charles    news    moneymerch    produktion    portfolio    warenkorb    pflegehinweise    partner    team

Datenschutzerklärung

Der Umgang mit euren Daten in aller Kürze:

Wir erheben und verarbeiten zum Zwecke der Abwicklung eurer Bestellung folgende Daten:

# E-Mail-Adresse
# Anrede
# Vorname / Nachname
# Rechnungs- und Lieferadresse
# IP Adresse
# Informationen zu der gewählten Zahlungsart des Endkunden (z.B. Kreditkarte)
# Informationen zur Transaktion
(z.B. Ware, Artikelnummer, Kaufpreis und ähnliche Informationen, die im Admin-Bereich des Webshops verwaltet werden)
# Informationen über aktuelle und vergangene Transaktionen des Endkunden
soweit sie zur Erfüllung des o.a. Zweckes benötigt werden.
Es erfolgt keine Bonitätsprüfung. Newsletter erstellen und versenden wir nicht. Social Media Plugins sind keine eingefügt und nicht verknüpft.
Die eingefügten kleinen Grafiken sind lediglich direkt durch uns verlinkt von unseren Seiten hin zu facebook und pinterest.
Wir verzichten auch auf das Nutzen von weiteren Auswertungsdiensten wie Google Analytics.
Die Datenübertragung erfolgt verschlüsselt über ein SSL-Zertifikat.

Die Grundlagen für unseren Webshop wurden von SUPR erstellt. Folgendes Unternehmen steckt dahinter:
Wirecard Technologies GmbH
Einsteinring 35
85609 Aschheim

… deren IT-Dienstleister ist die Akra GmbH, die ,neben Wartungstätigkeiten, auch Hosting- und Serverleistungen erbringt.

Die Vertragsgrundlage zwischen uns und SUPR findet ihr hier.

Die Datenschutzerklärung nun in aller Ausführlichkeit:

MONEYTUBES nimmt Ihren Datenschutz sehr ernst und behandelt Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Vorschriften.
Bedenken Sie, dass die Datenübertragung im Internet grundsätzlich mit Sicherheitslücken bedacht sein kann. Ein vollumfänglicher Schutz vor dem Zugriff durch Fremde ist nicht realisierbar.

Die an uns übermittelten persönlichen Daten, Bestell- und Kontoinformationen werden ausschließlich zur Abwicklung Ihrer Bestellung genutzt. Wir geben Ihre personenbezogenen Daten einschließlich Ihrer Haus-Adresse und E-Mail-Adresse nicht ohne Ihre ausdrückliche und jederzeit widerrufliche Einwilligung an Dritte weiter.

Ausgenommen hiervon sind unsere Dienstleistungspartner, die zur Bestellabwicklung die Übermittlung von Daten benötigen (z.B. das mit der Lieferung beauftragte Versandunternehmen und die mit der Zahlungsabwicklung beauftragten Kreditinstitute).
Bei Anmeldung zum Newsletter wird Ihre E-Mail-Adresse mit Ihrer Einwilligung für eigene Werbezwecke genutzt, bis Sie sich vom Newsletter abmelden.
In allen Fällen werden Ihre schutzwürdigen Belange gemäß den gesetzlichen Bestimmungen berücksichtigt. Der Umfang der übermittelten Daten beschränkt sich nur auf das erforderliche Minimum. Eine Weitergabe an sonstige Dritte erfolgt nicht.

__________________________________________________________________

Auskunftsrecht

Sie haben ein Recht auf unentgeltliche Auskunft über Ihre gespeicherten Daten sowie ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten wenden Sie sich bitte an: kontakt@moneytubes.de oder senden Sie uns Ihr Verlangen per Post.

Verwendung von Cookies

Damit Sie in unserem Online-Shop bestellen können, wird beim Aufruf bestimmter Seiten ein so genanntes Session-Cookie gesetzt. Hierbei handelt es sich um eine kleine Textdatei, die nach Ende der Browser-Sitzung automatisch wieder von Ihrem Rechner gelöscht wird. Diese Datei dient ausschließlich dazu, bestimmte Applikationen nutzen zu können, z.B. unser Warenkorbsystem.

Benutzerkonto

Um über dieses Angebot Bestellungen tätigen zu können, muss jeder Kunde ein passwortgeschütztes Kundenkonto einrichten. Dieses beinhaltet eine Übersicht über getätigte Bestellungen und aktive Bestellvorgänge. Sofern Sie als Kunde den Onlineshop verlassen, werden Sie automatisch ausgeloggt.

Der Betreiber übernimmt keine Haftung für Passwortmissbrauch, sofern dieser nicht von dem Betreiber selbst verursacht wurde.

Widerruf von Einwilligungen

Die nachstehenden Einwilligungen haben Sie ggf. im Verlauf des Bestellprozesses ausdrücklich erteilt.

Erlaubnis zur E-Mail-Werbung/ Newsletter

„Ich möchte die neuesten Informationen von moneytubes als einer der Ersten per E-Mail erhalten.“ Diese Einwilligung zur Nutzung meiner E-Mail-Adresse für Werbezwecke kann ich jederzeit mit Wirkung für die Zukunft widerrufen, indem ich den Link „Abmelden“ am Ende des Newsletters anklicke oder die Option „Newsletter“ im Mitgliederbereich deaktiviere. Meine E-Mail-Adresse wird nicht an andere Unternehmen weitergegeben.

Die Sicherheit Ihrer Daten

Wir sichern unsere Website und sonstigen Systeme durch technische und organisatorische Maßnahmen gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung Ihrer Daten durch unbefugte Personen. Trotz regelmäßiger Kontrollen ist ein vollständiger Schutzgegen alle Gefahren jedoch nicht möglich.

Rechte des Nutzers: Auskunft, Berichtigung und Löschung

Sie als Nutzer erhalten auf Antrag Ihrerseits kostenlose Auskunft darüber, welche personenbezogenen Daten über Sie gespeichert wurden. Sofern Ihr Wunsch nicht mit einer gesetzlichen Pflicht zur Aufbewahrung von Daten (z. B. Vorratsdatenspeicherung) kollidiert, haben Sie ein Anrecht auf Berichtigung falscher Daten und auf die Sperrung oder Löschung Ihrer personenbezogenen Daten.

 

Technische und organisatorische Maßnahmen

Die DS-GVO definiert verschiedene technische und organisatorische Maßnahmen, die für eine ordnungsgemäße Verarbeitung von personenbezogenen Daten getroffen werden müssen. Dabei handelt es sich im Einzelnen um folgende Punkte:

–Zutrittskontrolle
–Zugangskontrolle
–Zugriffskontrolle
–Weitergabekontrolle
–Eingabekontrolle
–Auftragskontrolle
–Verfügbarkeitskontrolle
–Trennung der Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten

Die für die Einhaltung der einzelnen Punkte ergriffenen Maßnahmen werden im Folgenden genauer erläutert und beziehen sich auf den Datenschutz seitens WIRECARD, welcher Webshopgrundlage und webspace MONEYTUBES zur Verfügung stellt.

 

Zutrittskontrolle

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.“

Alle Räumlichkeiten der Wirecard verfügen über ein chipkartenbasiertes Zutrittssystem. Zugänge zu verschiedenen Bereichen innerhalb der Gebäude werden dabei unterschieden. Allen Mitarbeitern werden Chipkarten mit den für ihre Arbeit erforderlichen Zutrittsrechten ausgegeben. Die zentral vom Bereich Facility Management erteilten Zutrittsrechte werden dokumentiert und in regelmäßigen Abständen vom Bereich IT Security überprüft. Besucher dürfen sich in den Büros nur in Begleitung bewegen und erhalten gesonderte Ausweise. Alle Zugänge zu den Gebäuden von Wirecard werden videoüberwacht. Der Zugang zu den Rechenzentren ist streng reglementiert.
Jeder Zutritt zu den Rechenzentren bedarf einer gesonderten Anmeldung, dies gilt auch für WIRECARD Mitarbeiter. Die Anmeldungen erfolgen fälschungssicher (authentifiziert) durch Abteilungsleiter der IT. Dritte dürfen nur in Ausnahmefällen und in Begleitung von WIRECARD Mitarbeitern die Rechenzentren betreten. Jeder Zugang wird revisionssicher protokolliert. Die Zugangsprotokolle werden regelmäßig durch den Bereich IT Security überprüft. Die Rechenzentren sind gegen unbefugten Zutritt durch Wachpersonal, das rund um die Uhr vor Ort ist, sowie Videoüberwachung und Alarmanlagen geschützt.

Referenzdokumente:

IT Security Policy, Physical Access Restrictions Policy

 

Zugangskontrolle

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu verhindern,dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.“

Sämtliche Systeme bei Wirecard sind mit Zugangskontrollsystemen ausgestattet. Jeder Mitarbeiter bei WIRECARD verfügt über persönliche Zugang zu den Systemen, die jeweils mit nur ihm bekannten, persönlichen Passworten gesichert sind. Die Passwort-Richtlinien verlangen eine regelmäßige Veränderung des persönlichen Passworts (systemabhängig sind Zeiträume von 90 Tagen oder kürzer konfiguriert) und stellen die Qualität bzw. Komplexität des Passworts anhand von definierten Regeln sicher. Alle Regeln zur Passwortvergabe und -änderung sind schriftlich fixiert. Die Bildschirme aller Arbeitsstationen und alle Services, die personenbezogene Daten verarbeiten oder speichern werden automatisch nach 15 Minuten Inaktivität gesperrt. Ein Entsperren ist nur mit dem persönlichen Benutzerpasswort durch wiederholten Log-In möglich. Die Sperrung des Arbeitsplatzrechners bei Verlassen des Arbeitsplatzes ist zudem durch eine interne Richtlinie verbindlich geregelt.

Referenzdokumente:
IT Security Policy, IT Access Control Policy, Remote Access Policy, Password Creation Guidelines, Data Classification and Control Policy, Personnel Facing Technologies Usage Policy, Security Awareness and Acceptable Usage Policy, Logging Controls Policy, Data Classification and Control Policy

 

Zugriffskontrolle

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.“

Der Zugriffskontrolle liegt ein Rollen- und Rechtesystem zugrunde, mit dem das Need-to-Know-Prinzip des Datenzugriffs sichergestellt wird. Somit hat jeder Mitarbeiter Zugriff auf genau die Daten, die er für seine tägliche Arbeit benötigt. Die für die jeweilige Stelle des Mitarbeiters notwendigen Rechte sind als Rollen definiert, die dem Mitarbeiter zugewiesen werden. Darüber hinausgehende Einzelberechtigungen müssen vom Bereich IT Security freigegeben werden. Die Freigabe erfolgt nach Rücksprache mit dem Information Owner (i.d.R. der Leiter der zuständigen Fachabteilung) und im Rahmen der datenschutzrechtlichen Instruktionen. Die Rechtevergabe wird nachvollziehbar dokumentiert. Die Rollenbeschreibungen und vergebenen Rechte werden von den zuständigen Abteilungen dokumentiert und gepflegt und in regelmäßigen Abständen (mind. einmal jährlich) vom Bereich IT Security stichprobenartig überprüft. Administratorzugänge werden nur nach vorheriger interner Schulung vergeben. Sämtliche Administratorzugriffe auf die Systeme werden revisionssicher protokolliert. Die Verhinderung des unbefugten Zugriffs auf Daten wird durch das regelmäßige und zeitnahe Einspielen von Sicherheitsupdates für alle genutzten Drittapplikationen gewährleistet, die IT Betriebssysteme (OS) werden monatlich mit Sicherheitsupdates versorgt. Die Qualität eigenentwickelter Applikationen wird vor Inbetriebnahme durch einen umfangreichen Qualitätssicherungsprozess sichergestellt. Die Systeme von WIRECARD sind über ein mehrstufiges Firewall-Konzept gegenüber dem Internet abgesichert. Alle Änderungen in den Firewalls unterliegen einem internen Freigabeprozess und werden vom Bereich IT Security geprüft. Die Netzwerkkonfiguration und die aus dem Internet erreichbaren Payment-Applikationen werden zudem in den mindestens einmal jährlich von Netzwerk- und Vulnerability- Scans überprüft. WIRECARD betreibt Intrusion Detection Systeme (IDS) und Intrusion Protection Systeme (IPS) und gewährleistet durch 24/7 Bereitschaft eine zeitnahe Alarmierung bei Störungen (Incidents). Alle Arbeitsplatzrechner sind mit einem Virenschutz ausgestattet, der automatisch laufend aktualisiert wird. Mobile Rechner (Laptops) sind mit einer Festplattenverschlüsselung ausgestattet.

Referenzdokumente:

IT Security Policy, IT Access Control Policy, IT and Information Security Policy, Data Classification and Control Policy, Security Awareness and Acceptable Usage Policy, Security Incident Response Plan and Procedures Policy, Incident Management from Sharepoint, Logging Controls Policy, Roles and Responsibilities Policy, Firewall Security Administration Policy, Anti-Virus Policy

 

Weitergabekontrolle

[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.“

Der Austausch und die Übertragung personenbezogener Daten erfolgt grundsätzlich nur in verschlüsselter Form. Abhängig von der Art der Weitergabe werden SSL-verschlüsselte Übermittlungsverfahren über HTTPS und SFTP verwendet. E-Mails und Dateien können verschlüsselt werden (z.B. PGP-Verschlüsselung für regelmäßigen, verschlüsselten Datenaustausch). Zusätzlich existiert ein System zum sicheren einmaligen Versand von personenbezogenen Daten (Prinzip des Datenraumes). Verschlüsselung beim Austausch personenbezogener Daten ist ein zentrales Thema der allgemeinen Datenschutzschulungen, die für jeden Mitarbeiter verpflichtend sind. Alle Schnittstellen zu externen Stellen, über die personenbezogene Daten automatisiert übertragen werden, sind nach aktuellen Standards gesichert, z.B. durch SSL Verschlüsselung. Sämtliche Schnittstellen sind dokumentiert. Die externen Dokumentationen der Schnittstellen liegen vor. Media Inventories und eine Clean Desk Policy verhindern die Unberechtigte Einsicht und den Diebstahl von Datenträgern und Unterlagen. Datenträger oder Unterlagen mit besonderen personenbezogenen Daten werden grundsätzlich per Kurier versandt, die Datenträger werden verschlüsselt.

Referenzdokumente:

IT Security Policy, IT and Information Security Policy, Encryption Policy, Logging Controls Policy, Media Policy

 

Eingabekontrolle

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.“

Bei Administratorzugriffen werden alle Änderungen an personenbezogenen Daten in den Systemen der WIRECARD durch die jeweilige Software-Applikation protokolliert oder durch entsprechende Prozesse dokumentiert, so dass sämtliche Änderungen jederzeit nachvollzogen werden können. Jeder Mitarbeiter hat zum Zwecke der Dateneingabe und -änderung eine persönliche Nutzerkennung für das jeweilige System, so dass alle Eingaben einer Person zugeordnet werden können.

Referenzdokumente:

IT Security Policy, IT Access Control Policy, Logging Controls Policy, Data Retention and Disposal Policy

 

Auftragskontrolle

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.“

WIRECARD stellt als Auftragnehmer bereits durch die Regelungen im Vertrag mit dem jeweiligen Auftraggeber individuell sicher, dass die rechtlichen Grundlagen der Auftragsdatenverarbeitung beachtet werden. Die Regelungen entsprechen den Vorgaben des Art.28 DSGVO. WIRECARD achtet ebenfalls bei der Vergabe von Aufträgen zur Auftragsdatenverarbeitung besonders auf die Einhaltung der datenschutzrechtlichen Vorschriften. Vor der Vergabe von Aufträgen werden Auftragnehmer ordnungsgemäß überprüft im Hinblick auf technische, finanzielle, datensicherheitsspezifische und rechtliche Aspekte. Die Überprüfung beinhaltet einen Ortsbesuch, Gespräche mit den Repräsentanten des Unternehmens und Hintergrundchecks über öffentlich zugängliche Quellen. Alle vertraglichen Regelungen werden vom Datenschutzbeauftragten bzgl. der Konformität mit der DS-GVO geprüft. Alle Mitarbeiter im Hause Wirecard werden regelmäßig zu den aktuellen Regelungen des Datenschutzes geschult. Zudem werden alle Mitarbeiter bei ihrer Einstellung auf das Datengeheimnis gemäß Art. 28 Abs. 3b) DS-GVO verpflichtet

Referenzdokumente:

IT Security Policy, IT and Information Security Policy, Third Parties and Third Party Agreements Policy, Personnel Facing Technologies Usage Policy, Security Awareness and Acceptable UsagePolicy

 

Verfügbarkeitskontrolle

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.“

WIRECARD betreibt zwei Rechenzentren an unterschiedlichen Standorten die gemäß den Vorgaben BSI mindestens 5 km voneinander entfernt sind, um ein Höchstmaß an Ausfallsicherheit zu gewährleisten. Innerhalb jedes Rechenzentrums sind alle wichtigen Systemkomponenten redundant ausgelegt. Die Rechenzentren entsprechen mindestens dem Standard TIER 3 des Uptime Institutes und haben eine ISO 27001 oder ISAE 3402 Zertifizierung, das garantiert angemessene Maßnahmen zur Sicherung vor Ausfällen und darauf abgestimmte Prozesse. Backups aller Daten werden regelmäßig (täglich) angefertigt und an einem sicheren, durch bauliche Maßnahmen getrennten Ort aufbewahrt, dabei werden die Vorgaben des BSI (auch bezüglich Sabotage) befolgt. Alle Systeme werden rund um die Uhr überwacht, so dass im Fehlerfall umgehend reagiert werden kann.

Referenzdokumente:

IT Security Policy, Backup Policy, Backup and Availability Policy

 

Trennung der Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten

„[Es] sind […] Maßnahmen zu treffen, die […] geeignet sind, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrenntverarbeitet werden können.“

WIRECARD verarbeitet als Dienstleister für Zahlungsabwicklung im Rahmen der Auftragsdatenverarbeitung Daten für eine große Menge von Kunden. Dabei wird durch die sorgfältige Vergabe der Zugriffsrechte sichergestellt, dass alle Daten nur gemäß ihrer Zweckbindung und den Weisungen des Auftraggebers entsprechend verarbeitet werden. Alle relevanten Daten werden in den Datenbanken von Wirecard unter Angabe einer eindeutigen Mandantenkennung gespeichert, so dass eine eindeutige Zuordnung jederzeit möglich ist, Testdaten sind dabei eindeutig von produktiven Daten getrennt. Die strikte Zweckbindung und Trennung der Verarbeitung wird zudem durch regelmäßige Schulung der Mitarbeiter sowie durch regelmäßige Prüfungen durch den Bereich Informationssicherheit sichergestellt.

Referenzdokumente:

IT Security Policy, IT and Information Security Policy, Data Classification and Control Policy

suprcomonlineshop

suprS