datenschutzerklärung

Datenschutzerklärung:

Stand: Mai 2018

 

fünfgeld möbelbausysteme gmbh
mittlerer kirchweg 12
d-79410 badenweiler

telefon: +49 7631-2707
e-mail : info@fünfgeld.com


Vielen Dank für Ihr Interesse an unserem Onlineauftritt. Der Schutz Ihrer persönlichen Daten liegt uns sehr am Herzen. An dieser Stelle möchten wir Sie daher über den Datenschutz in unserem Unternehmen informieren. Selbstverständlich beachten wir die gesetzlichen Bestimmungen der Datenschutzgesetze DSGVO, BDSG, des Telemediengesetzes (TMG) und anderer datenschutzrechtlicher Bestimmungen.

Bei Ihren persönlichen Daten können Sie uns vertrauen! Sie werden durch digitale Sicherheitssysteme verschlüsselt und an uns übertragen. Unsere Webseiten sind durch technische Maßnahmen gegen Beschädigungen, Zerstörung oder unberechtigten Zugriff geschützt.


Gegenstand des Datenschutzes:

Gegenstand des Datenschutzes sind personenbezogene Daten. Diese sind nach § 3 Abs. 1 BDSG Einzelangaben über persönlich oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hierunter fallen z. B. Angaben wie Name, Post-Adresse, E-Mail-Adresse oder Telefonnummer, ggf. aber auch Nutzungsdaten wie Ihre IP-Adresse.
Umfang der Datenerhebung und -speicherung

Im Allgemeinen ist es für die Nutzung unserer Internetseite nicht erforderlich, dass Sie personenbezogene Daten angeben. Damit wir unsere Dienstleistungen aber tatsächlich erbringen können, benötigen wir ggf. Ihre personenbezogenen Daten. Dies gilt sowohl bei der Zusendung von Informationsmaterial oder bestellter Ware sowie auch für die Beantwortung individueller Anfragen.

Wenn Sie uns mit der Erbringung einer Dienstleistung oder der Zusendung von Ware beauftragen, erheben und speichern wir Ihre persönlichen Daten grundsätzlich nur, soweit es für die Erbringung der Dienstleistung oder die Durchführung des Vertrages notwendig ist. Dazu kann es erforderlich sein, Ihre persönlichen Daten an Unternehmen weiterzugeben, die wir zur Erbringung der Dienstleistung oder zur Vertragsabwicklung einsetzen. Dies sind z. B. Transportunternehmen oder andere Service-Dienste.

Sofern Sie uns personenbezogene Daten per E-Mail, in unserem Online-Shop oder über unsere Internetseite mitteilen, erfolgt dies generell auf freiwilliger Basis. Diese Daten werden zur Abwicklung des Vertragsverhältnisses, zur Bearbeitung Ihrer Anfragen, Ihrer Bestellungen, zur eigenen Markt- oder Meinungsforschung und für eigene Werbung per Post genutzt. Zur eigenen Werbung per E-Mail werden Ihre Daten nur genutzt, wenn Sie uns dazu eine Einwilligung erteilt haben. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO oder Art. 6 Abs. 1 lit. f) DSGVO.


Wenn Sie sich in unserem Online-Shop registrieren und ein Kundenprofil anlegen, werden wir die von Ihnen eingegebenen Kontoinformationen (insbesondere Name, Rechnungs- und Lieferadresse, Telefonnummer, Zahlungsinformationen und E-Mail-Adresse) speichern, so dass Sie Ihre Daten nicht bei jeder Bestellung erneut eingeben müssen. Ihr Profil können Sie jederzeit aktualisieren oder löschen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. b DS-GVO.


Zweckgebundene Datenverwendung

Wir beachten den Grundsatz der zweckgebundenen Daten-Verwendung und erheben, verarbeiten und speichern Ihre personenbezogenen Daten nur für die Zwecke, für die Sie sie uns mitgeteilt haben. Eine Weitergabe Ihrer persönlichen Daten an Dritte erfolgt ohne Ihre ausdrückliche Einwilligung nicht, sofern dies nicht zur Erbringung der Dienstleistung oder zur Vertragsdurchführung notwendig ist. Auch die Übermittlung an auskunftsberechtigte staatliche Institution und Behörden erfolgt nur im Rahmen der gesetzlichen Auskunftspflichten oder wenn wir durch eine gerichtliche Entscheidung zur Auskunft verpflichtet werden.

Auch den unternehmensinternen Datenschutz nehmen wir sehr ernst. Unsere Mitarbeiter und die von uns beauftragten Dienstleistungsunternehmen sind von uns zur Verschwiegenheit und zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet worden.
Auskunft- und Widerrufsrecht

Sie erhalten jederzeit ohne Angabe von Gründen kostenfrei Auskunft über Ihre bei uns gespeicherten Daten. Sie können jederzeit Ihre bei uns erhobenen Daten sperren, berichtigen oder löschen lassen und der anonymisierten oder pseudonymisierten Datenerhebung und -speicherung zu Optimierungszwecken unserer Website widersprechen. Auch können Sie jederzeit die uns erteilte Einwilligung zur Datenerhebung und Verwendung ohne Angaben von Gründen widerrufen. Wenden Sie sich hierzu bitte an die im Impressum angegebene Kontaktadresse. Wir stehen Ihnen jederzeit gern für weitergehende Fragen zu unserem Hinweisen zum Datenschutz und zur Verarbeitung Ihrer persönlichen Daten zur Verfügung.

 

Betroffenenrechte

Sie haben jederzeit das Recht die Verwendung Ihrer personenbezogenen Daten einzuschränken. Um die Umsetzung Ihrer Rechte zu beantragen, bitten wir Sie sich direkt an unseren Datenschutzbeauftragten, dessen Kontaktdaten Sie am Anfang dieses Dokumentes finden, zu wenden. Von folgenden Betroffenenrechten können Sie Gebrauch machen.

Auskunftsrecht

Jede Betroffene Person besitzt das Recht eine Zusammenfassung, der von Ihr verarbeiteten personenbezogenen Daten zu erhalten.

Berichtigungsrecht

Jede Betroffene Person besitzt das Recht eine Berichtigung der von Ihr verarbeiteten personenbezogenen Daten zu veranlassen.

Löschrecht

Jede Betroffene Person besitzt das Recht, die von Ihr verarbeiteten personenbezogenen Daten löschen zu lassen, sofern keine gesetzlichen Verpflichtungen dies verhindert

Einschränkungsrecht

Jede Betroffene Person besitzt das Recht, die von Ihr verarbeiteten personenbezogenen Daten für die weitere Verwendung einschränken zulassen.

Widerspruchsrecht

Jede Betroffene Person besitzt das Recht, die von Ihr verarbeiteten personenbezogenen Daten für die weitere Verwendung zu widersprechen.

Datenübertragungsrecht

Jede Betroffene Person besitzt das Recht, die von Ihr verarbeiteten personenbezogenen Daten für die weitere Verwendung in einem maschinenlesbaren Format an Dritte übertragen zu lassen

Beschwerdestelle

Jeder Betroffene Person besitzt das Recht sich bei der Datenschutzaufsicht bei Nichteinhaltung der zugesagten Datenverarbeitung zu beschweren. Diese Aufsichtsbehörde ist unter https://www.baden-wuerttemberg.datenschutz.de/online-beschwerde/ zu erreichen.

 

Die Speicherung und Bereitstellung Ihrer persönlichen Daten wird durch den
Shop-Dienstleister Lightspeed durchgeführt.
Fester Bestandteil unserer Datenschutzerklärung ist der Datenverarbeitungsvertrag von Lightspeed BV.
Dieser Vertrag ist im folgenden Absatz dokumentiert.
Stand. April 2018.
Es ist jeweils die neueste Fassung gültig.


Lightspeed BV
Kontakt:

Herengracht 54
1015BN Amsterdam
Niederlande

Telefon: +49 699 675 9140
E-mail: info.de@lightspeedhq.com


Geschäftsführer: R.J.A. Stelder
Handelsregister: Amtsgericht Frankfurt am Main, HRB 99352
Umsatzsteuer-Identifikationsnummer: DE296151923

 

DATENVERARBEITUNGSVERTRAG

DIESER DATENVERARBEITUNGSVERTRAG (NACHSTEHEND ALS DER „VERTRAG" BEZEICHNET) IST EIN RECHTSVERBINDLICHER VERTRAG, DER INTEGRALER BESTANDTEIL DES BESTEHENDEN LIGHTSPEED DIENSTLEISTUNGSVERTRAGS (NACHSTEHEND ALS DER „DIENSTLEISTUNGSVERTRAG" BEZEICHNET) IST, DER ZWISCHEN DEM KUNDEN UND LIGHTSPEED (BEIDE WIE IM DIENSTVERTRAG AUSGEWIESEN), IM ZUSAMMENHANG MIT DER ERBRINGUNG VON DIENSTLEISTUNGEN, ABGESCHLOSSEN WIRD, DIE VERSCHIEDENE DATENVERARBEITUNGSDIENSTLEISTUNGEN GEGENÜBER DEM KUNDEN UMFASSEN (NACHSTEHEND ALS „DIENSTLEISTUNGEN" BEZEICHNET) UND ERGÄNZEND DAZU GILT.

LIGHTSPEED KANN JEDERZEIT UND NACH EIGENEM ERMESSEN UNERHEBLICHE ÄNDERUNGEN AN DIESEM VERTRAG VORNEHMEN. LIGHTSPEED WIRD DEN KUNDEN ÜBER DERARTIGE ÄNDERUNGEN INFORMIEREN.
Die in diesem Vertrag verwendeten Begriffe haben die gleiche Bedeutung wie im Dienstleistungsvertrag, sofern nicht ausdrücklich anders angegeben. Wenn es Konflikte oder Diskrepanzen zwischen dem Dienstleistungsvertrag und diesem Vertrag gibt, hat dieser Vertrag Vorrang.
Bei der Ausführung der Dienstleistungen kann Lightspeed Zugang zu Informationen über identifizierte oder identifizierbare Personen bekommen oder diese anderweitig erhalten bzw. damit umgehen, (nachstehend als „personenbezogene Daten" bezeichnet). Die beauftragten Auftragsverarbeiter, Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und Kategorien von Personen, deren Daten verarbeitet werden, sind in Anhang I aufgeführt, der Bestandteil des Vertrags ist.
Lightspeed darf personenbezogene Daten nur im Namen des Kunden und ausschließlich zu den in diesem Vertrag genannten Zwecken verarbeiten.
Lightspeed kann die in Anhang I genannten Auftragsverarbeiter und alle anderen Auftragsverarbeiter beauftragen, personenbezogene Daten im Auftrag des Kunden zu verarbeiten. Lightspeed wird den Kunden über geplante Änderungen hinsichtlich der Ergänzung oder Ersetzung von (Unter-)Verarbeitern, die personenbezogene Daten des Kunden verarbeiten, informieren und ihm die Möglichkeit geben, diesen Änderungen zu widersprechen.
Lightspeed sorgt dafür, dass jede Verarbeitung fair, gesetzeskonform und im Einklang mit den sich für Lightspeed aus diesem Vertrag ergebenden Verpflichtungen und den geltenden Datenschutzgesetzen erfolgt. Lightspeed stellt insbesondere sicher, dass jede Person, welche die Dienstleistungen für Lightspeed erbringt, dies auch tut, indem sie:

personenbezogene Daten nur nach den dokumentierten Anweisungen des Kunden verarbeitet; wenn Lightspeed verpflichtet ist, personenbezogene Daten in Übereinstimmung mit einem Gesetz der Europäischen Union oder eines Mitgliedstaates, dem Lightspeed unterliegt, zu verarbeiten, wird Lightspeed den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dass ein Gesetz der Europäischen Union oder eines Mitgliedstaates, dem Lightspeed unterliegt, dies untersagt;
einen angemessenen Schutz personenbezogener Daten vor versehentlicher oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff, insbesondere wenn die Verarbeitung eine Übertragung personenbezogener Daten über ein Netzwerk beinhaltet, sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung, gewährleistet;
den wie in Anhang 2 ausgeführten Sicherheitsanforderungen entspricht, wobei der Stand der Technik, die Kosten der Durchführung sowie Art, Umfang, Kontext und Zweck der Verarbeitung zu berücksichtigen sind;
den Kunden bei der Sicherstellung der Einhaltung der Verpflichtungen in Bezug auf Sicherheitsmaßnahmen und die Durchführung von Datenschutz-Folgenabschätzung unterstützt, soweit dies gemäß Artikel 32-36 der Allgemeine Datenschutzverordnung, 2016/679, erforderlich ist;
keine personenbezogenen Daten an Dritte oder unbefugte Personen weitergibt, es sei denn, der Kunde hat zuvor seine schriftliche Zustimmung zu einer solchen Weitergabe gegeben. und es gelten die in Abschnitt 6 dieses Vertrags festgelegten Bedingungen;
persönliche Daten streng vertraulich behandelt und verlangt, dass Mitarbeiter und jede andere Person unter ihrer Aufsicht, die Zugang zu persönlichen Daten erhält oder diese anderweitig verarbeiten wird, in Übereinstimmung mit den Anforderungen des Vertrags (auch während der Dauer ihrer Beschäftigung oder ihres Einsatzes und danach) auf dem gleichen Vertraulichkeitsniveau gehalten werden;
en Kunden unverzüglich benachrichtigt, wenn er eine Anfrage von einer Person in Bezug auf personenbezogene Daten erhält, einschließlich Anträgen auf Zugang zu Informationen, Anträge auf Berichtigung von Informationen, Anträge auf Sperrung, Löschung oder Übertragbarkeit personenbezogener Daten - jedoch nicht darauf beschränkt - und auf solche Anträge nicht antwortet, es sei denn, dass der Kunde hat dies ausdrücklich genehmigt hat oder es ist nach einem Gesetz der Europäischen Union oder eines Mitgliedstaates, dem Lightspeed unterliegt, erforderlich; außerdem sorgt Lightspeed dafür, dass das Unternehmen technische und organisatorische Maßnahmen getroffen hat, die den Kunden bei der Erfüllung seiner Verpflichtungen unterstützen, auf jegliche Anträge seitens einer Person im Hinblick auf verarbeitete personenbezogene Daten einzugehen;
den Kunden unverzüglich benachrichtigt, wenn nach Ansicht von Lightspeed eine vom Kunden erteilte Anweisung gegen geltende Gesetze und Vorschriften, einschließlich Datenschutzgesetze, verstößt oder eine Änderung der geltenden Gesetze und Vorschriften wahrscheinlich zu erheblichen negativen Auswirkungen auf seine Fähigkeiten, seinen Verpflichtungen aus diesem Vertrag nachzukommen, führt;
den Kunden unverzüglich (und auf jeden Fall innerhalb von sechsunddreißig (36) Stunden) nach Kenntnisnahme von allen, Lightspeed bekannten Tatsachen bezüglich eines tatsächlichen oder vermuteten zufälligen oder unbefugten Zugriffs, einer Offenlegung oder Verwendung oder eines zufälligen oder unbefugten Verlustes, einer Beschädigung oder Zerstörung von persönlichen Daten durch einen derzeitigen oder ehemaligen Mitarbeiter, Auftragnehmer oder Vertreter von Lightspeed oder durch eine andere Person oder einen Dritten informiert;
mit dem Kunden im Falle eines jeglichen zufälligen oder unbefugten Zugriffs, einer Offenlegung oder Verwendung oder eines zufälligen oder unbefugten Verlustes, einer Beschädigung oder Zerstörung von persönlichen Daten durch einen derzeitigen oder ehemaligen Mitarbeiter, Auftragnehmer oder Vertreter von Lightspeed oder durch eine andere Person oder einen Dritten kooperiert und, auf Wunsch des Kunden, Unterstützung bei der Benachrichtigung der zuständigen Aufsichtsbehörden und der betroffenen Personen leistet;
Anfragen und Anträge seitens des Kunden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags unverzüglich und ordnungsgemäß bearbeitet und sonstige angemessene Unterstützung und Unterstützung gewährt;
dem Kunden im Falle einer Untersuchung durch eine Datenschutzbehörde oder eine ähnliche Behörde behilflich ist und ihn unterstützt, wenn und soweit sich eine solche Untersuchung auf die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags bezieht.

Nach Beendigung oder Ablauf der Dienstleistungen aus welchem Grund auch immer oder auf Anfrage des Kunden wird Lightspeed die Verarbeitung personenbezogener Daten unverzüglich einstellen und dem Kunden alle diese personenbezogenen Daten gemäß den Anweisungen, die der Kunde zu diesem Zeitpunkt erteilt hat, unverzüglich zurückgeben oder löschen, es sei denn, es ist erforderlich, dass die personenbezogenen Daten nach einem Gesetz der Europäischen Union oder eines Mitgliedstaates, dem Lightspeed unterliegt, gespeichert werden oder es ist ausdrücklich etwas anderes mit dem Kunden vereinbart worden. Die in diesem Abschnitt ausgeführten Verpflichtungen bleiben ungeachtet der Kündigung oder des Ablaufs dieses Vertrags in Kraft.
Lightspeed sorgt dafür, dass jeder Mitarbeiter, Agent, unabhängiger Auftragnehmer oder jede andere Person, die an der Erbringung der Dienstleistungen beteiligt ist und Zugang zu personenbezogenen Daten des Kunden hat, alle für Lightspeed geltenden Datenschutzgesetze und -vorschriften (einschließlich aller gesetzlichen und/oder behördlichen Änderungen oder den diesbezüglichen Folgedokumenten) einhält.
Lightspeed darf (einen Teil der) Leistungen nur dann an Dritte (auch an Einrichtungen von Lightspeed außerhalb des EWR) weitervergeben, wenn Lightspeed sicherstellt, dass diese Dritten schriftlich an die gleichen Verpflichtungen gebunden sind und dem Kunden die gleichen, in diesem Vertrag genannten Rechte gegenüber diesen Dritten eingeräumt werden.
Für den Fall, dass (i) Lightspeed nicht in der Lage ist, die in diesem Vertrag genannten wesentlichen Verpflichtungen zu erfüllen, wenn eine gesetzlich vorgeschriebene Verpflichtung (einschließlich, aber nicht beschränkt auf, Artikel 28 der Allgemeine Datenschutzverordnung, Nr. 2016/679) als wesentlich angesehen wird, oder (ii) Lightspeed von einem Umstand oder einer Änderung des anwendbaren Datenschutzrechts Kenntnis erlangt, der die Fähigkeit von Lightspeed, den eigenen, sich aus dem Vertrag ergebenden Verpflichtungen nachzukommen, erheblich beeinträchtigen könnte, wird Lightspeed den Kunden unverzüglich darüber informieren, und der Kunde ist dann nach seiner Wahl berechtigt, (i) alle Übermittlungen personenbezogener Daten auszusetzen, bis die Nichteinhaltung behoben ist, (ii) Lightspeed aufzufordern, die Verarbeitung relevanter personenbezogener Daten einzustellen, bis die Nichteinhaltung behoben ist, und/oder (iii) diesen Vertrag unverzüglich zu kündigen.
Lightspeed wird dem Kunden alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der Verpflichtungen bezüglich der Verarbeitung der Lightspeed als Datenverarbeiter zur Verfügung gestellten personenbezogenen Daten nachzuweisen.
Audit und Compliance

Lightspeed stellt die für die Verarbeitung personenbezogener Daten relevanten Verarbeitungssysteme, Einrichtungen und unterstützenden Unterlagen für ein Audit durch den Kunden oder einen vom Kunden ausgewählten qualifizierten unabhängigen Gutachter zur Verfügung und leistet alle Unterstützung, die der Kunde für das Audit benötigt. Sollte das Audit ergeben, dass Lightspeed gegen eine sich aus dem Vertrag ergebende Verpflichtung verstoßen hat, wird Lightspeed diesen Verstoß unverzüglich beheben;
m Falle von Inspektionen oder Audits seitens einer zuständigen Regierungsbehörde im Zusammenhang mit der Verarbeitung personenbezogener Daten stellt Lightspeed die entsprechenden Verarbeitungssysteme, -einrichtungen und -unterlagen der zuständigen Behörde für eine Inspektion oder ein Audit zur Verfügung, wenn dies zur Einhaltung der geltenden Gesetze erforderlich ist. Im Falle einer Inspektion oder eines Audits leistet jede Vertragspartei der anderen jede angemessene Unterstützung bei der Reaktion auf diese Inspektion oder dieses Audit. Wenn eine zuständige Behörde die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags für rechtswidrig hält, ergreifen die Vertragsparteien unverzüglich Maßnahmen, um die künftige Einhaltung des geltenden Datenschutzrechts zu gewährleisten;
Lightspeed wird den Kunden unverzüglich informieren, wenn: (i) eine Anfrage, eine Vorladung oder ein Antrag auf Einsichtnahme oder Audit von einer zuständigen Behörde im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags eingeht, es sei denn, dass es Lightspeed gesetzlich untersagt ist, eine solche Weitergabe vorzunehmen; oder (ii) Lightspeed beabsichtigt, personenbezogene Daten an eine zuständige Behörde weiterzugeben.

Anhang 1: Beschreibung der Verarbeitungstätigkeiten von Lightspeed

Details zur Verarbeitung

Lightspeed ist ein Anbieter von Software als Dienstleistung für Point of Sale-Lösungen für den Einzelhandel und das Gastgewerbe sowie Anbieter einer Online-Plattform, die zu eCommerce-Zwecken genutzt werden kann. Lightspeed wird personenbezogene Daten im Namen des Kunden verarbeiten, um dem Kunden diese Dienstleistungen, dem Dienstleistungsvertrag und aller weiteren Zwecke gemäß, die der Kunde bei der Nutzung der Dienstleistung angibt, zur Verfügung zu stellen.
Arten personenbezogener Daten

In Abhängigkeit dessen, wie der Kunde die Dienstleistungen nutzen möchte, kann Lightspeed die folgenden Arten personenbezogener Daten verarbeiten:

Vorname, Zuname
Kontaktinformationen (E-Mail-Adresse, Hausanschrift, Telefonnummer)
Sprache
Geschlecht
Geburtsdatum
IP-Adresse
Geografische Daten
Sozialversicherungsnummer
Angaben zu Bankkonten

Dauer (Aufbewahrungskonditionen)

Alle Arten personenbezogener Daten werden bei Erhalt einer diesbezüglichen Anweisung seitens des Kunden gelöscht.
Kategorien von Personen, deren Daten verarbeitet werden

Personen, welche die Kundendienstleistungen in Anspruch nehmen.
Mitarbeiter und andere, vom Kunden autorisierte Personen, die Zugang zu den Dienstleistungen haben und diese nutzen.

(Sekundäre) Verarbeiter

Hiermit erteilt der Kunde Lightspeed de Genehmigung, die nachstehend genannten (sekundären) Verarbeiter im Namen von Lightspeed zu engagieren:

Dienstleistungsarbeiten

Name des (sekundären) Verarbeiters

Beschreibung der Verarbeitung

Niederlassungsland

Alle Dienstleistungen

Zendesk, Inc.

Speicherung der vom Kunden erhaltenen personenbezogenen Daten zur Durchführung der Kundenbetreuung

Vereinigte Staaten

Alle Dienstleistungen

Snowflake Computing, Inc.

Analyse nicht-personenbezogener Daten zu statistischen Zwecken.

Vereinigte Staaten

Alle Dienstleistungen

Elasticsearch B.V.

Speichern von Protokollen und Ausführen von Suchanfragen in der Produktdatenbank.

Niederlande

Hospitality
Retail

Amazon Web Services, Inc.

Speicherung von persönlichen Daten auf Cloud-Servern

Vereinigte Staaten

eCommerce

KPN Internedservices B.V.

Speicherung personenbezogener Daten im Daten-Center

Niederlande

eCommerce

Hotjar Limited

Durchführung von Verhaltensanalysen unseres Kunden bei der Nutzung unserer Dienstleistungen.

Malta

eCommerce
Hospitality

Mixpanel, Inc.

Durchführung von Verhaltensanalysen unseres Kunden bei der Nutzung unserer Dienstleistungen.

Vereinigte Staaten

Anhang 2: Beschreibung der Sicherheitsmaßnahmen von Lightspeed

Lightspeed hat angemessene und ausreichende technische und organisatorische Sicherheitsmaßnahmen ergriffen, um alle personenbezogenen Daten gegen zufällige oder unrechtmäßige Bearbeitung oder versehentlichen Verlust, unbeabsichtigte Veränderung, unbefugte Weitergabe oder unbefugten Zugriff zu schützen, insbesondere wenn die Verarbeitung personenbezogener Daten über ein Netzwerk oder andere ungesetzliche Formen der Verarbeitung erfolgt.

Die folgende Beschreibung gibt einen Überblick über die implementierten technischen und organisatorischen Sicherheitsmaßnahmen. Zu diesen Maßnahmen gehören unter anderem:

Datenschutz

Lightspeed verarbeitet personenbezogene Daten nur zu dem Zweck, um die Dienstleistungen auszuführen, welche in Übereinstimmung mit dokumentierten Anweisungen des Kunden (vorausgesetzt, dass diese Anweisungen den Funktionalitäten der Dienste entsprechen) und wie mit Ihnen, vereinbart wurden.

Lightspeed implementiert und behält geeignete technische und organisatorische Maßnahmen bei, um personenbezogene Daten vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung zu schützen.

Lightspeed stellt sicher, dass Mitarbeiter, die auf personenbezogene Daten zugreifen, Vertraulichkeitsverpflichtungen unterliegen, die ihre Fähigkeit zur Offenlegung personenbezogener Daten limitieren.

In-Transit: Lightspeed stellt die HTTPS-Verschlüsselungen auf jeder Login-Schnittstellen und auf jeder Kundenseite bereit, die auf den Lightspeed-Lösungen gehostet werden. Die HTTPS-Implementierung von Lightspeed verwendet Algorithmen und Zertifikate nach Industriestandard.

At-Rest: Aus Sicherheitsgründen speichert Lightspeed Benutzerpasswörter gemäß Industriestandard.

Zugangskontrolle

1. Verhindern des Zugriffs auf nicht autorisierte Produkte

Ausgelagerte Verarbeitung: Lightspeed hostet seine Dienste auf Hosting-Infrastrukturen von Drittanbietern in Form von Rechenzentren und Infrastructure-as-a-Service (IaaS). Darüber hinaus unterhält Lightspeed vertragliche Beziehungen zu Anbietern, um den Service gemäß unserer Datenverarbeitungsvereinbarung zu erbringen. Lightspeed setzt vertragliche Vereinbarungen, Datenschutzrichtlinien und Hersteller-Compliance-Programme ein, um die von diesen Anbietern verarbeiteten oder gespeicherten Daten zu schützen.

Physische und ökologische Sicherheit: Lightspeed hostet seine Produktinfrastruktur mit mandantenfähigen externen Infrastrukturanbietern. Die physischen und ökologischen Sicherheitskontrollen werden unter anderem für SOC 2 Typ II, ISO 27001 und PCI DSS geprüft.

Authentifizierung: Lightspeed hat eine einheitliche Passwort-Policy für seine Kundenprodukte implementiert. Alle Benutzer, die über eine Schnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht öffentliche Kundendaten zugreifen.

Autorisierung: Kundendaten werden in mandantenfähigen Speichersystemen gelagert, auf die Kunden nur über Anwendungsbenutzerschnittstellen und Anwendungsprogrammierschnittstellen zugreifen können. Kunden haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Das Autorisierungsmodell in jedem Produkt von Lightspeed ist so konzipiert, dass nur die entsprechend zugewiesenen Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Autorisierung für Datensätze erfolgt durch Validierung der Berechtigungen des Benutzers anhand der Attribute, die jedem Datensatz zugeordnet sind.

2. Verhindern des Gebrauchs des nicht autorisierten Produkts

Zugriffskontrollen: Netzwerkzugriffskontrollmechanismen sollen verhindern, dass Netzwerkverkehr mit nicht autorisierten Protokollen die Produktinfrastruktur erreichen kann. Die implementierten technischen Maßnahmen unterscheiden sich zwischen Infrastrukturanbietern und umfassen Virtual Private Cloud (VPC) -Implementierungen, Sicherheitsgruppenzuweisungen und herkömmliche Firewall-Regeln.

Intrusion Detection und Prevention: Lightspeed hat eine Web Application Firewall (WAF) –Lösung implementiert, um gehostete Kundenwebsites und andere internetfähige Anwendungen zu schützen. Die WAF soll Angriffe auf öffentlich verfügbare Dienste erkennen und verhindern.

Schwachstellen-Scanning: Lightspeed scannt seine Infrastruktur- und Web-Services regelmäßig nach bekannten Sicherheitslücken und korrigiert diese zeitnah.

3. Einschränkungen der Berechtigungen und Autorisierungsanforderungen

Produktzugriff: Ein Teil der Lightspeed-Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Die Bereitstellung von Zugriff für eine Teilgruppe von Mitarbeitern soll effektive Unterstützung bieten, potenzielle Probleme beheben, Sicherheitsvorfälle erkennen und darauf reagieren sowie Datensicherheit implementieren. Mitarbeiter erhalten Zugriff nach ihrer Rolle im Unternehmen. Anmeldungen an Datenspeicher- oder Verarbeitungssysteme werden protokolliert.

Datenbankzugriff: Kundendaten sind nur von autorisierten Mitarbeitern zugänglich und verwaltbar. Der Zugriff auf direkte Datenbankabfragen ist eingeschränkt, und die Zugriffsrechte für Anwendungen sind eingerichtet und erzwungen.

Kontrolle des Vorfallmanagements

Erkennung: Lightspeed hat seine Infrastruktur so konzipiert, dass umfangreiche Informationen zum Systemverhalten, zum empfangenen Datenverkehr, zur Systemauthentifizierung und zu anderen Anwendungsanforderungen protokolliert werden. Interne Systeme aggregieren Protokolldaten und warnen befugte Mitarbeiter vor böswilligen, unbeabsichtigten oder anomalen Aktivitäten. Lightspeed-Mitarbeiter, einschließlich Sicherheits-, Betriebs- und Supportpersonal, reagieren auf bekannte Vorfälle.

Reaktion und Nachverfolgung: Lightspeed führt Protokoll über bekannte Sicherheitsvorfälle, die Beschreibungen, Daten und Zeiten relevanter Aktivitäten sowie Vorfallsbehebung enthalten. Mutmaßliche und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Supportmitarbeitern untersucht, und geeignete Lösungsschritte werden identifiziert und dokumentiert. Für alle bestätigten Vorfälle unternimmt Lightspeed angemessene Schritte, um den Schaden an Produkten und Kunden oder die unbefugte Offenlegung zu minimieren.

Kommunikation: Wenn Lightspeed von einem rechtswidrigen Zugriff auf Kundendaten erfährt, die in seinen Produkten gespeichert sind, wird Lightspeed: die betroffenen Kunden über den Vorfall informieren; eine Beschreibung der nötigen Schritte angeben, die Lightspeed zur Behebung des Vorfalls unternimmt. Statusaktualisierungen werden bereitgestellt, wenn dies erforderlich oder gesetzlich erforderlich ist. Eventuelle Benachrichtigungen werden an einen oder mehrere Kontakte des Kunden in einem Formular gesendet, welches Lightspeed auswählt. Dies kann per E-Mail oder Telefon erfolgen.
Für nähere Informationen zu den neuesten Stand der Technik kontaktieren Sie uns bitte direkt.

 

Google-Re/Marketing-Services

Wir nutzen auf Grundlage unserer berechtigten Interessen (d.h. Interesse an der Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes im Sinne des Art. 6 Abs. 1 lit. f. DSGVO) die Marketing- und Remarketing-Dienste (kurz „Google-Marketing-Services") der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, („Google").

Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten ( https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active ).

Die Google-Marketing-Services erlauben uns Werbeanzeigen für und auf unserer Website gezielter anzuzeigen, um Nutzern nur Anzeigen zu präsentieren, die potentiell deren Interessen entsprechen. Falls einem Nutzer z.B. Anzeigen für Produkte angezeigt werden, für die er sich auf anderen Webseiten interessiert hat, spricht man hierbei vom „Remarketing". Zu diesen Zwecken wird bei Aufruf unserer und anderer Webseiten, auf denen Google-Marketing-Services aktiv sind, unmittelbar durch Google ein Code von Google ausgeführt und es werden sog. (Re)marketing-Tags (unsichtbare Grafiken oder Code, auch als „Pixel" bezeichnet) in die Webseite eingebunden. Mit deren Hilfe wird auf dem Gerät der Nutzer ein individuelles Cookie, d.h. eine kleine Datei abgespeichert (statt Cookies können auch vergleichbare Technologien verwendet werden). Die Cookies können von verschiedenen Domains gesetzt werden, unter anderem von google.com, doubleclick.net, invitemedia.com, admeld.com, googlesyndication.com oder googleadservices.com. In dieser Datei wird vermerkt, welche Webseiten der Nutzer aufgesucht, für welche Inhalte er sich interessiert und welche Angebote er geklickt hat, ferner technische Informationen zum Browser und Betriebssystem, verweisende Webseiten, Besuchszeit sowie weitere Angaben zur Nutzung des Onlineangebotes. Es wird ebenfalls die IP-Adresse der Nutzer erfasst, wobei wir im Rahmen von Google-Analytics mitteilen, dass die IP-Adresse innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt und nur in Ausnahmefällen ganz an einen Server von Google in den USA übertragen und dort gekürzt wird. Die IP-Adresse wird nicht mit Daten des Nutzers innerhalb von anderen Angeboten von Google zusammengeführt. Die vorstehend genannten Informationen können seitens Google auch mit solchen Informationen aus anderen Quellen verbunden werden. Wenn der Nutzer anschließend andere Webseiten besucht, können ihm entsprechend seiner Interessen die auf ihn abgestimmten Anzeigen angezeigt werden.

Die Daten der Nutzer werden im Rahmen der Google-Marketing-Services pseudonym verarbeitet. D.h. Google speichert und verarbeitet z.B. nicht den Namen oder E-Mailadresse der Nutzer, sondern verarbeitet die relevanten Daten Cookie-bezogen innerhalb pseudonymer Nutzer-Profile. D.h. aus der Sicht von Google werden die Anzeigen nicht für eine konkret identifizierte Person verwaltet und angezeigt, sondern für den Cookie-Inhaber, unabhängig davon wer dieser Cookie-Inhaber ist. Dies gilt nicht, wenn ein Nutzer Google ausdrücklich erlaubt hat, die Daten ohne diese Pseudonymisierung zu verarbeiten. Die von Google-Marketing-Services über die Nutzer gesammelten Informationen werden an Google übermittelt und auf Googles Servern in den USA gespeichert.

Zu den von uns eingesetzten Google-Marketing-Services gehört u.a. das Online-Werbeprogramm „Google AdWords". Im Fall von Google AdWords, erhält jeder AdWords-Kunde ein anderes „Conversion-Cookie". Cookies können somit nicht über die Websites von AdWords-Kunden nachverfolgt werden. Die mit Hilfe des Cookies eingeholten Informationen dienen dazu, Conversion-Statistiken für AdWords-Kunden zu erstellen, die sich für Conversion-Tracking entschieden haben. Die AdWords-Kunden erfahren die Gesamtanzahl der Nutzer, die auf ihre Anzeige geklickt haben und zu einer mit einem Conversion-Tracking-Tag versehenen Seite weitergeleitet wurden. Sie erhalten jedoch keine Informationen, mit denen sich Nutzer persönlich identifizieren lassen.

Ferner setzen wir den „Google Tag Manager" ein, um die Google Analyse- und Marketing-Dienste in unsere Website einzubinden und zu verwalten.

Weitere Informationen zur Datennutzung zu Marketingzwecken durch Google, erfahren Sie auf der Übersichtsseite: https://www.google.com/policies/technologies/ads , die Datenschutzerklärung von Google ist unter https://www.google.com/policies/privacy abrufbar.

Wenn Sie der interessensbezogenen Werbung durch Google-Marketing-Services widersprechen möchten, können Sie die von Google gestellten Einstellungs- und Opt-Out-Möglichkeiten nutzen: http://www.google.com/ads/preferences .

Zielgruppenbildung mit Google Analytics

Wir setzen Google Analytics ein, um die durch innerhalb von Werbediensten Googles und seiner Partner geschalteten Anzeigen, nur solchen Nutzern anzuzeigen, die auch ein Interesse an unserem Onlineangebot gezeigt haben oder die bestimmte Merkmale (z.B. Interessen an bestimmten Themen oder Produkten, die anhand der besuchten Webseiten bestimmt werden) aufweisen, die wir an Google übermitteln (sog. „Remarketing-", bzw. „Google-Analytics-Audiences"). Mit Hilfe der Remarketing Audiences möchten wir auch sicherstellen, dass unsere Anzeigen dem potentiellen Interesse der Nutzer entsprechen.

Aktualisierung der Datenschutzhinweise

Diese Datenschutzhinweise werden ständig an die aktuellen Funktionen, Technologien und das geltende Recht angepasst. Dies erfolgt in unregelmäßigen Abständen. Es gilt die jeweils auf der Internetseite bereitgestellt Datenschutzerklärung.

Stand: Mai 2018

 

 


wenn sie fragen oder vorschläge zu unserer datenschutzrichtlinie haben, so kontaktieren sie uns unter der folgenden adresse:


fünfgeld möbelbausysteme gmbh
mittlerer kirchweg 12
d-79410 badenweiler

e-mail : info@fünfgeld.com