Datenschutzerklärung

Retractly — EU-Widerrufsbutton für Shopify

Stand: 24. April 2026

Retractly (vormals Revoka bis April 2026) ist eine Shopify-App der Timmgard GmbH, die Online-Shops den gesetzlich vorgeschriebenen EU-Widerrufsbutton nach § 356a BGB ermöglicht. Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der App und ist nach Art. 13 DSGVO strukturiert.

1. Verantwortlicher

Anbieter und Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für den Betrieb der Retractly-App (nachfolgend „die App“) als Software-Service ist:

Timmgard GmbH

Kurhausstraße 78a

53773 Hennef

Deutschland

Handelsregister: HRB 17527 (Amtsgericht Siegburg)

USt-IdNr.: DE359202464

Vertretungsberechtigt: S. Timm

E-Mail: [email protected]

Für die Datenverarbeitung im Rahmen konkreter Widerrufsvorgänge tritt die Timmgard GmbH als Auftragsverarbeiter nach Art. 28 DSGVO auf — siehe Abschnitt 2.

2. Rollenverteilung (Controller / Processor)

Retractly verarbeitet personenbezogene Daten in zwei unterschiedlichen Rollen:

• Als Verantwortlicher nach Art. 4 Nr. 7 DSGVO, soweit es um die Installation, den Betrieb und die Abrechnung der App gegenüber dem Shop-Betreiber geht (z.B. Shopify-Shop-Domain, Admin-Kontaktdaten).

• Als Auftragsverarbeiter nach Art. 28 DSGVO, soweit es um die Widerrufs-Daten von Endkunden des Shops geht. Verantwortlicher für diese Daten ist der Shop-Betreiber (Händler). Die Timmgard GmbH verarbeitet diese Daten ausschließlich auf dokumentierte Weisung des Händlers auf Basis des bei Installation der App geschlossenen Auftragsverarbeitungsvertrags (AVV). Der vollständige AVV ist unter https://tg-ai.de/avv abrufbar.

3. Zwecke der Verarbeitung

Retractly verarbeitet personenbezogene Daten zu folgenden Zwecken:

• Bereitstellung des gesetzlich vorgeschriebenen EU-Widerrufsbuttons nach § 356a BGB sowie der Widerrufsbestätigung nach Art. 11(3) der EU-Richtlinie 2011/83 (idF 2023/2673).

• Zuordnung eingehender Widerrufe zu konkreten Bestellungen des Shops.

• Berechnung und Prüfung der 14-tägigen Widerrufsfrist nach § 355 Abs. 2 BGB.

• Versand einer automatisierten Bestätigungs-E-Mail an den Kunden (dauerhafter Datenträger im Sinne von Art. 11(3) der EU-Richtlinie 2011/83).

• Missbrauchs- und Betrugsprävention durch Rate-Limiting und auffälligkeitsbasiertes Fraud-Flagging (warn-only, siehe Abschnitt 12).

• Protokollierung von Staff-Entscheidungen des Händlers zur Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten (§ 257 Abs. 4 HGB, § 147 AO).

• Erfüllung der Shopify-Compliance-Webhooks CUSTOMERS_DATA_REQUEST, CUSTOMERS_REDACT und SHOP_REDACT.

4. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung des Händlers zur Bereitstellung eines Widerrufsprozesses nach § 356a BGB.

• Art. 6 Abs. 1 lit. b DSGVO — Abwicklung des Widerrufs als vertragliche Nebenpflicht.

• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Missbrauchs- und Betrugsprävention (Rate-Limiting, gekürzte IP-Adresse, Fraud-Flagging) sowie an der Nachvollziehbarkeit von Staff-Entscheidungen (AuditLog).

• Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 257 HGB / § 147 AO — handels- und steuerrechtliche Aufbewahrungspflichten für Staff-Aktionsprotokolle.

• Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 12 Abs. 3 DSGVO — Nachweisbarkeit der fristgerechten Bearbeitung von Betroffenenanfragen.

5. Verarbeitete Datenkategorien — Kunden-Widerrufsdaten

Beim Anlegen eines Widerrufs-Datensatzes werden folgende Daten des widerrufenden Endkunden verarbeitet:

• Bestellnummer

• E-Mail-Adresse

• Bestelldatum

• Kundenname

• Shopify-Customer-ID (sofern vom Shop bereitgestellt)

• Ausgewählte Produkte: Titel, Variante, SKU, Produktbild-URL

• Bestellbetrag (Gesamtwert der Order) und Widerrufsbetrag (Summe der widerrufenen Positionen)

• Lieferdatum (aus Shopify-Fulfillment, sofern verfügbar)

• Berechnete Widerrufsfrist des konkreten Vorgangs

• Widerrufsgrund (freiwillige Angabe, nie Pflichtfeld)

• Sprache des Widerrufsformulars

IP-Adresse und User-Agent: Die volle IP-Adresse wird ausschließlich flüchtig im Arbeitsspeicher für Rate-Limiting (Missbrauchsschutz nach Art. 6 Abs. 1 lit. f DSGVO) vorgehalten. Zusätzlich wird beim Anlegen eines Widerrufs-Datensatzes eine gekürzte Version gespeichert — IPv4 mit genulltem letzten Oktett (z.B. 203.0.113.0), IPv6 als /48-Prefix (z.B. 2001:db8:abcd::/48). Diese Kürzung erfolgt am Speicherzeitpunkt nach dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und dient der Fraud-Detection. Die gekürzte IP und der User-Agent werden zusammen mit dem Widerrufs-Datensatz nach 12 Monaten gelöscht bzw. sofort auf DSGVO-Löschantrag.

Dauerhafter Datenträger: Die automatisierte Bestätigungs-E-Mail an den Kunden dient gleichzeitig als dauerhafter Datenträger im Sinne von Art. 11(3) der EU-Richtlinie 2011/83 und dokumentiert den Eingang des Widerrufs revisionssicher. Retractly generiert keine PDF-Dateien.

6. Verarbeitete Datenkategorien — Staff-Aktionsprotokoll (AuditLog)

Entscheidungen von Mitarbeitenden des Händlers über eingehende Widerrufe (Approve, Reject, Refund) werden in einem separaten Staff-Aktionsprotokoll (AuditLog) dokumentiert. Gespeichert werden:

• Shopify-User-ID des Mitarbeiters

• E-Mail-Adresse des Mitarbeiters

• Volle IP-Adresse des Mitarbeiters (keine Kürzung — Admin-Kontext zur Missbrauchs-Prävention)

• Zeitstempel der Aktion

• Art der Aktion und betroffener Widerrufs-Datensatz

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 257 Abs. 4 HGB und § 147 AO (handels- und steuerrechtliche Aufbewahrungspflicht von 10 Jahren) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nachvollziehbarkeit von Staff-Entscheidungen). Die Daten werden zusammen mit dem Shop-Konto innerhalb von 48 Stunden nach Deinstallation der App gelöscht (SHOP_REDACT-Webhook).

7. Verarbeitete Datenkategorien — GDPR-Request-Protokollierung

Jede über die Shopify-Compliance-Webhooks eingehende Betroffenenanfrage (CUSTOMERS_DATA_REQUEST, CUSTOMERS_REDACT, SHOP_REDACT) wird intern mit Zeitstempel, Request-Typ und Completion-Status in einer GdprRequest-Tabelle protokolliert. Ziel ist die nachweisbare Einhaltung der 30-Tage-Frist nach Art. 12 Abs. 3 DSGVO. Der Eintrag enthält keine zusätzlichen personenbezogenen Daten über die bereits in den betroffenen Tabellen vorhandenen hinaus. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 12 Abs. 3 DSGVO.

8. Empfänger und Sub-Processors

Retractly nutzt folgende Sub-Processors, die jeweils unter einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO eingebunden sind:

• Shopify Inc. — Rolle: Datenquelle über die Shopify-Admin-API, Empfänger der Compliance-Webhooks, Host der Embedded-Admin-Session. Standort: Kanada (Hauptsitz), US-basierte Infrastruktur. Abgedeckt durch die Shopify-DPA inklusive EU-Standardvertragsklauseln.

• Render Services, Inc. — Rolle: Hosting der Anwendung und der PostgreSQL-Datenbank. Standort: Region „Frankfurt (EU Central)“, Datenverarbeitung ausschließlich innerhalb der EU.

• Resend — Rolle: Versand der transaktionalen Bestätigungs-E-Mails. Standort: USA, zertifiziert nach dem EU-US Data Privacy Framework (TADPF).

Darüber hinaus findet keine Weitergabe personenbezogener Daten an Dritte statt. Insbesondere werden keine Daten zu Werbe- oder Profiling-Zwecken verarbeitet oder weitergegeben.

9. Drittland-Transfers

Die App-Infrastruktur und die Datenbank werden ausschließlich in der EU (Frankfurt, Deutschland) betrieben. Transfers in Drittländer (insbesondere in die USA) erfolgen ausschließlich gegenüber den in Abschnitt 8 genannten Sub-Processors Shopify und Resend und sind abgesichert durch:

• EU-US Data Privacy Framework (Resend ist zertifiziert).

• EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 (im Rahmen der Shopify-DPA).

• Ergänzende technische und organisatorische Maßnahmen (Transport-Verschlüsselung, Zugangsbeschränkungen).

10. Speicherdauer

Es gelten folgende Speicherfristen:

• Widerrufs-Datensätze (inkl. gekürzter IP, User-Agent, Produktdaten, Beträge, Lieferdaten): Widerrufs-Datensätze werden 12 Monate nach Abschluss des Widerrufsvorgangs automatisch gelöscht. Die Löschung erfolgt durch einen Cron-gesteuerten Expire-Sweeper mit Audit-Log-Eintrag pro gelöschter Zeile.

• Staff-Aktionsprotokoll (AuditLog): Löschung mit dem Shop-Konto innerhalb von 48 Stunden nach Deinstallation (SHOP_REDACT).

• GdprRequest-Protokoll: gleiche Löschfrist wie der zugrundeliegende Request-Typ; bei SHOP_REDACT innerhalb von 48 Stunden.

• Rate-Limit-Bucket (volle IP im Arbeitsspeicher): flüchtig, typischerweise wenige Minuten, nie persistent gespeichert.

• Shop-Stammdaten (Shop-Domain, Admin-Kontakt, App-Konfiguration): Löschung innerhalb von 48 Stunden nach Deinstallation (SHOP_REDACT).

• Einzelanfrage CUSTOMERS_REDACT: unmittelbare Löschung aller mit dem Kunden verbundenen Widerrufs-Datensätze.

11. Sicherheitsmaßnahmen

Retractly implementiert angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO:

• TLS-Verschlüsselung für alle Datenübertragungen

• Verschlüsselte Datenbank-Backups

• HMAC-signierte State-Parameter gegen Manipulation

• Rate-Limiting auf Request-Ebene (flüchtig im Arbeitsspeicher)

• Cross-Shop-Isolation durch shopId-Scoping in allen Datenbankabfragen

• Honeypot-Felder gegen automatisierte Formular-Einreichungen

• E-Mail-Verifikation beim Order-Lookup

• Zugriff auf personenbezogene Daten ausschließlich für autorisiertes Personal

12. Keine automatisierten Einzelentscheidungen (Art. 22 DSGVO)

Retractly führt keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO durch. Die integrierte Fraud-Detection arbeitet ausschließlich warn-only: Auffällige Muster (z.B. drei oder mehr Widerrufe derselben E-Mail-Adresse oder derselben gekürzten IP innerhalb von 180 Tagen) werden dem Händler als Hinweis im Dashboard markiert. Eine automatische Ablehnung, Sperrung oder Verarbeitungsentscheidung findet nicht statt — die finale Entscheidung über jeden Widerruf trifft der Händler manuell.

13. Kinderschutz (Art. 8 DSGVO)

Retractly verarbeitet im Auftrag des Händlers Widerrufs-Daten von B2C-Kunden, die zuvor einen Kaufvertrag mit dem Shop geschlossen haben. Die Altersprüfung beim Kaufvorgang liegt beim Händler. Retractly erhebt keine Daten direkt von Minderjährigen und richtet sich nicht an Kinder unter 16 Jahren im Sinne von Art. 8 DSGVO.

14. Betroffenenrechte

Endkunden des Shops haben gegenüber dem Händler als Verantwortlichem folgende Rechte:

• Auskunft nach Art. 15 DSGVO

• Berichtigung nach Art. 16 DSGVO

• Löschung nach Art. 17 DSGVO

• Einschränkung der Verarbeitung nach Art. 18 DSGVO

• Datenübertragbarkeit nach Art. 20 DSGVO

• Widerspruch nach Art. 21 DSGVO

• Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO

Anfragen können über den Händler (primär) oder direkt an den Auftragsverarbeiter unter [email protected] gestellt werden. Shopify-seitig eingehende Anfragen werden über die Compliance-Webhooks CUSTOMERS_DATA_REQUEST und CUSTOMERS_REDACT automatisch verarbeitet. Die Beantwortung erfolgt innerhalb der Frist nach Art. 12 Abs. 3 DSGVO (in der Regel 30 Tage).

15. Aufsichtsbehörde

Betroffene haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für die Timmgard GmbH zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)

Kavalleriestr. 2-4

40213 Düsseldorf

Deutschland

16. Datenschutz-Kontakt

Die Timmgard GmbH ist als Unternehmen mit weniger als 250 Mitarbeitenden und ohne Kerntätigkeit mit umfangreicher regelmäßiger Überwachung oder Verarbeitung besonderer Datenkategorien nach § 38 BDSG nicht zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet. Datenschutzanfragen werden zentral unter [email protected] entgegengenommen und innerhalb der gesetzlichen Fristen (Art. 12 Abs. 3 DSGVO, in der Regel maximal 30 Tage) beantwortet.

17. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich die Verarbeitung ändert oder rechtliche Vorgaben dies erfordern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Stand dieser Fassung: 24. April 2026.