Datenschutzerklärung

Ihre persönlichen Daten sind bei xPressLAB GmbH sicher.
Wir unternehmen alles technisch und organisatorisch Mögliche um diese Sicherheit zu gewährleisten. Die Sicherheit Ihrer persönlichen Daten hat bei all unseren Verarbeitungsprozessen Priorität.
Unsere Datenschutzmaßnahmen entsprechen zu 100% den Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Wir garantieren die Einhaltung der hier beschriebenen Prozesse unabhängig davon ob diese bei uns oder bei einem unserer Partner stattfinden.
Wir fordern von unserem Partner, der zum Zwecke der Verarbeitung mit überlassenen persönlichen Daten umgeht, ebenfalls die Einhaltung der DSGVO und eine entsprechende lückenlose Dokumentation der hierfür erforderlichen Maßnahmen.

Bei einem Besuch unseres Internetauftritts werden folgende Daten erfasst:
IP-Adresse, Datum, Uhrzeit.

Bei Auftragserteilung werden von uns die folgenden Daten erfasst:

Persönliche Daten:

Name, Vorname, Geschlecht, IP-Adresse, E-Mail-Kontakt.
Zusätzlich bei Kreditkartenzahlungen: Kreditkartennummer, Gültigkeitsdatum, cvv. Die Verwaltung ihrer Zahlungsdaten erfolgt über die Fa. Wirecard.
Zusätzlich bei Erteilung einer Einzugsermächtigung im SEPA-Verfahren: IBAN und BIC. Verwaltung erfolgt über DATEV.
Es werden keine sensiblen Daten im Sinne von §9 DSGVO erhoben (Religion, politische Überzeugungen, Gesundheitsdaten, usw.)

Bilddaten

Die uns für die Verarbeitung überlieferten Bilddaten sind nach DSGVO zunächst keine persönlichen Daten. Trotzdem werden diese bei uns als besonders sensible Daten behandelt. Sie werden nur für die Dauer der Auftragsabwicklung gehalten und spätestens nach 14 Tagen von unseren Servern gelöscht. Die Löschung erfolgt durch automatisierte Agenten und wird dokumentiert. Bilddaten werden nicht an Dritte übergeben, es sei den es liegt eine schriftliche Aufforderung von Ihnen vor.
Alle uns übergebenen Bilddaten dienen ausschließlich der Erfüllung an uns ergangener Aufträge. Nach Abwicklung der Aufträge werden diese Daten gelöscht, soweit sie nicht mehr für verwaltungstechnische Vorgaben erforderlich sind, hierzu zählen die gesetzlichen Fristen zur Aufbewahrung von Lieferscheinen, Rechnungen und sonstigen Zahlungsbelegen.

Einsatz von Cookies:

Wir setzen zu statistischen Auswertungen unserer Werbekampagnen sog. Cookies (Datengruppe, mit der der Benutzer einer Website identifiziert werden kann) ein. Diese Cookies werden uns anonymisiert von Facebook und/oder Google zu Auswertungszwecken überlassen. Sie können in Ihren Browsereinstellungen diese Cookies blockieren oder nachträglich löschen. Entsprechende Hinweise entnehmen Sie bitte den Sicherheitseinstellungen ihres Browsers.

Newsletter:

Um einen Newsletter zu erhalten, müssen Sie aktiv eine solche Option bei einer Auftragserteilung ausgewählt haben. Die E-Mail-Daten werden von uns genutzt um Ihnen regelmäßige Informationen über Produkte, Neuerungen oder Aktionen zu informieren. Diese Daten werden ausschließlich intern verwendet und nicht an Dritte weitergegeben. Sie können der Zusendung der Newsletter jederzeit ohne Angabe von Gründen widersprechen. Dazu können Sie auf den entsprechenden Link des letzten erhaltenen Newsletters klicken oder uns via E-Mail darüber in Kenntnis setzen.

Datenübertragung

Persönliche Daten wie Login, Passwort, Adressdaten, Angaben über Ihre Zahlungsweisen, Kreditkartendaten oder Kontodaten bei einem Lastschrifteinzug werden ausschließlich in verschlüsselten Verbindungen übertragen (HTTPS / SSL) und auf Sicherheitsservern gespeichert. Die Überwachung dieser Systeme obliegt der HISSIT, Ooser Karlstraße 4, 76532 Baden-Baden.

Zweckbindung der uns überlassenen Daten

Wir verwenden die von Ihnen mitgeteilten Daten zur Erfüllung und Abwicklung Ihrer Bestellung. Ihre Daten werden entsprechend den jeweils geltenden datenschutzrechtlichen Vorschriften allein zu dem mit der jeweiligen Erhebung verbundenen Zweck und zur Wahrung berechtigter eigener Geschäftsinteressen, insbesondere der technischen Administration der Webseiten verwendet. Nur dann wenn Sie uns zuvor Ihre Einwilligung erteilt haben, nutzen wir diese Daten auch für produktbezogene Umfragen und Marketingzwecke.
Eine Übermittlung persönlicher Daten an staatliche Stellen erfolgt nur im Rahmen zwingender Rechtsvorschriften. Gegenüber privaten Dritten werden Ihre Daten ohne Ihre ausdrückliche Einwilligung nicht offengelegt.
Unsere Mitarbeiter werden von uns zur Wahrung der Vertraulichkeit und zur Einhaltung der maßgeblichen datenschutzrechtlichen Vorschriften verpflichtet.

Auskunftsrecht

Nach DSGVO haben Sie ein Recht auf unentgeltliche Auskunft über ihre gespeicherten Daten sowie ggf. ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Eine Auskunftsanfrage ist schriftlich an xPressLAB GmbH, Einsteinstr. 5, 76316 Malsch zu richten.

Privacy by Default und Privacy by Design

Unsere Bestellsoftware ist und wird auch künftig so eingerichtet sein, dass auch bei vollkommener technischer Unkenntnis Ihre persönlichen Daten geschützt sind. Alle relevanten Parameter die den Zugriff auf Ihre persönlichen Daten regeln, sind in Ihren ursprünglichen Voreinstellungen so eingerichtet, dass sie aktiv geändert werden müssen, um weitergehende Zugriffe zu gewähren (Privacy by Default).
Unsere Software wird immer so gestaltet, dass keine für die Auftragsausführung unnötigen persönlichen Daten anfallen (Privacy by Design).

VA-Vertrag

Gewerbliche Kunden können darüber hinaus einen Verarbeitungsvertrag erhalten. In diesem werden alle Punkte gemäß der Datenschutz-Grundverordnung (DSGVO) geregelt.
Klicken Sie auf den folgenden Link und laden Sie sich den unterschriebenen Vertrag herunter. Legen Sie diesen mit einer Kopie der Technisch-organisatorischen Maßnahmen zur Einhaltung der DSGVO von xPressLAB GmbH zu Ihren Datenschutzunterlagen.

Vertrag: Link (in Kürze zum download verfügbar)



Technisch-organisatorische Maßnahmen zur Einhaltung der DSGVO
der xPressLAB GmbH, Einsteinstr. 5, 76316 Malsch

1. Organisatorische Maßnahmen

Unsere Mitarbeiter wurden nachweislich zu Datenschutz und Datensicherheit verpflichtet.
Es existieren verfahrensunabhängige Plausibilitäts- und Sicherheitsprüfungen. Diese werden von der Fa. Hiss IT durchgeführt.
Ein Datensicherheitskonzept ist vorhanden.
Ein Datenschutzkonzept ist vorhanden.
Verhaltensregeln nach Art. 40 DSGVO sind vorhanden.

2. Vertraulichkeit

Schriftliche Zutrittsregelungen zum Betreten des Serverraumes sind vorhanden.
Eine Schlüsselregelung/Kontrolle ist vorhanden .
In den Produktion- bzw. Verpackungsräumen ist der Zutritt für Unbefugte untersagt.

2.1 Zugangs- und Benutzerkontrolle

Um zu verhindern, dass unsere Datenverarbeitungssysteme von Unbefugten genutzt werden können, wurden die folgenden Maßnahmen getroffen:
Berechtigungskonzept für Nutzer der Systeme.
Vergabe systematischer Passwörter. Sperrung nach 3 Fehlversuchen.
Zuordnung von Benutzerrechten und Profilerstellung.
Verwaltung der Rechte durch Systemadministrator.
Beschränkung der Anzahl der Administratoren auf das notwendigste.
Es erfolgt eine automatische Sperrung der Arbeitsplätze bei Nichtnutzung.
Protokollierung der Eingabe bei systemrelevanten Eingaben.
Datenträger werden sicher verwahrt.
Vernichtung von persönlichen Daten durch automatisierte Agenten, soweit diese Datensätze nicht mehr für die Auftragserfüllung oder Verwaltung notwendig sind. Protokollierung der Löschungsagenten.
Zugänge von Außen und Zugriff auf Systeme und relevante Daten nur durch VPN.

2.2 Auftragskontrolle

Es besteht eine Vereinbarung gemäß DSGVO zwischen uns und den von uns eingesetzten Partnern zur Ausführung und/oder Verwaltung der uns überlassenen Aufträge.
Die Ausführung wird von uns überprüft. Wir stellen sicher, dass der jeweilige Partner die ihm überlassenen persönlichen Daten vernichtet nach Erfüllung des ihm erteilten Auftrags.

3. Integrität

3.1. Eingabe und Verarbeitungskontrolle

Maßnahmen, die uns ermöglichen festzustellen, ob und von wem persönliche Daten verändert oder entfernt worden sind:
Durch die Vergabe von Benutzernamen kann die Änderung und Löschung von personenbezogenen Daten nachvollzogen werden.
Es sind Protokollroutinen vorhanden.

3.2. Dokumentationskontrolle

Wir führen ein Verarbeitungsverzeichnis, in dem die einzelne Schritte der Verarbeitung in Bezug auf anfallende persönliche Daten dokumentiert werden. Diese werden regelmäßig aktualisiert.
Unsere IT-Systeme und deren Systemkonfigurator sind dokumentiert.
Ein Datentransfer in Drittländer findet nicht statt.

4. Verfügbarkeitskontrolle

Unsere wesentlichen Systeme verfügen über eine USV.
Ein Überspannungsschutz ist in der Serverversorgung vorhanden.
Unsere Serverräume sind klimatisiert.
Rauch- und Feuermeldeanlagen sind vorhanden.
Tägliche mehrfache Backups (alle 12 Stunden) mit externen Systemen.
Datensicherung erfolgt an einem ausgelagerten Ort.
Virenschutz ist immer auf dem letzten Stand der Technik. Automatische Einspielung von aktuellen Patches.
Es besteht ein Raid-Verfahren zur Spiegelung der Festplatten.

Trennungsgebot

Wir gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.
Die Datensätze sind mit entsprechenden Datenfeldern versehen.
Software-seitig werden unsere Mandate getrennt.
Einsatz von getrennten Testsystemen.
Strickte Vergabe von Datenbankrechten.
Die Daten von verschiedenen Auftraggebern werden getrennt geführt. Jeder Auftraggeber verfügt über eine eigene Mandantennummer.

Malsch, 07. Mai 2018

Rafael Cardenas, Geschäftsführer xPressLAB GmbH