Datenschutzerklärung für den BESTSECRET Online Shop und Store

Stand: 11.10.2024

Präambel

BESTSECRET nimmt den Schutz Ihrer persönlichen Daten sehr ernst und erhebt und verwendet Ihre personenbezogenen Daten ausschließlich im Rahmen der geltenden gesetzlichen Bestimmungen.

Damit Sie sich bei der Inanspruchnahme unserer Leistungen sicher fühlen, geben wir Ihnen nachfolgend einen Überblick darüber, wie die Best Secret GmbH zusammen mit ihren verbundenen Unternehmen gemäß §§ 15 ff. Aktiengesetz (zusammen die „BESTSECRET Gruppe“)diesen Schutz gewährleistet und welche Art von Daten zu welchem Zweck erhoben werden. Die Datenschutzerklärung ist jederzeit auf unserer Webseite abrufbar.

Die Datenschutzerklärung gilt für folgende Leistungen:

• Onlineportal: www.bestsecret.com sowie deren mobilen Anwendungen, betrieben von der Best Secret GmbH, Margaretha-Ley-Ring 27, 85609 Aschheim

• Besuch der BESTSECRET Stores (BESTSECRET Premium & Outlet Stores, Margaretha-Ley-Ring 23-27, 85609 Aschheim bzw. BESTSECRET Premium & Outlet Stores, Ingolstädter Str. 40, 80807 München, BESTSECRET Premium & Outlet Store, Marktstraße 6, 2331 Vösendorf) (nachfolgend: „BESTSECRET Stores“).

A. Allgemeines

1. Datenverarbeitung innerhalb der BESTSECRET Gruppe

1.1 Allgemeines

Die BESTSECRET Gruppe hat sich zum Ziel gesetzt, Ihren Kunden ein einmaliges Einkaufserlebnis unter der Brand „BESTSECRET“ zu bieten. Mitglieder von BESTSECRET haben hiermit die Möglichkeit im Onlineshop der Best Secret GmbH einzukaufen und auch unter bestimmten Voraussetzungen die BESTSECRET Stores der Best Secret GmbH zu besuchen.

Im Rahmen der Geschäftstätigkeit ist es deshalb unabdingbar, dass regelmäßig Daten auch zwischen den Niederlassungen und Geschäftsbetrieben ausgetauscht werden, um die konzernweite Zusammenarbeit zu fördern und zu ermöglichen. Aus diesem Grund beschränken sich zentrale Prozesse nicht nur auf den Bereich einer einzelnen Konzerngesellschaft, sondern erstrecken sich auch auf andere verbundene Unternehmen im Sinne der §§ 15 ff. AktG. Die Gesellschaften der BESTSECRET Gruppe arbeiten deshalb in vielen Bereichen zusammen und fungieren im datenschutzrechtlichen Sinn als sogenannte gemeinsam Verantwortliche.

1.2 Informationen über den wesentlichen Inhalt des Vertrags bei gemeinsamer Verantwortlichkeit innerhalb der BESTSECRET Gruppe

Vor diesem Hintergrund haben die Mitgliedsunternehmen der BESTSECRET Gruppe einen Vertrag als gemeinsam Verantwortliche i.S.v. Art. 26 in Verbindung mit Art. 4 Nr. 7 DSGVO geschlossen, um die Sicherheit der Verarbeitung und die effektive Geltendmachung Ihrer Rechte zu gewährleisten.

Dieser Vertrag regelt insbesondere die folgenden Punkte:

• Gegenstand, Zweck, Mittel und Umfang sowie die Zuständigkeiten und Verantwortung hinsichtlich der Datenverarbeitung

• Informationen der Betroffenen

• Erfüllung der sonstigen Rechte der betroffenen Personen

• Sicherheit der Verarbeitung

• Einschaltung von Auftragsverarbeitern

• Vorgehen bei Datenschutzverletzungen

• Zusammenarbeit mit Aufsichtsbehörden

• Haftung

2. Verantwortlicher und Datenschutzbeauftragter

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten sind sämtliche Gesellschaften der BESTSECRET Gruppe als gemeinsam Verantwortliche. Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten. Im Rahmen der gemeinsamen Verantwortlichkeit können Sie Ihre Rechte im Zusammenhang mit der Datenverarbeitung insbesondere bei der Best Secret GmbH, nachfolgend BESTSECRET genannt, geltend machen.

Verantwortlicher Ansprechpartner für die Datenverarbeitung	Datenschutzbeauftragte des Verantwortlichen
Best Secret GmbH vertreten durch Dr. Moritz Hahn, Axel Salzmann, Dr. Andreas Reichhart und Dominik Rief Margaretha-Ley-Ring 27, 85609 Aschheim, Deutschland Telefon: +49 (0) 89 / 24600 000 E-Mail: [email protected]	Best Secret GmbH Datenschutzbeauftragter Margaretha-Ley-Ring 27, 85609 Aschheim, Deutschland E-Mail: [email protected]

3. Geeignete Garantien bei der Verarbeitung von personenbezogenen Daten in Drittländern

Sofern wir Dienstleister außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) einsetzen, ergreifen wir zur Gewährleistung eines ausreichenden Datenschutzniveaus bei der Übermittlung von personenbezogenen Daten angemessene und geeignete Garantien gem. Art. 44 ff DSGVO (z.B. Abschluss von EU-Standardverträgen, zusätzliche technische und organisatorische Maßnahmen wie Verschlüsselung oder Anonymisierung). Bitte beachten Sie, dass ein Dienstleister trotz sorgfältiger Auswahl und Verpflichtung des Dienstleisters, gegebenenfalls Daten außerhalb der EU bzw. des EWR verarbeitet oder aufgrund seines Unternehmenssitzes einer anderen Rechtsordnung unterliegen kann und dadurch womöglich kein dem Standard der DSGVO entsprechendes Datenschutzniveau im Sinne der DSGVO bietet. Bitte beachten Sie, dass falls Ihre Daten in die USA übertragen werden, das Risiko besteht, dass Ihre Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, ohne dass Ihnen möglicherweise Rechtsbehelfsmöglichkeiten zustehen.

B. Datenverarbeitung im Rahmen des Onlineshops von BESTSECRET

1. Allgemeine Datenerhebung bei Aufruf unserer Webseite

Bei der bloß informatorischen Nutzung der Webseite, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Diese Daten sind für uns technisch erforderlich, um Ihnen unsere Webseite anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist die Zurverfügungstellung unseres Dienstes gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Aus technischen Gründen werden diese standardmäßig als sogenannte Logfiles (Protokolldateien) gespeichert.

Daten	Zweck der Verarbeitung	Rechtsgrundlage	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs	Optimierte Darstellung der Webseite Sicherstellung des ordnungsgemäßen Betriebs der Webseite	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach spätestens 60 Tagen
IP-Adresse	Sicherstellung des ordnungsgemäßen Betriebs der Webseite	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach spätestens 60 Tagen

Fehleranalyse durch Rollbar

Wir nutzen den Fehleranalysedienst Rollbar der Rollbar Inc. (Rollbar, 51 Federal Street, San Francisco, CA 94107, USA) zur Sicherstellung der Systemstabilität unserer Webseite. Mit Hilfe von Rollbar können wir auftretende technische Fehler auf unserer Webseite erkennen, um dann eine umgehende Behebung dieser Fehler durchzuführen. Zweck der dabei erfolgenden Datenverarbeitung ist die technische Beobachtung unserer Webseite und das Dokumentieren von Fehlermeldungen, um die technische Stabilität der Webseite zu gewährleisten und zu optimieren.

Dabei werden im Falle auftretender Applikationsfehler folgende Daten an Rollbar übertragen:

• IP-Adresse des aufrufenden Rechners

• User Agent

• Betriebssystem, Sprache und Version des aufrufenden Endgeräts

• Browser Version des aufrufenden Rechners

• Sprache des verwendeten Browsers

• Document Object Model (DOM)-Ereignis (z.B. “auf Button xy geklickt“)

• Zeitzonendifferenz zur Greenwich Mean Time (GMT)

• Name der abgerufenen Datei

• Datum und Uhrzeit des Abrufs

• Informationen über den aufgetretenen Fehler (z.B. JavaScript-Fehler, Netzwerk-Fehler)

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, eine technisch stabile Webseite anzubieten und Ihnen eine möglichst fehlerfreie Nutzung unseres Webangebotes zu ermöglichen.

Die Löschung der erfassten Daten erfolgt 90 Tage nach der Erhebung.

Um die Datenverarbeitung zu ermöglichen, werden Daten an Rollbar in die USA übertragen, wo der Fehleranalysedienst auf Rechenzentren von Google (Google Data Center, Council Bluffs, Iowa 51501/USA) betrieben wird (Google Cloud). Wir haben mit Rollbar eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen, wonach sich Rollbar verpflichtet, den notwendigen Schutz Ihrer Daten zu gewährleisten und gemäß den geltenden Datenschutzbestimmungen ausschließlich in unserem Auftrag und gemäß unserer Weisung zu verarbeiten. Ein im Sinne der Art. 44 ff. DSGVO angemessenes Schutzniveau ist durch die Verwendung der sog. EU-Standardvertragsklauseln nach Art. 46 DSGVO im Rahmen der Auftragsverarbeitung garantiert.

Weitere datenschutzrechtliche Informationen von Rollbar finden Sie unter https://docs.rollbar.com/docs/privacy-policy und https://docs.rollbar.com/docs/security.

Überwachung und Analyse durch Datadog

Wir nutzen die Überwachungs- und Analyseplattform Datadog der Datadog, Inc. (Datadog, 620 8th Ave, 45th Floor, New York, NY 10018) zur effektiven Fehlerbehebung und Durchführung von Sicherheitsanalysen. Mit Hilfe von Datadog können wir auftretende technische Fehler auf unserer Webseite anhand von Logfiles (Protokolldateien) erkennen, um dann eine umgehende Behebung dieser Fehler durchzuführen. Zweck der dabei erfolgenden Datenverarbeitungen ist die Gewährleistung einer technisch stabilen und sicheren Webseite sowie die stetige Optimierung unserer Dienste. Dabei werden bei Betrieb der Plattform sowie anlassbezogen im Falle auftretender Applikationsfehler folgende Daten verarbeitet:

• customerPK (Primary Key als technischer Key vergeben von BESTSECRET)

• customerId (Kundennummer)

• customerUid (Email)

• clientIp (IP-Adresse)

• SchuboCustomerNumber (Kundennummer des Kundenkarteninhabers, erfasst bei auftretenden Fehlermeldungen)

• SchuboCardNumber (Kundenkartennummer, erfasst bei auftretenden Fehlermeldungen)

• Kontaktdaten des Kunden (erfasst bei auftretenden Fehlermeldungen) – hier können folgende Komponenten erfasst werden: Herr/Frau, Vorname, Nachname des Kunden (GMT)

• Kunden-E-Mail-Adresse (erfasst bei auftretenden Fehlermeldungen)

• Informationen über den auftretenden Fehler

• Betriebssystem, Sprache und Version des aufrufenden Browsers oder Endgeräts

• Zeitzonendifferenz zur Greenwich Mean Time (GMT)

• Name der abgerufenen Datei

• Datum und Uhrzeit des Abrufs

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO, unser berechtigtes Interesse, eine technisch stabile und sichere Webseite anzubieten und Ihnen eine möglichst fehlerfreie Nutzung unseres Webangebotes zu ermöglichen.

Die Löschung der erfassten Daten erfolgt grundsätzlich 30 Tage, spätestens jedoch 60 Tage nach Erhebung.

Wir haben die von Datadog angebotene EU-Service Option gewählt, sodass die Daten ausschließlich auf Rechenzentren innerhalb der EU gespeichert werden. Hierfür wird die Google Cloud Plattform in Deutschland genutzt. Im Rahmen der aufgeführten Datenverarbeitung kann jedoch nicht ausgeschlossen werden, dass auch Daten in die USA übertragen werden oder eine Zugriffsmöglichkeit aus dem Drittland zu Supportzwecken besteht.

Wir haben mit Datadog eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen, wonach sich Datadog verpflichtet, den notwendigen Schutz Ihrer Daten zu gewährleisten und gemäß den geltenden Datenschutzbestimmungen ausschließlich in unserem Auftrag und gemäß unserer Weisung zu verarbeiten. Ein im Sinne der Art. 44 ff DSGVO angemessenes Schutzniveau ist durch die Verwendung der sog. EU-Standardvertragsklauseln nach Art. 46 DSGVO im Rahmen der Auftragsverarbeitung garantiert. Weitere Informationen hierzu finden Sie unter https://www.datadoghq.com/legal/eea-data-transfers/ sowie in den Datenschutzinformationen von Datadog.

2. Datenerhebung bei Login/Registrierung auf unserer Webseite

Wenn Sie sich bei www.BESTSECRET.com einloggen oder registrieren, werden personen- und nutzerbezogene, sowie technische Daten gespeichert.

Technische Daten werden anonymisiert gespeichert und ausgewertet, um die Funktionalität des Shops weiter zu verbessern und nutzerfreundlicher zu gestalten.

Die nachstehende Verarbeitung von Daten ist zur Bereitstellung unserer Dienste und den Betrieb der Internetseite erforderlich.

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Personenbezogene Daten wie: Name, E-Mail-Adresse, ...	Durchführung der Mitgliedschaft Kundenkommunikation	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, bzw. bis zum Ablauf handels- und steuerrechtlicher Aufbewahrungspflichten
Nutzungsbezogene Daten wie: Letzter Login, Registrierungsdatum, ...	Kundenkommunikation Durchführung der Mitgliedschaft	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

Die Erfassung der oben beschriebenen Daten zur Bereitstellung der Webseite und die Speicherung der oben beschriebenen Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich.

Als Authentifizierungsplattform für Ihre Registrierung und Login auf unserer Webseite für den Mitgliederbereich nutzen wir Auth0 (Auth0 Inc., 10900 NE 8th Street, Suite 700, Bellevue, WA 98004), einen auf sichere Authentifizierung spezialisierten Dienstleister. Zweck des Einsatzes von Auth0 ist es, eine sichere Authentifizierung unserer Mitglieder im Rahmen der Login-Prozesse für registrierungspflichtige Dienste vorzunehmen.

Bei Ihrer ersten Registrierung über das Login-Formular auf unserer Webseite erfassen wir zu diesem Zweck Ihre E-Mailadresse, prüfen anhand der Daten Ihre Mitgliedschaft bei uns und übermitteln anschließend die Anmeldedaten (E-Mail-Adresse und verschlüsseltes Passwort) an Auth0. Auth0 speichert in unserem Auftrag diese Anmeldedaten zum späteren Abgleich bei Login-Prozessen. Die Daten werden ausschließlich zu Ihrer Authentifizierung verwendet. Im Rahmen dieses Authentifizierungsprozesses erhalten wir anschließend das Ergebnis der Verifizierung von Auth0 zurück. Im Zuge des Verifizierungsprozesses werden von Auth0 folgende personenbezogene Daten erhoben: E-Mail-Adresse, Anmeldedatum, Datum des letzten Logins, IP des letzten Logins, bei der Anmeldung verwendeter Browser und Betriebssystem.

Ihre Daten werden zur Einrichtung, Bereitstellung und Personalisierung Ihres Mitgliedprofils im Rahmen der Erbringung einer vertraglichen Leistung genutzt. Rechtsgrundlagen der Datenverarbeitungen sind die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) sowie unser berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO), im Zuge des Betriebs unserer registrierungspflichtigen Dienste ein effektives und sicheres Anmeldesystem vorzuhalten.

Auth0 verarbeitet Ihre Daten in Rechenzentren von Amazon Web Services (kurz: AWS) in Frankfurt am Main und Dublin/Irland, ein Angebot der Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855, Luxemburg. Wir haben mit Auth0 einen Vertrag über eine Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen, in dem sich Auth0 verpflichtet, die Daten nur gemäß unseren Anweisungen zu verarbeiten und das EU-Datenschutzniveau einzuhalten. Zur Sicherstellung eines angemessenen Datenschutzniveaus haben wir zudem EU-Standardvertragsklauseln als geeignete Garantien nach Art. 46 DSGVO mit Auth0 abgeschlossen.

Ihre Daten werden im Rahmen der gesetzlichen Pflichten gespeichert und anschließend gelöscht. Grundsätzlich werden personenbezogene Daten nur so lange aufbewahrt, wie dies für die zuvor genannten Zwecke erforderlich ist und gesetzliche Nachweis- und Aufbewahrungspflichten die Gesellschaft nicht zu einer längeren Speicherung verpflichten. Im vorgenannten Sinne werden Ihre Daten als bei uns registriertes Mitglied von uns gelöscht, wenn Ihre Mitgliedschaft endet. Zeitgleich mit der Löschung Ihrer Nutzeraccounts werden auch die bei Auth0 gespeicherten Daten gelöscht.

Weitere Informationen zur Wahrung des Datenschutzes durch Auth0 finden Sie unter https://auth0.com/privacy/ .

3. Datenerhebung und Nutzung im Rahmen von Bestellungen

3.1 Allgemeines

Informationen, die wir von Ihnen bekommen, helfen uns Ihre Bestellung so reibungslos wie möglich abzuwickeln, Fehlerquellen zu bereinigen, unseren Service für Sie zu verbessern und Missbrauch und Betrug vorzubeugen. Nähere Informationen zum Datenschutz hierzu finden Sie in unseren Datenschutzinformationen für Kunden, die wir hier für Sie zur Verfügung gestellt haben: Link zu Informationspflichten

3.2 Bestellungen nach Löschanfragen

Sollten wir von Ihnen eine Löschanfrage erhalten, werden wir alles Notwendige veranlassen, um Ihr BESTSECRET-Konto gemäß Art. 17 Datenschutz-Grundverordnung (DSGVO) zu löschen. Sollten Sie eine Bestellung bei uns tätigen, bevor wir Ihre Daten löschen konnten, verstehen wir diese Bestellung als Antrag, Ihre Mitgliedschaft bei uns wieder aufleben zu lassen. Diesen Antrag nehmen wir hiermit an und werden deshalb Ihr BESTSECRET-Konto und Ihre Daten nicht löschen. Rechtsgrundlage zur Speicherung ist dann unser berechtigtes Interesse (Art. 6 Abs. 1 lit. b DSGVO).

3.3 Abwicklung von Bestellungen und Zahlungen

Wir nutzen Ihre Daten zur Abwicklung von Bestellungen und Zahlungen, der Lieferung der Ware und der Erbringung von Dienstleistungen. Im Rahmen der Bestellabwicklung erhalten beispielsweise die hier von uns eingesetzten Dienstleister (wie bspw. Transporteur, Logistiker, Banken oder unsere Marketplace-Partner) die notwendigen Daten zur Bestell- und Auftragsabwicklung. Gleiches gilt für die Abwicklung von Retouren. Wenn Sie ein Produkt auf unserem Marketplace bestellen, werden die zur Bestell- und Auftragsabwicklung notwendigen Daten auch an den jeweiligen Marketplace-Partner weitergegeben, damit dieser die Lieferung der Bestellung vornehmen kann.

In einzelnen Ländern kann es notwendig sein, die von Ihnen angegebene Telefonnummer und Mail-Adresse an das Zustellunternehmen weiterzugeben, damit die Zustellung der von Ihnen bestellten Ware durchgeführt werden kann. In diesen Fällen geben wir die von Ihnen hinterlegten Daten an das entsprechende Zustellunternehmen weiter, ohne dass hierfür ihre gesonderte Einwilligung erforderlich ist.

Ob zusätzliche Daten, wie z.B. die Mail-Adresse zur Mitteilung des konkreten Liefertermins, weitergegeben werden sollen, können Sie im Bestellprozess oder jederzeit unter Ihren persönlichen Einstellungen angeben und ändern. Bei der Auswahl der Liefermethode Paketshop (Pick Up Point) ist die Weitergabe Ihrer E-Mail an den jeweiligen Lieferdienst zur Bestell- und Auftragsabwicklung notwendig, da der Lieferdienst Sie sonst nicht über die Ankunft des Pakets beim jeweiligen Paketshop informieren kann. Insofern besteht in diesem Fall für Sie nicht die Möglichkeit, die Weitergabe durch entsprechende Einstellung zu verhindern.

Im Rahmen der Abwicklung von Zahlungen geben wir Ihre Zahlungsdaten an von uns beauftragte Zahlungsdienstleister weiter. Wenn Sie einen Kauf bei uns tätigen, werden Ihre Daten (z. B. Name, Zahlungssumme, Kontoverbindung, Kreditkartennummer) vom Zahlungsdienstleister zum Zwecke der Zahlungsabwicklung verarbeitet. Für diese Transaktionen gelten die Vertrags- und Datenschutzbestimmungen der jeweiligen Anbieter. Der Einsatz der Zahlungsdienstleister erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie im Interesse eines möglichst reibungslosen, komfortablen und sicheren Zahlungsvorgangs (Art. 6 Abs. 1 lit. f DSGVO). Soweit für bestimmte Handlungen Ihre Einwilligung abgefragt wird, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage der Datenverarbeitung. Im Folgenden sind nähere Informationen über unsere einzelnen Zahlungsanbieter dargestellt.

3.4 Informationen zu einzelnen Zahlungsdienstleister

3.4.1 Adyen

Über den Zahlungsdienstleister Adyen N.V, Rokin 49, 1012 KK, Amsterdam, Niederlande) können Sie bei BESTSECRET folgende Zahlungsmöglichkeiten nutzen: Zahlung per Kreditkarte (Mastercard, VISA, American Express, Diners, Discover, maestro, card bancaire), Blik (Polen), iDeal (Niederlande), Bancontact (Belgien).

Im Rahmen der unterschiedlichen Zahlungsmöglichkeiten werden bestimmte personenbezogenen Daten von Ihnen an Adyen übermittelt. Die Weitergabe Ihrer Daten erfolgt dabei ausschließlich zum Zwecke der Zahlungsabwicklung mit Adyen und den jeweiligen Zahlungsanbietern und nur insoweit, als sie hierfür erforderlich ist. Adyen erfasst und speichert die Daten, auch zum Zwecke von Identitäts- und Bonitätsprüfungen, und gibt diese an die jeweiligen Zahlungsanbieter weiter. Wir speichern Ihre Zahlungsdaten jedoch bei uns nicht. Weitere Informationen zum Datenschutz finden Sie in der Datenschutzerklärung von Adyen unter https://www.adyen.com/policies-and-disclaimer/privacy-policy.

Im Folgenden finden Sie nähere Informationen zu den einzelnen Zahlungsmöglichkeiten.

Kreditkartenzahlung

Bei einer Kreditkartenzahlung (Mastercard, VISA, American Express) erhält Adyen in der Regel Name, Anschrift, Bankverbindungsdaten, Karteninformationen (d. h. Kartennummer, Gültigkeitsmonat, Gültigkeitsjahr, System/Aussteller) und Informationen zu Ihrer Transaktion (d.h. Transaktionsnummer, Währung, Land des Ausstellers, Transaktionsdatum, Transaktionsbetrag) sowie technische Informationen wie Browser Infos, risk data, shopperID.

Weitere Informationen zum Datenschutz der Kreditkartenunternehmen finden Sie hier:

• Mastercard https://www.mastercard.de/de-de/datenschutz.html

• Visa https://www.visa.de/nutzungsbedingungen/visa-globale-datenschutzmitteilung.html und https://www.visa.de/nutzungsbedingungen/visa-globale-datenschutzmitteilung/zusatzliche-datenschutzinformationen.html

• American Express https://www.americanexpress.com/content/dam/amex/de/customer-service/PDFs/Datenschutzerklaerung_f%C3%BCr_Karteninhaber.pdf

• Diners https://assets.ctfassets.net/2k9rs4z54fvd/4ozee1NqYhj9SR2mAzyqEF/647fde4ff74ae9871c04c9831dd6569e/Information_zur_Datenverarbeitung.pdf

• Discover https://www.intercard.de/de/karteninhaber/datenschutzinformationen

• Maestro

• Card bancaire https://www.cartes-bancaires.com/protegezvosdonnees/porteurs/

Blik

Blik ist ein Online-Bezahlsystem der Polski Standard Płatności sp. z o.o. Czerniakowska 87A St. 00-718 Warschau/Polen. Wenn Sie Blik als Zahlungsart auswählen, benötigen Sie ein Konto sowie einen Zugang zum Online-Banking bei einer teilnehmenden polnischen Bank. Informationen zum Datenschutz bei Blik finden Sie unter https://blik.com/media/PRIVACY-POLICY-AND-COOKIE-POLICY.pdf.

iDEAL

iDEAL ist ein Online-Bezahlsystem des Dienstanbieters Currence iDEAL B.V., Gustav Mahlerplein 33-35, 1080 AB MS Amsterdam, Niederlande. Kunden mit Konten bei einer niederländischen Bank können mit iDEAL bezahlen. Wenn Sie iDEAL als Zahlungsart auswählen, benötigen Sie ein Konto sowie einen Zugang zum Online-Banking bei einer teilnehmenden niederländischen Bank. Weitere Informationen zu Datenschutz bei iDEAL finden Sie unter https://www.ideal.nl/en/privacy-cookie-statement/.

Bancontact

Bei Auswahl einer angebotenen Bancontact-Zahlungsdienstleistung geben wir Ihre Zahlungsdaten im Rahmen der Zahlungsabwicklung an Bancontact Payconiq Company, Rue d’Arlon 82, 1040 Bruxelles, Belgien (nachfolgend „Bancontact“) weiter. Kunden, die eine Bancontact-Karte bei einer teilnehmenden belgischen Bank haben, können mit Bancontact bezahlen. Die Nutzungsbedingungen von Bancontact finden sich hier: https://www.bancontact.com/en. Weitere Hinweise zum Datenschutz bei Bancontact finden Sie unter https://www.bancontact.com/files/privacy.pdf

3.4.2 Bambora

Über den Zahlungsdienstleister Bambora AB, Vasagatan 16, 111 20 Stockholm, Schweden, können Sie bei BESTSECRET folgende Zahlungsmöglichkeiten nutzen: Zahlung per Kreditkarte (Mastercard, VISA, American Express) und Zahlung per Klarna Sofortüberweisung.

Im Rahmen des Zahlungsvorgangs werden personenbezogene Daten von Ihnen an Bambora übermittelt. Die Weitergabe Ihrer Daten erfolgt dabei ausschließlich zum Zwecke der Zahlungsabwicklung mit Bambora und nur insoweit, als sie hierfür erforderlich ist. Bambora erfasst und speichert die Daten, auch zum Zwecke von Identitäts- und Bonitätsprüfungen, und gibt diese an die jeweiligen Zahlungsanbieter weiter. Wir speichern Ihre Zahlungsdaten jedoch bei uns nicht. Weitere Informationen zu Datenverarbeitungen und Datenschutz bei Bambora finden Sie unter https://www.bambora.com/privacy-policy/.

Kreditkartenzahlung

Bei einer Kreditkartenzahlung (Mastercard, VISA, American Express, Diners) erhält Bambora in der Regel Name, Anschrift, Bankverbindungsdaten, Karteninformationen (d. h. Kartennummer, Gültigkeitsmonat, Gültigkeitsjahr, System/Aussteller) und Informationen zu Ihrer Transaktion (d.h. Transaktionsnummer, Währung, Land des Ausstellers, Transaktionsdatum, Transaktionsbetrag) sowie technische Informationen wie Session ID, user ID und Informationen zur Authentifizierung. Weitere Informationen zum Datenschutz der Kreditkartenunternehmen finden Sie hier:

• Mastercard https://www.mastercard.de/de-de/datenschutz.html

• Visa https://www.visa.de/nutzungsbedingungen/visa-globale-datenschutzmitteilung.html

• Diners https://assets.ctfassets.net/2k9rs4z54fvd/4ozee1NqYhj9SR2mAzyqEF/647fde4ff74ae9871c04c9831dd6569e/Information_zur_Datenverarbeitung.pdf

Klarna Sofortüberweisung

Klarna ist ein Zahlungsdienstleister der Klarna Bank AB Sveavägen 46, 111 34 Stockholm, Schweden (im Folgenden „Klarna“), über den wir die Zahlungsart „Sofortüberweisung“ anbieten. Die Datenverarbeitung dient ausschließlich der Abwicklung der ausgewählten Zahlungsart über den Dienstleister Klarna. Bei der Sofortüberweisung nutzen wir Ihre Online-Banking-Daten (PIN/TAN) und die Zahlung wird über Ihre Bank direkt von Ihrem Konto überwiesen. Weitere Informationen zu den Datenschutzbestimmungen von Klarna erhalten Sie unter https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/privacy#7 und https://www.sofort.com/1.0/shared/content/legal/terms/de-DE/SOFORT/.

3.4.3 Braintree

Über den Zahlungsdienstleister Braintree können Sie bei BESTSECRET die Zahlungsmöglichkeit Paypal nutzen. Braintree ist ein Dienst von PayPal (Europe) S.à r.l. et Cie, S.C.A. (22-24 Boulevard Royal, L-2449 Luxembourg). Weitere Informationen zu Datenverarbeitungen und Datenschutz bei Braintree finden Sie unter https://www.braintreepayments.com/de/legal/braintree-privacy-policy.

Paypal

PayPal ist ein Online-Zahlungsdienstleister, der Zahlungen über sogenannte PayPal-Konten abwickelt, die virtuelle Privat- oder Geschäftskonten darstellen. Die Europäische Betreibergesellschaft von PayPal ist die PayPal (Europe) S.à.r.l. & Cie. S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg, Luxemburg.

Im Rahmen des Zahlungsvorgangs werden personenbezogenen Daten von Ihnen an PayPal und Braintree übermittelt. Bei einer Zahlung über PayPal erhalten PayPal und Braintree in der Regel Vorname, Nachname, Adresse, E-Mail-Adresse, IP-Adresse, Telefonnummer, Mobiltelefonnummer oder andere Daten, die zur Zahlungsabwicklung erforderlich sind. Zur Abwicklung des Kaufvertrages notwendig sind auch solche personenbezogenen Daten, die im Zusammenhang mit der jeweiligen Bestellung stehen.

Die an PayPal übermittelten personenbezogenen Daten werden von PayPal unter Umständen an Wirtschaftsauskunfteien übermittelt. Diese Übermittlung bezweckt die Identitäts- und Bonitätsprüfung. PayPal gibt die personenbezogenen Daten gegebenenfalls an verbundene Unternehmen und Leistungserbringer oder Subunternehmer weiter, soweit dies zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist oder die Daten im Auftrag verarbeitet werden sollen. Die geltenden Datenschutzbestimmungen von PayPal können unter https://www.paypal.com/de/webapps/mpp/ua/privacy-full abgerufen werden.

Lastschrift

Bei der Zahlart SEPA-Lastschrift wird Ihr Geld direkt durch unseren Zahlungsdienstleister Telecash von Ihrem Bankkonto abgebucht. Die vollständigen AGB für die Zahlung per Lastschrift finden Sie hier https://www.telecash.de/content/dam/telecash_de/de/de/pdf/agb/TeleCash_AGB.pdf.

3.4.4 Riverty

Über den Zahlungsdienstleister Riverty GmbH, Gütersloher Str. 123, 33415 Verl/Deutschland (ehemals Arvato Payment Solutions GmbH) („Riverty“) können Sie bei BESTSECRET folgende Zahlungsmöglichkeiten nutzen: Kauf auf Rechnung und SEPA-Lastschrift.

Im Rahmen des Zahlungsvorgangs werden dann personenbezogene Daten von Ihnen an Riverty übermittelt. Die Weitergabe Ihrer Daten erfolgt dabei ausschließlich zum Zwecke der Zahlungsabwicklung mit Riverty und den jeweiligen Zahlungsanbietern und nur insoweit, als sie hierfür erforderlich sind. Riverty speichert die Daten auch zum Zwecke von Identitäts- und Bonitätsprüfungen für Zwecke der aktiven Zahlartensteuerung, um bei Gewährung von Zahlungsarten mit kreditorischem Risiko die Zahlungsfähigkeit möglichst gut einschätzen zu können.

Bei einer Zahlung über Riverty erhält Riverty in der Regel Ihre Kontaktdaten (Name, Adresse, ggf. Geburtsdatum, ggf. E-Mail-Adresse) sowie Angaben zu den von Ihnen bestellten Artikeln (z.B. Bestellwert, Produktgruppe, Warenwert, ggf. Anfragekanal und Lieferart), die zur Durchführung der Zahlungsabwicklung über Riverty notwendig sind.

Kauf auf Rechnung

Weitere Infos zur Zahlungsabwicklung bei Kauf auf Rechnung finden Sie hier: https://documents.riverty.com/terms_conditions/payment_methods/invoice/de_de/default.

SEPA-Lastschrift

Bei der Zahlart SEPA-Lastschrift wird Ihr Geld direkt durch unseren Zahlungsdienstleister Riverty von Ihrem Bankkonto abgebucht. Die vollständigen AGB für die Zahlung per Lastschrift finden Sie hier: https://documents.riverty.com/terms_conditions/payment_methods/overview/de_de.

Sämtliche Datenverarbeitungen werden in Übereinstimmung mit den geltenden Datenschutzbestimmungen und entsprechend den Angaben von Riverty in den Datenschutzbestimmungen behandelt: https://documents.riverty.com/privacy_statement/checkout/de_de.

3.4.5 Apple Pay

Apple Pay ist ein Zahlungsdienst der Apple Inc., 1 Infinite Loop, Cupertino, California 95014, USA. Wenn Sie Apple Pay nutzen, bezahlen Sie direkt über Ihr Apple-Konto. Nach Absenden Ihrer Bestellung werden Sie an Apple weitergeleitet. Dort können Sie die Zahlung des Bestellbetrags autorisieren. Sobald wir über Ihre Autorisierung informiert wurden, erfolgt die Bearbeitung Ihrer Bestellung. Je nach hinterlegter Zahlungsmethode bei Apple Pay wird diese unmittelbar nach erfolgter Autorisierung mit dem tatsächlichen Rechnungsbetrag nach Abzug eventueller Rabatte, Geschenkgutscheine etc. belastet. Weitere Informationen zu den für Apple Pay geltenden Datenschutzbestimmungen der Apple Inc. finden Sie unter https://www.apple.com/de/legal/privacy/data/de/apple-pay/.

4. Tracking-Technologien

4.1 Allgemeines

Um unser Angebot zu verbessern und die Nutzung für Sie so optimal wie möglich zu gestalten, verwenden wir Tracking-Technologien, wie z.B. Cookies. Cookies sind kleine Textdateien, die beim Aufruf unserer Webseite auf Ihren Computer Betriebssystem hinterlegt werden. Cookies enthalten unter anderem eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung des Browsers beim erneuten Aufrufen der Webseite ermöglichen.

Cookies speichern weitere Informationen, wie beispielsweise Ihre Spracheinstellung, die Besuchsdauer auf unserer Webseite oder bestimmte dort getroffenen Eingaben. Dadurch wird vermieden, dass bei jeder Nutzung alle erforderlichen Daten erneut eingegeben werden müssen. Außerdem ermöglichen uns Cookies, Ihre Präferenzen zu erkennen und unsere Webseite nach Ihren Interessensgebieten auszurichten.

4.2 Art der eingesetzten Tracking-Technologien

Wir unterscheiden zwischen Tracking-Technologien, die technisch für die Webseite notwendig sind, Tracking zur Optimierung unserer Webseite/App sowie Tracking für personalisierte Werbung.

4.2.1 Technisch notwendige Tracking-Technologien

Im Rahmen der technisch notwendigen Tracking-Technologien verwenden wir Cookies. Diese Cookies sind für den Betrieb einer Webseite/App und deren Funktionen erforderlich. Hierunter fallen beispielsweise Session-Cookies und Cookies, die bestimmte Einstellungen des Nutzers speichern (z.B. Warenkorb-, Spracheinstellungen, Voreinstellung des Geschlechts oder Log-In Daten), Opt-Out Cookies, Cookies von Zahlungsdienstanbietern, die zur Durchführung des Zahlungsvorgangs gesetzt werden, Cookies von Versanddienstleistern, die zur Sendungsnachverfolgung nötig sind, oder der Google Tag Manager zur Verwaltung Ihrer Tracking-Einstellungen. Die Rechtsgrundlage für die Verwendung von technisch notwendigen Tracking-Technologien ist das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO.

Eine Deaktivierung dieser Cookies kann durch Einstellung des jeweiligen Browsers dennoch vorgenommen werden. Eine (fehlerfreie) Nutzung der Webseite kann dann allerdings nicht mehr gewährleistet werden.

4.2.2 Tracking für Optimierung & Performance der Webseite/App

Tracking für Optimierung & Performance dient der Auswertung des Nutzerverhaltens der BESTSECRET Webseite und App zur Performance Analyse bzw. zu statistischen Zwecken. Auf Basis dieser Auswertungen kann BESTSECRET die Benutzerfreundlichkeit des Shops optimieren und eventuell auftretende Fehler beheben.

Zu den Tracking-Technologien für Optimierung & Performance zählen:

• Google Firebase

• Hotjar

Die genaue Funktionsweise sowie die betroffenen Datenkategorien der einzelnen Tracking-Technologien werden Ihnen ab Ziffer B. 5 ff. näher beschrieben.

Tracking für Optimierung & Performance wird nur eingesetzt, wenn Sie uns hierfür Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erteilt haben.Ihre Einwilligung bezieht sich dabei auch auf § 25 Abs. 1 TTDSG.Kontaktaufnahme Die auf der Webseite erteilte Einwilligung gilt auch für die mobilen Anwendungen. Die in der mobilen Anwendung vorgenommenen Einstellungen für die Einwilligung gelten sowohl für die Webseite als auch für die mobilen Anwendungen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Footer in den Cookie-Einstellungen die Tracking-Einstellung „Optimierung & Performance“ abwählen. Die Abwahl (Opt-Out) wird aus technischen Gründen i.d.R. erst nach 48-72 Stunden wirksam. Wenn Sie Änderungen an der Einwilligung für die App vornehmen, können Sie diese durch einen Neustart der App beschleunigen.

Zur Verwaltung Ihrer Tracking Einstellungen verwenden wir das Einwilligungsmanagement-Tool „Usercentrics Consent Management Plattform“ der Usercentrics GmbH. Empfänger Ihrer Daten i.S.d. Art. 13. Abs 1. e) DSGVO ist insofern die Usercentrics GmbH. Im Rahmen der Auftragsverarbeitung übermitteln wir Ihre Einwilligungsdaten an die Usercentrics GmbH, Sendlingerstr. 7, 80331 München als Auftragsverarbeiter. Unter Einwilligungsdaten sind folgende Daten zu verstehen: Datum und Uhrzeit des Besuchs bzw. Einwilligung / Ablehnung, Geräteinformationen. Die Verarbeitung der Daten erfolgt zum Zweck der Einhaltung gesetzlicher Verpflichtungen (Nachweispflicht gem. Art. 7 Abs. 1 DSGVO) und der damit verbundenen Dokumentation von Einwilligungen und damit auf Grundlage von Art. 6 Abs. 1 lit. c) DSGVO. Für die Speicherung der Daten wird der Local Storage genutzt. Die Einwilligungsdaten werden 1 Jahr gespeichert. Die Daten werden in der europäischen Union gespeichert. Weitere Informationen zu den gesammelten Daten und Kontaktmöglichkeiten finden Sie unter https://usercentrics.com/de/datenschutzerklaerung/.

4.2.3 Tracking für Personalisierung

Tracking für Personalisierung dient der Erstellung von personalisierter und auf Ihre Interessen abgestimmter Werbung auf unseren Webseiten/App oder auf Webseiten unserer Werbepartner sowie für sonstige Marketingzwecke.

Zu den Tracking-Technologien für Personalisierung zählen:

• Google Ads, Audiences und Conversion Tracking

• Google Analytics

• Google Marketing Platform

• Criteo

• Salesforce

• Dixa

• Meta Custom Audiences & Smartly

• Snapchat

• TikTok

• RTB House

• Pinterest

• Adjust

• Socialbakers

Die genaue Funktionsweise der einzelnen Tracking-Technologien wird Ihnen nachfolgend ab Ziffer B. 5 ff. näher beschrieben.

Tracking für Personalisierung wird nur eingesetzt, wenn Sie uns hierfür Ihre Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erteilt haben. Die Einwilligung muss sowohl für die Webseite als auch für deren mobilen Anwendungen erteilt werden. Die in der mobilen Anwendung vorgenommenen Einstellungen für die Einwilligung gelten sowohl für die Webseite als auch für die mobilen Anwendungen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Footer in den Cookie-Einstellungen die Tracking-Einstellung „Personalisierung“ abwählen. Die Abwahl (Opt-Out) wird aus technischen Gründen i.d.R. erst nach 48-72 Stunden wirksam. Wenn Sie Änderungen an der Einwilligung für die App vornehmen, können Sie diese durch einen Neustart der App beschleunigen.

5. Google Dienste

Diese Webseite benutzt verschiedene Dienste der Google Inc. („Google“), 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Diese ermöglichen es uns die Benutzerfreundlichkeit auf der Webseite zu verbessern und unsere Werbetätigkeit auf die Nutzer auszurichten.

Nähere Informationen zu den einzelnen konkreten Diensten von Google, die wir verwenden, finden Sie in der weiteren Datenschutzerklärung.

Durch die Einbindung der Google Dienste erhebt Google unter Umständen Informationen (auch personenbezogene Daten) und verarbeitet diese. Dabei kann nicht ausgeschlossen werden, dass Google die Informationen auch an einen Server in einem Drittland übermittelt.

Wenn Sie in Ihrem Google-Konto angemeldet sind, kann Google die verarbeiteten Informationen abhängig von Ihren Kontoeinstellungen Ihrem Konto hinzufügen und als personenbezogene Daten behandeln, vgl. hierzu insbesondere https://www.google.de/policies/privacy/partners/.

Ein direktes Hinzufügen dieser Daten können Sie verhindern, indem Sie sich aus Ihrem Google-Konto ausloggen oder auch die entsprechenden Kontoeinstellungen in Ihrem Google-Konto vornehmen. Weiterhin können Sie die Nutzung von Cookies durch entsprechende Einstellungen in Ihrem Browser verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht alle Funktionen dieser Webseite vollumfänglich nutzen können. Nähere Informationen finden Sie auch in den Datenschutzhinweisen von Google, die Sie unter folgendem Link abrufen können: https://www.google.com/policies/privacy/.

5.1 Tag Manager

Aus Gründen der Transparenz weisen wir darauf hin, dass wir den Google Tag Manager nutzen. Der Google Tag Manager erfasst selbst keine personenbezogenen Daten. Der Tag Manager erleichtert uns die Einbindung und Verwaltung unserer Tags. Tags sind kleine Codeelemente, die unter anderem dazu dienen, Traffic und Besucherverhalten zu messen, die Auswirkung von Online-Werbung und sozialen Kanälen zu erfassen, Remarketing bzw. Retargeting und die Ausrichtung auf Zielgruppen einzurichten und Webseiten zu testen und zu optimieren. Für weitere Informationen zum Google Tag Manager siehe https://www.google.com/intl/de/tagmanager/use-policy.html.

5.2 Google Analytics

BESTSECRET nutzt Google Analytics, einen Webanalysedienst der Google Inc.

Soweit Sie Ihre Einwilligung erklärt haben, wird auf dieser Webseite Google Analytics eingesetzt, ein Webanalysedienst der Google LLC. Verantwortliche Stelle für Nutzer in der EU/ dem EWR und der Schweiz ist Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland („Google“).

Google Analytics verwendet Cookies, die eine Analyse der Benutzung unserer Webseiten durch Sie ermöglichen. Die mittels der Cookies erhobenen Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir nutzen die Funktion User ID. Mithilfe der User ID können wir einer oder mehreren Sitzungen (und den Aktivitäten innerhalb dieser Sitzungen) eine eindeutige, dauerhafte ID zuweisen und Nutzerverhalten geräteübergreifend analysieren.

Wir nutzen Google Signale. Damit werden in Google Analytics zusätzliche Informationen zu Nutzern erfasst, die personalisierte Anzeigen aktiviert haben (Interessen und demographische Daten) und Anzeigen können in geräteübergreifenden Remarketing-Kampagnen an diese Nutzer ausgeliefert werden.

Bei Google Analytics 4 ist die Anonymisierung von IP-Adressen standardmäßig aktiviert. Aufgrund der IP-Anonymisierung wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Während Ihres Webseite-Besuchs wird Ihr Nutzerverhalten in Form von „Ereignissen“ erfasst. Ereignisse können sein:

• Seitenaufrufe

• Erstmaliger Besuch der Webseite

• Start der Sitzung

• Ihr „Klickpfad“, Interaktion mit der Webseite

• Scrolls

• Klicks auf externe Links

• interne Suchanfragen

• Interaktion mit Videos

• gesehene / angeklickte Anzeigen

Außerdem wird erfasst:

• Ihr ungefährer Standort (Region)

• Ihre IP-Adresse (in gekürzter Form)

• technische Informationen zu Ihrem Browser und den von Ihnen genutzten Endgeräten (z.B. Spracheinstellung, Bildschirmauflösung)

• Ihr Internetanbieter

• die Referrer-URL (über welche Webseite/ über welches Werbemittel Sie auf diese Webseite gekommen sind)

Im Auftrag von BESTSECRET wird Google diese Informationen benutzen, um Ihre Nutzung der Webseite auszuwerten und um Reports über die Webseite-Aktivitäten zusammenzustellen. Die durch Google Analytics bereitgestellten Reports dienen der Analyse der Leistung unserer Webseite, unserer App und des Erfolgs und der Steuerung unserer Marketing-Kampagnen, Social Media Kanäle, Online Magazine und Newsletter.

Empfänger der Daten sind/können sein: Google Ireland Limited, Gordon House, Barrow Street 4, Dublin, Irland (als Auftragsverarbeiter nach Art. 28 DSGVO) Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA   Alphabet Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA

Es ist nicht auszuschließen, dass US-amerikanische Behörden auf die bei Google gespeicherten Daten zugreifen.

Soweit Daten außerhalb der EU/des EWR verarbeitet werden und kein dem europäischen Stan-dard entsprechendes Datenschutzniveau besteht, haben wir zur Herstellung eines angemessenen Datenschutzniveaus mit dem Dienstleister EU-Standardvertragsklauseln geschlossen. Die Muttergesellschaft von Google Ireland, Google LLC, hat Ihren Sitz in Kalifornien, USA. Eine Übermittlung von Daten in die USA und ein Zugriff US-amerikanischer Behörden auf die bei Google gespeicherten Daten kann nicht ausgeschlossen werden. Die USA gelten derzeit aus datenschutzrechtlicher Sicht als Drittland. Sie haben dort nicht die gleichen Rechte wie innerhalb der EU/ des EWR. Ggf. stehen Ihnen keine Rechtsbehelfe gegen Zugriffe von Behörden zu.

Die von uns gesendeten und mit Cookies verknüpften Daten werden nach 50 Monaten automatisch gelöscht. Die Löschung von Daten, deren Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.

Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gem. Art. 6 Abs. 1, S. 1, lit. a DSGVO und § 25 Abs. 1 S.1 TTDSG. Eine einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Auswahl in den Tracking Einstellungen ändern (siehe oben, unter Tracking-Technologien). Alternativ können Sie Ihre Cookies (alle oder nur von dieser Webseite) löschen. Das Banner mit den Auswahlmöglichkeiten wird dann erneut angezeigt.

Alternativ können Sie die Speicherung von Cookies von vornherein durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wenn Sie Ihren Browser so konfigurieren, dass alle Cookies abgelehnt werden, kann es jedoch zu Einschränkung von Funktionalitäten auf dieser und anderen Webseiten kommen. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie

• Ihre Einwilligung in das Setzen des Cookies nicht erteilen oder

• das Browser-Add-on zur Deaktivierung von Google Analytics HIER herunterladen und installieren.

Nähere Informationen zu Nutzungsbedingungen von Google Analytics und zum Datenschutz bei Google finden Sie unter https://marketingplatform.google.com/about/analytics/terms/de/ und unter https://policies.google.com/?hl=de.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Auswertung des Kundenverhaltens	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Verhaltensbezogene Daten wie: Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite, ...	Auswertung des Kundenverhaltens	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Benutzerschlüssel, Geräte-Schlüssel	Auswertung des Nutzerverhaltens auf verschiedenen Geräten/Browsern	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Personenbezogene Daten wie E-Mail-Adresse, Google Click-ID, Google Client-ID, IP-Adresse, mobile Werbe-ID, Bestell-ID, Nutzer-ID, Gutschein-Code	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten

5.3 Google Ads, Audiences und Conversion Tracking

Um auf unsere Dienstleistungen aufmerksam zu machen, schalten wir Google-Ads-Anzeigen und nutzen im Rahmen dessen das Google Conversion-Tracking und den Google Tag Manager zum Zwecke einer personalisierten, interessen- und standortbezogenen Online-Werbung.

Die Anzeigen werden auf Google eigenen Webseiten, Diensten und Apps eingeblendet. Zusätzlich werden die Anzeigen auf Webseiten des Google-Werbenetzwerkes eingeblendet. Detaillierte Informationen über das Google-Werbenetzwerk sind unter https://support.google.com/google-ads/answer/1752334?hl=de zu finden. Wir haben die Möglichkeit, unsere Anzeigen mit bestimmten Suchbegriffen zu kombinieren. Mit Hilfe der Cookies können wir Anzeigen basierend auf den vorangegangenen Besuchen eines Nutzers auf unserer Webseite schalten.

Beim Klick auf eine Anzeige wird in dem Browser des Nutzers durch Google ein Cookie gesetzt. Weitergehende Informationen zur eingesetzten Cookie-Technologie finden Sie auch bei den Hinweisen von Google zu den Webseite-Statistiken unter https://services.google.com/sitestats/de.html und in den Datenschutzbestimmungen unter https://www.google.de/policies/privacy/.

Mit Hilfe dieser Technologie erhalten Google und wir als Kunde Informationen darüber, dass ein Nutzer auf eine Anzeige geklickt hat und zu unseren Webseiten weitergeleitet wurde. Die hierbei erlangten Informationen werden ausschließlich für eine statistische Auswertung zur Anzeigenoptimierung genutzt. Wir erhalten keine Informationen, mit denen sich Besucher persönlich identifizieren lassen. Die uns von Google zur Verfügung gestellten Statistiken beinhalten die Gesamtzahl der Nutzer, die auf eine unserer Anzeigen geklickt haben, und ggf., ob diese zu einer mit einem Conversion-Tag versehenen Seite unseres Webauftrittes weitergeleitet wurden. Anhand dieser Statistiken können wir nachvollziehen, bei welchen Suchbegriffen besonders oft auf unsere Anzeige geklickt wurde und welche Anzeigen zu einer Kontaktaufnahme über das Kontaktformular durch den Nutzer führen.

Zusätzlich verwenden wir die sogenannte Custom Match Funktion von Google Ads. Mit Hilfe dieser Funktion können wir Zielgruppen bilden, um bestimmte Werbeinhalte nur einem Teil der Nutzer zu präsentieren. Dafür stellen wir Google eine Kundenliste zur Verfügung stellen, die Ihre E-Mail-Adresse enthält, welche in ihrem Kundenkonto hinterlegt ist.

Weitere Informationen und die Option des Widerrufs finden Sie unter: https://support.google.com/google-ads/answer/6379332 oder https://adssettings.google.com/.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Verhaltensbezogene Daten wie Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Personenbezogene Daten wie E-Mail-Adresse, Google Click-ID, Google Client-ID, IP-Adresse, mobile Werbe-ID, Bestell-ID, Nutzer-ID	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten

5.4 Google Marketing Platform

Des Weiteren verwenden wir die Google Marketing Platform, eine Dienstleistung von Google Inc. Die Google Marketing Platform verwendet Cookies, um nutzerbasierte Werbeanzeigen zu schalten. Die Cookies erkennen, welche Anzeige bereits in Ihrem Browser geschaltet wurde und ob Sie über eine geschaltete Anzeige eine Webseite aufgerufen haben. Dabei erfassen die Cookies die unten aufgeführten Arten personenbezogener Daten.

Weitere Informationen dazu, wie Google Cookies verwendet, können Sie in der Datenschutzerklärung von Google nachlesen.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Verhaltensbezogene Daten wie Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten
Personenbezogene Daten wie E-Mail-Adresse, Google Click-ID, Google Marketing Platform Click-ID, Google Marketing Platform Client-ID, IP-Adresse, mobile Werbe-ID, Bestell-ID	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 26 Monaten

5.5 Firebase

In unseren Apps nutzen wir die Technologie von Google Firebase mit verschiedenen Funktionalitäten. Firebase verwendet sog. „Instance IDs“, um sich individuell vorgenommene Einstellungen der mobilen App zu merken. Da jede Instance ID einzigartig in Hinblick auf eine mobile App und das durch Sie verwendete mobile Endgerät ist, kann Firebase dadurch spezifische Vorgänge innerhalb der mobilen App auswerten und auf diese reagieren. Die durch die Instance ID erzeugten Informationen über Ihre Benutzung dieser mobilen App auf Ihrem mobilen Endgerät werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Sofern die IP-Adresse übermittelt wird, gewährleistet Google, dass die IP-Adresse unmittelbar anonymisiert wird. Die mittels Firebase verarbeiteten Informationen können ggf. mit anderen Diensten von Google zusammengeführt werden, z.B. Google Analytics.

Weitere Informationen finden Sie in den Nutzungsbedingungen und Datenschutzhinweisen von Firebase.

Im Einzelnen werden folgende Funktionalitäten verwendet:

5.5.1 Firebase Remote Config

Firebase Remote Config ermöglicht die Konfiguration von App-Einstellungen. Wir können dadurch das Verhalten und das Erscheinungsbild Ihrer App auf dem Benutzerendgerät ändern, ohne dass sie vollständig neu aus dem jeweiligen App-Store installiert werden muss. Informationen rund um die Funktionsweise von Remote Config finden Sie hier.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Optimierung der App	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckerreichung, spätestens 180 Tagen nach Aufforderung
Instance-ID	Optimierung der App	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckerreichung, spätestens 180 Tagen nach Aufforderung

5.5.2 Firebase Performance Monitoring

Firebase Performance Monitoring ermöglicht uns, die Leistung der App zu erfassen und auf bestimmte Vorfälle innerhalb der App zu reagieren. Weitere Informationen finden Sie hier.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Optimierung der App	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckerreichung, spätestens 180 Tagen nach Aufforderung
Instance-ID	Optimierung der App	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckerreichung, spätestens 180 Tagen nach Aufforderung

5.5.3 Firebase Dynamic Links

Wir nutzen den Firebase Service Dynamic Links, sofern Sie ein mobiles Endgerät mit iOS- oder Android-Betriebssystem verwenden. Firebase Dynamic Links sind Links, die auf mehreren Plattformen funktionieren und dies unabhängig davon, ob Sie unsere App bereits installiert haben oder nicht. Wenn Sie einen Dynamic Link auf iOS oder Android öffnen, werden Sie direkt zu den verknüpften Inhalten in Ihrer App weitergeleitet. Falls Sie unsere App noch nicht installiert haben, werden Sie über den Link wahlweise zur App-Installation in den App Store bzw. Play Store geleitet. Anschließend startet Ihre App und kann auf den Link zugreifen. Wenn Sie andererseits denselben Dynamic Link in einem Desktop-Browser öffnen, werden Sie zu den entsprechenden Inhalten auf der Webseite weitergeleitet. Auf diese Weise ist es uns möglich, Sie immer direkt an die richtige Adresse weiterzuleiten. Für die Funktionalitäten werden personenbezogenen Daten wie die IP-Adresse und Gerätespezifikationen verwendet, die vorübergehend gespeichert werden, um die Services zu bieten.

Weitere Informationen zu Firebase Dynamic Links finden Sie hier, zu Datenschutz und IT-Sicherheit unter: https://firebase.google.com/support/privacy.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
IP-Adresse und Gerätespezifikationen (Sprache und Version der Browsersoftware, verwendetes Betriebssystem und dessen Oberfläche, Referrer URL, Datum und Uhrzeit der Serveranfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (konkrete Seite), übertragene Datenmenge, Zugriffsstatus/ HTTP- Statuscode.	Optimierung des Nutzererlebnisses bei der Benutzung von Links	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckerreichung, spätestens 180 Tagen nach Aufforderung

5.5.4 Firebase Crashlytics

Wir haben in unseren mobilen Android- und iOS-Anwendungen Firebase Crashlytics (https://firebase.google.com/products/crashlytics) zur Erkennung und Meldung von Abstürzen der App installiert. Diese Informationen werden verwendet, um die Leistung und die Stabilität der Anwendungen zu verbessern. Zu diesem Zweck werden technische Daten wie Geräte-ID, Gerätetyp, Modell, Betriebssystem und der ungefähre Standort des mobilen Geräts übertragen, um eine verlässlichere Analyse zu erhalten, damit beispielsweise festgestellt werden kann, ob das Problem für einen oder für mehrere Gerätetypen spezifisch ist.

Weitere Informationen finden Sie in den Nutzungsbedingungen und Datenschutzhinweisen von Firebase.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Erkennung und Meldung von Abstürzen	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 180 Tagen
Verhaltensbezogene Daten wie Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Erkennung und Meldung von Abstürzen	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 180 Tagen
Benutzerschlüssel, Geräte-Schlüssel	Erkennung und Meldung von Abstürzen	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 180 Tagen

5.6 Google Web Fonts (Offline Variante)

Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Wir haben uns für die offline-Variante entschieden, bei der die Google Fonts lokal auf unserem Webserver gespeichert werden. Die Verwaltung der Fonts ist dann – mittels cascade style sheet CSS – wie bei jeder anderen Font-Family möglich. Eine Übertragung der IP-Adresse und weiterer Daten an Google findet nicht statt. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote mit Hinblick der Effizienz- und Kosteneinsparungserwägungen. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt.

Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.

6. Business Intelligence Anwendung / Interne Tools

Wir nutzen innerhalb unserer Organisation verschiedene Technologien im Bereich Business Intelligence, um unseren Onlineshop und damit einhergehende Dienstleistungen stetig zu verbessern und Ihnen ein erfolgreiches Shoppingerlebnis zu ermöglichen.

Dabei handelt es sich zum Beispiel um interne Geschäftsanalytik mit langfristiger Optimierung unserer Dienstleistung beispielsweise in Form neuer Anwendungen (Tools/Apps). Wir verarbeiten hierbei einen geringen Umfang bereits bestehender/erhobener personenbezogener Daten wie z.B. die Nutzer-IDID oder Bestellinformationen in pseudonymisierter Form und verknüpfen diese ggf. Soweit eine Anonymisierung Ihrer personenbezogenen Daten technisch möglich ist, werden wir diese anonymisieren, um eine Identifizierung Ihrer Person zu unterbinden. Die eingesetzten Tools kommunizieren aufgrund bestehender Schnittstellen, um den Zweck der langfristigen Optimierung zu wahren.

Um Ihnen ein möglichst personalisiertes Shoppingerlebnis anbieten zu können, bieten wir Ihnen die Kategorie “Topseller for you” an. Die Anzeige von Produkten in dieser Kategorie basiert grundsätzlich auf der manuell von Ihnen getätigten Auswahl Ihrer Lieblingsmarken. Wenn Sie keine Lieblingsmarken gespeichert haben, nutzen wir eine ‚Backup‘ Liste von 10 Designern, die sich gut in unserem Onlineshop verkaufen. Ein Algorithmus diesbezüglich wird von uns nicht verwendet.

Die Datenerhebung und -speicherung erfolgt zur Erfüllung eines bereits bestehenden Vertrags nach Art. 6 Abs. 1 S. 1 lit. b DSGVO i.V.m. unserem berechtigten Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, unseren Onlineshop und das damit verbundene Shoppingerlebnis stetig zu verbessern.

Ihre personenbezogenen Daten werden unmittelbar nach Zweckerfüllung gelöscht.

7. Hotjar

Auf unserer Webseite ist Hotjar (3 Lyons Range, 20 Bisazza Street, Sliema SLM 1640, Malta) eingebunden (https://www.hotjar.com). Mittels Hotjar können wir Nutzerverhalten (z.B. Mausbewegungen, Klicks, Scrollhöhe) auf unseren Internetseiten erfassen und auswerten. Zu diesem Zweck setzt Hotjar Cookies auf Endgeräten der Nutzer und kann Daten von Nutzern, z.B. Browser Informationen, Betriebssystem, Verweildauer auf der Seite anonymisiert speichern. Mehr über die Datenverarbeitung durch Hotjar finden Sie unter folgendem Link: https://www.hotjar.com/privacy.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Analyse des Kundenverhaltens zu Zwecken der Optimierung der Webseite	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 12 Monaten
Verhaltensbezogene Daten wie: besuchte Produkte, Verhalten auf der Webseite, besuchte Seiten	Analyse des Kundenverhaltens zu Zwecken der Optimierung der Webseite	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 12 Monaten

8. Criteo

Auf unseren Seiten werden durch die Technologie von Criteo (Criteo GmbH, Lehel Carré, Gewürzmühlstraße 11, 80538 München, Deutschland) Informationen über das Surfverhalten der Webseitenbesucher zu Marketingzwecken in pseudonymer Form gesammelt und hierfür Cookies und Webpixel gesetzt. Criteo kann so das Surfverhalten analysieren und anschließend gezielte Produktempfehlungen als passendes Werbebanner anzeigen, wenn andere Webseiten besucht werden. Zu diesem Zweck werden auch Cookies unserer Partner-Webseiten über Pixel platziert. In keinem Fall können die pseudonymisierten Daten dazu verwendet werden, den Besucher der Webseite persönlich zu identifizieren. Die von Criteo gesammelten Daten werden lediglich zur Verbesserung des Werbeangebots genutzt. Weitere Informationen zum Datenschutz von Criteo finden Sie unter https://www.criteo.com/de/privacy/.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 13 Monaten
Verhaltensbezogene Daten wie Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 13 Monaten
Personenbezogene Daten wie E-Mail-Adresse, Criteo Client-ID, IP-Adresse, mobile Werbe-ID, Bestell-ID	Auswertung des Nutzerverhaltens auf verschiedenen Geräten und Browsern zur Schaltung von Werbeanzeigen auf verschiedenen Endgeräten	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 13 Monaten

9. Salesforce

Zur Kundenbetreuung nutzen wir die Customer Relationship Management Module „Salesforce Marketing Cloud“ und „Salesforce Service Cloud“ von Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA. Verarbeitet werden die Daten in den USA. Weitere Informationen zu der Salesforce Marketing Cloud und Service sowie den verarbeiteten Daten erhalten Sie unter https://www.salesforce.com/de/company/privacy/.

Sofern Sie Ihre ausdrückliche Zustimmung erteilen, werden durch diese Technologien außerdem Informationen über das Verhalten der Nutzer auf Webseiten, Mobile Apps, E-Mails, Push-Nachrichten, In-App Nachrichten sowie sonstigen Kommunikationen zu Marketingzwecken ausgewertet. Hierfür werden Cookies und Webpixel genutzt, sowie der Tracking Service iGoDigital, welcher zu Salesforce gehört. Die gesammelten Informationen sind Ihrer Mail-Adresse zugeordnet und werden mit einer eigenen ID verknüpft, um Klicks in den Kommunikationen eindeutig Ihnen zuzuordnen. Das Nutzungsprofil dient dazu, das Angebot und unsere Dienstleistungen auf Ihre Interessen abzustimmen und unser Werbeangebot sowie Kommunikationen für Sie zu verbessern.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Profilerstellung als Teil des Salesforce CRM-Systems	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Verhaltensbezogene Daten wie: besuchte Produkte, bestellte Produkte, besuchte Kategorien, verwenden des FAQ/Hilfe, Name der aufgerufenen Seite, Produkte auf der Wunschliste	Finden von geeigneten Produktempfehlungen oder anderen Kommunikationsinhalten für Newsletter und Sondermailings sowie sonstiger Nachrichten wie bspw. Push-Notifications oder In-App Messages Verbesserung der Webseite sowie sonstiger Kommunikation	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Benutzerschlüssel, Geräte-Schlüssel	Finden von geeigneten Produktempfehlungen oder anderen Kommunikationsinhalten für Newsletter und Sondermailings sowie sonstiger Nachrichten wie beispielsweise Push-Nachrichten oder In-App Messages Verbesserung der Webseite sowie sonstiger Kommunikation	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

10. Dixa

Wir nutzen zur Optimierung unseres Kunden-Managements die Kundendienst-Plattform Dixa der Dixa Aps, Vimmelskaftet 41A, 1st Floor, 1161 Kopenhagen, Dänemark.

Die Dixa Plattform dient uns dazu, unseren Kundendienst so hilfreich, zielführend und effizient wie möglich zu gestalten, um so unseren Kunden ein optimales Service-Erlebnis zu ermöglichen, das sie schnell und einfach ans Ziel Ihrer Anfrage führt. Hierzu greift die Dixa-Plattform auf die BESTSECRET-Kundendatenbank und -Kommunikation zu. Dixa setzt KI ein, um – wo möglich – die Kommunikation mit Kunden zu vereinfachen und sicherzustellen, dass Kunden die für Ihre Anliegen passenden Antworten erhalten.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendete Betriebssystemversion, Browsertyp und -version	Kommunikation mit Kunden	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Richtet sich nach Speicherdauer in BESTSECRET Systemen
Kommunikationsdaten wie: Telefonnummer, Adresse, E-Mail-Adresse, Konversationen (via Chat oder E-Mail)	Kommunikation mit Kunden	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Richtet sich nach Speicherdauer in BESTSECRET Systemen
Personenbezogene Daten zur Identifikation wie: Name, Social Media Account, ID, Unterschrift	Kommunikation mit Kunden	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Richtet sich nach Speicherdauer in BESTSECRET Systemen

11. Meta Ads und Custom Audiences & Smartly

Wir nutzen im Rahmen der nutzungsbasierten Online-Werbung den Dienst Custom Audiences der Meta Platforms Inc. (1601 S. California Avenue, Palo Alto, CA 94304, USA). Auftragsverarbeiter ist dabei für uns (als Unternehmen in der EU) auch die Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.

Im Rahmen der nutzungsbasierten Online-Werbung über Custom Audiences legen wir im Meta-Werbeanzeigenmanager Zielgruppen von Nutzern auf Basis bestimmter Merkmale fest, die Werbeanzeigen innerhalb des Meta-Netzwerks angezeigt bekommen. Die Nutzer werden von Meta anhand der von ihnen angegebenen Profilinformationen sowie sonstigen durch die Benutzung von Meta bereitgestellten Daten ausgewählt. Klickt ein Nutzer auf eine Werbeanzeige und gelangt anschließend auf unsere Webseite, erhält Meta über das auf unserer Webseite eingebundene Meta-Pixel sowie über die Meta Conversion API die Information, dass der Nutzer auf das Werbebanner geklickt hat. Grundsätzlich wird dabei eine nicht-reversible und nicht-personenbezogene Prüfsumme (Hash-Wert) aus Ihren Nutzungsdaten generiert, die an Meta zu Analyse- und Marketingzwecken übermittelt wird. Dabei werden Meta-Cookies gesetzt. Diesee erfasst Informationen über Ihre Aktivitäten auf unserer Webseite (z.B. Surfverhalten, besuchte Unterseiten, etc.). Zur geografischen Aussteuerung von Werbung wird zudem Ihre IP-Adresse gespeichert und verwendet.

Alternativ können wir Meta eine Kundenliste zur Verfügung stellen, die Ihre E-Mail-Adresse und Ihre Advertising-ID enthält, die Sie bei Ihrer Registrierung angegeben haben.

Die rechtliche Grundlage für unsere Verarbeitung ist Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Die erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Auswahl in den Cookie-Einstellungen ändern. Alternativ können Sie Ihre Cookies (alle oder nur von dieser Webseite) löschen. Das Banner mit den Auswahlmöglichkeiten wird dann erneut angezeigt.

Soweit Sie in die beschriebene Datenverarbeitung einwilligen, hat auch Meta Zugriff auf Ihre Daten. Es ist insbesondere möglich, dass Meta Platforms Inc., 1601 Willow Road, Menlo Park, California 94025, USA, neben der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland Zugriff auf Ihre Daten hat. Meta Platforms Inc. befindet sich in einem Drittstaat.

Meta stellt seit dem 27.09.2021 online einen „Facebook-EU-Datenübermittlungszusatz“ bereit, durch den die Standardvertragsklauseln in den Fällen einbezogen werden sollen, in denen die Meta Platforms Irland Limited Daten aus der EU/EWR als Auftragsverarbeiter verarbeitet und an die Meta Platforms Inc. als Unterauftragsverarbeiter übermittelt.

Weitere Informationen zu dem Dienst Custom Audiences von Meta finden sie unter: https://de-de.facebook.com/business/help/744354708981227?id=2469097953376494.

Die Deaktivierung der Funktion „Meta Custom Audiences“ ist für eingeloggte Nutzer unter https://www.facebook.com/settings/?tab=ads#_ möglich.

Bitte beachten Sie in diesem Zusammenhang, dass Meta die von uns zur Verfügung gestellten Daten über Ihr Nutzungsverhalten sowie Ihre E-Mail-Adresse auch zu eigenen Zwecken nutzen kann. Auf dieser Seite haben Sie die Möglichkeit, dem Targeting bei Facebook zu widersprechen.

Weitere Informationen über Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Meta sowie Ihre Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre, können Sie den Datenschutzrichtlinien von Facebook entnehmen.

Zudem verwenden wir das Tool Smartly.io. Das Tool ist ein Service der Solutions Inc., Elielinaukio 2 G, 00100 Helsinki, Finnland. Die Plattform bietet eine webbasierte Arbeitsoberfläche für die Erstellung und das Verwalten von Facebook-, Messenger- Instagram- und Whatsapp- Kampagnen. Wir nutzen Smartly für die Erstellung und Durchführung von Werbekampagnen von BESTSECRET über Meta. Die Kampagnen werden in Smartly erstellt und über die Schnittstelle zu Meta ausgespielt. Die von Meta dabei zur Analyse der Webekampagnen erstellten Statistiken werden uns auch in Smartly angezeigt. Im Zuge der Nutzung des Tools haben wir mit Smartly einen Vertrag zur Auftragsverarbeitung gemäß Artikel 28 DSGVO abgeschlossen und stellen damit sicher, dass die Vorschriften der Datenschutzgesetze einhalten werden.

Weitere Informationen zum Datenschutz bei der Verwendung von Smartly.io sind abrufbar unter: https://cdn2.hubspot.net/hubfs/1570479/Privacy%20Policy/Smartly.io%20Privacy%20Policy.pdf?t=1541578381755.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Bis zu 12 Monate, aktuell 6 Monate
Verhaltensbezogene Daten wie: Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Bis zu 12 Monate, aktuell 6 Monate
Personenbezogene Daten wie E-Mail-Adresse, IP-Adresse, Meta Client-ID, Meta Click-ID, mobile Werbe-ID, Bestell-ID, Nutzer-ID	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Bis zu 12 Monate, aktuell 6 Monate

12. Snapchat

Wir verwenden die Onlinedienste des Anbieters Snapchat Inc. (Market Street, Venice Ca 90291 USA) zum Zweck der Analyse und Optimierung unserer Webseite und Leistungen. Mittels des Snap-Pixels ist es möglich, Besucher unserer Webseite in Form einer Zielgruppe zu bestimmen und im Zuge dessen Werbung in Form der Snapchat-Ads zu platzieren. Demnach setzen wir Snapchat-Pixel ein, um gezielt Zielgruppen anzusprechen, welche Interesse an Werbung haben oder bestimmte Interessen an Themen oder Produkten aufweisen. Zudem ist es uns möglich, die Effektivität der Snapchat-Ads in Form von Statistiken nachvollziehen zu können.

Als Grundlage der Datenverarbeitung bei Empfängern mit Sitz in Drittstaaten (außerhalb der EU) oder einer Datenweitergabe dorthin verwendet Snapchat EU-Standardvertragsklauseln (Art. 46 Abs. 2 und Abs. 3 DSGVO).

Weitere Informationen, wie Snapchat Ihre personenbezogenen Daten verarbeitet, finden Sie unter folgenden Link: https://snap.com/de-DE/privacy/privacy-policy.

Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO.

13. TikTok

Auf unserer Webseite verwenden wir TikTok Pixel, ein Conversion-Tracking-Tool vom Dienstanbieter TikTok mit Sitz in London, United Kingdom (6th Floor, One London Wall, London, EC2Y 5EB). Dies ist ein Tochterunternehmen der TikTok Konzernmutter mit Hauptsitz in China.

Wir möchten ausdrücklich darauf aufmerksam machen, dass TikTok die Daten (z.B. IP-Adresse, Vorlieben und persönliche Interessen oder Verhalten) von Nutzerinnern und Nutzern speichert und für geschäftliche Zwecke nutzt. Auf die Verarbeitung und die weitere Verwendung dieser Daten haben wir keinen Einfluss, da TikTok allein über die Verarbeitung Ihrer personenbezogenen Daten bestimmt. In welchem Umfang, wo und für welche Dauer die Daten gespeichert werden, inwieweit, die Daten verknüpft und ausgewertet werden und an wen die Daten weitergegeben werden, ist für uns derzeit nicht nachvollziehbar.

TikTok verarbeitet Daten innerhalb Europas, China und den USA. Wir weisen Sie darauf hin, dass nach Meinung des Europäischen Gerichtshofs, aktuell kein angemessenes Schutzniveau für den Datentransfer in einige Länder außerhalb der Europäischen Union, darunter auch für die USA und China, besteht. Als Grundlage der Datenübermittlung bei Empfängern mit Sitz in einem Drittstaat (außerhalb der EU) haben wir mit TikTok sogenannte EU-Standardvertragsklauseln geschlossen (Art. 46 Abs. 2 und Abs. 3 DSGVO). Dadurch verpflichtet sich TikTok, bei der Verarbeitung Ihrer personenbezogenen Daten, dass europäische Datenschutzniveau zu wahren und einzuhalten, selbst wenn Ihr personenbezogenen Daten in einem Drittstaat verarbeitet werden.

Weitere Informationen, wie TikTok Ihre personenbezogenen Daten verarbeitet, finden Sie unter folgenden Link: https://www.tiktok.com/legal/privacy-policy-eea?lang=de.

Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO.

14. RTB House

Auf unseren Seiten werden durch die Technologie von RTB House (RTB House SA Złota 61/101, 00-819, War-schau, Polen) durch das Setzen von Cookies und Webpixeln Informationen über das Surfverhalten der Webseitenbesucher zu Marketingzwecken in pseudonymisierter Form gesammelt. RTB House kann so das Surfverhalten analysieren und anschließend gezielte Produktempfehlungen als passendes Werbebanner anzeigen, wenn andere Webseiten besucht werden. In keinem Fall können die anonymisierten Daten dazu verwendet werden, die Besucher der Webseite persönlich zu identifizieren. Die von RTB House gesammelten Daten werden lediglich zur Verbesserung des Werbeangebots genutzt. Sie können sich bei RTB House allgemein über die Datenschutzerklärung und die Datenschutzrichtlinien näher informieren unter https://www.rtbhouse.com/de/privacy/.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem, Browsertyp und -version, Gerät (Smartphones, Tablets oder sonstiges Endgerät), Datum und Uhrzeit des Aufrufs, ...	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 13 Monaten
Verhaltensbezogene Daten wie Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 13 Monaten
Benutzerschlüssel, Geräte-Schlüssel, wie Customer ID, Advertising ID und Client ID	Auswertung des Nutzerverhaltens auf verschiedenen Geräten und Browsern zur Schaltung von Werbeanzeigen auf verschiedenen Endgeräten	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach spätestens 13 Monaten

15. Pinterest Ads

Zudem nutzen wir das Pinterest Tag der Pinterest Europe Limited Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland. Hiermit können wir das Verhalten von Nutzern nachverfolgen, nachdem sich diese eine Pinterest-Werbeanzeige angesehen haben. Außerdem können wir mithilfe des Pinterest Tags die Conversion einer Kampagne messen. Somit können wir durch das Pinterest Tag die Wirksamkeit einer Pinterest-Werbeanzeige überprüfen, künftige Werbekampagnen optimieren und auf die Bedürfnisse der Nutzer anpassen. Durch die erhobenen Daten können wir keinen Rückschluss auf die Identität des Nutzers ziehen. Die Daten werden allerdings auch von Pinterest gespeichert und können mit dem Nutzerprofil verbunden und für Werbezwecke verwendet werden. Weitere Informationen zum Datenschutz finden Sie unter https://policy.pinterest.com/de/privacy-policy.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Geräteinformation, verwendetes Betriebssystem, Gerätekennung, Datum und Uhrzeit des Aufrufs	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Bis zu 12 Monate
Verhaltensbezogene Daten wie: Registrierungsdatum, besuchte Produkte, bestellte Produkte, Name der aufgerufenen Seite	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Bis zu 12 Monate
Personenbezogene Daten wie E-Mail-Adresse, IP-Adresse, Pinterest Client-ID, mobile Werbe-ID, Bestell-ID	Schaltung von Werbeanzeigen an Kundensegmente	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Bis zu 12 Monate

16. Adjust

Wir nutzen für unsere BESTSECRET Apps den Dienst Adjust des Unternehmens Adjust GmbH, Saarbrücker Str. 37A, 10405 Berlin/Deutschland, um die Nutzung unserer App zu analysieren und unsere mobilen Werbemaßnahmen zu verbessern. Mithilfe von Adjust können wir Installationen unserer App und die Art und Weise ihrer Nutzung erfassen und die Performance von mobilen Werbekampagnen auf unterschiedlichen Marketingkanälen bewerten und optimieren.

Dabei nutzt Adjust für die genannten Analysefunktionen, unter Einsatz von Trackingtechnologien, insbesondere die in der Tabelle unten aufgeführten Daten. Die über Adjust erhobenen Daten können über die Installation und das erste Öffnen einer App auf dem Mobilgerät informieren, ebenso wie über Interaktionen innerhalb einer App (z.B. In-App-Käufe, Login). Zudem geben die Daten Informationen dazu, welche Werbeanzeigen gesehen oder angeklickt wurden.

Rechtsgrundlage der Verarbeitung ist Ihre Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO. Eine einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Technische Daten wie: Verwendetes Betriebssystem und -version, Browsertyp und -version, Geräteart (Smartphones, Tablets), HTTP Header, User Agent, App Version, SDK Version, App Token, Event Token, Datum und Uhrzeit der Aktivität	Auswertung des Nutzerverhaltens zur Optimierung der App-Anwendungen und Analyse mobiler Werbekampagnen auf unterschiedlichen Marketingkanälen	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckfortfall (z.B. Widerruf der Einwilligung), bzw. bis Ablauf handels- und steuerrechtlicher Aufbewahrungspflichten
Verhaltensbezogene Daten wie Registrierungsdatum, Installation und erstes Öffnen einer App auf dem Mobilgerät, Interaktionen innerhalb einer App (z.B. aufgerufene Produkte, gekaufte Produkte, Produktsuchen) oder Informationen darüber, welche Werbeanzeigen gesehen oder angeklickt wurden	Verhaltensbezogene Daten wie Registrierungsdatum, Installation und erstes Öffnen einer App auf dem Mobilgerät, Interaktionen innerhalb einer App (z.B. aufgerufene Produkte, gekaufte Produkte, Produktsuchen) oder Informationen darüber, welche Werbeanzeigen gesehen oder angeklickt wurden Auswertung des Nutzerverhaltens zur Optimierung der App-Anwendungen und Analyse mobiler Werbekampagnen auf unterschiedlichen Marketingkanälen Art. 6 Abs. 1 S. 1 lit. a DSGVO Löschung nach Zweckfortfall (z.B. Widerruf der Einwilligung), bzw. bis Ablauf handels- und steuerrechtlicher Aufbewahrungspflichten	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckfortfall (z.B. Widerruf der Einwilligung), bzw. bis Ablauf handels- und steuerrechtlicher Aufbewahrungspflichten
Adjust Geräte-ID (MAC Adresse gehast), Google Click-ID, Google Marketing Platform Click-ID, Meta Click ID, IP-Adresse, mobile Werbe-ID, Hersteller-ID (IDFV, nur für iOS), Bestell-ID, Nutzer-ID	Adjust Geräte-ID, Google Click-ID, Google Marketing Platform Click-ID, Meta Click ID, IP-Adresse, mobile Werbe-ID, Hersteller-ID (IDFV, nur für iOS), Bestell-ID, Nutzer-ID Auswertung des Nutzerverhaltens zur Optimierung der App-Anwendungen und Analyse mobiler Werbekampagnen auf unterschiedlichen Marketingkanälen Art. 6 Abs. 1 S. 1 lit. a DSGVO Löschung nach Zweckwegfall (z.B. Widerruf der Einwilligung), bzw. bis Ablauf handels- und steuerrechtlicher Aufbewahrungspflichten	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall (z.B. Widerruf der Einwilligung), bzw. bis Ablauf handels- und steuerrechtlicher Aufbewahrungspflichten

Wir haben mit Adjust eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen, wonach sich Adjust verpflichtet, den notwendigen Schutz Ihrer Daten zu gewährleisten und gemäß den geltenden Datenschutzbestimmungen ausschließlich in unserem Auftrag und gemäß unserer Weisung zu verarbeiten.

Adjust nutzt zum Betrieb seiner Anwendung Rechenzentren des Anbieters Leaseweb Netherlands B.V., Hessenbergweg 95, 1101 CX Amsterdam, Niederlande in der EU (Frankfurt am Main, Amsterdam) und den USA.

Soweit personenbezogene Daten auf Servern außerhalb der EU/des EWR, z.B. in den USA, verarbeitet werden, sieht der Vertrag zur Auftragsverarbeitung vor, dass Adjust bezüglich der Datenverarbeitung im Drittland im Sinne der Art. 44 ff DSGVO ein angemessenes Schutzniveau sicherstellen muss, was durch die Verwendung der sog. EU-Standardvertragsklauseln nach Art. 46 DSGVO und weiterer Maßnahmen erfolgt.

Weitere datenschutzrechtliche Informationen von Adjust finden Sie unter

https://www.adjust.com/terms/privacy-policy/und https://www.adjust.com/terms/gdpr/

17. Socialbakers

Zudem verwenden wir Socialbakers, ein Service der Emplifi Czech Republic a.s., Pod Všemi svatými 17, Pilsen, Tschechien. Socialbakers ist ein Social-Media-Management-und Marketing-System (Social Suite Plattform), das wir zu Marktbeobachtungs-, Werbe- und Marketingzwecken einsetzen.

Dabei ermöglicht uns Socialbakers, die Aktivitäten auf unseren Social-Media-Kanälen und Webseiten zu beobachten, zu analysieren, auszuwerten und auf dieser Basis mit datenbasierten Empfehlungen zielgruppengenaue Marketingmaßnahmen durchzuführen. Zudem verwenden wir Socialbakers zum Zweck des Kundensupports, um über den jeweiligen Social-Media-Kommunikationsweg auf bestehende Kundenanfragen zu reagieren. Hierzu verknüpfen wir Socialbakers mit unseren Social-Media-Plattformen oder Webseiten, die Google Analytics nutzen. Dabei werden nur solche personenbezogenen Daten von Socialbakers erfasst und verarbeitet, die wir bei Ihrem Besuch unserer Social-Media-Kanäle und Webseiten datenschutzkonform von Ihnen erheben. Informationen hierzu finden Sie in unseren Datenschutzhinweisen / Einwilligungsmanagementtools unserer Angebote.

Die Verarbeitung der personenbezogenen Daten erfolgt auf Grundlage des Art. 6 Abs. 1 lit. b und Art. 6 Abs. 1 lit. f DSGVO. Zur Vertragserfüllung oder Anbahnung wird die Verarbeitung der personenbezogenen Daten vorausgesetzt. In Fällen, in denen keine Kaufanbahnung erfolgt oder in der Vergangenheit vorlag, besteht unser berechtigtes Interesse darin, den Kundensupport zu optimieren.

Im Zuge der Nutzung des Tools haben wir mit Socialbakers einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen. Weitere Informationen zum Datenschutz bei der Verwendung von Socialbakers sind abrufbar unter: https://www.socialbakers.com/privacy-policy.

18. Benachrichtigungen zum Versandstatus

Im Rahmen Ihrer Bestellung haben Sie die Möglichkeit eine Einwilligung zur Weitergabe Ihrer E-Mail-Adresse und Telefonnummer an den jeweiligen Versandpartner zu erteilen, um somit dem Versandpartner zu ermöglichen, Ihnen Benachrichtigungen zum Versandstatus zu senden.

Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden. Hierfür genügt es, im My BESTSECRET Menü unter Passwort und Kontaktdaten / Persönliche Einstellungen die Option „Lieferungsverfolgung“ abzuwählen.

Bitte beachten Sie, dass bei der Auswahl der Liefermethode Paketshop (Pick Up Point) die Wei-tergabe Ihrer E-Mail an den jeweiligen Lieferdienst zur Bestell- und Auftragsabwicklung notwendig ist, da der Lieferdienst Sie sonst nicht über die Ankunft des Pakets beim jeweiligen Paketshop informieren kann. Die Verarbeitung der E-Mail-Adresse erfolgt für diesen Fall der Auswahl der Liefermethode Paketshop (Pick Up Point) auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten wie: E-Mail-Adresse, Telefonnummer	Weitergabe an Versandpartner zur Lieferungsverfolgung	Art. 6 Abs. 1 S. 1 lit. a DSGVO	bis Widerruf
Zeitpunkt der Einwilligung	Lieferungsverfolgung	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Zeitpunkt des Widerrufs	Nachweis des Widerrufs	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

19. Freunde einladen

Wir bieten Ihnen die Möglichkeit, unsere Dienste an interessierte Personen weiterzuempfehlen. Hierzu gehen Sie im Menü auf Freunde einladen. Durch Klick auf den Button „Freunde einladen“ erhalten Sie einen exklusiven Einladungslink, den Sie via Social Media oder per E-Mail verschicken können.

Zudem speichern wir personenbezogene Daten derjenigen Person, die Sie empfohlen hat. Als geschlossene Shopping Community nehmen wir nur Mitglieder auf, die von bestehenden Mitgliedern empfohlen wurden. Die Speicherung dient der Verifizierung und Nachvollziehbarkeit und erfolgt zur Durchführung des Mitgliedschaftsvertrags.

Die Person, die Sie eingeladen hat, erhält Provisionen, wenn Sie etwas bei BESTSECRET bestellen. Je nach Höhe Ihrer Bestellung fällt die Provision unterschiedlich hoch aus. Insofern kann die einladende Person aus der Höhe der ihr zur Verfügung gestellten Provision einen ungefähren Rückschluss auf Ihren Einkaufswert ziehen. Da jedes Mitglied nur eine begrenzte Anzahl an Einladungen aussprechen kann, hat der Einladende ein Interesse daran, dass ihm mitgeteilt wird, welcher Eingeladene bestellt hat. Insofern wird Ihr Name an die einladende Person im Rahmen der Gewährung des Discounts ebenfalls weitergegeben.

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten des Eingeladenen wie: E-Mail-Adresse, Einladungsnachricht, Einladungszeitpunkt, Geolocation (bei Nutzung des Einladungslinks)	Durchführung des Mitgliedschaftsvertrags	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Personenbezogene Daten des Einladers: Vorname, Nachname, E-Mail	Durchführung des Mitgliedschaftsvertrags	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

20. Warteliste

Da wir eine geschlossene Shopping Community sind und leider nur eine begrenzte Anzahl an Mitgliedern aufnehmen können, bieten wir interessierten Personen die Möglichkeit an, sich auf eine Warteliste setzen zu lassen. Diese Möglichkeit besteht, wenn ein Mitglied eine Einladung an eine Person schickt, das Mitglied allerdings über keine Einladungsrechte mehr verfügt.

Im Rahmen der Warteliste speichern wir die nachstehenden Daten:

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten des Eingeladenen wie: Vorname, Name, E-Mail-Adresse, Registrierungs- und Bestätigungszeitpunkt	(Vorvertragliche) Maßnahme für die Mitgliedschaft	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 30 Tage nach Ablehnung oder unbestätigten Einladung durch BESTSECRET

21. Bonitätsprüfung

Um Ihnen möglichst gute Zahlungsoptionen anbieten zu können, müssen wir Sie und uns vor Missbrauch schützen. Daher übermitteln wir je nach Zahlungsart die zu einer Identitäts- sowie Bonitätsprüfung benötigten personenbezogenen Daten (Vor- und Nachname, Adresse, Geburtsdatum, Geschlecht, E-Mail-Adresse, Telefonnummer, Zeitpunkt der Registrierung, getätigte Einkäufe und Informationen über die Forderungshöhe sowie Fälligkeit der Forderung) an unseren Zahlungsdienstleister. Die Übermittlung erfolgt zum Zwecke der Vertragsabwicklung (Art. 6 Abs. 1 lit. b DSGVO) und aufgrund unseres berechtigten Interesses an einer Missbrauchsprävention und dem Schutz von Zahlungsausfällen, weil wir mit der Lieferung der Ware in Vorleistung gehen (Art. 6 Abs. 1 lit. f DSGVO).

Dabei erfolgt auf Grundlage eines mathematisch-statistischen Verfahrens eine Bewertung über die Wahrscheinlichkeit des Zahlungsausfalls. Diese Information verwendet unser Zahlungsdienstleister für eine ausgewogene Entscheidung über die Ihnen einzuräumenden Zahlungsmöglichkeiten.

Sie werden im Rahmen des Zahlungsvorgangs vor der Übertragung der personenbezogenen Daten gesondert darauf hingewiesen, dass und welche Daten übertragen werden, und können ggf. den Vorgang abbrechen.

Zusätzlich gelten die allgemeinen Geschäftsbedingungen und Datenschutzhinweise unseres Zahlungsdienstleisters, z.B. https://documents.riverty.com/app/web_terms_conditions/ch_de. Wenn Sie nähere Informationen zu unseren Zahlungsdienstleister haben wollen, dann können Sie sich jederzeit an [email protected] wenden.

22. Einhaltung zollrechtlicher Bestimmungen

Aufgrund mehrerer EU-Verordnungen (2580/2001/EG, 881/2002/EG und 753/2011/EG) und anderer gesetzlicher Vorgaben sind wir als Unternehmen angehalten, vor Abschluss eines Kaufvertrags die Daten unserer Kunden mit öffentlich verfügbaren Außenhandels- und Embargolisten abzugleichen. Diesen Abgleich führen wir durch, da die Verarbeitung zur Erfüllung der o.g. rechtlichen Verpflichtungen erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO). Wir führen den Abgleich erst durch, wenn Sie eine Ware auf unserer Webseite zahlungspflichtig bestellen. Es werden nur folgende Bestandsdaten abgeglichen: Vorname, Name und Adresse. Die Daten werden nach Zweckerreichung gelöscht.

23. Links zu anderen Webseiten

Unsere Webseiten können Links zu Webseiten anderer Anbieter enthalten. Wir weisen darauf hin, dass diese Datenschutzerklärung ausschließlich für die Webseiten der BESTSECRET Gruppe gilt. Wir haben keinen Einfluss darauf und kontrollieren nicht, ob andere Anbieter die geltenden Datenschutzbestimmungen einhalten.

24. Einsatz von Künstlicher Intelligenz

Wir nutzen Anwendungen, die generative künstliche Intelligenz verwenden. Dies geschieht unter anderem, damit wir unsere Prozesse optimal gestalten und Ihnen einen verbesserten Service anbieten können. Sollten die Anbieter der genutzten Anwendungen im EU-Ausland sein, kann es sein, dass Ihre Daten im EU-Ausland verarbeitet werden.

C. Datenverarbeitung im BESTSECRET Store

1. Besuch des BESTSECRET Stores

Im Rahmen des Besuches der BESTSECRET Stores werden verschiedene Daten verarbeitet.

Zugangsberechtigt sind lediglich ausgewählte Mitglieder. Daher verarbeiten wir die nachstehenden Daten, um das Mitglied eindeutig zu identifizieren und Missbrauchs- und Betrugsfälle zu verhindern.

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
BESTSECRET Account Daten Fotoaufnahme	Nachweis der Zugangsberechtigung, Identifikation, Missbrauchs- und Betrugsprävention	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Kauf- und Besuchshistorie	Punkte im Rahmen des Loyalty Programms, Handels- und steuerrechtliche Marketingzwecke	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

2. Bargeldloses Zahlen

Im Rahmen des bargeldlosen Zahlung Ihres Einkaufs (z.B. mittels einer Bankkarte) werden je nach Zahlungsmittel ihre entsprechenden Zahlungsdaten (IBAN bzw. Kreditkartennummer, Kartenverfallsdatum, Kartenfolgennummer, Datum, Uhrzeit, Betrag der Zahlung, Terminal Kennung (Ort, Unternehmen, Filiale)) ausschließlich zum Zweck der Vertragsabwicklung an die hierfür zuständigen Dienstleister (Netzbetreiber, Akquirer, Banken) weitergeleitet.

Ihre Daten werden nach Ablauf der gesetzlich vorgesehenen Aufbewahrungsfristen gelöscht.

Die Weiterleitung der Zahlungsdaten ist notwendig, um den Zahlvorgang und den Einkauf abzuschließen. Sofern Sie die Bereitstellung Ihrer Daten hierfür nicht wünschen, haben Sie die Möglichkeit bar zu bezahlen oder auf den Einkauf zu verzichten.

3. Tagesvollmachten

Ausgewählte Kunden können einer anderen Person den Besuch in einem Store an einem Tag seiner Wahl innerhalb von 30 Tagen ab Erstellung ermöglichen, indem er eine Tagesvollmacht für den Bevollmächtigten ausstellt. Hierfür müssen der Vorname, Nachname, Adresse sowie die E-Mail-Adresse des Bevollmächtigten angegeben werden Rechtsgrundlage hierfür ist das berechtigte Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten des Eingeladenen wie: E-Mail-Adresse, Sprache, Einladungsnachricht, Einladungszeitpunkt	Versenden einer persönlichen Einladung an den Eingeladenen	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

4. Customer Service

Im Rahmen Ihres Storebesuches haben Sie die Möglichkeit Pakete von BESTSECRET abzuholen und im Fall einer Retoure wieder abzugeben. Es werden daher folgende Daten verarbeitet:

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Kundeninformationen, Bestell- bzw. Retourendaten, Daten der Abholung bzw. Retoure	Durchführung des Click & Collect Services	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

D. Datenerhebung im Rahmen des Loyalty Programms

Im Rahmen des Loyalty Programms sammeln Mitglieder durch verschiedene Aktivitäten Punkte bzw. Gutscheine. Die Punkte können sowohl im Onlineshop als auch in den Stores gesammelt werden. Je nach Punktestand erhält das Mitglied besondere Vergünstigungen. Außerdem erhält das Mitglied die Möglichkeit Provisionen für die Einkäufe der empfohlenen Personen. Das Loyalty Programm ist Bestandteil der Mitgliedschaft bei BESTSECRET. Die Rechtsgrundlage ist daher Art. 6 Abs. 1 S. lit. b DSGVO.

Hierfür speichern wir die nachstehenden Daten:

Daten	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Status des Mitglieds	Durchführung des Loyalty Programms	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Punkte aus Einkäufen, Empfehlungen von neuen Mitgliedern sowie sonstigen Aktivitäten	Durchführung des Loyalty Programms	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Provisionen aus Einkäufen von empfohlenen Personen sowie daraus resultierende Provisionen	Durchführung des Loyalty Programms	Art. 6 Abs. 1 S. 1 lit. b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

E. Werbemaßnahmen sowie sonstige Maßnahmen zur Optimierung des Angebots

1. Newsletter und Werbung

1.1 Newsletter

Unser Newsletter ist wesentlicher Bestandteil der Mitgliedschaft und unserer Leistungen an Mitglieder, damit die exklusiven Vorteile der Mitgliedschaft genutzt werden können. Der Erhalt des Newsletters ist daher grundsätzlich für die Registrierung Ihrer Mitgliedschaft erforderlich. Sie können sich aber selbstverständlich jederzeit unter Einstellungen in Ihrem Kundenkonto und über den Abmelde-Link in jedem Newsletter wieder vom Newsletter abmelden.

Mit der Zustimmung zum Newsletter erklären Sie sich mit dem regelmäßigen Empfang von Informationen über Verkaufsaktionen, Produktempfehlungen, Gutscheine und den VIP-Status der BESTSECRET einverstanden. Der Versand der Informationen kann durch BESTSECRET oder durch Salesforce Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA, erfolgen.

Zum Versand des Newsletters nutzt BESTSECRET außerdem den Dienst Salesforce Marketing Cloud, der von dem Unternehmen Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA betrieben wird.

Um unseren Newsletter in Zukunft noch interessanter für Sie zu gestalten, kommen marktübliche Technologien wie Cookies oder Zählpixel in unserem Newsletter zum Einsatz. Wir werten Ihre Klicks in Newslettern mit Hilfe sogenannter Tracking-Pixel, also unsichtbarer Bilddateien, sowie personalisierter Links und eingebetteter Links (Link Wrapping) aus. Sie sind Ihrer Mail-Adresse zugeordnet und werden mit einer eigenen ID verknüpft, um Klicks im Newsletter eindeutig Ihnen zuzuordnen. Das Nutzungsprofil dient dazu, das Angebot und unsere Dienstleistungen auf Ihre Interessen abzustimmen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 Satz 1 lit. a, b DSGVO. Wir berücksichtigen hierbei Ihre Cookie-Einstellungen.

Außerdem nutzen wir bestimmte Daten (z.B. Geschlecht, Postleitzahl, VIP-Status), um unseren Newsletter entsprechend zu segmentieren bzw. zu personalisieren. Rechtsgrundlage hierfür ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 Satz 1 lit. f DSGVO.

Sie können die Häufigkeit oder den Inhalt des Newsletters in Ihren Newsletter-Einstellungen jederzeit verändern oder sich ganz vom Newsletter abmelden.

Folgende Daten werden für den Versand des Newsletters verarbeitet:

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten wie: E-Mail-Adresse, Anrede, Vorname, Nachname, Geschlecht	Versand des Newsletters	Art. 6 Abs. 1 S. 1 lit. a, b DSGVO	3 Jahre nach Widerruf der Einwilligung bzw. Löschung des Accounts
Zustimmung zum Newsletter, Zeitpunkt der Zustimmung, Newsletter-Präferenz	Versand des Newsletters	Art. 6 Abs. 1 S. 1 lit. a, b DSGVO	3 Jahre nach Widerruf der Einwilligung bzw. Löschung des Accounts
Widerruf der Einwilligung	Nachweis des Widerrufs	Art. 6 Abs. 1 S. 1 lit. a, b DSGVO	3 Jahre nach Widerruf der Einwilligung bzw. Löschung des Accounts
Verhaltensbezogene Daten wie: Öffnungs- und Klickrate	Analyse des Nutzerverhaltens bzw. Erstellung von personalisierter Werbung	Art. 6 Abs. 1 S. 1 lit. a, b DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Persönliche Daten wie: Geschlecht, Postleitzahl oder Käufe	Segmentierung bzw. Personalisierung	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

1.2 Direktwerbung ohne vorherige Anmeldung

Sofern wir Ihre E-Mail-Adresse oder Postadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten haben, behalten wir uns vor, Ihnen regelmäßig Angebote zu ähnlichen Produkten aus unserem Sortiment per E-Mail oder Post zuzusenden. Die Direktwerbung kann von BESTSECRET verschickt werden. Zudem setzen wir für postalische Werbung über die Marketing Cloud von Salesforce den Dienstleister Optilyz, Neue Schönhauser Str. 19, 10178 Berlin von Salesforce ein. Die Direktwerbung kann anhand von demographischen Daten, wie z.B. Postleitzahl oder VIP Status, segmentiert werden. Sie können der Verwendung Ihrer E-Mail-Adresse zum Zweck der Direktwerbung über einen dafür vorgesehenen Link in der Werbemail widersprechen, bzw. der Verwendung Ihrer Postadresse per E-Mail an [email protected].

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten wie: E-Mail-Adresse, Anrede, Vorname, Nachname, Geschlecht	Versand der Marketingaktion	Art. 6 Abs. 1 S. 1 lit. f DSGVO	bis Widerspruch
Demographische Daten wie: Postleitzahl, letzter Einkauf oder VIP Status	Versand der Marketingaktion/Personalisierung	Art. 6 Abs. 1 S. 1 lit. f DSGVO	bis Widerspruch
Zeitpunkt des Widerspruchs	Nachweis des Widerspruchs	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

2. Push Notifications, In-App Messages und Inbox Messages in der App

2.1 Push Notification

In unserer App haben Sie die Möglichkeit, Ihre Einwilligung zum Erhalt von Push Benachrichtigungen zu erteilen. Push Benachrichtigungen sind regelmäßige Bildschirmnachrichten über Ihre Mitgliedschaft, Verkaufsaktionen und die neuesten Trends. Sie können jederzeit diese Benachrichtigungen in den App-Einstelllungen Ihres Mobilfunkgerätes ein- und ausschalten und so ihre Einwilligung erteilen bzw. widerrufen. Sofern Sie Push Benachrichtigungen abonnieren, wird die Geräte-ID ihres Mobilfunkgerätes an den Dienst, der bei Ihrem Betriebssystem die Push Funktionalität zur Verfügung stellt (bei Android: Google Cloud Messaging; bei iOS: Apple Push Notification Service) gesendet. Daraufhin wird ein sog. Identifier („Push Notification Identifier“) erstellt, der für die weitere Kommunikation mit dem BESTSECRET PushServer verwendet wird. Der Identifier lässt keine Rückschlüsse auf den Nutzer zu. Zum Versand der Messages nutzt BESTSECRET den Dienst Salesforce Marketing Cloud, der von dem Unternehmen Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA betrieben wird.

Außerdem nutzen wir bestimmte Daten (z.B. Geschlecht, Postleitzahl, Käufe), um unsere Push-Nachrichten und In-App Messages entsprechend zu segmentieren bzw. zu personalisieren. Rechtsgrundlage hierfür ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 Satz 1 lit. f DSGVO.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Push Notifications Identifier	Versand der Push Benachrichtigung	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Persönliche Daten wie: Vorname, Nachname oder Geschlecht, VIP Status oder Gutscheine	Erstellung der Push-Notification	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

2.2 In-App und Inbox Messages

Außerdem setzen wir in unserer App In-App- und Inbox Messages ein. Diese Messages zeigen Ihnen innerhalb der App Informationen zu Verkaufsaktionen, Gutscheinen oder Ihren VIP-Status. Zum Versand der Messages nutzt BESTSECRET den Dienst Salesforce Marketing Cloud, der von dem Unternehmen Salesforce.com Inc., The Landmark @ One Market Street, Suite 300, San Francisco, California, CA 94105, USA betrieben wird.

Zudem nutzen wir im Rahmen der In-App und Inbox Messages bestimmte Daten (z.B. Geschlecht, Postleitzahl, Käufe), um unsere Push-Nachrichten und In-App Messages entsprechend zu segmentieren bzw. zu personalisieren. Rechtsgrundlage hierfür ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 Satz 1 lit. f DSGVO.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Geräte-ID und App-ID	Erstellung der In-App Message	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft
Persönliche Daten wie: Vorname, Nachname oder Geschlecht, VIP Status oder Gutscheine	Erstellung der In-App Message	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

2.3 Tracking in Push-Notifications, In-App Messages und Inbox Messages

Um unsere Push-Notifications, In-App Messages und Inbox Messages in Zukunft noch interessanter für Sie zu gestalten, werten wir Ihre Öffnungen und Klicks sowie die Verweildauer aus, u.a. mit Hilfe von personalisierten Links und eingebetteter Links (Link Wrapping). Die gesammelten Daten werden mit Ihrer Subscriber-ID verknüpft. Das Nutzungsprofil dient dazu, das Angebot und unsere Dienstleistungen auf Ihre Interessen abzustimmen. Dies erfolgt nur, wenn Sie uns im Rahmen des Cookie Opt-Ins Ihre Einwilligung gem. Art 6 Abs. 1 lit. a DSGVO erteilt haben.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Verhaltensbezogene Daten wie: Öffnungs- und Klickrate, Verweildauer	Analyse des Nutzerverhaltens	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

3. Gewinnspiele

Bei Gewinnspielen verwenden wir Ihre Daten zum Zweck der Gewinnbenachrichtigung und der Werbung für unsere Angebote. Detaillierte Hinweise finden Sie in unseren Teilnahmebedingungen zum jeweiligen Gewinnspiel.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Persönliche Daten des Gewinners: Vorname, Nachname, E-Mail, Adresse und Social-Media-Kontaktinformationen	Durchführung des Gewinnspiels, Gewinnbenachrichtigung, Zusendung des Preises im Fall des Gewinns	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall, spätestens 90 Tage nach Beendigung der Mitgliedschaft

4. Datenverwendung für Kundenfeedback

Wir verwenden zur Durchführung von Kundenzufriedenheitsumfragen die Dienste von Zenloop (Zenloop GmbH, Brunnenstr. 196, 10119 Berlin) und Qualtrics (Qualtrics LLC, 333 River Park Drive, Provo, Utah 84604, USA). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO. Der Inhalt der Umfrage kann sowohl produktspezifisch als auch -unspezifisch sein. Hierbei werden Umfrage- und Kontaktdaten verarbeitet. Jegliche gesammelten Daten werden nicht unter Ihrem Namen oder Ihrer E-Mail-Adresse verarbeitet, sondern nur pseudonymisiert anhand Ihrer Kundennummer. Nach der erfolgten Datenanalyse wird die Kundennummer aus dem Datensatz gelöscht, sodass uns die Daten nur noch anonymisiert vorliegen. In Qualtrics verarbeiten wir auch Daten, die wir zuvor von Salesforce erhalten haben, sofern Sie einer Datenverarbeitung durch Salesforce zugestimmt haben. Die Datenverarbeitung im Rahmen von Qualtrics und Zenloop findet in Europa statt. Nähere Informationen zur Datenverarbeitung durch Zenloop und Qualtrics können Sie der Datenschutzerklärung von Zenloop entnehmen (https://www.zenloop.com/de/legal/privacy) sowie der Datenschutzerklärung von Qualtrics (https://www.qualtrics.com/privacy-statement/). Sollten Sie sich für die Teilnahme am Kundenfeedback entschieden haben und dies aber nicht mehr wünschen, können Sie der weiteren Verarbeitung widersprechen (durch Kontakt zu uns oder über die in der E-Mail enthaltenden Verlinkung).

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Abfrage zur technischen Bereitstellung der Umfrage	Vorgelagerte Abfrage, ob eine Umfrage dargestellt werden darf	Art. 6 Abs. 1 S. 1 lit. a DSGVO	Löschung nach Zweckwegfall
Umfragedaten, Kontaktdaten	Durchführung und Auswertung von Kundenzufriedenheitsumfragen	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall
Technische Daten wie: Geräteinformation, verwendetes Betriebssystem, Gerätekennung, Browsertyp und -version, Datum und Uhrzeit des Aufrufs	Durchführung und Auswertung von Kundenzufriedenheitsumfragen	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall
Demographische Daten wie: Postleitzahl, Geschlecht, Sprache	Durchführung und Auswertung von Kundenzufriedenheitsumfragen	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall
Bestellungs- und Umsatzhistorie oder VIP Status	Durchführung und Auswertung von Kundenzufriedenheitsumfragen	Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall

F. Kontaktaufnahme

Unsere Mitglieder haben jederzeit die Möglichkeit mit uns in Kontakt zu treten. Um Ihre Anfrage bearbeiten zu können, verwenden wir diejenigen personenbezogenen Daten, die Sie uns freiwillig zur Verfügung stellen. Zur Bearbeitung von Kundenanfragen setzen wir Dienstleister ein, die auf Kundensupport spezialisiert sind.

Betroffene Datenkategorie	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung	Speicherdauer
Daten zur Bearbeitung der Anfrage des Kunden	Bearbeitung der Kundenanfrage	Art. 6 Abs. 1 S. 1 lit. b DSGVO oder Art. 6 Abs. 1 S. 1 lit. f DSGVO	Löschung nach Zweckwegfall bzw. Ablauf gesetzlicher Aufbewahrungspflichten

G. Datenverarbeitung auf unserer Karriereseite

Auf unseren Karriereseiten informieren wir Sie über Jobangebote bei der BESTSECRET Gruppe. Nähere Informationen zur Datenverarbeitung auf den Karriereseiten finden Sie hier.

H. Weitergabe von Daten

1. Weitergabe von Daten innerhalb der BESTSECRET Gruppe

Im Rahmen der Geschäftstätigkeit ist es unabdingbar, dass regelmäßig Daten zwischen den Niederlassungen und den einzelnen Unternehmen der BESTSECRET Gruppe ausgetauscht werden. Der Datenaustausch ist für die Mitgliedschaft bei BESTSECRET sowie zur Vertragserfüllung unabdingbar. Der Datenaustausch erfolgt somit zur Vertragserfüllung gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die einzelnen Gesellschaften der BESTSECRET Gruppe sind gemeinsam verantwortlich für die Datenverarbeitung. Folgende Gesellschaften der BESTSECRET Gruppe können im Rahmen der konzernübergreifenden Zusammenarbeit Zugriff auf Ihre Daten haben:

Verantwortlicher	Zweck der Verarbeitung	Rechtsgrundlage der Verarbeitung
Best Secret GmbH, Margaretha-Ley-Ring 27, 85609 Aschheim, Deutschland	Durchführung der Mitgliedschaft sowie Betrieb und zur Verfügungstellung des BESTSECRET Online Shops sowie sämtlicher Leistungen in Zusammenhang mit der Mitgliedschaft bei BESTSECRET. Zur Verfügungstellung der BESTSECRET Stores in Deutschland sowie der damit verbundenen Leistungen, Geltendmachung und Abwehr rechtlicher Ansprüche, Sicherheitsabteilung, Zahlungsabwicklung, Abwicklung von Bestellungen.	Art. 6 Abs. 1 S. 1 lit. b DSGVO
Best Secret Group SE, Margaretha-Ley-Ring 27, 85609 Aschheim, Deutschland	Zur Verfügungstellung der BESTSECRET Stores und Onlineshop sowie der damit verbundenen Leistungen, Geltendmachung und Abwehr rechtlicher Ansprüche, Sicherheitsabteilung, Zahlungsabwicklung, Abwicklung von Bestellungen.	Art. 6 Abs. 1 S. 1 lit. b DSGVO
Best Secret Logistik GmbH, Parsdorfer Straße 13, 85586 Poing, Deutschland	Versand von Paketen und Bearbeitung von Retouren	Art. 6 Abs. 1 S. 1 lit. b DSGVO
Best Secret Poland sp. z o. o.	Versand von Paketen und Bearbeitung von Retouren	Art. 6 Abs. 1 S. 1 lit. b DSGVO
Best Secret Retail Wien GmbH, Berggasse 16, 1090 Wien, Österreich	Zur Verfügungstellung der BESTSECRET Stores in Deutschland sowie der damit verbundenen Leistungen.	Art. 6 Abs. 1 S. 1 lit. b DSGVO

2. Weitergabe an Auftragsverarbeiter

Neben den oben ausdrücklich genannten Dienstleistern setzen wir weitere Dienstleister als Auftragsverarbeiter ein. Soweit erforderlich, verarbeiten diese auch personenbezogene Daten. Die Dienstleister werden von uns sorgfältig ausgewählt, überwacht und regelmäßig überprüft, insbesondere haben wir technische und organisatorische Maßnahmen implementiert, durch die sichergestellt wird, dass ihre Daten geschützt sind. Sie verarbeiten die Daten ausschließlich auf unsere Weisung. Hierzu zählen Dienstleister wie IT-Dienstleister, Marketing-Dienstleister oder Dienstleister für Kunden-Support.

3. Weitergabe an Dritte

Ihre personenbezogenen Daten werden nur dann an Dritte weitergegeben, wenn dies gesetzlich zulässig ist (z.B. zum Zwecke der Vertragsabwicklung bzw. Abrechnung oder sofern Sie zuvor eingewilligt haben). Es gehört nicht zu unserem Geschäft diese Kundeninformationen zu verkaufen. Die Weitergabe der Daten erfolgt ausschließlich im Rahmen der dargestellten Zwecke.

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den aufgeführten Zwecken findet nicht statt.

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

• Sie Ihre ausdrückliche Einwilligung dazu erteilt haben,

• die Weitergabe zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben,

• für die Weitergabe eine gesetzliche Verpflichtung besteht, sowie

• dies gesetzlich zulässig und für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

Mögliche Empfänger können Berater, Wirtschaftsprüfer, Rechtsanwälte, Gerichte oder Behörden sein.

I. Ihre Rechte

1. Belehrung Betroffenenrechte

Jede betroffene Person hat folgende Rechte:

• Recht auf Auskunft nach Art. 15 DSGVO

• Recht auf Berichtigung nach Art. 16 DSGVO

• Recht auf Löschung nach Artikel 17 DSGVO

• Recht auf Einschränkung der Verarbeitung nach Art.18 DSGVO

• Recht auf Widerspruch aus Art. 21 DSGVO

• Recht auf Datenübertragbarkeit aus Art. 20 DSGVO

Beim Auskunftsrecht und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG bzw. der jeweiligen nationalen Vorschriften.

2. Belehrung zur Beschwerdemöglichkeit

Sie haben zudem das Recht, sich beim zuständigen Bayerischen Landesamt für Datenschutzaufsicht über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.

3. Belehrung zum Widerruf bei Einwilligung

Eine erteilte Einwilligung in die Verarbeitung personenbezogener Daten können Sie jederzeit uns gegenüber widerrufen. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der Datenschutzgrundverordnung, als vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind davon nicht betroffen.

4. Recht im Falle einer Datenverarbeitung zur Betreibung von Direktwerbung

Sie haben gem. Art. 21 Abs.2 DSGVO das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten einzulegen. Im Falle Ihres Widerspruchs gegen die Verarbeitung zum Zwecke der Direktwerbung werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten. Bitte beachten Sie, dass der Widerspruch erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerspruch erfolgt sind, sind davon nicht betroffen.

5. Hinweis auf Widerspruchsrecht bei Interessenabwägung

Soweit wir die Verarbeitung Ihrer personenbezogenen Daten auf eine Interessenabwägung stützen, können Sie Widerspruch gegen die Verarbeitung einlegen. Bei Ausübung eines solchen Widerspruchs bitten wir um Darlegung der Gründe, weshalb wir Ihre personenbezogenen Daten nicht wie von uns beschrieben verarbeiten sollten. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe erläutern.

J. Änderungen der Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit unter Beachtung der geltenden Datenschutzvorschriften zu ändern bzw. anzupassen.