Datenschutzerklärung

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Farmerino UG (haftungsbeschränkt)
Kollwitzstraße 76, 10435 Berlin, Deutschland
Handelsregister: Amtsgericht Berlin-Charlottenburg, HRB 276698
Geschäftsführer: Michael Schlichting (einzelvertretungsberechtigt)
E-Mail: info@farmerino.de
Telefon: +49 1575 710 1958
Website: https://farmerino.de

Zuständige Datenschutzaufsichtsbehörde:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin
www.datenschutz-berlin.de

Mit dieser Datenschutzerklärung informieren wir Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung unserer Plattform. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Diese Datenschutzerklärung gilt für alle Datenverarbeitungsvorgänge im Rahmen unserer Tätigkeit als Vermittlungsplattform für regionale Direktvermarktung, einschließlich der Nutzung unserer Website unter farmerino.de, der mobilen Webversion (PWA) sowie aller damit verbundenen Dienste.

Grundsätze unserer Datenverarbeitung: Wir verarbeiten personenbezogene Daten nur auf Basis gültiger Rechtsgrundlagen (Rechtmäßigkeit), nur für den angegebenen Zweck (Zweckbindung), beschränkt auf das erforderliche Maß (Datenminimierung) und löschen sie nach Wegfall des Zwecks (Speicherbegrenzung). Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten (Integrität und Vertraulichkeit).

Rechtsgrundlagen der Verarbeitung:

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z. B. Newsletter, Marketing-Cookies)
• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung rechtlicher Verpflichtungen (z. B. steuerliche Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (z. B. Plattformsicherheit, Betrugsprävention)

Als Vermittlungsplattform für regionale Direktvermarktung verarbeiten wir Ihre Daten, um Ihnen unsere Dienste bereitzustellen, Kaufverträge zwischen Verkäufern und Käufern zu vermitteln und die technische Infrastruktur (Bestellprozess, Zahlungsabwicklung, Versandlogistik) zu betreiben.

Kategorien verarbeiteter Daten:

• Bestandsdaten (Name, Vorname, Anschrift)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Vertragsdaten (Bestellungen, Lieferadressen, Vertriebsweg)
• Zahlungsdaten (Zahlungsmethode, Transaktionsreferenzen – keine vollständigen Kartennummern)
• Nutzungsdaten (Zugriffszeiten, besuchte Seiten, PLZ-basierte Suche, Geräteinformationen)
• Standortdaten (PLZ für Umkreissuche und Liefergebietsprüfung – keine GPS-Daten)

Betroffene Personen: Registrierte Käufer und Gastbesteller, Verkäufer (Landwirte, Erzeuger), Interessenten und Website-Besucher, Geschäftspartner.

Verarbeitungszwecke: Abwicklung und Vermittlung von Kaufverträgen, Kommunikation und Kundenbetreuung, Zahlungsabwicklung über Stripe, Lieferorganisation (regional und deutschlandweiter Versand), Bereitstellung und Verbesserung der Plattform, Erfüllung gesetzlicher Verpflichtungen (steuerlich, handelsrechtlich).

Empfänger der Daten: Verkäufer erhalten die für die Vertragserfüllung erforderlichen Käuferdaten (Name, Lieferadresse, Kontaktdaten). Bei Paketversand erhält der Versanddienstleister die Lieferdaten. Der Zahlungsdienstleister Stripe erhält die für die Zahlungsabwicklung erforderlichen Daten. Darüber hinaus erfolgt eine Weitergabe nur, soweit gesetzlich erforderlich.

Nach der Datenschutz-Grundverordnung stehen Ihnen die nachfolgend aufgeführten Rechte zu, die Sie jederzeit gegenüber der in Ziffer 1 genannten verantwortlichen Stelle geltend machen können:

Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, von uns Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten, einschließlich Verarbeitungszweck, Empfänger und Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern nicht gesetzliche Aufbewahrungspflichten oder berechtigte Interessen entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben in bestimmten Fällen das Recht zu verlangen, dass wir Ihre Daten nur noch eingeschränkt verarbeiten.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht zu verlangen, dass wir Ihnen oder einem anderen Verantwortlichen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten, die auf berechtigten Interessen beruht (Art. 6 Abs. 1 lit. f DSGVO), Widerspruch einzulegen. Dies gilt insbesondere für Verarbeitungen zum Zwecke der Direktwerbung. Im Fall des Widerspruchs verarbeiten wir Ihre Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.

Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere die Berliner Beauftragte für Datenschutz und Informationsfreiheit (siehe Ziffer 1).

Ausübung Ihrer Rechte: Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@farmerino.de oder postalisch an Farmerino UG (haftungsbeschränkt), Kollwitzstraße 76, 10435 Berlin. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch binnen eines Monats, beantworten (Art. 12 Abs. 3 DSGVO).

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser beim erneuten Besuch unserer Website an uns übermittelt. Sie dienen dazu, unser Angebot nutzerfreundlich, effektiv und sicher zu gestalten.

Notwendige Cookies sind essentiell für die Funktion der Website und ermöglichen grundlegende Funktionen wie Spracheinstellungen, Sitzungsmanagement und Warenkorbfunktion. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz).

Analytik- und Marketing-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Sie helfen uns, die Nutzung der Website zu analysieren und unsere Angebote zu verbessern.

Cookie-Verwaltung: Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Banner, über das Datenschutz-Center auf der Website oder über die Einstellungen Ihres Browsers anpassen. Bitte beachten Sie, dass bei Deaktivierung bestimmter Cookies die Funktionalität der Website eingeschränkt sein kann.

Unsere Plattform wird auf dedizierten Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) in deutschen Rechenzentren gehostet. Hetzner betreibt ISO 27001 zertifizierte Rechenzentren ausschließlich in Deutschland und Finnland und verarbeitet Daten gemäß unserer Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO).

Content Delivery Network und Web Application Firewall (Cloudflare): Zur Beschleunigung der Seitenauslieferung, zum Schutz vor DDoS-Angriffen und zur Absicherung unserer Webanwendung (WAF) setzen wir Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) ein. Sämtlicher Datenverkehr zu unserer Website wird über das Cloudflare-Netzwerk geleitet. Dabei verarbeitet Cloudflare technisch bedingt Ihre IP-Adresse, HTTP-Header und Verbindungsdaten. Cloudflare setzt unter Umständen eigene Sicherheits-Cookies (z. B. __cf_bm), die technisch notwendig sind und keiner Einwilligung bedürfen (§ 25 Abs. 2 Nr. 2 TDDDG).

Bildspeicherung (Cloudflare): Statische Inhalte wie Produktbilder, Betriebsfotos und sonstige Mediendateien werden über Cloudflare gespeichert und über das weltweite Cloudflare-CDN ausgeliefert (Subdomain: platform-images.farmerino.de). Beim Abruf dieser Inhalte wird Ihre IP-Adresse an Cloudflare übermittelt.

Drittstaatübermittlung (Cloudflare): Cloudflare, Inc. hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Cloudflare ist zertifiziert) sowie ergänzender Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Cloudflare verarbeitet Daten gemäß unserer Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO). Weitere Informationen: Cloudflare Datenschutzerklärung.

Automatisch erhobene Server-Logfiles: Beim Aufruf unserer Website werden automatisch folgende Daten erhoben: IP-Adresse des anfragenden Rechners, Datum und Uhrzeit der Anfrage, angeforderte URL, Zugriffsstatus (HTTP-Statuscode), übertragene Datenmenge, Referrer-URL, Browser-Typ und -Version sowie Betriebssystem.

Zweck: Gewährleistung der Systemsicherheit, technische Optimierung, Erkennung und Abwehr von Angriffen, Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit und Sicherheit der Website).

Speicherdauer: Server-Logfiles werden automatisch nach 7 Tagen gelöscht, sofern keine Sicherheitsvorfälle eine längere Speicherung erfordern.

Wenn Sie uns über unser Kontaktformular, per E-Mail (info@farmerino.de) oder telefonisch kontaktieren, werden die von Ihnen angegebenen Daten zur Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Verarbeitete Daten: Name, E-Mail-Adresse, ggf. Telefonnummer, Betreff und Inhalt Ihrer Nachricht, Zeitpunkt der Anfrage sowie Ihre IP-Adresse (zur Spam-Prävention).

Verarbeitungszwecke: Bearbeitung und Beantwortung Ihrer Anfrage, Kundensupport, Qualitätsverbesserung unseres Service, rechtliche Dokumentation.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), soweit Ihre Anfrage auf den Abschluss eines Vertrags gerichtet ist; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Kundenanfragen) im Übrigen.

Speicherdauer: Kontaktanfragen werden nach Abschluss der Bearbeitung gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten oder eine laufende Vertragsbeziehung eine längere Speicherung erfordern. Sie können jederzeit die Löschung Ihrer Kontaktdaten verlangen.

Für die Nutzung bestimmter Funktionen unserer Plattform ist eine Registrierung erforderlich. Alternativ können Sie als Gast bestellen, ohne ein dauerhaftes Nutzerkonto anzulegen. Dabei erheben wir nur die für den jeweiligen Vorgang erforderlichen Daten.

Registrierungsmöglichkeiten: Die Registrierung kann per E-Mail-Adresse und Passwort oder über Google OAuth (Single Sign-On) erfolgen. Bei der Registrierung über Google erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von Google; wir erhalten kein Google-Passwort. Optional kann eine Zwei-Faktor-Authentifizierung (MFA) aktiviert werden.

Für Käufer (registriert oder Gast): Name, Vorname, E-Mail-Adresse, Lieferadresse, Telefonnummer (optional), PLZ (für Umkreissuche und Liefergebietsprüfung), bei registrierten Nutzern zusätzlich ein verschlüsselt gespeichertes Passwort.

Für Verkäufer (Landwirte, Erzeuger): Zusätzlich zu den Käuferdaten: Betriebsbezeichnung und gewerbliche Anschrift, Steuernummer bzw. USt-IdNr., Bankverbindung (IBAN) für Auszahlungen über Stripe Connect, Identitätsnachweis im Rahmen der gesetzlich vorgeschriebenen KYC-Verifikation (Know Your Customer) durch Stripe, ggf. Betriebsfotos und Beschreibungstexte für das öffentliche Verkäuferprofil.

Gastbestellung: Bei einer Gastbestellung werden Ihre Daten (Name, E-Mail, Lieferadresse) ausschließlich für die Abwicklung der konkreten Bestellung verarbeitet. Es wird kein dauerhaftes Nutzerkonto angelegt. Die Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Registrierung und Plattformnutzung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – KYC-Identitätsprüfung bei Verkäufern nach GwG), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Plattformsicherheit und Betrugsprävention).

Kontolöschung: Sie können Ihr Nutzerkonto jederzeit löschen. Nach der Löschung werden Ihre Daten entfernt, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen (z. B. steuerliche Belege: 10 Jahre, handelsrechtliche Unterlagen: 6 Jahre).

Für die Abwicklung von Bestellungen verarbeiten wir die zur Vertragserfüllung erforderlichen Daten. Der Kaufvertrag kommt zwischen Ihnen (Käufer) und dem jeweiligen Verkäufer zustande; Farmerino vermittelt als Plattformbetreiber.

Erhobene Bestelldaten: Bestell- und Rechnungsanschrift, bestellte Produkte (einschließlich variabler Gewichte und Pfandartikel), Mengen und Preise (ggf. Staffelpreise), gewählte Zahlungsmethode und Transaktionsreferenz, gewählter Vertriebsweg und Lieferadresse, Lieferzeitraum und -präferenzen, Kommunikation mit dem Verkäufer.

Vertriebswege und Datenverarbeitung: Farmerino unterstützt drei Vertriebswege, die jeweils unterschiedliche Datenverarbeitungen erfordern:

• Lieferung (regional): Der Verkäufer liefert selbst. Ihre Lieferadresse wird an den Verkäufer übermittelt.
• Selbstabholung: Sie holen die Ware beim Verkäufer ab. Es wird keine Lieferadresse weitergegeben, lediglich Ihr Name und Kontaktdaten zur Abholkoordination.
• Postversand (deutschlandweit): Der Versand erfolgt über einen Versanddienstleister (siehe Ziffer 11). Ihre Lieferadresse wird an den Versanddienstleister zur Zustellung übermittelt.

Zahlungsfluss (Authorize & Capture): Bei Bestelleingang wird der Zahlungsbetrag zunächst nur autorisiert (reserviert), aber noch nicht belastet. Erst wenn der Verkäufer die Bestellung annimmt, erfolgt die tatsächliche Belastung (Capture). Bei Ablehnung durch den Verkäufer wird die Autorisierung aufgehoben und kein Betrag belastet. Dieses Verfahren schützt Ihre Zahlungsdaten und stellt sicher, dass nur tatsächlich zustande gekommene Verträge abgerechnet werden.

Weitergabe an Verkäufer: Bestelldaten werden an den jeweiligen Verkäufer weitergegeben, soweit dies für die Vertragserfüllung erforderlich ist (Name, Lieferadresse, Kontaktdaten, bestellte Produkte). Verkäufer sind eigenständige datenschutzrechtlich Verantwortliche für die Datenverarbeitung im Rahmen der Vertragserfüllung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).

Aufbewahrungsdauer: Bestelldaten werden für die Dauer der Vertragsbeziehung und darüber hinaus für die gesetzlich vorgeschriebenen Zeiträume aufbewahrt (steuerliche Aufbewahrung: 10 Jahre gemäß § 147 AO, handelsrechtlich: 6 Jahre gemäß § 257 HGB).

Für die sichere Abwicklung von Zahlungen nutzen wir Stripe (Stripe Technology Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) als Zahlungsdienstleister. Stripe ist PCI-DSS Level 1 zertifiziert und erfüllt höchste Sicherheitsstandards. Farmerino nutzt Stripe Connect, um Zahlungen zwischen Käufern und Verkäufern (die jeweils eigene Stripe-Connected-Accounts erhalten) abzuwickeln.

Unterstützte Zahlungsmethoden: Kreditkarte (Visa, Mastercard), SEPA-Lastschrift, PayPal, Sofortüberweisung (Klarna), Apple Pay und Google Pay.

An Stripe übermittelte Daten: Zur Zahlungsabwicklung werden Transaktionsbetrag, Zahlungsmethode, Rechnungs- und ggf. Lieferadresse sowie Ihre E-Mail-Adresse an Stripe übermittelt. Vollständige Kreditkartennummern werden zu keinem Zeitpunkt auf unseren Servern gespeichert – die Eingabe erfolgt direkt in den von Stripe bereitgestellten, PCI-konformen Formularfeldern (Stripe Elements).

Sicherheitsmaßnahmen: Ende-zu-Ende-Verschlüsselung aller Zahlungsdaten, 3D-Secure-Authentifizierung (SCA) gemäß PSD2, Radar Fraud Detection zur Betrugserkennung.

KYC-Verifikation für Verkäufer: Im Rahmen der Stripe-Connect-Onboarding werden Verkäufer einer gesetzlich vorgeschriebenen Identitätsprüfung (Know Your Customer) unterzogen. Stripe verarbeitet dabei Identitätsnachweise, Geschäftsdaten und Bankverbindungen als eigenständiger Verantwortlicher.

Drittstaatübermittlung: Stripe Technology Europe (Irland) ist der primäre Datenverarbeiter im EWR. Soweit Daten an Stripe, Inc. (USA) übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zahlungsabwicklung). Weitere Informationen: Stripe Datenschutzerklärung.

Für den Vertriebsweg "Postversand" (deutschlandweiter Versand) nutzen wir Shippo (Shippo, Inc., 731 Market Street, Suite 200, San Francisco, CA 94103, USA) als Versandmanagement-Plattform. Shippo ermöglicht den Multi-Carrier-Versand über verschiedene Paketdienstleister (z. B. DHL, DPD, GLS, Hermes).

An den Versanddienstleister übermittelte Daten: Name und Anschrift des Empfängers (Lieferadresse), Name und Anschrift des Absenders (Verkäufer), Paketgewicht und -maße, ggf. besondere Versandanforderungen (z. B. Temperaturklasse für kühlpflichtige Lebensmittel), E-Mail-Adresse oder Telefonnummer für die Zustellbenachrichtigung.

Sendungsverfolgung: Sendungen erhalten eine Tracking-Nummer, über die Sie den Zustellstatus verfolgen können. Die Sendungsverfolgungsdaten werden vom jeweiligen Paketdienstleister als eigenständigem Verantwortlichen verarbeitet.

Drittstaatübermittlung: Shippo hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und ergänzenden technisch-organisatorischen Maßnahmen. Soweit der tatsächliche Paketversand durch einen EU-Dienstleister (z. B. DHL) erfolgt, findet die physische Zustellungsverarbeitung ausschließlich im EWR statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zustellung der bestellten Ware).

Marketingaktivitäten und Tracking erfolgen ausschließlich mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt.

Verwendete Dienste (nur nach Einwilligung):

• Google Analytics 4 (Google Ireland Ltd.) – Webanalyse mit IP-Anonymisierung, keine Weitergabe an Google Ads ohne separate Einwilligung
• Google Ads Conversion Tracking – Erfolgsmessung von Werbekampagnen
• Meta Pixel (Meta Platforms Ireland Ltd.) – Cookie-basiertes Conversion-Tracking für Facebook/Instagram-Kampagnen
• Newsletter-Tracking – Öffnungs- und Klickraten zur Optimierung unserer E-Mail-Kommunikation

Zwecke: Verbesserung der Nutzererfahrung, Personalisierung von Inhalten, Erfolgsmessung von Kampagnen, Conversion-Optimierung.

Drittstaatübermittlung: Soweit Daten an Google LLC oder Meta Platforms, Inc. (USA) übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln.

Ihre Wahlmöglichkeiten: Sie können Ihre Einwilligung über unser Cookie-Banner verwalten, Cookies in Ihren Browser-Einstellungen deaktivieren oder sich direkt bei den jeweiligen Anbietern abmelden (Opt-Out). Einen Widerruf können Sie auch per E-Mail an info@farmerino.de erklären.

Wir unterhalten Präsenzen auf verschiedenen Social-Media-Plattformen, um mit unserer Community zu kommunizieren, über regionale Erzeuger und Produkte zu informieren und unseren Kundenservice bereitzustellen.

Unsere Präsenzen: Facebook/Meta, Instagram, LinkedIn, YouTube, WhatsApp Business.

Verarbeitete Daten: Interaktionen (Likes, Kommentare, Shares), Nachrichten und Anfragen, öffentlich zugängliche Profilangaben, aggregierte Statistiken und Insights (Reichweite, demografische Daten der Seitenbesucher).

Gemeinsame Verantwortlichkeit: Für bestimmte Verarbeitungen (insbesondere Seiten-Insights bei Facebook/Instagram) besteht eine gemeinsame Verantwortlichkeit mit dem jeweiligen Plattformbetreiber gemäß Art. 26 DSGVO. Die wesentlichen Inhalte der Vereinbarung sind auf der jeweiligen Plattform einsehbar.

Drittstaatübermittlung: Die Plattformbetreiber haben ihren Sitz teilweise in den USA. Daten können daher außerhalb des EWR verarbeitet werden. Wir nutzen nur Plattformen, die angemessene Schutzmaßnahmen implementiert haben (EU-US Data Privacy Framework, Standardvertragsklauseln).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kundenkommunikation, Community-Building und Marketing). Sie können der Verarbeitung jederzeit widersprechen, indem Sie uns kontaktieren oder sich direkt an den Plattformbetreiber wenden.

Wir haben umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Manipulation zu schützen. Diese Maßnahmen werden regelmäßig überprüft und an aktuelle Bedrohungslagen angepasst.

Technische Maßnahmen: SSL/TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen, starke Passwort-Richtlinien mit optionaler Zwei-Faktor-Authentifizierung (MFA), regelmäßige Sicherheitsupdates und Patch-Management, Firewall und Intrusion Detection, verschlüsselte Datenbankverbindungen, automatisierte und verschlüsselte Backups, Content Security Policy (CSP) mit Nonce-basierter Script-Freigabe.

Organisatorische Maßnahmen: Zugriffsberechtigungskonzept nach dem Prinzip der minimalen Berechtigung, Vertraulichkeitsverpflichtung aller Personen mit Datenzugang, regelmäßige Sicherheitsaudits und Penetrationstests, Incident Response Plan für Datenschutzvorfälle.

Hosting und Infrastruktur: Dedizierte Server in deutschen Rechenzentren (Hetzner Online GmbH), ISO 27001 zertifizierte Rechenzentren mit redundanten Systemen, 24/7 Monitoring und automatisches Alerting, physische Zugangskontrollen und Umgebungsschutz.

Datenschutz-Vorfälle: Sollte es trotz aller Maßnahmen zu einem Datenschutz-Vorfall kommen, werden wir die zuständige Aufsichtsbehörde binnen 72 Stunden benachrichtigen (Art. 33 DSGVO). Betroffene Personen werden unverzüglich informiert, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht (Art. 34 DSGVO).

Wir löschen Ihre personenbezogenen Daten, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die wichtigsten gesetzlichen Aufbewahrungsfristen sind:

• 10 Jahre: Steuerlich relevante Unterlagen (Rechnungen, Buchungsbelege, Zahlungsnachweise) gemäß § 147 Abs. 1 AO, § 14b UStG
• 6 Jahre: Handelsrechtlich relevante Geschäftsunterlagen (Handelsbriefe, Vertragsübersichten) gemäß § 257 HGB
• Vertragsdauer + 3 Jahre: Vertragsbezogene Daten (regelmäßige Verjährungsfrist gemäß §§ 195, 199 BGB)
• Nach Zweckwegfall: Kontaktanfragen, Nutzungsdaten, Analysedaten, Marketing-Daten

Nach Ablauf der Aufbewahrungsfristen werden die Daten routinemäßig gelöscht oder anonymisiert. Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten und deren geplante Speicherdauer verlangen (Art. 15 DSGVO).