Bestellungen über INNOBE
Auf unserer Website ist ein sogenanntes "Widget" zur Durchführung von Bestellungen über die INNOBE Shopping Engine eingebunden. Anbieter des Dienstes ist die DEHA Consumer Electronics GmbH & Co. KG, Weilimdorfer Str. 74/2, 70839 Gerlingen ("DEHA CE").
Ausführliche Informationen zu einem bestimmten Produkt können Sie aufrufen, indem Sie in dem Widget auf den Link "Details" klicken. Dadurch öffnet sich ein neues Browser-Fenster mit der entsprechenden Produktinformationsseite in der INNOBE Shopping Engine (https://www.innobe.de/...). Verantwortlich für die Datenverarbeitung zur Bereitstellung der Produktinformationsseite ist DEHA CE.
Wenn Sie bei uns über das Widget ein bestimmtes Produkt kaufen möchten und auf den Link "Kaufen" klicken, werden Sie in unseren Bestellablauf in der INNOBE Shopping Engine weitergeleitet. Ungeachtet der Weiterleitung auf https://www.shopping-engine.de, sind wir verantwortlich für die Bereitstellung des Warenkorbs sowie die Durchführung des Bestellablaufs.
Im Rahmen des Bestellablaufs werden die als "Pflichtangaben" gekennzeichneten Daten erhoben. Mit den "Pflichtangaben" erheben wir die Daten, die zur Abwicklung der Bestellung erforderlich sind (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Natürlich können Sie uns, wenn Sie möchten, weitere Daten bereitstellen (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Um die Warenkorbfunktion und die Durchführung des Bestellablaufs technisch zu ermöglichen, ist es unbedingt erforderlich, dass diese Cookies auf Ihrem Endgerät gespeichert werden (§ 25 Abs. 2 Nr. 2 TTDSG):
- XSRF-TOKEN: (Funktionsbeschreibung: Token zur Sicherheit im Formularablauf des Checkouts); die Speicherdauer beträgt eine Stunde, DEHA CE erhält in unserem Auftrag Zugriff auf verarbeitete Daten.
- shopping_engine_session: (Funktionsbeschreibung: Speicherung des Warenkorbs für den Checkout); das Cookie wird nach Ablauf der Sitzung gelöscht; DEHA CE erhält in unserem Auftrag Zugriff auf verarbeitete Daten.
Das Hosting der INNOBE Shopping Engine (Widget auf unserer Website sowie Warenkorb und Bestellablauf auf https://www.shopping-engine.de/...) sowie Ihrer Bestelldaten erfolgt in unserem Auftrag durch den weisungsgebundenen Auftragsverarbeiter DEHA CE.
Weitere Informationen zur Datenverarbeitung durch DEHA CE erhalten Sie unter https://www.innobe.de/datenschutz.
Zahlungsabwicklung über Stripe, Datenübermittlung in die USA
Die Bezahlung einer Bestellung über die INNOBE Shopping Engine kann über den Dienst Stripe abgewickelt werden. Anbieter des Dienstes ist die Stripe, Inc., 354 Oyster Point Blvd South, San Francisco, CA 94080, USA ("Stripe"). Die Datenverarbeitung durch den Dienst erfolgt nur, nachdem Sie hierzu eingewilligt haben (Art. 6 Abs. 1 S. 1 lit. a DSGVO).
Falls Sie über den Dienst eine Zahlung tätigen, werden alle Transaktionsdaten (z. B. Zahlungsmittel, Zahlbetrag, Datum und Uhrzeit) gegenüber Stripe offengelegt. Zudem werden gegenüber Stripe zur Erstellung Ihrer Rechnung der angegebene Name sowie die angegebene Rechnungsadresse offengelegt.
In unserem Auftrag verarbeitet Stripe die erhobenen Daten, um Zahlungsvorgänge sicher zu gestalten, uns vor möglichen Betrugsfällen zu schützen und Ihnen Ihre Rechnung zur Verfügung zu stellen.
Wenn Sie in die Datenverarbeitung durch Stripe einwilligen, kann nicht ausgeschlossen werden, dass die zu Ihrer Person verarbeiteten Daten in den USA gespeichert werden und US-Behörden uneingeschränkten Zugriff auf diese Daten nehmen. Hiergegen steht Ihnen auch kein Rechtsweg offen.
Zur Absicherung der Übermittlung personenbezogener Daten in die USA haben wir Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO ("SCC") mit Stripe vereinbart. Eine Drittlandübermittlung auf Grundlage von SCC sollte allerdings nur erfolgen, sofern die Vereinbarungen von Anbietern im Drittland auch tatsächlich eingehalten werden können. Dies würde insbesondere voraussetzen, dass ein uneingeschränkter Zugriff von US-Behörden auf die Daten ausgeschlossen werden kann, was nach aktuellem Kenntnisstand nicht der Fall ist. Stripe gibt allerdings an, die Vereinbarungen einzuhalten und alles für die Absicherung der Drittlandübermittlung zu tun.
Obwohl wir mit Stripe die SCC abgeschlossen haben, wird Stripe dennoch nur mit Ihrer vorherigen ausdrücklichen Einwilligung eingebunden. Zudem wird wegen der Risiken einer Datenübermittlung an Stripe ausdrücklich auf Folgendes hingewiesen:
Aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA sind die staatlichen Überwachungsmaßnahmen der USA unverhältnismäßig und es besteht aus Sicht der EU für personenbezogene Daten kein angemessenes staatliches Datenschutzniveau. Insbesondere sieht Sec. 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vor. Die Presidential Policy Directive 28 (PPD-28) gibt den Betroffenen darüber hinaus keine wirksamen Rechtsbehelfe gegen Maßnahmen der US-Behörden und sieht keine Schranken für die Sicherstellung verhältnismäßiger Maßnahmen vor. Zudem können US-Behörden auf Grundlage des US-amerikanischen Cloud Act von einem US-Unternehmen die Herausgabe sämtlicher gespeicherter Daten verlangen, selbst wenn sich diese Daten auf Servern innerhalb der EU befinden.
Weitere Informationen zur Datenverarbeitung durch Stripe erhalten Sie unter: https://stripe.com/de/privacy.