GDPR-Compliance-Erklärung

Allgemeine Bestimmungen der Erklärung

Nestmanor (nachfolgend „wir“) hält sich als Datenverantwortlicher des Online-Shops strikt an die GDPR (Datenschutz-Grundverordnung, Regulation (EU) 2016/679) sowie an die einschlägigen deutschen Datenschutzgesetze und folgt konsequent den Grundprinzipien „Datenminimierung, Transparenz und Sicherheit“, um sämtliche Vorgänge der Erhebung, Nutzung, Speicherung, Verarbeitung und Weitergabe personenbezogener Daten der Nutzer zu regeln, die Rechte und Freiheiten aller in der Europäischen Union ansässigen Nutzer (betroffene Personen), die unsere Online-Shop-Dienste nutzen, wirksam zu schützen und sicherzustellen, dass alle Datenverarbeitungstätigkeiten rechtmäßig, konform und transparent erfolgen. Diese Erklärung dient dazu, unsere Regeln zur Datenverarbeitung, die wesentlichen Rechte der Nutzer sowie unsere Compliance-Verpflichtungen klarzustellen. Sie stellt unsere förmliche Zusage zur Erfüllung der GDPR-Anforderungen dar und gilt für sämtliche Datenverarbeitungstätigkeiten unseres Online-Shops sowie für alle damit verbundenen Nutzer.

Geltungsbereich

Diese Erklärung gilt für alle in der Europäischen Union ansässigen Nutzer, die über unseren Online-Shop browsen, sich registrieren, Bestellungen aufgeben, Zahlungen leisten, Anfragen stellen oder andere damit verbundene Handlungen vornehmen. Sie umfasst alle Situationen, in denen wir personenbezogene Daten der Nutzer erheben, verwenden, speichern, verarbeiten oder übermitteln, einschließlich, aber nicht beschränkt auf personenbezogene Identitätsdaten, Kontaktdaten, Zahlungsinformationen, Browsing- und Transaktionsdaten sowie sonstige damit verbundene Datenverarbeitungstätigkeiten. Unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt, gilt diese Erklärung sowie die einschlägigen Bestimmungen der GDPR immer dann, wenn wir Nutzern innerhalb der Europäischen Union Online-Einkaufsdienste bereitstellen und deren personenbezogene Daten verarbeiten.

Rechtsgrundlagen der Datenverarbeitung

Gemäß Artikel 6 GDPR verfügen alle unsere Datenverarbeitungstätigkeiten über eine klare und rechtmäßige Rechtsgrundlage, insbesondere wie folgt:

• Vertragserfüllung: Zur Bearbeitung von Nutzerbestellungen, Durchführung der Warenlieferung und Bereitstellung von After-Sales-Services sowie zur Sicherstellung eines reibungslosen Abschlusses der Online-Kauftransaktion verarbeiten wir die entsprechenden personenbezogenen Daten der Nutzer. Dies ist eine notwendige Voraussetzung zur Erfüllung des zwischen uns und dem Nutzer geschlossenen Dienstleistungsvertrags;
• Ausdrückliche Einwilligung: Wenn Nutzer unseren Newsletter abonnieren, verarbeiten wir auf Grundlage ihrer ausdrücklichen Einwilligung ihre E-Mail-Adresse und andere damit verbundene Informationen zum Versand des Newsletters. Die Nutzer können diese Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der auf Grundlage der Einwilligung vor dem Widerruf erfolgten Datenverarbeitung;
• Erfüllung rechtlicher Verpflichtungen: Zur Erfüllung der Anforderungen deutscher Steuer-, Buchführungs- und Aufsichtsbehörden verarbeiten wir die entsprechenden Transaktionsdaten und personenbezogenen Informationen der Nutzer rechtmäßig, um einen rechtskonformen Geschäftsbetrieb sicherzustellen;
• Berechtigte Interessen: Zur Verbesserung des Zugriffs- und Einkaufserlebnisses der Nutzer, zur Optimierung der Online-Shop-Dienste, zur Verhinderung von Betrug, zur Gewährleistung der Transaktionssicherheit sowie zum Schutz unserer berechtigten Interessen und derjenigen der Nutzer verarbeiten wir relevante Daten in angemessener Weise.

Erhebung und Nutzung personenbezogener Daten

Umfang der Erhebung

Wir halten uns strikt an den Grundsatz der „Datenminimierung“ und erheben nur diejenigen personenbezogenen Daten, die für die Erreichung der Dienstleistungszwecke erforderlich sind, ohne irrelevante Daten zu erfassen. Dazu gehören insbesondere:

• Identitätsdaten: Name, E-Mail-Adresse und andere Informationen, die der Nutzer bei der Kontoerstellung angibt, zur Anmeldung, Identitätsprüfung und Übermittlung von Dienstleistungsmitteilungen;
• Kontaktdaten: Lieferadresse, Telefonnummer und andere vom Nutzer angegebene Kontaktdaten zur Durchführung der Warenlieferung und Kommunikation im Zusammenhang mit Bestellungen;
• Zahlungsinformationen: Informationen im Zusammenhang mit der vom Nutzer verwendeten Visa- oder MasterCard-Zahlungskarte bei der Zahlung (ausschließlich zur Zahlungsprüfung, ohne Speicherung vollständiger Zahlungskartendaten);
• Nutzungsdaten: Browsing-Verlauf, Bestellverlauf, Bedienpräferenzen und ähnliche Daten zur Optimierung des Serviceerlebnisses und zur Gewährleistung der Transaktionssicherheit;
• Sonstige Daten: Informationen zu Anfragen und Rückmeldungen, die der Nutzer bei der Kontaktaufnahme mit uns aktiv bereitstellt, zur Beantwortung der Anliegen des Nutzers und zur Lösung entsprechender Probleme.

Zwecke der Nutzung

Die von uns erhobenen personenbezogenen Daten werden ausschließlich zu den folgenden klar definierten Zwecken verwendet und nicht für andere sachfremde Zwecke genutzt:

• Bereitstellung von Online-Einkaufsdiensten: Bearbeitung von Bestellungen, Durchführung der Warenlieferung, Bereitstellung von After-Sales-Services und Gewährleistung eines reibungslosen Ablaufs der Transaktion;
• Optimierung des Serviceerlebnisses: Auf Grundlage der Nutzungsdaten Optimierung der Seitenstruktur, Ladegeschwindigkeit und Serviceabläufe des Online-Shops zur Verbesserung des Einkaufserlebnisses;
• Gewährleistung der Transaktionssicherheit: Überwachung ungewöhnlicher Zugriffe und Bedienhandlungen, Verhinderung von Betrugsrisiken und Schutz der berechtigten Interessen der Nutzer sowie unserer eigenen;
• Versand von Servicemitteilungen: Übermittlung notwendiger Mitteilungen wie Bestellbestätigungen, Versandinformationen und kontobezogener Informationen an die Nutzer;
• Erfüllung rechtlicher Verpflichtungen: Zusammenarbeit bei Prüfungen durch Steuer- und Aufsichtsbehörden sowie Erfüllung buchhalterischer und sonstiger Compliance-Anforderungen.

Speicherung und Schutz personenbezogener Daten

Speicherdauer

Wir halten uns strikt an den Grundsatz der „möglichst kurzen Speicherdauer“. Personenbezogene Daten werden nur für die kürzestmögliche Zeit gespeichert, die zur Erreichung des jeweiligen Dienstleistungszwecks erforderlich ist. Nach Ablauf der Speicherdauer werden die betreffenden Daten automatisch anonymisiert oder vollständig gelöscht, sodass eine Identifizierung des konkreten Nutzers nicht mehr möglich ist. Die konkreten Speicherfristen lauten wie folgt:

• Bestell- und transaktionsbezogene Daten: Aufbewahrung für 7 Jahre ab Abschluss der Bestellung zur Erfüllung steuer- und buchhaltungsrechtlicher Verpflichtungen;
• Nutzerkonten und Identitätsdaten: Speicherung während der Dauer des Bestehens des Nutzerkontos. Nach Löschung des Kontos werden alle damit verbundenen Daten unverzüglich gelöscht, soweit nicht einzelne Daten zur Erfüllung gesetzlicher Verpflichtungen weiter aufbewahrt werden müssen;
• Browsing- und Nutzungsdaten: Speicherung für 6 Monate zur Serviceoptimierung. Nach Ablauf dieser Frist werden die Daten anonymisiert.

Sicherheitsmaßnahmen

Wir messen der Sicherheit personenbezogener Daten höchste Bedeutung bei und treffen mehrere Schutzmaßnahmen, um Risiken wie Offenlegung, Manipulation, Verlust oder Missbrauch personenbezogener Daten zu verhindern. Insbesondere gilt Folgendes:

• Technische Maßnahmen: Einsatz von SSL-Verschlüsselung zur durchgehenden Verschlüsselung der Übertragung und Speicherung personenbezogener Daten, um zu verhindern, dass Daten während der Übertragung oder Speicherung gestohlen oder manipuliert werden. Regelmäßige Sicherheitsprüfungen, Aktualisierungen und Wartungen der Datenspeicherungssysteme zur Erkennung und Beseitigung von Sicherheitsrisiken;
• Organisatorische Maßnahmen: Einrichtung eines strengen Datenmanagementsystems, klare Festlegung der Befugnisse der betreffenden Mitarbeiter. Nur autorisierte Mitarbeiter dürfen auf personenbezogene Daten zugreifen. Mitarbeiter mit Datenzugriff werden streng geschult und verwaltet, unterzeichnen Vertraulichkeitsvereinbarungen und dürfen Daten keinesfalls offenlegen;
• Notfallmaßnahmen: Einrichtung eines Reaktionsmechanismus für Datenschutzvorfälle. Bei Vorfällen wie Offenlegung oder Manipulation personenbezogener Daten wird unverzüglich ein Notfallplan aktiviert, Abhilfemaßnahmen werden ergriffen, die Ausweitung von Risiken wird kontrolliert, und die zuständigen Aufsichtsbehörden sowie betroffenen Nutzer werden innerhalb von 72 Stunden benachrichtigt, sofern ein hohes Risiko vorliegt;
• Compliance-Maßnahmen: Regelmäßige Durchführung von Datenschutz-Folgenabschätzungen (DPIA), um potenzielle Risiken bei Datenverarbeitungstätigkeiten mit hohem Risiko frühzeitig zu erkennen und gezielte Schutzmaßnahmen zu treffen. Regelmäßige interne GDPR-Compliance-Prüfungen, um sicherzustellen, dass alle Datenverarbeitungstätigkeiten den einschlägigen Anforderungen entsprechen.

Wesentliche Rechte der betroffenen Personen

Gemäß Kapitel III der GDPR stehen den in der Europäischen Union ansässigen Nutzern als betroffenen Personen die folgenden wesentlichen Rechte zu. Wir werden die Ausübung dieser Rechte umfassend unterstützen und berechtigte Anliegen der Nutzer nicht ohne triftigen Grund ablehnen:

• Recht auf Information: Nutzer haben das Recht, Auskunft über die Erhebung, Nutzung und Speicherung ihrer personenbezogenen Daten zu erhalten, einschließlich Umfang der Datenerhebung, Verarbeitungszwecke, Speicherdauer und Datenquellen. Wir werden hierzu innerhalb von 1 bis 3 Werktagen ausführlich Rückmeldung geben;
• Auskunftsrecht: Nutzer haben das Recht, von uns eine Kopie ihrer personenbezogenen Daten zu verlangen und sich über die konkrete Verarbeitung ihrer personenbezogenen Daten zu informieren. Wir stellen die entsprechende Kopie unentgeltlich zur Verfügung, wobei in besonderen Fällen angemessene Kosten erhoben werden können;
• Recht auf Berichtigung: Wenn Nutzer feststellen, dass ihre personenbezogenen Daten unrichtig oder unvollständig sind, haben sie das Recht, von uns deren unverzügliche Berichtigung zu verlangen. Nach Prüfung werden wir die Berichtigung innerhalb von 2 Werktagen vornehmen;
• Recht auf Löschung (Recht auf Vergessenwerden): Nutzer haben das Recht, von uns die Löschung ihrer personenbezogenen Daten zu verlangen. Liegen die in der GDPR vorgesehenen Voraussetzungen vor, etwa wenn die Daten für die vereinbarten Zwecke nicht mehr benötigt werden oder der Nutzer seine Einwilligung widerruft, werden wir die betreffenden Daten unverzüglich löschen und die einschlägigen Datenverarbeiter zur Löschung informieren;
• Recht auf Einschränkung der Verarbeitung: Nutzer haben das Recht, von uns die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. Nach Prüfung werden wir die entsprechende Datenverarbeitung aussetzen, bis die Gründe für die Einschränkung entfallen;
• Recht auf Datenübertragbarkeit: Nutzer haben das Recht, von uns ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, damit sie die Daten an einen anderen Datenverantwortlichen übermitteln können;
• Widerspruchsrecht: Nutzer haben das Recht, gegen Datenverarbeitungstätigkeiten Widerspruch einzulegen, die wir auf Grundlage berechtigter Interessen oder im öffentlichen Interesse durchführen. Wir werden die betreffende Verarbeitung einstellen, es sei denn, es bestehen zwingende schutzwürdige Gründe oder gesetzliche Verpflichtungen;
• Recht auf Widerruf der Einwilligung: Nutzer haben das Recht, ihre zuvor erteilte Einwilligung zur Erhebung und Nutzung personenbezogener Daten jederzeit zu widerrufen. Nach dem Widerruf stellen wir die betreffende Datenverarbeitung unverzüglich ein. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf auf Grundlage der Einwilligung erfolgten Verarbeitung.

Datenweitergabe und Übermittlung

Wir halten uns strikt an die einschlägigen Bestimmungen der GDPR und geben personenbezogene Daten der Nutzer weder an unbeteiligte Dritte weiter noch verkaufen oder vermieten wir diese. Eine Weitergabe personenbezogener Daten erfolgt nur in den folgenden Fällen und stets unter Anwendung strenger Sicherheitsmaßnahmen zum Schutz der Daten:

• Zur Erfüllung vertraglicher Pflichten: Weitergabe notwendiger Informationen wie Lieferadresse und Telefonnummer des Nutzers an Logistikdienstleister zur Durchführung der Warenlieferung. Wir schließen mit den Logistikdienstleistern Auftragsverarbeitungsverträge ab, in denen die Pflichten beider Seiten festgelegt werden, um sicherzustellen, dass die Daten nur zu den vereinbarten Zwecken verwendet werden;
• Zur Erfüllung rechtlicher Verpflichtungen: Bereitstellung relevanter personenbezogener Daten und Transaktionsaufzeichnungen der Nutzer auf Anforderung von Steuer-, Aufsichts- oder anderen zuständigen Behörden;
• Mit ausdrücklicher Einwilligung des Nutzers: Auf Grundlage der ausdrücklichen Einwilligung des Nutzers Weitergabe nicht sensibler personenbezogener Daten an einschlägige Kooperationspartner, wobei der Umfang der Weitergabe strikt auf den vom Nutzer genehmigten Zweck beschränkt ist.

Wir übermitteln keine personenbezogenen Daten der Nutzer in Länder außerhalb der Europäischen Union. Sollte eine solche Übermittlung tatsächlich erforderlich sein, werden wir strikt gemäß den Artikeln 48 bis 50 GDPR Standardvertragsklauseln (SCCs) oder andere zulässige Mechanismen einsetzen, um sicherzustellen, dass das Schutzniveau des Datenempfängers den Anforderungen der GDPR entspricht.

Pflichten des Datenverantwortlichen

Als Datenverantwortlicher erfüllen wir strikt sämtliche in der GDPR vorgesehenen Pflichten, insbesondere wie folgt:

• Transparenzpflicht: Wahrheitsgemäße Offenlegung der Regeln zur Erhebung, Nutzung, Speicherung und Verarbeitung personenbezogener Daten, damit die Nutzer die gesamte Datenverarbeitung klar nachvollziehen können und ihr Recht auf Information gewahrt bleibt;
• Dokumentationspflicht: Ausführliche Aufzeichnung aller Datenverarbeitungstätigkeiten, einschließlich Umfang der Datenerhebung, Verarbeitungszwecke, Speicherdauer und Empfänger der Daten, in vollständiger Dokumentationsform, um Prüfungen durch Aufsichtsbehörden und Auskunftsanfragen der Nutzer zu ermöglichen;
• Reaktionspflicht: Rechtzeitige Bearbeitung und Beantwortung der von Nutzern ausgeübten Rechte innerhalb der in der GDPR vorgesehenen Fristen, ohne unbegründete Verzögerung oder Ablehnung;
• Sicherheitspflicht: Ergreifung angemessener und geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten, Verhinderung verschiedener Datenrisiken sowie regelmäßige Durchführung von Sicherheitsbewertungen und internen Prüfungen;
• Pflicht zur Meldung von Verstößen: Im Falle einer Verletzung des Schutzes personenbezogener Daten Benachrichtigung der zuständigen EU-Datenschutzaufsichtsbehörde innerhalb von 72 Stunden. Bei Datenschutzverletzungen mit hohem Risiko werden die betroffenen Nutzer rechtzeitig informiert;
• Schulungspflicht: Regelmäßige Schulung der betreffenden Mitarbeiter in Bezug auf GDPR und Datenschutz, um das Compliance-Bewusstsein und die Handlungsstandards der Mitarbeiter zu verbessern und durch menschliche Fehler verursachte Datenrisiken zu vermeiden.

Compliance-Überwachung und Verantwortung

Wir führen regelmäßig interne GDPR-Compliance-Prüfungen durch, unterwerfen uns aktiv der Aufsicht und Kontrolle durch Datenschutzaufsichtsbehörden der Europäischen Union und Deutschlands und beheben festgestellte Probleme unverzüglich, um sicherzustellen, dass die Datenverarbeitungstätigkeiten fortlaufend konform bleiben. Wenn wir durch unser Verschulden gegen einschlägige Bestimmungen der GDPR verstoßen und dadurch die Rechte der Nutzer an ihren personenbezogenen Daten beeinträchtigt werden, übernehmen wir die entsprechende gesetzliche Verantwortung, einschließlich, aber nicht beschränkt auf den Ersatz von Schäden der Nutzer und die Entgegennahme von Sanktionen durch Aufsichtsbehörden. Gleichzeitig werden wir unverzüglich Abhilfemaßnahmen ergreifen, die rechtswidrige Datenverarbeitung einstellen und eine Ausweitung des Schadens verhindern.

Aktualisierung und Inkrafttreten der Erklärung

Diese Erklärung wird entsprechend Aktualisierungen der GDPR und der einschlägigen deutschen Datenschutzgesetze, politischen Anpassungen sowie den Erfordernissen der Geschäftsentwicklung bei Bedarf geändert und verbessert. Die geänderte Erklärung wird an gut sichtbarer Stelle in unserem Online-Shop veröffentlicht und tritt mit dem Datum der Veröffentlichung in Kraft, ohne rückwirkende Wirkung. Nutzt der Nutzer unsere Online-Shop-Dienste nach der Aktualisierung der Erklärung weiterhin, gilt dies als Bestätigung, dass er die geänderte Erklärung vollständig gelesen, verstanden und akzeptiert hat.

Kontakt

Wenn Sie Ihre Rechte im Zusammenhang mit personenbezogenen Daten ausüben möchten, Fragen zur GDPR-Compliance haben oder Probleme im Zusammenhang mit der Datensicherheit melden möchten, können Sie uns über die folgenden Wege kontaktieren:

• Kontaktadresse: 756 RESEDA DR APT 1, SUNNYVALE, CA 94087, US
• Kundendienst-E-Mail: mail@nestmanor.com
• Kundendienst-Telefon: +1 (646) 265-4000
• Online-Zeiten: Montag bis Freitag, 9:00 bis 12:30 Uhr und 14:00 bis 18:00 Uhr (Mitteleuropäische Zeit, CET)

Wir werden Ihre Anfragen innerhalb der Online-Zeiten rechtzeitig beantworten und Ihnen professionelle Serviceunterstützung bieten.