DSGVO - Gebrauchsanweisung

Dokumenttyp: Informationshinweis gemäß Artikel 12–14 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO“).
Mit diesem Hinweis wird erläutert, wie personenbezogene Daten beim Browsen, Kontaktieren oder Einkaufen bei Canvartin verarbeitet werden, einschließlich Poster, Leinwände und Papierkunstprodukte (einschließlich personalisierter Bestellungen).
Webseite: https://canvartin.com/

Inhaltsverzeichnis

2) Verantwortliche Personennennung

Die Datenverantwortlicher im Sinne von DSGVO Artikel 4(7) ist Nadezhda Khusainova, ansässig in Spanienerstklassigen Shou Pu-erh

Die Postadresse, E-Mail und Telefon/WhatsApp des Verantwortlichen sind im Kontaktaufnahme und Beschwerden Abschnitt angegeben, um Wiederholungen zu vermeiden und die Lesbarkeit dieses Hinweises zu gewährleisten.

3) Geltungsbereich und Rollen

3.1 Für wen dieser Hinweis gilt

  • Besucher der Canvartin-Website.
  • Kunden, die Poster, Leinwände oder Papierkunstprodukte kaufen.
  • Personen, die eine Personalisierung (benutzerdefinierter Text/Bilder) anfragen.
  • Personen, die den Kundendienst kontaktieren (Bestellfragen, Rücksendungen, Beschwerden).
  • Empfänger von Dienstleistungsnachrichten, die zur Durchführung eines Vertrags erforderlich sind (Bestellbestätigung, Versandupdates).

3.2 Verantwortlicher vs. andere Verantwortliche

  • Wenn Sie über eine Drittplattform (z.B. Marktplatz) kaufen, agiert diese Plattform in der Regel als unabhängiger Verantwortlicher für ihre eigenen Zwecke. Der Verantwortliche erhält nur die für die Erfüllung der Bestellung und die Unterstützung erforderlichen Informationen.
  • Zahlungsanbieter und Versanddienstleister können für bestimmte Verarbeitungen, die gesetzlich vorgeschrieben sind, sowie für den Betrieb ihrer Dienste, als Verantwortliche handeln. Wenn sie als Auftragsverarbeiter auftreten, ist die Verarbeitung durch DSGVO Artikel 28 geregelt.

3.3 Keine unzulässige Verarbeitung

Personenbezogene Daten werden nur für die in diesem Hinweis beschriebenen Zwecke verarbeitet, im Einklang mit DSGVO Artikel 5(1)(b) (Zweckbindung) und Artikel 5(1)(c) (Datenminimierung).

4) Angewandte DSGVO-Prinzipien

Die Verarbeitung ist so organisiert, dass sie den Prinzipien des DSGVO Artikel 5(1) entspricht:

  • Rechtmäßigkeit, Fairness, Transparenz (Artikel 5(1)(a)) – klare Information und gültige Rechtsgrundlagen.
  • Zweckbindung (Artikel 5(1)(b)) – keine zweckfremden Nutzungen.
  • Datenminimierung (Artikel 5(1)(c)) – nur Daten, die für Bestellungen, Versand, Personalisierung und Support erforderlich sind.
  • Genauigkeit (Artikel 5(1)(d)) – angemessene Maßnahmen, um die Daten korrekt zu halten.
  • Aufbewahrungsdauer (Artikel 5(1)(e)) – Aufbewahrung im Zusammenhang mit dem Zweck und gesetzlichen Verpflichtungen.
  • Integrität und Vertraulichkeit (Artikel 5(1)(f)) – Sicherheitsmaßnahmen gemäß Artikel 32.
  • Rechenschaftspflicht (Artikel 5(2)) – dokumentierte Maßnahmen bei Bedarf.

5) Kategorien personenbezogener Daten

5.1 Identifikations- und Kontaktdaten

  • Name und Nachname.
  • E-Mail-Adresse.
  • Telefonnummer (einschließlich WhatsApp, falls für Support genutzt).
  • Lieferadresse und Rechnungsadresse.
  • Land/Region (im Zusammenhang mit Versand, Mehrwertsteuer und Kundensupport).

5.2 Bestell- und Transaktionsdaten

  • Bestellnummer, Bestelldatum, gekaufte Artikel (Poster, Leinwände, Papierkunstsets), Menge, Preis, Währung.
  • Versandart, Sendungsverfolgungsnummer (falls vorhanden), Lieferstatus, Lieferausnahmen.
  • Rechnungs- / Quittungsdetails (wie für Buchhaltung und Steuerkonformität erforderlich).
  • Referenzen und Ergebnisse von Rückerstattungen / Rücksendungen.

5.3 Kommunikations- und Supportdaten

  • Nachrichten, die Sie senden (E-Mail/WhatsApp), einschließlich Anhänge, die Sie zur Verfügung stellen.
  • Informationen, die zur Bearbeitung von Anfragen benötigt werden (z. B. Beschreibung des Lieferproblems, Schadensmeldungen, fehlende Artikel).
  • Beschwerde- und Streitfallaufzeichnungen, einschließlich Korrespondenz und Lösungsmaßnahmen.

5.4 Personalisierungsinhalte (benutzerdefinierte Daten)

  • Benutzerdefinierter Text (Namen, Daten, kurze Nachrichten), der gedruckt oder in ein Design integriert werden soll.
  • Bilder, die Sie hochladen oder für den Druck bereitstellen (z. B. Fotos, Kunstwerke), sofern zutreffend.
  • Design-Optionen, die Sie auswählen (Größe, Layout, Farboptionen), sofern zutreffend.

5.5 Nicht absichtlich gesammelte Daten

Der Verantwortliche fordert keine oder benötigt keine besonderen Kategorien von personenbezogenen Daten gemäß DSGVO Artikel 9. Wenn Sie solche Daten freiwillig in Personalisierungsinhalte oder Nachrichten angeben, werden sie nur in dem für die Erfüllung Ihrer Anfrage und Ihre Reaktion notwendigen Umfang verarbeitet.

6) Verarbeitung nach Produktlinie: Poster / Leinwände / Papierkunst

6.1 Poster (nicht personalisiert)

Bei Standardpostern ist die Verarbeitung auf das notwendigste beschränkt, um die Bestellung anzunehmen, das Poster herzustellen/verpacken und zu versenden.

  • Typische verwendete Daten: Identitäts- und Kontaktdaten; Lieferadresse; Bestelldetails; Zahlungsbestätigung; Kundenservice-Kommunikation.
  • Typischer Zweck: Auftragsabwicklung, Lieferung, After-Sales-Support.
  • Hauptrechtgrundlage: Vertragserfüllung (DSGVO Artikel 6(1)(b)).

6.2 Leinwände (nicht personalisiert)

Bei Standardleinwänden ist die Verarbeitung auf das notwendigste beschränkt, um den Kaufvertrag zu erfüllen, das Produkt zu versenden und After-Sales-Anfragen zu verwalten.

  • Typische verwendete Daten: Identitäts- und Kontaktdaten; Lieferadresse; Bestelldetails; Zahlungsbestätigung; Kundenservice-Kommunikation.
  • Typischer Zweck: Produktionskoordination (falls zutreffend), Verpackung, Versand, Retourenmanagement.
  • Hauptrechtgrundlage: Vertragserfüllung (DSGVO Artikel 6(1)(b)).

6.3 Papierkunstprodukte (Sets und Druckteile)

Bei Papierkunstprodukten beschränkt sich die Verarbeitung auf die Annahme und Erfüllung der Bestellung, Versand und Support. Papierkunstsets können Komponenten wie gedruckte Papierelemente enthalten und je nach Set Zubehör (z. B. Bastelmesser, Weißleim, Plastiklineal, Kunststoffverpackung, Kugelschreiber). Das Vorhandensein von Zubehör ändert nicht die Kategorien der verarbeiteten personenbezogenen Daten; es kann jedoch den Bedarf an genauen Lieferdetails und sorgfältigem After-Sales-Management erhöhen.

  • Typische verwendete Daten: Identitäts- und Kontaktdaten; Lieferadresse; Bestelldetails; Support-Kommunikation.
  • Typischer Zweck: Auftragsabwicklung, Lieferung, Ersatz fehlender Komponenten, Beschwerdeabwicklung.
  • Hauptrechtgrundlage: Vertragserfüllung (DSGVO Artikel 6(1)(b)).

7) Personalisierung (Kundenwünsche)

7.1 Was “Personalisierung” bedeutet

Personalisierung bezieht sich auf die Verarbeitung, bei der Informationen verwendet werden, die Sie bereitstellen, um ein Produkt speziell für Sie zu erstellen. Beispiele sind das Hinzufügen von Namen, Daten, kurzen Nachrichten, individuellen Farbwünschen oder das Drucken Ihres Bildes auf einem Poster/Leinwand (falls angeboten).

7.2 Personalisierungsdaten und Verantwortlichkeiten

  • Genauigkeit der kundenspezifischen Eingaben: Sie sind verantwortlich für die Überprüfung der Rechtschreibung, Daten und Richtigkeit der Personalisierungsdetails vor Bestätigung der Bestellung. Der Verantwortliche verarbeitet die Daten genau so, wie Sie sie bereitgestellt haben, sofern keine Klärung angefragt wird.
  • Rechte Dritter: Wenn Sie Bilder oder Texte von Dritten bereitstellen, bestätigen Sie, dass Sie das Recht haben, diese für Druck/Produktion bereitzustellen. Der Verantwortliche verarbeitet solche Inhalte, um den Vertrag zu erfüllen (DSGVO Art. 6(1)(b)).
  • Inhaltseinschränkungen: Der Verantwortliche kann personalisierte Anfragen ablehnen, die offensichtlich rechtswidrig sind oder innerhalb vernünftiger Grenzen nicht hergestellt werden können, basierend auf legitimen Interessen und rechtlicher Einhaltung (DSGVO Art. 6(1)(f) und/oder Art. 6(1)(c), je nach Situation).

7.3 Rechtliche Grundlagen für Personalisierungen

  • Vertragserfüllung (DSGVO Art. 6(1)(b)) – Erstellung eines von Ihnen angeforderten individuellen Produkts.
  • Berechtigtes Interesse (DSGVO Art. 6(1)(f)) – Qualitätskontrolle, Missbrauchsverhinderung (z. B. betrügerische oder missbräuchliche Anfragen) und Aufbewahrung von Beweisen für die vereinbarte individuelle Spezifikation bei Streitfällen.
  • Rechtliche Verpflichtung (DSGVO Art. 6(1)(c)) – Aufbewahrung von Rechnungs-/Kontoinformationen, wenn Personalisierungsdetails in einer Bestellaufzeichnung erscheinen.

7.4 Minimierung bei kundenspezifischem Inhalt

Personalisierung basiert auf DSGVO Art. 5(1)(c): Es werden nur die Inhalte verarbeitet, die unbedingt notwendig sind, um den personalisierten Artikel herzustellen. Überflüssige Inhalte in Nachrichten (nicht verwandte persönliche Daten) sind nicht erforderlich und sollten nicht geteilt werden.

7.5 Nachweis der Personalisierung und Streitbeilegung

Um Streitfälle bei “nicht wie bestellt” zu lösen, kann der Verantwortliche aufbewahren:

  • Ihre bestätigte Text-/Bilddatei für die Personalisierung,
  • einen Nachweis Ihrer Zustimmung (falls zutreffend),
  • Bestellkommunikationen, die die individuelle Spezifikation bestätigen,
  • Produktionsnotizen, die streng mit der Erfüllung der Bestellung zusammenhängen.

Dies unterstützt die Vertragserfüllung (Artikel 6(1)(b)) und berechtigte Interessen an Streitverhinderung und -beilegung (Artikel 6(1)(f)).

8) Zwecke und rechtliche Grundlagen (DSGVO Art. 6)

Zweck Was dies umfasst Primäre rechtliche Grundlage (DSGVO) Wichtige DSGVO-Referenzen
Auftragserstellung und -verwaltung Aufträge annehmen, Details bestätigen, Produktions- und Verpackungsanweisungen vorbereiten, Statusaktualisierungen. Art. 6(1)(b) Vertragserfüllung DSGVO (Art. 6; Art. 13(1)(c))
Lieferung und Logistik Adressvalidierung (falls erforderlich), Versandetiketten, Übergabe an den Versanddienstleister, Lieferbenachrichtigungen, Bearbeitung fehlgeschlagener Zustellungen. Art. 6(1)(b) Vertragserfüllung DSGVO Art. 6; Art. 5(1)(c)
Kundendienst und Kommunikation Beantwortung von Fragen, Bereitstellung von Anweisungen und Erläuterungen, Bearbeitung von Beschwerden, Ersatzlieferungen, fehlende Artikel. Art. 6(1)(b) Vertragserfüllung
Art. 6(1)(f) Berechtigtes Interesse		 DSGVO Art. 6; Art. 13; Art. 21
Personalisierungsproduktion Verarbeitung von Texten/Bildern zur Erstellung des personalisierten Posters/Kanvases/Papercraft-Elements, das Sie bestellt haben. Art. 6(1)(b) Vertragserfüllung DSGVO Art. 6; Art. 5(1)(b)-(c)
Buchhaltung, Rechnungsstellung und Compliance Rechnungen/Belege, Buchführung, Aufbewahrungspflichten, Reaktion auf rechtsstaatliche Anfragen. Art. 6(1)(c) Rechtliche Verpflichtung DSGVO Art. 6(1)(c); Art. 13(1)(c)
Rückgaben, Rückerstattungen und Streitigkeiten Rücksendegenehmigung, Rückerstattungsverarbeitung, Betrugsprävention bei Rücksendungen, Beweissicherung. Art. 6(1)(b) Vertragserfüllung
Art. 6(1)(c) Rechtliche Verpflichtung (falls zutreffend)
Art. 6(1)(f) Berechtigtes Interesse		 DSGVO Art. 6; Art. 5(1)(e); Art. 21
Sicherheit, Betrugsprävention und Missbrauchsverhinderung Schutz der Kommunikation und Bestellintegrität, Erkennung verdächtiger Aktivitäten, Verhinderung von Identitätsmissbrauch und Chargeback-Betrug. Art. 6(1)(f) Berechtigtes Interesse DSGVO Art. 6(1)(f); Art. 32; Art. 5(1)(f)

8.1 Interessenabwägung (DSGVO Artikel 6(1)(f), Artikel 21)

Bei der Verarbeitung auf berechtigten Interessen basiert, bewertet der Verantwortliche:

  • Zweckprüfung: das verfolgte Interesse (z. B. Betrugsprävention, Streitbeilegung, Betriebsfortführung).
  • Erforderlichkeitsprüfung: ob die Verarbeitung für diesen Zweck notwendig und verhältnismäßig ist.
  • Abwägungstest: Auswirkungen auf die Betroffenen, angemessene Erwartungen und vorhandene Schutzmaßnahmen.

Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen (DSGVO Artikel 21). Wenn der Widerspruch berechtigt ist, wird die Verarbeitung eingestellt, es sei denn, es liegen zwingende schutzwürdige Gründe vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

9) Empfänger, Auftragsverarbeiter und Offenbarungen

9.1 Empfängerkategorien (DSGVO Artikel 13(1)(e))

Personenbezogene Daten dürfen nur im notwendigen Umfang weitergegeben an:

  • Zahlungsdienstleister (Zahlungsbestätigung, Rückerstattungsabwicklung, Betrugsprüfungen).
  • Transportunternehmen und Lieferservices (Name, Adresse, Kontaktdaten, die für die Lieferung notwendig sind; Versandstatus).
  • Fachberater (Buchhaltung, Recht), falls erforderlich zur Einhaltung der Vorschriften und rechtlicher Verteidigung.
  • Öffentliche Behörden wenn eine Offenlegung gesetzlich vorgeschrieben ist (DSGVO Art. 6(1)(c)).
  • Dienstleister, die als Auftragsverarbeiter tätig sind nach DSGVO Art. 28, nur auf schriftliche Anweisung und mit angemessenen Schutzmaßnahmen.

9.2 Auftragsverarbeiter (DSGVO Art. 28)

Wenn ein externer Anbieter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, stellt der Verantwortliche sicher, dass:

  • die Verarbeitung durch einen Vertrag geregelt ist, der den Anforderungen des DSGVO Art. 28(3) entspricht,
  • der Anbieter angemessene Sicherheitsmaßnahmen umsetzt (DSGVO Art. 32),
  • Sub-Auftragsverarbeiter (falls vorhanden) kontrolliert und autorisiert sind gemäß DSGVO Art. 28(2)-(4),
  • Daten nur für die dokumentierten Zwecke des Verantwortlichen verarbeitet werden.

9.3 Kein Verkauf personenbezogener Daten

Der Verantwortliche verkauft keine personenbezogenen Daten an Dritte.

10) Internationale Übermittlungen (GDPR Kapitel V)

10.1 Wann Übermittlungen erfolgen können

Übermittlungen außerhalb des Europäischen Wirtschaftsraums (EWR) können erfolgen, wenn ein Empfänger/Dienstleister Daten in einem Drittland verarbeitet oder speichert oder Fernzugriff aus einem Drittland erlaubt. Übermittlungen können auch bei der Kommunikation mit Ihnen erfolgen, wenn Sie außerhalb des EWR ansässig sind.

10.2 Übertragungsmechanismen (Artikel 44–49)

Internationale Übermittlungen erfolgen nur gemäß GDPR Kapitel V (GDPR Artikel 44–49). Wenn anwendbar, stützt sich der Verantwortliche auf:

  • Angemessenheitsentscheidungen (GDPR Artikel 45), wenn die Europäische Kommission entschieden hat, dass ein Land ein angemessenes Datenschutzniveau gewährleistet.
  • Geeignete Garantien (GDPR Artikel 46), einschließlich der EU-Standardvertragsklauseln (SCCs): https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
  • Ausnahmeregelungen (GDPR Artikel 49), nur wenn anwendbar und restriktiv ausgelegt (z. B. notwendige Übermittlung für die Vertragserfüllung).

10.3 Zusätzliche Garantien

Wenn SCCs verwendet werden, wendet der Verantwortliche zusätzliche Schutzmaßnahmen an, wenn nötig, in Übereinstimmung mit GDPR Artikel 32 und relevanter EDPB-Leitlinien: https://edpb.europa.eu/

11) Speicherung (GDPR Artikel 5(1)(e))

11.1 Grundregel

Persönliche Daten werden nur so lange gespeichert, wie sie für die angegebenen Zwecke und zur Erfüllung gesetzlicher Pflichten erforderlich sind. Bei Entscheidungen zur Speicherung werden berücksichtigt:

  • Vertragsdauer und Nachverkaufszeitraum,
  • gesetzliche Pflichten (z. B. Buchhaltung, Steuern),
  • Verjährungsfristen für Ansprüche und Streitigkeiten,
  • Datenminimierung und Verhältnismäßigkeit (GDPR Artikel 5(1)(c) und 5(1)(e))

11.2 Speicherung nach Kategorie (pragmatischer Überblick)

Kategorie Speicheransatz Zweckgerichtete Ausrichtung
Bestell-, Liefer- und Support-Historie Für die Dauer erforderlich, um den Vertrag durchzuführen und angemessenem Nachverkaufssupport zu bieten, dann gelöscht oder anonymisiert, sofern keine Erfüllung gesetzlicher Vorgaben oder Ansprüche bestehen. Art. 6(1)(b), Art. 6(1)(f), Art. 5(1)(e)
Rechnungen und Buchhaltungsunterlagen Für den Zeitraum gemäß anwendbarer Buchhaltungs-/Steuergesetze aufbewahrt; Zugriff nur für autorisierte Personen. Art. 6(1)(c), Art. 5(1)(e)
Personalisierungsdateien und Genehmigungen Aufbewahrt, soweit notwendig, um das personalisierte Produkt herzustellen und Streitigkeiten/Rückgaben zu bearbeiten; danach gelöscht, es sei denn, eine fortgesetzte Speicherung ist für rechtliche Ansprüche oder obligatorische Buchführung erforderlich. Art. 6(1)(b), Art. 6(1)(f), Art. 5(1)(e)
Dokumentation von Rückgaben/Erstattungen Aufbewahrt, solange erforderlich, um Rückgabe/Erstattung abzuschließen und Betrugsrisiken sowie Streitigkeiten zu verwalten; länger, falls gesetzlich vorgeschrieben oder zur Verteidigung rechtlicher Ansprüche. Art. 6(1)(b), Art. 6(1)(c), Art. 6(1)(f)
Sperr- (Do-Not-Contact-)Aufzeichnungen Aufbewahrt, um sicherzustellen, dass Marketing-Opt-outs respektiert werden. Art. 6(1)(f), Art. 21

12) Rechte der betroffenen Personen (GDPR Artikel 12–23)

12.1 Ihre Rechte

  • Auskunftsrecht (GDPR Artikel 15).
  • Recht auf Berichtigung (GDPR Artikel 16).
  • Recht auf Löschung (GDPR Artikel 17).
  • Recht auf Einschränkung der Verarbeitung (GDPR Artikel 18).
  • Recht auf Datenübertragbarkeit (GDPR Artikel 20), soweit anwendbar.
  • Widerspruchsrecht (GDPR Artikel 21), einschließlich eines absoluten Widerspruchsrechts gegen Direktmarketing.
  • Rechte im Zusammenhang mit automatisierter Entscheidungsfindung (GDPR Artikel 22), soweit anwendbar.
  • Widerruf der Einwilligung (GDPR Artikel 7(3)), wenn die Verarbeitung auf Einwilligung beruht.

12.2 Umgang mit Anfragen (Artikel 12–14)

  • Transparente Kommunikation: Informationen werden in einer knappen, transparenten, verständlichen Form bereitgestellt (GDPR Artikel 12(1)).
  • Fristüberschreitungen: Antworten werden ohne unangemessene Verzögerung und innerhalb eines Monats gegeben, längstens jedoch um zwei Monate, falls erforderlich (GDPR Artikel 12(3)).
  • Identitätsprüfung: Zusätzliche Informationen können angefordert werden, wenn berechtigte Zweifel an der Identität bestehen (GDPR Artikel 12(6)).
  • Gebühren: Anfragen werden in der Regel kostenlos bearbeitet; für offensichtlich unbegründete oder exzessive Anfragen kann eine angemessene Gebühr erhoben werden (GDPR Artikel 12(5)).

12.3 Grenzen und Ausnahmen

Rechte sind nicht absolut. Der Verantwortliche kann eine Anfrage ablehnen oder einschränken, wenn dies nach der DSGVO zulässig ist (z. B. bei gesetzlicher Aufbewahrungspflicht oder zur Durchsetzung rechtlicher Ansprüche), und die Gründe sind gemäß GDPR Artikel 12(4) zu erklären.

13) Widersprüche, Widerrufe und Sperrlisten

13.1 Widerspruch gegen die Verarbeitung (Artikel 21)

Wenn die Verarbeitung auf berechtigten Interessen beruht (GDPR Artikel 6(1)(f)), können Sie jederzeit Widerspruch aus Gründen einlegen, die sich aus Ihrer besonderen Situation ergeben (GDPR Artikel 21(1)). Der Verantwortliche wird die Verarbeitung einstellen, es sei denn, es liegen zwingende berechtigte Gründe vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist zur Geltendmachung rechtlicher Ansprüche erforderlich.

13.2 Direktmarketing (Artikel 21(2)–(3))

Wenn personenbezogene Daten für Direktmarketing verarbeitet werden, können Sie jederzeit Widerspruch einlegen. Nach einem Widerspruch werden die Daten nicht mehr für Direktmarketing verarbeitet (GDPR Artikel 21(2)–(3)).

13.3 Widerruf der Einwilligung (Artikel 7(3))

Wenn die Verarbeitung auf Einwilligung beruht, kann diese jederzeit widerrufen werden. Der Widerruf berührt die Rechtmäßigkeit der Verarbeitung, die vor dem Widerruf erfolgt ist (GDPR Artikel 7(3)).

13.4 Sperrlisten

Um Widersprüche/ Opt-outs zu respektieren, kann der Verantwortliche eine minimale Aufzeichnung (z. B. E-Mail-Adresse) in einer Sperrliste führen. Dadurch wird sichergestellt, dass Sie für Marketingzwecke nicht erneut kontaktiert werden, im Einklang mit berechtigten Interessen und gesetzlichen Pflichten (GDPR Artikel 6(1)(f); Artikel 21).

14) Rücksendungen, Erstattungen und Streitigkeiten

14.1 Rücksendungen und erforderliche Daten

Bei einer Rückgabe- oder Erstattungsanfrage verarbeitet der Verantwortliche die erforderlichen Informationen, um:

  • Ihre Bestellung (Bestellnummer, Kaufdatum, Artikel-Details) zu identifizieren,
  • Berechtigung und Bedingungen zu bestätigen (falls zutreffend),
  • die Rücksendung zu koordinieren oder Anweisungen bereitzustellen,
  • die zurückgesandten Waren zu prüfen (falls zutreffend),
  • eine Rückerstattung oder einen Austausch auszustellen,
  • den Ausgang für Buchhaltung und Support-Kontinuität zu dokumentieren.

14.2 Rechtliche Grundlagen für die Rückgabe-bezogene Verarbeitung

  • Vertragserfüllung (GDPR Artikel 6(1)(b)) – Verwaltung von Rücksendungen, Austauschen und Rückerstattungen im Rahmen der Verkaufstätigkeit.
  • Rechtliche Verpflichtung (GDPR Artikel 6(1)(c)) – wenn Aufbewahrung für Buchhaltung/Steuern oder Verbraucherschutzgesetze erforderlich ist.
  • Berechtigtes Interesse (GDPR Artikel 6(1)(f)) – Betrugsprävention, Streitbeilegung und Aufrechterhaltung von Nachweisen über den Zustand der Waren sowie Rückgabeprozesse.

14.3 Nachweise und Dokumentation

Bei Streitigkeiten und Qualitätsfragen kann der Verantwortliche bitten um und verarbeitet:

  • Fotos von Schäden, falscher Drucklegung oder fehlenden Komponenten,
  • Fotos der Versandverpackung (falls relevant),
  • Sendungsnachverfolgungsdaten des Versanddienstleisters,
  • Kommunikationsverlauf, der zur Klärung des Problems erforderlich ist.

Jegliche Dokumentation ist auf das Notwendige beschränkt (GDPR Artikel 5(1)(c)) und nur so lange aufbewahrt, wie es für den Rückgabe- oder Streitbeilegungsprozess sowie die damit verbundenen rechtlichen Verpflichtungen erforderlich ist (GDPR Artikel 5(1)(e)).

14.4 Personalisierte Produkte und Rückgaben

Personalisierte Produkte erfordern möglicherweise eine zusätzliche Überprüfung der vereinbarten kundenspezifischen Spezifikation. Der Verantwortliche kann eine Aufzeichnung der Personalisierungsdaten und Genehmigungsschritte aufbewahren, um zu beurteilen, ob der gelieferte Artikel mit der bestätigten Bestellung übereinstimmt. Dies unterstützt die Vertragserfüllung und berechtigte Interessen bei fairer Streitbeilegung (GDPR Artikel 6(1)(b) und Artikel 6(1)(f)).

15) Sicherheit und Vertraulichkeit (GDPR Artikel 32)

15.1 Sicherheitsziel

Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um ein Schutzniveau sicherzustellen, das dem Risiko angemessen ist (GDPR Artikel 32(1)), unter Berücksichtigung des Stands der Technik, der Umsetzungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die betroffenen Personen.

15.2 Risikoorientierter Ansatz (welche Risiken werden berücksichtigt)

Sicherheitsmaßnahmen werden ausgewählt, um Risiken wie zu reduzieren:

  • Unbefugten Zugriff auf Bestelldaten (Namen, Adressen),
  • Kontenübernahmen (sofern Konten vorhanden),
  • Unbefugte Offenlegung von Personalisierungsinhalten (benutzerdefinierte Texte/Bilder),
  • Betrügerische Rückerstattungs- und Rückgabeansprüche unter Verwendung fremder Identitäten oder Bestellinformationen,
  • Phishing und Social Engineering-Angriffe auf Kundensupport-Kanäle,
  • unbeabsichtigter Verlust oder Löschen von Aufzeichnungen, die für die Auftragsabwicklung erforderlich sind,
  • Verlust der Vertraulichkeit bei Kommunikationsprozessen mit Dienstleistern,
  • rechtswidrige Verarbeitung über die angegebenen Zwecke hinaus.

15.3 Organisatorische Maßnahmen

  • Zugriffsverwaltung: Der Zugriff auf personenbezogene Daten ist auf das für die Auftragsabwicklung und den Support Notwendige beschränkt (Need-to-know-Prinzip), um GDPR Artikel 5(1)(f) und Artikel 32(1)(b) zu unterstützen.
  • Rollenaufteilung: bei Delegation von Aufgaben werden Berechtigungen getrennt, um die Exposition personenbezogener Daten zu reduzieren.
  • Vertraulichkeit: Personen mit Zugang zu personenbezogenen Daten unterliegen Vertraulichkeitspflichten, die dem Kontext angemessen sind (DSGVO Artikel 28(3)(b) für Auftragsverarbeiter; allgemeine Vertraulichkeitsprinzipien nach Artikel 5(1)(f)).
  • Datenhandhabungsverfahren: Dokumentierte Schritte für das Empfang, die Nutzung und die Entsorgung personenbezogener Daten, einschließlich Personalisierungsdateien und Nachweis des Rückversands.
  • Schulungen und Sensibilisierung: Maßnahmen zur Reduzierung von Fehlern und zur Verbesserung der Erkennung von Phishing- und Betrugsanfragen.
  • Lieferantenmanagement: Auswahl und Überprüfung von Dienstleistern, mit vertraglichen Verpflichtungen bei Handeln als Auftragsverarbeiter (DSGVO Artikel 28) und Bewertung von Übermittlungsschutzmaßnahmen (DSGVO Kapitel V).
  • Vorfallmanagement: Verfahren zur Identifikation, Bewertung und Reaktion auf vermutete Vorfälle mit personenbezogenen Daten, abgestimmt auf DSGVO Artikel 33–34.
  • Physische Sicherheit: Zumutbare Maßnahmen zum Schutz gedruckter Bestelldokumente und physischer Aufzeichnungen (falls vorhanden) sowie zur Verhinderung unbefugten Blicks auf Versandetiketten und Kundendaten während des Verpackens.

15.4 Technische Maßnahmen (Sicherheitskontrollen, die auf funktionaler Ebene beschrieben sind)

Sicherheitskontrollen werden implementiert, um Vertraulichkeit, Integrität und Verfügbarkeit zu unterstützen (DSGVO Artikel 32(1)). Die Kontrollen sind auf funktionaler Ebene beschrieben, um bei Systemevolutionen genau zu bleiben und irreführende Angaben zu vermeiden.

  • Sichere Kommunikation: Maßnahmen zum Schutz personenbezogener Daten während der Übertragung, um Abfangrisiken zu minimieren.
  • Authentifizierung und Autorisierung: Mechanismen, um unbefugten Zugriff auf administrative Funktionen und Bestellungsdaten zu verhindern.
  • Change Management: Kontrollen zur Reduktion versehentlicher Fehlkonfigurationen, die Kundendaten exponieren könnten.
  • Backups und Wiederherstellung: Maßnahmen zur Unterstützung der Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten nach einem Vorfall (DSGVO Artikel 32(1)(c)).
  • Integritätsprüfungen: Maßnahmen zur Reduzierung des Risikos unbefugter Änderungen an Bestelldaten (Adressen, Personalisierungstexte).
  • Minimierte Exposition: Beschränkung der im operativen Kontext sichtbaren personenbezogenen Daten (z.B. vollständige Adressanzeige nur bei Bedarf).

15.5 Schutz des Personalisierungsinhalts

Da Personalisierungsinhalte Namen, Nachrichten und Bilder enthalten können, wird besondere Sorgfalt angewendet:

  • Zweckbindung: Personalisierungsdateien werden nur zur Herstellung des bestellten Artikels und zur Beilegung damit zusammenhängender Streitigkeiten verwendet (DSGVO Artikel 5(1)(b)).
  • Geregelter Zugriff: Der Zugriff ist nur für an der Erfüllung der personalisierten Bestellung beteiligte Personen möglich.
  • Geregeltes Teilen: Personalisierungsdateien werden nicht mit unbeteiligten Parteien geteilt; das Teilen erfolgt nur bei Erforderlichkeit zur Produktion und Versand.
  • Aufbewahrungsdisziplin: Löschung oder Anonymisierung nach Erreichen des Zwecks, vorbehaltlich gesetzlicher Verpflichtungen und Ansprüche (DSGVO Artikel 5(1)(e)).

15.6 Zahlungs-Absicherungsbereich

Die Zahlungsabwicklung erfolgt in der Regel durch Zahlungsdienstleister. Der Verantwortliche verarbeitet nur die notwendigen Daten, um den Zahlungsstatus zu bestätigen, Transaktionen den Bestellungen zuzuordnen und Rückerstattungen sowie Streitigkeiten zu verwalten. Dies unterstützt die Datenminimierung (DSGVO Artikel 5(1)(c)) und reduziert die Exposition sensibler Zahlungsdetails.

15.7 Sicherheitstests und -überprüfungen (künftige Angepasstheit)

Gemäß Artikel 32 Absatz 1 Buchstabe d DSGVO wendet der Verantwortliche Prozesse an für:

  • regelmäßige Überprüfung der Sicherheitsmaßnahmen,
  • Verifizierung der Angemessenheit der Zugriffsbeschränkungen,
  • Bewertung, ob Aufbewahrungs- und Löschpraktiken wirksam umgesetzt werden,
  • Überprüfung der Einhaltung der Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO,

15.8 Vertraulichkeit in Kundensupport-Kanälen

Support-Kommunikationen können Bestelldetails und Adressen enthalten. Zur Risikominderung:

  • kann der Verantwortliche eine minimale Verifizierung verlangen (z. B. Bestellnummer und E-Mail), bevor bestellspezifische Details besprochen werden,
  • vermeidet es, unnötige Daten zu erfragen (z. B. vollständige Zahlungsdienstkartennummern),
  • Anlagen nur bei Bedarf anfordern (z. B. Fotos von Schäden für eine Schadensmeldung),
  • über Messaging-Dienste geteilte Daten werden sorgfältig behandelt und nur bei Bedarf aufbewahrt.

16) Datenschutzverletzungen (Artikel 33–34 DSGVO)

Bei einer Datenschutzverletzung bewertet der Verantwortliche die Wahrscheinlichkeit und Schwere der Risiken für die betroffenen Personen. Falls erforderlich:

  • Benachrichtigung der Aufsichtsbehörde: unverzüglich und, soweit möglich, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung (Artikel 33 DSGVO).
  • Benachrichtigung der betroffenen Personen: unverzüglich, wenn die Verletzung voraussichtlich ein hohes Risiko für Rechte und Freiheiten darstellt, sofern keine Ausnahme gilt (Artikel 34 DSGVO).

17) Daten von Kindern

Der Verantwortliche sammelt wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie glauben, dass ein Kind personenbezogene Daten bereitgestellt hat, können Sie den Verantwortlichen kontaktieren, um die Löschung zu beantragen, sofern dies rechtlich möglich ist und auf gesetzlichen Aufbewahrungsverpflichtungen beruht.

18) Änderungen dieser Mitteilung

Diese Mitteilung kann aktualisiert werden, um Änderungen bei Verarbeitung oder rechtlichen Anforderungen widerzuspiegeln. Die aktuelle Version wird auf der Webseite mit einem aktualisierten ‚Zuletzt aktualisiert‘-Datum veröffentlicht. Die Verarbeitung unterliegt weiterhin den Transparenz- und Fairness-Anforderungen der DSGVO (Artikel 12–14).

19) Kontakt und Beschwerden

Verantwortlicher: Nadezhda Khusainova
Adresse: Calle Lince, 10. Coín, Málaga, 29100, Spanien
E-Mail: admin@canvartin.com
Telefon / WhatsApp: +34 624 640 928
Webseite: https://canvartin.com/

Beschwerderecht (Artikel 77 DSGVO): Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, insbesondere in dem EU-Mitgliedstaat, in dem Sie gewöhnlich wohnen, arbeiten oder den vermeintlichen Verstoß geltend machen.
Spanien (AEPD): https://www.aepd.es/

Anhang: Erwähnte DSGVO-Artikel (offizielle Links)

25) Cookies und ähnliche Technologien (Online-Identifikatoren) – Transparenz und Wahlmöglichkeiten

25.1 Anwendbarkeit dieses Abschnitts

Dieser Abschnitt gilt, wenn Sie mit der Website und eingebetteten Diensten interagieren, die Informationen auf Ihrem Gerät speichern oder abrufen (z. B. durch Cookies, lokalem Speicher, Pixel oder ähnliche Technologien). Wenn solche Technologien persönliche Daten betreffen, unterliegt die Verarbeitung auch der DSGVO (Verordnung (EU) 2016/679).

25.2 Gesetzliche Regelungen, auf die verwiesen wird

  • DSGVO (Verordnung (EU) 2016/679): EUR-Lex (DSGVO)
  • ePrivacy-Richtlinie (Richtlinie 2002/58/EG, in der Fassung der Änderung) – Geräte-Storage/-Zugriffsregel (Cookies): EUR-Lex (ePrivacy)

25.3 Kategorien der mit Cookies verbundenen Daten, die verarbeitet werden können

  • Cookie-Identifikatoren und Präferenzsignale (Zustimmungsstatus, Sprachauswahl),
  • ca. Standort basierend auf IP-Adresse,
  • Geräte- und Browsermerkmale (User-Agent, Bildschirmeinstellungen),
  • Grundlegende Interaktionsdaten (besuchte Seiten, Zeitstempel),
  • Referrer- und Kampagnenparameter (z. B. UTM-Tags), wenn vorhanden.

25.4 Zwecke und rechtliche Grundlagen

Kategorie der Cookies/Technologien Zweck Rechtliche Grundlage (DSGVO Artikel 6) Erwartung der Zustimmung
Notwendig Ermöglicht die Kernfunktionen der Website, die Sie ausdrücklich anfordern (Navigation, Checkout-Durchführung, Sicherheitsfunktionen). Art. 6(1)(b) Vertrag (falls erforderlich, um die angeforderte Dienstleistung bereitzustellen) und/oder Art. 6(1)(f) Befriedigte berechtigte Interessen (sicherer und stabiler Betrieb der Website). Normalerweise nicht obligatorisch, um eine Zustimmung einzuholen, außer bei unbedingt notwendigen Cookies nach ePrivacy, aber transparent offengelegt.
Präferenzen Erinnerung an Einstellungen (z. B. Sprache), um die Benutzerfreundlichkeit zu verbessern. Art. 6(1)(f) Befriedigte berechtigte Interessen und/oder Art. 6 Abs. 1 lit. a Zustimmung, falls durch nationale Vorschriften erforderlich. Möglicherweise Zustimmung erforderlich, abhängig von der Umsetzung und nationalen Vorschriften.
Analytik Verständnis des aggregierten Website-Verhaltens, um Inhalte und Navigation zu verbessern. Art. 6 Abs. 1 lit. a Einholung der Zustimmung, wenn Analytics nicht unbedingt notwendig sind. Opt-in, wenn erforderlich; konfigurierbar, um die Identifizierbarkeit bei Bedarf zu reduzieren.
Marketing Messung der Werbewirksamkeit und Ausspielung relevanter Anzeigen über Websites/Apps hinweg. Art. 6 Abs. 1 lit. a Zustimmung. Opt-in.

25.5 Cookie-Präferenzsteuerung und Widerruf

  • Wenn ein Cookie-Banner/ein Zustimmungs-Tool verwendet wird, können Sie nicht-essentielle Cookies akzeptieren, ablehnen oder anpassen. Sie können Ihre Präferenzen später über dasselbe Tool ändern (falls verfügbar).
  • Sie können Cookies auch über Ihre Browsereinstellungen löschen. Das Löschen von Cookies kann gespeicherte Präferenzen entfernen und die Funktionalität beeinträchtigen.
  • Wenn die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen (DSGVO Artikel 7(3)): DSGVO (Art. 7)erstklassigen Shou Pu-erh

25.6 Cookie-Protokollierung

Falls die Einhaltung nachgewiesen werden muss, kann der Verantwortliche eine Aufzeichnung Ihrer Cookie-Zustimmungsentscheidung (Zeitpunkt, Umfang und Präferenzsignal) speichern, um die Rechenschaftspflichtanforderungen (DSGVO Artikel 5(2)) und die Bedingungen für die Zustimmung (DSGVO Artikel 7(1)) zu erfüllen.

26) Marketing, Service-Nachrichten und Kontaktpräferenzverwaltung

26.1 Transaktions- / Servicenachrichten

Der Anbieter sendet Nachrichten, die notwendig sind, um den Vertrag auszuführen oder Ihre Anfrage zu verwalten (z.B.: Auftragsbestätigung, Versandupdates, Klärung von Personalisierungsdetails, Rücksendeanweisungen). Diese Mitteilungen werden nicht zu Werbezwecken versendet.

  • Rechtliche Grundlage: Vertragserfüllung (DSGVO Artikel 6(1)(b)).
  • GDPR-Verweis: GDPR Art. 6

26.2 Direktmarketing (sofern angeboten)

Wenn Marketing angeboten wird (z.B.: Newsletter, Aktionen, Produktneuheiten), verarbeitet der Anbieter Ihre Kontaktdaten und Präferenzen, um diese Mitteilungen zu versenden.

  • Rechtliche Grundlage: Einwilligung (GDPR Artikel 6(1)(a) und Artikel 7), falls erforderlich.
  • Widerspruchsrecht: Wenn Direktmarketing auf berechtigten Interessen gemäß geltendem Recht basiert, können Sie jederzeit Widerspruch einlegen (GDPR Artikel 21(2)–(3)).

26.3 Präferenzverwaltung, Abmeldung und Nachweis der Einhaltung

  • Der Anbieter führt Opt-in/Opt-out-Aufzeichnungen, um nachzuweisen, dass Mitteilungen rechtmäßig versendet wurden (GDPR Artikel 5(2), Artikel 7(1)).
  • Nach Ihrer Abmeldung oder Widerspruch kann der Anbieter begrenzte Daten auf einer Sperrliste speichern, um sicherzustellen, dass Sie nicht erneut für Marketingzwecke kontaktiert werden (berechtigte Interessen: GDPR Artikel 6(1)(f); Widerspruchsrecht: GDPR Artikel 21).

27) Bewertungen, Testimonials und nutzergenerierte Inhalte (sofern zutreffend)

27.1 Verarbeitete Datenarten

  • Anzeigename / Nickname,
  • Bewertungstext, Bewertung und Einreichungsdatum,
  • Bestellverifizierungszeichen (falls zur Verhinderung von Fake-Bewertungen verwendet),
  • Fotos, die Sie mit einer Bewertung hochladen (falls vorhanden).

27.2 Zwecke und rechtliche Grundlagen

  • Zweck: Veröffentlichung von Kundenfeedback und Verbesserung der Produktqualität sowie Kundeninformation.
  • Rechtliche Grundlage: Art. 6(1)(f) berechtigte Interessen (transparente Kundeninformation und Qualitätsverbesserung), oder Art. 6 Abs. 1 lit. a Einwilligung, wo dies durch den Kontext erforderlich ist (z.B. Veröffentlichung identifizierbarer Fotos).
  • Widerspruchsrecht: Sofern berechtigte Interessen gelten, können Sie Widerspruch nach GDPR Artikel 21(1) einlegen.

27.3 Minimierung bei Bildern

Wenn Sie Bilder hochladen, die personenbezogene Daten enthalten (Gesichter, sichtbare Namen, Adressen im Hintergrund), verarbeitet der Anbieter nur die für den Bewertungszweck erforderlichen Daten und kann bei Bedarf Ersatz oder Schwärzung anfordern, im Einklang mit Datenminimierung (GDPR Artikel 5(1)(c)).

28) Social-Media-Seiten und Messaging (unabhängige Anbieter)

28.1 Verarbeitung durch den Anbieter

Wenn Sie den Anbieter über Social-Media-Nachrichten oder Kommentare kontaktieren, verarbeitet der Anbieter die bereitgestellten Inhalte, um auf Ihre Anfrage zu antworten und den Kundenservice zu verwalten.

  • Rechtliche Grundlage: Vertragserfüllung (GDPR Artikel 6(1)(b)) und/oder berechtigte Interessen (GDPR Artikel 6(1)(f)).

28.2 Plattformverarbeitung

Soziale Medien Plattformen verarbeiten in der Regel personenbezogene Daten für ihre eigenen Zwecke als unabhängige Verantwortliche. Ihre Verarbeitung unterliegt den jeweiligen Datenschutzhinweisen. Der Anbieter kontrolliert nicht die Aktivitäten der Plattformen.

29) Versandetiketten, Risiko von Fehllieferungen und Adressverifizierung

29.1 Versandetikett-Daten

Um physische Produkte (Poster, Leinwände, Papierkunstwerke) zu liefern, verarbeitet der Anbieter die minimal erforderlichen Informationen für die Zustellung, wie den Namen des Empfängers, die Lieferadresse und Kontaktdaten, soweit notwendig.

  • Rechtliche Grundlage: Vertragserfüllung (GDPR Artikel 6(1)(b)); Grundsatz der Datenminimierung (GDPR Artikel 5(1)(c)).

29.2 Adressgenauigkeit und Zustellungsfehler

Wenn eine Zustellung fehlschlägt (falsche Adresse, unvollständige Angaben, unzustellbarer Ort), kann der Verantwortliche:

  • Sie kontaktieren, um Lieferdetails zu bestätigen oder zu korrigieren,
  • die vom Versanddienstleister bereitgestellten Ausnahmeinformationen verwenden, um das Problem zu lösen,
  • Nachweis des Lieferstatus aufbewahren, um Streitigkeiten und Kundensupport zu verwalten.
  • Rechtliche Grundlage: Vertragserfüllung (GDPR Artikel 6(1)(b)); berechtigte Interessen zur Streitverhütung (GDPR Artikel 6(1)(f)).

29.3 Bericht über falsche Empfänger / Fehlzustellungen

Wenn Sie eine Fehlzustellung melden, verarbeitet der Verantwortliche die erforderlichen Informationen zur Untersuchung (Bestellreferenz, Sendungsverfolgung, Zustellnachweis). Die Verarbeitung bleibt auf das Notwendige beschränkt, um den Zustellvorfall zu beheben (GDPR Artikel 5(1)(c)) und wird nur so lange aufbewahrt, wie es erforderlich ist (GDPR Artikel 5(1)(e)).

30) Physische Aufzeichnungen und Sichtbarkeit bei Verpackungen

30.1 Papierdokumente für die Abwicklung

Wenn während des Packens (z. B. Kommissionierschein oder Packzettel) papierebasierte Bestelldokumente verwendet werden, enthalten sie nur die für die Erfüllung der Bestellung erforderlichen Informationen. Solche Dokumente werden so behandelt, dass die Sichtbarkeit personenbezogener Daten für unbefugte Personen minimiert wird.

  • GDPR-Verweis: Integrität und Vertraulichkeit (GDPR Artikel 5(1)(f)); Sicherheit (GDPR Artikel 32).

30.2 Entsorgung

Wenn Papierdokumente nicht mehr benötigt werden, werden sie so entsorgt, dass unbefugter Zugriff auf personenbezogene Daten verhindert wird, im Einklang mit GDPR Artikel 32 und dem Grundsatz der Speicherbegrenzung (GDPR Artikel 5(1)(e)).

31) Aufzeichnungen über Verarbeitungstätigkeiten und Nachweisdokumente (Artikel 30; Artikel 5(2))

31.1 Verantwortlichkeit

Der Verantwortliche wendet das Prinzip der Verantwortlichkeit (GDPR Artikel 5(2)) an und führt bei Bedarf Nachweisdokumentationen zur Einhaltung der Vorschriften.

31.2 Aufzeichnungen über Verarbeitungstätigkeiten (GDPR Artikel 30)

Sofern zutreffend, führt der Verantwortliche Aufzeichnungen über Verarbeitungstätigkeiten, die Folgendes umfassen können:

  • Verarbeitungszwecke,
  • Kategorien der betroffenen Personen und personenbezogener Daten,
  • Kategorien der Empfänger,
  • Internationale Übermittlungen und Schutzmaßnahmen (sofern zutreffend),
  • Aufbewahrungsansatz,
  • Allgemeine Sicherheitsmaßnahmen (GDPR Artikel 30(1)).

GDPR-Verweis: GDPR Art. 30

32) Datenschutz-Folgenabschätzungen und vorherige Konsultation (Artikel 35–36)

32.1 DPIA (GDPR Artikel 35)

Wenn der Verantwortliche Verarbeitung einführt, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, führt er gemäß GDPR Artikel 35 eine Datenschutz-Folgenabschätzung (DPIA) durch.

32.2 Vorherige Konsultation (GDPR Artikel 36)

Wenn eine DPIA anzeigt, dass die Verarbeitung ohne Maßnahmen des Verantwortlichen, das Risiko zu mindern, ein hohes Risiko zur Folge hätte, konsultiert der Verantwortliche die zuständige Aufsichtsbehörde vor der Verarbeitung, wie in GDPR Artikel 36 gefordert. DSGVO Art. 36

33) Besondere Einsatzfälle: Ersatzteile, fehlende Artikel und Teillieferungen

33.1 Ersatzteile und fehlende Artikel

Wenn Sie fehlende oder falsche Artikel melden (einschließlich Komponenten des Papierbaukastens), verarbeitet der Verantwortliche die minimal notwendigen Informationen, um:

  • die ursprüngliche Bestellung und das gemeldete Problem zu identifizieren,
  • die geeignete Korrekturmaßnahme zu bestätigen,
  • einen Ersatzbestandteil oder ein Produkt zu versenden, falls zutreffend,
  • Beweise für die Lösung für den After-Sales-Support zu behalten.
  • Rechtliche Grundlage: Vertragserfüllung (DSGVO Artikel 6(1)(b)); berechtigte Interessen für konsistente Streitbeilegung (DSGVO Artikel 6(1)(f)).

33,2 Teillieferungen

Wenn eine Bestellung in mehr als einem Versand erfüllt wird (zum Beispiel aufgrund von Verfügbarkeiten), verarbeitet der Verantwortliche Versandkennungen und Spediteurreferenzen, um die Lieferung und Kundenkommunikation zu verwalten. Die Verarbeitung bleibt auf das notwendige Maß beschränkt, um die Erfüllung abzuschließen.

34) Rechtliche Grundlage, Genauigkeit, Kompatibilität und Nebznutzungen

34.1 Keine inkompatible Nebznutzung

Wenn der Verantwortliche die Verarbeitung personenbezogener Daten für einen anderen Zweck als den, für den die Daten erhoben wurden, in Betracht zieht, bewertet er die Kompatibilität im Einklang mit Artikel 6(4) DSGVO und stellt die erforderlichen Informationen gemäß den Artikeln 13–14 DSGVO bereit.

34.2 Gesetzliche Verpflichtung vs. Vertrag vs. Berechtigte Interessen

Wenn mehrere gesetzliche Grundlagen relevant erscheinen könnten, wählt der Verantwortliche die passendste Grundlage für den jeweiligen Verarbeitungszweck und setzt angemessene Schutzmaßnahmen ein, um Fairness und Verhältnismäßigkeit sicherzustellen (DSGVO Artikel 5(1)(a)).

35) Daten über Dritte, die Kunden bereitstellen (Empfängeradressen, Geschenke, geteilte Bilder)

35.1 Wenn Sie Angaben einer anderen Person machen

Wenn Sie den Namen/die Adresse einer anderen Person für die Lieferung angeben (z. B. bei einer Geschenkbestellung) oder ein Bild mit personenbezogenen Daten Dritter übermitteln, sind Sie verantwortlich dafür, sicherzustellen, dass Sie eine rechtliche Grundlage zur Weitergabe dieser Informationen an den Verantwortlichen zu dem genannten Zweck haben.

35.2 Wie der Verantwortliche solche Daten verarbeitet

  • Zweck: die Bestellung zustellen, das personalisierte Produkt erstellen, Support bereitstellen.
  • Rechtliche Grundlage: Vertragserfüllung (DSGVO Artikel 6(1)(b)) und Minimierung (DSGVO Artikel 5(1)(c)).
  • Aufbewahrung: Eingebunden in die bereits beschriebene Aufbewahrungslogik für Bestell- und Streitbeilegung (DSGVO Artikel 5(1)(e)).

36) Operative Regeln für Rechteanfragen (Klärungen, Teilerfüllung und sichere Lieferung)

36.1 Umfang der Offenlegung bei Zugriffsanfragen

Als Reaktion auf eine Zugriffsanfrage (DSGVO Artikel 15) stellt der Verantwortliche bereit:

  • Bestätigung, ob personenbezogene Daten verarbeitet werden,
  • eine Kopie der verarbeiteten personenbezogenen Daten,
  • die Anforderungen gemäß DSGVO Artikel 15(1), vorbehaltlich der Rechte und Freiheiten anderer.

GDPR-Verweis: DSGVO Art. 15

36.2 Rechte anderer

Wenn die Erfüllung einer Anfrage die Rechte und Freiheiten Dritter nachteilig beeinflussen würde, kann der Verantwortliche die Offenlegung schwärzen oder einschränken, soweit dies gemäß DSGVO zulässig ist, und dennoch eine sinnvolle Antwort geben (DSGVO Artikel 15(4)).

36.3 Sichere Zustellung der Antworten

Der Verantwortliche kann einen Kommunikationsweg wählen, der das Risiko unbefugter Offenlegung minimiert (DSGVO Artikel 5(1)(f); Artikel 32) und kann bei begründetem Verdacht eine Identitätsprüfung verlangen (DSGVO Artikel 12(6)).

37) Geschäftskontinuität und organisatorische Änderungen

37.1 Umstrukturierung, Übertragung oder Neuorganisation

Wenn sich die Geschäftsstruktur des Verantwortlichen ändert (beispielsweise eine Reorganisation im Bereich der Auftragsabwicklung), dürfen personenbezogene Daten nur in dem Maße übertragen werden, wie es notwendig ist und im Einklang mit den DSGVO-Grundsätzen.

37.2 Rechtsgrundlagen und Schutzmaßnahmen

  • Rechtliche Grundlage: berechtigte Interessen an Kontinuität des Dienstes und Verwaltung (DSGVO Artikel 6(1)(f)), und/oder gesetzliche Verpflichtungen (DSGVO Artikel 6(1)(c)), falls zutreffend.
  • Schutzmaßnahmen: Minimierung, Zugangsbeschränkungen, Vertraulichkeit und Transparenz-Updates nach Bedarf (DSGVO Artikel 5 und 12–14).

38) Europäische Vertretung (Artikel 27)

Der DSGVO-Artikel 27 gilt für bestimmte Verantwortliche, die nicht in der Union niedergelassen sind. Der Verantwortliche ist in Spanien niedergelassen. DSGVO-Verweis: DSGVO Art. 27

Schreiben Sie uns

Wenn Sie tolle Produkte herstellen oder mit uns zusammenarbeiten möchten, schreiben Sie uns.