AGB

Allgemeine Geschäftsbedingungen

und Datenschutzerklärung 

einverstanden, zurück zur Startseite

Einverstanden, zurück zum Warenkorb

Allgemeine Geschäftsbedingungen, Datenschutz, Recht, DATENVERARBEITUNGSVEREINBARUNG, Vereinbarung zur Auftragsverarbeitung

 

AGB

1. Geltungsbereich

Für alle Bestellungen über unseren Online-Shop gelten die nachfolgenden AGB. Unser Online-Shop richtet sich ausschließlich an Verbraucher.
Verbraucher ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können. Unternehmer ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt.
2. Vertragspartner, Vertragsschluss

Der Kaufvertrag kommt zustande mit Thysanotus-Versand.

Die Darstellung der Produkte im Online-Shop stellt kein rechtlich bindendes Angebot, sondern einen unverbindlichen Online-Katalog dar. Sie können unsere Produkte zunächst unverbindlich in den Warenkorb legen und Ihre Eingaben vor Absenden Ihrer verbindlichen Bestellung jederzeit korrigieren, indem Sie die hierfür im Bestellablauf vorgesehenen und erläuterten Korrekturhilfen nutzen. Durch Anklicken des Bestellbuttons geben Sie eine verbindliche Bestellung der im Warenkorb enthaltenen Waren ab. Die Bestätigung des Zugangs Ihrer Bestellung erfolgt per E-Mail unmittelbar nach dem Absenden der Bestellung.

Wann der Vertrag mit uns zustande kommt, richtet sich nach der von Ihnen gewählten Zahlungsart:

Vorkasse
Wir nehmen Ihre Bestellung durch Versand einer Annahmeerklärung in separater E-Mail innerhalb von zwei Tagen an, in welcher wir Ihnen unsere Bankverbindung nennen.

PayPal, PayPal Express
Im Bestellprozess werden Sie auf die Webseite des Online-Anbieters PayPal weitergeleitet. Dort können Sie Ihre Zahlungsdaten angeben und die Zahlungsanweisung an PayPal bestätigen. Nach Abgabe der Bestellung im Shop fordern wir PayPal zur Einleitung der Zahlungstransaktion auf und nehmen dadurch Ihr Angebot an.
3. Vertragssprache, Vertragstextspeicherung
Die für den Vertragsschluss zur Verfügung stehende Sprache ist Deutsch.

Wir speichern den Vertragstext und senden Ihnen die Bestelldaten und unsere AGB per E-Mail zu. Den Vertragstext können Sie in unserem Kunden-Login einsehen.
4. Lieferbedingungen

Zuzüglich zu den angegebenen Produktpreisen kommen noch Versandkosten hinzu. Näheres zur Höhe der Versandkosten erfahren Sie bei den Angeboten.

Wir liefern nur im Versandweg. Eine Selbstabholung der Ware ist leider nicht möglich.

5. Bezahlung

In unserem Shop stehen Ihnen grundsätzlich die folgenden Zahlungsarten zur Verfügung:

Vorkasse
Bei Auswahl der Zahlungsart Vorkasse nennen wir Ihnen unsere Bankverbindung in separater E-Mail und liefern die Ware nach Zahlungseingang.

PayPal, PayPal Express
Im Bestellprozess werden Sie auf die Webseite des Online-Anbieters PayPal weitergeleitet. Um den Rechnungsbetrag über PayPal bezahlen zu können, müssen Sie dort registriert sein bzw. sich erst registrieren, mit Ihren Zugangsdaten legitimieren und die Zahlungsanweisung an uns bestätigen. Nach Abgabe der Bestellung im Shop fordern wir PayPal zur Einleitung der Zahlungstransaktion auf.
Die Zahlungstransaktion wird durch PayPal unmittelbar danach automatisch durchgeführt. Weitere Hinweise erhalten Sie beim Bestellvorgang.

6. Eigentumsvorbehalt

Die Ware bleibt bis zur vollständigen Bezahlung unser Eigentum.
7. Transportschäden

Werden Waren mit offensichtlichen Transportschäden angeliefert, so reklamieren Sie solche Fehler bitte möglichst sofort beim Zusteller und nehmen Sie bitte unverzüglich Kontakt zu uns auf. Die Versäumung einer Reklamation oder Kontaktaufnahme hat für Ihre gesetzlichen Ansprüche und deren Durchsetzung, insbesondere Ihre Gewährleistungsrechte, keinerlei Konsequenzen. Sie helfen uns aber, unsere eigenen Ansprüche gegenüber dem Frachtführer bzw. der Transportversicherung geltend machen zu können.
8. Gewährleistung und Garantien

Es gilt das gesetzliche Mängelhaftungsrecht. Informationen zu gegebenenfalls geltenden zusätzlichen Garantien und deren genaue Bedingungen finden Sie jeweils beim Produkt und auf besonderen Informationsseiten im Onlineshop.

9. Streitbeilegung
Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit, die Sie hier finden https://ec.europa.eu/consumers/odr/. Verbraucher haben die Möglichkeit, diese Plattform für die Beilegung ihrer Streitigkeiten zu nutzen.
Zur Beilegung von Streitigkeiten aus einem Vertragsverhältnis mit einem Verbraucher bzw. darüber, ob ein solches Vertragsverhältnis überhaupt besteht, sind wir zur Teilnahme an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle verpflichtet. Zuständig ist die Allgemeine Verbraucherschlichtungsstelle des Zentrums für Schlichtung e.V., Straßburger Straße 8, 77694 Kehl am Rhein, www.verbraucher-schlichter.de. An einem Streitbeilegungsverfahren vor dieser Stelle werden wir teilnehmen.

Diese Seite verwendet cookies, um Ihnen den bestmöglichen Service zu ermöglichen, wie zB: der Warenkorb oder die Anzeige von Favoriten. Durch das Fortsetzen der Benutzung dieser Seite stimmen Sie der Verwendung von Cookies zu.

Cookies und Webanalyse: Um den Besuch unserer Website attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, um passende Produkte anzuzeigen oder zur Marktforschung verwenden wir auf verschiedenen Seiten sogenannte Cookies. Dies dient der Wahrung unserer im Rahmen einer Interessensabwägung überwiegenden berechtigten Interessen an einer optimierten Darstellung unseres Angebots gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Cookies sind kleine Textdateien, die automatisch auf Ihrem Endgerät gespeichert werden. Einige der von uns verwendeten Cookies werden nach Ende der Browser-Sitzung, also nach Schließen Ihres Browsers, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen uns, Ihren Browser beim nächsten Besuch wiederzuerkennen (persistente Cookies). Die Dauer der Speicherung können Sie der Übersicht in den Cookie-Einstellungen Ihres Webbrowsers entnehmen. Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und einzeln über deren Annahme entscheiden oder die Annahme von Cookies für bestimmte Fälle oder generell ausschließen. Jeder Browser unterscheidet sich in der Art, wie er die Cookie-Einstellungen verwaltet. Diese ist in dem Hilfemenü jedes Browsers beschrieben, welches Ihnen erläutert, wie Sie Ihre Cookie-Einstellungen ändern können. Diese finden Sie für die jeweiligen Browser unter den folgenden Links:
Internet Explorer™: http://windows.microsoft.com/de-DE/windows-vista/Block-or-allow-cookies
Safari™: https://support.apple.com/kb/ph21411?locale=de_DE
Chrome™: http://support.google.com/chrome/bin/answer.py?hl=de&hlrm=en&answer=95647
Firefox™ https://support.mozilla.org/de/kb/cookies-erlauben-und-ablehnen
Opera™ : http://help.opera.com/Windows/10.20/de/cookies.html

Soweit Sie hierzu Ihre Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO erteilt haben, benutzt diese Website im Rahmen der Anwendung von Google Analytics (siehe unten) zu Werbezwecken auch das sogenannte DoubleClick-Cookie, das eine Wiedererkennung Ihres Browsers beim Besuch anderer Websites ermöglicht. Die durch das Cookie automatisch erzeugten Informationen über den Besuch dieser Website werden an einen Server von Google in den USA übertragen und dort gespeichert. Die IP Adresse wird dabei durch die Aktivierung der IP-Anonymisierung auf dieser Webseite vor der Übermittlung innerhalb der Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte anonymisierte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Bei der Nichtannahme von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

AGB erstellt mit dem Trusted Shops Rechtstexter in Kooperation mit Wilde Beuger Solmecke Rechtsanwälte.

----------------------------------------------------------------------------------------------------

Datenschutzerklärung

Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen besonders hohen Stellenwert für die Geschäftsleitung der Thysanotus-Versand. Eine Nutzung der Internetseiten der Thysanotus-Versand ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.

Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit den für die Thysanotus-Versand geltenden landesspezifischen Datenschutzbestimmungen. Mittels dieser Datenschutzerklärung möchte unser Unternehmen die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.

Die Thysanotus-Versand hat als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können Internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.


1. Begriffsbestimmungen

Die Datenschutzerklärung der Thysanotus-Versand beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:

a) personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
b) betroffene Person

Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
c) Verarbeitung

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
d) Einschränkung der Verarbeitung

Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
e) Profiling

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
f) Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
g) Verantwortlicher oder für die Verarbeitung Verantwortlicher

Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
h) Auftragsverarbeiter

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
i) Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
j) Dritter

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
k) Einwilligung

Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

2. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist :

Thysanotus-Versand Uwe Siebers
Schulweg 21
28876 Oyten
Niedersachsen
Tel.: 042075708

E-Mail: info@thysanotus-versand.de

Website: www.thysanotus-versand.de


3. Cookies


Die Internetseiten der Thysanotus-Versand verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden.

Zahlreiche Internetseiten und Server verwenden Cookies. Viele Cookies enthalten eine sogenannte Cookie-ID. Eine Cookie-ID ist eine eindeutige Kennung des Cookies. Sie besteht aus einer Zeichenfolge, durch welche Internetseiten und Server dem konkreten Internetbrowser zugeordnet werden können, in dem das Cookie gespeichert wurde. Dies ermöglicht es den besuchten Internetseiten und Servern, den individuellen Browser der betroffenen Person von anderen Internetbrowsern, die andere Cookies enthalten, zu unterscheiden. Ein bestimmter Internetbrowser kann über die eindeutige Cookie-ID wiedererkannt und identifiziert werden.

Durch den Einsatz von Cookies kann die Thysanotus-Versand den Nutzern dieser Internetseite nutzerfreundlichere Services bereitstellen, die ohne die Cookie-Setzung nicht möglich wären.

Mittels eines Cookies können die Informationen und Angebote auf unserer Internetseite im Sinne des Benutzers optimiert werden. Cookies ermöglichen uns, wie bereits erwähnt, die Benutzer unserer Internetseite wiederzuerkennen. Zweck dieser Wiedererkennung ist es, den Nutzern die Verwendung unserer Internetseite zu erleichtern. Der Benutzer einer Internetseite, die Cookies verwendet, muss beispielsweise nicht bei jedem Besuch der Internetseite erneut seine Zugangsdaten eingeben, weil dies von der Internetseite und dem auf dem Computersystem des Benutzers abgelegten Cookie übernommen wird. Ein weiteres Beispiel ist das Cookie eines Warenkorbes im Online-Shop. Der Online-Shop merkt sich die Artikel, die ein Kunde in den virtuellen Warenkorb gelegt hat, über ein Cookie.

Die betroffene Person kann die Setzung von Cookies durch unsere Internetseite jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Ferner können bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden. Dies ist in allen gängigen Internetbrowsern möglich. Deaktiviert die betroffene Person die Setzung von Cookies in dem genutzten Internetbrowser, sind unter Umständen nicht alle Funktionen unserer Internetseite vollumfänglich nutzbar.
4. Erfassung von allgemeinen Daten und Informationen

Die Internetseite der Thysanotus-Versand erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können die (1) verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher ein zugreifendes System auf unsere Internetseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Internetseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.

Bei der Nutzung dieser allgemeinen Daten und Informationen zieht die Thysanotus-Versand keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um (1) die Inhalte unserer Internetseite korrekt auszuliefern, (2) die Inhalte unserer Internetseite sowie die Werbung für diese zu optimieren, (3) die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik unserer Internetseite zu gewährleisten sowie (4) um Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen. Diese anonym erhobenen Daten und Informationen werden durch die Thysanotus-Versand daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.
5. Kontaktmöglichkeit über die Internetseite

Die Internetseite der Thysanotus-Versand enthält aufgrund von gesetzlichen Vorschriften Angaben, die eine schnelle elektronische Kontaktaufnahme zu unserem Unternehmen sowie eine unmittelbare Kommunikation mit uns ermöglichen, was ebenfalls eine allgemeine Adresse der sogenannten elektronischen Post (E-Mail-Adresse) umfasst. Sofern eine betroffene Person per E-Mail oder über ein Kontaktformular den Kontakt mit dem für die Verarbeitung Verantwortlichen aufnimmt, werden die von der betroffenen Person übermittelten personenbezogenen Daten automatisch gespeichert. Solche auf freiwilliger Basis von einer betroffenen Person an den für die Verarbeitung Verantwortlichen übermittelten personenbezogenen Daten werden für Zwecke der Bearbeitung oder der Kontaktaufnahme zur betroffenen Person gespeichert. Es erfolgt keine Weitergabe dieser personenbezogenen Daten an Dritte.
6. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

Der für die Verarbeitung Verantwortliche verarbeitet und speichert personenbezogene Daten der betroffenen Person nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen der für die Verarbeitung Verantwortliche unterliegt, vorgesehen wurde.

Entfällt der Speicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.
7. Rechte der betroffenen Person

a) Recht auf Bestätigung

Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
b) Recht auf Auskunft

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner hat der Europäische Richtlinien- und Verordnungsgeber der betroffenen Person Auskunft über folgende Informationen zugestanden:
die Verarbeitungszwecke
die Kategorien personenbezogener Daten, die verarbeitet werden
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs.1 und 4 DS-GVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Ferner steht der betroffenen Person ein Auskunftsrecht darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.

Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
c) Recht auf Berichtigung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
d) Recht auf Löschung (Recht auf Vergessen werden)

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:
Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.

Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei der Thysanotus-Versand gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden. Der Mitarbeiter der Thysanotus-Versand wird veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.

Wurden die personenbezogenen Daten von der Thysanotus-Versand öffentlich gemacht und ist unser Unternehmen als Verantwortlicher gemäß Art. 17 Abs. 1 DS-GVO zur Löschung der personenbezogenen Daten verpflichtet, so trifft die Thysanotus-Versand unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist. Der Mitarbeiter der Thysanotus-Versand wird im Einzelfall das Notwendige veranlassen.
e) Recht auf Einschränkung der Verarbeitung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die betroffene Person hat Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei der Thysanotus-Versand gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden. Der Mitarbeiter der Thysanotus-Versand wird die Einschränkung der Verarbeitung veranlassen.
f) Recht auf Datenübertragbarkeit

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.

Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DS-GVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an einen Mitarbeiter der Thysanotus-Versand wenden.
g) Recht auf Widerspruch

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DS-GVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Die Thysanotus-Versand verarbeitet die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Verarbeitet die Thysanotus-Versand personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person gegenüber der Thysanotus-Versand der Verarbeitung für Zwecke der Direktwerbung, so wird die Thysanotus-Versand die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei der Thysanotus-Versand zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DS-GVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt an jeden Mitarbeiter der Thysanotus-Versand oder einen anderen Mitarbeiter wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
h) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, trifft die Thysanotus-Versand angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
i) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.

Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.

8. Rechtsgrundlage der Verarbeitung

Art. 6 I lit. a DS-GVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zur unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).
9. Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden

Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DS-GVO ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner.
10. Dauer, für die die personenbezogenen Daten gespeichert werden

Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.
11. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung

Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte. Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an einen unserer Mitarbeiter wenden. Unser Mitarbeiter klärt den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.
12. Bestehen einer automatisierten Entscheidungsfindung

Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling.

Diese Datenschutzerklärung wurde durch den Datenschutzerklärungs-Generator der DGD Deutsche Gesellschaft für Datenschutz GmbH, die als Externer Datenschutzbeauftragter Oberbayern tätig ist, in Kooperation mit den Datenschutz Anwälten der Kanzlei WILDE BEUGER SOLMECKE | Rechtsanwälte erstellt.

----------------------------------------------------------------------------------------------------------

Kontaktdaten des data controller

Uwe Siebers

Schulweg 21

28876 Oyten

Tel: 04207-5708

info@thysanotus-versand.de

-----------------------------------------------------------------------------------------

Ihre Rechte an Ihren persönlichen Daten
 
Der Besucher, die Besucherin dieser Internetseite ist berechtigt, auf persönliche Daten zuzugreifen, diese zu korrigieren sowie zu löschen und die Bearbeitung dieser zu beschränken.
Ebenfalls ist der Besucher, die Besucherin dieser Internetseite berechtigt, persönliche Daten zu empfangen, sodass diese von einem anderen Bearbeiter genutzt werden können.
Der Besucher, die Besucherin hat das Recht eine Klage bei der Kontrollbehörde einzureichen.

-----------------------------------------------------------------------------

Paypal-Zahlung

Sie können im Thysanotus-Onlineshop bequem per Paypal beahlen. Dazu benötigen Sie ein eigenes Paypal-Konto. Ihre Bestellung und Ihre Paypal-Zahlung sind mit SSL-Verschlüsselung gesichert.

-----------------------------------------------------------------------------

DATENVERARBEITUNGSVEREINBARUNG

santu/ Globecharge

NACHTRAG ZUR DATENVERARBEITUNGSVEREINBARUNG FÜR NUTZER VON SHOPFACTORY UND SANTU
Dieser Nachtrag zur Datenverarbeitungsvereinbarung („Nachtrag“) gilt für Abonnenten von Dienstleistungen, die über die Webseiten von Santu, ShopFactory und GlobeCharge zur Verfügung gestellt werden, einschließlich der ShopFactory Cloud („Dienstleistungen“), überlassen von und vertraglich festgelegt zwischen Santu Pty. Ltd. (SANTU) und dem in der folgenden Tabelle angegebenen Abonnenten („Abonnent“).
Im Auftrag von: SANTU Pty. Ltd
Unterzeichnet von:
Name: Steffan Klein
Titel: CEO
Datum: 6. April 2018
Anschrift: 5 Hampshire Rd Glen Waverley, Victoria Australia 3150

Name des Abonnenten: Uwe Siebers
Unterzeichnet von: Uwe Siebers
Titel: ceo
Name des Unternehmens: Thysanotus-Versand, Einzelunternehmen, Onlineversand mit Gartenartikeln, Saaten, Blumenzwiebeln, Outdoorbekleidung, Stiefeln und Zubehör.

SANTU-Benutzername: UweSiebers@t-online.de
Datum: 29.04.2019

Anschrift: Schulweg 21, 28876 Oyten

Dieser Nachtrag enthält die Datenverarbeitungsbestimmungen und die beigefügten Anhänge 1 bis 2 und er ergänzt die SANTU-Geschäftsbedingungen, die unter http://santu.com/en/terms einsehbar sind (in ihrer jeweils aktuellen Fassung) und zwischen dem Abonnenten und SANTU gelten oder sich auf eine andere Vereinbarung zwischen dem Abonnenten und SANTU beziehen, welche die Nutzung der Serviceangebote durch den Abonnenten regelt (die „Zustimmung“). Dieser Nachtrag wird ab dem Tag wirksam, an dem SANTU einen vollständigen und ausgeführten Nachtrag vom Abonnenten in Übereinstimmung mit den Anweisungen unter den nachfolgenden Paragraphen A. und B. (dem „Wirksamwerden des Nachtrags“) erhält.
A. Anweisungen: Dieser Nachtrag wurde bereits vorab im Namen von SANTU unterzeichnet. Für das Inkrafttreten dieses Nachtrags muss der Abonnent: a. die Tabelle oben durch Unterzeichnung, Datierung und Bereitstellung des vollständigen Namens des Abonnenten, der vollständigen Bezeichnung der juristischen Person, die das Unternehmen betreibt, des Benutzernamens sowie der Anschrift und den Angaben des Unterzeichners ausfüllen und b. den ausgefüllten und unterschriebenen Nachtrag an SANTU als Anhang einer EMail an die Adresse gdpr@santu.com senden.

B. Wirksamkeit. a. Dieser Nachtrag wird nur dann wirksam, wenn er gemäß Paragraph A. oben und diesem Paragraphen B. ausgeführt und an SANTU übermittelt wird, und nur dann, wenn alle Positionen in der Tabelle akkurat und vollständig ausgefüllt sind. Wenn der Abonnent Streichungen oder andere Änderungen an diesem Nachtrag vornimmt, ist dieser Nachtrag ungültig und wirkungslos. Dieser Nachtrag gilt nur für
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 2 von 10 Seiten

die Nutzung des SANTU-Kontos durch den Abonnenten (oder dessen Mitarbeiter bzw. Subunternehmer), das den vollständigen Namen der juristischen Person des Abonnenten enthält (und dem in der obigen Tabelle angegebenen Namen entspricht) und nur für das Konto, auf das mit dem oben aufgeführten Benutzernamen zugegriffen wird, und nur dann, wenn für das Konto eine vollständige Bezahlung erfolgt ist. b. Die das Abonnement unterzeichnende Person garantiert gegenüber SANTU, dass sie über die rechtliche Befugnis verfügt, den Abonnenten zu verpflichten und rechtmäßig in der Lage ist, Verträge zu schließen (z. B. nicht minderjährig ist). c. Dieser Nachtrag endet automatisch mit der Beendigung des Abonnements für die Dienstleistung, oder wenn es früher gemäß den Bestimmungen dieses Nachtrags gekündigt wurde.

C. Zweck.
In dieser Datenverarbeitungsvereinbarung ist SANTU der Datenverarbeiter und Sie als Abonnent von SANTU-Dienstleistungen sind der Datenverantwortliche.
IN DER ERWÄGUNG, DASS
(A) Der Datenverantwortliche bestimmte Dienste (wie in Anhang 1 definiert) weitervergeben möchte, was mit der Verarbeitung von Daten durch den Datenverarbeiter verbunden ist.
(B) Die Vertragsparteien die Durchführung eine Datenverarbeitungsvereinbarung anstreben, welche die Anforderungen des geltenden Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr sowie die Aufhebung der Richtlinie 95/46 / EG (Datenschutz-Grundverordnung) erfüllt.
(D) Die Vertragsparteien ihre Rechte und Pflichten festlegen möchten.
WIRD FOLGENDES VEREINBART:
1. BEGRIFFSBESTIMMUNGEN UND AUSLEGUNG
Sofern in diesem Vertrag nichts anderes festgelegt ist, haben die in diesem Vertrag verwendeten Groß- und Kleinbuchstaben (einschließlich der Randnummern hierzu) folgende Bedeutung:
1.1.1. „Vereinbarung“ bezeichnet diese Datenverarbeitungsvereinbarung und gegebenenfalls alle Zeitpläne. 1.1.2. „Datenverarbeiter“ oder „Verarbeiter“ bzw. „SANTU“ bezeichnet uns. 1.1.3. „Datenverantwortlicher“ oder „Verantwortlicher“ bzw. „Abonnent“ bezeichnet Sie als Abonnenten unserer Dienstleistungen. 1.1.4. „DSGVO“ bezeichnet die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr sowie etwaige Ersatzrichtlinien oder -regelungen zur Einführung gleichwertiger Verpflichtungen. 1.1.5. „Daten“ bezeichnet grundlegende personenbezogene Daten des Abonnenten, wie in der DSGVO definiert, sowie grundlegende personenbezogene Daten des Kunden oder des Verantwortlichen, einschließlich Name, Anschrift und Kontaktdaten. 1.1.6. „Kunde“ bezeichnet eine Person, die physische oder digitale Waren oder Dienstleistungen von einem Abonnenten käuflich erwirbt.
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 3 von 10 Seiten

1.1.7. „Software-Schnittstellen“ bezeichnet die Schnittstellen und Bedienungsoberflächen der Software, die als Teil der Dienstleistungen zur Verfügung gestellt werden und die es dem Datenverantwortlichen ermöglichen mit unseren Dienstleistungen zu interagieren bzw. sie zu bedienen und zu instruieren. 1.1.8. „Auftragsverarbeiter“ bezeichnet einen Datenverarbeiter, der vom Datenverantwortlichen für seine Dienstleistungen separat beauftragt wurde. 1.1.9. „Konto“ bezeichnet ein vollständig bezahltes SANTU-Konto. 1.1.10. „SANTU-Netzwerk“ bezeichnet die Einrichtungen des Datenzentrums, Server, Netzwerkgeräte und Host-Softwaresysteme (z. B. virtuelle Firewalls), die von SANTU genutzt werden, um die Dienstleistungen zu erbringen. 1.1.11. „Verarbeitung“ hat die Bedeutung, die dem Begriff in der Richtlinie zukommt, und „verarbeiten“, „verarbeitend“ und „verarbeitet“ werden dementsprechend interpretiert.

2. GEGENSTAND DIESER VEREINBARUNG 2.1. Umfang und Aufgaben. Dieser Nachtrag gilt, wenn Daten von SANTU im Auftrag des Abonnenten verarbeitet werden. 2.2. Einhaltung von Gesetzen. Jede Partei wird alle für sie geltenden Gesetze, Regeln und Vorschriften einhalten und sich bei der Umsetzung dieses Nachtrags, einschließlich aller gesetzlichen Anforderungen in Bezug auf den Datenschutz, daran binden. 2.3. Anweisungen für die Datenverarbeitung. SANTU verarbeitet Daten gemäß der Anweisungen des Abonnenten. Die Parteien sind sich einig, dass dieser Nachtrag die vollständigen und endgültigen Anweisungen des Abonnenten gegenüber SANTU in Bezug auf die Verarbeitung von Daten beinhaltet. Eine Verarbeitung außerhalb des Geltungsbereichs dieses Nachtrags (sofern vorhanden ) erfordert eine vorherige schriftliche Vereinbarung zwischen SANTU und dem Abonnenten zu zusätzlichen Anweisungen für die Verarbeitung, einschließlich der Vereinbarung zusätzlicher Gebühren, die der Abonnent an SANTU für die Durchführung derartiger Anweisungen zu entrichten hat. Der Abonnent kann diesen Nachtrag kündigen, wenn SANTU sich weigert, vom Abonnenten geforderte Anweisungen zu befolgen, die außerhalb des Geltungsbereichs dieses Nachtrags liegen. 2.4. Zugriff oder Nutzung. SANTU wird nicht auf Daten zugreifen oder diese verwenden, außer falls dies notwendig ist, um die vom Abonnenten initiierten Dienstleistungen auszuführen. 2.5. Offenlegung. SANTU wird Regierungen gegenüber keine Daten offenlegen, außer wenn dies notwendig ist, um dem Gesetz oder einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde (wie einer Vorladung oder einer gerichtlichen Anordnung) zu entsprechen. Wenn eine Strafverfolgungsbehörde SANTU eine Forderung zu Daten zukommen lässt, wird sich SANTU bemühen, die Strafverfolgungsbehörde zu ersuchen, diese Daten direkt vom Abonnenten anzufordern. Im Rahmen dieser Bemühungen kann SANTU die grundlegenden Kontaktinformationen des Abonnenten der Strafverfolgungsbehörde zur Verfügung stellen. Wenn SANTU gezwungen ist, Daten einer Strafverfolgungsbehörde gegenüber offenzulegen, wird SANTU dem Abonnenten eine angemessene Mitteilung zu dieser Forderung zukommen lassen, um dem Abonnenten zu ermöglichen, eine rechtliche oder sonstige Abwehr einzuleiten, es sei denn, SANTU ist dies gesetzlich untersagt. 2.6. Personal von SANTU. SANTU untersagt seinem Personal die Verarbeitung von Daten ohne Genehmigung durch SANTU. SANTU wird seinen Mitarbeitern angemessene vertragliche
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 4 von 10 Seiten

Verpflichtungen auferlegen, einschließlich der einschlägigen Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit. 2.7. Kontrollmöglichkeiten für Abonnenten. Unsere Serviceangebote bieten Abonnenten Kontrollelemente, die es dem Abonnenten ermöglichen, Daten über die Nutzung unserer Softwareschnittstellen zu verarbeiten. Der Abonnent ist verantwortlich für eine ordnungsgemäße (a) Nutzung der Dienste, (b) Verwendung der verfügbaren Softwareschnittstellen-Steuerelemente in Verbindung mit den Dienstleistungen (einschließlich der Sicherheitskontrollen) und (c) Durchführung von Schritten, wie der Abonnent es für angemessen hält, entsprechende Sicherheit, Datensicherung, Löschung und Backups von Daten vorzunehmen, welche die Verwendung von Verschlüsselungstechnologie einschließen können, um Daten vor unbefugtem Zugriff zu schützen und Daten routinemäßig zu archivieren. 2.8. Datenübermittlung. Daten werden innerhalb des SANTU-Netzwerks verarbeitet, das sich in die Europäischen Union befindet. SANTU wird Daten nicht grenzüberschreitend übertragen, es sei denn, SANTU wird vom Datenverantwortlichen dazu beauftragt oder wenn es notwendig ist, das Gesetz oder eine gültige und verbindliche Anordnung einer Strafverfolgungsbehörde (wie eine Vorladung oder eine gerichtliche Anordnung) einzuhalten, wie in Abschnitt 2.5 erläutert. In allen Fällen stützen sich die Parteien, sofern nicht anders vereinbart, auf von der EU anerkannte Standardvertragsklauseln für die Übertragung von Daten, um die Einhaltung der DSGVO sicherzustellen.
3. DATENSCHUTZ
3.1 Der für die Verarbeitung Verantwortliche und der Datenverarbeiter müssen die DSGVO einhalten.
3.2 Der Verarbeiter verarbeitet alle Daten gesetzeskonform, fair und in transparenter Weise in Bezug auf die zur Verfügung gestellten Daten.
4. DATENVERARBEITUNG
4.1 Der Datenverarbeiter hat folgende Pflichten:
4.1.1 die Daten nicht zu anderen Zwecken als zur Erbringung der Dienste und zur Erfüllung seiner Verpflichtungen aus dem Vertrag gemäß den dokumentierten Anweisungen des Datenverantwortlichen zu verarbeiten; wenn er aus irgendwelchen Gründen die Einhaltung nicht gewährleisten kann, erklärt er sich damit einverstanden, den Datenverantwortlichen unverzüglich darüber zu informieren, dass er nicht in der Lage ist, dies zu tun;
4.1.2 den Datenverantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass Anweisungen des Datenverantwortlichen gegen geltende Datenschutzgesetze und -vorschriften verstoßen;
4.1.3 er darf die Daten nicht an andere Personen als an seine Mitarbeiter weitergeben, soweit dies zur Erfüllung ihrer Verpflichtungen aus dem Vertrag erforderlich ist, und er muss sicherstellen, dass dieses Personal gesetzlichen oder vertraglichen Geheimhaltungsverpflichtungen unterliegt;
4.1.4 er muss geeignete technische und organisatorische Maßnahmen gegen unbefugte oder unrechtmäßige Verarbeitung ergreifen und in regelmäßigen Abständen die Angemessenheit solcher Sicherheitsmaßnahmen bewerten und diese erforderlichenfalls anpassen; diese Sicherheitsmaßnahmen sind in Artikel 7 dieser Vereinbarung beschrieben.
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 5 von 10 Seiten

4.1.5 er muss sicherstellen, dass die Verarbeitung von Daten nur im Einklang mit dem Grundsatz des begründeten Informationsbedarfs erfolgt, d. h. Informationen werden nur denjenigen Personen zur Verfügung gestellt, die personenbezogene Daten für ihre Tätigkeit in Bezug auf die Erbringung der Dienstleistungen benötigen;
4.1.6 er muss den Datenverantwortlichen unverzüglich benachrichtigen im Fall von (i) rechtsverbindlichem Ersuchen um Offenlegung personenbezogener Daten durch eine betroffene Person, eine Justiz- oder Aufsichtsbehörde, sofern dies nicht anderweitig verboten ist, wie die strafrechtliche Verpflichtung, die Vertraulichkeit einer gerichtlichen Untersuchung zu wahren und die damit verbundene Datenverwaltung zu unterstützen, (ii) jedem zufälligen oder unautorisierten Zugriff, und im Allgemeinen bei jeder rechtswidrigen Verarbeitung, und er muss den Datenverantwortlichen dabei unterstützen;
4.1.7 er muss alle angemessenen Anfragen des Datenverantwortlichen in Bezug auf die Verarbeitung der Daten oder im Zusammenhang mit dem Vertrag innerhalb einer angemessenen Frist bearbeiten;
4.1.8 er muss dem Datenverantwortlichen innerhalb einer angemessenen Frist alle Informationen zur Verfügung zu stellen, die für den Nachweis der Einhaltung der geltenden Datenschutzgesetze und -vorschriften erforderlich sind;
4.1.9 er darf keinen weiteren Datenverarbeiter ohne die schriftliche Zustimmung des Datenverantwortlichen oder die ausdrückliche Zustimmung des Datenverantwortlichen über Maßnahmen in unseren Software-Schnittstellen beteiligen.
4. 1.10 er muss den für die Datenverarbeitung Verantwortlichen unterstützen, vorbehaltlich einer angemessenen zusätzlichen Vergütung, mit Haftung des Datenverantwortlichen gemäß der DSGVO.
4. 1.11 er muss alle angemessenen Maßnahmen ergreifen, um den Datenverantwortlichen bei der Beantwortung zu Anfragen von Datensubjekten zu unterstützen, durch die Bereitstellung von Software-Schnittstellen zur Löschung und Modifizierung von Daten, wenn er von Kunden dazu aufgefordert wird oder die Daten einem Kunden auf Anfrage zur Verfügung stellen.
4.1.12 er muss unverzüglich den Datenverantwortlichen per E-Mail von jedem rechtswidrigen Zugang zu auf dem Santu-Netzwerk gespeicherten Daten benachrichtigen, der zu Verlust, Offenlegung oder Änderung von Daten führen kann, und er muss bei Bedarf mit dem Verantwortlichen kooperieren, um angemessene Schritte zu unternehmen, welche die Auswirkungen mildern und einen aus dem rechtswidrigen Zugang resultierenden Schaden minimieren. Es ist die alleinige Verantwortung des Datenverantwortlichen, jederzeit akkurate Kontaktinformationen über die Einstellungen des SANTU- oder ShopFactory-Cloud-Kontos zu pflegen und die Zustellbarkeit von E-Mails von SANTU zu gewährleisten.
4.1.12 er muss die Sicherheit der Daten während einer Übertragung an einen Drittverarbeiter sicherstellen, der vom Datenverantwortlichen eingebunden wurde.
4.2. Der Datenverantwortliche darf keine personenbezogenen Daten von Kunden erheben, die unter besondere Kategorien gemäß Artikel 9 DSGVO fallen. Dazu gehören personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Mitgliedschaft in Gewerkschaften hervorgehen, sowie genetische Daten und biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person oder Daten bezüglich Gesundheit bzw. Daten bezüglich des Sexuallebens oder der sexuellen Orientierung einer natürlichen Person.
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 6 von 10 Seiten

4.3. Der Datenverantwortliche bestätigt, dass SANTUs Meldepflicht bezüglich eines ungesetzlichen Zugangs zu Daten nicht als eine Anerkennung irgendeines Verschuldens von SANTU oder einer Haftung von SANTU in Bezug auf den rechtswidrigen Zugang auszulegen ist oder ausgelegt werden kann.
LEISTUNGSBESCHREIBUNG
Wir bieten Dienstleistungen zur Datenverarbeitung, wie in Anlage 1 beschrieben, für Datenverantwortliche, die Online-Bestellungen über Online-eCommerce-Einrichtungen erhalten.
6. DATENVERARBEITUNG
6.1. Wir bieten die in Anhang 1 aufgelisteten Datenverarbeitungsdienste an.
Darin einbezogene Datenkategorien sind personenbezogene Daten wie Name, Adresse und Kontaktdaten. Daten besonderer Kategorien gemäß Artikel 9 DSGVO sind davon ausgenommen.
Datensubjekte sind Abonnenten und Kunden der Abonnenten, die mit Kunden über die Dienstleistungen interagieren.
Die Verarbeitung von Kundendaten endet, sobald der Abonnent sein Abonnement beendet. Daten von Abonnenten werden 8 Jahre lang gespeichert, um den staatlichen Vorschriften zu entsprechen.
7. UNTERAUFTRAGSVERGABE
Der Verantwortliche autorisiert den Einsatz von allen aktuellen und zukünftigen Subunternehmern des Verantwortlichen für die Bereitstellung, Sicherung und Verwaltung des SANTU-Netzwerks sowie zur Bereitstellung von Support-Dienstleistungen, um den Verantwortlichen bei der Verwaltung und Nutzung der von SANTU bereitgestellten Dienste zu unterstützen. Sofern SANTU sich des Einsatzes oder der Autorisierung eines Unterauftragnehmers bedient, wird SANTU:
7.1 den Zugriff des Subunternehmers auf Daten ausschließlich auf das beschränken, was zur Aufrechterhaltung der Serviceangebote oder zur Erbringung der Serviceangebote an den Abonnenten und etwaige Endbenutzer in Übereinstimmung mit der Dokumentation erforderlich ist. SANTU wird dem Unterauftragnehmer den Zugriff auf Daten für andere Zwecke untersagen;
7.2 dem Subunternehmer schriftlich entsprechende vertragliche Verpflichtungen auferlegen, die nicht weniger Schutz als dieser Nachtrag bieten, einschließlich der vertraglichen Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz, Datensicherheit und Prüfungsrechte.
7.3 für dessen Einhaltung der Verpflichtungen aus diesem Nachtrag weiterhin verantwortlich sein sowie für jegliche Handlungen oder Unterlassungen des Subunternehmers, die dazu führen, dass SANTU gegen die Verpflichtungen von SANTU gemäß dieses Nachtrags verstößt.
7.4 den Verantwortlichen informieren, bevor Änderungen an den Vereinbarungen mit dem Subunternehmer vorgenommen werden.
8. Prüfung technischer und organisatorischer Maßnahmen
SANTU verlässt sich auf externe Auditoren, um die Angemessenheit unserer Sicherheitsmaßnahmen zu überprüfen, einschließlich der Sicherheit der physischen Rechenzentren, über die SANTU die Dienstleistungen bereitstellt. Die von SANTU angewendeten organisatorischen und technischen Sicherheitsmaßnahmen für Daten und Speicher- und Verarbeitungssysteme erfüllen die PCI DSS v3.2
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 7 von 10 Seiten

Standards, die die DSGVO-Sicherheitsspezifikationen überschreiten. Die Einhaltung der PCIStandards wird von unabhängigen Prüfern festgelegt und führt zu einem vierteljährlichen PCIKonformitätsbericht. Der Controller stimmt zu, eine Kopie des neuesten PCI-Berichts zur Prüfung und Inspektion als angemessene und einzige Antwort des Prozessors zu akzeptieren, um DSGVO-Artikel 28 (j) einzuhalten und den PCI-Bericht als vertrauliches Material zu behandeln.
9. Geheimhaltung
Der Abonnent stimmt zu, dass die Details dieses Nachtrags nicht öffentlich bekannt sind. Der Abonnent wird den Inhalt dieses Nachtrags als vertrauliches Material behandeln und nicht an Dritte weitergeben, sofern dies nicht gesetzlich vorgeschrieben oder erforderlich ist, um eine rechtliche Überprüfung durchzuführen.
10. Gesamte Vereinbarung; Konflikt.
Mit Ausnahme der Änderungen durch diesen Nachtrag bleibt die Vereinbarung vollumfänglich rechtswirksam und durchsetzbar. Im Falle eines Konflikts zwischen der Vereinbarung und diesem Nachtrag haben die Bedingungen dieses Nachtrags Vorrang.


Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 8 von 10 Seiten

Anhang 1 Beschreibung der Dienstleistungen
Das vorrangige Ziel der Dienstleistungen ist es, Daten im Auftrag des Abonnenten zu verarbeiten und zu schützen, damit der Abonnent Verträge mit Kunden abschließen kann, um Bestellungen anzunehmen und zu bearbeiten und seine Produkte und Dienstleistungen an seine Kunden zu vertreiben.
Die Datenverarbeitung beinhaltet die Durchführung der folgenden Aufgaben: • Erfassung • Lieferung • EDV • Speicherung • Anzeige • Handhabung • Bearbeitung • Export • Übertragung • Recherche • Analyse • Löschung


Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 9 von 10 Seiten

Anhang 2
1) Beschreibung der Sicherheitsmaßnahmen.

Der Datenverarbeiter verfügt über die notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Daten in Übereinstimmung mit der DSGVO.

Die gesamte Datenverarbeitung wird vom Datenverarbeiter unter eigener Kontrolle und mithilfe von sicheren und DSGVO-konformen Servern durchgeführt, die von unserem Unterauftragnehmer Amazon Web Services, Inc. (AWS) in Europa verwaltet werden.

2) Physische Sicherheit a) Physische Zugriffskontrollen. Die physischen Komponenten des SANTU-Netzwerks sind in unauffälligen Einrichtungen von AWS (die „Einrichtungen“) untergebracht. Es werden physische Schrankensteuerungen verwendet, um unbefugten Zugang zu den Einrichtungen sowohl an der Eingrenzung als auch an den Zugangsstellen zum Gebäude zu verhindern. Der Durchgang durch die physischen Barrieren der Einrichtungen erfordert entweder eine Validierung mit elektronischer Zugangskontrolle (z. B. Kartenzugangssysteme etc.) oder die Überprüfung durch Sicherheitspersonal (z. B. Vertrags- oder hauseigener Sicherheitsdienst, Empfangsmitarbeiter usw.). Mitarbeiter und Auftragnehmer erhalten Lichtbildausweise, die getragen werden müssen, während sich die Mitarbeiter und Auftragnehmer in einer der Einrichtungen befinden. Besucher sind verpflichtet, sich bei dem dafür vorgesehenen Personal anzumelden, müssen sich ausweisen können und erhalten einen Besucherausweis, der getragen werden muss, während sich der Besucher in einer der Einrichtungen befindet. Während des Besuchs der Einrichtungen müssen Besucher von autorisierten Mitarbeitern oder Auftragnehmern begleitet werden. b) Begrenzter Zugang für Mitarbeiter und Auftragnehmer. AWS ermöglicht nur den Mitarbeitern und Auftragnehmern Zugang zu den Einrichtungen, die über eine rechtmäßige geschäftliche Notwendigkeit für derartige Zugangsprivilegien verfügen. Wenn bei einem Mitarbeiter oder Auftragnehmer die ihm zugewiesene geschäftliche Notwendigkeit der Zugangsprivilegien nicht mehr gegeben ist, werden die Zugangsberechtigungen sofort widerrufen, auch wenn der Mitarbeiter oder Auftragnehmer weiterhin ein Mitarbeiter von AWS oder verbundenen Unternehmen ist. c) Physische Sicherheitsschutzmaßnahmen. Alle Zugangspunkte (außer den Haupteingangstüren) sind stets gesichert (zugeschlossen). Zugangspunkte zu den Einrichtungen werden von Videoüberwachungskameras überwacht, die alle Personen erfassen, die die Einrichtungen betreten. AWS setzt auch elektronische Einbruchmeldesysteme ein, die dazu dienen, unbefugten Zugang zu den Einrichtungen zu erkennen, einschließlich der Überwachung von Schwachstellen (z. B. Haupteingangstüren, Notausgangstüren, Dachluken, Laderampen usw.) mit Türkontakten, Glasbruchvorrichtungen, Bewegungserkennung in Innenräumen oder anderen Geräten zur Erkennung von Personen, die versuchen, sich Zugang zu den Einrichtungen zu verschaffen. Der gesamte physische Zugang zu den Einrichtungen durch Mitarbeiter und Auftragnehmer wird protokolliert und regelmäßig überprüft.

3) Digitale Sicherheit a) Firewalls kontrollieren die Übertragung von Daten zwischen unseren vertrauenswürdigen internen Netzwerken und den nicht vertrauenswürdigen externen Netzwerken sowie den
Santu Pty. Ltd. Nachtrag zur Datenverarbeitung, Seite 10 von 10 Seiten

-------------------------------------------------------------------------------------------------------------------------

Vereinbarung zur Auftragsverarbeitung


zwischen dem/der
Thysanotus-Versand Uwe Siebers Schulweg 21 28876 Oyten
(Name, Strasse, Hausnummer, PLZ und Ort wie im goneo-Kundencenter hinterlegt) 115255
(Kundennummer)

- nachstehend Auftraggeber genannt - und der
goneo Internet GmbH - Marienwall 27 - 32423 Minden

- nachstehend Auftragnehmer genannt -

1 Gegenstand und Dauer des Auftrags
1.1 Gegenstand des Auftrags
Gegenstand des Auftrags ist die Erbringung von Webhosting-Dienstleistungen gemäß folgender zwischen den Parteien vereinbarten Leistungsvereinbarung:
• Auftrag fur Webhosting laut Leistungsbeschreibung bei Auftragserteilung

• Die allgemeine Geschäftsbedingungen (AGB) des Auftragnehmers

Die im Einzelnen zu erbringenden Dienstleistungen sind in diesen Dokumenten näher definiert und beschrieben.
1.2 Dauer des Auftrags
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.

2 Konkretisierung des Auftragsinhalts
2.1 Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten
Umfang, Art und Zweck der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten durch den Auftragnehmer fur den Auftraggeber sind in der Leistungsvereinbarung beschrieben. Ergänzend gelten die Angaben in Ziffern 2.2 und 2.3.

Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem Drittland haben (außerhalb der Europaischen Union und des Europaischen Wirtschaftsraums), ist vereinbart, dass der Auftragnehmer personenbezogene Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an diese Registrierungsstellen übermittelt.
Ansonsten findet die Erbringung der vertraglich vereinbarten Datenverarbeitung ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
2.2 Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten und -kategorien:

Die abgespeicherten und verarbeiteten Daten werden allein vom Auftraggeber durch Produktwahl, Konfiguration, Nutzung der Dienste und seinen Umgang mit den Daten definiert. Der Auftragnehmer hat allenfalls Zugriff hierauf im Zusammenhang mit Wartung, Support und Anlagenbetrieb.
2.3 Kreis der Betroffenen
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen werden allein vom Auftraggeber durch seine Nutzung der Dienste und seinen Umgang mit den Daten bestimmt.

3 Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer hat die in der Anlage zu dieser Vereinbarung niedergelegten technisch­ organisatorischen Maßnahmen vor Beginn der Verarbeitung umzusetzen. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich auf Grundlage eines Nachtrags zu dieser Vereinbarung, die auch die kommerziellen Bedingungen dafür regelt, umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. lnsgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewahrleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der lntegritat, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die lmplementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos fi.ir die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Einzelheiten in Anlage 1.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. lnsoweit ist es dem Auftragnehmer gestattet, alternative adaquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4 Berichtigung, Einschränkung und Löschung von Daten
Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Sperrung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftraggeber nimmt sodann die Berichtigung, Sperrung oder Löschung der Daten selbst war. Soweit er hierzu Unterstützung des Auftragnehmers benötigt, wird diese gegen angemessene Vergütung geleistet .

5 Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DS-GVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend dieser Vereinbarung, der Leistungsvereinbarung sowie der Weisungen des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeraumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Die Umsetzung und Einhaltung aller fur diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art t . 28 Abs. 3 S. 2 lit. c, 32 DS-GVO [Einzelheiten in Anlage 1] .
d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Der Auftragnehmer erhält hierfür eine angemessene Vergütung, es sei denn, das Tätigwerden der Aufsichtsbehorde ist durch seine Nichteinhaltung der Bestimmungen dieser Vereinbarung oder der Leistungsvereinbarung veranlasst.
e) Die unverzügliche Information des Auftraggebers Ober Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften gegen angemessene Vergütung zu unterstutzen.

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen
gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6 Unterauftragsverhaltnisse
(1) Als Unterauftragsverhaltnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, lntegrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen .
(2) Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu, mit denen der Auftragnehmer vertragliche Vereinbarungen nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO abgeschlossen hat:

Firma Unterauftragnehmer Anschrift/Land Leistung
MK Netzdienste GmbH & Co . KG Marienwall 27, 32423 Minden, Deutschland Betrieb und Support von Servern in Rechenzentren (Standort Deutschland).

Eine Auslagerung auf weitere Unterauftragnehmer oder der Wechsel bestehender Unterauftragnehmer sind zulassig, soweit:
der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
der Auftraggeber nicht bis zum Zeitpunkt der Obergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher . Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.


(5) Eine weitere Auslagerung durch den Unterauftragnehmer ist nur unter den Voraussetzungen der vorstehenden Absätze gestattet. Dabei sind samtliche vertraglichen Regelungen in der Vertragskette auch dem weiteren Unterauftragnehmer aufzuerlegen.

7 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Oberprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, van der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschaftsbetrieb zu überzeugen. Der Aufwand fur den Auftragnehmer durch eine lnspektion ist grundsatzlich auf einen Tag pro Kalenderjahr begrenzt.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO.
(4) Fur die Ermöglichung van Kontrollen durch den Auftraggeber kann der Auftragnehmer eine angemessene Vergütung verlangen.

8 Mitteilung bei Verstößen des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden lnformationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
Hierzu gehören u.a.
• die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen,
• die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber zu melden,
• die Verpflichtung, dem Auftraggeber im Rahmen seiner lnformationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang relevante lnformationen zur Verfügung zu stellen,
• die Unterstutzung des Auftraggebers im eventuellen Fall einer Datenschutzfolgenabschätzung,
• die Unterstützung des Auftraggebers im Fall van dessen vorheriger Konsultation einer Datenschutzaufsichtsbehorde.
(2) Fur Unterstützungsleistungen, die nicht in der Leistungsvereinbarung vorgesehen oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung verlangen.

9 Weisungsbefugnis des Auftraggebers
(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).



{2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
(3) Für die Umsetzung von Weisungen, die nicht in der Leistungsvereinbarung vorgesehen oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung verlangen.

10 Löschung von personenbezogenen Daten
{1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt . Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
{2) Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
{3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11 Haftung und Schadensersatz
Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art . 82 DS-GVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen .

12 Sonstige Vereinbarungen
Im übrigen gelten die Regelungen der zwischen den Parteien abgeschlossenen Leistungsvereinbarung.


Oyten den 23.04 .2019 Minden, den 23.04.2019
---


Anlage 1
Technische organisatorische Maßnahmen
Die Server zur Leistungserbringung der goneo Internet GmbH (Auftragnehmer) befinden sich im Rechenzentrum des Dienstleisters MK Netzdienste GmbH & CO. KG in Frankfurt am Main . Das Rechenzentrum ist zertifiziert nach TUV ,,Trusted Site Infrastructure".
Beim Auftragnehmer und dem Dienstleister MK-Netzdienste sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art . 32 DSGVO getroffen worden:

1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1 Zutrittskontrolle
Das Zutrittskontrollsystem (Türoffnung) zum Rechenzentrum besteht aus einer Zwei-Phasen­ Autorisierung mit Prot okollierung .
Eingangs- und Sicherheitsbereiche werden videoüberwacht mit einer kurzzeitigen Aufzeichnung. Das Gebäude ist alarmgesichert .
1.2 Zugangskontrolle
Der Zugang zu den Serversystemen für administrative Zwecke erfolgt Ober Benutzername / Kennwort innerhalb eines abgeschotteten Netzwerkes.
Beim automatischen, erstmaligen Erstellen van Zugangsdaten und auch beim manuellen Setzen von neuen Kennwörtern wird auf Kennwortsicherheit geachtet.
Für Kunden existieren Zugangsmoglichkeiten über Benutzername und Kennwort, um Webspace, Mail-Accounts und Datenbanken zu pflegen. Kennwörter werden dabei nicht im Klartext gespeichert .
1.3 Zugriffskontrolle
Es existieren unterschiedliche Berechtigungen gemäß den unterschiedlichen administrativen Aufgaben.

Kunden haben nur Zugriff auf ihre eigenen, der Leistungsbeschreibung entsprechenden Bereiche wie Webspace, E-Mail-Accounts und Datenbanken und ihren Daten und Einstellmöglichkeiten im Kundenportal.
Die Zugriffe werden über Log-Dateien protokolliert.

1.4 Trennungskontrolle
Ent wicklungs-, Test- und Live-Systeme sind getrennt eingerichtet.

2 Verschlüsselung
Der Zugang zu den Serversystemen fur administrative Zwecke erfolgt Ober verschlüsselte Verbindungen und innerhalb eines abgeschotteten, internen Netzwerkes.


Fur Kunden existieren verschlüsselte Zugriffmöglichkeiten auf ihre Bereiche wie Webspace, E-Mail­ Accounts und Datenbanken, sowie das Kundenportal.

3 Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
3.1 Weitergabekontrolle
Die Weitergabe von Daten an Dienstleister zur Auftragserfullung erfolgt in verschlüsselter Form über verifizierte Kommunikationswege.
3.2 Eingabekontrolle
Protokolliert werden Änderungen, die der Kunde über das Kundenportal durchführt. Änderungen, die Support-Mitarbeiter auf Kundenwunsch durchführen, werden in einem Ticket-System protokolliert .

4 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
4.1 Verfügbarkeitskontrolle
• Es werden tägliche Backups der Daten in den verschiedenen Bereichen durchgeführt .

• Server sind mit redundanten Festplattensystemen und Netzteilen ausgestattet.

• Mail- und DNS-Server sind redundant vorhanden.

• Das Rechenzentrum ist mit einer unterbrechungsfreien Stromversorgung, Notstromaggregat und einem Feuermelde / -löschsystem ausgestattet.
• Server und Dienste sind durch Firewalls geschutzt und werden überwacht . Bei Ausfall oder Überlastung erfolgt eine automatische Meldung an die zuständigen Mitarbeiter.
• Systeme zur automatischen Erkennung und Verhinderung von Angriffen auf Dienste und Authentifizierungssysteme sind vorhanden.
4.2 Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Das Wiederherstellen von Backups wird regelmäßig getestet.

5 Verfahren zur regelmäßigen Überprufung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS­ GVO)
Der Auftragnehmer prüft seine geltenden technisch-organisatorischen Maßnahmen in regelmäßigen Abständen, mindestens jahrlich auf ihre Wirksamkeit und Angemessenheit. Falls notwendig, passt er sie an veränderte Anforderungen sowie den Stand der Technik an.
Die Kompetenzen zwischen Auftraggeber und Auftragnehmer werden bei Datenverarbeitungsvertragen mittels folgender Maßnahmen abgegrenzt:
• Eindeutige Vertragsgestaltung

• Formalisierte Auftragserteilung (Online-Bestellsystem)

• Kontrolle der Vertragsausführung

 ------------------------------------------------------

 

Durch weiterführen des Bestellvorgangs erkennen Sie unsere AGBs und Datenschutzerklärung an.

 

Einverstanden, zurück zum Warenkorb