GDPR-Compliance-Erklärung

Dwellwoven (nachfolgend „wir“) handelt als Online-Shop in strikter Übereinstimmung mit der Datenschutz-Grundverordnung der Europäischen Union (GDPR, General Data Protection Regulation) sowie den einschlägigen deutschen Datenschutzgesetzen, einschließlich der DSGVO als deutscher lokalisierter Umsetzungsversion der GDPR. Wir betrachten den Schutz der Privatsphäre und der personenbezogenen Daten der Nutzer stets als zentralen Grundsatz unseres Betriebs und handeln nach den Prinzipien der Rechtmäßigkeit, Fairness und Transparenz, um die Erhebung, Nutzung, Speicherung, Verarbeitung, Übermittlung und alle weiteren Schritte der Datenverarbeitung zu regeln und die legitimen Datenrechte der Nutzer wirksam zu schützen. Diese Erklärung erläutert im Detail, wie wir die Anforderungen der GDPR einhalten und unsere Datenschutzpflichten erfüllen.

Einleitung und Compliance-Verpflichtung

Das zentrale Ziel der GDPR besteht darin, die Privatsphäre personenbezogener Daten und die grundlegenden Rechte der Nutzer innerhalb der Europäischen Union zu schützen. Als Anbieter von Online-Einkaufsdiensten für Nutzer in Deutschland halten wir uns strikt an alle zentralen Bestimmungen der GDPR und verpflichten uns, personenbezogene Daten der Nutzer jederzeit auf rechtmäßige Weise zu verarbeiten, Daten nicht über den rechtlich zulässigen Rahmen hinaus zu erheben oder zu nutzen, ein umfassendes Datenschutzsystem aufzubauen, die Aufsicht deutscher Datenschutzbehörden zu akzeptieren, Datenschutzpflichten aktiv zu erfüllen und sicherzustellen, dass alle Datenverarbeitungsvorgänge regelkonform und kontrollierbar sind, um das Recht der Nutzer auf Information, Kontrolle und Aufsicht zu wahren.

Einhaltung der zentralen GDPR-Grundsätze

Wir halten uns strikt an die sieben zentralen Grundsätze der GDPR. Sämtliche Datenverarbeitungsvorgänge orientieren sich an diesen Grundsätzen, um sicherzustellen, dass die Datenverarbeitung rechtmäßig, regelkonform und angemessen erfolgt:

• Grundsatz der Rechtmäßigkeit, Fairness und Transparenz: Wir erheben und verarbeiten personenbezogene Daten der Nutzer nur dann, wenn eine rechtmäßige Grundlage vorliegt, stellen sicher, dass die Datenverarbeitung fair und ausgewogen erfolgt, informieren die Nutzer klar über Zweck, Umfang und Art der Datenverarbeitung, verbergen keine Informationen im Zusammenhang mit Nutzerdaten und schützen damit das Recht der Nutzer auf Information.
• Grundsatz der Zweckbindung: Wir erheben personenbezogene Daten der Nutzer ausschließlich für klare, spezifische und rechtmäßige Zwecke, nämlich zur Bearbeitung von Bestellungen, zur Bereitstellung von Einkaufsdiensten, zur Beantwortung von Nutzeranfragen, zur Optimierung des Serviceerlebnisses und zur Erfüllung gesetzlicher Pflichten. Daten werden nicht für Zwecke verwendet, über die Nutzer nicht vorab informiert wurden.
• Grundsatz der Datenminimierung: Wir erheben nur die personenbezogenen Daten, die zur Erreichung des Verarbeitungszwecks unbedingt erforderlich sind, sammeln keine zusätzlichen, für den Service irrelevanten Daten, halten uns an das Prinzip der „minimalen Erforderlichkeit“, reduzieren das Risiko von Datenlecks und schützen die Privatsphäre der Nutzer.
• Grundsatz der Richtigkeit: Wir haben ein umfassendes Datenprüfsystem eingerichtet, um sicherzustellen, dass die erhobenen und verarbeiteten personenbezogenen Daten der Nutzer wahrheitsgemäß, korrekt und vollständig sind. Wenn Nutzer feststellen, dass ihre Daten fehlerhaft oder unvollständig sind, können sie jederzeit deren Berichtigung oder Ergänzung verlangen, worauf wir zeitnah reagieren.
• Grundsatz der Speicherbegrenzung: Personenbezogene Daten der Nutzer werden nur für den kürzest notwendigen Zeitraum gespeichert, der zur Erreichung des Verarbeitungszwecks erforderlich ist. Nach Ablauf der Speicherfrist löschen wir die betreffenden Daten unverzüglich und sicher oder anonymisieren sie, um eine unnötig lange Speicherung zu vermeiden.
• Grundsatz der Integrität und Vertraulichkeit: Wir ergreifen umfassende technische und organisatorische Maßnahmen, um die Integrität und Vertraulichkeit personenbezogener Daten der Nutzer zu gewährleisten und unbefugten Zugriff, Diebstahl, Manipulation, Offenlegung oder Verlust zu verhindern.
• Grundsatz der Rechenschaftspflicht: Wir definieren die Verantwortlichkeiten im Datenverarbeitungsprozess klar, führen vollständige Verarbeitungsaufzeichnungen, führen regelmäßig Datenschutz-Compliance-Prüfungen durch, um eine dauerhafte Einhaltung der GDPR sicherzustellen, und können bei Bedarf Compliance-Nachweise vorlegen.

Rechtmäßige Grundlagen der Datenverarbeitung

Gemäß Artikel 6 der GDPR stützen sich unsere rechtmäßigen Grundlagen für die Verarbeitung personenbezogener Daten der Nutzer im Wesentlichen auf die folgenden vier Grundlagen. Alle Datenverarbeitungsvorgänge erfolgen auf einer klaren rechtmäßigen Grundlage, ohne dass Daten ohne rechtliche Grundlage verarbeitet werden:

• Vertragserfüllung: Um die von den Nutzern eingereichten Bestellungen zu bearbeiten, die erworbenen Online-Einkaufsdienste bereitzustellen und einen reibungslosen Ablauf des Einkaufsprozesses zu gewährleisten, einschließlich Bestellbestätigung, Warenlieferung, Zahlungsabwicklung und After-Sales-Service, verarbeiten wir relevante personenbezogene Daten wie Name, Kontaktdaten und Zahlungsinformationen. Dies ist für die Erfüllung des Dienstleistungsvertrags zwischen uns und dem Nutzer erforderlich.
• Eindeutige Einwilligung: Bei Datenverarbeitungsvorgängen im Zusammenhang mit nicht wesentlichen Diensten wie dem Abonnement von Newslettern erfolgt die Verarbeitung nur auf Grundlage der ausdrücklichen Einwilligung des Nutzers. Der Nutzer kann diese Einwilligung jederzeit widerrufen. Nach dem Widerruf stellen wir die betreffende Datenverarbeitung unverzüglich ein. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf auf Grundlage der Einwilligung erfolgten Verarbeitung.
• Erfüllung gesetzlicher Pflichten: Zur Erfüllung gesetzlicher Pflichten nach deutschem Recht, einschließlich steuerlicher Berechnungen, Buchhaltungsaufzeichnungen und aufsichtsrechtlicher Meldepflichten, verarbeiten wir relevante personenbezogene Daten der Nutzer in rechtmäßiger Weise, um einen regelkonformen Betrieb sicherzustellen.
• Berechtigtes Interesse: Zur Verbesserung des Einkaufserlebnisses der Nutzer, zur Optimierung unserer Online-Shop-Dienste, einschließlich Seitendesign, Funktionsverbesserungen und Prozessoptimierungen, sowie zur Verhinderung von Betrug und zum Schutz von Nutzerkonten und Geldern verarbeiten wir relevante Daten der Nutzer in angemessener Weise, sofern dadurch weder die legitimen Interessen der Nutzer beeinträchtigt noch deren Kernprivatsphäre verletzt wird.

Gewährleistung der Datenrechte der Nutzer

Gemäß der GDPR haben Nutzer als betroffene Personen mehrere Datenrechte. Wir haben einen umfassenden Mechanismus zur Bearbeitung dieser Rechte eingerichtet und unterstützen die Nutzer umfassend bei deren Ausübung. Die konkreten Rechte und ihre Ausübung sind wie folgt:

• Auskunftsrecht: Nutzer haben das Recht, Auskunft über die von uns erhobenen, gespeicherten und genutzten personenbezogenen Daten zu verlangen, einschließlich Informationen über Verarbeitungszwecke, Speicherdauer und Datenquellen. Sie können uns über die im Abschnitt „Kontakt“ dieser Erklärung angegebenen Wege kontaktieren. Wir werden die Ergebnisse innerhalb von 1 bis 3 Werktagen mitteilen.
• Recht auf Berichtigung: Wenn Nutzer feststellen, dass ihre personenbezogenen Daten fehlerhaft oder unvollständig sind, haben sie das Recht, von uns die Berichtigung oder Ergänzung dieser Daten zu verlangen. Nach Überprüfung der Identität des Nutzers werden wir die Berichtigung oder Ergänzung rechtzeitig und kostenlos vornehmen.
• Recht auf Löschung (Recht auf Vergessenwerden): Nutzer haben das Recht, von uns die Löschung ihrer personenbezogenen Daten zu verlangen. Wenn die Speicherung der Daten die erforderliche Frist überschreitet, der Nutzer unsere Dienste nicht mehr nutzt oder die Datenverarbeitung keine rechtmäßige Grundlage mehr hat, werden wir die betreffenden Daten nach Überprüfung der Identität des Nutzers rechtzeitig und sicher löschen, um eine vollständige Entfernung sicherzustellen.
• Recht auf Einschränkung der Verarbeitung: Nutzer haben das Recht, von uns die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. In bestimmten Fällen, etwa wenn die Richtigkeit der Daten umstritten ist oder der Verarbeitungszweck erreicht wurde, werden wir die betreffende Datenverarbeitung aussetzen, bis die Streitigkeit geklärt oder der Wunsch des Nutzers erfüllt ist.
• Recht auf Datenübertragbarkeit: Nutzer haben das Recht, von uns zu verlangen, dass ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format an sie selbst oder an einen anderen von ihnen benannten berechtigten Empfänger bereitgestellt werden. Wir werden dies aktiv unterstützen, um eine einfache Übertragbarkeit der Daten sicherzustellen.
• Widerspruchsrecht: Nutzer haben das Recht, der von uns auf Grundlage berechtigter Interessen durchgeführten Datenverarbeitung zu widersprechen. Legt der Nutzer Widerspruch ein, stellen wir die betreffende Datenverarbeitung ein, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die die Interessen des Nutzers überwiegen, oder die Verarbeitung ist zur Erfüllung gesetzlicher Pflichten erforderlich.
• Recht auf Widerruf der Einwilligung: Nutzer haben das Recht, eine zuvor erteilte Einwilligung in die Datenverarbeitung jederzeit zu widerrufen, etwa für Newsletter-Abonnements oder die Verwendung von Cookies. Das Verfahren zum Widerruf ist einfach und ebenso unkompliziert wie das Verfahren zur Erteilung der Einwilligung. Der Widerruf berührt nicht die zuvor rechtmäßig erbrachten Dienstleistungen oder die rechtmäßigen Ergebnisse der Datenverarbeitung.

Datenspeicherung und Sicherheitsgarantien

Wir halten uns strikt an die Anforderungen der GDPR in Bezug auf Datenspeicherung und Sicherheit, haben ein umfassendes Datensicherheitssystem eingerichtet und treffen zahlreiche technische und organisatorische Maßnahmen, um Risiken wie Datenlecks, Manipulationen oder Datenverlust zu verhindern. Die konkreten Maßnahmen sind wie folgt:

• Datenspeicherung: Personenbezogene Daten der Nutzer werden ausschließlich auf sicheren Servern innerhalb der Europäischen Union gespeichert. Die Speicherdauer folgt strikt dem Prinzip der „minimalen Erforderlichkeit“. Nach Ablauf der Frist werden die Daten unverzüglich gelöscht oder anonymisiert, ohne die Speicherfrist eigenmächtig zu verlängern. Gleichzeitig haben wir ein Datensicherungssystem eingerichtet und führen regelmäßige sichere Backups durch, um sicherzustellen, dass Daten im Falle unerwarteter Ereignisse rechtzeitig wiederhergestellt werden können.
• Übertragungssicherheit: Wir verwenden eine 256-Bit-SSL-Verschlüsselung, um den gesamten Übertragungsprozess personenbezogener Daten der Nutzer zu verschlüsseln und sicherzustellen, dass Daten während der Übertragung nicht abgefangen oder manipuliert werden.
• Zugriffskontrolle: Wir haben ein strenges Zugriffskontrollsystem eingerichtet, sodass nur autorisierte Mitarbeiter Zugriff auf personenbezogene Daten der Nutzer haben. Alle Zugriffe werden vollständig protokolliert und die Zugriffsrechte regelmäßig überprüft und angepasst, um interne Datenlecks zu verhindern. Alle Mitarbeiter wurden in Datensicherheit und GDPR-Richtlinien geschult und sind sich ihrer Datenschutzverantwortung bewusst.
• Sicherheitsmaßnahmen: Wir führen regelmäßig Sicherheitsprüfungen, Schwachstellenscans und Systemaktualisierungen für Datenspeicher- und Online-Dienstsysteme durch, beheben Sicherheitsrisiken rechtzeitig und schützen uns gegen verschiedene Arten von Cyberangriffen und unbefugten Zugriffen. Wir haben zudem einen Notfallplan für Datenschutzverletzungen eingerichtet. Im Falle einer Datenpanne werden wir innerhalb von 72 Stunden die zuständige deutsche Datenschutzbehörde informieren, die betroffenen Nutzer unverzüglich benachrichtigen und Abhilfemaßnahmen ergreifen, um Schäden zu minimieren.
• Datenmaskierung: Sensible personenbezogene Daten der Nutzer, etwa Zahlungskarteninformationen, werden maskiert verarbeitet. Vollständige sensible Daten werden nicht gespeichert, sondern nur die erforderlichen Verifizierungsinformationen aufbewahrt, um die Datensicherheit weiter zu erhöhen.

Verantwortung für die Datenverarbeitung und Compliance-Management

Wir definieren unsere Verantwortung als Datenverantwortlicher klar, erfüllen strikt alle in der GDPR festgelegten Pflichten und haben ein umfassendes Compliance-Management-System aufgebaut:

• Wir führen ein Verzeichnis von Verarbeitungstätigkeiten (RoPA), in dem Zweck der Verarbeitung, Datenkategorien, Verarbeitungsmethoden, Speicherdauer, Sicherheitsmaßnahmen und weitere relevante Informationen detailliert dokumentiert werden, um sicherzustellen, dass die gesamte Datenverarbeitung nachvollziehbar und überprüfbar ist und den Anforderungen des Artikels 30 GDPR entspricht.
• Wir führen regelmäßig Datenschutz-Folgenabschätzungen (DPIA) durch, um risikoreiche Datenverarbeitungen zu bewerten, die die Datenrechte der Nutzer beeinträchtigen könnten, Risiken zu identifizieren und entsprechende Maßnahmen zur Risikominimierung zu ergreifen.
• Wir geben personenbezogene Daten der Nutzer nicht an Dritte weiter, es sei denn, dies wird durch einschlägige deutsche Gesetze, Vorschriften oder behördliche Anforderungen zwingend verlangt. Vor einer Offenlegung bemühen wir uns nach Kräften, die Nutzer zu informieren, sofern gesetzliche Vorschriften dies nicht untersagen.
• Wenn wir Dritte mit der Verarbeitung personenbezogener Daten der Nutzer beauftragen, was nur im notwendigen und regelkonformen Rahmen geschieht, schließen wir mit ihnen strenge Datenverarbeitungsverträge (DPA), definieren deren Datenschutzpflichten klar und überwachen regelmäßig deren Compliance, um sicherzustellen, dass die Dritten den Anforderungen der GDPR entsprechen.
• Wir schulen unsere Mitarbeiter regelmäßig in Bezug auf die GDPR und deutsche Datenschutzgesetze, um das Bewusstsein für Datensicherheit und Compliance zu stärken, das Verhalten bei der Datenverarbeitung zu standardisieren und Sicherheitsrisiken durch menschliche Fehler zu vermeiden.

Compliance-Aktualisierungen und Benachrichtigungen

Wir werden diese GDPR-Compliance-Erklärung entsprechend den Aktualisierungen der GDPR, der einschlägigen deutschen Datenschutzgesetze sowie den Anpassungen unserer Online-Shop-Dienste von Zeit zu Zeit aktualisieren. Die aktualisierte Erklärung wird an gut sichtbarer Stelle in unserem Online-Shop veröffentlicht und tritt nach Veröffentlichung in Kraft. Nutzer werden gebeten, diese regelmäßig zu beachten.

Sollten sich die einschlägigen GDPR-Vorschriften wesentlich ändern oder sich unsere Datenverarbeitungsmethoden wesentlich verändern und dadurch die Datenrechte der Nutzer betroffen sein, werden wir die Nutzer rechtzeitig über die von ihnen hinterlegten Kontaktinformationen, etwa per E-Mail, informieren, um sicherzustellen, dass sie über die entsprechenden Änderungen Kenntnis erhalten. Die fortgesetzte Nutzung unserer Online-Shop-Dienste gilt als Zustimmung zur aktualisierten Compliance-Erklärung.

Kontakt

Wenn Sie Fragen, Anliegen oder Unterstützungsbedarf im Zusammenhang mit dieser GDPR-Compliance-Erklärung haben oder Ihre Rechte in Bezug auf personenbezogene Daten ausüben oder Probleme im Zusammenhang mit der Datensicherheit melden möchten, können Sie uns über die folgenden Wege kontaktieren. Wir werden Ihr Anliegen während der Geschäftszeiten zeitnah bearbeiten, alles daransetzen, Ihr Problem zu lösen und Sie bei der Ausübung Ihrer rechtmäßigen Datenrechte unterstützen:

• Adresse: 3841 W CAROL AVE, PHOENIX, AZ 85051, US
• E-Mail: info@dwellwoven.com
• Telefon: +1 (202) 487-9148
• Online-Zeit: Montag bis Freitag, 9:00 bis 12:30 und 14:00 bis 18:00 Uhr (Mitteleuropäische Zeit, CET)

Gleichzeitig haben Sie das Recht, sich bei einer deutschen Datenschutzbehörde (Datenschutzbehörde) über unsere Datenverarbeitung zu beschweren. Wenn Sie der Ansicht sind, dass unsere Datenverarbeitung gegen die Anforderungen der GDPR verstößt, können Sie sich direkt an eine deutsche Datenschutzbehörde wenden, um Ihre legitimen Rechte und Interessen zu wahren.