Datenschutzerklärung

für den Onlineshop: korina-fachhandel.com · Stand: Juli 2025

Verantwortlicher

Kontakt Datenschutzbeauftragter

Tomorrowtimes UG (haftungsbeschränkt)
Zevenaarer Straße 99, 46446 Emmerich am Rhein
E-Mail: [email protected]

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

• Bestandsdaten, Zahlungsdaten, Kontaktdaten, Inhaltsdaten, Vertragsdaten
• Nutzungsdaten
• Meta-, Kommunikations- und Verfahrensdaten
• Protokolldaten

Kategorien betroffener Personen

• Leistungsempfänger und Auftraggeber, Interessenten, Kommunikationspartner, Nutzer
• Geschäfts- und Vertragspartner, Kunden

Zwecke der Verarbeitung

• Vertragserfüllung und -verwaltung, Kommunikation, Sicherheitsmaßnahmen
• Direktmarketing, Reichweiten- & Konversionsmessung, Tracking, Zielgruppenbildung
• Büro-/Organisations- & Verwaltungsverfahren, Feedback
• Bereitstellung des Onlineangebotes, Nutzerfreundlichkeit, IT-Infrastruktur
• Geschäftsprozesse und betriebswirtschaftliche Verfahren

Maßgebliche Rechtsgrundlagen

Wir verarbeiten Daten auf Basis von Art. 6 Abs. 1 S. 1 lit. a (Einwilligung), b (Vertrag/Anbahnung), c (rechtliche Verpflichtung), f (berechtigte Interessen) DSGVO. Zusätzlich gelten nationale Vorschriften (insb. BDSG). Diese Hinweise dienen auch der Information nach Schweizer DSG (Begriffe nach DSGVO verwendet).

Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen (TOM), u. a. Zugriffskontrollen, Protokollierung, Trennung von Daten, Verfahren zur Wahrnehmung von Betroffenenrechten und Löschkonzepte.

• TLS/SSL (HTTPS): Schutz der Datenübertragung durch aktuelle Verschlüsselung.
• IP-Masking: Kürzung von IP-Adressen, sofern volle IP nicht erforderlich ist.

Übermittlung von personenbezogenen Daten

Daten können an Empfänger wie IT-Dienstleister, Hosting-/Versand- und Zahlungsdienstleister übermittelt werden. Innerhalb der Organisation erhalten nur berechtigte Stellen Zugriff (Erforderlichkeit, gesetzliche Erlaubnis/Interessenabwägung).

Internationale Datentransfers

Übermittlungen in Drittländer erfolgen gem. DSGVO. Bei Transfers in die USA stützen wir uns vorrangig auf das EU-US Data Privacy Framework (DPF), zusätzlich auf Standardvertragsklauseln (SCC). Für andere Drittländer verwenden wir SCC, Einwilligungen oder gesetzliche Erlaubnisse.

Infos zum DPF: dataprivacyframework.gov · EU-Kommission: Informationsangebot

Allgemeine Informationen zur Datenspeicherung und Löschung

Daten werden gelöscht, sobald der Zweck entfällt, Einwilligungen widerrufen werden oder keine Rechtsgrundlage mehr besteht – vorbehaltlich gesetzlicher Aufbewahrungspflichten und berechtigter Interessen (z. B. Rechtsverfolgung).

• 10 Jahre: u. a. Bücher/Aufzeichnungen, Jahresabschlüsse (§ 147 AO, § 257 HGB, § 14b UStG)
• 8 Jahre: Buchungsbelege (soweit einschlägig nach aktueller Praxis)
• 6 Jahre: sonstige geschäftliche Unterlagen (§ 257 HGB, § 147 AO)
• 3 Jahre: zivilrechtliche Ansprüche (§§ 195, 199 BGB)

Rechte der betroffenen Personen

• Auskunft, Berichtigung, Löschung, Einschränkung
• Datenübertragbarkeit
• Widerspruch nach Art. 21 DSGVO (inkl. gegen Direktwerbung/Profiling)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Beschwerde bei einer Datenschutzaufsichtsbehörde

Geschäftliche Leistungen

Wir verarbeiten Daten von Vertrags- und Geschäftspartnern (Kunden, Interessenten) zur Vertragsanbahnung/-erfüllung, Kommunikation, Organisation, Gewährleistung, Rechtsdurchsetzung und Sicherheit.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, c, f DSGVO. Löschung: gem. Abschnitt „Speicherung“.

Onlineshop, Bestellformulare, E-Commerce und Leistungserfüllung

Verarbeitung zur Auswahl, Bestellung, Bezahlung, Bereitstellung/Lieferung; Einsatz von Versandunternehmen (DHL/UPS) sowie Banken/Zahlungsdienstleistern. Erforderliche Angaben sind gekennzeichnet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Geschäftsprozesse und -verfahren

Verarbeitung zur Unterstützung betrieblicher Abläufe (Kundenmanagement, Vertrieb, Zahlungsverkehr, Buchhaltung, Projektmanagement, IT-Sicherheit). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, f DSGVO. Löschung: gem. „Speicherung“.

Kundenkonto

Optionale Registrierung; Speicherung von IP-Adresse und Zeitpunkten zur Missbrauchsprävention. Löschung nach Kündigung vorbehaltlich gesetzlicher Pflichten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, f DSGVO.

Zahlungsverfahren

Wir bieten sichere Zahlungsmöglichkeiten und setzen Zahlungsdienstleister ein. Diese verarbeiten u. a. Bestands-, Bank-, Transaktions- und Prüfdaten eigenverantwortlich; uns werden regelmäßig nur Statusinformationen bereitgestellt. Es gelten deren Bedingungen/Datenschutzhinweise.

Verarbeitete Datenarten: Bestands-, Zahlungs-, Vertrags-, Nutzungs- sowie Meta-/Kommunikations-/Verfahrensdaten. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, f DSGVO.

Beispielhafte Dienstleister

• Mastercard – Datenschutz
• Stripe – Datenschutz (DPF/SCC)
• Visa – Privacy Center

Welche Zahlungsarten/-dienste konkret aktiv sind, ergibt sich aus dem Checkout.

Bereitstellung des Onlineangebots und Webhosting

Verarbeitung von IP-Adresse, Protokolldaten, Nutzungs- und Metadaten für Betrieb, Sicherheit und Auslieferung des Onlineangebots. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Server-Logfiles

Protokollierung u. a. abgerufene Seiten/Dateien, Zeitpunkte, Datenmengen, Erfolgsstatus, Browser/OS, Referrer, IP, Provider. Speicherdauer: max. 30 Tage (danach Löschung/Anonymisierung; Ausnahme Beweiszwecke).

E-Mail-Versand/-Hosting

Verarbeitung von Absender/Empfänger, Transportdaten und Inhalten; Transportverschlüsselung üblich, keine Gewähr für Ende-zu-Ende-Verschlüsselung ohne entsprechende Maßnahmen.

Content-Delivery-Network (CDN)

Zur schnellen/sicheren Auslieferung großer Dateien (z. B. Scripte/Medien).

Webhoster

netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, DE – Datenschutz · AVV: Informationen

Einsatz von Cookies

Wir verwenden Cookies/ähnliche Technologien gemäß gesetzlichen Vorgaben. Einwilligungen werden – sofern erforderlich – vorab eingeholt und protokolliert; technisch notwendige Cookies stützen wir auf berechtigte Interessen.

Speicherdauer

• Session-Cookies: bis zum Sitzungsende
• Permanente Cookies: in der Regel bis zu 24 Monate (sofern nicht anders angegeben)

Widerruf & Widerspruch

Einwilligungen können jederzeit widerrufen werden; Browser-Opt-Out möglich (eingeschränkte Funktionalität möglich).

Einwilligungs-Management

Verfahren zur Einholung, Protokollierung, Verwaltung und zum Widerruf von Einwilligungen (inkl. pseudonymem Identifikator, Umfang, Zeitstempel, Gerät/Browser).

Kontakt- und Anfrageverwaltung

Verarbeitung eingehender Anfragen (Post, Formular, E-Mail, Telefon, Social Media) zur Kommunikation, Bearbeitung und Nachweisführung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, f DSGVO.

Kontaktformular

Verarbeitung der übermittelten Angaben ausschließlich zum angegebenen Zweck; erforderliche Felder sind gekennzeichnet.

Newsletter und elektronische Benachrichtigungen

Versand nur mit Einwilligung oder gesetzlicher Erlaubnis. Optional Messung von Öffnungs-/Klickraten per Web-Beacon zur Optimierung (profilscharf bis Widerruf/Löschung).

Widerruf/Opt-Out: jederzeit über Abmeldelink oder Kontakt an uns. Ausgetragene Adressen speichern wir bis zu 3 Jahre zum Nachweis (Zweckbindung, Sperrlisten).

Versanddienstleister (Beispiel): CleverReach GmbH & Co. KG, DE – Datenschutz

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a, f DSGVO.

Onlinemarketing

Profil- und interessenbasierte Ausspielung von Inhalten/Ads, Reichweiten- und Konversionsmessung. Pseudonymisierte Profile, IP-Masking; Cookies typ. bis zu 24 Monate.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a, f DSGVO. Opt-Out: EU · CA · USA · global

Beispielhafte Dienste

• Google Ads / Conversion (Google Ireland; DPF/SCC) – Privacy
• Google AdSense (personalisiert / nicht-personalisiert) – Privacy
• LinkedIn Insight Tag (LinkedIn Ireland; DPF/SCC) – Privacy

Änderung und Aktualisierung

Bitte informieren Sie sich regelmäßig. Wir aktualisieren diese Datenschutzerklärung, sobald Änderungen unserer Verarbeitungen dies erfordern. Wenn Ihre Mitwirkung (z. B. Einwilligung) nötig ist, informieren wir gesondert. Externe Adressen/Links können sich ändern.

Begriffsdefinitionen

In diesem Abschnitt erläutern wir verwendete Begriffe kurz (sofern nicht bereits gesetzlich definiert):

• Bestandsdaten: Grunddaten zur Identifikation/Verwaltung (z. B. Name, Adresse, Kontakt, Kundennummer).
• Inhaltsdaten: übermittelte/erstellte Inhalte inkl. zugehöriger Metadaten.
• Kontaktdaten: Kommunikationsangaben (Telefon, Post-/E-Mail-Adresse u. a.).
• Konversionsmessung: Verfahren zur Erfolgsanalyse von Marketingmaßnahmen.
• Meta-/Kommunikations-/Verfahrensdaten: Kontext- und Prozessinformationen (z. B. IP, Zeitstempel, IDs).
• Nutzungsdaten: Interaktionen mit dem Onlineangebot (Seitenaufrufe, Verweildauer, Geräte/OS etc.).
• Personenbezogene Daten: Informationen zu identifizierten/identifizierbaren Personen.
• Profile mit nutzerbezogenen Informationen: automatisierte Auswertung zur Ableitung von Interessen/Verhalten.
• Protokolldaten: System-/Zugriffsereignisse (z. B. Logfiles).
• Reichweitenmessung: Analyse der Besucherströme und Inhalte-Interessen.
• Tracking: verhaltens-/interessenbezogene Nachverfolgung über Angebote hinweg.
• Verantwortlicher: Stelle, die über Zwecke/Mittel der Verarbeitung entscheidet.
• Verarbeitung: jeder Umgang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Löschen etc.).
• Vertragsdaten: Infos zu Vertragsbeziehungen (Leistungsumfang, Laufzeiten, Konditionen).
• Zahlungsdaten: zur Zahlungsabwicklung erforderliche Angaben (Bank/Karte, Beträge, Transaktionen).
• Zielgruppenbildung: Bildung von (Lookalike-)Audiences für Werbezwecke.

Fragen zum Datenschutz? Schreibe uns an [email protected].