1. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher (Art. 4 Nr. 7 DSGVO / § 5 TMG)
MEDIPA HANDELS GmbH
Junkersring 51
53844 Troisdorf (Deutschland)
Tel.: +49 (0) 22 41 25 22 770
Fax: +49 (0) 22 41 25 22 779
E-Mail: info@merinos-eu.de
Vertreten durch: Herr Çağlar Kepekci (Geschäftsführer)
Registergericht: Amtsgericht Siegburg – HRB 9392
Steuernummer: 220/583/30/622 ILN: 43 99901 97542 2
Datenschutzbeauftragter
Herr Kemal Hakan Hasserbetci
Lise-Meitner-Straße 6
40878 Ratingen (Deutschland)
E-Mail: h.hasserbetci@pathdusseldorf.de
Zuständige Aufsichtsbehörde
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4, 40213 Düsseldorf (Deutschland)
E-Mail:poststelle@ldi.nrw.de
Web:https://www.ldi.nrw.de
2. Geltungsbereich und Rechtsgrundlagen
Diese Datenschutzerklärung gilt für alle Verarbeitungstätigkeiten personenbezogener Daten durch dieMEDIPA HANDELS GmbH, einschließlich ihrer Websites
(www.merinos-eu.deundshop.merinos-eu.de), des **B2B-Kundenportals („Händler Login“) **, der Lieferanten- und Auftragsverwaltung, der Personalverwaltung sowie der Gebäudesicherheit.
Die Verarbeitung erfolgt im Einklang mit derDatenschutz-Grundverordnung (EU) 2016/679 (DSGVO)und demBundesdatenschutzgesetz (BDSG).
| Zweck | Rechtsgrundlage | Beispiel |
| Vertragserfüllung | Art. 6 Abs. 1 lit. b DSGVO | Auftrags- und Lieferabwicklung |
| Gesetzliche Verpflichtung | Art. 6 Abs. 1 lit. c DSGVO | Steuer- / Buchführungspflichten |
| Berechtigtes Interesse | Art. 6 Abs. 1 lit. f DSGVO | IT-Sicherheit, Videoüberwachung |
| Einwilligung | Art. 6 Abs. 1 lit. a DSGVO | Marketing, Cookies |
| Beschäftigtendaten | § 26 BDSG | Personal- und Lohnabrechnung |
3. Kategorien verarbeiteter personenbezogener Daten
- Kunden / Geschäftspartner:Kontaktdaten, Firmendaten, Bestellungen, Abrechnungs- und Zahlungsinformationen.
- Lieferanten / Dienstleister:Firmen- und Vertreterdaten, Bankverbindung, Vertragsinformationen.
- Website-Besucher / Portal-Nutzer:Login-Daten, IP-Adresse, Sitzungsdaten, Zugriffsprotokolle.
- Mitarbeitende / Bewerbende:Identifikations-, Personal-, Lohn- und Bewerbungsdaten.
- Besucher:Videoaufzeichnungen auf dem Firmengelände.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) werden nur verarbeitet, soweit dies arbeits- oder versicherungsrechtlich erforderlich ist.
4. Herkunft der Daten
Wir erhalten personenbezogene Daten direkt von Ihnen (z. B. Bestellungen, Portal-Login, E-Mails, Bewerbungen) oder aus öffentlich zugänglichen Quellen wie Handels- und Wirtschaftsregistern sowie von Auskunfteien zur Identitäts- und Bonitätsprüfung.
5. Zwecke der Verarbeitung
- Anbahnung und Durchführung von Verträgen
- Verwaltung von Lieferanten- und Kundenbeziehungen
- Betrieb und Sicherung von IT-Systemen und des B2B-Portals
- Erfüllung gesetzlicher Verpflichtungen
- Personalverwaltung und Lohnabrechnung
- Gebäudesicherheit (Videoüberwachung)
- Marketing und Kommunikation (nur mit Einwilligung)
6. Verarbeitung über das „Händler Login“ (B2B-Kundenportal)
Autorisierte Geschäftspartner nutzen das B2B-Portal, um Bestände einzusehen, Aktionen abzurufen und Bestellungen aufzugeben.
Verarbeitete Daten:E-Mail-Adresse und Passwort, Firmendaten, Bestell- und Rechnungsinformationen, Zugriffsprotokolle.
Rechtsgrundlage:Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit).
Speicherdauer:Während der Vertragsbeziehung aktiv; inaktive Konten werden nach drei Jahren gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Sicherheit:HTTPS/TLS-Verschlüsselung, gehashte Passwörter, Zugriffsbeschränkung, verschlüsselte Backups.
Cookies:Nur Sitzungs-Cookies; werden nach Abmeldung gelöscht.
Login-Hinweis:
Mit Ihrer Anmeldung bestätigen Sie unsere Allgemeinen Geschäftsbedingungen. Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie in dieser Datenschutzerklärung. Ihre Cookie-Einstellungen können Sie jederzeit über den Cookie-Manager verwalten.
6A. Cookies und Tracking-Technologien
Unsere Websites verwenden Cookies und ähnliche Technologien, um die grundlegende Funktionalität zu gewährleisten, Nutzungsstatistiken zu erheben und – soweit Sie einwilligen – Ihr Nutzungserlebnis zu verbessern.
Cookie-Arten:
- Unbedingt erforderliche Cookies– technisch notwendig und zur Sicherung des Betriebs erforderlich; Verarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).
- Präferenz-, Analyse- und Marketing-Cookies– werden nur mit Ihrer Einwilligung verwendet (Art. 6 Abs. 1 lit. a DSGVO / § 25 TTDSG).
Sie können Ihre Einwilligung jederzeit über den auf unserer Website angezeigten Cookie-Manager erteilen, ändern oder widerrufen.
Detaillierte Informationen zu jedem Cookie-Typ, Anbieter und Speicherdauer finden Sie in unserer separaten Cookie-Richtlinie.
7. Empfänger und Kategorien von Empfängern
Personenbezogene Daten werden nur weitergegeben, soweit dies erforderlich ist und unter Wahrung der Vertraulichkeit sowie auf Grundlage von Auftragsverarbeitungsverträgen (Art. 28 DSGVO).
Typische Empfängerkategorien:
- IT-Infrastruktur und Support (Webhosting, Wartung, Sicherheitsdienste)
- Cloud- und Kommunikationsdienste (E-Mail, Speicherung, Backup innerhalb der EU/EWR oder mit angemessenem Schutz)
- Logistik-, Zahlungs- und Bonitätsdienstleister
- Berufliche Berater (Steuer-, Rechts-, Personal- und Arbeitsmedizin)
- Öffentliche Stellen und Gerichte, sofern gesetzlich vorgeschrieben
Ein aktuelles Verzeichnis unserer Auftragsverarbeiter und Unterauftragsverarbeiter führt der Datenschutzbeauftragte und stellt es auf Anfrage zur Verfügung.
8. Datenübermittlungen innerhalb der Europäischen Union
Alle Verarbeitungsvorgänge der MEDIPA HANDELS GmbH finden innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) statt.
Daten können zwischen Servern und Dienstleistern in verschiedenen EU-Mitgliedstaaten ausgetauscht werden – beispielsweise zwischen unserem Hauptsitz in Deutschland und Hosting-Umgebungen in anderen EU-Ländern.
Solche Vorgänge gelten nicht als internationale Datenübermittlungen im Sinne der DSGVO und unterliegen dem einheitlichen Datenschutzniveau innerhalb der EU/EWR.
Wir übermitteln oder ermöglichen keinen Zugriff auf personenbezogene Daten in Länder außerhalb der EU/EWR („Drittländer“).
Sollte dies zukünftig erforderlich werden – z. B. durch den Einsatz eines neuen Dienstleisters – stellt MEDIPA die Einhaltung der Art. 44 bis 49 DSGVO durch geeignete Garantien (z. B. Standardvertragsklauseln) sicher und aktualisiert diese Erklärung entsprechend.
9. Aufbewahrung und Löschung von Daten
Personenbezogene Daten werden nur so lange aufbewahrt, wie es für die jeweiligen Zwecke erforderlich oder gesetzlich vorgeschrieben ist, und anschließend sicher gelöscht oder anonymisiert.
| Kategorie | Aufbewahrungsdauer | Rechtsgrundlage / Quelle |
| Buchhaltungs- und Steuerunterlagen | 10 Jahre | § 147 AO / § 257 HGB |
| Geschäftskorrespondenz | 6 Jahre | § 257 HGB |
| Lohn- und Gehaltsunterlagen | 6 Jahre nach letztem Eintrag | § 41 EStG |
| Sozialversicherungsnachweise | Bis Ende des Jahres nach letzter Prüfung | DEÜV §§ 25 (2), 28 (2) |
| Bankdaten von Mitarbeitenden | Löschung nach Austritt | interne Richtlinie |
| Betriebsrentenunterlagen | Bis zum Ende des Anspruchs | interne Richtlinie |
| Bewerbungsunterlagen | 6 Monate nach Abschluss des Verfahrens | § 15 AGG |
| B2B-Portal-Konten | Vertragslaufzeit + 3 Jahre nach Inaktivität | Art. 5 Abs. 1 lit. e DSGVO |
| Auftrags- / Vertragsdaten | 10 Jahre | AO / HGB |
| Videoaufzeichnungen | 14 Tage | Art. 6 Abs. 1 lit. f DSGVO |
Automatisierte Löschroutinen und regelmäßige Kontrollen stellen die Einhaltung des Art. 5 Abs. 1 lit. e DSGVO sicher. Bestehen gesetzliche Pflichten zur Aufbewahrung, wird die Verarbeitung gemäß Art. 18 DSGVO eingeschränkt.
10. Datensicherheit (Technische und Organisatorische Maßnahmen)
Gemäß Art. 32 DSGVO unterhält MEDIPA umfassende technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Missbrauch – u. a. Zugriffskontrollen, Firewalls, Malware-Schutz, TLS-Verschlüsselung, sichere Speicherung, Schulungen und regelmäßige Audits.
11. Videoüberwachung auf dem Betriebsgelände
Auf dem Firmengelände in Troisdorf werden Videoaufzeichnungen zum Schutz von Eigentum und zur Sicherung von Mitarbeitenden und Besuchern durchgeführt.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Aufzeichnungen werden nach 14 Tagen überschrieben. Es findet keine Tonaufzeichnung statt. Zugriff nur für befugte Personen unter Aufsicht des Datenschutzbeauftragten.
12. Verfahren bei Datenschutzverletzungen
Im Falle einer Datenschutzverletzung folgen wir einem definierten Notfallplan: Eindämmung, Risikobewertung, Meldung an die LDI NRW innerhalb von 72 Stunden (sofern erforderlich), Benachrichtigung betroffener Personen (Art. 34 DSGVO) und Abhilfemaßnahmen. Alle Vorfälle werden im Datenschutz-Vorfallregister erfasst.
13. Datenschutz-Folgenabschätzung (DPIA)
Gemäß Art. 35 DSGVO und § 38 BDSG führt MEDIPA Datenschutz-Folgenabschätzungen für Verarbeitungsvorgänge mit potenziell hohem Risiko (z. B. Videoüberwachung, HR-Systeme, B2B-Portal) durch. Risiken und Schutzmaßnahmen werden jährlich überprüft. Derzeit bestehen keine hohen Restrisiken, die eine vorherige Konsultation nach Art. 36 DSGVO erfordern.
14. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
Wir setzen die Grundsätze des „Privacy by Design und by Default“ um: Datenminimierung, voreingestellte Datenschutzoptionen, rollenbasierte Zugriffsrechte, Verschlüsselung, Prüfung von Dienstleistern und Einbindung des Datenschutzbeauftragten bei neuen Systemen. Diese Maßnahmen werden dokumentiert und regelmäßig evaluiert.
15. Rechenschaftspflicht und kontinuierliche Verbesserung
MEDIPA belegt die Einhaltung der Datenschutzgrundsätze durch ein Datenschutz-Management-System mit regelmäßigen Audits, Verarbeitungsverzeichnissen (Art. 30 DSGVO), Mitarbeiterschulungen, Risikobewertungen, vertraglichen Datenschutzklauseln und regelmäßigen Berichten des Datenschutzbeauftragten an die Geschäftsführung.
16. Rechte der betroffenen Personen
Sie haben gemäß Art. 15 bis 23 DSGVO folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf einer erteilten Einwilligung (jederzeit mit Wirkung für die Zukunft, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu berühren).
Bitte richten Sie Ihre Anfragen an: h.hasserbetci@pathdusseldorf.de.
Wenn Sie der Ansicht sind, dass Ihre Daten unrechtmäßig verarbeitet werden, können Sie sich bei der LDI NRWbeschweren (siehe Abschnitt 1).
17. Aktualisierungen und Versionskontrolle
Diese Datenschutzerklärung wird regelmäßig überprüft und bei rechtlichen, technischen oder organisatorischen Änderungen angepasst.
Jede Version enthält das jeweilige Gültigkeitsdatum. Frühere Versionen werden intern vom Datenschutzbeauftragten zu Nachweiszwecken aufbewahrt.
Letzte Aktualisierung: Oktober 2025