Datenschutzerklärung

 

Wir freuen uns sehr über Ihr Interesse an unserem Unternehmen. Datenschutz hat einen hohen Stellenwert für die Geschäftsleitung der Kiyo GmbH. Eine Nutzung der Internetseiten der Kiyo GmbH ist grundsätzlich ohne Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.

Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und in Übereinstimmung mit den für die Kiyo GmbH geltenden landesspezifischen Datenschutzbestimmungen sowie dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Mittels dieser Datenschutzerklärung möchte unser Unternehmen die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.

Die Kiyo GmbH hat als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Internetseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch, an uns zu übermitteln.

1. Begriffsbestimmungen

Die Datenschutzerklärung der Kiyo GmbH beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

a) personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

b) betroffene Person – jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten vom Verantwortlichen verarbeitet werden.

c) Verarbeitung – jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Erfassen, Speichern, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verknüpfen, Einschränken, Löschen, Vernichten).

d) Einschränkung der Verarbeitung – Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

e) Profiling – jede Art automatisierter Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte einer natürlichen Person, insbesondere zur Analyse oder Vorhersage von wirtschaftlicher Lage, persönlichen Vorlieben, Interessen, Verhalten oder Aufenthaltsort.

f) Pseudonymisierung – Verarbeitung personenbezogener Daten in einer Weise, auf welche die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können.

g) Verantwortlicher – die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet.

h) Auftragsverarbeiter – die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

i) Empfänger – jede natürliche oder juristische Person, der personenbezogene Daten offengelegt werden.

j) Dritter – jede Person außerhalb der betroffenen Person, des Verantwortlichen und des Auftragsverarbeiters.

k) Einwilligung – jede freiwillig, informiert und unmissverständlich abgegebene Willensbekundung der betroffenen Person, mit der sie der Verarbeitung der sie betreffenden personenbezogenen Daten zustimmt.

2. Name und Anschrift des für die Verarbeitung Verantwortlichen

Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist:

Kiyo GmbH
Lichtstraße 52
40235 Düsseldorf
Deutschland

Tel.: +40 211 87979768
E-Mail: shop@kiyo.eu
Website: www.kiyo.eu

3. Cookies und Consent Management

Die Internetseiten der Kiyo GmbH verwenden Cookies und vergleichbare Technologien (z. B. LocalStorage). Cookies sind Textdateien, die über einen Internetbrowser auf einem Endgerät abgelegt werden. Sie ermöglichen es, einen Browser eindeutig wiederzuerkennen und so etwa Warenkorbinhalte, Spracheinstellungen oder Login-Zustände beizubehalten.

Wir unterscheiden zwischen technisch notwendigen Cookies (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b/f DSGVO) und nicht notwendigen Cookies für Marketing, Tracking und Analyse, die ausschließlich nach ausdrücklicher Einwilligung gesetzt werden (Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO).

Beim erstmaligen Aufruf unserer Webseite zeigen wir Ihnen über das Consent-Management-Tool Pandectes der Pandectes IKE, Griechenland („Pandectes"), ein Cookie-Banner, in dem Sie Ihre Auswahl differenziert nach Kategorien treffen können. Pandectes speichert hierzu Ihre Einwilligungspräferenzen sowie technische Informationen (z. B. Consent-ID, Zeitstempel, Browser- und Geräteinformationen, IP-Adresse in gekürzter Form), um den Nachweis und die Wiedererkennung Ihrer Einstellungen zu ermöglichen. Rechtsgrundlage für den Einsatz des Consent-Tools ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO (Nachweispflicht für Einwilligungen) sowie unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO an einem rechtskonformen Webauftritt.

Eine Anpassung oder ein Widerruf der Einwilligung ist jederzeit über den entsprechenden Link im Footer („Cookie-Einstellungen") möglich. Der Widerruf wirkt für die Zukunft.

Die betroffene Person kann die Setzung von Cookies zusätzlich jederzeit über die Einstellungen ihres Internetbrowsers verhindern oder bereits gesetzte Cookies löschen. Werden Cookies deaktiviert, sind unter Umständen nicht alle Funktionen unserer Internetseite vollumfänglich nutzbar.

4. Erfassung von allgemeinen Daten und Informationen (Server-Logfiles)

Die Webseiten der Kiyo GmbH erfassen mit jedem Aufruf durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese werden in den Logfiles des Servers gespeichert. Erfasst werden können (1) verwendete Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher der Zugriff erfolgt (Referrer), (4) Unterwebseiten, die über ein zugreifendes System angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs, (6) eine gekürzte Internet-Protokoll-Adresse (IP-Adresse) und (7) der Internet-Service-Provider.

Bei der Nutzung dieser allgemeinen Daten zieht die Kiyo GmbH keine Rückschlüsse auf die betroffene Person. Diese Informationen werden benötigt, um (1) die Inhalte unserer Internetseite korrekt auszuliefern, (2) die Inhalte sowie die Werbung für diese zu optimieren, (3) die dauerhafte Funktionsfähigkeit unserer IT-Systeme zu gewährleisten und (4) Strafverfolgungsbehörden im Falle eines Cyberangriffs die zur Strafverfolgung notwendigen Informationen bereitzustellen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Webauftritt). Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert und nach maximal 30 Tagen gelöscht, soweit sie nicht zur Aufklärung eines konkreten Sicherheitsvorfalls benötigt werden.

5. Routinemäßige Löschung und Sperrung von personenbezogenen Daten

Der Verantwortliche verarbeitet und speichert personenbezogene Daten der betroffenen Person nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber vorgesehen wurde. Entfällt der Speicherungszweck oder läuft eine vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

6. Rechte der betroffenen Person

a) Recht auf Bestätigung (Art. 15 DSGVO) – Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden.

b) Recht auf Auskunft (Art. 15 DSGVO) – unentgeltliche Auskunft über die zur eigenen Person gespeicherten Daten sowie eine Kopie dieser Daten zu erhalten, einschließlich der Verarbeitungszwecke, Datenkategorien, Empfänger oder Empfängerkategorien (insbesondere in Drittländern), der geplanten Speicherdauer, der Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch, des Beschwerderechts bei einer Aufsichtsbehörde, der Herkunft der Daten sowie des Bestehens automatisierter Entscheidungsfindung.

c) Recht auf Berichtigung (Art. 16 DSGVO) – unverzügliche Berichtigung unrichtiger und Vervollständigung unvollständiger Daten.

d) Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO) – Löschung der personenbezogenen Daten, sofern die Voraussetzungen vorliegen (z. B. Wegfall des Speicherzwecks, Widerruf der Einwilligung, Widerspruch, unrechtmäßige Verarbeitung, rechtliche Verpflichtung).

e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – beispielsweise bei bestrittener Richtigkeit der Daten oder eingelegtem Widerspruch.

f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt der personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format sowie Übermittlung an einen anderen Verantwortlichen.

g) Recht auf Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen, sowie ein uneingeschränktes Widerspruchsrecht gegen Direktwerbung einschließlich des damit verbundenen Profilings.

h) Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden (Art. 22 DSGVO).

i) Recht auf Widerruf einer datenschutzrechtlichen Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft.

j) Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2–4, 40213 Düsseldorf.

Zur Ausübung sämtlicher Rechte genügt eine formlose Mitteilung an shop@kiyo.eu.

7. Datenschutz bei Bewerbungen und im Bewerbungsverfahren

Der Verantwortliche erhebt und verarbeitet die personenbezogenen Daten von Bewerbern zum Zwecke der Abwicklung des Bewerbungsverfahrens. Die Verarbeitung kann auch auf elektronischem Wege erfolgen, insbesondere wenn ein Bewerber Bewerbungsunterlagen per E-Mail oder über ein Webformular übermittelt. Schließt der Verantwortliche einen Anstellungsvertrag mit einem Bewerber, werden die übermittelten Daten zum Zwecke der Abwicklung des Beschäftigungsverhältnisses unter Beachtung der gesetzlichen Vorschriften gespeichert. Wird kein Anstellungsvertrag geschlossen, werden die Bewerbungsunterlagen sechs Monate nach Bekanntgabe der Absageentscheidung automatisch gelöscht, sofern einer Löschung keine sonstigen berechtigten Interessen des Verantwortlichen (z. B. Beweispflicht nach dem AGG) entgegenstehen. Rechtsgrundlage ist § 26 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

8. Tracking, Reichweitenmessung und Werbung

Auf unserer Webseite setzen wir verschiedene Marketing- und Tracking-Technologien ein. Die Verarbeitung erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung im Cookie-Banner (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Soweit personenbezogene Daten im Rahmen dieser Dienste in Drittländer (insb. USA) übermittelt werden, stützen wir die Übermittlung auf das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023), soweit der Empfänger zertifiziert ist, und ergänzend auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende technische und organisatorische Maßnahmen.

8.1 Meta Pixel (Server-Side-Tracking via Mable AI)

Wir nutzen das Meta Pixel der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland („Meta"). Die Einbindung erfolgt über die Mable AI Server-Side-Tracking-Lösung der Mable Software GmbH, die als Auftragsverarbeiter für uns tätig ist. Server-Side-Tracking bedeutet, dass Tracking-Daten zunächst auf einem von Mable AI für uns betriebenen Server (innerhalb der EU) verarbeitet, dort um nicht benötigte Datenfelder bereinigt und anschließend an Meta über die Conversions API übermittelt werden.

Bei aktiver Einwilligung werden insbesondere folgende Daten verarbeitet: IP-Adresse, User-Agent, Browser-Informationen, besuchte Seiten und ausgelöste Ereignisse (z. B. PageView, ViewContent, AddToCart, InitiateCheckout, Purchase, Lead), Produkt- und Bestellinformationen, gehashte Kontaktdaten (E-Mail, Telefonnummer, Name – SHA-256-gehasht für Advanced Matching) sowie Klick-IDs (fbclid).

Zwecke: Conversion-Messung, Optimierung von Werbeanzeigen, Erstellung von Custom Audiences und Lookalike Audiences, Cross-Device-Tracking sowie statistische Auswertungen.

Für die durch das Meta Pixel ausgelöste gemeinsame Erhebung und Übermittlung der Ereignisdaten an Meta sind die Kiyo GmbH und Meta nach der Rechtsprechung des Europäischen Gerichtshofs gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Wir haben mit Meta die hierfür von Meta angebotene Vereinbarung über die jeweiligen Verantwortlichkeiten („Controller Addendum") abgeschlossen; deren wesentliche Inhalte sind unter https://www.facebook.com/legal/controller_addendum abrufbar. Die anschließende Weiterverarbeitung der übermittelten Daten durch Meta (z. B. für eigene Werbe- und Profilbildungszwecke) erfolgt in alleiniger Verantwortung von Meta. Weitere Informationen zur Datenverarbeitung durch Meta: https://www.facebook.com/privacy/policy.

8.2 Google Ads (inkl. Conversion Tracking und Remarketing)

Wir nutzen Google Ads der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google") zur Schaltung von Werbeanzeigen im Google Werbenetzwerk und in der Google Suche. In diesem Rahmen setzen wir das Google Conversion Tracking sowie Google Remarketing ein.

Beim Klick auf eine Google-Anzeige wird auf Ihrem Gerät ein Cookie gesetzt. Wenn Sie anschließend bestimmte Seiten auf unserer Webseite besuchen (z. B. Bestellbestätigung), kann Google erkennen, dass Sie auf die Anzeige geklickt haben und so eine Conversion zuordnen. Über Remarketing werden Sie nach einem Besuch unserer Seite auf Partnerwebseiten und in Google-Diensten gezielt mit auf Sie zugeschnittener Werbung angesprochen.

Verarbeitet werden insbesondere: IP-Adresse (gekürzt), Geräte- und Browser-Informationen, Klick-IDs (gclid), Conversion-Werte sowie ggf. gehashte Kundenidentifikatoren für Enhanced Conversions.

Zwecke: Messung der Werbewirksamkeit, Optimierung der Kampagnen, zielgruppenbasierte Werbung. Die Datenübermittlung an Google in den USA stützt sich auf die in Abschnitt 8 genannten Garantien.

Weitere Informationen: https://policies.google.com/privacy. Personalisierte Werbung können Sie zusätzlich unter https://adssettings.google.com deaktivieren.

8.3 Google Analytics 4

Wir nutzen Google Analytics 4 (GA4) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). GA4 ist ein Webanalyse-Dienst, der uns hilft, die Nutzung unserer Webseite auszuwerten und zu verbessern.

GA4 verarbeitet insbesondere folgende Daten: anonymisierte IP-Adresse (die IP-Anonymisierung ist in GA4 standardmäßig aktiviert; die IP-Adresse wird vor der Speicherung gekürzt und nicht persistent gespeichert), Geräte- und Browser-Informationen (Betriebssystem, Browsertyp, Bildschirmauflösung, Spracheinstellung), Referrer-URL, besuchte Seiten und ausgelöste Events (Page View, Scrolls, Klicks, Add-to-Cart, Purchase etc.), ungefährer Standort (auf Stadt-/Regions-Ebene aus der IP-Adresse abgeleitet), Verweildauer, Geräte-Identifikatoren sowie eine pseudonyme Client-ID/User-ID.

Zwecke: Reichweiten- und Nutzungsanalyse, Conversion-Messung, Funnel- und Kampagnen-Auswertung, Optimierung der Webseite und unserer Marketingaktivitäten.

Wir haben in GA4 die Funktionen Datenfreigabe an Google-Produkte und -Dienste sowie Signals/Werbefunktionen so konfiguriert, wie es unserer dokumentierten Datenschutzfolgenabschätzung entspricht; weiter ist eine Aufbewahrungsdauer von 14 Monaten für nutzer- und ereignisbezogene Daten eingestellt. Eine Verknüpfung der GA4-Daten mit Google Ads erfolgt zur Conversion-Auswertung und Optimierung der Werbeauslieferung.

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG, die Sie über unser Cookie-Banner erteilen. Die Datenübermittlung an Google in den USA stützt sich auf die in Abschnitt 8 genannten Garantien (Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert). Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Weitere Informationen: https://policies.google.com/privacy und https://support.google.com/analytics/answer/6004245. Sie können der Erfassung durch GA4 zusätzlich über das Browser-Add-on unter https://tools.google.com/dlpage/gaoptout widersprechen.

8.4 Pinterest Tag und Conversions API

Wir nutzen das Pinterest Tag sowie die Pinterest Conversions API der Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland („Pinterest").

Über das Pinterest Tag und die ergänzende Server-zu-Server-Übertragung via Conversions API werden Nutzeraktivitäten (z. B. Seitenaufrufe, AddToCart, Checkout, Purchase) sowie technische Informationen (IP-Adresse, User-Agent, gehashte E-Mail-Adresse für Enhanced Match, Klick-ID) an Pinterest übermittelt.

Zwecke: Messung der Wirksamkeit unserer Pinterest-Kampagnen, Optimierung der Auslieferung von Pinterest Ads, Erstellung von Zielgruppen (Actalike Audiences). Die Datenübermittlung an Pinterest (USA) stützt sich auf die in Abschnitt 8 genannten Garantien.

Weitere Informationen: https://policy.pinterest.com/de/privacy-policy.

9. Datenanreicherung mit öffentlich verfügbaren Daten

Für ein besseres Verständnis unserer Kundinnen und Kunden und für die Personalisierung unserer Kommunikation nutzen wir – ausschließlich nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – die Anreicherung Ihrer bei uns gespeicherten Daten mit Informationen aus öffentlich zugänglichen Quellen (z. B. öffentlich einsehbare Profile in Berufsnetzwerken wie LinkedIn, öffentlich verfügbare Unternehmensregister, allgemein zugängliche Webseiten).

Angereichert werden können Merkmale wie z. B. Berufsfeld, Branche, Senioritätslevel, Unternehmenszugehörigkeit, geschätzte Altersspanne oder allgemeine Lifestyle-Tags. Wir reichern dabei keine besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO an.

Zweck: bessere Segmentierung, relevantere Produktkommunikation und Marketing, Verbesserung unseres Sortiments und unserer Services.

Die Einwilligung wird über ein eindeutig gekennzeichnetes Opt-in im Rahmen des Bestellprozesses, des Newsletter-Anmeldeprozesses oder über das Kundenkonto eingeholt. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen unter shop@kiyo.eu. In diesem Fall werden die angereicherten Datenfelder gelöscht. Es findet keine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung auf Ihre Person statt (kein Scoring, keine Bonitätsprüfung, kein Profiling i. S. d. Art. 22 DSGVO).

10. E-Mail-Marketing über Klaviyo

Soweit Sie sich für unseren Newsletter angemeldet oder uns Ihre Einwilligung zum Erhalt produktbezogener E-Mail-Kommunikation gegeben haben, versenden wir unsere E-Mails über den Dienst Klaviyo der Klaviyo Inc., 125 Summer Street, Boston, MA 02110, USA bzw. Klaviyo (EMEA) Ltd. („Klaviyo").

Klaviyo verarbeitet in unserem Auftrag insbesondere folgende Daten: E-Mail-Adresse, Vor- und Nachname (sofern angegeben), Sprach- und Standortinformationen, Anmeldedatum und IP-Adresse zum Anmeldezeitpunkt (Double-Opt-in-Nachweis), Öffnungs- und Klickverhalten innerhalb unserer E-Mails, Geräte- und Browserinformationen sowie auf unserer Webseite ausgelöste Ereignisse (z. B. Warenkorb, Bestellung), soweit zur Triggerung von Flows erforderlich.

Zwecke: Versand des Newsletters, Versand transaktionaler und produktbezogener E-Mails (z. B. Warenkorbabbrecher, Post-Purchase), Segmentierung der Empfänger nach Interessen und Verhalten, statistische Auswertung der Kampagnen-Performance.

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG sowie unser berechtigtes Interesse an der statistischen Auswertung der Kampagnen-Performance (Art. 6 Abs. 1 lit. f DSGVO). Die Anmeldung erfolgt im Double-Opt-in-Verfahren.

Sie können Ihre Einwilligung jederzeit über den Abmeldelink in jeder E-Mail oder formlos unter shop@kiyo.eu widerrufen. Mit dem Widerruf werden Ihre Daten im Klaviyo-System unterdrückt; eine vollständige Löschung erfolgt nach Ablauf der gesetzlichen Aufbewahrungsfristen.

Mit Klaviyo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Datenübermittlung in die USA stützt sich auf die in Abschnitt 8 genannten Garantien (Klaviyo ist unter dem EU-U.S. Data Privacy Framework zertifiziert). Weitere Informationen: https://www.klaviyo.com/legal/privacy/privacy-notice.

11. Datenmanagement über Google BigQuery (EU-Server)

Zur zentralen, sicheren und auswertbaren Speicherung der bei uns anfallenden Geschäfts- und Kundendaten setzen wir Google BigQuery der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, ein. BigQuery dient als unser zentrales Data Warehouse.

Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union (Region europe-west bzw. äquivalente EU-Region) gemäß der von Google angebotenen Daten-Residency-Garantie. Eine Datenübermittlung in Drittländer findet im Rahmen der eigentlichen Speicherung nicht statt; Zugriffe durch Google-Mitarbeitende außerhalb der EU werden über die organisatorischen und vertraglichen Schutzmaßnahmen (u. a. Standardvertragsklauseln, Verschlüsselung at-rest und in-transit, strenge Zugriffskontrollen) abgesichert.

In BigQuery zusammengeführt werden u. a. Bestelldaten, Webseiten-Events (sofern Sie eingewilligt haben), E-Mail-Engagement-Daten und ggf. angereicherte Profilattribute (siehe Abschnitt 9). Die Daten werden – soweit für unsere Analysen ausreichend – pseudonymisiert oder aggregiert verarbeitet.

Zwecke: zentrale Datenhaltung, betriebswirtschaftliche Analysen, Auswertung von Kampagnen, Reporting, Aufbau interner Dashboards.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, datenbasierten Unternehmenssteuerung). Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

12. Online-Shop und Hosting über Shopify

Unser Online-Shop wird auf der Plattform Shopify der Shopify International Limited, 2nd Floor Victoria Buildings, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland („Shopify") betrieben. Shopify ist die für uns verantwortliche EU-Niederlassung der Shopify Inc. (Hauptsitz: Ottawa, Kanada). Kanada verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO; soweit eine Datenübermittlung an die US-Konzerngesellschaft erfolgt, stützt sich diese auf das EU-U.S. Data Privacy Framework und Standardvertragsklauseln.

Beim Besuch unseres Shops und im Rahmen der Bestellabwicklung verarbeitet Shopify in unserem Auftrag insbesondere folgende Daten: IP-Adresse, Geräte- und Browser-Informationen, besuchte Seiten und Klickverhalten, Warenkorbinhalte, Bestelldaten, Kundenkonto-Daten (Name, Anschrift, E-Mail, Telefonnummer, Passwort), Zahlungsinformationen sowie Kommunikationsinhalte (z. B. Bestellbestätigungen).

Zwecke: Bereitstellung und sicherer Betrieb des Online-Shops, Abwicklung von Bestellungen, Betrugsprävention, Erstellung von shopbezogenen Statistiken.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Shop). Mit Shopify besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen: https://www.shopify.com/legal/privacy.

13. Zahlungsdienstleister

Zur Abwicklung von Zahlungen binden wir verschiedene Zahlungsdienstleister ein. Welche personenbezogenen Daten dabei verarbeitet werden, hängt von der gewählten Zahlungsart ab. Die Zahlungsdienstleister sind in der Regel eigenverantwortlich für die Verarbeitung der Zahlungsdaten (Art. 6 Abs. 1 lit. b DSGVO i. V. m. der jeweiligen Datenschutzerklärung des Anbieters).

13.1 Shopify Payments

Bei Auswahl einer über Shopify Payments abgewickelten Zahlungsart (z. B. Kreditkarte, Apple Pay, Google Pay, Shop Pay) werden Ihre Zahlungs- und Transaktionsdaten an die Shopify Payments (Europe) Limited, 2nd Floor Victoria Buildings, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland, übermittelt. Verarbeitet werden insbesondere Name, Anschrift, E-Mail-Adresse, Bestell- und Zahlungsdaten sowie zu Zwecken der Betrugsprävention IP-Adresse und Geräteinformationen. Weitere Informationen: https://www.shopify.com/legal/privacy.

13.2 PayPal

Bei Auswahl von PayPal als Zahlungsart werden Ihre Daten an die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg („PayPal"), übermittelt. Übermittelt werden insbesondere Vor- und Nachname, Anschrift, E-Mail-Adresse, IP-Adresse, Telefonnummer sowie Daten zur Bestellung. PayPal kann diese Daten zudem zur Bonitätsprüfung an Wirtschaftsauskunfteien weitergeben. Weitere Informationen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full.

13.3 Klarna

Bei Auswahl einer von Klarna angebotenen Zahlungsart (z. B. Rechnungskauf, Ratenkauf, Sofortüberweisung) werden Ihre Daten an die Klarna Bank AB (publ), Sveavägen 46, 111 34 Stockholm, Schweden („Klarna"), übermittelt. Klarna verarbeitet insbesondere Name, Anschrift, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Geschlecht, Bestelldaten und Bankverbindung. Soweit eine Zahlungsart mit Rechnungs- oder Ratenkauf gewählt wird, führt Klarna eine eigenständige Bonitätsprüfung durch und tauscht hierzu Daten mit Wirtschaftsauskunfteien aus. Weitere Informationen sowie die Klarna-spezifischen Datenschutzhinweise: https://www.klarna.com/de/datenschutz/.

14. Versand über DHL

Zur Auslieferung Ihrer Bestellung übermitteln wir die hierfür erforderlichen Daten (Name, Lieferadresse, ggf. E-Mail-Adresse oder Telefonnummer für die Versandbenachrichtigung und Zustellabstimmung) an die DHL Paket GmbH, Sträßchensweg 10, 53113 Bonn, Deutschland, bzw. – im internationalen Versand – an weitere Konzerngesellschaften der DHL Group.

Zwecke: Auslieferung der Bestellung, Versand-Tracking und Kommunikation rund um die Zustellung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). DHL ist hinsichtlich der Versanddaten eigenverantwortlich. Weitere Informationen: https://www.dhl.de/de/footer/datenschutz.html.

15. Einbindung von Instagram

Der Verantwortliche unterhält Auftritte auf der Plattform Instagram (Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland). Beim Besuch unserer Unternehmensseite auf Instagram werden Daten durch Meta verarbeitet. Soweit auf unserer eigenen Webseite Inhalte von Instagram eingebettet werden (z. B. Posts), erfolgt die Einbindung ausschließlich nach Einwilligung im Cookie-Banner. Eine direkte Datenübertragung an Meta vor Einwilligung findet nicht statt (2-Klick-Lösung bzw. Lazy-Loading).

Weitere Informationen zur Datenverarbeitung durch Meta: https://www.facebook.com/privacy/policy und https://help.instagram.com/519522125107875.

16. Rechtsgrundlagen der Verarbeitung

Art. 6 Abs. 1 lit. a DSGVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung einholen (z. B. Tracking, Marketing-Cookies, Newsletter, Datenanreicherung).
Art. 6 Abs. 1 lit. b DSGVO für Verarbeitungen zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (z. B. Bestellabwicklung, Kundenkonto).
Art. 6 Abs. 1 lit. c DSGVO für Verarbeitungen zur Erfüllung rechtlicher Verpflichtungen (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten).
Art. 6 Abs. 1 lit. f DSGVO für Verarbeitungen zur Wahrung berechtigter Interessen (z. B. IT-Sicherheit, statistische Auswertungen, Direktwerbung gegenüber Bestandskunden gemäß § 7 Abs. 3 UWG).

17. Berechtigte Interessen an der Verarbeitung

Basiert die Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. f DSGVO, ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit, die Sicherstellung der IT-Sicherheit, die wirtschaftliche Tragfähigkeit unseres Online-Shops sowie die Optimierung unserer Produkte, Services und Marketingmaßnahmen zugunsten unserer Kundinnen und Kunden, Mitarbeitenden und Anteilseigner.

18. Dauer der Speicherung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Insbesondere gelten:

Bestelldaten und buchhaltungsrelevante Unterlagen: 10 Jahre (§ 147 AO, § 257 HGB).
Vertragsdaten ohne steuerliche Relevanz: 3 Jahre nach Vertragsende (regelmäßige Verjährungsfrist § 195 BGB).
Newsletter-/Marketing-Daten: bis zum Widerruf der Einwilligung; danach Sperrung bzw. Löschung.
Tracking-/Pixel-Daten: gemäß den Aufbewahrungsfristen der jeweiligen Anbieter, in der Regel 13–24 Monate.
Server-Logfiles: maximal 30 Tage.
Bewerbungsunterlagen (abgelehnte Bewerber): 6 Monate.

Nach Ablauf der jeweiligen Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

19. Gesetzliche oder vertragliche Vorschriften zur Bereitstellung personenbezogener Daten

Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z. B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z. B. Angaben zum Vertragspartner) ergeben kann. Mitunter kann es zum Vertragsabschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit der betroffenen Person nicht geschlossen werden könnte.

20. Bestehen einer automatisierten Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung oder ein Profiling mit rechtlicher Wirkung gegenüber der betroffenen Person i. S. d. Art. 22 DSGVO findet nicht statt. Die in Abschnitt 8 (Tracking) und Abschnitt 9 (Datenanreicherung) beschriebenen Auswertungen dienen der Optimierung unserer Marketingaktivitäten und Produktkommunikation und entfalten gegenüber Ihnen keine rechtliche Wirkung und keine vergleichbar erheblichen Auswirkungen.

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen abzubilden, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung.