Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Revalis Commerce UG (haftungsbeschränkt)

Marienstraße 9
01067 Dresden
Deutschland

Vertreten durch die Geschäftsführer:
Maurice Harnisch · Georg Naß

Telefon: +49 173 268 30 76
E-Mail: info@revalis.shop

Handelsregister: HRB 47469, Amtsgericht Dresden
USt-IdNr: DE459758017

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Kundinnen und Kunden, Geschäftspartner sowie Websitebesucher ausschließlich im Rahmen der Erforderlichkeit zur Bereitstellung unserer Leistungen sowie zur Erfüllung gesetzlicher Verpflichtungen. Personenbezogene Daten werden nur erhoben, verarbeitet und gespeichert, soweit dies für die jeweilige Verarbeitungstätigkeit notwendig ist und eine Rechtsgrundlage hierfür besteht.

3. Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich ist, dessen Vertragspartei die betroffene Person ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

4. Datensicherheit (technische und organisatorische Maßnahmen)

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Hierzu zählen insbesondere:

Verschlüsselung in der Übertragung: Sämtliche Datenübertragungen zwischen unseren Systemen und externen Diensten erfolgen ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS).
Verschlüsselung in der Speicherung: Datenbanken unseres Cloud-ERP-Systems werden vom Anbieter verschlüsselt gespeichert. Speichervolumes unseres VPS sind LUKS-verschlüsselt.
Zugriffskontrolle: Der Zugriff auf personenbezogene Daten ist auf einen eng begrenzten Personenkreis nach dem Least-Privilege-Prinzip beschränkt. Authentifizierung erfolgt mit individuellen Zugangsdaten und, sofern angeboten, mit Zwei-Faktor-Authentifizierung.
Netzwerksicherheit: Server und Anwendungssysteme sind durch Firewalls und Netzwerksegmentierung geschützt. Administrativer Zugriff erfolgt ausschließlich über gesicherte Verbindungen.
Protokollierung: Sicherheitsrelevante Ereignisse und Datenzugriffe werden protokolliert und in regelmäßigen Abständen ausgewertet. Aufbewahrung der Protokolle erfolgt für mindestens zwölf Monate.
Backups: Daten werden in regelmäßigen Intervallen gesichert. Wiederherstellungsverfahren sind dokumentiert und werden im Bedarfsfall innerhalb von 24 Stunden eingeleitet.
Trennung von Test- und Produktivumgebung: Produktivdaten werden nicht in Test- oder Entwicklungsumgebungen verwendet; dort kommen ausschließlich anonymisierte oder synthetische Daten zum Einsatz.
Mitarbeitende: Personen mit Zugriff auf personenbezogene Daten sind auf die Vertraulichkeit verpflichtet.

Unsere Sicherheitsmaßnahmen werden regelmäßig überprüft und an den jeweiligen Stand der Technik angepasst.

5. Empfänger der Daten und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an Dritte weiter, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht, ein überwiegendes berechtigtes Interesse vorliegt oder eine wirksame Einwilligung der betroffenen Person erteilt wurde.

Soweit wir externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO. Eine vollständige Übersicht unserer Auftragsverarbeiter finden Sie in Abschnitt 11.

6. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies zur Erreichung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben. Im Einzelnen gilt:

Daten zur Bestellabwicklung in aktiven Systemen: bis zu 30 Tage nach erfolgreicher Zustellung beziehungsweise Abschluss des Vorgangs.
Daten mit handels- und steuerrechtlicher Relevanz (Rechnungen, Geschäftsbriefe): bis zu 10 Jahre gemäß §§ 257 HGB, 147 AO.
Server-Protokolldateien: bis zu 30 Tage, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erfordern.
Kommunikation per E-Mail: bis zu drei Jahre nach Abschluss der Korrespondenz, sofern keine vertragsrelevanten Inhalte enthalten sind.

Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert.

7. Rechte der betroffenen Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Abschnitt 1 genannten Kontaktdaten.

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen das Recht zu, Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu erheben, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Für uns zuständig ist:

Sächsischer Datenschutzbeauftragter

Bernhard-von-Lindenau-Platz 1
01067 Dresden

Web: www.saechsdsb.de

9. Einzelne Verarbeitungstätigkeiten

9.1 Bereitstellung dieser Website

Bei jedem Zugriff auf unsere Website werden durch unseren Hosting-Anbieter automatisch Informationen verarbeitet, die Ihr Browser an den Server übermittelt. Hierzu zählen: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene URL, übertragene Datenmenge, Referrer-URL sowie User-Agent (Browser- und Betriebssystem-Information).

Diese Daten werden zur Sicherstellung eines reibungslosen Verbindungsaufbaus, zur komfortablen Nutzung der Website sowie zur Auswertung der Systemsicherheit und -stabilität verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Eine darüberhinausgehende Auswertung, insbesondere zu Marketingzwecken, findet nicht statt.

Diese Website verwendet weder Tracking-Cookies noch Webanalyse-Werkzeuge oder Werbenetzwerke.

9.2 Kontaktaufnahme

Bei der Kontaktaufnahme mit uns per E-Mail werden die übermittelten Daten (z. B. Name, E-Mail-Adresse, Inhalt der Nachricht) zum Zweck der Bearbeitung Ihrer Anfrage und für den Fall von Anschlussfragen gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Daten werden nach Abschluss der Korrespondenz gelöscht, sofern keine vertragsrelevanten Inhalte enthalten sind oder gesetzliche Aufbewahrungspflichten bestehen.

9.3 Verarbeitung von Marktplatzdaten — Amazon Selling Partner API

Wir verarbeiten personenbezogene Daten, die wir über die Amazon Selling Partner API von der Amazon Services Europe S.à r.l. erhalten, zur Abwicklung von Bestellungen, die über den Amazon-Marktplatz an uns übermittelt werden.

Verarbeitete Datenkategorien

Im Rahmen unserer Tätigkeit als Verkaufspartner auf Amazon verarbeiten wir folgende, von Amazon bereitgestellte Datenkategorien:

Bestelldaten (Bestellnummer, Bestelldatum, Artikel, Mengen, Preise, Status)
Käufername, soweit für den Versand erforderlich
Lieferadresse, soweit der Versand durch uns selbst erfolgt (FBM)
Anonymisierte E-Mail-Adresse des Käufers, sofern eine Kontaktaufnahme über das Buyer-Seller-Messaging-System erforderlich ist
Käufernachrichten zu konkreten Bestellungen
Finanzdaten (Gebühren, Auszahlungen, Erstattungen — keine Zahlungsdaten der Käufer)

Zwecke der Verarbeitung

Abwicklung und Versand von Bestellungen, die im Wege des Eigenversands (FBM) durch uns erfüllt werden
Übermittlung von Versandinformationen (Tracking-Nummer) an Amazon zur Information des Käufers
Bearbeitung von Käuferanfragen, Reklamationen und Retouren
Rechnungsstellung und Buchhaltung
Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten
Auswertung von Verkaufs- und Performance-Daten zur Steuerung unseres Geschäfts

Rechtsgrundlagen

Die Verarbeitung erfolgt zur Erfüllung des Kaufvertrages zwischen dem Käufer und uns (Art. 6 Abs. 1 lit. b DSGVO), zur Erfüllung steuer- und handelsrechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) sowie auf Grundlage unserer berechtigten Interessen an einem ordnungsgemäßen Geschäftsbetrieb (Art. 6 Abs. 1 lit. f DSGVO).

Empfänger und Auftragsverarbeiter

Im Rahmen der Bestellabwicklung geben wir bestimmte Daten an folgende Empfänger weiter:

Ninox AG (Schweiz) — Cloud-basiertes ERP-System zur internen Verarbeitung der Bestelldaten. Datenverarbeitung auf Grundlage eines Auftragsverarbeitungsvertrages.
Netcup GmbH (Deutschland) — VPS-Hosting des API-Proxys zwischen dem Amazon-System und unserem ERP. Datenverarbeitung ausschließlich in der Bundesrepublik Deutschland.
Sendcloud B.V. (Niederlande) — Erstellung von Versandlabels und Übermittlung der Versanddaten an den jeweiligen Versanddienstleister.
Deutsche Post DHL Group (Deutschland) — Versanddienstleister für die physische Zustellung der Sendung an den Käufer.
Steuerberatung und externe Buchhaltung, soweit für die ordnungsgemäße Erfüllung steuer- und handelsrechtlicher Pflichten erforderlich.

Eine darüberhinausgehende Weitergabe an Dritte findet nicht statt. Die Daten werden nicht für Werbung, Profiling oder eine Weitergabe an Dritte zu Marketingzwecken genutzt.

Speicherdauer

Personenbezogene Daten aus Amazon-Bestellungen werden in unseren aktiven Systemen für maximal 30 Tage nach erfolgreicher Zustellung der Sendung bzw. nach Abschluss eines damit verbundenen Vorgangs (z. B. Retoure, Reklamation) vorgehalten. Im Anschluss werden personenbezogene Daten gelöscht; eine Aufbewahrung erfolgt lediglich in unserer Finanzbuchhaltung im Rahmen der gesetzlichen Aufbewahrungspflichten (§§ 257 HGB, 147 AO; in der Regel 10 Jahre).

Datensicherheit

Die Datenübertragung zwischen der Amazon Selling Partner API und unseren Systemen erfolgt ausschließlich über TLS-verschlüsselte Verbindungen unter Verwendung temporärer Zugriffstoken. Speicherung erfolgt verschlüsselt. Der Zugriff ist auf einen klar definierten Personenkreis beschränkt. Bei sicherheitsrelevanten Vorfällen erfolgt eine unverzügliche Meldung an die zuständigen Stellen, einschließlich an security@amazon.com innerhalb von 24 Stunden nach Kenntniserlangung.

9.4 Verarbeitung von Marktplatzdaten — weitere Marktplätze

Im Rahmen unseres Vertriebs über weitere Marktplätze (Kaufland, eBay) verarbeiten wir vergleichbare Datenkategorien zu vergleichbaren Zwecken. Auftragsverarbeiter und Speicherdauer entsprechen den unter Abschnitt 9.3 dargestellten Grundsätzen.

9.5 Buchhaltung und Steuerberatung

Zur ordnungsgemäßen Erfüllung unserer handels- und steuerrechtlichen Pflichten geben wir bestimmte personenbezogene Daten an unsere Steuerberatung sowie unseren Buchhaltungsdienstleister weiter. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. den einschlägigen handels- und steuerrechtlichen Vorschriften.

10. Drittlandsübermittlung

Sofern Daten an Auftragsverarbeiter mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, erfolgt dies ausschließlich auf Grundlage eines Angemessenheitsbeschlusses der Europäischen Kommission oder unter Verwendung der EU-Standardvertragsklauseln (SCC) in Verbindung mit ergänzenden Schutzmaßnahmen. Für die Schweiz besteht ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO.

11. Übersicht der Auftragsverarbeiter

Dienstleister	Sitz	Zweck
Ninox AG	Schweiz	Cloud-ERP / Speicherung von Bestell- und Bestandsdaten
Netcup GmbH	Deutschland	VPS-Hosting / Betrieb des API-Proxys
Sendcloud B.V.	Niederlande	Versandlabel-Erstellung für FBM-Bestellungen
Deutsche Post DHL Group	Deutschland	Versanddienstleister
Amazon Services Europe S.à r.l.	Luxemburg	Marktplatzbetrieb (Amazon.de)
Kaufland e-commerce Services GmbH & Co. KG	Deutschland	Marktplatzbetrieb (Kaufland.de)
eBay GmbH	Deutschland	Marktplatzbetrieb (eBay.de)

12. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den unten angegebenen Stand. Aufgrund der Weiterentwicklung unserer Verarbeitungstätigkeiten oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Website abgerufen werden.

Stand: Mai 2026 · Version 1.0