Datenschutzerklärung
Datenschutzerklärung triStan für easy to run (SaaS-Dienst)
Wir freuen uns über Ihr Interesse an easy to run. Der Schutz Ihrer personenbezogenen Daten ist uns, dem Betreiber von easy to run, sehr wichtig. Im Folgenden informieren wir Sie gemäß Art. 13 der EU-Datenschutz-Grundverordnung (DSGVO) und den einschlägigen Datenschutzgesetzen über die Verarbeitung Ihrer Daten bei Besuch unserer Website tristan-software.de, easy-to-run.de und bei Nutzung unseres SaaS-Dienstes easy to run.
Verantwortlicher im Sinne der DSGVO:
(Betreiber von easy to run)
triStan Software & ShopService
Michaela Stroh
Eschenweg 25
72144 Dußlingen
Telefon: +49 (7072) 505085
E-Mail: kontakt@tristan-software.de
Bei Fragen zum Datenschutz wenden Sie sich gern an uns unter den oben genannten Kontaktdaten.
1. Allgemeine Informationen zur Datenverarbeitung
Umfang der Verarbeitung: Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen (insbesondere des SaaS-Dienstes easy to run) erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist (z.B. zur Vertragserfüllung).
Rechtsgrundlagen: Soweit wir für Verarbeitungsvorgänge eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs.1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen mit Ihnen (als Nutzer/Kunde) ist Art. 6 Abs.1 lit. b DSGVO die Rechtsgrundlage. Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z.B. steuerliche Aufbewahrungspflichten), stützen wir uns auf Art. 6 Abs.1 lit. c DSGVO. Wenn wir ein berechtigtes Interesse an der Verarbeitung haben, das Ihre Interessen, Grundrechte und Grundfreiheiten nicht überwiegt (z.B. Sicherheit des Betriebs, Betrugsprävention), ist Art. 6 Abs.1 lit. f DSGVO einschlägig. In dieser Datenschutzerklärung nennen wir jeweils die konkrete Rechtsgrundlage bei den einzelnen Verarbeitungstätigkeiten.
Weitergabe an Dritte und Auftragsverarbeiter: Ihre Daten werden nur dann an Dritte weitergegeben, wenn dies zur Vertragsdurchführung erforderlich ist, wir ein berechtigtes Interesse daran haben oder Sie eingewilligt haben. Darüber hinaus setzen wir Auftragsverarbeiter ein, die an unsere Weisungen gebunden sind (z.B. Hosting-Provider, Cloud-Dienstleister). Mit diesen wurden Verträge nach Art. 28 DSGVO geschlossen, um den Schutz Ihrer Daten zu gewährleisten. Eine Übermittlung in Länder außerhalb der EU/EWR erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der EU-Kommission oder geeignete Garantien wie Standardvertragsklauseln) – derzeit versuchen wir aber, Dienstleister nur innerhalb der EU einzusetzen.
Speicherdauer: Wir speichern personenbezogene Daten nur so lange, wie es für die Erreichung der Zwecke erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten vorsehen. Konkrete Löschfristen nennen wir weiter unten, soweit relevant. Nach Wegfall des Verarbeitungszwecks bzw. Ablauf gesetzlicher Fristen werden die Daten routinemäßig gelöscht.
Ihre Rechte: Sie haben verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten (siehe dazu unten Abschnitt 6 „Ihre Rechte als Betroffener“), darunter das Recht auf Auskunft, Berichtigung und Löschung.
Nachfolgend erläutern wir, welche Daten wir im Einzelnen verarbeiten:
2. Datenerfassung beim Besuch unserer Website
Schon beim rein informatorischen Besuch unserer Website – also wenn Sie sich informieren, ohne sich anzumelden oder uns aktiv Informationen zu übermitteln – erheben unsere Systeme automatisch einige technische Daten. Diese sind für die Anzeige der Seite und die Sicherheit notwendig.
Server-Logdaten: Unser Webserver (betrieben durch unseren Hosting-Dienstleister ALL-INKL.COM – Neue Medien Münnich) protokolliert jeden Seitenaufruf in sogenannten Server-Logfiles. Zu diesen Zugriffsdaten gehören z.B.:
• IP-Adresse des anfragenden Geräts,
• Datum und Uhrzeit der Serveranfrage,
• Name und URL der abgerufenen Datei/Seite,
• HTTP-Statuscode (Abruf erfolgreich oder Fehlercode),
• übertragene Datenmenge,
• Website, von der aus der Zugriff erfolgt (Referrer-URL, falls vom Browser übermittelt),
• verwendeter Browsertyp nebst Version und Betriebssystem des zugreifenden Geräts (User-Agent).
Diese Logdaten enthalten zwar IP-Adressen, die unter Umständen eine Indentifizierung zulassen könnten, jedoch werden diese Daten nicht mit anderen Datenquellen zusammengeführt und auch nicht aktiv zur Identifizierung genutzt. Wir verwenden diese Informationen vielmehr:
• zur Sicherstellung eines reibungslosen Verbindungsaufbaus der Website,
• zur technischen Administration und Stabilität des Systems (Auswertung von Fehlern),
• zur Abwehr von Angriffsversuchen auf unsere IT (z.B. Erkennung von unbefugten Zugriffsversuchen, DDoS-Angriffsmustern) und
• ggf. zur Strafverfolgung bei Cyberangriffen (Bereitstellung für Ermittlungsbehörden in Ausnahmefällen).
Rechtsgrundlage: Art. 6 Abs.1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in den genannten Zwecken, insbesondere der Gewährleistung von Stabilität und Sicherheit unseres Webangebots.
Speicherdauer: Die Server-Logfiles werden für Sicherheitszwecke und Fehleranalysen temporär gespeichert und anschließend gelöscht. Ein typischer Löschzeitraum ist 7 Tage. Falls Daten aus Beweisgründen länger aufbewahrt werden müssen (z.B. im Fall eines Sicherheitsvorfalls), sind sie bis zur endgültigen Klärung des jeweiligen Vorfalls von der Löschung ausgenommen.
Hosting über All-Inkl: Unsere Website wird bei ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland gehostet. All-Inkl tritt als Auftragsverarbeiter für uns auf. Mit All-Inkl wurde ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen, der sicherstellt, dass All-Inkl die Daten unserer Webseitenbesucher nur nach unseren Weisungen und unter Einhaltung hoher Sicherheitsstandards verarbeitet. Die Server befinden sich in Deutschland. Die in den Logfiles enthaltenen Daten werden durch All-Inkl technisch erhoben und uns bereitgestellt. All-Inkl nutzt diese Daten nicht für eigene Zwecke.
Cookies und lokale Speicherung: Unsere Website verwendet Cookies ausschließlich in technisch notwendigem Umfang. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir setzen z.B. Session-Cookiesein, um Einstellungen (wie die ausgewählte Sprache oder Login-Status) während Ihres Besuchs zu speichern. Diese Cookies sind für den Betrieb der Website bzw. des Login-Bereichs unbedingt erforderlich.
• Konkret wird beim Login ins Kundenportal ein Session-Cookie gesetzt, das Ihre Sitzung identifiziert (Session-ID), damit Sie eingeloggt bleiben, während Sie die Software nutzen.
• Diese Session-Cookies werden nicht zur Nutzerverfolgung über Websites hinweg genutzt und enthalten keine personenbezogenen Inhalte außer einer zufällig generierten Identifikationsnummer.
Cookie-Einwilligung: Da wir nur notwendige Cookies verwenden, fragen wir keine spezielle Einwilligung ab. Nicht-notwendige Cookies (z.B. Tracking-Cookies) werden von uns nicht eingesetzt.
Speicherdauer Cookies: Session-Cookies werden in der Regel gelöscht, sobald Sie sich ausloggen oder Ihren Browser schließen. Ggf. setzen wir auch ein Cookie, das Ihre Entscheidung bzgl. Cookie-Hinweisen speichert (damit Hinweise nicht ständig erneut erscheinen); solche Cookies haben eine längere Lebensdauer (z.B. 1 Jahr).
Rechtsgrundlage Cookies: Art. 6 Abs.1 lit. f DSGVO (berechtigtes Interesse) für notwendige Cookies, da wir ein legitimes Interesse am technisch fehlerfreien Betrieb unserer Website und der komfortablen Bereitstellung unserer Dienste haben.
3. Kontaktaufnahme und Kommunikation
3.1 Kontakt per E-Mail oder Telefon: Wenn Sie mit uns in Kontakt treten (z.B. per E-Mail an unsere offizielle Kontaktadresse oder telefonisch), verarbeiten wir die von Ihnen mitgeteilten Daten, um Ihre Anfrage zu bearbeiten. Dies sind in der Regel Ihr Name, Ihre E-Mail-Adresse, Telefonnummer und der Inhalt Ihrer Nachricht. Gegebenenfalls fragen wir nach weiteren Daten, wenn dies zur Bearbeitung Ihres Anliegens erforderlich ist.
• Zweck: Bearbeitung und Beantwortung Ihrer Anfrage, technische Administration und ggf. Vorbereitung eines Vertragsabschlusses.
• Rechtsgrundlage: Art. 6 Abs.1 lit. b DSGVO, sofern es um vorvertragliche Anfragen oder die Erfüllung aus einem bestehenden Vertrag geht (z.B. Supportanfragen als Kunde); ansonsten Art. 6 Abs.1 lit. f DSGVO (unser berechtigtes Interesse, Anfragen von Interessenten oder anderen Personen zu beantworten und zu dokumentieren).
• Speicherdauer: Wir speichern Kontaktanfragen und die damit verbundene Kommunikation so lange, wie es für die Abwicklung erforderlich ist. Ist Ihre Anfrage vollständig beantwortet und bestehen keine weiteren berechtigten Interessen an einer Aufbewahrung (z.B. Nachweispflichten), werden die Daten gelöscht. Geschäftliche Korrespondenz (inkl. E-Mails) können jedoch im Rahmen handels- und steuerrechtlicher Archivierungspflichten bis zu 6 bzw. 10 Jahre aufbewahrt werden (§ 147 AO, § 257 HGB).
3.2 Kontaktformular: Sofern unsere Website ein Kontaktformular bereitstellt, werden die dort eingegebenen Daten ausschließlich zur Bearbeitung der Anfrage verwendet. Pflichtfelder im Formular erheben nur die Daten, die notwendig sind (z.B. Name, E-Mail, Nachrichtentext). Beim Absenden werden zusätzlich technische Metadaten (Zeitpunkt, IP-Adresse) erfasst, um Missbrauch vorzubeugen.
• Rechtsgrundlage: Entsprechend wie bei Kontakt per E-Mail – Art. 6 Abs.1 lit. b oder f DSGVO, je nach Inhalt der Anfrage.
3.3 Support und Ticket-System: Für Kundenanfragen im Rahmen des Supports nutzen wir unter Umständen ein Ticket-System. Dort werden die vom Kunden gemeldeten Probleme, einschließlich ggf. beigefügter Dateien oder Fehlermeldungen, erfasst und einem Ticket mit Nummer zugeordnet. Die Bearbeitung erfolgt durch unsere Mitarbeiter. Alle im Ticket-System enthaltenen Daten verwenden wir nur zur Lösung des gemeldeten Falls und zur internen Verbesserung unseres Services (Analyse häufiger Probleme etc.).
• Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs.1 lit. b DSGVO), da Support Teil unserer Leistung ist.
• Speicherdauer: Support-Tickets können intern dokumentiert bleiben, solange der Kundenvertrag besteht, um eine Historie für zukünftige Anfragen zu haben. Nach Vertragsende werden die Tickets gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten greifen.
4. Datenverarbeitung bei Nutzung der SaaS-Software easy to run
Wenn Sie unser Kunde sind und easy to run aktiv nutzen, verarbeiten wir diverse personenbezogene Daten. In diesem Kontext sind Sie als Kunde in der Regel Verantwortlicher im datenschutzrechtlichen Sinne für die Daten, die Sie in die Software eingeben (z.B. Daten Ihrer eigenen Kunden, Lieferanten, Mitarbeiter), während wir diese Daten als Auftragsverarbeiter in Ihrem Auftrag hosten und verarbeiten (siehe dazu Abschnitt 5 – Auftragsverarbeitung). Dennoch fallen einige Daten auch in unsere Verantwortlichkeit, z.B. Ihre eigenen Stammdaten und Abrechnungsdaten. Im Folgenden beschreiben wir verschiedene Datenkategorien:
4.1 Kundendaten (Stammdaten und Vertragsdaten): Bei Abschluss des Nutzungsvertrags erheben wir von Ihnen bestimmte Informationen:
• Unternehmensname/Firmenbezeichnung, Rechtsform, Anschrift,
• Kontaktdaten von Ansprechpartnern (Name, E-Mail, Telefon),
• ggf. Handelsregisternummer, Umsatzsteuer-ID,
• Bankverbindung (IBAN, BIC, Kontoinhaber) für das Lastschriftverfahren,
• Vertragsinformationen (gewähltes Paket, Benutzeranzahl, Startdatum, Zahlungsintervall) und
• Kommunikationshistorie im Vertragsverlauf (z.B. Schriftverkehr, Vertragsdokumente).
Zweck: Wir nutzen diese Daten zur Vertragsanbahnung, Vertragsschließung, Kundenverwaltung und Abrechnung. Insbesondere benötigen wir Ihre Bankverbindung für den Einzug der Miet- und Einrichtungsgebühren per SEPA-Lastschrift. Ihre Kontaktdaten verwenden wir für wichtige Mitteilungen zum Vertrag (Änderungen, Wartungsankündigungen etc.) und zur Kommunikation im Support-Fall.
Rechtsgrundlage: Art. 6 Abs.1 lit. b DSGVO (Erfüllung des Vertrags und vorvertraglicher Maßnahmen). Die Zahlungsdaten (Bankverbindung) verarbeiten wir zusätzlich auf Grundlage von Art. 6 Abs.1 lit. c DSGVO, da wir gesetzlich verpflichtet sind, ordnungsgemäße Buchführungsunterlagen zu führen (die Zahlungsinformationen fließen in Rechnungen, Buchungen und müssen bspw. 10 Jahre aufbewahrt werden gem. § 147 AO).
Weitergabe:
• Ihre Bankdaten werden zur Zahlungsabwicklung an die involvierten Finanzdienstleister weitergegeben. Das ist in der Regel unsere Bank, die den Lastschrifteinzug durchführt (mittels Ihrer IBAN und des Lastschriftmandats). Unsere Hausbank ist [Name der Bank] – diese erhält die SEPA-Lastschriftdatei mit Ihrem Namen, IBAN, Betrag und Fälligkeit. Eine darüber hinausgehende Weitergabe Ihrer Zahlungsinformationen erfolgt nicht, insbesondere speichern wir Ihre Bankdaten nicht in der Software für andere Kunden einsehbar, sondern nur in unserem Abrechnungssystem.
• Ihre Vertrags- und Stammdaten werden im CRM/Abrechnungssystem des Anbieters gespeichert, das ggf. ebenfalls in der Cloud gehostet sein kann. Auch dort gelten Auftragsverarbeiter-Vereinbarungen mit etwaigen Dienstleistern.
Speicherdauer: Vertragsstammdaten werden für die Dauer des Vertrags gespeichert. Nach Vertragsende bewahren wir jene Informationen auf, die gesetzlichen Aufbewahrungsfristen unterliegen. Rechnungen und buchungsrelevante Unterlagen behalten wir 10 Jahre (steuerrechtliche Aufbewahrung). Allgemeine Kommunikationsdaten löschen wir in der Regel 6 Jahre nach Ende des Jahres, in dem der Vertrag endete (handelsrechtliche Aufbewahrung von Geschäftsbriefen). Kontaktdaten von Ansprechpartnern löschen wir, sobald sie für die Kommunikation nicht mehr benötigt werden, spätestens jedoch mit Ablauf der genannten Fristen.
4.2 Nutzungsdaten (bei Betrieb der Software): Sobald Sie die Software nutzen, fallen verschiedene personenbezogene Daten an:
• Benutzerkonto: Für jeden Nutzer (z.B. Mitarbeiter des Kunden), der sich anmeldet, speichern wir einen Account mit Benutzername, Passwort (verschlüsselt), zugeordneter Rolle/Rechten, und ggf. Klardaten wie Name oder E-Mail (falls für Login oder Benachrichtigungen hinterlegt). Diese Daten sind nötig, um die Authentifizierung und Autorisierung innerhalb der Software zu gewährleisten.
• Protokolle innerhalb der Anwendung: Die Software zeichnet bestimmte Aktionen und Ereignisse protokollarisch auf (interne Logfiles), um eine Nachvollziehbarkeit zu ermöglichen (GoBD-Nachweispflichten, Systemdiagnose). Beispielsweise kann vermerkt sein, welcher Benutzer wann einen Verkauf gebucht oder einen Datensatz geändert hat. Diese Protokolldaten enthalten z.T. Personenbezug (z.B. Benutzer-ID, Uhrzeit, Art der Aktion).
• Inhaltsdaten des Kunden: Alle Informationen, die Sie als Kunde in die Software eingeben, werden auf unseren Servern gespeichert. Dazu gehören z.B. Artikel- und Lagerdaten, Texte, Preise, Bilder, Kundenlisten (der Endkunden oder Einlieferer Ihres Geschäfts), Transaktionsdaten zu Verkäufen (Rechnungen, Quittungen, Zahlbeträge, Steuerbeträge), Kommissionsabrechnungen, u.ä. Diese Daten können personenbezogene Informationen Dritter enthalten (z.B. Name und Kontakt eines Kommissionsgebers, falls Sie diese eingeben; Namen von Mitarbeitern in den Benutzerkonten; ggf. Namen von Endkunden bei bestimmten Geschäftsvorfällen, wenn Sie diese erfassen, z.B. bei Kommissionsverkauf wird oft der Verkäufer genannt, oder falls Ihr Geschäftsprozess vorsieht, Kundendaten zu erfassen).
• Kommunikation in der Software: Falls die Software E-Mails generiert (z.B. Versand einer Verkaufsbestätigung an einen Kunden, einer Auszahlungsinfo an einen Einlieferer), werden die Inhalte dieser E-Mails ebenfalls generiert und ggf. protokolliert (etwa Versandprotokolle). Die E-Mail-Adressen der Empfänger (Ihre Kunden/Einflieferer) werden verarbeitet, um die Nachricht zuzustellen. Hierbei bedienen wir uns entweder Ihres E-Mail-Servers oder eines E-Mail-Dienstleisters im Auftrag (wird im AVV benannt, falls vorhanden).
• Online-Shop Bestelldaten: Wenn Sie das Shopware-Modul nutzen, fallen Daten zu Online-Bestellungen an: Endkundendaten (Name, Anschrift, E-Mail des Käufers), Bestelldetails (Artikel, Menge, Preis), gewählte Zahlungsart (z.B. PayPal-Transaktions-ID, wenn angebunden) usw. Diese Daten werden in der Shopware-Cloud verarbeitet und teils in easy to run zurückgespielt (z.B. als Auftrag/Rechnung). Im Kontext von easy to run behandeln wir diese Daten ebenfalls als Kundendaten, die wir in Ihrem Auftrag verarbeiten.
Zwecke dieser Verarbeitung:
• Bereitstellung der Software-Funktionalitäten (ohne diese Daten kann die Software ihren Zweck nicht erfüllen – z.B. muss ein Verkaufsvorgang mit Daten gespeichert werden, um Kassenausdrucke und Auswertungen zu ermöglichen).
• Erfüllung gesetzlicher Anforderungen, z.B. KassenSichV: Hierbei insbesondere die Protokollierung jeder Kassenbewegung und Übermittlung an fiskaly (siehe nächster Punkt).
• Nachvollziehbarkeit und Integrität: Das Führen von Änderungshistorien (wer hat was wann geändert) dient der Integrität der Daten und wird auch von Grundsätzen ordnungsgemäßer Buchführung verlangt (GoBD).
• Support und Fehlerbehebung: Bei technischen Problemen kann es nötig sein, anhand von Protokollen bestimmte Ereignisse nachzuvollziehen oder Datenstände wiederherzustellen.
Rechtsgrundlagen: Die Verarbeitung der Nutzungs- und Inhaltsdaten erfolgt primär zur Vertragserfüllung nach Art. 6 Abs.1 lit. b DSGVO (wir können unsere Dienstleistung nur erbringen, indem wir diese Daten speichern und verarbeiten). Soweit besondere Kategorien personenbezogener Daten verarbeitet würden (ist im Normalfall nicht gegeben, da z.B. Gesundheitsdaten etc. in Second-Hand-Software nicht relevant sind), würden wir dafür eine ausdrückliche Einwilligung benötigen – solche Daten sollten aber nicht in der Software verarbeitet werden.
Zusätzlich besteht für einige Verarbeitungsvorgänge eine rechtliche Verpflichtung im Hintergrund: z.B. die Aufzeichnung der Kassendaten gemäß § 146a AO und KassenSichV – hierfür stützen wir uns auf Art. 6 Abs.1 lit. c DSGVO. Unsere Software hilft Ihnen, diese Pflichten zu erfüllen, indem sie die Daten protokolliert.
Teilweise haben wir auch berechtigte Interessen (Art. 6 Abs.1 lit. f DSGVO), etwa zur Missbrauchskontrolle und Systemsicherheit (Aufrechterhaltung der Integrität der Daten, Aufdeckung von Unregelmäßigkeiten durch Logs). Diese halten wir jedoch minimal und greifen primär auf die Vertragserfüllung als Grundlage zurück.
Weitergabe und Dienstleister in der Software-Nutzung:
• Hosting: Die Anwendungs- und Datenbankserver werden von unserem Hosting-Provider All-Inkl in Deutschland betrieben (siehe oben). All-Inkl hat potenziell technisch Zugriff auf die gespeicherten Daten (im Rahmen von Wartung), nutzt diese aber nicht eigenmächtig. All-Inkl ist durch Vertrag gebunden.
• Cloud-TSE via fiskaly: Im Rahmen jedes Kassenvorgangs über easy to run werden relevante Daten automatisiert an den Dienst fiskaly übermittelt. fiskaly fungiert als technischer Dienstleister, um die Anforderungen der KassenSichV zu erfüllen. Konkret passiert Folgendes: Bei jedem Start eines Tagesabschlusses und bei jeder Belegausstellung übermittelt unsere Software einen kryptografischen Hash des Beleginhalts bzw. die Transaktionsdaten (einschließlich Datum/Uhrzeit, fortlaufende Nummer, Umsatzbetrag, Steuersatzinformationen und ggf. Signatur des Vorgängerbelegs) an die fiskaly Cloud. Dort wird durch die fiskaly Germany GmbH (zertifizierter TSE-Anbieter, registriert beim BSI) eine Signatur erzeugt und an unsere Software zurückgegeben, die dann auf dem Beleg gespeichert wird. Fiskaly speichert diese Transaktionsdaten in einem hochsicheren Archiv, welches konform zur KassenSichV ist. Außerdem können wir über fiskaly den DSFinV-K Export erzeugen, der die gespeicherten Kassendaten in der vorgeschriebenen digitalen Schnittstelle der Finanzverwaltung für Kassensysteme bereitstellt.
• Daten bei fiskaly: Fiskaly erhält pro Transaktion u.a. eine eindeutige Kassen-ID, die Client-ID (unsere System-ID), den oben genannten Belegdaten (Zeit, Betrag, Steueranteile) und erstellt einen Signaturzähler und eine Signatur. Kundendaten oder Artikelbezeichnungen werden in der Regel nicht an fiskaly übertragen, außer sie sind Bestandteile der signierten Transaktion (in DSFinV-K gehören Artikeltexte nicht zwingend, dort eher Summendaten pro Steuersatz). Es kann aber sein, dass fiskaly in den DSFinV-K Exporten die vom Finanzamt geforderte Felder speichert, z.B. falls ein beleg eine Kundennummer oder so hätte. Standardmäßig jedoch sind Personenbezogene Daten von Endkunden nicht Teil der KassenSichV-Daten, solange Barverkäufe anonym bleiben.
• Rechtsgrundlage: Die Einbindung von fiskaly erfolgt zur Erfüllung unserer rechtlichen Verpflichtung aus der KassenSichV (Art. 6 Abs.1 lit. c DSGVO) sowie zur Vertragserfüllung (Art. 6 Abs.1 lit. b), da wir Ihnen diese Funktion schulden.
• Vertragliches: Mit fiskaly besteht ebenfalls ein Auftragsverarbeitungsvertrag. fiskaly verarbeitet die Kassendaten streng zweckgebunden und speichert sie innerhalb der EU (Server in Deutschland/Österreich).
• Datensicherheit: fiskaly ist vom BSI zertifiziert und nach ISO 27001 u.a. ausgezeichnet (siehe fiskaly Privacy & Security Informationen).
• Hinweis: Für die Pflichtmeldungen an das Finanzamt (Anmeldung/Abmeldung der TSE) ist weiterhin der Kunde verantwortlich, wie in den AGB erläutert.
• Shopware (Online-Shop): Falls Sie das Online-Shop-Modul nutzen, werden Daten an und von Shopware AG, Ebbinghoff 10, 48624 Schöppingen, übertragen. Shopware stellt die Infrastruktur für den Webshop bereit. Wenn ein Endkunde eine Bestellung in Ihrem Shop aufgibt, verarbeitet Shopware als Plattform zunächst die Bestelldaten. Dazu gehören typischerweise: die Artikel (aus Ihrem Sortiment) mit Preis, der Name und Adresse des Käufers, Kontaktinfo, Zahlungs- und Versandinformationen. Diese Daten werden auf den Servern von Shopware gespeichert (in der EU). Unsere Software easy to run ruft relevante Bestelldaten über eine sichere Schnittstelle von Shopware ab, um sie in Ihrem Warenwirtschaftssystem zu verarbeiten (Lagerbestand anpassen, Rechnung erstellen etc.). Ebenso können Produkt- und Bestandsdaten von easy to run zu Shopware übertragen werden, um den Shop zu aktualisieren.
• Shopware agiert hierbei in unserem Auftrag als Unterauftragsverarbeiter, soweit es um die Datenverarbeitung für Ihren Online-Shop geht. Wir haben mit Shopware eine Auftragsverarbeitungsvereinbarung abgeschlossen.
• Rechtsgrundlage: Verarbeitung der Bestelldaten auf Basis von Art. 6 Abs.1 lit. b DSGVO (Vertragserfüllung gegenüber Ihnen und indirekt gegenüber Ihren Endkunden, die ja eine Bestellung tätigen – in deren Sicht ist der Verantwortliche allerdings Ihr Unternehmen, siehe dazu unten Auftragsverarbeitung).
• Wir geben Ihre Endkundendaten nicht aktiv an Shopware weiter, sondern Shopware erhebt diese direkt vom Endkunden im Bestellprozess in Ihrem Auftrag. Shopware stellt uns diese Daten dann zur Verfügung.
• Hinweis: Als Shop-Betreiber sind Sie (der Kunde) dafür verantwortlich, Ihre Endkunden über die Datenverarbeitung im Online-Shop zu informieren (eigene Datenschutzerklärung im Shop), einschließlich der Einbindung von Shopware. Wir unterstützen Sie hierbei durch transparente Angaben in unserem AVV und durch vertragliche Absicherung mit Shopware.
• E-Mail- und Benachrichtigungsdienste: Soweit die Software E-Mails (z.B. Bestellbestätigungen, Berichte) versendet, kann dies entweder über einen von uns bereitgestellten SMTP-Server oder über externe Dienste erfolgen. Aktuell nutzen wir [Beispiel: keinen dedizierten E-Mail-Dienst; E-Mails werden über den Server von All-Inkl verschickt]. In jedem Fall werden E-Mails TLS-verschlüsselt übertragen, sofern der Empfänger-Server dies unterstützt. Die E-Mail-Adressen der Empfänger (z.B. Ihrer Kunden) werden dabei nur zum Zweck des Versands verarbeitet.
• Rechtsgrundlage: Vertragserfüllung (die Versandfunktion ist Teil des Service).
• Empfänger: E-Mail-Provider (All-Inkl) als Infrastruktur, der als Auftragsverarbeiter agiert. Ggf. der Empfänger selbst (logisch), aber das ist ja gewollt.
4.3 Telemetrie und Analysetools: Wir führen kein Nutzertracking im Sinne von Marketing-Analyse auf unserer SaaS-Plattform durch. Die Nutzung von easy to run wird von uns nicht zu Marketingzwecken ausgewertet. Wir behalten uns allerdings vor, pseudonymisierte Nutzungsdaten zu erheben, um die Benutzerfreundlichkeit der Software zu verbessern (z.B. welche Funktionen wie häufig genutzt werden). Solche Auswertungen erfolgen jedoch aggregiert und ohne Personenbezug. Falls wir zu diesem Zweck externe Tools einsetzen würden, informieren wir Sie gesondert. Aktuell findet keine derartige Tool-Integration statt.
4.4 Kundenfeedback: Wenn Sie an Umfragen teilnehmen oder Feedback geben (z.B. im Rahmen von Nutzerzufriedenheitsabfragen), verarbeiten wir diese Angaben zur Verbesserung unseres Angebots. Solche Umfragen sind freiwillig.
• Rechtsgrundlage: Art. 6 Abs.1 lit. a DSGVO (Einwilligung) bei Umfragen, oder lit. f (berechtigtes Interesse an Serviceverbesserung) sofern anonymisiert.
• Speicherung: Feedback speichern wir getrennt von Vertragsdaten und wenn möglich anonymisiert.
5. Auftragsverarbeitung (Datenverarbeitung im Auftrag des Kunden)
Im Verhältnis zwischen uns (Anbieter von easy to run) und Ihnen (Kunde, der easy to run einsetzt) sind Sie als Kunde für viele Daten datenschutzrechtlich verantwortlich. Insbesondere alle personenbezogenen Daten, die Sie über easy to run in Bezug auf Ihre Kunden, Lieferanten oder Mitarbeiter verarbeiten, fallen in Ihre Verantwortlichkeit als Verantwortlicher i.S.d. DSGVO. Wir agieren insoweit als Auftragsverarbeiter gemäß Art. 28 DSGVO. Das bedeutet:
• Wir verarbeiten diese Daten (z.B. Endkundendaten aus Verkäufen, Einliefererdaten, Mitarbeiter-Login-Daten) ausschließlich auf Ihre Weisung und zu den vertraglich vereinbarten Zwecken (Bereitstellung der Softwarefunktionalitäten).
• Wir treffen angemessene technische und organisatorische Maßnahmen (TOM), um die Daten gegen Missbrauch zu schützen.
• Wir geben diese Daten nicht an Dritte weiter, außer es ist zur Vertragserfüllung notwendig (siehe Dienstleister wie All-Inkl, fiskaly, Shopware) oder gesetzlich vorgeschrieben (z.B. Herausgabe an Behörden bei entsprechender Rechtsgrundlage).
• Wir haben mit allen Unterauftragnehmern Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO genügen (z.B. All-Inkl, fiskaly, Shopware).
• Wir werden die Daten nach Weisung des Kunden löschen oder zurückgeben, sobald der Vertragszweck erfüllt und der Vertrag beendet ist, soweit nicht gesetzliche Aufbewahrungspflichten oder ein Recht zur Zurückbehaltung bestehen.
Abschluss eines AVV: Um diese Pflichten formal zu regeln, schließen wir mit jedem Kunden einen Auftragsverarbeitungsvertrag (AVV) ab. Dieser Vertrag ist Bestandteil Ihres Vertragsdokumentes (in der Regel als Anlage beigefügt oder über unser Kundenportal digital abschließbar). Darin wird insbesondere festgelegt: der Gegenstand und die Dauer der Verarbeitung, der Umfang und Zweck, die Art der personenbezogenen Daten und Kategorien der Betroffenen, sowie die Pflichten und Rechte des Verantwortlichen und unsere Pflichten als Verarbeiter. Wenn Sie hierzu Fragen haben, kontaktieren Sie uns bitte – ohne AVV ist eine datenschutzkonforme Nutzung von easy to run nicht gegeben.
Hinweis für Endkunden unserer Kunden: Sollten Sie ein Endkunde eines Second-Hand-Geschäfts sein, das easy to runnutzt (z.B. als Verkäufer, Lieferant oder Käufer in einem solchen Geschäft), weisen wir darauf hin, dass wir Ihre personenbezogenen Daten im Auftrag dieses Geschäfts verarbeiten. Verantwortlicher für Ihre Daten ist in diesem Falle das jeweilige Second-Hand-Unternehmen (unser Kunde). Etwaige Auskunfts- oder Löschersuchen sollten Sie daher primär an dieses Unternehmen richten. Wir werden das Unternehmen bei der Bearbeitung solcher Anfragen unterstützen. Natürlich können Sie sich auch an uns wenden; wir werden Ihr Anliegen dann an unseren Kunden weiterleiten.
6. Ihre Rechte als betroffene Person
Wenn wir personenbezogene Daten von Ihnen verarbeiten, stehen Ihnen nach der DSGVO und dem Bundesdatenschutzgesetz (BDSG) die folgenden Rechte zu:
• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, so haben Sie das Recht auf Auskunft über diese Daten und auf weitergehende Informationen, z.B. die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger und geplante Speicherdauer. Bitte beachten Sie: Dieses Auskunftsrecht besteht gegenüber uns als Verantwortlichem nur für die Daten, die wir in eigener Verantwortung verarbeiten (z.B. Ihre Kundendaten, Website-Daten). Für Daten, die wir im Auftrag unseres Kunden (Ihres Arbeitgebers oder eines Geschäfts, bei dem Sie Kunde sind) verarbeiten, sollten Sie Ihr Auskunftsersuchen direkt an diesen Verantwortlichen richten. Wir werden ihn dann bei der Erfüllung Ihres Auskunftsersuchens unterstützen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner können Sie die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das sogenannte „Recht auf Vergessenwerden“. Wir sind demnach verpflichtet, personenbezogene Daten zu löschen, wenn die gesetzlichen Voraussetzungen erfüllt sind. Das ist unter anderem der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt, oder wenn Sie Widerspruch gegen die Verarbeitung einlegen und keine überwiegenden schutzwürdigen Gründe für die Verarbeitung vorliegen. Bitte beachten Sie, dass dem Löschanspruch gesetzliche Aufbewahrungsfristen entgegenstehen können. In solchen Fällen tritt anstelle der Löschung eine Einschränkung der Verarbeitung (Sperrung).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Z.B. wenn Sie die Richtigkeit der Daten bestreiten, für die Dauer, die wir zur Prüfung benötigen; oder wenn Sie Löschung verlangt haben und wir aus bestimmten Gründen nicht löschen können, müssen wir die Daten stattdessen für alle anderen Zwecke sperren. Im Fall einer Einschränkung dürfen Ihre Daten – abgesehen von der reinen Speicherung – nur mit Ihrer Einwilligung oder zur Geltendmachung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen Person oder aus wichtigen öffentlichen Interessen verarbeitet werden.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Daten, die Sie uns bereitgestellt haben und die wir automatisiert auf Grundlage Ihrer Einwilligung oder zur Vertragserfüllung verarbeiten, in einem gängigen, maschinenlesbaren Format zu erhalten oder – nach Ihrer Wahl und technischer Machbarkeit – einem Dritten (einem anderen Verantwortlichen) übermitteln zu lassen. Dies gilt allerdings nur für solche Daten, bei denen die Verarbeitung auf Ihrer Einwilligung oder einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. In unserem Fall betrifft das beispielsweise die Stammdaten, die Sie uns gegeben haben. Nicht umfasst sind davon Daten, die wir auf Basis einer gesetzlichen Pflicht verarbeiten.
• Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Daten auf Grundlage von berechtigten Interessen (Art. 6 Abs.1 lit. f) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruchgegen die Verarbeitung dieser Daten einzulegen. Wir werden dann die Verarbeitung Ihrer Daten einstellen, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Insbesondere können Sie der Verarbeitung Ihrer Daten zu Werbezwecken jederzeit widersprechen (sofern wir solche vornehmen würden; derzeit versenden wir z.B. keinen Newsletter ohne Einwilligung – sollte dies doch geschehen, etwa im Rahmen von Bestandskundenwerbung per E-Mail, weisen wir Sie gesondert auf Ihr Widerspruchsrecht hin).
• Widerrufsrecht bei Einwilligungen (Art. 7 Abs.3 DSGVO): Falls Sie uns eine Einwilligung zur Verarbeitung von Daten erteilt haben, können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.
• Recht auf Beschwerde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde zu. Sie können sich dazu an die für uns zuständige Behörde wenden oder jede andere für Sie örtlich zuständige Aufsichtsbehörde.
• Zuständig für uns wäre in der Regel der Landesbeauftragte für Datenschutz des Bundeslandes, in dem unser Unternehmen seinen Sitz hat (z.B. der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, wenn unser Firmensitz dort liegt).
• Eine Liste der Datenschutz-Aufsichtsbehörden in Deutschland finden Sie etwa auf der Website der Bundesbeauftragten für den Datenschutz.
Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden (per Post oder E-Mail genügt). Bitte geben Sie dabei an, um welches Recht Sie nachfragen und, soweit erforderlich, zusätzliche Informationen, um uns die Zuordnung Ihrer Person zu unseren Datenbeständen zu ermöglichen (bei Auskunftsanfragen etwa eine Identitätsbestätigung). Wir werden Ihr Anliegen dann entsprechend den gesetzlichen Anforderungen bearbeiten.
7. Datensicherheit
Wir nehmen die Sicherheit Ihrer Daten sehr ernst und treffen nach Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst insbesondere:
• Die Bereitstellung der Website und der SaaS-Anwendung erfolgt verschlüsselt über SSL/TLS (erkennbar an “https://” im Browser). So werden die Daten, die Sie eingeben, verschlüsselt an unseren Server übertragen.
• Unsere Server befinden sich in modernen Rechenzentren in Deutschland mit hohen Sicherheitsstandards (Zutrittskontrollen, Brandschutz, Notstrom etc.).
• Wir implementieren Zugangsbeschränkungen: Nur berechtigte Mitarbeiter haben Zugriff auf personenbezogene Daten, und auch diese nur in dem Umfang, wie es für ihre Aufgaben erforderlich ist (Prinzip der minimalen Berechtigung). Alle Mitarbeiter sind auf Vertraulichkeit und die Einhaltung des Datenschutzes verpflichtet.
• Besonders sensible Daten (wie Passwörter) werden verschlüsselt gespeichert (z.B. Hashing von Passwörtern).
• Es existieren regelmäßige Backups der Datenbanken, um Datenverluste bei technischen Problemen zu verhindern. Backups werden verschlüsselt bzw. in abgesicherten Bereichen aufbewahrt.
• Wir überwachen unsere Systeme auf ungewöhnliche Aktivitäten und führen regelmäßige Updates durch, um Sicherheitslücken zu schließen (Patch-Management).
• Für unsere Unterauftragnehmer stellen wir sicher, dass sie vergleichbare Sicherheitsmaßnahmen einhalten (dies ist in den AV-Verträgen festgeschrieben; z.B. sind All-Inkl, fiskaly und Shopware selbst nach anerkannten Standards zertifiziert bzw. erfüllen hohe Sicherheitsanforderungen).
• Ein internes Sicherheitskonzept sowie Schulungen der Mitarbeiter stellen sicher, dass der Datenschutz fortlaufend beachtet wird.
Bitte beachten Sie, dass Sie selbst ebenfalls zur Sicherheit beitragen müssen: Halten Sie Zugangsdaten geheim (siehe AGB/Nutzungsbedingungen) und nutzen Sie sichere Passwörter. Für die Sicherheit der Geräte, mit denen Sie auf unsere Dienste zugreifen (PC, Tablet, etc.), sind Sie in eigener Verantwortung zuständig (z.B. aktueller Virenschutz, Firewall).
8. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei rechtlichen Änderungen oder Änderungen unseres Dienstes (z.B. Einführung neuer Services, die datenschutzrelevant sind). Es gilt jeweils die aktuelle Fassung der Datenschutzerklärung zum Zeitpunkt Ihres Besuchs bzw. Ihrer Nutzung. Wesentliche Änderungen werden wir auf der Website kenntlich machen oder Ihnen proaktiv mitteilen (z.B. per E-Mail), sofern Sie Kunde sind.
Stand: April 2025