Datenschutzerklärung

Datenschutzerklärung für den Hurtta.com Webshop (Verbraucher)

Zuletzt aktualisiert: 31.05.2022

Der Schutz Ihrer Privatsphäre ist Best Friend Group Oy („Unternehmen“) sehr wichtig. Diese Erklärung legt die Grundlage dar, auf der personenbezogene Daten von Website-Besuchern und Benutzern („betroffene Personen“) im Zusammenhang mit der Website und dem Webshop des Unternehmens („Website“) erhoben und verarbeitet werden. Personenbezogene Daten sind alle Informationen, anhand derer eine einzelne Person identifiziert werden kann.

Dieses Dokument bezieht sich auf die Verarbeitung personenbezogener Daten von Verbrauchern, die die Website besuchen.

1. Datenverantwortlicher und Verarbeiter

Der Datenverantwortliche für die auf der Website erhobenen und verarbeiteten personenbezogenen Daten ist Best Friend Group Oy (Geschäfts-ID 1073893-0). Verantwortlicher für die Verarbeitung personenbezogener Daten ist Janne Iivanainen. Fragen oder Wünsche zum Thema Datenschutz können Sie an gdpr@nordicpetcare.com richten.

Als Auftragsverarbeiter im Zusammenhang mit der Website treten folgende Dritte auf Grundlage schriftlicher Auftragsdatenverarbeitungsvereinbarungen auf:

• Software-as-a-Service-Plattformanbieter Amazon Web Services
• Webshop-Plattformanbieter Shopify Inc. sowie seine Unterauftragsverarbeiter
  
• Wartungs- und Entwicklungspartner Iona & Co Oy
• Systemintegrationsanbieter Solteq Oyj
• Analysedienstleister Hotjar Ltd
• Newsletter-Dienstleister Rocket Science Group LLC (Mailchimp)
• Logistikdienstleister nShift Group AS sowie seine Unterauftragsverarbeiter
• Andere Unternehmen der Unternehmensgruppe Nordic Pet Care Group A/S, die Zugriff auf die auf der Website verarbeiteten personenbezogenen Daten haben, um Verkaufsvorgänge abzuwickeln und Kundenbetreuung in ihren eigenen Bereichen bereitzustellen

Darüber hinaus verwendet das Unternehmen verschiedene Zahlungsanbieter (PayPal, Paytrail, Mollie, Klarna), um Waren auf der Website zu kaufen. Diese Zahlungsanbieter informieren über ihre eigenen Datenverarbeitungspraktiken in Datenschutzhinweisen auf ihren eigenen Websites. 

2. Kategorien personenbezogener Daten und die Grundlage für die Verarbeitung dieser Daten

Personenbezogene Daten werden auf der Website gemäß der EU-Datenschutz-Grundverordnung („DSGVO“) sowie den geltenden nationalen Datenschutzgesetzen verarbeitet. Personenbezogene Daten werden nur für die unten genannten Zwecke verarbeitet, und es gibt immer eine Rechtsgrundlage für die Verarbeitung, basierend auf den anwendbaren Rechtsvorschriften. Für die Nutzung des Webshops auf der Website ist die Angabe personenbezogener Daten erforderlich.

Das Unternehmen erhebt und verarbeitet die folgenden Kategorien personenbezogener Daten:

 

Erfüllung des Vertrages (GDPR Article 6(1)(b))

 

Individuelle Shopify-Kundenidentitätsnummer jeder betroffenen Person

Kategorie personenbezogener Daten	Verarbeitungszweck	Rechtliche Grundlage	Löschung von personenbezogenen Daten
Name, E-Mail-Adresse bei der Registrierung	Registrierung für die Website (nicht erforderlich, hilft aber beim Einkaufen)	Erfüllung des Vertrages (GDPR Article 6(1)(b))	Innerhalb von 3 Monaten, nachdem das Konto inaktiv wurde
	Bereitstellung von Newslettern für registrierte Benutzer	Berechtigte Interessen des Unternehmens (GDPR Article 6(1)(f))
Name, E-Mail-Adresse bei der Bestellung eines Produkts	Wareneinkauf – Mitteilungen zu Bestellungen	Erfüllung des Vertrages (GDPR Article 6(1)(b))	Innerhalb von 3 Monaten, nachdem die betroffene Person kein aktiver Kunde mehr ist
Notizen von Mitarbeitern des Unternehmens zu Bestellungen, einschließlich möglicher personenbezogener Daten	Dokumentieren von Informationen bezüglich des Kaufs oder der Rückgabe von Waren	Erfüllung des Vertrages (GDPR Article 6(1)(b))
Name, E-Mail-Adresse, Telefonnummer, Postanschrift	Bestellungen ausführen oder Rücksendungen bearbeiten
Identifizieren der Käufe einzelner betroffener Personen, um Bestellungen und Rücksendungen abzuwickeln	Erfüllung des Vertrages (GDPR Article 6(1)(b))
Vom Hotjar-Dienst erfasste Daten (einschließlich IP-Adresse, Mausbewegungen, von der betroffenen Person angesehene Produkte)	Analyse des Verhaltens betroffener Personen, um das Dienstleistungs- und Warenangebot des Unternehmens zu entwickeln	Berechtigte Interessen des Unternehmens (GDPR Article 6(1)(f))	90 Tage nach Ende der Websession
IP-Adresse der betroffenen Person	Protokollierung, um Fehler zu erkennen und zu beheben und böswilliges Verhalten/DDoS-Angriffe zu verhindern	Berechtigte Interessen des Unternehmens (GDPR Article 6(1)(f))	3 Monate nach Ende der Websession

 

3. Verwendung von nicht personenbezogenen Daten

Neben den oben genannten personenbezogenen Daten verarbeitet das Unternehmen auch Daten, die keine individuellen Nutzer identifizieren und daher nicht in den Anwendungsbereich der Datenschutzgesetze fallen. Das Unternehmen verwendet beispielsweise Cookies, deren Verwendung hier beschrieben wird. Das Unternehmen verwendet auch Google Analytics. Google Analytics wird jedoch so verwendet, dass ein Teil der IP-Adresse von Besuchern maskiert wird, sodass sie nicht zur Identifizierung einzelner Benutzer verwendet werden können und daher keine Verarbeitung personenbezogener Daten erfolgt. 

4. Datensicherheit

Personenbezogene Daten werden durch angemessene Sicherheitsvorkehrungen gegen versehentlichen Verlust, unbefugte Verarbeitung, Zerstörung, Verwendung oder Änderung oder unbefugte Offenlegung der personenbezogenen Daten geschützt. Das Unternehmen setzt angemessene technische und organisatorische Sicherheitsmaßnahmen ein, um die personenbezogenen Daten zu schützen. Die Sicherheitsvorkehrungen, die das Unternehmen anwendet, wie z. B. die Beschränkung des Zugriffs seiner Mitarbeiter und Subunternehmer auf personenbezogene Daten und die Verschlüsselung von Daten, stehen in einem angemessenen Verhältnis zur Wahrscheinlichkeit und Schwere potenzieller Schäden oder Bedrohungen, der Sensibilität der personenbezogenen Daten und dem Kontext, in dem sie sich befinden sowie die Entwicklung von Sicherheitstechnologien statt. 

6. Rechte der betroffenen Personen

Gemäß der Datenschutz-Grundverordnung („DSGVO“) hat die betroffene Person die folgenden Rechte in Bezug auf personenbezogene Daten, wie in den Artikeln 15-21 der DSGVO näher spezifiziert:

1. Auskunftsrecht: Die betroffene Person hat das Recht, eine Bestätigung darüber zu verlangen, ob ihre personenbezogenen Daten im Zusammenhang mit der Website verarbeitet werden, sowie Zugang zu diesen personenbezogenen Daten.
2. Recht auf Berichtigung: Die betroffene Person hat das Recht, vom Datenverantwortlichen die Berichtigung unrichtiger oder unvollständiger sie betreffender personenbezogener Daten, die auf der Website gespeichert oder im Zusammenhang mit dieser verarbeitet werden, zu verlangen.
3. Recht auf Löschung: Die betroffene Person hat das Recht zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie für den Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind, wenn sie der Verarbeitung widerspricht und es keine Gründe gibt zwingende berechtigte Gründe für die Verarbeitung, wenn ihre oder seine personenbezogenen Daten unrechtmäßig verarbeitet werden oder wenn personenbezogene Daten gelöscht werden müssen, um die einschlägigen Rechtsvorschriften einzuhalten.
4. Recht auf Einschränkung: Die betroffene Person hat das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen, wenn die Richtigkeit der personenbezogenen Daten bestritten wird, wenn die Verarbeitung unrechtmäßig ist oder wenn die personenbezogenen Daten nicht mehr von dem für die Verarbeitung Verantwortlichen benötigt werden, sondern von ihr oder er der Löschung der personenbezogenen Daten berechtigterweise widerspricht, oder wenn er der Verarbeitung widerspricht und noch nicht überprüft wurde, ob berechtigte Gründe für die Verarbeitung vorliegen.
5. Widerspruchsrecht: Die betroffene Person hat das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung auf den berechtigten Interessen des Datenverantwortlichen oder Dritter gemäß Abschnitt 2 beruht.
6. Die betroffene Person hat das Recht, sich an die zuständige Datenschutzbehörde zu wenden und eine Beschwerde bezüglich der Verarbeitung ihrer oder seiner personenbezogenen Daten einzureichen. In Bezug auf Finnland ist die zuständige Datenschutzbehörde der Datenschutzregister (tietosuoja.fi). Best Friend Group Oy ist Teil der Unternehmensgruppe Nordic Pet Care Group A/S. Der Sitz der Muttergesellschaft der Gruppe ist Dänemark, wo die zuständige Datenschutzbehörde die Datatilsynet (dt@datatilsynet.dk) ist.

7. Übermittlungen außerhalb der EU/EWG

Personenbezogene Daten in Bezug auf die Website werden nur im Rahmen ausreichender Garantien gemäß Artikel 49 der EU-Datenschutz-Grundverordnung, wie z Europäische Kommission. Betroffene Personen haben das Recht, eine Beschreibung der gemäß Standardvertragsklauseln übermittelten Daten sowie der Maßnahmen zu erhalten, die zur Minderung der Risiken personenbezogener Daten im Zusammenhang mit der Verwendung der Standardvertragsklauseln ergriffen wurden. 

8. Änderungen der Datenschutzerklärung

Diese Datenschutzerklärung kann von Zeit zu Zeit durch Veröffentlichung einer aktualisierten Version auf der Website geändert werden, danach gilt die aktualisierte Version. Bei wesentlichen Änderungen der Datenschutzerklärung kann das Unternehmen die betroffenen Personen auf andere Weise, beispielsweise per E-Mail, benachrichtigen.

-- Ende des Dokuments --