Datenschutzerklärung
Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO), ist die Bezahlfabrik GmbH, Ruhrallee 142, 45136 Essen, Deutschland. Sie erreichen uns zu Datenschutzanliegen postalisch unter der vorgenannten Adresse oder per E-Mail (datenschutz@bezahlfabrik.de). Diese Datenschutzerklärung informiert Sie gemäß Art. 13, 14 und 21 DSGVO über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten auf unserer Website sowie im Rahmen unserer Geschäftstätigkeit.
Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften (DSGVO, Bundesdatenschutzgesetz (BDSG), Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) etc.) sowie dieser Datenschutzerklärung. Die von uns verwendeten Begriffe sind rechtlich definiert in Art. 4 DSGVO (etwa „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“ etc.).
Datenschutzbeauftragter
Die Bezahlfabrik GmbH hat keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen für eine Benennung nicht vorliegen. Insbesondere besteht keine Verpflichtung nach Art. 37 Abs. 1 DSGVO i.V.m. § 38 BDSG, da unser Kerngeschäft nicht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder in der umfangreichen Überwachung von Personen besteht und in der Regel weniger als 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an uns als Verantwortlichen.
Bereitstellung der Website und Server-Logfiles (Hosting)
Beim rein informatorischen Besuch unserer Website (also wenn Sie sich nicht registrieren, ein Formular absenden oder anderweitig Informationen übermitteln) erheben wir bzw. unser Hosting-Dienstleister automatisch bestimmte technische Daten. Diese Zugriffsdaten werden in sogenannten Server-Logfiles gespeichert. Zu den protokollierten Daten gehören z. B.:
die aufgerufene Seite bzw. Name der abgerufenen Datei und URL,
Datum und Uhrzeit des Abrufs,
übertragene Datenmenge,
Meldung über erfolgreichen Abruf,
Browsertyp nebst Version,
das Betriebssystem des anfragenden Geräts,
Referrer-URL (die zuvor besuchte Seite) und
die IP-Adresse des anfragenden Rechners (in anonymisierter Form, sofern möglich).
Zweck und berechtigtes Interesse:
Die Verarbeitung dieser Server-Logfile-Daten erfolgt zum Zweck der Bereitstellung der Website, Gewährleistung der technischen Sicherheit und Stabilität der Systeme sowie zur administrativen Optimierung unseres Online-Angebots. Hierin liegt zugleich unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), vgl. Erwägungsgrund 49 DSGVO (Netz- und Informationssicherheit). Eine Zusammenführung dieser protokollierten Daten mit anderen Datenquellen wird nicht vorgenommen; die Logfiles werden lediglich zur Fehleranalyse und aus Sicherheitsgründen (z. B. zur Aufklärung von Angriffsversuchen) kurzfristig ausgewertet.
Rechtsgrundlage:
Die Speicherung der Server-Logdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Wahrung unserer berechtigten Interessen am sicheren Betrieb unserer Website). Soweit hierin die Speicherung von Informationen auf Ihrem Endgerät oder ein Zugriff darauf im Sinne des TTDSG zu sehen ist, stützen wir uns für technisch notwendige Vorgänge auf § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderliche Speicherung für den bereitgestellten Dienst).
Empfänger und Auftragsverarbeitung:
Unsere Website wird bei dem externen Dienstleister Framer B.V. als Hosting-Provider betrieben. Framer B.V. (Niederlande) verarbeitet die o. g. Daten in unserem Auftrag gemäß Art. 28 DSGVO. Hierfür wurde ein Auftragsverarbeitungsvertrag geschlossen. Framer bedient sich Unterauftragsverarbeitern (u. a. Amazon Web Services), welche die Websitedaten auf Servern speichern. Dies kann auch eine Übermittlung in Drittländer einschließen (siehe unten „Datenübermittlung in Drittländer“).
Speicherdauer:
Server-Logfiles werden von uns für Administrations- und Sicherheitszwecke in der Regel für 7 Tage gespeichert und danach automatisiert gelöscht oder anonymisiert. Eine längere Speicherung erfolgt nur ausnahmsweise bei sicherheitsrelevanten Vorfällen (z. B. zur Dokumentation von Angriffsversuchen); in solchen Fällen werden die Logfiles bis zur endgültigen Klärung des Vorfalls vorgehalten und anschließend gelöscht.
Verwendung von Cookies und Einwilligungsmanagement
Unsere Website verwendet Cookies und ähnliche Technologien (z. B. Pixel und Scripts), um je nach Kategorie bestimmte Funktionen bereitzustellen. Cookies sind kleine Textdateien, die über den Browser auf Ihrem Endgerät gespeichert werden können. Grundsätzlich unterscheiden wir zwischen:
Technisch notwendigen Cookies:
Diese sind für den Betrieb der Website oder zur Bereitstellung bestimmter von Ihnen gewünschter Funktionen unbedingt erforderlich (z. B. zur Aufrechterhaltung Ihrer Session oder zur Speicherung Ihrer Datenschutzeinstellungen). Solche Cookies setzen wir auf Basis von § 25 Abs. 2 TTDSG ohne Ihre ausdrückliche Einwilligung ein. Die weitere Verarbeitung etwaiger personenbezogener Daten erfolgt insoweit auf Grundlage unserer berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO, unseren Webservice funktionsfähig und sicher zu halten.
Optionale / Statistik- und Marketing-Cookies:
Diese sind für die Nutzung der Website nicht technisch erforderlich und werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt (vgl. § 25 Abs. 1 TTDSG). Hierunter fallen insbesondere Cookies von Analyse- und Tracking-Tools (siehe dazu die einzelnen Dienste unten, z. B. Google Analytics, Facebook Pixel etc.). Rechtsgrundlage für die Datenverarbeitung mittels solcher Cookies ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Beim ersten Besuch unserer Website (sowie falls erforderlich erneut) fragen wir Sie mittels eines Cookie-Banner-/Consent-Management-Tools nach Ihrer Einwilligung für optionale Cookies. Sie können dort Ihre Präferenzen einstellen. Ihre einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen über unsere Website anpassen (Link „Cookie-Einstellungen“ im Footer) und dort einzelne Dienste deaktivieren oder der Nutzung widersprechen. Alternativ können Sie Cookies in den Einstellungen Ihres Browsers löschen bzw. deaktivieren.
Bitte beachten Sie, dass bei der Deaktivierung optionaler Cookies ggf. nicht alle Funktionen unseres Angebots vollumfänglich zur Verfügung stehen.
Im Folgenden informieren wir Sie näher über die konkreten Datenverarbeitungen im Rahmen der Kontaktaufnahme und Vertragsabwicklung sowie über die von uns eingesetzten Analysetools und Plugins von Drittanbietern. Dabei erläutern wir jeweils Zweck, Art und Umfang der Datenverarbeitung, die entsprechende Rechtsgrundlage, eventuelle Empfänger und Drittlandübermittlungen sowie Ihre Widerrufs-/Widerspruchsmöglichkeiten.
Kontaktaufnahme und Kunden-Support
Wenn Sie mit uns in Kontakt treten (z. B. per E-Mail, Telefon oder Kontaktformular), verarbeiten wir die von Ihnen mitgeteilten personenbezogenen Daten zur Bearbeitung der Anfrage. Typischerweise erheben wir dabei Ihren Namen, Ihre Kontaktdaten (wie E-Mail-Adresse, Telefonnummer, Postanschrift) sowie den Inhalt Ihrer Nachricht und ggf. weitere von Ihnen übermittelte Informationen, die zur Beantwortung Ihres Anliegens erforderlich sind.
Zweck:
Die Verarbeitung erfolgt zum Zweck der Kommunikation mit Ihnen, insbesondere zur Beantwortung von Anfragen, zur Beratung und zur Erbringung von Support-Leistungen. Sofern Sie uns im Rahmen der Kontaktaufnahme bereits konkrete Informationen z. B. für ein Angebot übermitteln, verarbeiten wir diese Daten zur Erstellung und Übersendung des gewünschten Angebots.
Rechtsgrundlage:
Die Datenverarbeitung im Zusammenhang mit Ihrer Kontaktanfrage erfolgt – je nach Art der Anfrage – auf unterschiedlicher Rechtsgrundlage:
Handelt es sich um Fragen zu unseren Produkten/Dienstleistungen oder um die Anbahnung eines Vertrags (z. B. Angebotsanfrage), ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) einschlägig.
In allen übrigen Fällen stützen wir die Verarbeitung auf unsere berechtigten Interessen an der Beantwortung Ihrer Anfrage gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, Anfragen von Kunden, Interessenten und Geschäftspartnern fachgerecht zu bearbeiten und zu beantworten (vgl. Erwägungsgrund 47 DSGVO).
Sofern Sie uns eine ausdrückliche Einwilligung zur Verarbeitung Ihrer Kontaktdaten für bestimmte Zwecke erteilt haben (z. B. Zusendung von weiterführenden Informationen), ist Art. 6 Abs. 1 lit. a DSGVO die Rechtsgrundlage.
Empfänger:
Grundsätzlich behandeln wir Ihre Angaben vertraulich. Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf die Daten, die diese zur Erfüllung der genannten Zwecke benötigen (z. B. Fachabteilungen für Support oder Vertrieb). Eine Weitergabe an Dritte erfolgt nur, soweit dies zur Bearbeitung Ihrer Anfrage erforderlich ist (etwa bei technischen Fragen an unsere IT-Dienstleister) oder Sie uns darum bitten. In diesem Fall holen wir ggf. vorab Ihre Einwilligung ein.
Speicherdauer:
Die im Zusammenhang mit Kontaktanfragen anfallenden Daten werden gespeichert, solange dies für die Abwicklung der Anfrage und etwaiger Anschlussfragen erforderlich ist. Nachdem die Bearbeitung Ihrer Anfrage abgeschlossen ist, werden Ihre Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Erfordert Ihre Anfrage ein anschließendes Vertragsverhältnis, überführen wir die Daten in unsere Kundenakte und bewahren sie entsprechend der dort geltenden Fristen auf (siehe Abschnitt Speicherdauer, insbesondere handels- und steuerrechtliche Vorgaben).
Angebots- und Vertragsabwicklung (Identitätsprüfung, Uploads)
Im Rahmen der Anbahnung, des Abschlusses und der Durchführung von Verträgen (z. B. bei Bestellung unserer Zahlungsdienstleistungen oder beim Kauf/Miete von Zahlungsterminals) verarbeiten wir diverse personenbezogene Daten. Dies umfasst insbesondere:
Stammdaten des Vertragspartners: z. B. Name/Firma, Anschrift, Kontaktdaten, vertretungsberechtigte Personen, Kundennummer.
Vertrags- und Bestelldaten: z. B. bestellte Produkte und Dienstleistungen, Vertragslaufzeit, Zahlungsmodalitäten, Transaktionshistorie.
Zahlungsinformationen: z. B. Bankverbindung, Kreditkarteninformationen, im Rahmen der Zahlungsabwicklung anfallende Daten.
Authentifizierungs- und Identitätsdaten: Um unsere vertraglichen Pflichten erfüllen zu können und gesetzlichen Anforderungen (insbesondere nach dem Geldwäschegesetz – GwG) nachzukommen, kann eine Identitätsprüfung erforderlich sein. Dabei verarbeiten wir z. B. Kopien/Scans von Ausweisdokumenten oder vergleichbaren Identifikationsnachweisen, Nachweise der Geschäftsadresse, Handelsregisterauszüge etc. Gegebenenfalls bedienen wir uns zur Verifizierung externer Dienste oder Datenbanken (z. B. Prüfung der Ausweisdaten durch einen Identitätsdienst). Alle im Zuge der Registrierung oder Vertragsabwicklung hochgeladenen Dokumente (Uploads) werden zweckgebunden für die Vertragserrichtung und Compliance-Prüfungen verwendet.
Zweck:
Die Verarbeitung dieser Daten erfolgt vorrangig zur Begründung und Durchführung des Vertragsverhältnisses mit Ihnen. Dies umfasst insbesondere die Prüfung Ihres Anliegens, die Erstellung eines Angebots, den Vertragsabschluss sowie die anschließende Erfüllung unserer vertraglichen Pflichten (Bereitstellung der vereinbarten Leistungen, Kundenbetreuung, Abrechnung von Transaktionen, Versand von Hardware etc.). Die Identitätsprüfung erfolgt zudem zur Betrugsprävention sowie zur Erfüllung gesetzlicher Pflichten (z. B. nach dem Geldwäschegesetz).
Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Durchführung vorvertraglicher Maßnahmen und zur Vertragserfüllung, einschließlich notwendiger Kommunikation während der Vertragslaufzeit.
Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Verpflichtungen (z. B. Identitätsfeststellung gem. § 8 Abs. 2 GwG, steuerliche Aufbewahrungspflichten).
Art. 6 Abs. 1 lit. f DSGVO: Wahrung berechtigter Interessen, z. B. zur Bonitätsprüfung, Missbrauchsprävention und zur Sicherstellung der Legitimität von Vertragspartnern. Unser Interesse besteht insbesondere in der Vermeidung von Zahlungsausfällen und dem Schutz vor Betrug (vgl. Erwägungsgründe 47 und 49 DSGVO).
Empfänger:
Innerhalb unseres Unternehmens erhalten ausschließlich befugte Mitarbeiter (z. B. aus Vertrieb, Kundenservice, Buchhaltung, Compliance) Zugriff auf Vertragsdaten.
Außerhalb unseres Unternehmens erfolgt eine Weitergabe nur, soweit dies zur Vertragsdurchführung oder zur Erfüllung gesetzlicher Vorgaben erforderlich ist. Mögliche Empfänger sind u. a.:
Zahlungsdienstleister und Banken (zur Zahlungsabwicklung)
Versanddienstleister (für die Lieferung von Terminals)
Externe Kassensystem-Anbieter (siehe nächster Abschnitt)
Auskunfteien oder Identitätsdienstleister (zur Bonitäts- oder Identitätsprüfung)
Steuerberater oder Behörden (bei gesetzlicher Verpflichtung)
In allen Fällen beachten wir die datenschutzrechtlichen Vorgaben. Die Übermittlung erfolgt ggf. im Rahmen einer Auftragsverarbeitung gem. Art. 28 DSGVO oder auf Grundlage gesetzlicher Übermittlungsvorschriften.
Speicherdauer:
Vertragsrelevante Daten werden während der laufenden Geschäftsbeziehung und darüber hinaus gemäß den gesetzlichen Aufbewahrungspflichten gespeichert. Grundsätzlich löschen wir personenbezogene Daten, sobald der Verarbeitungszweck entfällt.
Folgende gesetzliche Aufbewahrungsfristen sind zu beachten:
10 Jahre für Buchungsbelege, Rechnungen und steuerlich relevante Unterlagen (§ 147 AO, § 257 HGB)
6 Jahre für geschäftliche Korrespondenz, einschließlich E-Mails (§ 257 HGB)
5 Jahre für Identifikationsunterlagen nach dem Geldwäschegesetz (§ 8 Abs. 4 GwG)
Während der Aufbewahrungsfristen werden die betreffenden Daten gesperrt und ausschließlich zur Erfüllung gesetzlicher Pflichten verarbeitet.
Nutzung von Cloud-Diensten (Datenspeicherung)
Zur internen Speicherung und Verwaltung von Daten nutzen wir Cloud-basierte Dienste externer Anbieter, insbesondere Google Drive (bereitgestellt durch Google Ireland Limited / Google LLC) und Microsoft OneDrive (bereitgestellt durch Microsoft Ireland Operations Ltd / Microsoft Corporation). In diesen Cloud-Systemen speichern wir unter anderem Dokumente, Verträge, Kommunikationshistorien und Dateien, die personenbezogene Daten unserer Kunden, Interessenten oder Mitarbeitenden enthalten können.
Zweck:
Der Einsatz professioneller Cloud-Speicher erfolgt zur effizienten Organisation unseres Unternehmens, zur Datensicherung sowie zum standortunabhängigen Zugriff auf erforderliche Informationen durch berechtigte Stellen. Dadurch ermöglichen wir zügige Bearbeitung von Anfragen, fördern die interne Zusammenarbeit und profitieren von den Sicherheitsmechanismen der Anbieter (z. B. Redundanz, automatische Backups).
Rechtsgrundlage:
Die Speicherung personenbezogener Daten in externen Cloud-Diensten erfolgt grundsätzlich auf derselben Rechtsgrundlage wie die zugrunde liegende Datenverarbeitung. Die Cloud-Dienste dienen also der Unterstützung bei der Vertragserfüllung oder der unternehmensinternen Verwaltung. Entsprechend ist die Datenverarbeitung gerechtfertigt auf Grundlage von:
Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags erforderlich ist;
Art. 6 Abs. 1 lit. f DSGVO, soweit sie auf unserem berechtigten Interesse an einer effizienten und sicheren Datenverwaltung beruht.
Mit den Cloud-Anbietern haben wir jeweils Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen, um ein hohes Datenschutzniveau zu gewährleisten.
Datenübermittlung in Drittländer:
Bei der Nutzung von Google Drive und OneDrive kann es zur Übermittlung personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, kommen. Beide Anbieter sind jedoch nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert.
Für Google LLC und Microsoft Corporation liegt ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vor, der ein angemessenes Datenschutzniveau in den USA für zertifizierte Unternehmen feststellt. Zusätzlich haben wir mit den Anbietern EU-Standardvertragsklauseln (Standard Contractual Clauses – SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen, um weitergehende vertragliche Garantien zur Datensicherheit zu etablieren (vgl. Erwägungsgründe 108 und 109 DSGVO).
Ungeachtet dieser Maßnahmen weisen wir gemäß Erwägungsgrund 115 DSGVO darauf hin, dass bei Datenübermittlungen in Drittstaaten – insbesondere in die USA – ein Restrisiko bestehen kann (z. B. durch potenzielle Zugriffsmöglichkeiten von US-Behörden). Diesem Risiko begegnen wir durch technische und organisatorische Maßnahmen, insbesondere durch Verschlüsselung, rollenbasierte Zugriffsbeschränkungen und strenge Zugriffsprotokolle.
Speicherdauer:
Die Daten verbleiben in den Cloud-Systemen, solange sie für die genannten Zwecke erforderlich sind und keine gesetzlichen oder vertraglichen Löschpflichten entgegenstehen. Werden Daten aus unseren aktiven Systemen gelöscht, erfolgt auch die Löschung aus den Cloud-Speichern – unter Berücksichtigung etwaiger technischer Latenzen (z. B. Verzögerungen durch Backup-Mechanismen der Anbieter).
Weitergabe an Kassensystemanbieter
Im Rahmen unserer Leistungen kann es erforderlich sein, personenbezogene Daten an externe Partnerunternehmen weiterzugeben, insbesondere an Kassensystem-Anbieter sowie Zahlungsdienstleister. Die Bezahlfabrik GmbH kooperiert z. B. mit Anbietern digitaler Kassensysteme und Zahlungsterminals, um unseren Kunden eine nahtlose Abwicklung von Kartenzahlungen zu ermöglichen.
In diesem Zusammenhang übermitteln wir – soweit zur Systemintegration und Abwicklung Ihrer Transaktionen erforderlich – bestimmte Daten an den jeweiligen Partner, etwa:
Kunden- und Standortinformationen,
Terminal-IDs,
Konfigurationsdaten,
Transaktionsmetadaten.
Diese Datenweitergabe ermöglicht die technische Verknüpfung unserer Systeme mit denen des Kassensystemanbieters sowie eine effiziente und fehlerfreie Zahlungsabwicklung.
Rechtsgrundlage und berechtigtes Interesse:
Die Weitergabe personenbezogener Daten erfolgt – soweit sie nicht bereits zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich ist – auf Grundlage unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.
Unser berechtigtes Interesse liegt in der betrieblichen Notwendigkeit, eine reibungslose Zusammenarbeit mit den jeweiligen Kassensystem- bzw. Zahlungsdienstpartnern sicherzustellen, um Ihnen ein umfassendes, zuverlässiges und komfortables Bezahlsystem anbieten zu können. Die Verarbeitung dient insbesondere dem optimierten Ablauf Ihrer Zahlungsvorgänge sowie der Verbesserung unserer Leistungen (vgl. Erwägungsgrund 47 DSGVO).
Hinweis zur datenschutzrechtlichen Verantwortlichkeit:
In der Regel handeln wir und der jeweilige Kassensystemanbieter als eigenständig Verantwortliche im Sinne des Datenschutzrechts. Es liegt somit keine Auftragsverarbeitung vor, da jede Partei die übermittelten Daten zu eigenen Zwecken, insbesondere zur Erfüllung ihrer vertraglichen Pflichten gegenüber dem jeweiligen Kunden, verarbeitet.
Bitte beachten Sie, dass in einigen Fällen separate Vertragsverhältnisse zwischen Ihnen und dem Drittanbieter bestehen (z. B. bei Abschluss eines eigenständigen Zahlungsdienstvertrags). Informieren Sie sich in diesem Fall bitte auch in den Datenschutzhinweisen des jeweiligen Drittanbieters.
Datenübermittlung in Drittländer:
Sofern im Zusammenhang mit der Zusammenarbeit mit Kassensystem- oder Payment-Providern eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt, geschieht dies ausschließlich unter Beachtung der Vorgaben der Art. 44 ff. DSGVO (vgl. hierzu auch den folgenden Abschnitt „Datenübermittlung in Drittländer“).
Widerspruchsrecht:
Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen einzulegen (vgl. unten „Widerspruchsrecht“). Wir prüfen sodann, ob im konkreten Fall zwingende schutzwürdige Gründe vorliegen, die eine weitere Übermittlung rechtfertigen.
Einsatz von Analysetools und Drittanbietern
Wir nutzen auf unserer Website Analysetools, Tracking-Technologien und Plugins von Drittanbietern, um unser Online-Angebot zu verbessern und Marketingmaßnahmen auszuwerten. Diese Dienste können personenbezogene Daten über Ihre Nutzung unserer Website erheben und verarbeiten. Sie werden grundsätzlich nur mit Ihrer Einwilligung aktiviert (siehe Abschnitt Cookies und Einwilligungsmanagement). Im Folgenden stellen wir die einzelnen Dienste detailliert vor.
Einsatz des Google Tag Managers (GTM)
Zur Verwaltung von Website-Tags nutzen wir den Google Tag Manager, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der GTM ermöglicht die Integration und zentrale Steuerung von Tracking-Codes und anderen Skripten auf unserer Website über eine einheitliche Benutzeroberfläche.
Datenverarbeitung durch den GTM:
Der Google Tag Manager selbst verarbeitet keine personenbezogenen Daten der Nutzer. Er dient ausschließlich der Auslösung anderer Tags, die ihrerseits unter Umständen Daten erfassen. Beim Laden des GTM kann jedoch die IP-Adresse des Nutzers an Google übertragen werden, was datenschutzrechtlich relevant ist.
Rechtsgrundlage:
Die Nutzung des Google Tag Managers erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch zuverlässigen, performanten und nutzerfreundlichen Verwaltung unserer Website-Tags.
Datenübermittlung in Drittländer:
Es ist möglich, dass durch die Nutzung des GTM Daten an Server von Google LLC in den USA übertragen werden. Für solche Übermittlungen stützt sich Google auf die EU-Standardvertragsklauseln gemäß Art. 46 DSGVO, um ein angemessenes Datenschutzniveau sicherzustellen. Zudem ist Google LLC nach dem EU-US Data Privacy Framework (DPF) zertifiziert, wodurch ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt.
Google Analytics
Wir verwenden auf unserer Website Google Analytics (GA), einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics ermöglicht es uns, das Nutzungsverhalten auf unserer Website auszuwerten und Reports über die Website-Aktivitäten zu erhalten.
Zweck der Verarbeitung: Analyse des Surf- und Nutzungsverhaltens der Besucher unserer Website, um Erkenntnisse über die Nutzung unseres Online-Angebots zu gewinnen. Wir nutzen die Informationen, um unsere Website technisch und inhaltlich zu optimieren, den Erfolg von Marketing-Kampagnen zu messen und unser Angebot besser auf die Bedürfnisse der Nutzer auszurichten.
Art der verarbeiteten Daten: Google Analytics erhebt u.a. Online-Kennungen (z.B. Cookie-ID, gerätespezifische IDs), Nutzungsdaten (besuchte Seiten, Verweildauer, Klickpfad), technische Informationen zum Browser und Endgerät (Betriebssystem, Bildschirmauflösung, Spracheinstellungen) sowie die IP-Adresse des Website-Besuchers. Die IP-Adresse wird von Google innerhalb der EU vor Speicherung anonymisiert (IP-Anonymisierung ist auf unserer Website aktiviert, so dass die IP nur gekürzt weiterverarbeitet wird). Google Analytics verwendet Cookies, um einen wiederkehrenden Besucher bei Folgebesuchen wiederzuerkennen und die Interaktionen dem pseudonymen Profil zuzuordnen. Personenbezogene Profile oder Identitäten der Nutzer sind uns als Webseitenbetreiber dabei nicht bekannt; wir erhalten die Auswertungen lediglich in aggregierter Form.
Speicherort und Datenübermittlung: Die von Google Analytics erfassten Daten werden an Google-Server übertragen und dort gespeichert. Dabei kann eine Übermittlung an Google LLC mit Sitz in den USA erfolgen. Google Ireland Limited als unser Vertragspartner speichert die Analytics-Daten grundsätzlich auf Servern in der EU, jedoch ist nicht auszuschließen, dass zur Wartung oder Verarbeitung auch US-Standorte von Google eingebunden werden. Wir haben mit Google einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen, der die EU-Standardvertragsklauseln (SCC) beinhaltet. Zusätzlich ist Google LLC unter dem EU-US Data Privacy Framework (DPF) zertifiziert, was durch Art. 45 DSGVO einen Angemessenheitsbeschluss darstellt. Damit wird ein angemessenes Datenschutzniveau bei Datentransfers in die USA gewährleistet. Google sichert vertraglich zu, die Daten der EU-Bürger entsprechend der EU-Vorgaben zu schützen (Erwägungsgründe 108, 109 DSGVO). Dennoch weisen wir darauf hin, dass in den USA ggf. öffentliche Stellen Zugriff auf die bei Google gespeicherten Daten nehmen könnten (Erwägungsgrund 115 DSGVO).
Rechtsgrundlage: Wir setzen Google Analytics ausschließlich auf Basis Ihrer Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Eine solche Einwilligung holen wir über unseren Cookie-Banner ein. Sie ist freiwillig. Ohne Ihre Einwilligung bleibt Google Analytics deaktiviert.
Opt-Out und Widerruf: Sie können eine erteilte Einwilligung jederzeit widerrufen. Nutzen Sie dazu entweder unser Consent-Tool (Cookie-Einstellungen) und deaktivieren Sie Google Analytics dort, oder löschen/ blockieren Sie die entsprechenden Cookies in Ihrem Browser. Alternativ stellt Google ein Browser-Add-on zur Deaktivierung von Google Analytics zur Verfügung (https://tools.google.com/dlpage/gaoptout), das Sie installieren können. Bitte beachten Sie, dass der Widerruf nur für das Endgerät/den Browser wirkt, in dem er vorgenommen wurde.
Speicherdauer: Wir haben die Datenaufbewahrungsdauer für Google-Analytics-Daten auf 14 Monate eingestellt. Das bedeutet, dass die auf Nutzer-Ebene erhobenen Daten (z.B. Werbe-IDs, Cookies) für 14 Monate aufbewahrt und danach automatisiert gelöscht oder anonymisiert werden. Aggregierte Auswertungen (die keine personenbezogenen Daten mehr enthalten) können uns auch langfristiger zur Verfügung stehen.
Weitere Informationen finden Sie in den Datenschutzhinweisen von Google Analytics. Die Google-Datenschutzerklärung ist abrufbar unter https://policies.google.com/privacy?hl=de. Spezifische Informationen zu Google Analytics und Datenschutz finden Sie unter https://support.google.com/analytics/answer/6004245?hl=de.
Facebook Pixel / Meta-Pixel
Unsere Website nutzt das Facebook-Pixel (auch Meta-Pixel genannt) der Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland). Über das Pixel kann Meta (vormals Facebook) das Verhalten von Nutzern nachverfolgen, die über eine Werbeanzeige auf Facebook/Instagram auf unsere Website weitergeleitet wurden. Dies ermöglicht es uns, die Wirkung von Facebook-Werbeanzeigen zu statistischen und Marktforschungszwecken auszuwerten und künftige Werbemaßnahmen zu optimieren. Außerdem können wir über das Pixel Website-Besucher bestimmten Zielgruppen für Werbeanzeigen (Custom Audiences) auf Facebook oder Instagram zuordnen.
Zweck der Verarbeitung:
Conversion-Tracking (Nachverfolgung von Aktionen, die Nutzer nach dem Klick auf unsere Facebook/Instagram-Anzeige ausführen, z. B. Kaufabschluss, Anmeldung zum Newsletter), Remarketing/Retargeting (Ermöglichung interessenbasierter Werbung, indem Besucher unserer Website später zielgerichtete Anzeigen auf Facebook/Instagram erhalten) sowie Reichweitenmessung unserer Anzeigen. Kurz gesagt, wir möchten sicherstellen, dass unsere Facebook-Werbekampagnen effektiv sind und nur Nutzer ansprechen, die sich tatsächlich für unser Angebot interessieren.
Art der verarbeiteten Daten:
Über das Facebook-Pixel können folgende Daten erhoben werden: HTTP-Header-Daten (u. a. IP-Adresse, Informationen zum Webbrowser, Seitenspeicherort, Dokument, URL der Webseite und User-Agent des Browsers), Pixel-spezifische Daten (Pixel-ID und Facebook-Cookie-Daten wie _fbp, welche eine Wiedererkennung des Browsers ermöglichen), Nutzungsdaten (insbesondere Angaben zu angesehenen Inhalten, besuchten Seiten, Konversionen wie „Kauf abgeschlossen“, „Formular abgesendet“, etc., inklusive Zeitstempel). Diese Daten können von Meta mit dem jeweiligen Facebook/Instagram-Benutzerkonto der betroffenen Person verknüpft werden, sofern diese dort eingeloggt ist. Dadurch kann Meta einzelnen Nutzern den Besuch unserer Website und dort ausgeführte Aktionen zuordnen. Die über das Pixel erhobenen Daten sind für uns anonym, d. h. wir erhalten keine personenbezogenen Informationen über einzelne Nutzer. Meta speichert und verarbeitet die Daten allerdings zu eigenen Zwecken (Profilbildung, Werbeausspielung) entsprechend der Facebook-Datenrichtlinie.
Speicherort und Datenübermittlung:
Die erhobenen Pixel-Daten werden an Meta Platforms Ireland übermittelt. Von dort können sie zur weiteren Verarbeitung an Meta Platforms Inc. auf Server in den USA weitergeleitet werden. Meta Platforms Inc. (USA) ist zertifiziert nach dem EU-US Data Privacy Framework (DPF), sodass für dieses Unternehmen ein Angemessenheitsbeschluss gem. Art. 45 DSGVO besteht. Zudem haben wir mit Meta Ireland einen Vertrag über die gemeinschaftliche Verantwortlichkeit für die Verarbeitung gem. Art. 26 DSGVO abgeschlossen, da wir hinsichtlich der mittels des Pixels erhobenen und an Meta übermittelten Daten gemeinsam mit Meta als gemeinsam Verantwortliche anzusehen sein können. In dieser Vereinbarung wird u. a. festgelegt, dass Meta die primäre Verantwortung für die Ermöglichung der Betroffenenrechte übernimmt und Meta die Sicherheit der Daten auf ihren Systemen gewährleistet. Die wesentlichen Inhalte dieser Vereinbarung stellt Meta den Betroffenen zur Verfügung (siehe Facebook-Datenrichtlinie). Meta verarbeitet die Daten weiterhin auch zu eigenen Zwecken; insoweit handelt Meta als eigenständiger Verantwortlicher. Für Datenübermittlungen in die USA beruft sich Meta neben dem DPF-Zertifikat auch auf die EU-Standardvertragsklauseln (Art. 46 DSGVO, Erwägungsgründe 108, 109 DSGVO) in den mit uns geschlossenen Vertragsbedingungen.
Rechtsgrundlage:
Der Einsatz des Facebook-Pixels erfolgt nur, nachdem Sie hierzu Ihre Einwilligung gegeben haben (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Über unseren Cookie/Consent-Banner können Sie das Pixel aktivieren. Ohne Ihre Einwilligung bleibt das Pixel inaktiv und es erfolgt keine Datenübermittlung an Meta.
Opt-Out/Widerspruch:
Sie können eine erteilte Einwilligung in den Einsatz des Facebook-Pixels jederzeit widerrufen, indem Sie in den Cookie-Einstellungen das Facebook-Pixel deaktivieren. Alternativ können Sie in Ihrem Facebook-Account unter den Werbeeinstellungen die Personalisierung von Werbung abschalten. Auch über Seiten wie Your Online Choices können Sie personalisierte Werbung durch Meta deaktivieren (für den Browser bzw. das Endgerät, auf dem Sie den Opt-Out durchführen). Wenn Sie keine Datenerfassung via Pixel wünschen, können Sie zudem Ihren Browser so einstellen, dass keine Cookies von Drittanbietern oder speziell von Facebook geladen werden. Bitte beachten Sie, dass nach einem Löschen von Cookies ggf. ein erneuter Opt-Out erforderlich ist.
Speicherdauer:
Die über das Pixel erhobenen personenbezogenen Daten (wie die Zuordnung zu einem Facebook-Nutzer) werden laut Meta nach 90 Tagen anonymisiert bzw. gelöscht. Unsere erstellten Custom Audiences (Remarketing-Listen) auf Basis des Pixels speichern die zugehörigen Nutzer-Kennungen maximal 180 Tage, danach werden sie automatisch gelöscht, sofern keine erneute Aktivität erfolgt. Aggregierte Berichte über Anzeigenwirkung enthalten keine personenbezogenen Daten mehr.
Weitere Details finden Sie in der Datenrichtlinie von Facebook unter
- https://www.facebook.com/about/privacy/update (allgemeine Hinweise zur Verarbeitung durch Meta)
- https://www.facebook.com/business/help/742478679120153 (speziell zum Facebook-Pixel)
TikTok Pixel / TikTok Ads
Wir setzen auf unserer Website das TikTok-Pixel ein, ein Tracking-Tool des Anbieters TikTok Technology Limited (10 Earlsfort Terrace, Dublin, D02 T380, Irland). Für Nutzer im europäischen Raum ist TikTok Technology Ltd. der verantwortliche Dienstanbieter. Über das TikTok-Pixel können wir nachvollziehen, wie sich Nutzer verhalten, nachdem sie über unsere Werbeanzeigen bei TikTok auf unsere Website gelangt sind. Dies hilft uns, die Effektivität von TikTok-Werbung auszuwerten und zielgerichtete Werbemaßnahmen durchzuführen (z. B. Remarketing zu betreiben).
Zweck der Verarbeitung:
Conversion-Messung unserer TikTok-Werbeanzeigen (z. B. Erfassung, ob ein bestimmter Klick zu einem Kauf oder einer Anmeldung auf unserer Website geführt hat) sowie Bildung von Zielgruppen für personalisiertes Marketing auf TikTok (Remarketing von Website-Besuchern innerhalb der TikTok-App/Plattform). Dadurch können wir unsere Werbeausgaben effizient einsetzen und interessenbezogene Werbung schalten.
Art der verarbeiteten Daten:
Das TikTok-Pixel erfasst u. a. Geräteinformationen (wie Ihre IP-Adresse, Gerätekennung, Betriebssystem, Browsertyp), Nutzungsdaten unserer Website (besuchte Seiten, angeklickte Buttons, durchgeführte Transaktionen/Ereignisse, Zeitstempel) sowie durch TikTok gesetzte Cookies/IDs zur Wiedererkennung (z. B. TikTok Pixel-ID). Wenn Sie selbst TikTok-Nutzer sind und dort eingeloggt, kann TikTok die erhobenen Daten mit Ihrem TikTok-Profil verbinden und Ihnen so auf Basis Ihres Website-Besuchs gezielt Werbung anzeigen (Matching). Wir selbst erhalten von TikTok keine Einblicke in Ihr TikTok-Profil; für uns sind die erhobenen Daten anonymisiert (statistische Reports).
Speicherort und Datenübermittlung:
Die erfassten Daten werden an TikTok Technology Ltd. in Irland übermittelt. Von dort können Daten zu Konzernunternehmen von TikTok weitergeleitet werden, u. a. an TikTok Inc. (USA) und ggf. an ByteDance Ltd. (China) als Muttergesellschaft. Das bedeutet, dass eine Datenübermittlung in Drittländer außerhalb der EU (USA, ggf. auch China oder andere asiatische Länder wie Singapur) stattfinden kann. Für diese Länder liegt kein Angemessenheitsbeschluss gem. Art. 45 DSGVO vor. TikTok sichert jedoch vertraglich zu, EU-Datenschutzstandards einzuhalten. Über die TikTok-Nutzungsbedingungen haben wir mit TikTok EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO vereinbart, die als geeignete Garantie für den Datenschutz dienen (Erwägungsgrund 108 DSGVO). Zudem hat TikTok nach eigenen Angaben umfangreiche technische und organisatorische Schutzmaßnahmen implementiert (z. B. Verschlüsselung, pseudonymisierte IDs). Dennoch kann ein Zugriff insbesondere US-amerikanischer oder chinesischer Behörden auf die Daten nicht vollständig ausgeschlossen werden (Erwägungsgrund 115 DSGVO). TikTok arbeitet derzeit an „Project Clover“, um europäische Nutzerdaten möglichst in Europa zu speichern und zusätzliche interne Kontrollen einzuführen.
Rechtsgrundlage:
Das TikTok-Pixel wird nur mit Ihrer Einwilligung aktiviert (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Im Cookie-Banner können Sie dem Einsatz zustimmen. Ohne Einwilligung bleibt das Pixel deaktiviert. Andere Rechtsgrundlagen (wie berechtigtes Interesse) kommen hier nicht in Betracht, da das Tracking nicht essenziell für den Dienstbetrieb ist.
Opt-Out/Widerruf:
Sie können Ihre Einwilligung zum TikTok-Pixel jederzeit widerrufen, indem Sie in unseren Cookie-Einstellungen das entsprechende Tool deaktivieren. Zudem bietet TikTok selbst Möglichkeiten, die Datennutzung für personalisierte Werbung zu begrenzen: In der TikTok-App können Sie unter Einstellungen > Datenschutz > Personalisierung und Daten steuern, inwieweit TikTok Werbung personalisiert (z. B. „Personalisierte Werbung“ deaktivieren). Auch ein Opt-Out über externe Seiten (wie Your Online Choices) kann genutzt werden, um das Tracking übergreifend zu unterbinden. Bitte beachten Sie auch hier, dass ein Widerruf der Einwilligung nur für die Zukunft wirkt und das erneute Setzen des Pixels verhindert.
Speicherdauer:
Konkrete Angaben zur Speicherdauer der durch das TikTok-Pixel erhobenen Daten werden von TikTok in der Regel nicht öffentlich genannt. Wir gehen davon aus, dass die personenbezogenen Zuordnungen (Website-Events zu TikTok-Nutzerprofilen) nur so lange vorgehalten werden, wie dies zur Erreichung der Tracking-Zwecke erforderlich ist. Ein grober Richtwert kann 30 bis 180 Tage betragen, abhängig davon, ob der betreffende Nutzer in diesem Zeitraum erneut mit unserer Website oder unseren Ads interagiert (wonach sich die Frist verlängern kann). Nach Ablauf einer definierten Zeit werden die Daten gelöscht oder anonymisiert. In den Berichten, die wir von TikTok erhalten, befinden sich keine personenbezogenen Daten mehr.
Weitere Informationen finden Sie in der Datenschutzerklärung von TikTok unter:
- https://www.tiktok.com/legal/privacy-policy-eea?lang=de
Smartlook (Session-Recording)
Wir setzen auf unserer Website Smartlook ein, einen Web-Analysedienst zur Aufzeichnung von Besuchersitzungen, angeboten von der Smartlook a.s. (Czech Republic) bzw. Cisco Systems, Inc. als Konzernmutter. Smartlook ermöglicht sog. Session-Replays und Heatmaps: das heißt, es werden Mausbewegungen, Klicks, Scroll-Verhalten und ähnliche Interaktionen eines Nutzers auf unserer Website visuell aufgezeichnet. Dies hilft uns, die Benutzererfahrung (UX) und Usability unserer Website zu verbessern, indem wir nachvollziehen können, wie Nutzer mit unserer Seite interagieren, wo Probleme auftreten oder welche Bereiche besonders interessant sind.
Zweck der Verarbeitung:
Analyse des Nutzerverhaltens auf unserer Website durch Wiedergabe von Besuchersitzungen. Wir identifizieren damit mögliche Bedienungsprobleme, verbessern das Seitendesign und können unsere Inhalte benutzerfreundlicher gestalten. Zugleich dient Smartlook der Fehlererkennung (z. B. bei technischen Problemen, wenn Nutzer nicht weiterkommen) und der Qualitätssicherung unseres Online-Angebots.
Art der verarbeiteten Daten:
Smartlook zeichnet die Interaktionen eines Besuchers mit der Website auf. Dies beinhaltet Mausbewegungen, Klicks, Scrollen, Tastatureingaben (wobei eingegebene Texte in Formularfeldern standardmäßig ausgeblendet/maskiert werden, sofern sie sensible oder personenbezogene Informationen enthalten – Smartlook verfolgt einen „Privacy by Default“-Ansatz und maskiert Passwörter, Zahlungsdaten etc.). Es werden ferner technische Daten erhoben: IP-Adresse (wird standardmäßig anonymisiert), Geräte- und Browserinformationen, Bildschirmauflösung, Referrer-URL und Zeitstempel des Besuchs. Smartlook verwendet Cookies bzw. eine zufällige Besucher-ID, um wiederkehrende Besucher zu erkennen und Sitzungen zu verknüpfen. Die Aufzeichnungen enthalten nicht den Inhalt von Formularen (sofern nicht bewusst freigegeben) und keine personenbezogenen Daten wie Klarnamen, es sei denn, Sie geben solche Informationen in Bereichen ein, die nicht als sensibel markiert sind. Wir versuchen sicherzustellen, dass keine direkt identifizierenden Daten (wie Ihr Name, E-Mail-Adresse, Telefonnummer) über Smartlook erfasst werden.
Speicherort und Datenübermittlung:
Smartlook betreibt Server in der Europäischen Union (Tschechische Republik) sowie optional in anderen Regionen (USA). Nach unserem Kenntnisstand werden unsere Aufzeichnungen standardmäßig auf EU-Servern gespeichert. Eine Datenübermittlung in die USA oder an andere Cisco-Rechenzentren kann dennoch nicht ausgeschlossen werden, z. B. wenn wir Analysefunktionen nutzen, die von internationalen Servern bereitgestellt werden, oder im Rahmen des Supports durch Cisco-Mitarbeiter in den USA. Cisco Systems, Inc. ist als Muttergesellschaft von Smartlook international tätig und hat Binding Corporate Rules (BCR) eingeführt, die von europäischen Aufsichtsbehörden genehmigt sind. Diese verbindlichen Unternehmensregeln gem. Art. 47 DSGVO gewährleisten konzernweit ein hohes Datenschutzniveau für personenbezogene Daten. Zudem wurden für etwaige US-Übermittlungen mit Cisco EU-Standardvertragsklauseln vereinbart (Art. 46 DSGVO). Dadurch werden geeignete Garantien gemäß Erwägungsgrund 108 DSGVO geboten. Nichtsdestotrotz besteht bei US-Transfers das allgemeine Risiko behördlichen Zugriffs (Erwägungsgrund 115 DSGVO), dem Cisco nach eigenem Bekunden mit Verschlüsselung und strengen internen Richtlinien begegnet.
Rechtsgrundlage:
Smartlook wird nur eingesetzt, wenn Sie uns hierzu Ihre Einwilligung gegeben haben (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG). Im Cookie/Consent-Banner können Sie Smartlook zustimmen. Ohne Einwilligung erfolgt keine Session-Aufzeichnung.
Opt-Out/Widerruf:
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Smartlook in den Cookie-Einstellungen deaktivieren. Zudem bietet Smartlook eine eigene Opt-Out-Möglichkeit an: Unter https://www.smartlook.com/opt-out können Sie das Tracking durch Smartlook für Ihren Browser deaktivieren (durch Setzen eines Opt-Out-Cookies). Wenn Sie das Opt-Out durchführen, werden zukünftig keine Sitzungen von Ihnen aufgezeichnet, bis Sie das Opt-Out-Cookie löschen. Sie können alternativ auch „Do Not Track“ in Ihrem Browser aktivieren, was Smartlook respektiert.
Speicherdauer:
Aufgezeichnete Session-Daten werden bei uns für einen begrenzten Zeitraum vorgehalten. Standardmäßig bewahren wir die Mitschnitte maximal 3 Monate auf und löschen sie danach automatisch, sofern keine längere Analyse erforderlich ist. Sie dienen primär kurzfristigen Auswertungen zur Verbesserung der Website. Aggregierte Analysen (Heatmaps etc.) können wir auch länger nutzen, doch diese enthalten keine personenbezogenen Einzelinformationen mehr.
Weitergehende Informationen zum Datenschutz bei Smartlook finden Sie in der Smartlook Privacy Policy:
- https://help.smartlook.com/docs/privacy-policy
Kategorien von Empfängern personenbezogener Daten
Im Rahmen unserer geschäftlichen Tätigkeit und der oben beschriebenen Verarbeitungen kann es zur Weitergabe personenbezogener Daten an Dritte kommen. Eine Datenübermittlung erfolgt jedoch stets in Übereinstimmung mit den DSGVO-Vorgaben (Art. 4 Nr. 10, Art. 44 ff. DSGVO). Wir legen grundsätzlich großen Wert auf Vertraulichkeit und übermitteln Daten nur, soweit eine Rechtsgrundlage dies erlaubt (z. B. zur Vertragserfüllung oder aufgrund einer Interessenabwägung) oder Sie eingewilligt haben. Nachfolgend möchten wir die Kategorien von Empfängern bzw. konkreten externen Stellen aufführen, an die wir personenbezogene Daten übermitteln:
Hosting- und IT-Dienstleister: z. B. Framer B.V. (Hosting unserer Website) mit Unterauftragnehmer Amazon Web Services (Rechenzentrumsbetrieb). Verarbeitung auf Basis einer Auftragsverarbeitung gem. Art. 28 DSGVO.
Cloud-Service-Anbieter: z. B. Google (Google Drive) und Microsoft (OneDrive) zur Datenspeicherung/-verwaltung; ebenfalls als Auftragsverarbeiter tätig mit entsprechenden Verträgen.
Analysedienst-Anbieter: z. B. Google Ireland/Google LLC (Google Analytics), Meta Platforms (Facebook/Meta Pixel), TikTok (TikTok Pixel), Smartlook/Cisco (Session-Recording). Diese erhalten Daten über unsere Website teils als eigenständig Verantwortliche (im Rahmen der von Ihnen erteilten Einwilligung) und verwenden diese für die jeweils genannten Zwecke (Analyse, Werbung).
Kassensystem- und Zahlungsdienstanbieter: Partnerunternehmen, die in die Abwicklung von Kartenzahlungen und POS-Systeme eingebunden sind, z. B. Anbieter von Zahlungsterminals, Kassensoftware oder Acquiring-Banken. Diese erhalten je nach Notwendigkeit Kundendaten, Terminal-IDs, Transaktionsdaten etc. (siehe oben „Weitergabe an Kassensystemanbieter“). Rechtsgrundlage ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder die Vertragserfüllung (Art. 6 Abs. 1 lit. b).
Logistik- und Versandunternehmen: Soweit wir Hardware (z. B. Terminals) oder schriftliche Dokumente an unsere Kunden versenden, übermitteln wir Adress- und Kontaktdaten an Post-/Paketdienste (z. B. DHL, Deutsche Post) zur Zustellung.
Zahlungsdienstleister und Banken: Zur Abwicklung von Zahlungen (Einzug von Entgelten, Auszahlungen) übermitteln wir erforderliche Daten (z. B. Rechnungsbeträge, Kontoverbindungen, Referenznummern) an Banken oder Payment-Provider (z. B. bei Kreditkartenzahlung). Rechtsgrundlage ist die Vertragserfüllung.
Berater und Auftragsverarbeiter: Wir können externe Dienstleister im Rahmen von Auftragsverarbeitung hinzuziehen, z. B. IT-Wartungsfirmen, Rechenzentrumsbetreiber, Analysedienstleister. Mit allen wurde ein Vertrag nach Art. 28 DSGVO geschlossen, um den Datenschutz sicherzustellen.
Steuerberater/Wirtschaftsprüfer: Im Zuge der Finanzbuchhaltung und Erstellung von Abschlüssen erhalten evtl. unsere Steuerberater oder Wirtschaftsprüfer Einblick in geschäftliche Unterlagen, die auch personenbezogene Daten (Kundenlisten, Rechnungen) enthalten können. Diese unterliegen der beruflichen Verschwiegenheit und verarbeiten Daten auf Basis von Art. 6 Abs. 1 lit. c (gesetzliche Verpflichtung zur ordnungsgemäßen Buchführung).
Behörden und öffentliche Stellen: Im Fall einer gesetzlichen Verpflichtung oder behördlichen Anordnung können wir verpflichtet sein, Daten an Behörden weiterzugeben (z. B. Finanzbehörde, Aufsichtsbehörde, Polizei/Gerichte). Grundlage ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. den jeweiligen Rechtsnormen.
Verbundene Unternehmen: Sollte die Bezahlfabrik GmbH mit verbundenen Unternehmen (Mutter- oder Tochtergesellschaften) zusammenarbeiten oder Daten intern austauschen, erfolgt dies im Rahmen konzerninterner Verarbeitung. Gegebenenfalls sind dafür interne Binding Corporate Rules implementiert oder Standardvertragsklauseln vereinbart (Art. 46, 47 DSGVO).
Hinweis: Die Bezahlfabrik GmbH hat derzeit keine Übermittlung an verbundene Konzernunternehmen außerhalb der EU; dieser Punkt dient der Vollständigkeit, falls in Zukunft relevant.
Mit allen externen Empfängern achten wir darauf, dass angemessene Datenschutzgarantien bestehen. Eine Weitergabe zu Werbezwecken an Dritte erfolgt nicht ohne Ihre ausdrückliche Einwilligung.
Datenübermittlung in Drittländer
Sollten wir personenbezogene Daten an Empfänger in Staaten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) übermitteln, stellen wir sicher, dass dies im Einklang mit den Art. 44 ff. DSGVO erfolgt. Eine Datenübermittlung in ein sog. Drittland (also ein Land ohne unmittelbare Geltung der DSGVO) findet nur statt, wenn eines der folgenden Kriterien erfüllt ist:
Angemessenheitsbeschluss (Art. 45 DSGVO):
Für bestimmte Länder hat die Europäische Kommission festgestellt, dass dort ein angemessenes Datenschutzniveau besteht, vergleichbar mit dem der EU. In solchen Fällen ist die Übermittlung zulässig wie innerhalb der EU. Beispielsweise sind die USA für zertifizierte Unternehmen mittlerweile wieder als sicheres Drittland anerkannt, soweit der Empfänger am EU-US Data Privacy Framework teilnimmt (Angemessenheitsbeschluss vom 10.07.2023). Unternehmen wie Google, Microsoft, Meta besitzen eine solche Zertifizierung.Geeignete Garantien (Art. 46 DSGVO):
Liegt kein Angemessenheitsbeschluss vor (z. B. bei Übermittlung in andere Länder wie China, Indien etc.), stellen wir durch vertragliche, technische und organisatorische Maßnahmen sicher, dass ein adäquater Schutz Ihrer Daten gewahrt ist. Insbesondere verwenden wir die EU-Standarddatenschutzklauseln (Standard Contractual Clauses – SCC) in Verträgen mit den Empfängern. Diese Standardvertragsklauseln wurden von der EU-Kommission gem. Art. 46 Abs. 2 lit. c DSGVO erlassen und verpflichten den Empfänger zur Einhaltung des EU-Datenschutzniveaus. Ergänzend prüfen wir im Einzelfall, ob zusätzliche Maßnahmen erforderlich sind (z. B. Verschlüsselung sensibler Daten, strikte Zugriffsregeln, Pseudonymisierung), insbesondere nach den Vorgaben des EuGH-Urteils Schrems II und den Empfehlungen des Europäischen Datenschutzausschusses. Ebenfalls als geeignete Garantie anerkannt sind Binding Corporate Rules (BCR) gem. Art. 47 DSGVO – das sind konzerninterne Datenschutzregeln, die von einer Aufsichtsbehörde genehmigt wurden. Sofern unser Dienstleister über solche BCR verfügt (z. B. Cisco hat BCR für konzerninterne Transfers), beruht die Übermittlung hierauf.Einwilligung oder Ausnahmetatbestände (Art. 49 DSGVO):
In seltenen Fällen kann eine Drittlandübermittlung auch ohne Angemessenheitsbeschluss oder SCC stattfinden, nämlich wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt, oder wenn die Übermittlung notwendig zur Vertragserfüllung (z. B. Buchung einer Reise ins Ausland) ist oder zur Durchsetzung/Abwehr von Rechtsansprüchen im Einzelfall. Solche Ausnahmen kommen nur restriktiv zur Anwendung.
Hinweis auf Restrisiken:
Trotz aller Maßnahmen weisen wir ausdrücklich darauf hin (gemäß Erwägungsgrund 115 DSGVO), dass Datenübermittlungen in Drittstaaten immer ein gewisses Restrisiko für die Betroffenen bergen können. Insbesondere in den USA und anderen Nicht-EU-Staaten bestehen teils besondere Befugnisse staatlicher Stellen, auf gespeicherte Daten zuzugreifen, ohne dass EU-Bürgern hiergegen vergleichbare Rechtsschutzmöglichkeiten offenstehen. Wir treffen weitestmöglich Vorkehrungen (z. B. Speicherung möglichst auf EU-Servern, Verschlüsselung sensibler Daten, sorgfältige Partnerauswahl), um dieses Risiko zu minimieren.
Zusammenfassung Drittlandempfänger:
Konkret werden von uns derzeit Daten an Empfänger in Drittstaaten wie folgt übermittelt:
USA: u. a. Google LLC, Meta Platforms Inc., Microsoft Corp., Amazon Web Services, TikTok Inc., Cisco Systems Inc.
(Schutzmaßnahmen: alle genannten Unternehmen sind DPF-zertifiziert oder durch SCC/BCR vertraglich gebunden).Weitere Länder: ggf. China (ByteDance/TikTok, Schutz: SCC, zusätzliche Maßnahmen), ggf. andere (derzeit keine routinemäßigen Übermittlungen).
Bei Fragen zu unseren Datenübermittlungen in Drittländer oder wenn Sie Kopien der Schutzmaßnahmen (z. B. Standardvertragsklauseln) wünschen, können Sie sich an uns wenden.
Rechte der betroffenen Person
Betroffenenrechte nach DSGVO und BDSG
Als von einer Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO und dem BDSG umfassende Rechte zu. Im Folgenden informieren wir Sie über diese Rechte:
Recht auf Auskunft (Art. 15 DSGVO):
Sie haben das Recht, Bestätigung darüber zu verlangen, ob wir personenbezogene Daten zu Ihrer Person verarbeiten. Ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese Daten und auf Informationen wie: Verarbeitungszwecke, Kategorien der Daten, Empfänger oder Empfängerkategorien (insbesondere bei Empfängern in Drittstaaten, mit passenden Garantien), geplante Speicherdauer bzw. Kriterien für deren Festlegung, das Bestehen der in diesem Abschnitt genannten Rechte (Berichtigung, Löschung etc.), das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, die Herkunft der Daten (sofern wir sie nicht direkt bei Ihnen erhoben haben) sowie ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 15 Abs. 1 lit. h DSGVO).
Sie können auch eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhalten (Art. 15 Abs. 3 DSGVO). Bitte beachten Sie, dass das Auskunftsrecht ggf. gesetzlich eingeschränkt sein kann (vgl. § 34 BDSG) und wir zusätzliche Informationen zur Bestätigung Ihrer Identität anfordern können (Erwägungsgrund 64 DSGVO), um zu verhindern, dass Unbefugte Auskünfte über Ihre Daten erhalten.
Recht auf Berichtigung (Art. 16 DSGVO):
Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu fordern.
Recht auf Löschung (Art. 17 DSGVO):
Sie haben das Recht zu verlangen, dass personenbezogene Daten gelöscht werden, wenn die gesetzlichen Voraussetzungen erfüllt sind. Dies ist insbesondere der Fall, wenn der Zweck entfällt und keine erforderliche Aufbewahrungsfrist (mehr) besteht, Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt, Sie Widerspruch gegen Verarbeitung (siehe unten) eingelegt haben und keine überwiegenden berechtigten Gründe für die Verarbeitung vorliegen, die Daten unrechtmäßig verarbeitet wurden, oder eine Löschung zur Erfüllung einer rechtlichen Pflicht erforderlich ist (Art. 17 Abs. 1 DSGVO).
Bitte beachten Sie, dass das Recht auf Löschung eingeschränkt sein kann, z. B. wenn wir die Daten zur Erfüllung einer rechtlichen Verpflichtung (gesetzliche Aufbewahrungspflichten) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigen. Das Recht auf Löschung wird auch als „Recht auf Vergessenwerden“ bezeichnet (Erwägungsgrund 65, 66 DSGVO).
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Dieses Recht besteht insbesondere, wenn Sie die Richtigkeit der Daten bestreiten (für die Dauer, die die Überprüfung der Richtigkeit durch uns ermöglicht), wenn die Verarbeitung unrechtmäßig ist, Sie aber statt der Löschung die Einschränkung verlangen, wenn wir die Daten für die Zwecke der Verarbeitung nicht länger benötigen, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe gegenüber Ihren überwiegen (Art. 18 Abs. 1 lit. a–d DSGVO).
Bei bestehender Einschränkung dürfen diese Daten – abgesehen von der Speicherung – nur mit Ihrer Einwilligung oder zur Geltendmachung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden (Art. 18 Abs. 2). Wir werden Sie unterrichten, bevor die Einschränkung aufgehoben wird.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO):
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, JSON) zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b) beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt (Art. 20 Abs. 1 DSGVO).
Soweit technisch machbar, können Sie auch eine direkte Übermittlung Ihrer Daten von uns an einen anderen Verantwortlichen verlangen. Das Recht auf Datenübertragbarkeit darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art. 20 Abs. 4 DSGVO).
Widerspruchsrecht (Art. 21 DSGVO):
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten einzulegen, sofern wir die Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO (Aufgabe im öffentlichen Interesse oder berechtigtes Interesse) verarbeiten.
Im Falle eines Widerspruchs werden wir die Verarbeitung Ihrer Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 DSGVO).
Hinweis: Dieses allgemeine Widerspruchsrecht gilt z. B., wenn wir Ihre Daten auf Basis einer Interessenabwägung verarbeiten (wie in den Fällen unter „berechtigtes Interesse“ oben beschrieben). Bitte begründen Sie in diesem Fall Ihren Widerspruch, damit wir eine Prüfung der Sachlage vornehmen können.
Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO):
Sie können jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung einlegen; dies gilt auch für ein Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Wenn Sie widersprechen, werden wir Ihre personenbezogenen Daten nicht mehr für Direktwerbung verarbeiten (Art. 21 Abs. 3 DSGVO). Ein solcher Widerspruch ist grundlos möglich und wird von uns ohne besondere Form umgesetzt. Insbesondere können Sie sich an uns wenden, falls Sie künftig keine Newsletter oder Werbeinformationen mehr von uns erhalten möchten.
Recht auf Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO):
Wenn Sie uns gegenüber eine Einwilligung in die Verarbeitung personenbezogener Daten erteilt haben, können Sie diese Einwilligung jederzeit widerrufen. Ein solcher Widerruf wirkt nur für die Zukunft; die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Nach Widerruf werden wir die betroffenen Daten unverzüglich nicht mehr für den Zweck der Einwilligung nutzen und – soweit keine andere Rechtsgrundlage eingreift – löschen. Ihren Widerruf können Sie formlos an uns richten (z. B. per E-Mail).
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO):
Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Wir informieren Sie, dass wir grundsätzlich keine vollautomatisierten Entscheidungsprozesse einsetzen, die rechtserhebliche Auswirkungen für Sie haben (kein Scoring oder vergleichbares Profiling mit Entscheidungswirkung). Sollten wir dies in Einzelfällen tun, werden wir Sie hierüber gesondert informieren und die vorgeschriebenen Maßnahmen (z. B. das Recht auf menschliches Eingreifen) gewähren.
Geltendmachung Ihrer Rechte:
Um Ihre Rechte geltend zu machen, können Sie sich jederzeit an uns über die oben genannten Kontaktdaten wenden. Bitte stellen Sie sicher, dass wir Sie eindeutig identifizieren können, um unberechtigte Anfragen zu vermeiden.
Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats bearbeiten (Art. 12 Abs. 3 DSGVO). In Ausnahmefällen kann die Frist um zwei weitere Monate verlängert werden, worüber wir Sie jedoch informieren und die Gründe mitteilen.
Beschwerderecht bei der Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch uns gegen geltendes Datenschutzrecht verstößt, haben Sie gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde.
Sie können dieses Beschwerderecht bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.
In Nordrhein-Westfalen (wo unser Unternehmen seinen Sitz hat) ist dies z. B.:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2–4
40213 Düsseldorf
https://www.ldi.nrw.de
Alternativ können Sie sich an jede andere für Sie zuständige Datenschutzbehörde innerhalb der EU wenden. Ihr Beschwerderecht besteht unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.
Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand April 2025. Wir behalten uns vor, den Inhalt dieser Erklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder erweiterte Verarbeitungsverfahren anzupassen.
Die jeweils aktuelle Fassung der Datenschutzerklärung kann jederzeit auf unserer Website unter der Rubrik „Datenschutz“ abgerufen werden. Bei wesentlichen Änderungen, die eine Mitwirkung Ihrerseits (z. B. erneute Einwilligung) erfordern, werden wir Sie informieren.
Bitte prüfen Sie diese Datenschutzerklärung regelmäßig auf Änderungen, um stets informiert zu sein, wie wir Ihre Daten schützen und verarbeiten.
Kontakt:
Wenn Sie Fragen oder Anliegen zum Datenschutz bei der Bezahlfabrik GmbH haben, erreichen Sie uns unter den im Impressum genannten Kontaktdaten. Wir helfen Ihnen gerne weiter.
