Datenschutzerklärung

Lieber Kunde in diesem Online-Shop!

In der Europäischen Union muss jeder, der personenbezogene Daten als Verantwortlicher verarbeitet, die Betroffenen nach den Art. 13 und 14 der Datenschutz-Grundverordnung über bestimmte Aspekte der Datenverarbeitung informieren.

Neben der genannten Vorschrift in der Datenschutz-Grundverordnung gibt es weitergehende Pflichten zum Vorhalten einer Datenschutzerklärung im Recht einzelner Mitgliedsstaaten, so in Deutschland für Anbieter von Telemedien (wie zum Beispiel Websites) in § 13 Abs. 1 Telemediengesetz.

(Quelle: Wikipedia)

Dieses Datenschutzerklärungsthema interessiert ja in erster Linie die Rechtanwälte (insbesondere Abmahnkanzleien, die gierig nach Formfehlern suchen), denn jeder vernünftige Shop-Betreiber (und dazu zähle ich mich), wird tunlichst dafür sorgen, dass mit Ihren Daten kein Unfug getrieben wird. Um das habe ich mich auch gewissenhaft gekümmert.
Es liegt leider in der Natur der Sache, dass man beim Betrieb eines Online-Shops auf Drittanbieter angewiesen ist – speziell Zahlungsdienstleister wie PayPal; ohne die geht´s nun mal leider nicht. Aktuell verwende ich nur PayPal, bekanntermaßen ein Dienstleister mit den Wurzeln in den USA, und da muss man sich klar sein, dass alle personenbezogenen Daten, die beim Zahlungsvorgang anfallen (eMail-Adresse und damit der PayPal-Account, Warenkorbinhalt, etc.) überm großen Teich nach Gutdünken gespeichert, verarbeitet und weitergegeben werden. Das ist nicht schön, aber nicht zu ändern. Europa hat ja den Online-Zahlungsmarkt komplett verschlafen, somit gibts hier auch keine brauchbaren Alternativen.
Die Datenschutzerklärung von PayPal ist hier (aber die haben Sie ja eh abgenickt, wenn Sie PayPal benutzen…): LINK. Wem das nicht gefällt, für den habe ich die Zahlungsart „Vorkasse“ eingerichtet. Da gehen dann gar keine Daten zu einem Drittanbieter – leider verzögert sich aber der Versand, weil es ein paar Tage dauert bis die Banküberweisung auf meinem Konto ankommt.

Dieser Shop ist ansonsten so datensparsam wie möglich – keine Tracking-Cookies, kein Google Analytics, keine externen Webfonts. Es werden nur die technisch notwendigen Cookies für die Aufrechterhaltung des Bestell- und Zahlvorgangs verwendet.

Wenn Sie bestellen, werden logischerweise Ihre Daten auch in der Besteller-Datenbank gespeichert. Und zwar, bis die Ware ausgeliefert ist, und auch darüber hinaus. Insbesondere wenn Sie ein Kundenkonto anlegen, werden Ihre Daten vorgehalten, falls Sie erneut bestellen wollen; dann müssen Sie nicht alles nochmal eintippen.

Das war die umgangssprachliche, kurze Erklärung.

Für Interessierte und Fans von Paragraphen kommt nun die amtliche Ausformulierung. Manche Angaben sind dabei Wiederholungen, die auch im Impressum oder den AGBs zu finden sind, aber die DSGVO will es so.

Infos zu Art. 13 DSGVO
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters: Tandallin Verlag, Sylvia Gruber, Salinenstrasse 1, 83435 Bad Reichenhall. Telefon: +49 86 51 / 9 00 62 02, Telefax: +49 86 51 / 9 05 77 78, E-Mail: office@tandallin.de
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten: Brauche ich keinen, und ich habe auch keinen
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung: Zweck ist der Betrieb dieses Onlineshops mit allen verbundenen Prozessen: Adressverarbeitung, Bestellverarbeitung, Zahlungsabwicklung, Marketingmaßnahmen (z.B. die Wieder-Verfügbarkeits-Mail)
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden: Mein Interesse gilt der Abwicklung von Shop-Bestellungen zur vollsten Zufriedenheit meiner Kunden, und der weitergehenden Information von interessierten Kunden über neue/neu eingetroffener Waren aus meinen Sortimenten
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten: Das bin nur ich, und bei Zahlung via PayPay die Firma PayPal im Rahmen der übermittelten Abrechnungsdaten
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind: An Dritte, oder gar Drittländer, gebe ich Ihre Daten auf keinen Fall weiter. Ausnahme sind die Zahlungsdienstleister, aber das ist leider technisch unumgänglich.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer: Das ist jetzt nicht ganz so einfach zu erklären, insbesondere wenn man darüber philisophiert, was unter „personenbezogene Daten“ denn eigentlich fällt… Da wäre als erstes mal die IP-Adresse Ihres Internet-Anschlusses (oder Ihres Handys, über das Sie mich besuchen). Meist ist das eine „dynamische“ IP, die Ihr Provider sowieso regelmäßig ändert; oder im Falle des Handys meist eine IP aus dem Private Range (https://de.wikipedia.org/wiki/Private_IP-Adresse), die per CNAT auf irgeneine IP Ihres Handy-Providers gemappt wird. Diese sind nur temporär gültig und/oder sowieso nicht einer Person (dauerhaft) zuordenbar. Anders wäre es, wenn Sie von Ihrem Provider eine „feste IP“ erhalten – diese bleibt dann stets gleich und könnte Ihnen (bzw. zumindest Ihrem Internet-Anschluss) zugeordnet werden. Der Webserver bei der Hostingfirma meines Vertrauens (All-Inkl) ist so eingestellt, dass Logfiles nach 190 Tagen gelöscht werden. Dabei wird gespeichert: die IP-Adresse des anfragenden Endgerätes, Datum und Uhrzeit des Aufrufs der Shopseiten, Angabe der Zeitverschiebung zwischen anfragendem Host und Webserver, Inhalt zur Anfrage bzw. Angabe der abgerufenen Datei, die an den Nutzer übermittelt wurde, der Zugriffsstatus (erfolgreiche Übermittlung, Fehler etc), die jeweils übertragene Datenmenge in Byte, die Webseite, von der aus der Zugriff des Nutzers erfolgt ist, der durch den Nutzer verwendeter Browser, das Betriebssystem, die Oberfläche, die Sprache des Browsers und die Version der Browsersoftware. 190 Tage hört sich jetzt viel an, aber ich habe ein berechtigtes Interesse daran, das letzte halbe Jahr des Shops jederzeit auswerten zu können. Darüber hinaus muß ich auch die Möglichkeit haben, eine evtl. mißbräuchliche Nutzung des Shops nachweisen zu können. Als nächstes wären da die Daten von Bestellern und Bestellungen (also das was im Shop von Ihnen eingetippt und gekauft wurde): die bleiben mindestens 10 Jahre gespeichert, eher mindestens 11 weil mein Steuerberater immer ziemlich spät mit der Steuererklärung dran ist, und die gesetzliche Aufbewahrungsfrist ja erst mit dem Erhalt des Einkommensteuerbescheids zu ticken beginnt. Dann haben wir da noch Cookies (das sind diese kleinen Textdateien, die sich Ihr Browser anlegt, und beim Seitenaufruf jedesmal wieder mitsendet). Alle Cookies sind ausschliesslich Technisch Notwendige. Die meisten werden automatisch (von Ihrem Browser) nach dem Sitzungsende (d.h. Browser schliessen) gelöscht. Nur die Warenkorb-Cookies halten für zwei Tage – das dient aber nur dazu dass der Warenkorb nicht verschwindet, wenn Sie aus Versehen des Browser zu machen – das wäre ja auch doof, oder? Aber wie gesagt, nach 2 Tagen sind auch die weg. Ansonsten fällt mir jetzt nichts ein, was an Daten im Zusammenhang mit dem Shop-Besuch anfallen würde.
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit: Klar das haben Sie, außer Sie haben was gekauft, dann greift die gesetzliche Aufbewahrungsfrist. Aber gerne sperre ich den Account für weitere Besuche bzw. den Versand von Marketing-Maßnahmen – das versteht sich doch von selbst. Zum Thema Datenübertragbarkeit: Nun ja, Ihre Adressdaten wissen Sie mit Sicherheit besser als ich, und das was Sie gekauft haben hoffentlich auch. Im Rahmen der technischen Möglichkeiten kann ich auf Wunsch aber gerne einen Export der Daten als CSV-Datei anwerfen. Dazu aber noch die Hinweise zum Telemediengesetz (siehe unten) beachten.
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird: Genau, deshalb gibts beim Anlegen eines Kontos auch die Opt-In Prozedur, in der Sie erstmal eine Mail bekommen und hier explizit zustimmen müssen.
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde: Das haben Sie natürlich. Lieber wäre es mir aber, wenn Sie mir direkt mitteilen, was nicht in Ordnung ist, damit ich das ganz schnell beheben kann.
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und: Klar, ohne Ihren Namen und Ihre Anschrift kann ich Ihnen nichts per Post schicken – deshalb ist es für den Vertragsabschluss unumgänglich. Solange Sie nur im Shop stöbern, wird noch nichts erhoben. Ausnahme: Sie wollen informiert werden, wenn ein Artikel wieder lieferbar ist. Dann brauche ich Ihre eMail-Adresse (wiederum mit Opt-In, damit nicht Dritte mit Ihrer eMail-Adresse Unfug treiben).
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person: So was mache ich nicht.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung: So was beabsichtige ich nicht.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Infos zu Art. 14 DSGVO: Das betrifft uns nicht, das ist der Paragraph für Datenhändler und Weiterverarbeiter wie Cambridge Analytics & Co. NB: Die sitzen i.d.R. aber eh im EU-Ausland, sodass da nur eine „theoretische“ Handhabe besteht. Hier wäre wieder eine Gelegenheit für eine philosophische Abhandlung… aber vielleicht jetzt nur ein Tipp: Am meisten verrät doch das eigene Handy über einen selbst – permanentes Tracking, Sprachmitschnitte, etc. Also: einfach mal das Handy zu Hause lassen, das ist der beste Datenschutz 😉

Infos zu § 13 des Telemediengesetzes (das gilt in Deutschland zusätzlich zur DSGVO):
Pflichten des Diensteanbieters (also meine)
(1) 1.Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. 2.Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. 3.Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein. Also zu 1.: Dazu dient die Opt-In-Prozedur, d.h. wir legen Ihren Adressdatensatz erst an, wenn Sie auf der Ihnen vorliegenden Mail zustimmen. Brauchen tun wir die Daten für die Zwecke siehe oben in der Erklärung zur DSGVO. Zu 2.: So was machen wir nicht. Zu 3.: Genau, dazu liegt Ihnen ja die Opt-In-Mail vor.
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat: Durch Klick auf den Link in der Email
  2. die Einwilligung protokolliert wird: Das tun wir
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und: Genau, steht in Ihrem Benutzer-Profil im Shop
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann: Das geht, aber nicht wenn Sie bereits was gekauft haben – dann greifen bei uns die gesetztlichen Verjährungsfristen.
    (3) 1.Der Diensteanbieter hat den Nutzer vor Erklärung der Einwilligung auf das Recht nach Absatz 2 Nr. 4 hinzuweisen. 2.Absatz 1 Satz 3 gilt entsprechend: Richtig, vor dem Kauf müssen Sie die Einwilligung abnicken durch Aktivieren der entsprechenden Checkbox.
    (4) 1.Der Diensteanbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
  5. der Nutzer die Nutzung des Dienstes jederzeit beenden kann: Jederzeit mit Ausnahme wenn gesetzliche Fristen dagegen stehen.
  6. die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht oder in den Fällen des Satzes 2 gesperrt werden: Siehe oben DSGVO
  7. der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann: Wir verwenden eine SSL-Verschlüsselung, die das Mitlauschen Dritter sehr unwahscheinlich macht. Aber hey – es ist ein Onlineshop, und keine Steuererklärung…
  8. die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können: Wir bieten nur eine Telemedie, und das ist der Shop.
  9. Daten nach § 15 Abs. 2 nur für Abrechungszwecke zusammengeführt werden können: Nicht mal das. Jede Bestellung ist ein eigener Vorgang und wird separat abgerechnet.
  10. Nutzungsprofile nach § 15 Abs. 3 nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammengeführt werden können: Bei uns gibts kein Pseudonym. Ich muss ja meine Kunden kennen, mit denen ich ein Vertragsverhältnis habe.

2.An die Stelle der Löschung nach Satz 1 Nr. 2 tritt eine Sperrung, soweit einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen: Genau, wir sperren den Account siehe oben.
(5) Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen: Klar, sowas mache ich aber nicht.
(6) 1.Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. 2.Der Nutzer ist über diese Möglichkeit zu informieren: Das geht vielleicht im Darknet mit Bitcoins, aber in der normalen Welt nicht. Bei uns gibts keine Pseudonyme oder anonyme Zahlungen. Jedoch muss nicht zwingend ein Kundenkonto angelegt werden – es gehen auch Einmalbestellungen.
(7) 1.Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist: Genau, dafür garantiert uns der Webhoster unseres Vertrauens (All-Inkl)
  2. (und) diese
    a) gegen Verletzungen des Schutzes personenbezogener Daten und
    b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
    gesichert sind: Ich kann jetzt nicht die TOMs von All-Inkl rezitieren, weil diese Bestandteil meines privaten Auftrags zur Datenverarbeitung sind – es sind aber alle technische und organisatorischen Maßnahmen getroffen, die man von einem der Top-Provider in Deutschland erwarten darf.
    2.Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. 3.Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens: Wir verwenden aktuell (Stand 8.8.2020) SSL mit TLS 1.2 und einem 256 Bit Schlüssel; das Zertifikat stellt LetsEncrypt zur Verfügung.
    (8) 1.Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. 2.Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden: Richtig. Allerdings können Sie erwarten, dass wir nachfragen werden, weil es ja ziemlich ungewöhnlich ist, dass unser Kunde nicht mehr weiss was er bei uns bestellt hat? Die Daten werden wir also erst herausgeben, wenn Ihre Identität zweifelsfrei feststeht.