Datenschutzerklärung

1. Verantwortlicher

pauldirekt GmbH
Bachgasse 6
15230 Frankfurt (Oder)
Deutschland

Telefon: +49 335 22 880 400
E-Mail: kontakt@pld24.de

Geschäftsführer: Frank Schumann

2. Datenschutzbeauftragter

Aufgrund unserer Verarbeitungstätigkeiten (Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt sowie geschäftsmäßige Datenübermittlung im Sinne von § 38 Abs. 1 Satz 2 BDSG) sind wir zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Status der Bestellung: Die Beauftragung eines externen Datenschutzbeauftragten ist eingeleitet (Auswahlphase, Abschluss bis 2026-08-01 geplant). Ein interner Interessenkonflikt im Sinne von Art. 38 Abs. 6 DSGVO wird durch die externe Lösung ausgeschlossen.

Bis zum Abschluss der Bestellung erreichen Sie uns in Datenschutzfragen unter der für den Verantwortlichen genannten Kontaktadresse: kontakt@pld24.de. Nach Abschluss der Bestellung werden die Kontaktdaten des externen Datenschutzbeauftragten an dieser Stelle veröffentlicht und der zuständigen Aufsichtsbehörde gemeldet (Art. 37 Abs. 7 DSGVO).

3. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage dies erlaubt. Nachfolgend informieren wir Sie über die Art, den Umfang und den Zweck der Verarbeitung personenbezogener Daten im Rahmen unseres Online-Shops.

Kategorien betroffener Personen: Kunden, Interessenten, Besucher des Online-Shops, Newsletter-Abonnenten, Mitglieder des Shopping-Clubs.

Kategorien personenbezogener Daten:

• Bestandsdaten (Name, Anschrift)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Vertragsdaten (Bestellhistorie, Zahlungsreferenzen, Bonuspunkte)
• Nutzungsdaten (aufgerufene Seiten, Zugriffszeiten, Suchbegriffe)
• Kommunikationsdaten (IP-Adresse, Geräteinformationen, Browser-Typ)
• Zahlungsdaten (nur Referenz-IDs, keine Kreditkartennummern)

4. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Newsletter, Marketing-E-Mails, nicht-essenzielle Cookies, Weitergabe an Werbepartner, Profiling zu Marketingzwecken. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Durchführung von Bestellungen, Kundenkonto-Verwaltung, Bonuspunkte-Verwaltung, Zahlungsabwicklung, Lieferung, Retouren, Rechnungsstellung.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Rechnungen und Buchungsbelegen gemäß §§ 147 AO, 257 HGB.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Gewährleistung der IT-Sicherheit, Betrugsprävention, anonymisierte Webanalyse, Direktwerbung an Bestandskunden für eigene ähnliche Waren (§ 7 Abs. 3 UWG), Optimierung des Angebots, Geltendmachung von Rechtsansprüchen.

5. Hosting und Bereitstellung der Website

Unsere Website wird auf Servern in Deutschland gehostet (Scholtopia UG, Deutschland). Beim Aufruf unserer Website erfasst der Server automatisch:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technisch fehlerfreien Darstellung und Optimierung der Website sowie der Sicherstellung der IT-Sicherheit.

Speicherdauer: Server-Logfiles werden nach 14 Tagen automatisch gelöscht.

6. Kundenkonto und Bestellabwicklung

(1) Bei der Registrierung eines Kundenkontos erheben wir: E-Mail-Adresse, Passwort (wird mit scrypt gehasht gespeichert, niemals im Klartext), Name und Anschrift.

(2) Bei einer Bestellung (auch als Gast) verarbeiten wir: Name, Lieferanschrift, E-Mail-Adresse, Bestelldaten, Zahlungsreferenz-ID.

(3) Für das Bonuspunkte-Programm speichern und verarbeiten wir: Punktestand, Tier-Status, Einkaufshistorie zur Berechnung der Punkte und Einlösung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Die Daten werden für die Dauer der Geschäftsbeziehung und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen (bis zu 10 Jahre) gespeichert.

6a. Datenübernahme aus Vorgängersystem (Shopware)

(1) Zum 20. April 2026 haben wir die Shop-Plattform gewechselt. Zuvor wurde unser Online-Shop unter pld24.de mit der Shopware-Software betrieben. Mit dem Systemwechsel haben wir folgende Daten aus dem Vorgängersystem in das neue System übernommen:

• Kundenkonten (E-Mail-Adresse, Name, Anrede, Stammadresse)
• Bestellhistorie mit allen zugehörigen Positionen
• Zugehörige Rechnungen, Lieferscheine, Gutschriften und Stornierungen (inkl. Original-PDF-Dokumente mit Integritätsnachweis via SHA-256-Hash)
• Rechnungs- und Lieferadressen als Teil der jeweiligen Bestellung (nicht als eigenständige Adressbuch-Einträge)
• Zeitpunkt der letzten AGB-Akzeptanz (als Nachweis der rechtmäßigen Verarbeitung)

(2) Nicht übernommen wurden aus Sicherheits- und Datenschutzgründen:

• Passwort-Hashes — Sie werden beim ersten Login auf dem neuen System gebeten, ein neues Passwort zu setzen
• Im Vorgängersystem gespeicherte Zahlungs-Tokens (z. B. Stripe-Customer-IDs) — eine künftige Zahlung erfordert eine neue Zahlungsmethode
• Abgelaufene Gutscheine, nicht abgeschlossene Warenkörbe, Session- und Login-Logs

(3) Rechtsgrundlage der Übernahme:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für die lückenlose Fortführung der Kundenbeziehung und die Zugänglichkeit Ihrer Bestellhistorie
• Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 147 AO, 257 HGB, § 14 UStG — für die gesetzlich vorgeschriebene Aufbewahrung von Rechnungen und Buchungsbelegen (10 Jahre)

(4) Schutz gegen nachträgliche Änderungen (GoBD): Rechnungen, Gutschriften und Stornorechnungen aus dem Vorgängersystem sind technisch gegen nachträgliche Änderungen gesperrt (§ 146 AO). Die Integrität der Original-PDF-Dokumente ist durch einen SHA-256-Hash gesichert.

(5) Speicherdauer: Übernommene Bestellungen und zugehörige Rechnungen werden bis zum Ablauf der gesetzlichen Aufbewahrungsfrist gespeichert (10 Jahre ab Ende des jeweiligen Geschäftsjahrs). Nach Fristablauf erfolgt eine automatisierte Prüfung mit anschließender Löschung, sofern keine sonstigen Aufbewahrungsgründe bestehen.

(6) Ihre Rechte: Sie können jederzeit Auskunft (Art. 15 DSGVO) über die übernommenen Daten verlangen. Das Recht auf Löschung (Art. 17 DSGVO) besteht auch für übernommene Daten — allerdings nur insoweit, als keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 Abs. 3 lit. b DSGVO). Betroffene Rechnungs- und Buchungsbelege werden in diesem Fall gesperrt und nach Ablauf der Aufbewahrungsfrist endgültig gelöscht.

7. Zahlungsabwicklung (Stripe)

Wir nutzen Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland) als Verantwortlichen für die Zahlungsabwicklung in der EU. Stripe Payments Europe, Ltd. übermittelt Daten an Konzerngesellschaften in den USA (insb. Stripe, Inc.) auf Basis EU-Standardvertragsklauseln (SCC) und der EU-U.S. Data Privacy Framework-Zertifizierung.

Bei der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt: Zahlungsbetrag, Zahlungsart, Name, E-Mail-Adresse. Kreditkartendaten werden ausschließlich von Stripe verarbeitet und zu keinem Zeitpunkt auf unseren Servern gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Mit Stripe besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datenschutzhinweise von Stripe: stripe.com/de/privacy

8. Versanddienstleister und Dropshipping-Lieferanten

(1) Zur Zustellung der Ware übermitteln wir die Lieferadresse und ggf. Ihre Telefonnummer (für Paketankündigungen) an den beauftragten Versanddienstleister (z. B. DHL, DPD, GLS). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

(2) Bei Produkten, die im Wege des Dropshippings versendet werden, werden Ihre Lieferdaten (Name, Anschrift, ggf. Telefonnummer) an den jeweiligen Lieferanten übermittelt, der die Ware in unserem Auftrag direkt an Sie versendet. Die Lieferanten sind vertraglich verpflichtet, Ihre Daten ausschließlich zur Auftragsabwicklung zu verwenden und nicht für eigene Zwecke zu verarbeiten. Mit unseren Lieferanten bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO oder entsprechende vertragliche Vereinbarungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

9. E-Mail-Marketing und Newsletter

(1) Newsletter mit Einwilligung (Double-Opt-In): Sie können unseren Newsletter abonnieren, mit dem wir Sie über Angebote, Neuheiten und Aktionen informieren. Die Anmeldung erfolgt über ein Double-Opt-In-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail mit einem Aktivierungslink. Erst nach Anklicken des Links werden Sie in den Verteiler aufgenommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

(2) Bestandskundenwerbung (ohne Einwilligung): Wenn Sie bei uns eine Bestellung aufgegeben und dabei Ihre E-Mail-Adresse hinterlegt haben, nutzen wir diese, um Ihnen regelmäßig Angebote für ähnliche Produkte per E-Mail zuzusenden. Sie können dieser Nutzung jederzeit widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Jede E-Mail enthält einen Abmeldelink.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG (berechtigtes Interesse, Bestandskundenprivileg).

(3) Erfolgsmessung: Unsere Newsletter können Zählpixel enthalten, die erkennen, ob und wann eine E-Mail geöffnet und welche Links angeklickt wurden. Dies dient der Optimierung unserer Kommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO (je nachdem, ob Einwilligung vorliegt).

Abmeldung: Sie können den Newsletter jederzeit über den Abmeldelink am Ende jeder E-Mail oder per E-Mail an kontakt@pld24.de abbestellen.

9a. Sicherheitsabfrage (Cloudflare Turnstile)

(1) Auf den Seiten Login, Registrierung, Passwort-Reset sowie im Newsletter-Anmelde-Widget im Footer aller Seiten nutzen wir die Sicherheitsabfrage „Turnstile“ der Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) zum Schutz vor automatisierten Anmeldeversuchen, Bot-Registrierungen und Mail-Bombing.

(2) Verarbeitete Daten: Bei jedem Aufruf der genannten Seiten lädt der Browser ein JavaScript von challenges.cloudflare.com. Dabei verarbeitet Cloudflare technische Informationen wie IP-Adresse, Browser-Eigenschaften und Mausbewegungs-/Tastaturmuster zur Bot-Erkennung. Cloudflare Turnstile setzt nach eigenen Angaben keine Cookies.

(3) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer Systeme und Nutzerkonten vor Missbrauch).

(4) Drittland-Übermittlung (USA): Cloudflare ist ein US-Anbieter und unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich bestehen EU-Standardvertragsklauseln (SCC) mit Cloudflare Germany GmbH und Cloudflare, Inc. als Auftragsverarbeiter.

Datenschutzhinweise von Cloudflare: cloudflare.com/de-de/privacypolicy

10. Personalisierte Produktempfehlungen und Profiling

(1) Einfache Personalisierung (ohne Einwilligung): Auf Grundlage Ihrer Bestellhistorie und Ihres Surfverhaltens in unserem Shop zeigen wir Ihnen personalisierte Produktempfehlungen an. Es handelt sich um eine einfache Segmentierung und nicht um eine automatisierte Einzelentscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Einkaufserlebnisses). Sie können der Personalisierung jederzeit widersprechen (Art. 21 DSGVO).

(2) Erweitertes Profiling (mit Einwilligung): Mit Ihrer ausdrücklichen Einwilligung erstellen wir ein umfassenderes Profil Ihrer Interessen, bestehend aus: Bestellhistorie, aufgerufene Produktkategorien, Suchverhalten, Klickverhalten, Bonuspunkte-Nutzung und bevorzugte Preiskategorien. Dieses Profil wird ausschließlich dazu verwendet, Ihnen relevantere Angebote und personalisierte Inhalte bereitzustellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit in Ihrem Kundenkonto oder per E-Mail an kontakt@pld24.de widerrufen.

(3) Keine automatisierte Preisgestaltung auf Individualbasis: Wir setzen kein individuelles Dynamic Pricing ein, bei dem der Preis eines Produkts aufgrund Ihres persönlichen Profils variiert. Mitgliederpreise und Aktionspreise gelten jeweils einheitlich für alle berechtigten Kunden.

11. Cookies und lokale Speicherung

(1) Technisch notwendige Cookies (ohne Einwilligung, § 25 Abs. 2 TTDSG): Wir verwenden Cookies und lokale Speicherung (localStorage), die für den Betrieb des Shops zwingend erforderlich sind:

• Session-Cookie – Authentifizierung (Login-Session), Laufzeit: Sitzung
• cart-token – Warenkorb-Verwaltung, Laufzeit: 30 Tage
• shop_consent – Speicherung Ihrer Cookie-Auswahl (Cookie), Laufzeit: 1 Jahr
• favorites – Merkliste (localStorage), dauerhaft
• CSRF-Token – Schutz vor Cross-Site-Request-Forgery, Laufzeit: Sitzung

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), § 25 Abs. 2 TTDSG (technisch erforderlich).

(2) Statistik- und Analyse-Cookies (mit Einwilligung): Mit Ihrer Einwilligung setzen wir folgende Analyse-Cookies ein:

• Google Analytics 4 (_ga, _ga_*) – Anonymisierte Nutzungsstatistiken (Seitenaufrufe, Verweildauer, Kaufabschlüsse). Anbieter: Google LLC, USA. Laufzeit: bis zu 2 Jahre. Details siehe Abschnitt 12.

(3) Marketing- und Affiliate-Cookies (mit Einwilligung): Mit Ihrer Einwilligung setzen wir bzw. unsere Affiliate-Partner folgende Cookies ein:

• Adcell (aff_adcell) – Affiliate-Klick-Erkennung und Conversion-Tracking. Anbieter: Firstlead GmbH (ein Unternehmen der AWIN-Gruppe), Deutschland. Laufzeit: 30 Tage.
• Awin (aff_awin) – Affiliate-Klick-Erkennung und Conversion-Tracking. Anbieter: AWIN AG, Berlin, Deutschland / Awin Ltd, London, UK. Laufzeit: 30 Tage.
• TradeTracker (aff_tradetracker) – Affiliate-Klick-Erkennung und Conversion-Tracking. Anbieter: TradeTracker International BV, Amsterdam, Niederlande. Laufzeit: 45 Tage.

Bei einem Kaufabschluss werden folgende Daten an das jeweilige Affiliate-Netzwerk übermittelt: Bestellnummer, Gesamtbetrag (brutto), Währung. Es werden keine personenbezogenen Daten wie Name, E-Mail oder Adresse an die Netzwerke übermittelt.

Rechtsgrundlage für (2) und (3): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG. Die Einwilligung ist freiwillig und kann jederzeit über den Cookie-Banner widerrufen werden.

12. Webanalyse (Google Analytics 4)

(1) Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland; Muttergesellschaft: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).

(2) Google Analytics 4 verwendet Cookies und ähnliche Technologien, um die Nutzung unserer Website zu analysieren. Folgende Daten werden erhoben: aufgerufene Seiten, Verweildauer, Geräte- und Browserinformationen, ungefährer Standort (Land/Region), Kaufabschlüsse (Bestellnummer, Warenwert). IP-Adressen werden von Google anonymisiert verarbeitet (IP-Anonymisierung ist in GA4 standardmäßig aktiviert).

(3) Die erhobenen Daten werden an Google-Server übermittelt, die sich auch in den USA befinden können. Google ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023).

(4) Google Analytics wird nur aktiviert, wenn Sie über unseren Cookie-Banner in die Kategorie „Statistik & Analyse“ eingewilligt haben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG.

Widerruf: Sie können Ihre Einwilligung jederzeit über unseren Cookie-Banner widerrufen. Bereits erhobene Daten bleiben hiervon unberührt.

Datenschutzhinweise von Google: policies.google.com/privacy. Informationen zum DPF: dataprivacyframework.gov.

12a. Affiliate-Netzwerke (Adcell, Awin, TradeTracker)

(1) Wir nehmen an Affiliate-Partnerprogrammen teil. Dabei werden Cookies auf Ihrem Endgerät gespeichert, wenn Sie über einen Affiliate-Link auf unsere Website gelangen. Bei einem anschließenden Kauf kann der vermittelnde Partner eine Provision erhalten.

(2) Adcell: Betrieben von der Firstlead GmbH (ein Unternehmen der AWIN-Gruppe), Stralauer Allee 2, 10245 Berlin, Deutschland. Cookie-Laufzeit: 30 Tage. Verarbeitete Daten: Klick-ID, Bestellnummer, Bestellwert. Datenschutz: adcell.de/agb#privacy

(3) Awin: Betrieben von der AWIN AG, Eichhornstraße 3, 10785 Berlin, Deutschland (ggf. Datenverarbeitung auch über Awin Ltd, London, UK). Cookie-Laufzeit: 30 Tage. Verarbeitete Daten: Klick-ID, Bestellnummer, Bestellwert. Datenschutz: awin.com/de/datenschutzerklarung

(4) TradeTracker: Betrieben von TradeTracker International BV, De Ruijterkade 6, 1013 AA Amsterdam, Niederlande. Cookie-Laufzeit: 45 Tage. Verarbeitete Daten: Klick-ID, Bestellnummer, Bestellwert. Datenschutz: tradetracker.com/privacy-policy

(5) Affiliate-Cookies und Conversion-Tracking werden nur aktiviert, wenn Sie über unseren Cookie-Banner in die Kategorie ��Marketing & Affiliate-Tracking“ eingewilligt haben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG.

Widerruf: Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen. Die Affiliate-Cookies werden dann nicht mehr gesetzt und Conversion-Scripts nicht mehr ausgeführt.

12b. Fehler- und Performance-Monitoring (Sentry)

(1) Wir setzen Sentry ein, einen Dienst der Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA, zur Erfassung technischer Fehler und Leistungsprobleme auf unserer Website.

(2) Bei einem Fehler in Ihrem Browser werden folgende Daten an Sentry übermittelt: IP-Adresse (nur zur Übertragung, wird nicht persistiert gespeichert), URL der aufgerufenen Seite, Browser- und Geräteinformationen (User-Agent), Fehler-Stacktrace, Zeitstempel, Release-Version. Personenbezogene Daten (E-Mail-Adressen, Telefonnummern in Fehlermeldungen) werden automatisiert entfernt, bevor die Daten übertragen werden.

(3) Browser-seitig wird Sentry nur aktiviert, wenn Sie über unseren Cookie-Banner in die Kategorie „Statistik & Analyse“ eingewilligt haben. Ohne Einwilligung werden vom Browser keine Daten an Sentry übermittelt.

(3b) Server-seitig erfasst Sentry kritische Fehler unseres Web-Servers (Server-Side-Rendering, API-Fehler) auch ohne Ihre Einwilligung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilitäts- und Sicherheits-Monitoring). Die so erfassten Daten enthalten keine eindeutige Endgeräte-Identifikation; sie umfassen einen anonymisierten Fehler-Kontext (URL, HTTP-Statuscode, Stacktrace) und sind nach 90 Tagen automatisch gelöscht. Personenbezogene Daten in Fehlermeldungen werden vor Übertragung automatisiert redacted.

(4) Die Daten werden in den USA verarbeitet. Sentry Inc. ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Ergänzend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG (Browser); Art. 6 Abs. 1 lit. f DSGVO (Server).

Speicherdauer: Sentry speichert Fehlerdaten für 90 Tage, danach werden sie automatisch gelöscht.

Widerruf: Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen. Bei Widerruf wird Sentry im Browser deaktiviert; bereits übermittelte Daten bleiben hiervon unberührt.

Datenschutzhinweise von Sentry: sentry.io/privacy. Informationen zum DPF: dataprivacyframework.gov.

12c. Customer-Relationship-Management (CRM-Backend)

Im Rahmen unserer internen Kundenbetreuung (Vertriebs-Pipeline, Anruf- und Terminbearbeitung) setzen wir technische Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein, die auf Kontaktdaten unserer Bestands- und Interessentenkunden zugreifen koennen. Die Verarbeitung erfolgt ausschliesslich zur Auftrags- und Geschaeftsabwicklung; eine Nutzung fuer Marketingzwecke ohne Einwilligung findet nicht statt.

(1) Sipgate GmbH (Computer-Telephony-Integration, CTI): Sipgate GmbH, Gladbacher Strasse 74, 40219 Duesseldorf, Deutschland. Verarbeitete Daten: Telefonnummer (Anrufer/Empfaenger), Anruf-ID, Anrufrichtung (eingehend/ausgehend/verpasst), Dauer, Zeitstempel, ggf. interne Mitarbeiter-Kennung. Ort der Verarbeitung: EU (Deutschland, Koeln). Drittlandtransfer: nein. Aufbewahrung: Anruf-Metadaten 90 Tage in Sipgate-System, danach in CRM-Aktivitaetslog nach handelsrechtlichen Fristen (bis zu 6 Jahre, § 257 HGB). Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter telefonischer Kundenbetreuung) bzw. Art. 6 Abs. 1 lit. b DSGVO bei bestehender Geschaeftsbeziehung.

(2) Google LLC (Google Calendar API): Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) sowie Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Verarbeitete Daten: Kalendertermine unserer Mitarbeiter mit Kundenbezug (Titel, Beschreibung, Teilnehmer-E-Mail-Adressen, Start-/Endzeit, Status, ggf. Ort). Der Zugriff erfolgt OAuth-basiert ausschliesslich lesend (Scope calendar.readonly). Ort der Verarbeitung: USA (Google LLC), Datenpipeline EU->US. Drittlandtransfer: ja, USA. Garantien: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Aufbewahrung: in CRM gespeicherte Termine 6 Jahre (§ 257 HGB), in Google-Calendar nach Google-Speicherrichtlinien. Auftragsverarbeitungsvertrag (Google Workspace DPA) gemaess Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Kalender-Koordination).

(3) Microsoft Corporation (Microsoft Graph / Outlook): Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) sowie Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA). Verarbeitete Daten: E-Mail-Inhalte (Header + Body) der CRM-zugeordneten Mitarbeiter-Postfaecher inkl. Empfaengeradressen, Anhang-Metadaten sowie Kalendertermine (vgl. Punkt 2). Zugriff via Microsoft Graph OAuth (Scope Mail.Read offline_access sowie Calendars.Read). Ort der Verarbeitung: USA (Microsoft Corp), bei aktivierter EU-Data-Boundary primaer EU. Drittlandtransfer: ja, USA. Garantien: EU-Standardvertragsklauseln sowie EU-U.S. Data Privacy Framework. Aufbewahrung: in CRM verknuepfte E-Mail-Konversationen bis zum Ende der Geschaeftsbeziehung zzgl. handelsrechtlicher Fristen. Auftragsverarbeitungsvertrag (Microsoft Online Services DPA) gemaess Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO.

(4) Apple Inc. (iCloud CalDAV): Apple Distribution International Limited (Hollyhill Industrial Estate, Hollyhill, Cork, T23 YK84, Irland) sowie Apple Inc. (One Apple Park Way, Cupertino, CA 95014, USA). Verarbeitete Daten: Kalendertermine der Mitarbeiter mit Kundenbezug (Titel, Teilnehmer, Zeitraum, ggf. Ort), optional pro Mitarbeiter aktivierbar. Zugriff via CalDAV-Protokoll mit App-spezifischem Passwort. Ort der Verarbeitung: USA (Apple Inc.), iCloud-Multi-Region-Infrastruktur. Drittlandtransfer: ja, USA. Garantien: EU-Standardvertragsklauseln sowie EU-U.S. Data Privacy Framework (Apple ist DPF-zertifiziert). Aufbewahrung: in CRM gespeicherte Termine 6 Jahre (§ 257 HGB). Auftragsverarbeitungsvertrag (Apple iCloud DPA) gemaess Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Sensible Daten gemaess Art. 9 DSGVO werden durch eine Backend-Filterliste vor Speicherung im CRM entfernt.

(5) Fastmail Pty Ltd (CalDAV): Fastmail Pty Ltd, Level 2, 114 William Street, Melbourne VIC 3000, Australien. Verarbeitete Daten: identisch zu Punkt 4. Ort der Verarbeitung: Australien (Sydney). Drittlandtransfer: ja, Drittland ohne Angemessenheitsbeschluss. Garantien: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) — Bestandsverbindungen werden zeitnah zugunsten von Apple iCloud oder selbst-gehosteter Nextcloud-CalDAV-Loesungen beendet, neue Verbindungen sind systemseitig blockiert. Aufbewahrung: identisch zu Punkt 4. Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO ist in Abschluss. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

(6) Cloudflare, Inc. (R2 Backup-Storage): Cloudflare Germany GmbH, Rosental 7, 80331 Muenchen, Deutschland sowie Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA). Zweck: verschluesselte, taeglich erzeugte Datenbank-Sicherungen des Tenant-Backends (inkl. Kunden-Stammdaten, Bestellungen, Rechnungen) zur Erfuellung der gesetzlichen Aufbewahrungspflichten (§§ 147 AO, 257 HGB) sowie zur Wiederherstellung im Stoerungsfall. Verarbeitete Daten: vollstaendiger Datenbank-Inhalt der Anwendung (verschluesselt at-rest, TLS in-transit). Ort der Verarbeitung: globales Anycast-Netzwerk der Cloudflare R2 (Region auto mit EU-Praeferenz), Kontroll-Ebene USA. Drittlandtransfer: ja, USA. Garantien: EU-Standardvertragsklauseln (Modul 2) sowie EU-U.S. Data Privacy Framework (Cloudflare ist DPF-zertifiziert). Aufbewahrung: rollierende Vorhaltung gemaess GoBD-Vorgaben (10 Jahre fuer steuerrelevante Sicherungen). Auftragsverarbeitungsvertrag (Cloudflare Customer DPA 2023) gemaess Art. 28 DSGVO besteht. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 147 AO, 257 HGB sowie Art. 6 Abs. 1 lit. f DSGVO (Betriebskontinuitaet und IT-Sicherheit).

Hinweis zur Betroffenheit: Eine Verarbeitung Ihrer personenbezogenen Daten durch die unter (1) bis (5) genannten Dienste findet nur statt, sofern Sie mit unserem Vertrieb in direkten Kontakt treten (z. B. Telefonat, Terminabsprache, E-Mail-Korrespondenz mit Vertriebsmitarbeitern). Die unter (6) genannte Sicherung Ihrer Bestell- und Rechnungsdaten erfolgt fuer alle Kunden, da sie zur Erfuellung der gesetzlichen Aufbewahrungspflicht zwingend erforderlich ist.

13. Weitergabe an Dritte und Werbepartner

(1) Ohne Einwilligung geben wir personenbezogene Daten ausschließlich an folgende Empfänger weiter:

• Zahlungsdienstleister (Stripe) -- zur Zahlungsabwicklung
• Versanddienstleister (DHL u. a.) -- zur Lieferung
• Dropshipping-Lieferanten -- zur Auftragsabwicklung
• Hosting-Dienstleister (Scholtopia UG) -- zum Betrieb der Website
• Steuerberater/Wirtschaftsprüfer -- zur Erfüllung steuerlicher Pflichten
• Behörden -- bei gesetzlicher Verpflichtung

(2) Mit Einwilligung (Marketing/Analyse): Sofern Sie über unseren Cookie-Banner eingewilligt haben, werden folgende Daten an Dritte übermittelt:

• Google LLC (Google Analytics 4) -- anonymisierte Nutzungsdaten, Kaufabschlüsse (siehe Abschnitt 12)
• Firstlead GmbH / Adcell -- Affiliate-Klick-ID, Bestellnummer, Bestellwert (siehe Abschnitt 12a)
• AWIN AG / Awin -- Affiliate-Klick-ID, Bestellnummer, Bestellwert (siehe Abschnitt 12a)
• TradeTracker International BV -- Affiliate-Klick-ID, Bestellnummer, Bestellwert (siehe Abschnitt 12a)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 25 Abs. 1 TTDSG.

(3) Kein Verkauf von Kundendaten: Wir verkaufen Ihre personenbezogenen Daten nicht. Detaillierte Erläuterung hierzu finden Sie in Abschnitt 18 dieser Datenschutzerklärung.

14. Drittlandtransfers

Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt nur, wenn:

• ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Art. 45 DSGVO),
• geeignete Garantien bestehen (z. B. EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO), oder
• eine Ausnahme gemäß Art. 49 DSGVO greift.

Stripe (USA): Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023).

Google LLC (USA): Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Google Analytics 4 wird nur mit Ihrer Einwilligung aktiviert (siehe Abschnitt 12).

Awin Ltd (UK): Für das Vereinigte Königreich liegt ein Angemessenheitsbeschluss der EU-Kommission vor (28.06.2021). Awin-Cookies werden nur mit Ihrer Einwilligung gesetzt (siehe Abschnitt 12a).

Adcell / TradeTracker (EU): Diese Anbieter haben ihren Sitz in Deutschland bzw. den Niederlanden (EU/EWR). Ein Drittlandtransfer findet nicht statt.

Google Calendar API, Microsoft Graph, Apple iCloud (USA): Diese Dienste werden ausschliesslich im Rahmen der internen CRM-Bearbeitung eingesetzt (siehe Abschnitt 12c). Die Anbieter sind unter dem EU-U.S. Data Privacy Framework zertifiziert; ergaenzend bestehen EU-Standardvertragsklauseln.

Fastmail (Australien): Australien verfuegt ueber keinen Angemessenheitsbeschluss der EU-Kommission. Der Transfer erfolgt auf Grundlage von EU-Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO. Bestandsverbindungen werden zeitnah zugunsten EU- bzw. DPF-zertifizierter Alternativen beendet, neue Verbindungen sind systemseitig blockiert (siehe Abschnitt 12c Punkt 5).

Cloudflare R2 Backup-Storage (USA): Verschluesselte Datenbank-Sicherungen werden ueber das globale Cloudflare-Netzwerk verarbeitet. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert; ergaenzend bestehen EU-Standardvertragsklauseln (siehe Abschnitt 12c Punkt 6).

15. Speicherdauer

Personenbezogene Daten werden gelöscht oder anonymisiert, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungsfristen entgegenstehen:

• Bestelldaten, Rechnungen: 10 Jahre (§ 147 Abs. 1 AO, § 257 Abs. 1 HGB)
• Aus Shopware übernommene Bestellungen + Rechnungen: 10 Jahre ab ursprünglichem Rechnungsdatum, GoBD-geschützt gegen Änderungen (Abschnitt 6a)
• Geschäftsbriefe: 6 Jahre (§ 257 Abs. 1 Nr. 2 HGB)
• Kundenkonto-Daten: Bis zur Löschung des Kontos durch den Kunden, danach unter Beachtung der gesetzlichen Aufbewahrungsfristen
• Newsletter-Daten: Bis zum Widerruf der Einwilligung
• Server-Logfiles: 14 Tage
• Bonuspunkte-Daten: Dauer der Mitgliedschaft plus gesetzliche Aufbewahrungsfristen
• Analyse-Cookies (Google Analytics): Bis zu 2 Jahre, Löschung bei Widerruf der Einwilligung
• Affiliate-Cookies: 30–45 Tage (je nach Netzwerk), Löschung bei Widerruf der Einwilligung

16. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Diese Funktion steht Ihnen auch als Datenexport in Ihrem Kundenkonto zur Verfügung.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung Ihrer Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen. Dies können Sie auch direkt in Ihrem Kundenkonto veranlassen (Kontolöschung). Soweit gesetzliche Aufbewahrungspflichten bestehen, werden die Daten gesperrt statt gelöscht und nach Ablauf der Frist endgültig gelöscht.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln (JSON-Export im Kundenkonto verfügbar).
• Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einlegen, soweit die Verarbeitung auf berechtigten Interessen beruht. Insbesondere können Sie der Nutzung Ihrer Daten für Direktwerbung jederzeit widersprechen.
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@pld24.de

17. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Telefon: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de
Website: www.lda.brandenburg.de

18. Hinweis zum Verkauf und zur Weitergabe von Daten

Wir verkaufen Ihre personenbezogenen Daten nicht.

Die DSGVO verbietet den Verkauf personenbezogener Daten nicht ausdrücklich, stellt jedoch hohe Anforderungen an die Rechtmäßigkeit einer solchen Praxis. Ein Datenverkauf wäre nur mit Ihrer ausdrücklichen, informierten und freiwilligen Einwilligung (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO) denkbar und selbst dann nur, wenn der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) und sämtliche Informationspflichten (Art. 13, 14 DSGVO) eingehalten werden.

Stattdessen setzen wir, sofern Sie einwilligen, auf datenschutzkonforme Werbepartnerschaften, bei denen Ihre Daten nicht verkauft, sondern lediglich in kontrolliertem Umfang und auf Grundlage Ihrer jederzeit widerruflichen Einwilligung an Partner übermittelt werden können (siehe Abschnitt 13).

19. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 Abs. 1 und 4 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Das in Abschnitt 10 beschriebene Profiling dient ausschließlich der Personalisierung von Produktempfehlungen und hat keine rechtliche oder ähnlich erhebliche Wirkung.

20. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• TLS/SSL-Verschlüsselung aller Datenübertragungen
• Passwort-Hashing mit scrypt (N=131072)
• CSRF-Schutz bei allen Formularen
• Rate-Limiting zum Schutz vor Brute-Force-Angriffen
• Server-Standort in Deutschland
• Regelmäßige Sicherheitsüberprüfungen

21. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Die jeweils aktuelle Fassung gilt für Ihren nächsten Besuch.

Stand: 25.05.2026 (Sprint 28 W7 / R4-A7-P1: neuer Abschnitt 12c — Auftragsverarbeiter im CRM-Backend [Sipgate, Google Calendar, Microsoft Graph, Apple iCloud, Fastmail, Cloudflare R2] sowie Ergänzung Abschnitt 14 um Drittlandtransfers USA/AU. Davor: 25.05.2026 R2-04-1 Korrektur Abschnitt 2: DSB-Pflicht ehrlich ausgewiesen — externer DSB in Bestellung gem. § 38 Abs. 1 Satz 2 BDSG; 27.04.2026 — Ergänzung Abschnitt 12b Sentry; Datenübernahme Shopware zum 20.04.2026 in Abschnitt 6a)