Datenschutzerklärung

Revoka — EU-Widerrufsbutton für Shopify

Stand: April 2026

Revoka ist eine Shopify-App der Timmgard GmbH, die Online-Shops den gesetzlich vorgeschriebenen EU-Widerrufsbutton nach § 356a BGB und die Ausstellung des Musterwiderrufsformulars ermöglicht. Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der App.

1. Verantwortlicher

Timmgard GmbH, Kurhausstraße 78a, 53773 Hennef, Deutschland. Handelsregister: HRB 17527 (Amtsgericht Siegburg). USt-IdNr.: DE359202464. Vertretungsberechtigt: S. Timm. E-Mail: [email protected].

2. Überblick der Datenverarbeitung

Revoka verarbeitet Widerrufs- und Bestelldaten zur Erfüllung der gesetzlichen Informations-, Bestätigungs- und Dokumentationspflichten nach § 356 und § 356a BGB sowie nach Richtlinie 2011/83/EU (idF 2023/2673). Die Verarbeitung erfolgt im Auftrag des Shop-Betreibers.

3. Erhobene Daten

• Bestellnummer, E-Mail-Adresse, Bestelldatum, Kundenname (zur Identifikation) • Widerrufsgrund (freiwillig, niemals Pflicht) • IP-Adresse und User-Agent (ausschließlich für Rate-Limiting im Arbeitsspeicher, nicht dauerhaft) • Generiertes Musterwiderrufsformular als PDF (Timestamp, Sprache, Händlerdaten)

4. Rechtsgrundlage

• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung des Händlers zur Bereitstellung des Widerrufsprozesses nach § 356a BGB) • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz durch Rate-Limiting) • Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung)

5. Hosting & Datenverarbeiter

Die Datenverarbeitung erfolgt ausschließlich auf EU-Servern (Render Services, Frankfurt, Deutschland). Es gibt keine Datenweitergabe in Drittländer. Mit Render wurde ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen. Transaktionale E-Mails werden über Resend (EU-US Data Privacy Framework zertifiziert) versendet.

6. Speicherdauer

Widerrufs-Einträge werden 6 Monate nach Abschluss des Widerrufs-Prozesses automatisch gelöscht. Bei Deinstallation der App werden sämtliche Daten des Shops innerhalb von 48 Stunden vollständig gelöscht (customers/redact, shop/redact Webhooks).

7. Sicherheit

• TLS-Verschlüsselung für alle Übertragungen • HMAC-signierte State-Parameter zur Verhinderung von Manipulation • Rate-Limiting gegen Missbrauch • Cross-Shop-Isolation durch shopId-Scoping in allen Datenbankabfragen • Honeypot-Felder gegen automatisierte Anfragen • E-Mail-Verifikation bei Order-Lookup

8. Rechte der betroffenen Person

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf einer Einwilligung (Art. 7 Abs. 3). Kontakt: [email protected]. Beschwerderecht bei der Aufsichtsbehörde (LDI NRW).

9. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar.