Datenschutzerklärung
Diese Erklärung beschreibt, wie die Anwendung Checkout Guard („die App“) — eine Shopify-App, die Lieferadressen und Warenkorb-Limits im Checkout validiert — personenbezogene Daten verarbeitet. Sie unterscheidet zwei grundlegend verschiedene Situationen: Daten des Händlerkontos (für die der Herausgeber Verantwortlicher ist) und Kundendaten, die im Checkout ausgewertet werden (für die der Händler Verantwortlicher und der Herausgeber bloßer Auftragsverarbeiter ist).
Rollen: Verantwortlicher und Auftragsverarbeiter
Die App agiert in zwei verschiedenen DSGVO-Rollen:
- Daten des Händlerkontos (der Händler, der die App installiert, und sein Personal): der Herausgeber Jonathan VARELA ist Verantwortlicher.
- Kundendaten, die im Checkout verarbeitet werden (Lieferadresse, Warenkorbinhalt): der Händler ist Verantwortlicher; der Herausgeber handelt als Auftragsverarbeiter (Art. 28), ausschließlich nach Weisung des Händlers und im Rahmen der Bedingungen von Shopify.
Verarbeitete Daten und Zwecke
Daten des Händlerkontos (Herausgeber als Verantwortlicher)
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Shop-Domain, Shopify-OAuth-Zugriffstoken | Authentifizierung der App gegenüber der Shopify-API, Betrieb des eingebetteten Shopify-Adminbereichs | Vertrag (Art. 6.1.b) |
| Identität des Händlerpersonals (ID, Name, E-Mail, Sprache) — nur für von Shopify bereitgestellte „Online“-Sitzungen | Identifizierung des im eingebetteten Shopify-Adminbereich angemeldeten Nutzers | Vertrag (Art. 6.1.b) |
| Regelkonfigurationen (Shop-Domain, Regeltyp, Meldung, Min/Max-Parameter oder Muster) | Erbringung des Dienstes: Durchsetzung der Validierungsregeln im Checkout | Vertrag (Art. 6.1.b) |
| Technische und Sicherheitsprotokolle (vorübergehend) | Sicherheit, Diagnose, Aufrechterhaltung des Dienstes | Berechtigtes Interesse (Art. 6.1.f) |
Die Regelkonfigurationen enthalten keine personenbezogenen Kundendaten: Es handelt sich um Schwellenwerte, Muster und Meldungen, die vom Händler festgelegt werden.
Kundendaten im Checkout (Händler als Verantwortlicher, Herausgeber als Auftragsverarbeiter)
Im Checkout erhält die Validation Function der App innerhalb der Infrastruktur von Shopify die zur Durchsetzung der Händlerregeln erforderlichen Elemente: die Lieferadresse und den Warenkorbinhalt. Diese Daten werden im Arbeitsspeicher ausgewertet, um ein Ergebnis zu erzeugen (zulassen / blockieren + Meldung). Sie werden von der App weder gespeichert noch protokolliert noch an Dritte übermittelt.
Keine Speicherung von Kundendaten
Die App speichert keine personenbezogenen Kundendaten. Die Checkout-Auswertung ist vorübergehend und erfolgt innerhalb der Infrastruktur von Shopify. Kein Kundenprofil, keine Adresshistorie und kein Warenkorbinhalt wird von der App dauerhaft gespeichert.
Empfänger und Auftragsverarbeiter
Die App nutzt keine API oder Dienste Dritter außer Shopify. Empfänger der Daten sind:
| Stelle | Rolle | Betroffene Daten |
|---|---|---|
| Shopify (Shopify International Ltd. / Shopify Inc.) | Commerce-Hosting-Plattform, Ausführung der Validation Function, Abrechnung der App | Alle (der Händler betreibt seinen Shop bereits auf Shopify) |
| HOSTINGER, UAB | Hosting der eingebetteten App und ihres Konfigurationsspeichers | Daten des Händlerkontos |
Die Abrechnung des Abonnements erfolgt durch Shopify (Shopify App Pricing). Die App empfängt, speichert und verarbeitet keinerlei Zahlungsdaten (Kartennummer, Bankverbindung).
Internationale Übermittlungen
Die Daten des Händlerkontos werden bei HOSTINGER, UAB gehostet (Standort: Švitrigailos str. 34, LT-03230 Vilnius, Litauen). Als Plattform kann Shopify Daten außerhalb der Europäischen Union verarbeiten. Diese Übermittlungen werden durch die Standardvertragsklauseln (SCC) der Europäischen Kommission (Art. 46) abgesichert, die in die Datenverarbeitungsbedingungen von Shopify integriert sind; ist ein US-Empfänger nach dem EU-US Data Privacy Framework zertifiziert, kann auch dieser Angemessenheitsmechanismus gelten. Eine Kopie der geeigneten Garantien kann auf Anfrage unter la.forge.des.j@gmail.com angefordert werden (Art. 13.1(f)). Die Datenverarbeitungsbedingungen von Shopify gelten ergänzend zu dieser Erklärung.
Speicherfristen
| Daten | Frist |
|---|---|
| OAuth-Sitzung (Zugriffstoken) | Dauer der Installation; gelöscht bei Deinstallation der App |
| Regelkonfigurationen | Dauer der Installation; gelöscht bei shop/redact (spätestens 48 Std. nach Deinstallation) |
| Technische und Sicherheitsprotokolle | Vorübergehend — nicht über die betriebsbedingte Rotation hinaus archiviert |
| Kundendaten im Checkout | Nicht gespeichert (vorübergehende Auswertung) |
Bei der Deinstallation löscht die App die Sitzungen des Shops (Webhook app/uninstalled). Spätestens 48 Stunden nach der Deinstallation löst Shopify den Webhook shop/redact aus: Die App löscht dann die Regelkonfigurationen und jede verbleibende Sitzung des Shops.
Rechte der betroffenen Personen
Für die Daten des Händlerkontos haben der Händler und sein Personal die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18) und Datenübertragbarkeit (Art. 20). Das Widerspruchsrecht (Art. 21) gilt für Verarbeitungen auf Grundlage des berechtigten Interesses (die technischen und Sicherheitsprotokolle), nicht für auf Vertragsbasis verarbeitete Daten (Art. 6.1.b). Diese Rechte sind per E-Mail an la.forge.des.j@gmail.com ausübbar. Der Herausgeber antwortet innerhalb eines Monats (Art. 12.3).
Für Kundendaten ist der Händler Verantwortlicher: Kunden üben ihre Rechte beim Händler aus. Als Auftragsverarbeiter unterstützt die App den Händler (Art. 28.3.e) — in der Praxis hält sie keine Kundendaten zur Herausgabe oder Löschung vor.
Jede Person kann Beschwerde bei ihrer Aufsichtsbehörde einlegen (Art. 77); in Frankreich die CNIL (3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr).
Compliance-Anfragen über Shopify
Die App beantwortet die obligatorischen Compliance-Webhooks von Shopify:
customers/data_requestundcustomers/redact: Da die App keine personenbezogenen Kundendaten speichert, gibt es nichts bereitzustellen oder zu löschen;shop/redact: Die App löscht die Regelkonfigurationen und Sitzungen des betreffenden Shops.
Datensicherheit
Der Herausgeber setzt angemessene technische und organisatorische Maßnahmen um: Verschlüsselung bei der Übertragung (HTTPS/TLS), Token-Speicherung über den Sitzungsmechanismus von Shopify, Zugriffskontrolle und Datenminimierung (die App fordert nur den strikt erforderlichen Berechtigungsumfang write_validations an und speichert keine Kundendaten).
Cookies und Tracker
Die eingebettete App verwendet nur die strikt notwendigen Cookies und Token zur Authentifizierung und zum Betrieb im Shopify-Adminbereich (App Bridge, Sitzung). Sie verwendet keine Analyse- oder Marketing-Cookies und greift auf keinen Analysedienst Dritter zurück.
CCPA/CPRA-Zusatz (Einwohner Kaliforniens)
Dieser Zusatz ergänzt die Erklärung für Einwohner Kaliforniens und deckt die letzten 12 Monate ab.
Rollen. Für Kundendaten, die im Checkout ausgewertet werden, handelt der Herausgeber als Service Provider (§1798.140) im Auftrag des Händlers (des Business) — Anfragen werden beim Händler ausgeübt. Für Daten des Händlerkontos ist der Herausgeber selbst Business: Anfragen werden direkt bei ihm unter la.forge.des.j@gmail.com ausgeübt.
Kategorien verarbeiteter personenbezogener Daten (§1798.140(v)):
| CCPA-Kategorie | Daten | Zweck |
|---|---|---|
| Identifiers | Shop-Domain; bei „Online“-Sitzungen Name und E-Mail des Händlerpersonals | Authentifizierung der App, Betrieb des eingebetteten Shopify-Adminbereichs |
| Internet activity | Technische Protokolle der eingebetteten App | Sicherheit, Diagnose |
| Geolocation | Lieferadresse des Kunden | Checkout-Validierung — nicht gespeichert |
Keine weitere Kategorie wird verarbeitet (keine Commercial information, Biometric, Sensory, Professional Daten und keine Inferences). Empfänger: Shopify (Plattform) und HOSTINGER, UAB (Hosting) — keine weiteren Dritten.
Rechte kalifornischer Verbraucher: Auskunft (§1798.100), Löschung (§1798.105), Berichtigung (§1798.106), Opt-out von Verkauf/Weitergabe (§1798.120). Die App verkauft oder teilt keine personenbezogenen Daten und hat in den letzten 12 Monaten keine verkauft oder geteilt. Die Ausübung eines Rechts führt zu keiner Diskriminierung (§1798.125).
Änderungen
Der Herausgeber kann diese Erklärung ändern. Das Datum der letzten Aktualisierung steht am Anfang. Wesentliche Änderungen werden den installierenden Händlern mitgeteilt.
Kontakt
Bei Fragen zum Datenschutz: la.forge.des.j@gmail.com — Jonathan VARELA, 62 Rue de Dampierre, 17400 Saint-Jean-d'Angély, Frankreich.