Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV“) wird geschlossen zwischen

dem Verantwortlichen (Auftraggeber):

Der jeweilige Nutzer (nachfolgend „Merchant“), der die Dienste des Auftragsverarbeiters über den Shopify App Store nutzt,

und

dem Auftragsverarbeiter (Auftragnehmer):

(nachfolgend einzeln „Partei“, gemeinsam „Parteien“)

Dieser AVV ergänzt den zwischen den Parteien bestehenden Hauptvertrag über die Nutzung der Shopify-Applikationen des Auftragsverarbeiters (nachfolgend „Hauptvertrag“) und regelt die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen.

Dieser AVV gilt für folgende Produkte des Auftragsverarbeiters:

• Retractly — Widerrufsmanagement für Shopify
• PackFlow — DHL-Retourenportal und Sendungsverfolgung für Shopify

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1 dieses Vertrags.

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Der AVV beginnt mit der Installation einer der genannten Applikationen durch den Verantwortlichen und endet mit der vollständigen Löschung aller personenbezogenen Daten durch den Auftragsverarbeiter nach Beendigung des Hauptvertrags.

(3) Die Verarbeitung findet ausschließlich im Gebiet der Europäischen Union, des Europäischen Wirtschaftsraums sowie in Drittländern statt, für die ein Angemessenheitsbeschluss nach Art. 45 DS-GVO vorliegt oder für die geeignete Garantien nach Art. 46 DS-GVO bestehen. Näheres regelt § 11.

(1) Der Verantwortliche ist im Rahmen dieses Vertragsverhältnisses für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung, verantwortlich (Art. 4 Nr. 7 DS-GVO).

(2) Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten liegt beim Verantwortlichen. In der Regel erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung gegenüber dem Endkunden) sowie Art. 6 Abs. 1 lit. c DS-GVO (Erfüllung rechtlicher Verpflichtungen, insbesondere des Widerrufsrechts nach § 355 BGB und des Widerrufsbuttons nach § 356a BGB). Der Verantwortliche stellt sicher, dass eine geeignete Rechtsgrundlage für jede Verarbeitung vorliegt.

(3) Der Verantwortliche hat das Recht, dem Auftragsverarbeiter Weisungen hinsichtlich Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Weisungen werden in der Regel durch die Konfiguration und Nutzung der Applikationen erteilt. Darüber hinausgehende Weisungen bedürfen der Textform (E-Mail genügt).

(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten feststellt.

3.1 Weisungsgebundenheit (Art. 28 Abs. 3 lit. a DS-GVO)

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Verantwortlichen nicht erstellt, es sei denn, dies ist zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich (z. B. Backups).

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DS-GVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung bis zu einer Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

3.2 Vertraulichkeit (Art. 28 Abs. 3 lit. b DS-GVO)

(1) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(2) Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertragsverhältnisses fort.

3.3 Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c i.V.m. Art. 32 DS-GVO)

(1) Der Auftragsverarbeiter trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 2 dokumentiert.

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind dem Verantwortlichen mitzuteilen.

3.4 Unterauftragsverarbeitung (Art. 28 Abs. 3 lit. d DS-GVO)

Näheres regelt § 7.

3.5 Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DS-GVO)

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Art. 12–22 DS-GVO genannten Rechte der betroffenen Personen. Die Applikationen bieten hierzu technische Schnittstellen: der Shopify-Webhook customers/data_request triggert einen Datenexport, der Webhook customers/redact triggert die Anonymisierung gemäß § 12 Abs. 1.

(2) Wendet sich eine betroffene Person mit einem Antrag auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch direkt an den Auftragsverarbeiter, leitet dieser den Antrag unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter wird ohne Weisung des Verantwortlichen nicht eigenständig gegenüber der betroffenen Person tätig.

3.6 Unterstützungspflichten (Art. 28 Abs. 3 lit. f DS-GVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32–36 DS-GVO genannten Pflichten, insbesondere bei:

• der Sicherheit der Verarbeitung (Art. 32 DS-GVO),
• der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO),
• der Benachrichtigung der betroffenen Person (Art. 34 DS-GVO),
• der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO),
• der vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DS-GVO).

3.7 Löschung und Rückgabe (Art. 28 Abs. 3 lit. g DS-GVO)

(1) Der Auftragsverarbeiter löscht personenbezogene Daten in zwei voneinander unabhängigen Prozessen:

(a) Laufende Retention-Löschung: Während der aktiven Vertragslaufzeit werden Widerrufs- bzw. Retouren-Datensätze nach Ablauf der in § 12 genannten Aufbewahrungsfristen automatisch durch einen applikationsintegrierten Löschprozess entfernt. Der Löschprozess läuft bei administrativen Zugriffen auf die Applikation und wird intern auf ein Ausführungsintervall von maximal einmal alle 24 Stunden begrenzt, um wiederholte Datenbankoperationen zu vermeiden. Bei jedem Durchlauf werden alle Datensätze gelöscht, deren Aufbewahrungsfrist zum Zeitpunkt der Ausführung abgelaufen ist. Je Löschoperation wird zum Nachweis ein Audit-Log-Eintrag geschrieben.

(b) Uninstall-Löschung: Nach Beendigung des Hauptvertrags bzw. Deinstallation der Applikation löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet wurden. Die Löschung wird durch den Shopify-Webhook shop/redact ausgelöst, den Shopify typischerweise 48 Stunden nach Deinstallation sendet. Die vollständige Löschung der Shop- und Kundendaten erfolgt innerhalb von 30 Tagen nach Erhalt dieses Webhooks und umfasst aufgrund der Datenbankstruktur (Fremdschlüssel mit Cascade-Delete) alle abhängigen Datensätze einschließlich Staff-Aktionsprotokolle und GDPR-Request-Tracking.

(2) Auf Wunsch des Verantwortlichen werden die Daten vor der Löschung, soweit technisch mit vertretbarem Aufwand möglich, in einem gängigen, maschinenlesbaren Format (z. B. CSV oder JSON) an den Verantwortlichen übergeben.

(3) Eine Löschung unterbleibt, soweit nach Unionsrecht oder dem Recht des betreffenden Mitgliedstaats eine Verpflichtung zur weiteren Speicherung besteht — insbesondere buchhalterisch relevante Daten nach § 257 Abs. 4 HGB und § 147 AO mit einer Aufbewahrungsfrist von bis zu zehn Jahren. Bei GDPR-Löschanfragen während der aktiven Vertragslaufzeit erfolgt daher keine vollständige Datensatz-Löschung, sondern eine Anonymisierung der PII-Felder unter Erhalt der Rechnungs- und Nachweisdaten (siehe § 12 Abs. 1).

(4) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen (z. B. Audit-Logs der Staff-Aktionen, GDPR-Request-Tracking), werden entsprechend den gesetzlichen Aufbewahrungsfristen auch über das Vertragsende hinaus aufbewahrt, sofern sie keine PII enthalten oder die PII zum Zeitpunkt der Aufbewahrung anonymisiert werden.

3.8 Nachweispflichten und Kontrollrechte (Art. 28 Abs. 3 lit. h DS-GVO)

Näheres regelt § 10.

(1) Weisungen werden in der Regel durch die Konfiguration und Nutzung der Applikationen (technische Weisungen) erteilt. Darüber hinausgehende Weisungen bedürfen der Textform (E-Mail an [email protected]).

(2) Der Auftragsverarbeiter dokumentiert alle Weisungen und deren Umsetzung.

(3) Weisungsberechtigte Personen auf Seiten des Verantwortlichen sind der Shop-Inhaber sowie die im Shopify-Admin-Bereich als Administratoren eingetragenen Personen.

(4) Empfangsberechtigte Person auf Seiten des Auftragsverarbeiters ist S. Timm (Geschäftsführer), erreichbar unter [email protected].

(1) Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter und beauftragten Personen, die Zugang zu personenbezogenen Daten des Verantwortlichen haben, vor Aufnahme der Tätigkeit schriftlich auf die Vertraulichkeit verpflichtet und über die datenschutzrechtlichen Anforderungen belehrt wurden.

(2) Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit bzw. des Vertragsverhältnisses fort.

(3) Der Auftragsverarbeiter beschränkt den Zugang zu personenbezogenen Daten des Verantwortlichen auf diejenigen Personen, die diesen für die Erfüllung der vertraglichen Pflichten benötigen (Need-to-know-Prinzip).

(1) Der Auftragsverarbeiter hat die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung umgesetzt und wird diese während der gesamten Vertragslaufzeit aufrechterhalten.

(2) Die Maßnahmen müssen ein Schutzniveau gewährleisten, das unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen dem Risiko angemessen ist.

(3) Der Auftragsverarbeiter überprüft die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig und passt diese bei Bedarf dem Stand der Technik an. Ein Unterschreiten des vereinbarten Schutzniveaus ist nicht zulässig.

(4) Wesentliche Änderungen der technischen und organisatorischen Maßnahmen teilt der Auftragsverarbeiter dem Verantwortlichen in Textform mit.

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) im Sinne von Art. 28 Abs. 2 DS-GVO hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor der beabsichtigten Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters in Textform (E-Mail genügt). Der Verantwortliche hat das Recht, gegen die Hinzuziehung oder Ersetzung innerhalb von 30 Tagen nach Zugang der Information Einspruch zu erheben.

(3) Erhebt der Verantwortliche begründeten Einspruch, bemühen sich die Parteien um eine einvernehmliche Lösung. Kommt keine Einigung zustande, steht dem Verantwortlichen ein Sonderkündigungsrecht bezüglich des Hauptvertrags zu, das innerhalb von 14 Tagen nach Scheitern der Einigung auszuüben ist.

(4) Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV festgelegt sind, insbesondere die Verpflichtung, geeignete technische und organisatorische Maßnahmen zu treffen (Art. 28 Abs. 4 DS-GVO).

(5) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die sorgfältige Auswahl und Überwachung der Unterauftragsverarbeiter. Eine darüber hinausgehende Haftung für Pflichtverletzungen des Unterauftragsverarbeiters, die der Auftragsverarbeiter trotz sorgfältiger Auswahl und Überwachung nicht verhindern konnte, ist ausgeschlossen.

(6) Der Auftragsverarbeiter hält die aktuelle Liste der Unterauftragsverarbeiter jederzeit unter https://www.tg-ai.de/avv/unterauftragsverarbeiter abrufbar oder übermittelt sie auf Anfrage per E-Mail.

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Betroffenenrechte nach Art. 12–22 DS-GVO, insbesondere bei:

• Auskunftsrecht (Art. 15 DS-GVO),
• Recht auf Berichtigung (Art. 16 DS-GVO),
• Recht auf Löschung (Art. 17 DS-GVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO),
• Recht auf Datenübertragbarkeit (Art. 20 DS-GVO),
• Widerspruchsrecht (Art. 21 DS-GVO).

(2) Wendet sich eine betroffene Person mit Ansprüchen nach Absatz 1 unmittelbar an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und wartet dessen Weisung ab.

(3) Der Auftragsverarbeiter wird gegenüber betroffenen Personen ohne ausdrückliche Weisung des Verantwortlichen nicht eigenständig tätig.

(4) Der Auftragsverarbeiter protokolliert alle eingehenden GDPR-Anfragen von Shopify (customers/data_request, customers/redact, shop/redact) in einer separaten Tabelle mit Zeitstempel und Completion-Status, um die Einhaltung der 30-Tage-Frist nach Art. 12 Abs. 3 DS-GVO transparent nachweisen zu können.

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DS-GVO) unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden. Diese Frist ist so gewählt, dass der Verantwortliche seiner eigenen Meldepflicht gemäß Art. 33 DS-GVO (72 Stunden nach Bekanntwerden) fristgerecht nachkommen kann.

(2) Die Meldung enthält mindestens folgende Angaben:

• Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze,
• Name und Kontaktdaten des Ansprechpartners für Rückfragen,
• Beschreibung der wahrscheinlichen Folgen der Verletzung,
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Folgen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DS-GVO) und der Benachrichtigungspflicht gegenüber betroffenen Personen (Art. 34 DS-GVO).

(4) Der Auftragsverarbeiter dokumentiert alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen.

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung.

(2) Der Verantwortliche kann die Einhaltung der Pflichten aus diesem AVV wie folgt überprüfen:

(a) Selbstauskunft: Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage, jedoch maximal einmal pro Kalenderjahr, eine schriftliche Selbstauskunft über die Umsetzung der technischen und organisatorischen Maßnahmen, die aktuelle Unterauftragsverarbeiter-Liste sowie die Einhaltung der sonstigen Pflichten aus diesem AVV zur Verfügung. Die Auskunft wird innerhalb von 30 Tagen nach Zugang der Anfrage erteilt.

(b) Vor-Ort-Inspektion: Bei begründetem Verdacht auf einen Verstoß gegen die Pflichten aus diesem AVV — insbesondere nach einer Datenschutzverletzung — hat der Verantwortliche das Recht, Vor-Ort-Inspektionen durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen. Die Inspektion ist mindestens 30 Tage im Voraus in Textform anzukündigen, es sei denn, die Dringlichkeit einer Datenschutzverletzung erfordert eine kürzere Frist.

(3) Der Auftragsverarbeiter verpflichtet sich, bei berechtigten Überprüfungen und Inspektionen im erforderlichen Umfang mitzuwirken.

(4) Jede Partei trägt ihre eigenen Kosten im Zusammenhang mit der Durchführung von Prüfungen und Inspektionen.

(1) Eine Übermittlung personenbezogener Daten in ein Drittland (außerhalb des EWR) erfolgt nur, sofern die besonderen Voraussetzungen der Art. 44–49 DS-GVO erfüllt sind.

(2) Die Datenverarbeitung erfolgt primär auf Servern innerhalb der Europäischen Union (Render: Frankfurt, Deutschland; Resend: Irland, eu-west-1). Ein potenzieller Zugriff auf EU-Daten durch den Unterauftragsverarbeiter aus einem Drittland (z. B. zu Wartungs- oder Supportzwecken durch US-basiertes Personal) ist als Datentransfer im Sinne der DS-GVO anzusehen und wird durch die in Anlage 3 genannten Transfermechanismen abgesichert.

(3) Soweit Unterauftragsverarbeiter in den USA ansässig sind und Unterstützungszugriffe aus den USA erfolgen können, erfolgt der Transfer auf Grundlage des EU-U.S. Data Privacy Frameworks (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023), sofern der jeweilige Unterauftragsverarbeiter unter dem DPF zertifiziert ist. Sofern keine DPF-Zertifizierung vorliegt, erfolgt der Transfer auf Grundlage der Standardvertragsklauseln der Europäischen Kommission (SCCs 2021/914) zuzüglich eines Transfer-Impact-Assessments.

(4) Soweit Unterauftragsverarbeiter in Kanada ansässig sind, erfolgt der Datentransfer auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission für Kanada (Entscheidung 2002/2/EG).

(5) Sollte ein Angemessenheitsbeschluss aufgehoben oder für ungültig erklärt werden, wird der Auftragsverarbeiter unverzüglich alternative Transfermechanismen gemäß Art. 46 DS-GVO (insbesondere Standardvertragsklauseln) einsetzen oder die Übermittlung in das betroffene Drittland einstellen.

(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über jede Änderung der Rechtsgrundlage für Drittlandtransfers.

(1) Der Auftragsverarbeiter löscht personenbezogene Daten nach folgenden Fristen:

Retractly (Widerrufsmanagement):

• Widerrufsdatensätze werden 365 Tage nach ihrer Erstellung durch einen applikationsintegrierten Löschprozess automatisch entfernt. Der Löschprozess wird bei administrativen Zugriffen auf die Applikation ausgelöst und intern auf ein Ausführungsintervall von maximal einmal alle 24 Stunden begrenzt. Zum Ausführungszeitpunkt werden alle Datensätze gelöscht, deren 365-Tage-Frist abgelaufen ist; die eigentliche Datenbankoperation dauert typischerweise wenige Sekunden. Die Aufbewahrungsfrist ist systemseitig festgelegt und aktuell nicht merchantseitig konfigurierbar.
• Bei GDPR-Kundenanfrage (customers/redact) während aktiver Vertragslaufzeit erfolgt eine Anonymisierung des Widerrufsdatensatzes unmittelbar beim Empfang des Webhooks (keine 24-Stunden-Verzögerung): Die PII-Felder (customerName, customerEmail, customerId, ipAddress, userAgent, reasonNote, rejectionReason, Produkt-Titel, -Varianten, -SKU, -Bild-URL) werden auf null gesetzt. Buchhalterisch relevante Felder (orderNumber, orderDate, orderTotal, withdrawalAmount, refundId, refundAmount, refundedAt, status, Zeitstempel) bleiben zur Erfüllung der Aufbewahrungspflichten nach § 257 Abs. 4 HGB und § 147 AO erhalten. Der anonymisierte Datensatz wird mit Ablauf der 365-Tage-Frist zusammen mit den übrigen Datensätzen gelöscht.
• Bei Deinstallation der Applikation: Komplettlöschung aller Shop- und Kundendaten via Shopify-Webhook shop/redact (typischerweise 48 Stunden nach Deinstallation), vollständig abgeschlossen innerhalb von 30 Tagen nach Webhook-Empfang. Die Löschung umfasst Cascade-Delete über alle abhängigen Tabellen und wird unmittelbar ausgeführt — die 24-Stunden-Intervall-Begrenzung der laufenden Retention-Löschung greift hier nicht.

PackFlow (Retourenportal):

• Kunden-PII (Name, E-Mail, Adresse): Anonymisierung nach 6 Monaten nach Abschluss der Retoure.
• Retouren-Datensätze komplett: Löschung nach 2 Jahren nach Abschluss.
• Tracking-Analytics: Löschung nach 90 Tagen.
• Bei Deinstallation: Komplettlöschung aller Daten innerhalb von 30 Tagen nach Erhalt des Shopify-Lösch-Webhooks.

(2) Auf Wunsch des Verantwortlichen kann vor der Löschung ein Export der Daten in einem gängigen Format (CSV, JSON) erfolgen.

(3) Die Löschung technischer Backups erfolgt im Rahmen des regulären Backup-Rotationszyklus des Cloud-Providers, spätestens jedoch innerhalb von 30 Tagen nach der Löschung der Primärdaten.

(4) Staff-Aktionsprotokolle (AuditLog) und GDPR-Request-Tracking werden mit dem Shop-Konto via shop/redact-Webhook cascade-gelöscht und unterliegen nicht der separaten 365-Tage-Retention.

(1) Die Bestellung eines Datenschutzbeauftragten ist beim Auftragsverarbeiter nach § 38 BDSG derzeit nicht erforderlich, da die gesetzlichen Voraussetzungen (mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt, Kerntätigkeit mit umfangreicher regelmäßiger Überwachung oder Verarbeitung besonderer Kategorien) nicht vorliegen.

(2) Sollten sich die Voraussetzungen ändern, wird der Auftragsverarbeiter unverzüglich einen Datenschutzbeauftragten bestellen und den Verantwortlichen über dessen Kontaktdaten informieren.

(3) Für datenschutzrechtliche Anfragen steht der Datenschutz-Kontakt des Auftragsverarbeiters unter [email protected] zur Verfügung.

(1) Die Haftung der Parteien richtet sich nach Art. 82 DS-GVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht DS-GVO-konforme Verarbeitung verursacht wird.

(2) Der Auftragsverarbeiter haftet für den durch die Verarbeitung verursachten Schaden nur, wenn er seinen speziell ihm auferlegten Pflichten aus der DS-GVO nicht nachgekommen ist oder wenn er unter Nichtbeachtung oder entgegen den rechtmäßig erteilten Weisungen des Verantwortlichen gehandelt hat (Art. 82 Abs. 2 DS-GVO).

(3) Der Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DS-GVO).

(4) Die Haftung des Auftragsverarbeiters für vertragliche Ansprüche aus diesem AVV ist auf die Summe der vom Verantwortlichen in den letzten 12 Monaten vor dem haftungsbegründenden Ereignis gezahlten Entgelte begrenzt. Diese Begrenzung gilt nicht für Ansprüche nach Art. 82 DS-GVO sowie für Vorsatz und grobe Fahrlässigkeit.

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine Regelung zu treffen, die dem wirtschaftlichen und rechtlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(2) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag oder sonstigen Vereinbarungen zwischen den Parteien gehen die Bestimmungen dieses AVV vor, soweit es um den Schutz personenbezogener Daten geht.

(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform (E-Mail genügt).

(4) Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, Siegburg.

(5) Dieser AVV tritt mit der Installation einer der genannten Applikationen durch den Verantwortlichen in Kraft und ist elektronisch gültig gemäß Art. 28 Abs. 9 DS-GVO.

A. Retractly — Widerrufsmanagement

Zweck der Verarbeitung: Bereitstellung eines digitalen Widerrufsformulars für Endkunden gemäß § 356a BGB, Verarbeitung und Verwaltung von Widerrufserklärungen, Versand automatisierter E-Mail-Benachrichtigungen an Endkunden und Merchant, Erstattungsmanagement, Fraud-Prävention.

Art der Verarbeitung: Erhebung, Speicherung, Abfrage, Verwendung, Übermittlung (E-Mail-Versand, Shopify-API-Aufrufe), Löschung, Anonymisierung.

Art der personenbezogenen Daten (Endkundendaten):

• Vor- und Nachname des Endkunden
• E-Mail-Adresse des Endkunden
• Shopify-Customer-ID (sofern der Endkunde einen Kundenaccount besitzt)
• IP-Adresse — die volle IP wird ausschließlich flüchtig im Arbeitsspeicher zum Zwecke des Rate-Limitings vorgehalten; zusätzlich wird eine gekürzte Fassung (IPv4 mit genulltem letzten Oktett, IPv6 als /48-Prefix) mit dem Widerrufsdatensatz gespeichert, dient der Fraud-Detection und unterliegt der Retention/Anonymisierung nach § 12
• User-Agent / Browser- und Geräteinformationen
• Storefront-Locale (Sprache, in der das Formular ausgefüllt wurde)
• Bestellnummer
• Bestelldatum
• Bestellbetrag und Widerrufsbetrag
• Lieferdatum (sofern aus Shopify-Fulfillment verfügbar)
• Berechnete Widerrufsfrist-Deadline
• Bestellte Produkte (Titel, Variantentitel, SKU, Bild-URL, Menge, Preis)
• Widerrufsgrund (optional, vom Endkunden ausgewählt)
• Freitext-Anmerkung zum Widerruf (optional, vom Endkunden eingegeben)
• Bearbeitungsstatus und Zeitstempel (Einreichung, Genehmigung, Ablehnung, Erstattung)

Art der personenbezogenen Daten (Mitarbeiterdaten des Merchants):

Bei jeder administrativen Handlung eines Mitarbeiters des Merchants in der Applikation (Genehmigung, Ablehnung, Erstattung, manuelle Auflösung) sowie bei systemseitigen Aktionen (automatisches Ablaufen nach Frist-Überschreitung, GDPR-Anonymisierung) werden folgende Daten in einem Staff-Aktionsprotokoll (AuditLog) protokolliert:

• Shopify-Benutzer-ID des Mitarbeiters
• Name des Mitarbeiters
• E-Mail-Adresse des Mitarbeiters
• IP-Adresse des Admin-Browsers (vollständig, nicht gekürzt, zur Nachvollziehbarkeit von Staff-Entscheidungen; Rechtsgrundlage: Art. 6 Abs. 1 lit. c DS-GVO i. V. m. § 257 Abs. 4 HGB sowie Art. 6 Abs. 1 lit. f DS-GVO — berechtigtes Interesse an Missbrauchsprävention)
• Typ der Aktion
• Zeitstempel

Kategorien betroffener Personen:

• Endkunden des Online-Shops des Verantwortlichen, die einen Widerruf einreichen
• Mitarbeiter des Verantwortlichen (bei Admin-Nutzung)

B. PackFlow — DHL-Retourenportal und Sendungsverfolgung

Zweck der Verarbeitung: Bereitstellung eines Self-Service-Retourenportals für Endkunden, automatische Erstellung von DHL-Retourenlabels und QR-Codes, Sendungsverfolgung, Retourenanalyse.

Art der Verarbeitung: Erhebung, Speicherung, Abfrage, Verwendung, Übermittlung (an DHL-API und E-Mail-Versand), Löschung, Anonymisierung.

Art der personenbezogenen Daten:

• Vor- und Nachname des Endkunden
• E-Mail-Adresse des Endkunden
• Lieferadresse (Straße, PLZ, Stadt, Land)
• IP-Adresse
• Geolokationsdaten (auf Basis der IP-Adresse)
• Browser- und Geräteinformationen (User-Agent)
• Bestellnummer und Bestelldatum
• Bestellte Produkte (Titel, Variante, Menge, Preis, SKU, Bild-URL)
• Retourengrund (optional)
• Freitext-Anmerkungen zur Retoure (optional)
• DHL-Sendungsnummer (Tracking-Nummer)

Kategorien betroffener Personen:

• Endkunden des Online-Shops des Verantwortlichen, die eine Retoure einreichen oder eine Sendungsverfolgung nutzen
• Mitarbeiter des Verantwortlichen (bei Admin-Nutzung: Name, E-Mail, IP-Adresse, Aktions-Protokoll)

C. Automatisierte Einzelentscheidungen

Keine der Applikationen trifft automatisierte Entscheidungen mit Rechtswirkung für den Endkunden im Sinne von Art. 22 DS-GVO. Die in Retractly integrierte Fraud-Detection markiert auffällige Muster (z. B. mehrfach eingereichte Widerrufe derselben Customer-Email oder derselben gekürzten IP-Adresse innerhalb von 180 Tagen) lediglich zur Hinweis-Anzeige an den Merchant; die Entscheidung über Genehmigung oder Ablehnung trifft der Merchant manuell.

Stand: April 2026

1. Vertraulichkeit

1.1 Zutrittskontrolle

• Serverinfrastruktur wird ausschließlich bei professionellen Cloud-Anbietern betrieben (Render Services Inc., Rechenzentrum Frankfurt, Deutschland).
• Kein physischer Zugriff auf Server durch den Auftragsverarbeiter erforderlich.
• Cloud-Anbieter verfügen über zertifizierte Rechenzentren mit physischen Zutrittskontrollen (SOC 2 / ISO 27001).

1.2 Zugangskontrolle

• Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge (Render, Shopify Partner Dashboard, GitHub, Resend).
• Individuelle Benutzerkonten (keine Shared Accounts).
• Passwortrichtlinie: mindestens 16 Zeichen, Nutzung eines Passwortmanagers.
• Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen.
• Verschlüsselung aller administrativen Geräte (Full Disk Encryption).

1.3 Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC) in allen Applikationen.
• Need-to-know-Prinzip: Zugriff auf personenbezogene Daten nur für befugte Personen.
• Mandantentrennung: jeder Shop hat einen eigenen logischen Datenbereich, Zugriff nur auf eigene Daten (siehe 1.4).
• Protokollierung aller administrativen Aktionen in einem Audit-Trail (AuditLog-Tabelle).
• Regelmäßige Überprüfung der Zugriffsberechtigungen.

1.4 Trennungskontrolle

• Logische Mandantentrennung auf Datenbankebene (Row-Level-Isolation über shopId-Spalten in allen relevanten Tabellen).
• Trennung von Produktiv- und Entwicklungsumgebungen (separate Datenbanken, separate API-Credentials).
• Keine Verwendung von Produktivdaten in Testumgebungen.

1.5 Pseudonymisierung und Datenminimierung

• IP-Adressen werden am Speicherzeitpunkt gekürzt: IPv4 mit genulltem letzten Oktett (z. B. 192.0.2.0), IPv6 als /48-Prefix (z. B. 2001:db8:abcd::/48). Die volle IP verlässt den flüchtigen Rate-Limit-Speicher nicht.
• Bei GDPR-Löschanfragen (customers/redact) werden die PII-Felder eines Widerrufsdatensatzes auf null gesetzt (Nullung). Folgende Felder werden geleert: customerName, customerEmail, customerId, ipAddress, userAgent, reasonNote, rejectionReason, sowie die produktbezogenen Metadaten jeder Zeilenposition (Titel, Variantentitel, SKU, Bild-URL).
• Buchhalterisch relevante Felder (Bestellnummer, Bestelldatum, Beträge, Refund-ID, Statusflags, Zeitstempel) bleiben zur Erfüllung der HGB-/AO-Aufbewahrungspflichten erhalten.

2. Integrität

2.1 Weitergabekontrolle

• Transportverschlüsselung mittels TLS 1.2 / 1.3 für alle Verbindungen (HTTPS erzwungen).
• Verschlüsselte Datenbankverbindungen (SSL/TLS).
• API-Authentifizierung über OAuth 2.0 (Shopify), Bearer-Tokens (Resend) sowie API-Keys (DHL).
• Rate-Limiting auf allen öffentlichen Endpunkten zur Abwehr von Missbrauch.
• Keine unverschlüsselte Übermittlung personenbezogener Daten.
• Webhook-Signaturprüfung (HMAC-SHA256) auf allen eingehenden Shopify-Webhooks.

2.2 Eingabekontrolle

• Audit-Trail (AuditLog-Tabelle) für alle sicherheitsrelevanten Aktionen: Genehmigung, Ablehnung, Erstattung, manuelle Auflösung, Bulk-Aktionen, GDPR-Anonymisierung, automatische Retention-Löschung.
• Individuelle Benutzerkonten ermöglichen Nachvollziehbarkeit aller Eingaben.
• Webhook-Deduplizierung auf Basis von x-shopify-webhook-id verhindert doppelte Verarbeitung bei parallelen Zustellungen.
• Signierte Formulardaten (HMAC-verifiziertes State-Encoding) verhindern Manipulation im mehrstufigen Widerrufsprozess.
• Input-Validierung (Zod-Schemata) und Sanitization auf allen öffentlichen Endpunkten zum Schutz vor XSS und Injection.

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

• Hosting bei professionellen Cloud-Anbietern mit vertraglicher Verfügbarkeitszusage (Render Services).
• Automatische Datenbank-Backups (Render PostgreSQL: tägliche automatisierte Backups; Point-in-Time-Recovery gemäß gebuchtem Datenbank-Tier).
• Automatischer Neustart bei Anwendungsfehlern (Health-Check-Endpunkte).
• DDoS-Schutz durch die Cloud-Infrastruktur.

3.2 Rasche Wiederherstellbarkeit

• Point-in-Time-Recovery für die PostgreSQL-Datenbank (abhängig vom aktiven Render-Tier).
• Automatisierte Deployment-Pipeline über Git: Rollback auf eine frühere Version innerhalb von Minuten möglich.
• Dokumentierte Wiederherstellungsverfahren für verschiedene Ausfallszenarien.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

4.1 Datenschutz-Management

• Regelmäßige Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen.
• Datenschutzkonforme Softwareentwicklung nach den Prinzipien Privacy by Design und Privacy by Default (Art. 25 DS-GVO).
• Datenminimierung: es werden nur die für den jeweiligen Zweck erforderlichen Daten erhoben und verarbeitet.
• Applikationsintegrierte Lösch- und Anonymisierungsroutinen gemäß den in § 12 definierten Aufbewahrungsfristen. Die laufende Retention-Löschung wird bei administrativen Zugriffen ausgelöst und intern auf ein 24-Stunden-Intervall begrenzt; die Anonymisierung eines Widerrufsdatensatzes nach einer GDPR-Löschanfrage (customers/redact) erfolgt unmittelbar im Webhook-Handler.

4.2 Incident-Response-Management

• Dokumentierter Prozess für Datenschutzverletzungen.
• Meldung an den Verantwortlichen spätestens innerhalb von 48 Stunden nach Bekanntwerden.
• Nachverfolgung eingehender GDPR-Webhooks in einer dedizierten GdprRequest-Tabelle mit Zeitstempel und Completion-Status zur transparenten Einhaltung der 30-Tage-Frist nach Art. 12 Abs. 3 DS-GVO.

4.3 Auftragskontrolle

• Vertragliche Verpflichtung aller Unterauftragsverarbeiter auf gleichwertige Datenschutzstandards (eigener AVV bzw. Data Processing Addendum mit jedem Unterauftragsverarbeiter).
• Regelmäßige Überprüfung der DPF-Zertifizierungen bzw. der Transfermechanismen aller nicht im EWR ansässigen Unterauftragsverarbeiter.

Stand: April 2026

Hinweis: Änderungen an dieser Liste werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten in Textform mitgeteilt (§ 7 Abs. 2).

Weisungsberechtigte Personen des Verantwortlichen:

Der Shop-Inhaber sowie alle im Shopify-Admin-Bereich als Administratoren eingetragenen Personen.

Empfangsberechtigte Person des Auftragsverarbeiters:

S. Timm (Geschäftsführer)
E-Mail: [email protected]