Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO

Lunexus Devotionalien-Compagnie — eine Marke der eMarkets Consulting GmbH
Pappelallee 78/79, 10437 Berlin, Deutschland

Telefon: +49 030 2239 9516 52
E-Mail (allgemein): hallo@emc.nexus
Website: www.lunexus.world (Brand-Auftritt) | www.emc.nexus (Unternehmensseite)
 

Vertreten durch den Geschäftsführer: Denis M. Klug
Registergericht: Amtsgericht Berlin-Charlottenburg | HRB 271843
USt-ID: DE 367331704

​

​

​

Datenschutzkontakt:
E-Mail (Datenschutzanfragen): datenschutz@emc.nexus
Postanschrift: eMarkets Consulting GmbH, Stichwort „Datenschutz“, Pappelallee 78/79, 10437 Berlin, Deutschland

​

​

Geltungsbereich dieser Erklärung:

Diese Datenschutzerklärung gilt für alle Online-Angebote und Verarbeitungsvorgänge im Zusammenhang mit der Marke Lunexus Devotionalien-Compagnie, insbesondere:

• die Domain lunexus.world (inkl. Unterseiten, One-Pager-Abschnitte, Lightbox/Pop-ups, Kontaktformulare, eingebundene Videos/Medien)

• verlinkte Marken-/Kampagnen-Seiten von Lunexus, die auf diese Erklärung Bezug nehmen

• Kommunikationswege, die über die Website initiiert werden (z. B. E-Mail-Kontakt, Formular-Uploads)

Nicht vom Geltungsbereich umfasst sind externe Plattformen/Dienste, auf die nur verlinkt wird, z. B.:

• Amazon (Amazon-Schaufenster, Amazon-Produktseiten); es gelten die dortigen Datenschutzerklärungen

• sonstige Drittanbieter-Websites, auf die wir verweisen

 

Für die europaweite Logistik/Versandabwicklung setzen wir u. a. Amazon Multi-Channel Fulfillment (MCF) ein. Die dafür erforderlichen Datenübermittlungen und Rechtsgrundlagen beschreiben wir weiter unten gesondert (Versand/Logistik, Auftragsverarbeiter, Drittlandübermittlungen).

​
 

​

Grundsätze & erste Rechtsgrundlagen (Art. 5, Art. 6 DSGVO):

Wir verarbeiten personenbezogene Daten nach den Grundsätzen der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.

Rechtsgrundlagen im Überblick (konkretisiert in den folgenden Abschnitten):

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung): z. B. Beantwortung von Anfragen, Produzenten-Onboarding, institutionelle Beschaffungen, Bestellungen/Retouren.

• Art. 6 Abs. 1 lit. c DSGVO (Rechtspflicht): z. B. steuer- und handelsrechtliche Aufbewahrungspflichten, Nachweispflichten (VerpackG/LUCID).

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): z. B. IT-Sicherheit, Missbrauchs-/Betrugsprävention, Sicherstellung der Funktionsfähigkeit/Performance der Website, grundlegende Reichweitenmessung ohne Personenbezug, effiziente Kundenkommunikation.

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): z. B. optionale Komfort-/Marketing-Cookies, eingebettete Dritt-Medien mit Tracking, Newsletter (falls vorhanden). Einwilligungen sind jederzeit mit Wirkung für die Zukunft widerruflich.

Datenherkunft: in der Regel direkt von Ihnen (Formulare, E-Mail); technisch erforderliche Daten durch die Nutzung unserer Website/Server/CDN.
 

Pflicht zur Bereitstellung: Nur dort, wo Daten für Vertrag/Anfrage zwingend erforderlich sind (Pflichtfelder), besteht eine Notwendigkeit. Ohne diese Angaben kann die Bearbeitung nicht erfolgen.



Kategorien personenbezogener Daten:

Wir verarbeiten – je nach Nutzung/Prozess – folgende Datenkategorien. Die konkrete Zuordnung zu Zweck, Rechtsgrundlage und Speicherdauer erfolgt im nächsten Block.

2.1 Stammdaten

• Identität/Anschrift: Vor- und Nachname, ggf. Titel, Institution/Firma, Abteilung/Funktion, postalische Adresse, Land.

• Rollenbezug: Produzent/ Werkstatt (B2B), Institution (Kirche, Kloster, Diözese, Kommune), Endkunde (B2C), Amazon-Kunde, Presse/sonstiges.

Typische Quellen/Anlässe: Kontakt-/Onboarding-Formulare, Angebots-/Bestellprozesse, E-Mail-Kommunikation.

2.2 Kontakt- und Kommunikationsdaten

• Kontaktmittel: E-Mail-Adresse, Telefonnummer (optional), bevorzugte Kontaktart, Kommunikationssprache.

• Kommunikationsinhalte: Betreff/Anliegen, Freitext, Antworthistorie, interne Vermerke zur Vorgangsbearbeitung.

Typische Quellen/Anlässe: Lightbox/Kontaktformular (inkl. 72-Stunden-Antwort), E-Mail, Telefonnotizen.

2.3 Vertrags-/Bestell-/Fulfillment-Daten

• Vorgangsdaten: Angebotsnummern, Bestell-/Auftragsnummern (inkl. Amazon-Bestellnummer bei Amazon-Kunden), Positionslisten, Mengen, Liefertermine, Retourenangaben.

• Logistikdaten: Liefer- und Rechnungsadresse, Versanddienstleister, Tracking-Infos, Zoll/Exportangaben sofern erforderlich.

• Leistungsdaten: Artikel/Sortimente (Devotionalien, Sakralwaren), Sonderanfertigungen (Spezifikationen, Gravur-/Wappenangaben), institutionelle Bedarfe.

Typische Quellen/Anlässe: B2B/B2G-Beschaffung, Großmengen, Sonderanfertigungen, B2C-Bestellungen, Amazon MCF-Abwicklung.

Hinweis Zahlungen: Sofern Zahlungen über Zahlungsdienstleister/Marktplätze erfolgen, verarbeiten diese eigenverantwortlich Zahlungsdaten (z. B. Karten/IBAN). Wir erhalten lediglich transaktionsbezogene Metadaten (z. B. Status, Betrag, Referenz).

2.4 Uploads & Anhänge

• Dateiinhalte: PDFs, Bilder (JPG/PNG), Spezifikationen, Listen, Screenshots (z. B. Amazon-Bestellbestätigung), ggf. Logodateien für Sonderanfertigungen.

• Metadaten: Dateiname, Dateigröße, Zeitpunkt.

Typische Quellen/Anlässe: Kontaktformular (optional), Angebotsprozesse, Sonderanfertigungen, Qualitätssicherung.

2.5 Technische Nutzungs-/Serverdaten

• Protokolle (Server/CDN): IP-Adresse (gekürzt, soweit technisch möglich), Datum/Uhrzeit, aufgerufene URL/Datei, Referrer-URL, HTTP-Status, übertragene Datenmenge.

• Endgerät/Browser: User-Agent (Browsertyp/-version, Betriebssystem), Spracheinstellungen, Bildschirmauflösung (sofern übermittelt).

• Sicherheitsereignisse: Fehlermeldungen/Crashlogs, Blocklisten-Treffer (z. B. Bot-/Spam-Abwehr).

Typische Quellen/Anlässe: Jede Nutzung der Website, Auslieferung von Medien/Videos über CDN/Hosting (Wix), IT-Sicherheitsmaßnahmen.

2.6 Cookie-/Tracking-/Einwilligungsdaten

• Technisch notwendige Cookies: Session-IDs, Load-Balancing-Informationen, Security-Tokens.

• Komfort/Statistik/Marketing (nur nach Einwilligung): anonyme/aggregierte Nutzungsparameter (z. B. Seitenaufrufe, Scrolltiefe, Sprache), Kampagnen-Parameter (UTM), Einwilligungsstatus/-historie.

• Consent-Protokolle: Zeitpunkt, Umfang der Einwilligung, Widerruf.

Typische Quellen/Anlässe: Cookie-Banner/Consent-Tool, eingebettete Drittmedien (nur nach Opt-in), Basis-Statistiken.

2.7 Support-/Qualitätssicherungsdaten

• Vorgangsverwaltung: Ticketnummern, Priorität, Zuständigkeiten, Bearbeitungszeitpunkte, Lösungsstatus, Zufriedenheitsabfragen (optional).

• Qualitätsfeedback: Rückmeldungen zu Produkten (z. B. Material, Verarbeitung), Retourengründe (kategorisiert).

Typische Quellen/Anlässe: 72-Stunden-Supportprozess, Reklamationsbearbeitung, Sortimentssteuerung (aggregiert).

2.8 Aggregations-/Analyse-/Planungsdaten (nicht personenbezogen)

• Aggregierte Nachfrageindikatoren: Produkt-/Kategorie-Trends nach Land/Zeitraum, Saisonalitäten.

• Sortimentssteuerung: Prognosen, Preiselastizität, A/B-Testergebnisse auf anonymisierter/aggregierter Ebene.

• Berichte für Produzenten/Institutionen: Zusammenfassungen ohne Personenbezug (z. B. „Rosenkranz X – Nachfrage +18 % in FR/IT“).

Wichtig: Keine automatisierte Einzelentscheidung (Art. 22 DSGVO) und keine personenbezogene Profilbildung.
 

2.9 Besondere Kategorien personenbezogener Daten

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO (z. B. Gesundheitsdaten, religiöse Überzeugungen als Personendaten).
Hinweis: Unsere Produkte haben christlichen Kontext, dennoch erheben wir keine Rückschlüsse auf persönliche Glaubensüberzeugungen von Einzelpersonen.

2.10 Daten von Dritten/Externe Plattformen

• Amazon-Kunden: Wenn Sie uns außerhalb von Amazon kontaktieren, können Sie freiwillig Ihre Amazon-Bestellnummer nennen – zur schnelleren Zuordnung. Die übrige Bestellabwicklung unterliegt den Datenschutzhinweisen von Amazon.

• Eingebettete Medien/Links: Bei Nutzung externer Plattformen (YouTube/Vimeo u. a.) gelten deren Datenschutzbestimmungen; Einbindung nur mit Einwilligung (sofern Tracking/Marketing).

2.11 Minderjährige

Unsere Angebote richten sich nicht an Kinder unter 16 Jahren. Daten Minderjähriger verarbeiten wir nicht wissentlich; etwaige Mitteilungen werden gelöscht, sofern keine gesetzliche Pflicht entgegensteht.



 

Zwecke der Verarbeitung & Rechtsgrundlagen (prozessbezogen)

Nachfolgend listen wir alle relevanten Verarbeitungsvorgänge mit Zweck, Rechtsgrundlage(n), Datenkategorien, Empfänger(n), Speicherdauer und Datenquelle auf. Die Kategorien entsprechen Block 2.

3.1 Kontakt-/Supportanfragen (Lightbox/Formular & E-Mail)

Zweck: Bearbeitung Ihrer Anfrage (inkl. Amazon-Kunden mit Bestellnummer), Rückmeldung i. d. R. innerhalb von 72 Stunden, Dokumentation der Kommunikation.
Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/Vertragserfüllung) bei produkt-/vertragsbezogenen Anliegen,

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bei allgemeinen Anfragen/Support (effiziente Kommunikation, Servicequalität).
  Datenkategorien: 2.1, 2.2, 2.4 (optional), bei Amazon-Kunden zusätzlich Bestellreferenz (2.3 Metadaten).
  Empfänger: intern Support/Vertrieb; ggf. IT/Hosting (Wix) als Auftragsverarbeiter; bei Amazon-spezifischen Klärungen: Amazon Support (eigenverantwortlich).
  Speicherdauer: bis Abschluss des Vorgangs; anschl. nach handels-/steuerrechtl. Fristen (typ. 6–10 Jahre) archiviert/löschkonzeptbasiert.
  Quelle: direkteingabe durch Sie.

3.2 Produzenten-/Werkstätten-Onboarding (B2B)

Zweck: Qualifizierung neuer Produzenten/ Werkstätten, Vertragsanbahnung, Sortiment/Qualitätscheck, Logistikplanung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Vertrag); Art. 6 Abs. 1 lit. f DSGVO (Partner-Management, Betrugsprävention).
Datenkategorien: 2.1, 2.2, 2.3 (Kapazitäten/Produktlisten), 2.4.
Empfänger: intern Einkauf/Qualität/Logistik; IT/Hosting (Wix) als AV; ggf. Prüfdienstleister (AV).
Speicherdauer: während Prüfung/Partnerschaft; handels-/steuerrechtliche Aufbewahrung bis zu 10 Jahre.
Quelle: direkteingabe; ergänzend öffentlich verfügbare Firmeninformationen.

3.3 Institutionen/Großmengen & Sonderanfertigungen (Kirchen, Klöster, Kommunen, Diözesen)

Zweck: Angebot, Planung, Produktion (Spezifikationen/Wappen/Gravuren), termingerechte Lieferung, Rechnungsstellung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (Nachweispflichten); Art. 6 Abs. 1 lit. f DSGVO (Projekt- und Qualitätssteuerung).
Datenkategorien: 2.1–2.4 (insb. Spezifikationen/Uploads), 2.3 Logistikdaten.
Empfänger: intern Vertrieb/Projekt/Logistik; fertigung/werkstätten als AV oder eigenständig (je nach Vertrag); Versanddienstleister (eigenverantwortliche Post-/KEP).
Speicherdauer: projektdauer + gesetzliche Aufbewahrung (6–10 Jahre).
Quelle: direkteingabe, projektkommunikation.

3.4 Shop-/Bestellabwicklung & Retouren (inkl. Amazon Multi-Channel Fulfillment, MCF)

Zweck: Annahme/Erfüllung von Bestellungen, Versand/Retouren, Kundenservice, Gewährleistung/Archivierung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO (Steuer/Handel); Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention/IT-Sicherheit).
Datenkategorien: 2.1–2.3 (Stamm-, Kontakt-, Vertrags-/Fulfillmentdaten), 2.5 (technische Sicherung), 2.7 (Support).
Empfänger:

• Amazon MCF (EU) für Lagerung/Kommissionierung/Versand (Auftragsverarbeiter oder eigenständige Stelle je Prozessabschnitt),

• Versand-/Zolldienstleister (eigenverantwortlich),

• ggf. Zahlungsdienstleister/Marktplätze (eigenverantwortlich – wir erhalten Transaktionsmetadaten).
  Speicherdauer: Vertrags-/Steuerfristen (regelmäßig 6–10 Jahre); Versanddaten nach Erfüllung/Fristen.
  Quelle: Sie (Bestellung), Marktplatz-/Shopdaten, Logistik-Rückmeldungen.

3.5 Gewährleistungs-/Reklamationsmanagement

Zweck: Prüfung von Mängeln, Austausch/Erstattung, rechtliche Abwicklung, Verbesserungsmaßnahmen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. f DSGVO (Qualitätssicherung, Rechtsdurchsetzung).
Datenkategorien: 2.1–2.3, 2.7; optional 2.4 (Bilder/Belege).
Empfänger: intern Qualität/Support; ggf. Produzent/Werkstatt (AV oder eigenständig); Versanddienstleister; Rechtsberatung (eigenverantwortlich).
Speicherdauer: bis Abschluss + gesetzliche Fristen.
Quelle: Ihre Angaben, interne Vorgangsdaten.

3.6 Website-Betrieb & IT-Sicherheit (Basis)

Zweck: Auslieferung/Instandhaltung der Website (Wix/CDN), Abwehr von Angriffen/Spam, Stabilität/Performance.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen: sicherer, performanter Betrieb); Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. IT-Sicherheitsvorgaben).
Datenkategorien: 2.5 (Server-/CDN-Logs), 2.6 (erforderliche Cookies), 2.7 (Fehlerlogs).
Empfänger: Wix.com (AV), ggf. Security-/CDN-Provider (AV).
Speicherdauer: Logs typ. 7–30 Tage, danach Löschung/Anonymisierung.
Quelle: technisch bedingt beim Seitenaufruf.

3.7 Cookies/Consent & eingebettete Drittmedien

Zweck: Einholen/Verwalten von Einwilligungen; komfort-/analysebezogene Funktionen nur nach Opt-in; wiedergabe eingebetteter Videos/Medien.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. f DSGVO (notwendige Cookies, Sicherheit/Betrieb).
Datenkategorien: 2.6 (Consent-Protokolle/Cookies), 2.5 (technische Parameter).
Empfänger: Consent-Tool/Hosting (AV); ggf. Medienplattform (z. B. YouTube/Vimeo) als eigenständiger Verantwortlicher bei aktiver Einbindung.
Speicherdauer: Cookie-/Consent-Laufzeiten; Widerruf jederzeit möglich.
Quelle: Ihr Eintrag im Banner; Medienaufrufe bei Opt-in.

3.8 Aggregierte Analysen & Sortimentssteuerung (ohne Personenbezug)

Zweck: Nachfrageprognosen, Sortiments-/Preissteuerung, Regions-/Saisontrends, A/B-Tests ohne personenbezogene Profilbildung.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: wirtschaftliche Steuerung); bei toolbasiertem Tracking ggf. Art. 6 Abs. 1 lit. a (Opt-in).
Datenkategorien: 2.8 (aggregiert/anonymisiert); keine Art. 22-Automatisierung.
Empfänger: intern Strategie/Einkauf/Marketing; ggf. Tool-Provider als AV.
Speicherdauer: je Report-/Planungszyklus; ausschließlich aggregierte Speicherung.
Quelle: interne Verkaufs-/Retourdaten; anonymisierte Web-/Marktplatzsignale.

3.9 Rechtliche Pflichten, Durchsetzung & Verteidigung

Zweck: Erfüllung gesetzlicher Anforderungen (HGB/UStG/VerpackG/LUCID), Auskunften an Behörden, Geltendmachung/Abwehr von Ansprüchen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO; Art. 6 Abs. 1 lit. f DSGVO (Rechtsdurchsetzung).
Datenkategorien: abhängig vom Fall (typ. 2.1–2.3, 2.5, 2.7).
Empfänger: Behörden/Steuerberatung/Rechtsbeistand (eigenverantwortlich); Aufbewahrung nach Gesetz.
Speicherdauer: gesetzliche Fristen (regelmäßig 6–10 Jahre; in Streitfällen bis zur endgültigen Klärung).
Quelle: interne Unterlagen; Behördenersuchen.

3.10 Kommunikation/Newsletter

Zweck: Zustellung angeforderter Informationen, Updates, ggf. Double-Opt-In-Nachweis.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Art. 6 Abs. 1 lit. f DSGVO (Bestandskundenhinweise im Rahmen des UWG, falls zulässig).
Datenkategorien: 2.2 (E-Mail), 2.6 (Opt-in/Opt-out-Protokoll).
Empfänger: E-Mail-/Newsletter-Dienst (AV).
Speicherdauer: bis Widerruf/Abmeldung; Protokolle bis 3 Jahre (Beweiszwecke).
Quelle: Ihre Anmeldung.

3.11 Karriere/Bewerbungen

Zweck: Bewerbungsprozess, Eignungsprüfung, Kommunikation.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG; Art. 6 Abs. 1 lit. f DSGVO (Dokumentation/Verteidigung).
Datenkategorien: Bewerbungsunterlagen (CV, Zeugnisse), Kontaktdaten.
Empfänger: intern HR/Management; ggf. HR-Dienstleister (AV).
Speicherdauer: i. d. R. 6 Monate nach Abschluss; mit Einwilligung länger (Talentpool).
Quelle: Ihre Bewerbung.

Hinweis zu internationalen Übermittlungen: Soweit in einzelnen Prozessen Auftragsverarbeiter mit Sitz außerhalb des EWR eingebunden sind (z. B. Wix-Infrastruktur/Clouds, Amazon-Cloud), stellen wir geeignete Garantien sicher (insb. EU-Standardvertragsklauseln (SCCs), ggf. Angemessenheitsbeschlüsse wie Israel; ergänzende technische/organisatorische Maßnahmen).



Website/Hosting & Sicherheit, Cookies/Consent, eingebettete Medien:

4.1 Hosting, Bereitstellung & Sicherheit (Wix/CDN)

Zweck: Technische Bereitstellung der Website, Auslieferung von Inhalten/Dateien/Videos, Schutz vor Angriffen/Spam, Stabilität & Performance.
Anbieter/Rolle: Wix.com Ltd., 235 Menachem Begin Rd., Tel Aviv 6701101, Israel (ggf. weitere operative Einheiten/Regionen nach Wix-Datenblatt). Rolle: Auftragsverarbeiter (Art. 28 DSGVO) für Hosting/CMS/CDN/Formulare.
Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, performantem Betrieb),

• Art. 6 Abs. 1 lit. b DSGVO (erforderlich zur Bereitstellung angefragter Inhalte/Funktionen),

• Art. 6 Abs. 1 lit. c DSGVO (IT-Sicherheits-/Nachweispflichten).

Verarbeitete Daten (typisch):

• Server-/CDN-Logs (gekürzt, soweit möglich): IP-Adresse, Datum/Uhrzeit, Request-Zeile/URL, Referrer-URL, HTTP-Status/Fehlercode, übertragene Datenmenge, User-Agent (Browser/OS), evtl. Rechenzentrums-Knoten.

• Sicherheits-/Missbrauchsindikatoren (z. B. Bot-Erkennung, Rate-Limit-Treffer, Firewall-Events).

Speicherdauern: i. d. R. 7–30 Tage (Security/Operations), anschließend Löschung oder Anonymisierung. Längere Speicherung nur bei sicherheitsrelevanten Vorfällen bis zur Klärung.

Schutzmaßnahmen: TLS-Verschlüsselung (HTTPS), DDoS-Schutz, Least-Privilege-Zugriffe, Monitoring, regelmäßige Updates/Patches, Datensparsamkeit.

Drittlandbezug: Wix nutzt globale Infrastrukturen. Sicherheiten: Angemessenheitsbeschluss Israel + EU-Standardvertragsklauseln (SCCs) für weitere Drittländer sowie zusätzliche technische/organisatorische Maßnahmen.

4.2 Technisch notwendige Cookies & lokale Speicherung

Zweck: Basisfunktionen (Session-Handling, Load-Balancing, Security-Tokens, Consent-Status, Sprache/Land), fehlerfreie Anzeige.
Beispiele: XSRF-TOKEN, Session-IDs, Routing/Load-Balance-Cookies, Consent-Status.
Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionsfähigkeit/Sicherheit),

• § 25 Abs. 2 Nr. 2 TTDSG (Deutschland) für speicher-/zugriffs­technische Vorgänge, die unbedingt erforderlich sind.
  Dauer: Sitzung bis wenige Monate (je nach Zweck/Lebensdauer); Details im Cookie-Banner.

4.3 Komfort-, Statistik- & Marketing-Cookies (nur nach Einwilligung)

Zweck: Nutzungsanalyse (z. B. anonyme Reichweite), Komfortfunktionen (z. B. Video-Player-Prefs), ggf. Marketing/Remarketing.
Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Cookie-Banner),

• § 25 Abs. 1 TTDSG (Speicherung/Auslesen nicht notwendiger Infos im Endgerät).
  Widerruf/Steuerung: Jederzeit im Cookie-Banner änderbar (Footer-Link „Cookie-Einstellungen“).
  Datenumfang: je nach Tool; vorzugsweise IP-Anonymisierung, Aggregation, kurze Aufbewahrungen.
  Hinweis: Ohne Einwilligung setzen wir keine optionalen Cookies/Tracker.

 

4.4 Consent-Management (Nachweis der Einwilligung)

Zweck: Einholung, Protokollierung und Verwaltung von Cookie-/Tracking-Einwilligungen; Erfüllung von Nachweispflichten (Art. 7 Abs. 1 DSGVO).
Daten: Consent-Status, Zeitstempel, Kategorien/Zwecke, ggf. anonymer Identifier, gewählte Sprache/Land.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO (Rechtspflicht Nachweisbarkeit) und lit. f (Compliance/Transparenz).
Speicherdauer: bis zu 2 Jahre oder bis Widerruf/Änderung; technisch bedingte Speicherung auf Ihrem Endgerät (Consent-Cookie).

​

4.5 Eingebettete Medien (Videos/Fonts/Maps)

Wir binden Medien datenschutzfreundlich ein:

 

4.5.1 Eigene Videos (Wix/CDN)

Zweck: Hero/Historie-Videos, Produkt-/Logistikclips.
Daten: wie bei 4.1 (Server/CDN-Abruf), keine plattformfremde Nachverfolgung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/UX), lit. b (angefragte Inhalte).

 

4.5.2 Externe Videoplattformen (z. B. YouTube/Vimeo) – nur bei Bedarf

Einbindung: Nur mit Opt-in (2-Klick-Lösung / „Klick zum Laden“). Erst nach Einwilligung wird die Verbindung zur Drittplattform hergestellt.
Daten an Drittanbieter: IP-Adresse, Gerät/Browser-Infos, URL/Referrer, evtl. Cookies/Local Storage der Plattform; bei eingeloggten Accounts ggf. Zuordnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) + § 25 Abs. 1 TTDSG.
Widerruf: jederzeit über Cookie-Einstellungen.

 

4.5.3 Webfonts/Karten (nur wenn verwendet)

• Webfonts: lokales Hosting bevorzugt; externe Fonts (CDN) nur mit berechtigtem Interesse (Performance/CI) oder Einwilligung.

• Karten (z. B. Google Maps): ausschließlich nach Opt-in; bis dahin statisches Fallback-Bild/Link.

 

4.6 Maßnahmen gegen Missbrauch/Spam (Formularschutz)

Zweck: Schutz vor automatisierten Angriffen, Spam-Bots, Formularmissbrauch.
Mittel: serverseitige Validierungen, Rate-Limiting, ggf. Bot-Signale (Wix-seitig).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Schutz unseres Dienstes und unserer Nutzer).
Daten: IP-Adresse (ggf. gekürzt), User-Agent, Zeitstempel, technische Prüfkriterien; Löschkonzept entsprechend 4.1.

 

4.7 Protokollierung von Fehlern/Incidents

Zweck: Fehlersuche (Crash/Fehlerlogs), Nachvollzug von Ausfällen/Sicherheitsereignissen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Betrieb/IT-Sicherheit); Art. 6 Abs. 1 lit. c DSGVO (Nachweispflichten).
Daten: Fehlermeldungen, Zeitstempel, URL, ggf. pseudonymisierte Kennungen; minimal erforderliche IP-/Header-Daten.
Speicherdauer: i. d. R. 7–30 Tage; bei Incidents bis zur Aufklärung.

 

4.8 Ihre Wahlmöglichkeiten

• Cookie-Banner: Einwilligungen erteilen/ablehnen/ändern (Footer-Link „Cookies verwalten“).

• Browser-Einstellungen: Cookies/Tracking blockieren; evtl. Funktionseinschränkungen.

• Externe Medien: Nur nach Klick/Einwilligung laden; danach ggfs. im Banner widerrufen.

​

​

Empfänger, Auftragsverarbeiter, internationale Datentransfers:

Wir setzen ausgewählte Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein oder greifen auf eigenständig Verantwortliche zurück (z. B. Marktplätze). Soweit Daten in Drittländer übermittelt werden, stellen wir geeignete Garantien sicher (insb. EU-Standardvertragsklauseln – SCCs, Angemessenheitsbeschlüsse wie Israel/EU-US Data Privacy Framework, ergänzende TOMs).

Hinweis: Abhängig vom Einzelfall kann die Rolle eines Dienstes variieren (z. B. Amazon als Fulfillment-Dienstleister vs. eigener Verantwortlicher auf Marktplatzebene). Wir dokumentieren die jeweilige Zuordnung pro Prozess (vgl. Block 3).

5.1 Kern-Auftragsverarbeiter / Infrastruktur

Wix.com Ltd.

• Adresse: 235 Menachem Begin Rd., Tel Aviv 6701101, Israel

• Rolle/Zweck: Website-Hosting, CMS, CDN, Formularbereitstellung, Medienauslieferung

• Rechtsrahmen: AV-Vertrag (Art. 28); Angemessenheitsbeschluss Israel; ergänzend SCCs für Sub-Prozessoren außerhalb EWR

• Datenkategorien: 2.5 (Server/CDN-Logs), 2.6 (Consent-Daten, notwendige Cookies), 2.2 (Formularinhalte)

• Speicherdauer: Logs i. d. R. 7–30 Tage; Formulardaten gemäß Vorgang/Archiv

Google Workspace (Google Ireland Limited)

• Adresse: Gordon House, Barrow Street, Dublin 4, Irland

• Rolle/Zweck: E-Mail, Kalender, Dateiablage/Collab (Support-Kommunikation, interne Organisation)

• Rechtsrahmen: AV-Vertrag (Google Data Processing Terms); EWR-Verarbeitung; internationale Transfers über SCCs / EU-US DPF (für Google LLC)

• Datenkategorien: 2.2, 2.4, 2.7 (Kommunikation/Anhänge/Support)

• Speicherdauer: mailbox-/drive-seitig nach internen Aufbewahrungsfristen

​

5.2 Fulfillment, Logistik & Marktplatz

Amazon Services Europe S.à r.l. (und verbundene EU-Logistikgesellschaften)

• Adresse (SEU SARL): 38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxemburg

• Rolle/Zweck: Amazon Multi-Channel Fulfillment (MCF) – Lagerung, Kommissionierung, Versand, Retourenlogistik (i. d. R. AV-ähnliche Rolle je nach Prozess); Amazon-Schaufenster/Marktplatz – eigene Verantwortlichkeit für Plattformverarbeitung

• Rechtsrahmen: EU-Verarbeitung; Sub-Prozessoren in EU/EWR; bei internationalen Transfers SCCs/DPF nach Amazon-Standard

• Datenkategorien: 2.1–2.3 (Vertrags-/Versanddaten), 2.7 (Retouren/Service), 2.5 (technische Protokolle)

• Speicherdauer: gemäß Vertrags-/Rechtsfristen; Versand/Tracking nach Zweckwegfall

Versand-/Zolldienstleister (EU)

• Rolle/Zweck: Zustellung, Zollabwicklung (eigene Verantwortliche)

• Rechtsrahmen: Post-/KEP-Diensterecht, Datenschutz in eigener Verantwortung

• Datenkategorien: 2.1–2.3 (Adress-/Versanddaten)

• Speicherdauer: nach gesetzlichen/unternehmensinternen Fristen der Dienstleister

Amazon PartnerNet (Affiliate/Partnerprogramm)

• Adresse: Amazon EU S.à r.l., 38 Avenue John F. Kennedy, L-1855 Luxembourg

• Rolle/Zweck: Affiliate-Attribution/Reporting (eigene Verantwortlichkeit von Amazon)

• Rechtsrahmen: Amazons Datenschutzhinweise; Cookies/Attributionsdaten nur nach Einwilligung (Art. 6 (1) a; § 25 TTDSG)

• Datenkategorien: pseudonyme Attributions-/Klickdaten; keine Zahlungsdaten bei uns

• Speicherdauer: nach Amazon-Policy

5.3 Kommunikation & Social

WhatsApp Ireland Limited (WhatsApp Business)

• Adresse: 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland

• Rolle/Zweck: Kundenkommunikation (Support/Projektabstimmung), sparsam verwendet

• Rechtsrahmen: eigenständiger Verantwortlicher; internationale Transfers über SCCs/DPF der Meta-Gruppe

• Datenkategorien: 2.2 (Kontakt), 2.7 (Supportverlauf), Metadaten (zeitpunkt, Nummern)

• Hinweis: Wir verarbeiten keine sensiblen Inhalte über WhatsApp; nutzen Business-Funktionen und verweisen bei personenbezogener Klärung auf E-Mail/Formular

Meta Platforms Ireland Limited (Facebook/Instagram)

• Adresse: 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland

• Rolle/Zweck: Social-Präsenzen, ggf. Einbettungen/Links, Community-Kommunikation

• Rechtsrahmen: eigenständiger Verantwortlicher (Page Controller Addendum bei Fanpages); internationale Transfers über EU-US DPF/SCCs

• Datenkategorien: Interaktionen/Kommentare/Nachrichten (sofern über Meta), Reichweitenstatistiken (aggregiert)

• Hinweis: Tracking/Pixel/Embeds auf unserer Website nur nach Einwilligung (Art. 6 (1) a; § 25 TTDSG)

5.4 Weitere Empfänger-Kategorien (situationsabhängig)

E-Mail-/Newsletter-Dienst

• Rolle/Zweck: Versand von transaktionalen/opt-in-basierten Nachrichten

• Rechtsrahmen: AV (Art. 28); internationale Transfers via SCCs/DPF (sofern außerhalb EWR)

• Daten: 2.2, 2.6 (Double-Opt-In Protokoll)

Steuerberatung/Finanzbehörden

• Rolle/Zweck: Erfüllung gesetzlicher Pflichten (eigene Verantwortliche)

• Rechtsrahmen: Art. 6 (1) c DSGVO

• Daten: 2.1–2.3 (Handel/Steuer), Aufbewahrungen gem. Gesetz

Rechtsbeistand/Schlichtung

• Rolle/Zweck: Geltendmachung/Verteidigung von Ansprüchen (eigene Verantwortliche)

• Rechtsrahmen: Art. 6 (1) f (berechtigtes Interesse), ggf. Art. 6 (1) c

• Daten: fallabhängig

5.5 Internationale Datentransfers (Art. 44 ff. DSGVO)

Soweit Dienste außerhalb des EWR eingebunden sind oder auf global verteilte Infrastrukturen zugreifen, stellen wir angemessene Garantien sicher:

• Angemessenheitsbeschlüsse (z. B. Israel für Wix; EU-US Data Privacy Framework für partizipierende US-Anbieter wie Google/Meta)

• EU-Standardvertragsklauseln (SCCs) inkl. Transfer Impact Assessments

• Zusätzliche TOMs: Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, Need-to-Know

Wir minimieren Datensätze vor Übertragung (Datenminimierung) und nutzen lokale Verarbeitung im EWR, wo möglich.

5.6 Transparenz zu Rollen

• Auftragsverarbeiter (AV): z. B. Wix (Hosting/Formular), Google Workspace (Mail/Drive), Manjari One (ERP) – jeweils mit AV-Vertrag (Art. 28), Sub-Prozessor-Kontrolle und TOMs.

• Eigene Verantwortliche / gemeinsame Verantwortliche: z. B. Amazon (Marktplatz/PartnerNet), Versanddienstleister, Meta (Fanpages), WhatsApp – Verarbeitung primär in eigener Verantwortung dieser Anbieter; unsere Website setzt deren Technologien nur mit Einwilligung ein, soweit erforderlich.

​

​

​

Speicherdauern & Löschkonzept, TOMs, Betroffenenrechte-Verfahren:

6.1 Speicherdauern & Löschkonzept (übersichtlich nach Datenkategorien/Zwecken)

Kontakt-/Supportanfragen (inkl. Amazon-Kundenhinweise)

• Inhalt: 2.1, 2.2, ggf. 2.4, Metadaten

• Dauer: Vorgangslaufzeit; danach lösch-/archiv-konform nach HGB/UStG (i. d. R. 6 Jahre für Geschäftsbriefe, 10 Jahre für buchungsrelevante Unterlagen)

• Löschroutine: quartalsweise Prüfung, Abschlussfälle → Archiv/ Löschung; Incident-bezogene Sperrfristen werden beachtet

B2B-Onboarding Produzenten/Werkstätten & Institutionen-Projekte

• Inhalt: 2.1–2.4, Projekt-/Angebotsdaten

• Dauer: Laufzeit der (Vor-)Geschäftsbeziehung + gesetzliche Aufbewahrung (6–10 Jahre)

• Löschroutine: inaktive Partner nach 24 Monaten ohne Vorgänge → Review; reine Interessenten ohne Vertrag → Löschung nach 12 Monaten, sofern keine berechtigten Interessen entgegenstehen

Bestellungen/Verträge & Fulfillment (inkl. Amazon MCF)

• Inhalt: 2.1–2.3, 2.7; Versand-/Retourendaten

• Dauer: 10 Jahre (steuer-/handelsrechtlich), Versand-/Trackingdaten kürzer, sofern nicht mehr erforderlich

• Löschroutine: Jahresarchivierung, Periodenabschluss; Prüfroutinen bei Retouren/Gewährleistung

Uploads/Anhänge (Spezifikationen, Logos, Screenshots)

• Inhalt: 2.4

• Dauer: bis Zweckerreichung/Projektabschluss; sofern Vertrags-/Nachweispflicht: bis zu 10 Jahre

• Löschroutine: projektbezogene Löschfristen; automatische Medien-Review halbjährlich

Server-/CDN-Logs, Security-/Fehlerprotokolle

• Inhalt: 2.5, 2.7 (minimal erforderlich)

• Dauer: 7–30 Tage, bei Incidents bis zur abschließenden Klärung

• Löschroutine: rollierend, automatisiert

Consent-/Cookie-Daten

• Inhalt: 2.6 (Consent-Status, Zeitstempel)

• Dauer: bis 2 Jahre oder Widerruf

• Löschroutine: automatisiert über Consent-Tool

Aggregierte/Anonymisierte Analysen (Sortimentssteuerung)

• Inhalt: 2.8 (ohne Personenbezug)

• Dauer: nach internen Planungszyklen (z. B. 24 Monate)

• Löschroutine: überschreiben/verdichten; kein Bezug auf Einzelnutzer

Grundsatz: Wo keine gesetzlichen Pflichten entgegenstehen, löschen oder anonymisieren wir frühestmöglich. Statt Löschung kann eine Sperrung erfolgen, wenn rechtliche Gründe (z. B. Beweiszwecke) zeitweise entgegenstehen.

6.2 Technische und organisatorische Maßnahmen (TOMs) – Auszug gem. Art. 32 DSGVO

Zugriff & Rollen

• Rollen-/Rechtekonzept („Need-to-know“), 2-Faktor-Authentisierung wo verfügbar (z. B. Google Workspace, Amazon)

• Protokollierung administrativer Zugriffe, regelmäßige Review von Berechtigungen (quartalsweise)

Vertraulichkeit & Integrität

• TLS-Verschlüsselung (HTTPS), At-rest-Verschlüsselung bei Cloud-Providern

• Separierung von Produktiv-/Testumgebungen; keine Produktionspersonen­daten in Tests

• DLP-Grundsätze (kein Teilen sensibler Daten über unsichere Kanäle; WhatsApp nur für Kurzkommunikation ohne sensible Inhalte)

Verfügbarkeit & Belastbarkeit

• Provider-Redundanz (Wix/CDN, Amazon MCF), Monitoring/Alerting, Backup-Strategien gemäß Provider-Standards

• Notfallprozesse: Wiederanlauf bei Hosting-/Logistikausfall über Provider-SLAs

Datensparsamkeit & Pseudonymisierung

• Übermittlung an Dritte nur zwecknotwendig (Adress-/Versanddaten; keine unnötigen Zusatzdaten)

• Pseudonymisierung/Anonymisierung für Analysen/Reports

Lieferkette & Verträge

• Auftragsverarbeitungsverträge (Art. 28) mit Kern-Dienstleistern (Wix, Google Workspace, Manjari One)

• Transfer-Garantien für Drittländer: SCCs/DPF, plus technische Zusatzmaßnahmen

Bewusstsein & Organisation

• Mitarbeiterschulungen (Datenschutz/IT-Sicherheit, Phishing)

• Vertraulichkeitsverpflichtung, klare Richtlinien zur Kommunikationswahl (E-Mail/Formular bevorzugt)

6.3 Verfahren zur Wahrnehmung von Betroffenenrechten (Art. 12–22 DSGVO)

Rechte im Überblick: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch (Art. 21), Widerruf von Einwilligungen, Beschwerde bei der Aufsichtsbehörde.

Kontakt für Anträge:
E-Mail: datenschutz@emc.nexus oder postalisch an eMarkets Consulting GmbH, Stichwort „Datenschutz“, Pappelallee 78/79, 10437 Berlin.

Ablauf & Fristen:

1. Eingangsbestätigung innerhalb von 7 Kalendertagen

2. Identitätsprüfung (angemessene Mittel; z. B. Rückfrage über bekannte Kontaktadresse, Projekt-/Bestellreferenz)

3. Bearbeitung innerhalb von 1 Monat (Art. 12 Abs. 3 DSGVO); bei komplexen Fällen Verlängerung um bis zu 2 Monate – mit Begründung

4. Ergebnisbereitstellung in strukturierter, gängiger Form; bei Datenübertragbarkeit (Art. 20) als CSV/PDF, soweit technisch machbar

5. Dokumentation des Vorgangs (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO)

Grenzen der Rechte:

• Gesetzliche Aufbewahrungspflichten (HGB/UStG) können einer Löschung entgegenstehen → Sperrung statt Löschung

• Rechte Dritter (z. B. Geschäftsgeheimnisse, personenbezogene Daten anderer Personen) werden geschützt

• Offenkundig unbegründete oder exzessive Anträge können abgelehnt oder kostenpflichtig bearbeitet werden (Art. 12 Abs. 5 DSGVO)

6.4 Verfahren bei Sicherheitsvorfällen / Data Breach (Art. 33/34 DSGVO)

Erkennung & Bewertung:

• Monitoring von Hosting/CDN/SaaS, Security-Alerts, Incident-Tickets

• Ersteinschätzung, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt (Vertraulichkeit, Integrität, Verfügbarkeit)

Meldepflichten:

• Bei Risiko für Rechte/Freiheiten: Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33)

• Bei hohem Risiko: Benachrichtigung der Betroffenen (Art. 34) mit Beschreibung der Art des Vorfalls, wahrscheinlichen Folgen und ergriffenen Maßnahmen

Nachsorge & Prävention:

• Forensik/Root-Cause-Analyse, Schließung der Lücke, Lessons Learned, Anpassung der TOMs

• Dokumentation im Datenschutz-Incident-Register

 

6.5 Nachweis- & Dokumentationspflichten

• Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO

• AV-Verträge und SCC/DPF-Dokumente verfügbar

• Consent-Protokolle (Art. 7 Abs. 1)

• Schulungsnachweise & Zugriffsreviews

• Incident-Dokumentation (Art. 33/34)