On this page

Datenschutz & Privatsphäre

Dieses Dokument beschreibt, wie Tajo personenbezogene Daten von Kundschaft der Händler, potenziellen Kunden und Besuchern von Händler-Websites verarbeitet. Unser Engagement für den Datenschutz gewährleistet die Einhaltung der DSGVO, des CCPA und anderer globaler Datenschutzbestimmungen.

Zweck & Datensparsamkeit

Verarbeiten Sie nur die für die Leistungserbringung notwendigen personenbezogenen Daten?

Ja. Tajo verarbeitet nur die wesentlichen personenbezogenen Daten, die erforderlich sind, um:

  • Kundeninformationen mit Brevo für die Marketingautomatisierung zu synchronisieren
  • Treueprogramm-Funktionen zu ermöglichen
  • Kundenbestellungen und Engagement zu verfolgen
  • Mehrkanal-Kommunikationsfähigkeiten bereitzustellen

Personenbezogene Daten umfassen Informationen, die eine eindeutige Person identifizieren können (Name, E-Mail-Adresse) oder auf eine eindeutige Person zurückgeführt werden können (Bestellbetrag, Kunden-ID).

Informieren Sie Händler über die von Ihnen verarbeiteten personenbezogenen Daten und die Zwecke der Verarbeitung?

Ja. Wir bieten vollständige Transparenz durch:

  • Unseren Datenverarbeitungsvertrag (DVV), der alle verarbeiteten Datenkategorien klar definiert
  • Dokumentation, die genau angibt, welche Daten mit Brevo synchronisiert werden
  • Klare API-Dokumentation, die alle übermittelten Datenfelder zeigt
  • Echtzeit-Einblick in Datensynchronisierungsaktivitäten

Beschränken Sie die Nutzung personenbezogener Daten auf diesen Zweck?

Ja. Tajo verwendet personenbezogene Daten ausschließlich für:

  • Die Bereitstellung der Kernplattformdienste gemäß unseren Nutzungsbedingungen
  • Die Synchronisierung von Kundendaten mit Brevo für die Marketingautomatisierung
  • Den Betrieb von Treueprogrammen und Kundenbindungsfunktionen
  • Die Erstellung von Analysen und Erkenntnissen für Händler

Wir verwenden Kundendaten nicht für Zwecke, die über die ausdrücklich vereinbarten hinausgehen.

Einwilligung & Rechtsgrundlage

Haben Sie Datenschutz- und Datenschutzvereinbarungen mit Ihren Händlern?

Ja. Jeder Händler muss unsere folgenden Vereinbarungen akzeptieren:

  • Nutzungsbedingungen – Regeln die Nutzung der Tajo-Plattform
  • Datenverarbeitungsvertrag (DVV) – Definiert unsere Rolle als Datenverarbeiter
  • Datenschutzrichtlinie – Beschreibt unsere Datenhandhabungspraktiken

Diese Vereinbarungen legen fest:

  • Tajo fungiert als Verarbeiter für Händler-Kundendaten
  • Händler fungieren als Verantwortliche und sind für die Einholung der ordnungsgemäßen Einwilligung verantwortlich
  • Klare Verpflichtungen beider Parteien in Bezug auf den Datenschutz

Respektieren und berücksichtigen Sie die Einwilligungsentscheidungen der Kunden?

Ja. Tajo respektiert die Einwilligung der Kunden durch:

  • Automatische Verarbeitung von Abmeldeanfragen aus Brevo
  • Echtzeit-Synchronisierung von Einwilligungspräferenzen
  • Unterdrückung von Mitteilungen an Kunden, die sich abgemeldet haben
  • Berücksichtigung von Kundenpräferenzen über alle Kanäle (E-Mail, SMS, WhatsApp)

Wenn ein Kunde sich abmeldet oder seine Einwilligung widerruft, handelt Tajo sofort:

  1. Synchronisiert die Präferenz mit Brevo
  2. Verhindert zukünftige Marketingkommunikation
  3. Führt Prüfprotokolle über Einwilligungsänderungen

Respektieren und berücksichtigen Sie die Entscheidung der Kunden, den Verkauf ihrer Daten abzulehnen?

Ja. Tajo verkauft Kundendaten unter keinen Umständen. Wir:

  • Teilen personenbezogene Daten niemals zu kommerziellen Zwecken mit Dritten
  • Übermitteln Daten nur im Rahmen der Kernplattformfunktionalität an Brevo
  • Erfüllen die CCPA-Anforderungen „Verkauf meiner personenbezogenen Daten ablehnen”
  • Halten klare Offenlegungen aufrecht, dass kein Datenverkauf stattfindet

Falls Sie personenbezogene Daten für automatisierte Entscheidungsfindung nutzen, die rechtliche oder erhebliche Auswirkungen haben kann – können Kunden widersprechen?

Nicht anwendbar. Tajo führt keine automatisierte Entscheidungsfindung durch, die rechtliche oder ähnlich erhebliche Auswirkungen auf Personen hat. Die Plattform bietet:

  • Marketingautomatisierung (von der sich Kunden vollständig abmelden können)
  • Verwaltung von Treueprogrammen (die von Händlern gesteuert werden)
  • Kundensegmentierung (nur zur Nutzung durch Händler)

Keine dieser Aktivitäten stellt eine automatisierte Entscheidungsfindung mit rechtlichen oder erheblichen Auswirkungen im Sinne von Artikel 22 DSGVO dar.

Speicherung & Sicherheit

Haben Sie Aufbewahrungsfristen, die sicherstellen, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden?

Ja. Tajo implementiert klare Datenspeicherungsrichtlinien:

Aktive Kundendaten:

  • Werden aufbewahrt, solange das Händlerkonto aktiv ist
  • Werden für die laufende Synchronisierung und Plattformfunktionalität verwendet
  • Händler können Kundendaten jederzeit über die Tajo-Oberfläche löschen

Kontobeendigung:

  • Alle Kundendaten werden innerhalb von 90 Tagen nach Kontobeendigung gelöscht
  • Händler können bei Beendigung eine sofortige Datenlöschung beantragen
  • Backup-Daten werden gemäß unserem Backup-Aufbewahrungsplan (30 Tage) bereinigt

Gesetzliche Aufbewahrung:

  • Transaktionsdaten können länger aufbewahrt werden, wenn dies gesetzlich vorgeschrieben ist (z. B. Steuerdokumente)
  • Minimale Daten werden nur für gesetzliche Compliance-Zwecke aufbewahrt

Händler sind verantwortlich für:

  • Die Verwaltung von Aufbewahrungsfristen für ihre eigenen Datenverarbeitungsaktivitäten
  • Das Löschen von Kundendaten, wenn diese nicht mehr benötigt werden
  • Die Einhaltung der geltenden Datenschutzgesetze in ihrer Jurisdiktion

Verschlüsseln Sie Daten im Ruhezustand und bei der Übertragung?

Ja. Tajo setzt branchenübliche Verschlüsselung ein:

Bei der Übertragung:

  • TLS 1.3 für alle Datenübertragungen
  • HTTPS erzwungen für den gesamten Webverkehr
  • Verschlüsselte API-Verbindungen zu Brevo
  • Certificate Pinning für mobile Anwendungen

Im Ruhezustand:

  • AES-256-Verschlüsselung für Datenbankspeicherung
  • Verschlüsselte Backups
  • Verschlüsselte Dateispeicherung für hochgeladene Dokumente
  • Verschlüsselung auf Datenbankebene für sensible Felder (z. B. API-Schlüssel)

Verschlüsseln Sie Ihre Datensicherungen?

Ja. Alle Backup-Daten sind verschlüsselt:

  • Automatisierte tägliche Backups mit AES-256 verschlüsselt
  • Backup-Dateien mit Verschlüsselung im Ruhezustand gespeichert
  • Sicheres Schlüsselmanagement für Backup-Verschlüsselungsschlüssel
  • Regelmäßige Backup-Wiederherstellungstests zur Integritätsprüfung

Trennen Sie Test- und Produktionsdaten?

Ja. Tajo hält eine strikte Trennung aufrecht:

  • Vollständig getrennte Produktions- und Entwicklungs-/Testumgebungen
  • Keine Produktionsdaten in Testumgebungen
  • Testdaten anonymisiert und synthetisch
  • Separate Datenbanken, Server und Zugriffskontrollen
  • Unterschiedliche API-Schlüssel und Anmeldedaten für jede Umgebung

Haben Sie eine Strategie zur Verhinderung von Datenverlust?

Ja. Tajo implementiert umfassende Maßnahmen zur Datenverlustprävention:

Präventive Maßnahmen:

  • Automatisierte Backups alle 24 Stunden
  • Echtzeit-Datenbankreplikation
  • Redundante Speicherung über mehrere Verfügbarkeitszonen
  • Versionskontrolle und Änderungsverfolgung

Erkennung:

  • Automatisierte Überwachung der Datenintegrität
  • Anomalieerkennung für ungewöhnliche Datenzugriffsmuster
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Automatisierte Alarme bei potenziellen Datenverletzungen

Wiederherstellung:

  • Point-in-Time-Recovery-Möglichkeiten
  • Dokumentierte Notfallwiederherstellungsverfahren
  • Regelmäßige Notfallwiederherstellungsübungen
  • RTO (Recovery Time Objective): 4 Stunden
  • RPO (Recovery Point Objective): 24 Stunden

Zugangskontrolle

Begrenzen Sie den Personalzugang zu personenbezogenen Kundendaten?

Ja. Der Zugang zu Kundendaten ist streng kontrolliert:

Zugangs-Prinzipien:

  • Prinzip der geringsten Rechte
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Nur auf Basis des Bedarfs
  • Regelmäßige Zugriffsüberprüfungen (vierteljährlich)

Zugangsstufen:

  • Kein Zugang: Die meisten Mitarbeiter haben keinen Zugang zu Produktionskundendaten
  • Nur-Lesen: Support-Mitarbeiter haben eingeschränkten, protokollierten Lesezugang zur Fehlerbehebung
  • Administrativ: Datenbankadministratoren haben erhöhten Zugang, umfangreich protokolliert
  • Notfall: Notfallzugangsverfahren nur für kritische Vorfälle

Kontrollen:

  • Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiter erforderlich
  • VPN für Fernzugang erforderlich
  • IP-Zulassungsliste für administrativen Zugang
  • Sitzungs-Timeouts und automatische Sperren

Haben Sie strenge Passwortanforderungen für Mitarbeiterpasswörter?

Ja. Tajo setzt unternehmensweite Passwortrichtlinien durch:

Anforderungen:

  • Mindestens 16 Zeichen
  • Muss Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten
  • Kann nicht die letzten 12 Passwörter wiederverwenden
  • Passwortablauf alle 90 Tage
  • Kontosperrung nach 5 fehlgeschlagenen Versuchen

Erweiterte Sicherheit:

  • Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiter obligatorisch
  • Single Sign-On (SSO)-Integration mit dem Unternehmens-Identitätsanbieter
  • Biometrische Authentifizierung unterstützt
  • Passwort-Manager für alle Mitarbeiter erforderlich
  • Regelmäßige Schulungen zum Sicherheitsbewusstsein

Protokollieren Sie den Zugang zu personenbezogenen Daten?

Ja. Umfassende Prüfprotokolle werden geführt:

Protokollierte Aktivitäten:

  • Alle Datenbankabfragen mit Zugriff auf Kundendaten
  • API-Aufrufe an Brevo mit Kundeninformationen
  • Administrativer Zugang zu Produktionssystemen
  • Datenexporte und Massenoperationen
  • Konfigurationsänderungen
  • Fehlgeschlagene Authentifizierungsversuche

Protokolldetails umfassen:

  • Zeitstempel des Zugriffs
  • Benutzeridentität
  • IP-Adresse und Standort
  • Durchgeführte Aktion
  • Zugegriffene Daten (Datensatz-IDs)
  • Erfolg- oder Fehlerstatus

Protokollverwaltung:

  • Protokolle werden mindestens 1 Jahr aufbewahrt
  • Verschlüsselte Protokollspeicherung
  • Manipulationssicheres Protokollierungssystem
  • Regelmäßige Protokollüberprüfungen
  • SIEM-Integration für Echtzeit-Überwachung
  • Automatisierte Warnungen bei verdächtigen Aktivitäten

Haben Sie eine Richtlinie zur Reaktion auf Sicherheitsvorfälle?

Ja. Tajo unterhält einen umfassenden Sicherheitsvorfalls-Reaktionsplan:

Erkennung & Bewertung:

  • 24/7-Sicherheitsüberwachung
  • Automatisierte Bedrohungserkennung
  • Klassifizierung des Schweregrads von Vorfällen
  • Erstbewertung innerhalb von 1 Stunde

Reaktionsteam:

  • Dediziertes Sicherheitsvorfalls-Reaktionsteam
  • Klare Eskalationsverfahren
  • Definierte Rollen und Verantwortlichkeiten
  • Externe Sicherheitsexperten auf Abruf

Reaktionsverfahren:

  1. Eindämmung: Sofortige Isolierung betroffener Systeme
  2. Untersuchung: Forensische Analyse zur Bestimmung von Umfang und Ursache
  3. Beseitigung: Bedrohung entfernen und Schwachstellen schließen
  4. Wiederherstellung: Systeme wiederherstellen und Sicherheit überprüfen
  5. Benachrichtigung: Betroffene Parteien gemäß gesetzlichen Anforderungen benachrichtigen
  6. Nachbesprechung: Lessons learned dokumentieren und Prozesse verbessern

Benachrichtigungsfristen:

  • Händler werden innerhalb von 72 Stunden nach bestätigter Datenschutzverletzung benachrichtigt
  • Aufsichtsbehörden werden gemäß geltendem Recht benachrichtigt (z. B. DSGVO 72-Stunden-Anforderung)
  • Betroffene Personen werden benachrichtigt, wenn ein hohes Risiko für ihre Rechte besteht

Dokumentation:

  • Alle Vorfälle werden ausführlich dokumentiert
  • Jährliche Sicherheitsvorfallberichte
  • Regelmäßige Schulungen und Tabletop-Übungen
  • Kontinuierliche Verbesserung der Reaktionsverfahren

Datenverarbeitungsvertrag (DVV)

Tajo operiert unter einem umfassenden Datenverarbeitungsvertrag, der den Anforderungen von Artikel 28 DSGVO entspricht. Wesentliche Elemente umfassen:

Rollen & Verantwortlichkeiten

  • Tajo fungiert als Verarbeiter für Händler-Kundendaten
  • Händler fungieren als Verantwortliche und sind verantwortlich für:
    • Einholung der ordnungsgemäßen Einwilligung von Kunden
    • Bereitstellung von Datenschutzhinweisen
    • Bearbeitung von Betroffenenrechtsanfragen
    • Bestimmung von Zwecken und Mitteln der Verarbeitung

Verarbeitungsdetails

Zweck: Bereitstellung von Tajo-Plattformdiensten, einschließlich:

  • Kundendatensynchronisierung mit Brevo
  • Verwaltung von Treueprogrammen
  • Mehrkanal-Marketingautomatisierung
  • Analysen und Berichte

Datenkategorien:

  • Kontaktinformationen (Name, E-Mail, Telefon)
  • Bestellhistorie und Transaktionsdaten
  • Kundenpräferenzen und Einwilligungsstatus
  • Verhaltensdaten (Klicks, Öffnungen, Engagement)
  • Treueprogrammdaten (Punkte, Stufen, Belohnungen)

Betroffene Personen:

  • Händlerkunden
  • Website-Besucher
  • Newsletter-Abonnenten
  • Treueprogramm-Mitglieder

Unterauftragsverarbeiter

Tajo beschäftigt folgende Unterauftragsverarbeiter:

UnterauftragsverarbeiterDienstStandortSchutzmaßnahmen
BrevoE-Mail/SMS/WhatsApp-PlattformFrankreich (EU)DSGVO-konform, Standardvertragsklauseln
AWSCloud-InfrastrukturEU-RegionenDSGVO-konform, EU-US-Datenschutzrahmen
CloudflareCDN und SicherheitGlobalStandardvertragsklauseln, Datenlokalisierung

Änderungshinweis:

  • Händler werden 30 Tage vor dem Einsatz neuer Unterauftragsverarbeiter benachrichtigt
  • Recht, neuen Unterauftragsverarbeitern zu widersprechen
  • Alternative Lösungen oder Kündigungsrechte bei begründetem Widerspruch

Rechte der betroffenen Personen

Tajo unterstützt Händler bei der Erfüllung von Betroffenenrechten:

Unterstützte Rechte:

  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung („Recht auf Vergessenwerden”)
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Recht auf Einschränkung der Verarbeitung

Antragsbearbeitung:

  • Händler können Kundendaten jederzeit exportieren
  • Kundendatenlöschung über die Tajo-Oberfläche verfügbar
  • API-Endpunkte für automatisiertes Datenmanagement
  • Antwort auf Betroffenenanfragen innerhalb von 5 Werktagen

Sicherheitsmaßnahmen

Vollständige Sicherheitsmaßnahmen finden Sie in Anhang 4 unseres DVV, einschließlich:

  • Physische und logische Zugangskontrollen
  • Verschlüsselung im Ruhezustand und bei der Übertragung
  • Sicherheitsüberwachung und Vorfallreaktion
  • Regelmäßige Sicherheitsaudits und Penetrationstests
  • Mitarbeiterschulungen und Hintergrundüberprüfungen

Internationale Datenübermittlungen

EU-Datenschutz:

  • Primäre Datenspeicherung in der EU (Belgien, Frankreich)
  • Standardvertragsklauseln für Übermittlungen außerhalb der EU
  • Ergänzende Maßnahmen einschließlich Verschlüsselung und Zugriffskontrollen
  • EU-US-Datenschutzrahmen-Zertifizierung, soweit anwendbar

CCPA-Compliance:

  • Dienstleister-Beziehung klar definiert
  • Kein Verkauf oder Weitergabe personenbezogener Informationen
  • Einhaltung der kalifornischen Datenschutzrechte
  • Unterzeichneter Datenverarbeitungsvertrag

Prüfrechte

Händler haben das Recht auf:

  • Anforderung von Dokumentation zur Compliance von Tajo
  • Überprüfung von Sicherheitszertifizierungen und Prüfberichten
  • Durchführung von Audits (mit angemessener Ankündigung, max. einmal pro Jahr)
  • Erhalt von Sicherheitsdokumentation einschließlich SOC 2-Berichten

Regulatorische Compliance

DSGVO (Datenschutz-Grundverordnung)

Compliance-Status: Vollständig konform

Wesentliche Merkmale:

  • Gültige Rechtsgrundlage für alle Verarbeitungsaktivitäten
  • Datenverarbeitungsvertrag mit allen Händlern
  • Datenschutz-Folgenabschätzungen (DSFA) abgeschlossen
  • Datenschutzbeauftragter ernannt: [email protected]
  • Verletzungsmeldeverfahren (72 Stunden)
  • Verzeichnis der Verarbeitungstätigkeiten geführt
  • Privacy by Design und Privacy by Default Prinzipien

CCPA (California Consumer Privacy Act)

Compliance-Status: Vollständig konform

Wesentliche Merkmale:

  • Dienstleister-Beziehung (Daten nicht verkaufen)
  • Verbraucherrechte unterstützt (Auskunft, Löschung, Widerspruch)
  • Datenschutzrichtlinien-Offenlegungen
  • „Verkauf meiner personenbezogenen Daten ablehnen” berücksichtigt
  • Jährliche Datenschutzschulungen für Mitarbeiter
  • Vertragliche Verpflichtungen gegenüber Händlern

NIS-2-Richtlinie

Anwendbarkeit: Konform, soweit anwendbar

Cybersicherheitsmaßnahmen:

  • Risikomanagement-Rahmen implementiert
  • Meldung von Sicherheitsvorfällen an CSIRTs
  • Anforderungen an die Lieferkettensicherheit
  • Regelmäßige Sicherheitsbewertungen
  • Geschäftskontinuitäts- und Notfallwiederherstellungspläne

DORA (Digital Operational Resilience Act)

Anwendbarkeit: Bereit für Finanzinstitute, die Tajo verwenden

Compliance-Merkmale:

  • IKT-Risikomanagement-Rahmen
  • Verfahren zur Vorfallmeldung
  • Tests der digitalen operativen Resilienz
  • Drittanbieter-Risikomanagement
  • Regulatorische Zugangs- und Prüfrechte

Hinweis: DORA-Bestimmungen gelten nur für regulierte Finanzinstitute. Wenn Sie ein Finanzinstitut sind, das DORA unterliegt, wenden Sie sich für spezifische Compliance-Dokumentation an unser Enterprise-Team.

Kontakt & Support

Datenschutzbeauftragter

E-Mail: [email protected] Aufgabe: Überwacht alle Datenschutz-Compliance-Aktivitäten

Sicherheitsteam

E-Mail: [email protected] Aufgabe: Behandelt Sicherheitsvorfälle und -anfragen

Händler-Support

E-Mail: [email protected] Website: https://tajo.io/support Aufgabe: Allgemeiner Plattformsupport und Hilfestellung

Sicherheitslücke melden

E-Mail: [email protected] PGP-Schlüssel: Verfügbar unter https://tajo.io/security.txt

Wir begrüßen die verantwortungsvolle Offenlegung von Sicherheitslücken und unterhalten ein Bug-Bounty-Programm für qualifizierte Meldungen.

Weitere Ressourcen

Dokumentversion

Version: 1.0 Zuletzt aktualisiert: Januar 2025 Nächste Überprüfung: Juli 2025

Dieses Dokument wird regelmäßig überprüft und aktualisiert, um die fortlaufende Einhaltung sich weiterentwickelnder Datenschutzbestimmungen und bewährter Branchenpraktiken sicherzustellen.

Subscribe to updates

developer-docs

Drop your email or phone number — we'll send you what matters next.

auto-detect
AI-Assistent

Hallo! Fragen Sie mich alles über die Dokumentation.