Datenschutzerklärung

EU-Gewährleistungslabel - amtliche EU-Gewährleistungs-/Garantie-Kennzeichnung für Shopify

Stand: 21. Juni 2026

EU-Gewährleistungslabel ist eine Shopify-App der Timmgard GmbH, die auf Shopify-Produktseiten das amtliche EU-Gewährleistungs- und Garantie-Label nach Verordnung (EU) 2025/1960 berechnet und anzeigt. Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der App und ist nach Art. 13 DSGVO strukturiert. Eine Besonderheit dieser App: Sie verarbeitet keine personenbezogenen Daten von Endkunden des Shops.

1. Verantwortlicher

Anbieter und Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für den Betrieb der EU-Gewährleistungslabel-App (nachfolgend „die App“) als Software-Service ist:

Timmgard GmbH

Kurhausstraße 78a

53773 Hennef

Deutschland

Handelsregister: HRB 17527 (Amtsgericht Siegburg)

USt-IdNr.: DE359202464

Vertretungsberechtigt: S. Timm

E-Mail: [email protected]

Kontaktformular: https://tg-ai.de/kontakt - Antwort innerhalb 24 Stunden zugesichert

Für die Verarbeitung von Shop- und Produktdaten im Auftrag des Händlers tritt die Timmgard GmbH als Auftragsverarbeiter nach Art. 28 DSGVO auf - siehe Abschnitt 2.

2. Rollenverteilung (Controller / Processor)

Die Timmgard GmbH verarbeitet personenbezogene Daten in zwei unterschiedlichen Rollen:

• Als Verantwortlicher nach Art. 4 Nr. 7 DSGVO, soweit es um die Installation, den Betrieb und die Abrechnung der App gegenüber dem Händler geht (z. B. Shopify-Shop-Domain, Anmeldedaten der Mitarbeitenden, App-Konfiguration, Rechenschaftsprotokolle).

• Als Auftragsverarbeiter nach Art. 28 DSGVO, soweit Shop- und Produktdaten des Händlers über die Shopify-Admin-API ausschließlich zur Berechnung und Anzeige des Labels verarbeitet werden. Verantwortlicher für diese Daten ist der Händler. Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Händlers auf Basis des bei Installation der App geschlossenen Auftragsverarbeitungsvertrags (AVV), abrufbar unter https://tg-ai.de/avv.

Der Händler ist als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO selbst dafür zuständig, eine eigene Datenschutzerklärung bereitzustellen, die Rechtsgrundlagen seiner Verarbeitungen zu bestimmen und Betroffenenanfragen seiner Endkunden zu beantworten. Die Timmgard GmbH wird insoweit ausschließlich als Auftragsverarbeiter auf Weisung des Händlers tätig.

3. Zwecke der Verarbeitung

Die App verarbeitet personenbezogene Daten zu folgenden Zwecken:

• Berechnung des Anzeige-Zustands (Render-State) des amtlichen EU-Gewährleistungs- und Garantie-Labels nach Verordnung (EU) 2025/1960 je Produkt und Rückschreiben als app-eigenes Produkt-Metafeld an Shopify. Die Anzeige am Storefront erfolgt über eine Theme App Extension ohne Laufzeit-Aufruf der App.

• Authentifizierung der Sitzung von Mitarbeitenden des Händlers im Shopify-Admin (Shopify-OAuth).

• Bereitstellung eines optionalen Betreiber-Support-Chats (standardmäßig deaktiviert).

• Erfüllung der Rechenschaftspflicht (Aktionsprotokoll) sowie der Shopify-Compliance-Webhooks customers/data_request, customers/redact und shop/redact.

• Schutz des einzigen anonym erreichbaren Endpunkts (Empfang von Slack-Ereignissen) vor Missbrauch durch Rate-Limiting.

4. Verarbeitete Datenkategorien

Die App verarbeitet ausschließlich die folgenden personenbezogenen Daten:

(a) Mitarbeiter-Sitzung (Staff-Session): Bei der Anmeldung über Shopify-OAuth werden Name, E-Mail-Adresse und Shopify-Benutzer-ID (userId) der angemeldeten Mitarbeitenden des Händlers verarbeitet. Sie dienen der Authentifizierung der App-Sitzung.

(b) Optionaler Support-Chat: Nutzt der Händler den in die App integrierten Support-Chat (standardmäßig deaktiviert), werden der vom Händler frei eingegebene Nachrichteninhalt sowie die Shop-Domain verarbeitet und an den Betreiber-Support-Kanal (Slack) übermittelt.

(c) Rechenschaftsprotokolle: Das Aktionsprotokoll (AuditLog) speichert ausschließlich Shop-Domain, Art der Aktion und Zeitstempel. Das Compliance-Webhook-Protokoll (GdprRequest) dokumentiert eingehende Shopify-Compliance-Webhooks. Beide Protokolle enthalten keine personenbezogenen Daten.

(d) IP-Adresse: Am einzigen anonym erreichbaren Endpunkt (Empfang von Slack-Ereignissen) wird die IP-Adresse ausschließlich flüchtig zum Rate-Limiting genutzt und nicht gespeichert.

Keine Endkundendaten: Die App verarbeitet und speichert keine personenbezogenen Daten von Endkunden des Shops. Es werden insbesondere keine Bestell-, Kunden- oder Endkunden-IP-Daten erhoben. Die Shopify-Compliance-Webhooks customers/data_request und customers/redact sind ein dokumentierter No-Op, da keine Kundendaten vorliegen, die exportiert oder gelöscht werden könnten.

5. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO - Erfüllung des Vertrags über die Nutzung der App, insbesondere für die Bereitstellung der App und die Authentifizierung der Mitarbeiter-Sitzung.

• Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse an der Bearbeitung von Support-Anfragen, an der Erfüllung der Rechenschaftspflicht (Aktionsprotokoll) und an der Missbrauchsprävention (Rate-Limiting am anonymen Endpunkt).

• Art. 6 Abs. 1 lit. c DSGVO - Erfüllung rechtlicher Verpflichtungen, insbesondere im Zusammenhang mit den Shopify-Compliance-Webhooks und der Nachweisbarkeit der fristgerechten Bearbeitung von Anfragen.

6. Empfänger und Sub-Prozessoren

Die App bindet folgende Auftragsverarbeiter (Sub-Prozessoren) jeweils auf Basis eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO ein:

• Shopify Inc. (151 O'Connor Street, Ottawa, Ontario K2P 2L8, Kanada) - E-Commerce-Plattform, Datenquelle über die Shopify-Admin-API, Empfänger der Compliance-Webhooks sowie Bereitstellung der Session-Authentifizierung. Standort: Kanada (Hauptsitz), US-basierte Infrastrukturanteile. Abgesichert durch den Angemessenheitsbeschluss für Kanada (Entscheidung 2002/2/EG) sowie das EU-U.S. Data Privacy Framework für US-Anteile, hilfsweise EU-Standardvertragsklauseln 2021/914.

• Render Services Inc. (525 Brannan St, Suite 300, San Francisco, CA 94107, USA) - Hosting der Anwendung und der PostgreSQL-Datenbank. Primärer Server-Standort: Frankfurt, Deutschland (EU). DPF-zertifiziert seit 6. Januar 2025; subsidiär SCCs 2021/914.

• Slack (Slack Technologies Limited, Salesforce Tower, 60 R801, North Dock, Dublin, Irland) - nur sofern der optionale Support-Chat aktiviert ist: Übermittlung des vom Händler eingegebenen Support-Nachrichteninhalts an den Betreiber-Support-Kanal. Vertragspartner ist die EU-Gesellschaft Slack Technologies Limited (Irland); die Slack-/Salesforce-Verarbeitungsinfrastruktur befindet sich in den USA. Soweit eine Verarbeitung in den USA erfolgt, ist diese durch das EU-U.S. Data Privacy Framework (Salesforce/Slack ist seit Juli 2023 zertifiziert) und hilfsweise die EU-Standardvertragsklauseln 2021/914 abgesichert.

Darüber hinaus findet keine Weitergabe personenbezogener Daten an Dritte statt. Insbesondere werden keine Daten zu Werbe- oder Profiling-Zwecken verarbeitet oder weitergegeben.

7. Cookies

Die App setzt am Storefront keine Cookies; das Label wird über ein Produkt-Metafeld und eine Theme App Extension ohne Aufruf der App gerendert. Im eingebetteten Merchant-Dashboard im Shopify-Admin kommen ausschließlich technisch notwendige Cookies der Shopify-Plattform (App-Bridge- bzw. Session-Cookies) zum Einsatz; diese werden von Shopify gesetzt, nicht durch die App. Es findet kein Analytics-, Marketing- oder Drittanbieter-Tracking statt.

8. Drittland-Transfers

Die Anwendung und die Datenbank werden in der EU (Frankfurt, Deutschland) betrieben. Transfers in Drittländer (insbesondere in die USA) erfolgen ausschließlich gegenüber den in Abschnitt 6 genannten Sub-Prozessoren und sind abgesichert durch:

• EU-U.S. Data Privacy Framework (Render, Slack sowie die US-Infrastrukturanteile von Shopify sind zertifiziert),

• EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 als subsidiäre Garantie,

• den Angemessenheitsbeschluss der Europäischen Kommission für Kanada (Hauptsitz von Shopify).

9. Speicherdauer

Es gelten folgende Grundsätze:

• Produkt-Label-Konfigurationen sind keine personenbezogenen Daten und werden mit dem Shop-Konto geführt, solange die App installiert ist.

• Bei Deinstallation der App löst Shopify typischerweise innerhalb von 48 Stunden den Webhook shop/redact aus. Daraufhin werden die Sitzungs- und Shop-Daten gelöscht; per Cascade-Löschung entfallen auch die abhängigen Produkt-Konfigurationen und Support-Konversationen.

• Der Webhook customers/redact ist ein sofortiger No-Op, da keine Endkundendaten vorliegen.

• Die Rechenschaftsprotokolle (AuditLog, GdprRequest) enthalten keine personenbezogenen Daten und werden zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bewusst über die Löschung des Shop-Kontos hinaus aufbewahrt.

10. Sicherheitsmaßnahmen

Die App setzt angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO um:

• TLS-Verschlüsselung für alle Datenübertragungen

• Verschlüsselung der Datenbank im Ruhezustand (Encryption at-rest)

• HMAC-Signaturprüfung und Deduplizierung aller eingehenden Webhooks

• scope-minimierte Shopify-Admin-API (nur die für die Label-Funktion erforderlichen Berechtigungen)

• Maskierung von E-Mail-Adressen in den Anwendungs-Logs

• Mandantentrennung über die Shop-Domain (shopDomain) in allen Datenbankabfragen

11. Keine automatisierten Einzelentscheidungen (Art. 22 DSGVO)

Die App trifft keine automatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO. Die Berechnung des Labels erzeugt ausschließlich einen Anzeige-Zustand für die Produktseite und entfaltet keine rechtliche Wirkung gegenüber betroffenen Personen.

12. Kinderschutz (Art. 8 DSGVO)

Die App richtet sich an Shopify-Händler und deren Mitarbeitende und nicht an Kinder. Sie erhebt keine Daten direkt von Minderjährigen und verarbeitet keine Endkundendaten im Sinne von Art. 8 DSGVO.

13. Betroffenenrechte

Betroffene Personen (insbesondere Mitarbeitende des Händlers) haben folgende Rechte:

• Auskunft nach Art. 15 DSGVO

• Berichtigung nach Art. 16 DSGVO

• Löschung nach Art. 17 DSGVO

• Einschränkung der Verarbeitung nach Art. 18 DSGVO

• Datenübertragbarkeit nach Art. 20 DSGVO

• Widerspruch nach Art. 21 DSGVO

• Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO

Zur Ausübung dieser Rechte genügt eine Nachricht an [email protected]. Die Beantwortung erfolgt innerhalb der Frist nach Art. 12 Abs. 3 DSGVO (in der Regel 30 Tage).

14. Aufsichtsbehörde

Betroffene haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für die Timmgard GmbH zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)

Kavalleriestr. 2-4

40213 Düsseldorf

Deutschland

15. Datenschutz-Kontakt

Die Timmgard GmbH ist als Unternehmen mit weniger als 250 Mitarbeitenden und ohne Kerntätigkeit mit umfangreicher regelmäßiger Überwachung oder Verarbeitung besonderer Datenkategorien nach § 38 BDSG nicht zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet. Datenschutzanfragen werden zentral unter [email protected] entgegengenommen und innerhalb der gesetzlichen Fristen (Art. 12 Abs. 3 DSGVO, in der Regel maximal 30 Tage) beantwortet.

16. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich die Verarbeitung ändert oder rechtliche Vorgaben dies erfordern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Stand dieser Fassung: 21. Juni 2026.