dokumentation aller Verfahren und Regelungen	Mitarbeiter auf Vertraulichkeit/Datengeheimnis verpflichtet
	Regelmäßige Mitarbeitersensibilisierung/Schulungen
	Formalisierter Prozess für Auskunfts-/Betroffenenanfragen
	(Externer) Datenschutzbeauftragter & Informationssicherheitsbeauftragter
	Einhaltung der Informationspflichten gem. Art. 13, 14 DSGVO

Datenschutzfreundliche Voreinstellungen (Privacy by Design/Default)

Technische Maßnahmen	Organisatorische Maßnahmen
Erhebung nur erforderlicher personenbezogener Daten	Zentrale Datenspeicherung für Protokollierung/Löschanforderungen
	Betrieb aller (Cloud-)Services DSGVO-konform

Auftragskontrolle (Outsourcing an Dritte)

Technische Maßnahmen	Organisatorische Maßnahmen
	Vorherige Prüfung der Sicherheitsmaßnahmen, Supplier Policy, Sorgfaltsauswahl
	Abschluss AVV/EU-Standardvertragsklauseln; laufende Überprüfung; Verbot Unterbeauftragung durch Freelancer

Wirksamkeitskontrolle

Technische Maßnahmen	Organisatorische Maßnahmen
	Regelmäßige Prüfung aller Maßnahmen & Zertifikate durch DSB; Stichprobenprüfungen

Entwicklungssicherheit

Technische Maßnahmen	Organisatorische Maßnahmen
Testautomatisierung Front-/Backend; Unit-, statische-, Regressionstests	Secure SDLC; Kapazitätsmonitoring; Code-Review
Dependency- & Vulnerability-Scans	OWASP-Top-10-Abgleiche; keine Produktivdaten in Tests
Nutzung von Standardkonfigurationen

Incident-Response-Management

Technische Maßnahmen	Organisatorische Maßnahmen
Spam-/Virenscanner, regelmäßige Updates	Dokumentierter Prozess zur Erkennung/Meldung/Bearbeitung von Sicherheits- & Datenschutzvorfällen; Einbindung DSB
Intrusion Detection/Prevention Scanner	Formaler Prozess & Verantwortlichkeiten zur Nachbereitung von Vorfällen

HR Security

Technische Maßnahmen	Organisatorische Maßnahmen
	NDA & Verpflichtungserklärungen; regelmäßige Schulungen; strenger Auswahlprozess
	Unterweisung zu Vorfallmeldungen; Ausgabe-/Rückgabeprotokolle für Equipment

12. Weitere Informationen und Kontakte

Sie haben ein Recht auf unentgeltliche Auskunft über Ihre gespeicherten Daten sowie ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Wenn Sie weitere Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten haben, kontaktieren Sie uns bitte. Gleiches gilt für Auskünfte, Sperrung, Löschungs- und Berichtigungswünsche hinsichtlich Ihrer personenbezogenen Daten sowie für Widerrufe erteilter Einwilligungen. Die Kontaktadresse finden Sie in unserem Impressum.