Datenschutzerklärung

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Farmerino UG (haftungsbeschränkt)
Kollwitzstraße 76, 10435 Berlin, Deutschland
Handelsregister: Amtsgericht Berlin-Charlottenburg, HRB 276698
Geschäftsführer: Michael Schlichting (einzelvertretungsberechtigt)
E-Mail: info@farmerino.de
Telefon: +49 1575 710 1958
Website: https://farmerino.de

Zuständige Datenschutzaufsichtsbehörde:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstraße 219, 10969 Berlin
www.datenschutz-berlin.de

Mit dieser Datenschutzerklärung informieren wir Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung unserer Plattform. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Diese Datenschutzerklärung gilt für alle Datenverarbeitungsvorgänge im Rahmen unserer Tätigkeit als Vermittlungsplattform für regionale Direktvermarktung, einschließlich der Nutzung unserer Website unter farmerino.de, der mobilen Webversion (PWA) sowie aller damit verbundenen Dienste.

Grundsätze unserer Datenverarbeitung: Wir verarbeiten personenbezogene Daten nur auf Basis gültiger Rechtsgrundlagen (Rechtmäßigkeit), nur für den angegebenen Zweck (Zweckbindung), beschränkt auf das erforderliche Maß (Datenminimierung) und löschen sie nach Wegfall des Zwecks (Speicherbegrenzung). Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten (Integrität und Vertraulichkeit).

Rechtsgrundlagen der Verarbeitung:

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (z. B. Newsletter, Marketing-Cookies)
• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung rechtlicher Verpflichtungen (z. B. steuerliche Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (z. B. Plattformsicherheit, Betrugsprävention)

Als Vermittlungsplattform für regionale Direktvermarktung verarbeiten wir Ihre Daten, um Ihnen unsere Dienste bereitzustellen, Kaufverträge zwischen Verkäufern und Käufern zu vermitteln und die technische Infrastruktur (Bestellprozess, Zahlungsabwicklung, Versandlogistik) zu betreiben.

Kategorien verarbeiteter Daten:

• Bestandsdaten (Name, Vorname, Anschrift)
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Vertragsdaten (Bestellungen, Lieferadressen, Vertriebsweg, Artikelvarianten)
• Zahlungsdaten (Zahlungsmethode, Transaktionsreferenzen – keine vollständigen Kartennummern)
• Abonnement-Daten (Abo-Konfiguration, Intervall, Artikelauswahl, Zahlungsmethoden-Referenz, Abo-Status)
• Bewertungsdaten (Sternebewertung, Kommentartext, Bestellreferenz, Bewertungszeitpunkt, Verkäufer-Antworten)
• Benachrichtigungsdaten (Benachrichtigungspräferenzen pro Kategorie, Push-Abonnement-Endpunkte, VAPID-Schlüssel)
• Nutzungsdaten (Zugriffszeiten, besuchte Seiten, PLZ-basierte Suche, Geräteinformationen)
• Standortdaten (PLZ für Umkreissuche und Liefergebietsprüfung – keine GPS-Daten)

Betroffene Personen: Registrierte Käufer und Gastbesteller, Verkäufer (Landwirte, Erzeuger), Interessenten und Website-Besucher, Geschäftspartner.

Verarbeitungszwecke: Abwicklung und Vermittlung von Kaufverträgen, Kommunikation und Kundenbetreuung, Zahlungsabwicklung über Stripe, Lieferorganisation (regional und deutschlandweiter Versand), Bereitstellung und Verbesserung der Plattform, Erfüllung gesetzlicher Verpflichtungen (steuerlich, handelsrechtlich).

Empfänger der Daten: Verkäufer erhalten die für die Vertragserfüllung erforderlichen Käuferdaten (Name, Lieferadresse, Kontaktdaten). Bei Paketversand erhält DHL (DHL Group, Bonn) die Versand- und Lieferdaten (vgl. Abschnitt 11). Der Zahlungsdienstleister Stripe erhält die für die Zahlungsabwicklung erforderlichen Daten (vgl. Abschnitt 10). Bei Push-Benachrichtigungen werden verschlüsselte Nachrichteninhalte an den Browser-Push-Dienst des Nutzers übermittelt (vgl. Abschnitt 16). Darüber hinaus erfolgt eine Weitergabe nur, soweit gesetzlich erforderlich.

Nach der DSGVO stehen Ihnen folgende Rechte zu, die Sie jederzeit gegenüber der in Ziffer 1 genannten verantwortlichen Stelle geltend machen können:

• Auskunft (Art. 15 DSGVO): Auskunft über Art, Umfang und Zweck der verarbeiteten Daten
• Berichtigung (Art. 16 DSGVO): Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten
• Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung in bestimmten Fällen
• Datenübertragbarkeit (Art. 20 DSGVO): Übermittlung Ihrer Daten in einem strukturierten, maschinenlesbaren Format
• Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen, insbesondere gegen Direktwerbung
• Widerruf (Art. 7 Abs. 3 DSGVO): Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Beschwerde (Art. 77 DSGVO): Beschwerde bei der zuständigen Aufsichtsbehörde (siehe Ziffer 1)

Ausübung Ihrer Rechte: Wenden Sie sich an info@farmerino.de oder postalisch an Farmerino UG (haftungsbeschränkt), Kollwitzstraße 76, 10435 Berlin. Wir antworten binnen eines Monats (Art. 12 Abs. 3 DSGVO).

Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser beim erneuten Besuch unserer Website an uns übermittelt. Sie dienen dazu, unser Angebot nutzerfreundlich, effektiv und sicher zu gestalten.

Notwendige Cookies sind essentiell für die Funktion der Website und ermöglichen grundlegende Funktionen wie Spracheinstellungen, Sitzungsmanagement und Warenkorbfunktion. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Verbindung mit § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz).

Analytik- und Marketing-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Sie helfen uns, die Nutzung der Website zu analysieren und unsere Angebote zu verbessern.

Cookie-Verwaltung: Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Banner, über das Datenschutz-Center auf der Website oder über die Einstellungen Ihres Browsers anpassen. Bitte beachten Sie, dass bei Deaktivierung bestimmter Cookies die Funktionalität der Website eingeschränkt sein kann.

Unsere Plattform wird auf dedizierten Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) in deutschen Rechenzentren gehostet. Hetzner betreibt ISO 27001 zertifizierte Rechenzentren und verarbeitet Daten gemäß unserer Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO).

Cloudflare (CDN, WAF, Bildspeicherung): Zur Beschleunigung der Seitenauslieferung, zum DDoS-Schutz und zur Absicherung unserer Webanwendung setzen wir Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) ein. Sämtlicher Datenverkehr wird über das Cloudflare-Netzwerk geleitet; dabei verarbeitet Cloudflare Ihre IP-Adresse, HTTP-Header und Verbindungsdaten. Statische Inhalte (Produktbilder, Mediendateien) werden über Cloudflare gespeichert und ausgeliefert. Cloudflare setzt ggf. technisch notwendige Sicherheits-Cookies (§ 25 Abs. 2 Nr. 2 TDDDG). Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO, Art. 28 DSGVO). Weitere Informationen: Cloudflare Datenschutzerklärung.

Server-Logfiles: Beim Aufruf unserer Website werden automatisch technische Zugriffsdaten erhoben (IP-Adresse, Zeitpunkt, angeforderte URL, Browser-Informationen). Diese dienen der Systemsicherheit, Fehleranalyse und Angriffserkennung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 7 Tage.

Wenn Sie uns über unser Kontaktformular, per E-Mail (info@farmerino.de) oder telefonisch kontaktieren, werden die von Ihnen angegebenen Daten zur Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Verarbeitete Daten: Name, E-Mail-Adresse, ggf. Telefonnummer, Betreff und Inhalt Ihrer Nachricht, Zeitpunkt der Anfrage sowie Ihre IP-Adresse (zur Spam-Prävention).

Verarbeitungszwecke: Bearbeitung und Beantwortung Ihrer Anfrage, Kundensupport, Qualitätsverbesserung unseres Service, rechtliche Dokumentation.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), soweit Ihre Anfrage auf den Abschluss eines Vertrags gerichtet ist; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Kundenanfragen) im Übrigen.

Speicherdauer: Kontaktanfragen werden nach Abschluss der Bearbeitung gelöscht, sofern nicht gesetzliche Aufbewahrungspflichten oder eine laufende Vertragsbeziehung eine längere Speicherung erfordern. Sie können jederzeit die Löschung Ihrer Kontaktdaten verlangen.

Für die Nutzung bestimmter Funktionen unserer Plattform ist eine Registrierung erforderlich. Alternativ können Sie als Gast bestellen, ohne ein dauerhaftes Nutzerkonto anzulegen. Dabei erheben wir nur die für den jeweiligen Vorgang erforderlichen Daten.

Registrierungsmöglichkeiten: Die Registrierung kann per E-Mail-Adresse und Passwort oder über Google OAuth (Single Sign-On) erfolgen. Bei der Registrierung über Google erhalten wir Ihren Namen, Ihre E-Mail-Adresse und Ihr Profilbild von Google; wir erhalten kein Google-Passwort. Optional kann eine Zwei-Faktor-Authentifizierung (MFA) aktiviert werden.

Für Käufer (registriert oder Gast): Name, Vorname, E-Mail-Adresse, Lieferadresse, Telefonnummer (optional), PLZ (für Umkreissuche und Liefergebietsprüfung), bei registrierten Nutzern zusätzlich ein verschlüsselt gespeichertes Passwort.

Gastbestellung: Bei einer Gastbestellung werden Ihre Daten (Name, E-Mail, Lieferadresse) ausschließlich für die Abwicklung der konkreten Bestellung verarbeitet. Es wird kein dauerhaftes Nutzerkonto angelegt.

Benachrichtigungen: Registrierte Nutzer können Push-Benachrichtigungen aktivieren und ihre Präferenzen individuell konfigurieren (Details siehe Abschnitt 16).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Registrierung und Plattformnutzung), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung – Push-Benachrichtigungen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – KYC-Identitätsprüfung bei Verkäufern nach GwG), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Plattformsicherheit und Betrugsprävention).

Kontolöschung: Sie können Ihr Nutzerkonto jederzeit löschen. Nach der Löschung werden Ihre Daten entfernt, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen (z. B. steuerliche Belege: 10 Jahre, handelsrechtliche Unterlagen: 6 Jahre).

Für die Abwicklung von Bestellungen verarbeiten wir die zur Vertragserfüllung erforderlichen Daten. Der Kaufvertrag kommt zwischen Ihnen (Käufer) und dem jeweiligen Verkäufer zustande; Farmerino vermittelt als Plattformbetreiber.

Erhobene Bestelldaten: Bestell- und Rechnungsanschrift, bestellte Produkte (einschließlich variabler Gewichte und Pfandartikel), Mengen und Preise (ggf. Staffelpreise), gewählte Zahlungsmethode und Transaktionsreferenz, gewählter Vertriebsweg und Lieferadresse, Lieferzeitraum und -präferenzen, Kommunikation mit dem Verkäufer.

Vertriebswege und Datenverarbeitung: Farmerino unterstützt drei Vertriebswege, die jeweils unterschiedliche Datenverarbeitungen erfordern:

• Lieferung (regional): Der Verkäufer liefert selbst. Ihre Lieferadresse wird an den Verkäufer übermittelt.
• Selbstabholung: Sie holen die Ware beim Verkäufer ab. Es wird keine Lieferadresse weitergegeben, lediglich Ihr Name und Kontaktdaten zur Abholkoordination.
• Postversand (deutschlandweit): Der Versand erfolgt über einen Versanddienstleister (siehe Ziffer 11). Ihre Lieferadresse wird an den Versanddienstleister zur Zustellung übermittelt.

Weitergabe an Verkäufer: Bestelldaten werden an den jeweiligen Verkäufer weitergegeben, soweit dies für die Vertragserfüllung erforderlich ist (Name, Lieferadresse, Kontaktdaten, bestellte Produkte). Verkäufer sind eigenständige datenschutzrechtlich Verantwortliche für die Datenverarbeitung im Rahmen der Vertragserfüllung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).

Aufbewahrungsdauer: Bestelldaten werden für die Dauer der Vertragsbeziehung und darüber hinaus für die gesetzlich vorgeschriebenen Zeiträume aufbewahrt (steuerliche Aufbewahrung: 10 Jahre gemäß § 147 AO, handelsrechtlich: 6 Jahre gemäß § 257 HGB).

Für die sichere Abwicklung von Zahlungen nutzen wir Stripe (Stripe Technology Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland) als Zahlungsdienstleister. Stripe ist PCI-DSS Level 1 zertifiziert und erfüllt höchste Sicherheitsstandards. Farmerino nutzt Stripe Connect, um Zahlungen zwischen Käufern und Verkäufern (die jeweils eigene Stripe-Connected-Accounts erhalten) abzuwickeln.

Unterstützte Zahlungsmethoden: Kreditkarte (Visa, Mastercard), Klarna (Rechnung, Ratenzahlung, Sofortzahlung), Amazon Pay, Revolut Pay, Apple Pay und Google Pay. Die verfügbaren Zahlungsmethoden können je nach Bestellwert, Endgerät und Zahlungsanbieter variieren.

An Stripe übermittelte Daten: Zur Zahlungsabwicklung werden Transaktionsbetrag, Zahlungsmethode, Rechnungs- und ggf. Lieferadresse sowie Ihre E-Mail-Adresse an Stripe übermittelt. Vollständige Kreditkartennummern werden zu keinem Zeitpunkt auf unseren Servern gespeichert – die Eingabe erfolgt direkt in den von Stripe bereitgestellten, PCI-konformen Formularfeldern (Stripe Elements).

Sicherheitsmaßnahmen: Ende-zu-Ende-Verschlüsselung aller Zahlungsdaten, 3D-Secure-Authentifizierung (SCA) gemäß PSD2, Radar Fraud Detection zur Betrugserkennung.

KYC-Verifikation für Verkäufer: Im Rahmen der Stripe-Connect-Onboarding werden Verkäufer einer gesetzlich vorgeschriebenen Identitätsprüfung (Know Your Customer) unterzogen. Stripe verarbeitet dabei Identitätsnachweise, Geschäftsdaten und Bankverbindungen als eigenständiger Verantwortlicher.

Drittstaatübermittlung: Stripe Technology Europe (Irland) ist der primäre Datenverarbeiter im EWR. Soweit Daten an Stripe, Inc. (USA) übermittelt werden, erfolgt dies auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zahlungsabwicklung). Weitere Informationen: Stripe Datenschutzerklärung.

Für den Vertriebsweg „Paketversand" (deutschlandweiter Versand) nutzen wir die DHL Group (Deutsche Post DHL Group, Charles-de-Gaulle-Straße 20, 53113 Bonn, Deutschland) als Versanddienstleister.

An DHL übermittelte Daten: Name und Anschrift des Empfängers (Lieferadresse), Name und Anschrift des Absenders (Verkäufer), Paketgewicht und -maße, E-Mail-Adresse oder Telefonnummer für die Zustellbenachrichtigung.

Sendungsverfolgung: Sendungen erhalten eine DHL-Sendungsnummer zur Verfolgung des Zustellstatus. Die Sendungsverfolgungsdaten werden von DHL als eigenständigem Verantwortlichen verarbeitet.

Retouren: Im Falle einer Rücksendung wird ein vorfrankiertes Retourelabel erstellt. Dabei werden die erforderlichen Adressdaten an DHL übermittelt.

Datenverarbeitung im EWR: Sämtliche Datenverarbeitungsvorgänge erfolgen ausschließlich im EWR. Eine Drittstaatübermittlung findet nicht statt. DHL verarbeitet die Daten gemäß unserer Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen: DHL Datenschutzerklärung.

Marketingaktivitäten und Tracking erfolgen ausschließlich mit Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Sie können Ihre Einwilligung jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt.

Verwendete Dienste (nur nach Einwilligung):

• Google Analytics 4 (Google Ireland Ltd.) – Webanalyse mit IP-Anonymisierung, keine Weitergabe an Google Ads ohne separate Einwilligung
• Google Ads Conversion Tracking – Erfolgsmessung von Werbekampagnen
• Google Tag Manager (Server-Side) – Serverseitiges Tag-Management zur datensparsamen Steuerung aller Tracking-Tags; die Verarbeitung erfolgt auf einem eigenen Server innerhalb des EWR
• Meta Pixel (Meta Platforms Ireland Ltd.) – Cookie-basiertes Conversion-Tracking für Facebook/Instagram-Kampagnen (clientseitig)
• Meta Conversions API (CAPI) (Meta Platforms Ireland Ltd.) – Serverseitige Übermittlung von Conversion-Events (z. B. Kauf, Registrierung) direkt von unserem Server an Meta; ermöglicht präzisere Erfolgsmessung auch bei eingeschränktem Cookie-Tracking. Übermittelt werden gehashte Nutzerdaten (E-Mail-Hash, IP-Adresse) sowie Eventdaten (Produktkategorie, Bestellwert)
• Newsletter-Tracking – Öffnungs- und Klickraten zur Optimierung unserer E-Mail-Kommunikation

Zwecke: Verbesserung der Nutzererfahrung, Personalisierung von Inhalten, Erfolgsmessung von Kampagnen (client- und serverseitig via CAPI), Conversion-Optimierung, datensparsames Tag-Management.

Drittstaatübermittlung: Soweit Daten an Google LLC oder Meta Platforms, Inc. (USA) übermittelt werden – einschließlich der serverseitigen Übermittlung über die Meta Conversions API – erfolgt dies auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln. Durch Google Consent Mode v2 wird sichergestellt, dass ohne Ihre Einwilligung keine personenbezogenen Daten an Google-Dienste übermittelt werden.

Ihre Wahlmöglichkeiten: Sie können Ihre Einwilligung über unser Cookie-Banner verwalten, das den Einwilligungsstatus per Google Consent Mode v2 an alle eingebundenen Dienste signalisiert. Zusätzlich können Sie Cookies in Ihren Browser-Einstellungen deaktivieren oder sich direkt bei den jeweiligen Anbietern abmelden (Opt-Out). Einen Widerruf können Sie auch per E-Mail an info@farmerino.de erklären. Bitte beachten Sie, dass ein Widerruf auch die serverseitige Datenübermittlung via CAPI unterbindet.

Wir unterhalten Präsenzen auf verschiedenen Social-Media-Plattformen, um mit unserer Community zu kommunizieren, über regionale Erzeuger und Produkte zu informieren und unseren Kundenservice bereitzustellen.

Unsere Präsenzen: Facebook/Meta, Instagram, LinkedIn, YouTube, WhatsApp Business.

Verarbeitete Daten: Interaktionen (Likes, Kommentare, Shares), Nachrichten und Anfragen, öffentlich zugängliche Profilangaben, aggregierte Statistiken und Insights (Reichweite, demografische Daten der Seitenbesucher).

Gemeinsame Verantwortlichkeit: Für bestimmte Verarbeitungen (insbesondere Seiten-Insights bei Facebook/Instagram) besteht eine gemeinsame Verantwortlichkeit mit dem jeweiligen Plattformbetreiber gemäß Art. 26 DSGVO. Die wesentlichen Inhalte der Vereinbarung sind auf der jeweiligen Plattform einsehbar.

Drittstaatübermittlung: Die Plattformbetreiber haben ihren Sitz teilweise in den USA. Daten können daher außerhalb des EWR verarbeitet werden. Wir nutzen nur Plattformen, die angemessene Schutzmaßnahmen implementiert haben (EU-US Data Privacy Framework, Standardvertragsklauseln).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kundenkommunikation, Community-Building und Marketing). Sie können der Verarbeitung jederzeit widersprechen, indem Sie uns kontaktieren oder sich direkt an den Plattformbetreiber wenden.

Wir haben umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Manipulation zu schützen. Diese Maßnahmen werden regelmäßig überprüft und an aktuelle Bedrohungslagen angepasst.

Technische Maßnahmen: Verschlüsselung aller Datenübertragungen nach dem aktuellen Stand der Technik, sichere Authentifizierungsverfahren mit optionaler Zwei-Faktor-Authentifizierung, verschlüsselte Speicherung und Verbindung zu Datenbanken, automatisierte Bot-Erkennung auf sicherheitsrelevanten Formularen ohne Einsatz personenbezogener Cookies, Schutzmaßnahmen gegen automatisierte Angriffe, regelmäßige Sicherheitsupdates und Patch-Management.

Organisatorische Maßnahmen: Zugriffsberechtigungskonzept nach dem Prinzip der minimalen Berechtigung, Vertraulichkeitsverpflichtung aller Personen mit Datenzugang, regelmäßige Sicherheitsaudits und Penetrationstests, Incident Response Plan für Datenschutzvorfälle.

Hosting und Infrastruktur: Dedizierte Server in deutschen Rechenzentren, ISO 27001 zertifizierte Rechenzentren mit redundanten Systemen, kontinuierliches Monitoring, physische Zugangskontrollen und Umgebungsschutz.

Datenschutz-Vorfälle: Sollte es trotz aller Maßnahmen zu einem Datenschutz-Vorfall kommen, werden wir die zuständige Aufsichtsbehörde binnen 72 Stunden benachrichtigen (Art. 33 DSGVO). Betroffene Personen werden unverzüglich informiert, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht (Art. 34 DSGVO).

Wir löschen Ihre personenbezogenen Daten, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die wichtigsten gesetzlichen Aufbewahrungsfristen sind:

• 10 Jahre: Steuerlich relevante Unterlagen (Rechnungen, Buchungsbelege, Zahlungsnachweise) gemäß § 147 Abs. 1 AO, § 14b UStG
• 6 Jahre: Handelsrechtlich relevante Geschäftsunterlagen (Handelsbriefe, Vertragsübersichten) gemäß § 257 HGB
• Vertragsdauer + 3 Jahre: Vertragsbezogene Daten (regelmäßige Verjährungsfrist gemäß §§ 195, 199 BGB)
• Nach Zweckwegfall: Kontaktanfragen, Nutzungsdaten, Analysedaten, Marketing-Daten

Nach Ablauf der Aufbewahrungsfristen werden die Daten routinemäßig gelöscht oder anonymisiert. Sie können jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten und deren geplante Speicherdauer verlangen (Art. 15 DSGVO).

Wir bieten registrierten Nutzern die Möglichkeit, Web-Push-Benachrichtigungen über ihren Webbrowser zu empfangen. Push-Benachrichtigungen werden nur nach Ihrer ausdrücklichen Aktivierung versendet.

Verarbeitete Daten: Bei Aktivierung wird ein Push-Abonnement erstellt, das technische Zustelldaten (Endpunkt-URL und Verschlüsselungsschlüssel) enthält. Es werden keine Geräte-Identifikatoren oder Standortdaten erhoben. Die Subscription-Daten werden auf unseren Servern im EWR gespeichert.

Kategorien und Steuerung: Sie können Benachrichtigungskategorien (z. B. Bestellstatus, Abonnement-Erinnerungen, Marketing) individuell konfigurieren oder alle Push-Benachrichtigungen global deaktivieren.

Drittstaatübermittlung: Die Zustellung erfolgt verschlüsselt über den Push-Dienst Ihres Browserherstellers. Soweit dieser seinen Sitz außerhalb des EWR hat (z. B. Google, Apple), erfolgt die Übermittlung auf Grundlage des EU-US Data Privacy Framework.

Widerruf: Sie können Push-Benachrichtigungen jederzeit über Ihr Nutzerkonto oder die Browser-Einstellungen deaktivieren. Bei Deaktivierung wird das gespeicherte Push-Abonnement gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Marketing-Benachrichtigungen; Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für bestellungs- und kontobezogene Benachrichtigungen.

Nach Zustellung einer Bestellung können Käufer (registrierte Nutzer und Gastbesteller) eine Bewertung für den jeweiligen Verkäufer abgeben. Bewertungen bestehen aus einer Sternebewertung (1–5) und einem optionalen Freitextkommentar.

Verarbeitete Daten: Bewertungssterne, Kommentartext, Bestellreferenz, Zeitpunkt der Bewertung, Kunden-ID (bei registrierten Nutzern) bzw. Kennung der Gastbestellung. Bei einer Antwort des Verkäufers wird zusätzlich der Antworttext und -zeitpunkt gespeichert.

Bewertung per E-Mail: Nach Zustellung erhalten Sie per E-Mail einen individuellen Bewertungslink, der 14 Tage gültig ist. Der Link enthält einen kryptografisch signierten Token, der keine personenbezogenen Daten enthält und ausschließlich der Zuordnung zur Bestellung dient. Nach Abgabe einer Bewertung wird der Token ungültig.

Öffentlichkeit: Die Sternebewertung und der Kommentar werden auf der Shopseite des Verkäufers öffentlich angezeigt. Gastbewertungen werden ohne Anzeige eines Nutzernamens dargestellt.

Löschung: Bewertungen können von Administratoren im Rahmen der Inhaltsmoderation gelöscht werden. Käufer können die Löschung ihrer Bewertung über info@farmerino.de beantragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Qualitätssicherung im Rahmen der Plattformnutzung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Transparenz und Vertrauensbildung).

Registrierte Käufer können Warenkorb-Abonnements einrichten, bei denen eine frei zusammengestellte Artikelauswahl in einem gewählten Intervall (wöchentlich, alle 2 Wochen, monatlich) automatisch nachbestellt wird.

Verarbeitete Daten: Abo-Konfiguration (Artikelauswahl, Mengen, Intervall, nächster Bestelltermin), zugeordnete Lieferadresse, Zahlungsmethoden-Referenz (keine vollständigen Kartendaten), Abo-Status (aktiv, pausiert, gekündigt).

Automatische Zahlung (Off-Session): Abo-Bestellungen werden automatisch über die bei Stripe hinterlegte Zahlungsmethode abgerechnet, ohne dass der Käufer zum Zeitpunkt der Belastung aktiv eingeloggt sein muss. Die Einwilligung zur wiederkehrenden Belastung wird bei Einrichtung des Abos eingeholt. Stripe verarbeitet die Zahlungsdaten als Auftragsverarbeiter bzw. eigenständiger Verantwortlicher gemäß der Stripe-Datenschutzerklärung.

Aufbewahrung: Abo-Daten werden für die Dauer des aktiven Abonnements gespeichert. Nach Kündigung werden die Daten gemäß den gesetzlichen Aufbewahrungsfristen (vgl. Abschnitt 15) aufbewahrt und anschließend gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – automatische Bestellauslösung gemäß Abo-Vereinbarung); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die wiederkehrende automatische Belastung der Zahlungsmethode).