1. Verantwortlicher und Kontakt

1.1. Verantwortlicher im Sinne der DSGVO ist BMJJ Handelsgesellschaft mbH, Lange Ende 29, 13437 Berlin, unter der Nr. USt-IdNr.: DE293498547,
1.2. Für Datenschutzanliegen und Betroffenenrechte kontaktieren Sie uns bitte unter: privacy@modo24.de
1.3. Für Sicherheitsvorfälle oder vermutete Datenschutzverletzungen kontaktieren Sie uns bitte umgehend unter: security@modo24.de
1.4. Wir haben keinen Datenschutzbeauftragten (DPO) benannt.
1.5. Zuständige Aufsichtsbehörde in Deutschland:
Der/die Landesbeauftragte für den Datenschutz des jeweiligen Bundeslandes, in dem Sie Ihren Wohnsitz haben. Eine Übersicht der Aufsichtsbehörden und deren Kontaktdaten finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html.

Falls Sie Ihren Wohnsitz außerhalb Deutschlands, aber innerhalb des Europäischen Wirtschaftsraums (EWR) haben, können Sie sich auch an die Datenschutzaufsichtsbehörde Ihres Wohnsitzlandes wenden.

2. Welche Daten wir verarbeiten und woher sie stammen

2.1. Von Ihnen bereitgestellte Daten: Name, Kontaktdaten (E-Mail, Telefonnummer), Liefer- und Rechnungsadresse, USt-IdNr. (sofern angegeben) bzw. Steuernummer (bei Geschäftskunden), Kontodaten, Bestell-, Retouren- und Gewährleistungshistorie sowie Inhalte Ihrer Korrespondenz.
2.2. Technische Daten Ihres Browsers/Geräts: IP-Adresse, Browsertyp und -version, Geräteinformationen, Zeitstempel, Sitzungskennungen sowie Sicherheits-Logfiles.
2.3. Daten aus Drittquellen: Wir erhalten begrenzte Daten von Zahlungsdienstleistern (z. B. Banken/Payment-Intermediären) und Kurierdiensten, um Zahlungen abzuwickeln und zu liefern. Nutzen Sie Integrationsplattformen für Zahlung/Versand, erhalten wir nur die hierfür erforderlichen Angaben. Wir verarbeiten keine vollständigen Zahlungs-Kartendaten; diese werden direkt vom gewählten Zahlungsdienstleister verarbeitet.
2.4. Analytik/Marketing und eingebettete Inhalte verarbeiten wir erst nach Ihrer Einwilligung. Details finden Sie in unserer Cookie-Richtlinie.
2.5. Besondere Kategorien. Wir erheben besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) nicht bewusst. Bitte übermitteln Sie uns keine Gesundheits-, biometrischen, religiösen oder politischen Angaben in Nachrichten oder Bestellhinweisen.
2.6. Art. 14 DSGVO-Information. Erhalten wir Ihre Daten von Dritten, erteilen wir die nach Art. 14 DSGVO erforderlichen Informationen innerhalb eines Monats, spätestens jedoch bei der ersten Kontaktaufnahme mit Ihnen oder bei der ersten Offenlegung gegenüber einem Empfänger – je nachdem, was früher eintritt.

3. Zwecke der Verarbeitung und Rechtsgrundlagen

3.1. Vertragsschluss und -erfüllung sowie Betrieb Ihres Kontos – Art. 6 Abs. 1 lit. b DSGVO.
3.2. Erfüllung rechtlicher Pflichten (Buchführung/Steuern) – Art. 6 Abs. 1 lit. c DSGVO.
3.3. Bearbeitung von Anfragen/Kommunikation – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation) oder Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bei Angebotsanfragen).
3.4. Reklamationen, Gewährleistung, Garantien – Art. 6 Abs. 1 lit. b und c DSGVO.
3.5. Newsletter und Direktmarketing – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und anwendbare e-Privacy-Vorschriften; wir verwenden Double-Opt-In.
3.6. Analytik, Online-Marketing und eingebettete Inhalte – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung im Cookie-Banner).
3.7. Sicherheit und Stabilität des Dienstes (Logs, Missbrauchserkennung) – Art. 6 Abs. 1 lit. f DSGVO.
3.8. Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen – Art. 6 Abs. 1 lit. f DSGVO.
3.9. Wir treffen keine Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten. Setzen wir nach Ihrer Einwilligung einfache Marketing-Segmentierung/Profiling ein, können wir Ihnen auf Anfrage verständliche Informationen zur zugrunde liegenden Logik bereitstellen. Remarketing und personalisierte Werbung erfolgen nur nach Einwilligung in Marketing-Cookies.

3A. Unsere berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO)

3A.1. Kundenkommunikation und Fallbearbeitung: Beantwortung von Fragen, Status-Updates zu Bestellungen, verlässlicher Kundensupport.
3A.2. Sicherheit und Betriebsfähigkeit: Monitoring technischer Logs, Erkennung von Missbrauch/Fehlern, Abwehr von Angriffen, Aufrechterhaltung von Stabilität und Performance.
3A.3. Betrugsprävention und Rechtsansprüche: Prüfung auffälliger Situationen, Beweissicherung, Nutzung der Daten in Verfahren zur Geltendmachung/Abwehr von Ansprüchen.
3A.4. Basis-Analytik ohne Personenbezug: Auswertung aggregierter/anonymisierter Nutzungsinformationen zur Fehlerbehebung und Usability-Verbesserung; keine Verknüpfung mit identifizierten Personen. Analysen, die Cookies/Marketing-IDs erfordern, erst nach Einwilligung.
3A.5. Zulässiges Marketing an Bestandskunden: Information über eigene Produkte/Dienstleistungen, die den bereits erworbenen ähnlich sind – im Einklang mit den jeweils anwendbaren e-Privacy-Regeln. In Deutschland beachten wir insbesondere § 7 Abs. 3 UWG (Bestandskundenprivileg). Wir bieten eine einfache Abmeldemöglichkeit und beachten Ihren Widerspruch unverzüglich. Cookie- oder Profiling-basierte Werbung setzen wir nur mit Einwilligung ein.
Bestandskundenprivileg – Voraussetzungen (§ 7 Abs. 3 UWG):
(a) Ihre E-Mail-Adresse wurde im Zusammenhang mit einem Verkauf erhoben,
(b) beworben werden eigene, ähnliche Waren/Dienstleistungen,
(c) Sie wurden bei Erhebung und in jeder E-Mail klar auf Ihr Widerspruchsrecht hingewiesen,
(d) Sie haben keinen Widerspruch eingelegt.
3A.6. Verbesserung interner Prozesse: Optimierung von Kundenservice, Logistik und Zahlungen, Schulung des Teams – stets mit Datenminimierung.
3A.7. Interessensabwägung (LIA): Wir führen eine Abwägung durch und stellen auf Anfrage eine Kurzfassung bereit. Sie können der Verarbeitung auf Grundlage berechtigter Interessen widersprechen; wir prüfen den Widerspruch ohne unangemessene Verzögerung und informieren Sie über das Ergebnis.

4. Speicherdauer

4.1. Kundenkonto: bis zur Kontolöschung; zugehörige Sicherheits-Logs bis zu 6 Monate danach.
4.2. Buchhaltungs-/Steuerunterlagen: grundsätzlich 5 Jahre nach Ende des Geschäftsjahres (gesetzliche Aufbewahrung).
4.3. Korrespondenz ohne Vertragsbezug: bis zu 12 Monate nach Abschluss des Vorgangs.
4.4. Reklamationen/Gewährleistung/Garantien: in der Regel 2 Jahre ab Lieferung; anschließend bis zum Ablauf der Verjährung.
4.5. Newsletter/Marketing-Einwilligungen: bis zum Widerruf; Double-Opt-In-Logs bis zu 3 Jahre zu Nachweiszwecken.
4.6. Server-Logs: 7–14 Tage zur Sicherheit und Diagnose; bei Vorfällen verlängert bis Abschluss der Analyse.
4.7. Hinweis: Die Kontolöschung führt nicht zur Löschung von Daten, die wir aus rechtlichen Gründen oder zur Rechtsverteidigung weiter speichern müssen.

5. Empfänger und Rollen

5.1. Auftragsverarbeiter (Art. 28 DSGVO): Hosting/CDN, Shop-/CRM-Software, E-Mail-Dienste, IT-Support – jeweils weisungsgebunden auf Basis von Auftragsverarbeitungsverträgen.
5.2. Eigenständige Verantwortliche: Zahlungsdienstleister und Kurierdienste (Zahlung/Lieferung) sowie Anbieter von Analytik/Advertising und eingebetteten Inhalten (z. B. Video, Karten) – erst nach Einwilligung in die entsprechenden Cookies. Diese Stellen bestimmen eigene Zwecke/Mittel.
5.3. Berater: Steuerberatung und Rechtsanwälte, sofern erforderlich.
5.4. Eine aktuelle Kategorienliste der Empfänger stellen wir auf Anfrage unter privacy@modo24.de bereit; Anbieter von Cookies/Technologien nennen wir in der Cookie-Richtlinie und im Consent-Panel.
5.5. Externe Links & Social Media. Unsere Website kann Links zu Drittseiten oder eingebettete Inhalte enthalten. Diese Anbieter handeln als eigene Verantwortliche und haben eigene Datenschutzhinweise.
5.6. Social-Media-Seiten (Fanpages). Betreiben wir Unternehmensseiten bei sozialen Netzwerken, sind wir mit dem jeweiligen Anbieter für Page-Insights ggf. gemeinsam Verantwortliche (z. B. gemäß dem Joint-Controller-Addendum von Meta). Maßgeblich sind zusätzlich die Datenschutzhinweise des jeweiligen Anbieters.

6. Übermittlungen in Drittländer und Garantien

6.1. Eine Übermittlung außerhalb des EWR erfolgt nur beim Einsatz von Dienstleistern in Drittländern.
6.2. Wir sichern solche Übermittlungen durch EU-Standardvertragsklauseln (SCC) samt Transfer Impact Assessment (TIA) ab; gegenüber US-Anbietern stützen wir uns – sofern zertifiziert – auf das EU-US Data Privacy Framework (DPF).
6.3. Ort der Verarbeitung und Garantien je Anbieter nennen wir in der Cookie-Richtlinie. Auf Anfrage stellen wir Kopien der relevanten Garantien zur Verfügung.
6.4. Hinweis zu TTDSG. Für das Setzen und Auslesen von Informationen auf Ihrem Endgerät (z. B. Cookies, lokale Speicherung) gilt in Deutschland § 25 TTDSG. Nicht technisch notwendige Technologien setzen wir nur mit Ihrer Einwilligung ein. Details (Zwecke, Anbieter, Speicherdauer, Rechtsgrundlagen) finden Sie in unserer Cookie-Richtlinie und im Consent-Banner.

7. Ihre Rechte und deren Ausübung

7.1. Sie haben das Recht auf Auskunft (inkl. Kopie), Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch, insbesondere gegen Direktmarketing.
7.1a. Datenübertragbarkeit (Art. 20 DSGVO). Das Recht umfasst Daten, die Sie uns bereitgestellt haben, sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt. Sie können die Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder – soweit technisch machbar – eine Direktübermittlung an einen anderen Verantwortlichen verlangen.
7.2. Sie haben das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen, insbesondere bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes. In Deutschland ist dies in der Regel die zuständige Landesdatenschutzbehörde. Eine Übersicht der deutschen Aufsichtsbehörden finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html.
7.3. Wir beantworten Anfragen innerhalb eines Monats. Bei komplexen/mehrfachen Anträgen können wir um bis zu zwei Monate verlängern; wir informieren Sie innerhalb des ersten Monats mit Begründung.
7.3a. Benachrichtigung von Empfängern (Art. 19 DSGVO). Haben wir personenbezogene Daten berichtigt, gelöscht oder die Verarbeitung eingeschränkt, teilen wir dies den Empfängern mit, denen die Daten offengelegt wurden, soweit dies möglich ist. Auf Anfrage informieren wir Sie über diese Empfänger.
7.4. Senden Sie Anfragen an privacy@modo24.de. Wir antworten in der Regel auf Deutsch oder English. Auf Wunsch antworten wir in einem anderen Format als elektronisch.
7.5. Für weitere Kopien können wir eine angemessene Gebühr erheben (Art. 15 Abs. 3 DSGVO); wir informieren vorab.
7.6. Bei offensichtlich unbegründeten oder exzessiven Anträgen (insbesondere wiederholten) können wir eine angemessene Gebühr verlangen oder die Bearbeitung ablehnen (Art. 12 Abs. 5 DSGVO) – mit Begründung.

8. Pflicht zur Bereitstellung und Folgen der Nichtbereitstellung

8.1. Die Bereitstellung ist freiwillig, jedoch teils erforderlich:
– vertraglich, wenn Sie ein Konto anlegen und bestellen (ohne Daten kein Vertrag/keine Erfüllung),
– rechtlich, wenn wir Buchhaltungs-/Steuerbelege ausstellen.
8.2. Für die Nutzung des Shops ist keine Marketing-Einwilligung erforderlich; Sie können diese jederzeit widerrufen.

9. Daten von Kindern

9.1. Unser Angebot richtet sich nicht an Kinder unter 16 Jahren.
9.2. Erlangen wir Kenntnis von Daten eines Kindes, löschen oder beschränken wir diese und informieren – soweit möglich – den Sorgeberechtigten.

10. Sicherheit, Verzeichnisse und Vorgehen bei Verletzungen

10.1. Wir gestalten Lösungen nach Privacy by Design und Privacy by Default. Standardmäßig verarbeiten wir nur das erforderliche Minimum und aktivieren zusätzliche Funktionen – einschließlich Analytik/Marketing – erst nach Ihrer Einwilligung.
10.2. Wir setzen technische und organisatorische Maßnahmen angemessen zum Risiko ein, darunter Verschlüsselung bei der Übertragung (TLS) und Verschlüsselung im Ruhezustand für relevante Systeme, Mehrfaktor-Authentifizierung (MFA), Rollen-/Rechte-Segmentierung nach dem Least-Privilege-Prinzip, Protokollierung und Zugriffsmonitoring, Sicherheitstests sowie regelmäßige Lieferantenbewertungen.
10.3. Wir führen ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und erstellen Datenschutz-Folgenabschätzungen (DPIA), wenn Art und Risiko der Verarbeitung dies erfordern.
10.4. Bei einer Verletzung des Schutzes personenbezogener Daten bewerten wir das Risiko (Vertraulichkeit, Integrität, Verfügbarkeit, Kategorien/Umfang, Anzahl betroffener Personen, mögliche Folgen, vorhandene Schutzmaßnahmen) und entscheiden über Meldungen. Erforderlichenfalls melden wir an die UODO innerhalb von 72 Stunden; bei hohem Risiko informieren wir betroffene Personen unverzüglich (Inhalt, mögliche Folgen, Gegenmaßnahmen).
10.5. Wir führen ein Verletzungsregister und dokumentieren Umstände, Auswirkungen und Abhilfemaßnahmen. Für dringende Meldungen: security@modo24.de.

11. Änderungen dieser Erklärung

11.1. Wir veröffentlichen die aktuelle Fassung auf dieser Seite und geben das Aktualisierungsdatum an.
11.2. Bei wesentlichen Änderungen (z. B. neue Kategorien von Analytik/Marketing-Tools, geänderte Rechtsgrundlage, neuer Anbieter in einem Drittland) bitten wir Sie, Ihre Auswahl im Consent-Banner zu erneuern.
11.3. Maßgebliche Sprache. Bei Abweichungen zwischen verschiedenen Sprachfassungen ist die deutsche Fassung maßgeblich. Übersetzungen in andere Sprachen dienen ausschließlich der Verständlichkeit und Information im jeweiligen Markt.