Datenschutzerklärung
1. Identität des Verantwortlichen
Diese Datenschutzerklärung gilt für die durch folgende Stelle verarbeiteten personenbezogenen Daten:
Firmenname: Citibox France SAS — SIRET / RCS Nummer: 853265577 — Sitz: 43, Avenue de la Grande Armée, 75116 Paris (Frankreich) — E-Mail: citiboxfr@citibox.com.
2. Verarbeitete Daten und betroffene Personen
Citibox France SAS betreibt ein Netzwerk von Abhol-/Abgabestellen ("PUDOs") in Partnerschaft mit Frachtführern (u. a. Amazon Hub Counter), das es Paketempfängern ermöglicht, ihre Sendungen in lokalen Partnergeschäften abzuholen.
2.1 Inhaber und Mitarbeiter der Partnergeschäfte (PUDOs) — Als Verantwortlicher erhebt Citibox France SAS: Nachname, Vorname, Firmenname des Geschäfts, Postanschrift, E-Mail-Adresse, Telefonnummer, Bankverbindung zur Auszahlung der Vergütung (0,25 € pro bearbeitetem Paket), Paketvolumen, Öffnungszeiten, Lagerkapazität.
2.2 Paketempfänger (Endnutzer) — Im Rahmen der Tätigkeit als Abholpunktnetzwerk im Auftrag von Frachtführer-Partnern (insbesondere Amazon Hub Counter) verarbeitet Citibox France SAS als Auftragsverarbeiter: Paket-Identifikator, Abholcode, Zeitstempel von Abgabe und Abholung, vom Frachtführer übermittelte Kontaktdaten im Falle eines Vorfalls.
2.3 Besucher der Website — Beim Surfen und durch die Verwendung von Cookies erhebt Citibox France SAS Navigationsdaten gemäß seiner Cookie-Richtlinie.
2.4 Personen, die das Kontaktformular ausfüllen (Leads) — Beim Absenden des Formulars „Werden Sie Abholpunkt" erhebt Citibox France SAS: Name, Geschäftsname, Postanschrift, E-Mail und Telefon, um vom Vertriebsteam kontaktiert zu werden.
3. Zwecke und Rechtsgrundlagen der Verarbeitung
3.1 Verwaltung des PUDO-Netzwerks (Geschäftsinhaber) — Zweck: Verwaltung der Vertragsbeziehungen, Auszahlung der Vergütungen, Vorfallsmanagement, operative Unterstützung. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Buchhaltungs- und Steuerdaten.
3.2 Paketverarbeitung im Auftrag von Frachtführer-Partnern — Zweck: operative Bearbeitung, Nachverfolgung, Vorfallsmanagement. Rechtsgrundlage: Vertragserfüllung des Auftragsverarbeitungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).
3.3 Betrieb der Website und Cookies — Zweck: Sicherstellung des technischen Betriebs, Analyse der Besucher, Verbesserung der Nutzererfahrung. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für streng notwendige Cookies; Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Analyse- und Marketing-Cookies.
3.4 Bearbeitung von Anfragen und Beschwerden — Zweck: Beantwortung von Informationsanfragen, Beschwerden, Wahrnehmung von Rechten. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
3.5 Bearbeitung von Partnerschaftsanfragen (Kontaktformular) — Zweck: Kontaktaufnahme mit Geschäften, die Interesse am Beitritt zum Netzwerk bekundet haben, Übermittlung der Eignungskriterien, Vereinbarung eines Vertriebstermins. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und ausdrückliche Einwilligung über die Checkbox (Art. 6 Abs. 1 lit. a DSGVO).
4. Speicherdauer der Daten
Daten der PUDO-Inhaber (Vertragsdaten): Dauer der Vertragsbeziehung, danach 5 Jahre ab Vertragsende (allgemeine Verjährungsfrist, Art. 2224 frz. Bürgerliches Gesetzbuch).
Buchhaltungs- und Steuerdaten: 10 Jahre gemäß französischem Handelsgesetzbuch.
Operative Paket-Nachverfolgungsdaten: vom Frachtführer-Partner im Auftragsverarbeitungsvertrag festgelegte Dauer.
Navigationsdaten und Cookies: gemäß Cookie-Richtlinie (maximal 13 Monate gemäß CNIL-Empfehlungen).
Daten von Partnerschaftsanfragen (Leads): 12 Monate ab letzter Vertriebsinteraktion, danach Löschung sofern keine Vertragsbeziehung entstand.
Incident-Recovery-Log des Kontaktformulars (nur Fehlerfälle): maximal 30 Tage in einem zugriffsbeschränkten Log-Bucket, ausschließlich zur Wiederherstellung des Leads. Siehe Abschnitt 5 für Details.
5. Empfänger, internationale Übermittlungen und technische Auftragsverarbeiter
Die von Citibox France SAS verarbeiteten personenbezogenen Daten können an folgende Empfänger übermittelt werden:
— Frachtführer-Partner (u. a. Amazon Hub Counter): für die operative Paketverwaltung im Rahmen von Auftragsverarbeitungsverträgen.
— Technische und IT-Dienstleister: Google Cloud Platform (Hosting), Google Workspace (Apps Script + Google Sheets, Speicherung der Kontaktformular-Anfragen). Jeder Auftragsverarbeiter handelt auf Grundlage eines DSGVO-konformen Data Processing Addendums. Die Anti-Bot-Prüfung des Kontaktformulars erfolgt intern (kein Drittanbieter-Auftragsverarbeiter).
— Zuständige Behörden: soweit die Übermittlung nach geltendem Recht erforderlich oder verpflichtend ist (Justizbehörden, Steuerbehörden).
Internationale Übermittlungen: Citibox France SAS verpflichtet sich, personenbezogene Daten nur unter angemessenen Garantien gemäß Art. 44–49 DSGVO an Drittländer zu übermitteln (Angemessenheitsbeschlüsse, Standardvertragsklauseln der Europäischen Kommission, etc.).
Incident-Recovery-Log zur Lead-Wiederherstellung: Falls unsere Infrastruktur Ihre Kontaktformular-Anfrage nicht aufzeichnen kann, speichern wir den Inhalt des Formulars (Name, E-Mail, Telefon, Adresse, Nachricht) vorübergehend für maximal 30 Tage in unseren Incident-Response-Logs, ausschließlich zur manuellen Wiederherstellung des Leads. Der Zugriff ist streng auf unser SRE-Team beschränkt und auditiert. Diese Maßnahme stützt sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), eine von Ihnen eingeleitete Anfrage zu erfüllen.
6. Rechte der betroffenen Personen
Gemäß DSGVO und französischem Datenschutzgesetz hat jede Person, deren Daten von Citibox France SAS verarbeitet werden, folgende Rechte: Auskunftsrecht (Art. 15), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17), Recht auf Einschränkung der Verarbeitung (Art. 18), Recht auf Datenübertragbarkeit (Art. 20), Widerspruchsrecht (Art. 21), Recht auf jederzeitigen Widerruf der Einwilligung.
Zur Ausübung dieser Rechte können Sie Ihren Antrag per E-Mail an citiboxfr@citibox.com richten unter Angabe des Rechts und unter Beifügung einer Kopie eines Identitätsdokuments.
Die Antwortfrist beträgt einen (1) Monat ab Eingang des Antrags und kann bei komplexen oder zahlreichen Anträgen um zwei Monate verlängert werden (Art. 12 DSGVO).
Wenn Sie der Ansicht sind, dass Ihre Rechte nicht gewahrt werden, können Sie eine Beschwerde bei der französischen Datenschutzbehörde (CNIL) einreichen: www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
7. Sicherheitsmaßnahmen
Citibox France SAS setzt geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gemäß Art. 32 DSGVO. Diese Maßnahmen umfassen u. a. die Verschlüsselung der Daten bei Übertragung und im Ruhezustand, Zugriffskontrolle nach dem Prinzip der minimalen Berechtigung sowie Verfahren zum Sicherheitsvorfallsmanagement.
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, verpflichtet sich Citibox France SAS, die CNIL gemäß Art. 33 DSGVO innerhalb von 72 Stunden zu benachrichtigen.
8. Änderungen der Datenschutzerklärung
Citibox France SAS behält sich das Recht vor, diese Datenschutzerklärung jederzeit unter Einhaltung der geltenden Vorschriften zu ändern. Wesentliche Änderungen werden den betroffenen Personen durch Veröffentlichung auf der Website oder durch jedes andere geeignete Kommunikationsmittel mitgeteilt.