Datenschutzerklärung – Saint Charles Organics GmbH

(Stand: September 2025)

1. Verantwortlicher

Saint Charles Organics GmbH
Esterhazygasse 11
1060 Wien, Österreich
Telefon: +43 (0)1 8907987
E-Mail: office@saint-charles.eu

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikationsgesetz (TKG 2003).

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, Adresse, E-Mail-Adresse, IP-Adresse, Kaufverhalten).

3. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
  • Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)
  • Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) – z. B. Verbesserung unseres Angebots, IT-Sicherheit
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – z. B. bei Newsletter, Marketing, Tracking

4. Verarbeitungstätigkeiten im Detail

a) Kontaktaufnahme

Wenn Sie uns per E-Mail oder Formular kontaktieren, speichern wir Ihre Daten zur Bearbeitung Ihrer Anfrage.
Speicherdauer: 6 Monate nach letzter Kommunikation, sofern keine längere Aufbewahrung erforderlich ist.

b) Bestellungen & Vertragsabwicklung

Wir verarbeiten Bestelldaten (Name, Adresse, Kontaktdaten, Zahlungsinformationen, Bestellhistorie).

  • Shop-Plattform: Shopify Inc. (Kanada/USA) – Datentransfers auf Grundlage von SCCs und EU–US Data Privacy Framework
  • ERP-Systeme: Xentral ERP Software GmbH (Deutschland); Sedcloud (EU-Provider, Auftragsverarbeitung)
  • Zahlungsdienstleister: Shopify Payments (Shopify International Ltd., Irland), PayPal, Klarna, Kreditkartenanbieter
  • Versandunternehmen: zur Lieferung der Waren
  • Steuerberater & Behörden: im Rahmen gesetzlicher Pflichten

c) Kundenkonto & Loyalty-Programm (Smile.io)

Bei Anlage eines Kundenkontos werden Daten über das Kundenbindungsprogramm Smile.io (Kanada) verarbeitet. Kanada verfügt über einen EU-Angemessenheitsbeschluss.

d) Newsletter (Klaviyo)

Wir nutzen Klaviyo Inc., USA, zum Versand von Newslettern.
Anmeldung nur mit Double-Opt-In. Widerruf jederzeit möglich.
Datentransfer USA auf Basis von SCCs/DPF.

e) Cloud-Speicherung (Microsoft OneDrive / Office 365)

Zur internen Datenverwaltung nutzen wir Microsoft OneDrive (EU/USA). Hauptspeicherung in EU-Rechenzentren, Datenzugriff aus den USA möglich. Absicherung über SCCs/DPF.

f) Bewertungen & Apps

  • Loox Reviews (Israel/USA): Verarbeitung von Kundenrezensionen inkl. Name/E-Mail
  • Elevar Conversion Tracking, Geolizr, Orderly Emails, Searchanise: Cookies/Tracker für Analyse & Marketing (nur nach Einwilligung)

5. Cookies & Tracking

Wir setzen Cookies und ähnliche Technologien ein:

  • Notwendige Cookies: für Betrieb des Shops (immer aktiv)
  • Statistik-Cookies: z. B. Google Analytics, Meta Pixel → nur nach Einwilligung
  • Marketing-Cookies: z. B. Klaviyo Tracking, Elevar → nur nach Einwilligung

Einwilligungen verwalten Sie jederzeit über unser Cookie-Banner (Complianz) oder den Link „Cookie-Einstellungen“ im Footer.

6. Speicherdauer

  • Vertrags- und Rechnungsdaten: 7 Jahre (steuerrechtlich)
  • Produkthaftungsdaten: 10 Jahre
  • Newsletterdaten: bis zum Widerruf
  • Trackingdaten: max. 26 Monate

7. Empfänger von Daten

  • Shopify (Plattform, Shopify Payments)
  • ERP-Dienstleister (Xentral, Sedcloud)
  • Zahlungsdienstleister (Shopify Payments, PayPal, Klarna, Kreditkartenanbieter)
  • Versandunternehmen
  • Newsletter-Dienstleister (Klaviyo)
  • Loyalty-Programm (Smile.io)
  • Bewertungs-Apps (Loox)
  • IT-/Cloud-Dienstleister (Microsoft, Cloudflare)
  • Behörden & Steuerberater

8. Datentransfers in Drittländer

Einige Anbieter verarbeiten Daten in Drittländern, insbesondere den USA.
Rechtsgrundlagen: Standardvertragsklauseln (SCCs), EU–US Data Privacy Framework (DPF) oder Angemessenheitsbeschlüsse.
Risiko: US-Behörden könnten auf Daten zugreifen, ohne dass wirksame Rechtsbehelfe bestehen.

9. Rechte der betroffenen Personen

Sie haben folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Beschwerden richten Sie an die österreichische Datenschutzbehörde.

10. Technische und organisatorische Maßnahmen (TOMs)

  • SSL-/TLS-Verschlüsselung
  • Mehr-Faktor-Authentifizierung
  • Zugriffsbeschränkung & Rollenmanagement
  • Protokollierung und Monitoring
  • Regelmäßige Backups
  • Schulung der Mitarbeiter

11. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtslagen oder Verarbeitungen ändern. Die jeweils aktuelle Version ist jederzeit auf unserer Website abrufbar.