Datenschutzerklärung

Verantwortlich für die in dieser Datenschutzerklärung beschriebene Verarbeitung personenbezogener Daten ist die LIRH ShopsApp GmbH, Rothenbaumchaussee 40, 20148 Hamburg, Deutschland, E-Mail info@shops-app.com. Eingetragen beim Amtsgericht Hamburg unter HRB 198139.

Datenschutzbeauftragter. ShopsApp unterschreitet derzeit den Schwellenwert nach § 38 BDSG für die Pflicht zur Bestellung eines Datenschutzbeauftragten (weniger als 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt). Ein Datenschutzbeauftragter ist daher nicht bestellt. Datenschutzanfragen — insbesondere Betroffenenanfragen nach Art. 15–22 DSGVO — richten Sie bitte an info@shops-app.com. Die Bestellpflicht wird bei Annäherung an den gesetzlichen Schwellenwert erneut geprüft.

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten über die ShopsApp-Website, das Onboarding von Händlern, die Kontoverwaltung, den Kundensupport sowie die Nutzung der ShopsApp-Dienste für die Annahme und Verwaltung von Bestellungen über digitale und nachrichtenbasierte Kanäle.

Je nach Art der Interaktion mit ShopsApp können folgende Kategorien personenbezogener Daten verarbeitet werden:

• Kontaktdaten wie Name, E-Mail-Adresse, Telefonnummer, Postanschrift und geschäftliche Kontaktinformationen.
• Kontodaten wie Anmeldedaten, Kontoeinstellungen, Händler-Profilangaben und Benutzerkennungen.
• Abrechnungs- und transaktionsbezogene Daten wie Rechnungskontaktdaten, Rechnungen, zahlungsbezogene Metadaten und Steuerinformationen, soweit erforderlich.
• Kommunikationsdaten wie Anfragen, Supportanfragen und sonstige per E-Mail, Formularen oder Messaging-Kanälen geführte Korrespondenz.
• Bestellbezogene Daten wie Kundenname, Telefonnummer, Bestellinhalt, Lieferinformationen und Statusinformationen, die über den ShopsApp-Dienst verarbeitet werden.
• Technische Nutzungsdaten wie IP-Adresse, Browsertyp, Geräteinformationen, aufgerufene Seiten, Zeitstempel, verweisende URLs und System-Logdaten.
• Daten aus Cookies und vergleichbaren Technologien, wie im Abschnitt zu Cookies beschrieben.

Wenn ein Händler ein Drittanbieter-Messaging-Konto mit ShopsApp verbindet (eine „verbundene Plattform“), erhält und verarbeitet ShopsApp die folgenden Daten von dieser Plattform im Auftrag des Händlers:

Von Meta Platforms Ireland Limited (Instagram, WhatsApp Business):

• Die Instagram-Business-Account-ID und den Instagram-Nutzernamen des Händlers.
• Die Facebook-Page-ID und den Facebook-Seitennamen des Händlers.
• Das von Meta an ShopsApp ausgestellte seitengebundene Zugriffstoken, mit dem wir im Auftrag des Händlers Nachrichten versenden können. Tokens werden mit AES-256-GCM verschlüsselt ruhend gespeichert und innerhalb von 24 Stunden nach Trennung der verbundenen Plattform durch den Händler gelöscht.
• Für jeden Endkunden, der dem Händler eine Nachricht über WhatsApp sendet: die Telefonnummer des Kunden im E.164-Format sowie den Inhalt der von ihm gesendeten Nachrichten. Meta übermittelt im Webhook-Payload zusätzlich den WhatsApp-Anzeigenamen, ShopsApp verwirft diesen jedoch konstruktiv an der Dispatcher-Grenze — die Telefonnummer allein genügt für das Routing, und das Nicht-Speichern des Anzeigenamens hält den Datenumfang im Sinne des Datenminimierungsgrundsatzes (Art. 5 Abs. 1 lit. c DSGVO) gering und reduziert die Meldepflicht-Reichweite im Falle einer Datenpanne.
• Für jeden Endkunden, der dem Händler eine Nachricht über Instagram sendet: die Instagram-Scoped User ID (IGSID) des Kunden sowie den Inhalt der von ihm gesendeten Nachrichten. ShopsApp greift weder auf den Instagram-Nutzernamen noch auf Anzeigename, Profilbild, Follower-Liste oder Medienbibliothek des Kunden zu.
• Webhook-Ereignisse, die Meta liefert, wenn ein Kunde dem Händler schreibt oder mit einer Schaltfläche bzw. einer schnellen Antwort interagiert.

ShopsApp greift nicht auf Follower, Medienbibliotheken, Direktnachrichten-Threads mit anderen Konten, Insights/Analytics-Daten oder sonstige Daten zu, die nicht unmittelbar mit einer über ShopsApp geführten Kundenkonversation zusammenhängen.

Soweit ShopsApp Daten verbundener Plattformen im Auftrag des Händlers verarbeitet, handelt ShopsApp als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Meta verarbeitet dieselben Daten als eigenständige verantwortliche Stelle auf Grundlage seiner eigenen Plattformbedingungen.

Personenbezogene Daten können zu den folgenden Zwecken verarbeitet werden:

• Bereitstellung, Betrieb, Wartung und Verbesserung der ShopsApp-Website und -Plattform.
• Einrichtung und Verwaltung von Händler-Konten sowie Onboarding, Support und Kontoverwaltung.
• Ermöglichung der Auftragsabwicklung, Kundenkommunikation und damit zusammenhängender Händlerdienstfunktionen.
• Überwachung der Dienstleistung, Aufrechterhaltung der Sicherheit, Verhinderung von Missbrauch und Behebung technischer Probleme.
• Kommunikation mit Nutzern bezüglich Anfragen, Service-Updates, administrativer Mitteilungen und Supportthemen.
• Erfüllung gesetzlicher Pflichten, Durchsetzung vertraglicher Rechte und Wahrnehmung berechtigter geschäftlicher Interessen.

Soweit die Datenschutz-Grundverordnung Anwendung findet, verarbeitet ShopsApp personenbezogene Daten auf einer oder mehreren der folgenden Rechtsgrundlagen:

• Einwilligung, wenn ein Nutzer für eine bestimmte Verarbeitungstätigkeit eingewilligt hat (Art. 6 Abs. 1 lit. a DSGVO).
• Vertragserfüllung, wenn die Verarbeitung zur Erbringung angeforderter Leistungen oder für Maßnahmen vor Abschluss eines Vertrags erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO).
• Erfüllung rechtlicher Verpflichtungen, wenn die Verarbeitung zur Erfüllung anwendbarer gesetzlicher oder regulatorischer Anforderungen erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO).
• Berechtigte Interessen, wenn die Verarbeitung zum Betrieb, zum Schutz und zur Verbesserung der Dienste und des Geschäfts von ShopsApp erforderlich ist und die Rechte und Freiheiten der betroffenen Person nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

ShopsApp kann personenbezogene Daten sowohl als Verantwortlicher als auch in bestimmten Fällen als Auftragsverarbeiter im Auftrag von Händlerkunden verarbeiten. ShopsApp handelt grundsätzlich als Verantwortlicher in Bezug auf personenbezogene Daten, die im Zusammenhang mit der eigenen Website, der Händler-Kontoverwaltung, der Abrechnung, dem Support, der Compliance und den eigenen Geschäftsabläufen verarbeitet werden. Werden personenbezogene Daten von Endkunden im Auftrag eines Händlers über die ShopsApp-Plattform verarbeitet, ist der Händler für diese Daten verantwortlich, und ShopsApp verarbeitet diese Daten nach dessen Weisung im Rahmen der jeweils geltenden vertraglichen Vereinbarungen.

ShopsApp setzt zur Erbringung der Dienste die folgenden Auftragsverarbeiter ein. Mit jedem besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO, gegebenenfalls ergänzt um EU-Standardvertragsklauseln.

ShopsApp verkauft keine personenbezogenen Daten und gibt personenbezogene Daten ausschließlich an die oben genannten Empfänger weiter, mit Ausnahme gesetzlich vorgeschriebener Fälle.

Der Großteil der Verarbeitung findet innerhalb des Europäischen Wirtschaftsraums (EWR) statt: Die Datenbank wird von der Hetzner Online GmbH in Deutschland gehostet, und Anwendungsverkehr wird nach Möglichkeit über Vercels EU-Edge-Netzwerk ausgeliefert.

Sofern personenbezogene Daten an einen Auftragsverarbeiter außerhalb des EWR übermittelt werden — konkret Vercel Inc. und Sentry in den USA — stützt sich ShopsApp auf die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission), ergänzt durch zusätzliche technische Maßnahmen (TLS während der Übertragung, AES-256-GCM ruhend, rollenbasierte Zugriffskontrollen). Soweit der Empfänger nach dem EU-US Data Privacy Framework zertifiziert ist, stützt sich ShopsApp zusätzlich auf diesen Angemessenheitsbeschluss.

Eine Kopie der Standardvertragsklauseln sowie der Transfer Impact Assessment ist auf Anfrage unter info@shops-app.com erhältlich.

Soweit eine längere Speicherung gesetzlich, vertraglich oder aus berechtigten geschäftlichen Gründen erforderlich ist, können die betreffenden Daten für diesen Zeitraum gespeichert und anschließend gelöscht oder, soweit angemessen, anonymisiert werden.

ShopsApp verwendet Cookies und ähnliche Technologien auf seiner Website und gegebenenfalls innerhalb seiner webbasierten Plattform, um Kernfunktionen zu ermöglichen, die Sicherheit zu gewährleisten, Nutzereinstellungen zu speichern, den Datenverkehr zu analysieren und die Nutzererfahrung zu verbessern. Essenzielle Cookies können zur Unterstützung grundlegender Funktionen wie Seitennavigation, Sitzungsverwaltung, Formularübermittlung, Betrugsprävention und sicherem Zugriff auf geschützte Bereiche eingesetzt werden.

Werden nicht-essenzielle Cookies oder vergleichbare Technologien für Analyse-, Leistungsmess- oder Marketingzwecke verwendet, holt ShopsApp eine Einwilligung ein, soweit dies nach geltendem Recht erforderlich ist, bevor solche Technologien auf dem Gerät eines Nutzers gesetzt werden. Diese Technologien können Sitzungs-Cookies, persistente Cookies, lokalen Speicher, Pixel, Tags und Analyse-Werkzeuge umfassen und technische Daten wie IP-Adresse, Browsertyp, Geräteinformationen, besuchte Seiten, verweisende URLs, Zeitstempel und Interaktionen mit der Website oder Plattform erheben.

Nutzer können ihre Cookie-Präferenzen über das auf der ShopsApp-Website bereitgestellte Cookie-Banner bzw. Consent-Management-Tool verwalten sowie Cookies über ihre Browser-Einstellungen kontrollieren oder löschen. Das Deaktivieren bestimmter Cookies kann die Verfügbarkeit oder Funktionalität von Teilen der Website oder Plattform beeinträchtigen.

Nach geltendem Recht haben Sie folgende Rechte:

• Recht auf Auskunft über die von ShopsApp verarbeiteten personenbezogenen Daten (Art. 15 DSGVO).
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO).
• Recht auf Löschung personenbezogener Daten, vorbehaltlich gesetzlicher Einschränkungen (Art. 17 DSGVO).
• Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit, soweit anwendbar (Art. 20 DSGVO).
• Recht auf Widerspruch gegen bestimmte Verarbeitungstätigkeiten auf Basis berechtigter Interessen (Art. 21 DSGVO).
• Recht auf jederzeitigen Widerruf einer Einwilligung, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO).

Betroffene Personen haben das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren. Für ShopsApp ist die zuständige Aufsichtsbehörde der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

ShopsApp setzt geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unberechtigtem oder unrechtmäßigem Zugriff, Veränderung, Offenlegung, Verlust oder Zerstörung zu schützen:

• Während der Übertragung: TLS 1.2+ auf allen Netzwerkpfaden, ohne HTTP-Fallback. HSTS-Preload erzwungen, sodass selbst Erstaufrufe zwingend über HTTPS erfolgen.
• Ruhend — auf Feldebene: AES-256-GCM, pro Datensatz angewendet auf sensible Integrations-Tokens (seitengebundene Meta-Zugriffstoken, 360-Dialog-API-Schlüssel) sowie auf den Inhalt von Endkunden-Nachrichten. Initialisierungsvektor und Authentifizierungs-Tag werden pro Datensatz gespeichert; der Verschlüsselungsschlüssel wird in Umgebungsvariablen außerhalb der Anwendungsdatenbank vorgehalten.
• Ruhend — auf Volumenebene: Alle übrigen Daten, einschließlich Endkunden-Telefonnummern und Einwilligungs-Beweisdaten, sind durch vollvolumetrische AES-256-Verschlüsselung auf Speicherebene (anbieter-verwaltet) geschützt. Telefonnummern werden auf Feldebene deterministisch im Klartext vorgehalten, da sie als Suchschlüssel, Webhook-Routing-Kennzeichner und Korrelationswert für das Einwilligungs-Ledger dienen — ein in Messaging-SaaS-Plattformen branchenüblicher Standard.
• Zugriffskontrollen: Rollenbasierte Zugriffskontrolle (ADMIN / MARKETING / FINANCE / Read-only) wird in jedem API-Route-Handler durchgesetzt; die Mandantentrennung mehrerer Marken wird durch Scoping jeder Datenbankabfrage auf die merchantId sichergestellt; Sitzungscookies sind HttpOnly + Secure + SameSite=Lax.
• Audit-Protokollierung: Jede Mutation an Händler- oder Marketingdaten wird append-only erfasst. Einwilligungs-Transitionen (Opt-in, Opt-out, DOI bestätigt, DOI abgelehnt) werden in einem separaten, append-only Ledger geführt, das auch nach Löschung des Kontaktes als Compliance-Nachweis erhalten bleibt.
• Härtung: Datenbank-Firewall + quellenbasiertes Rate-Limit + fail2ban bei PostgreSQL-Authentifizierungsfehlern; regelmäßige Schwachstellen-Scans der eingesetzten Abhängigkeiten und Plattform-Images.

Vollständige Sicherheit kann technisch nicht garantiert werden. Die oben beschriebenen Maßnahmen sind darauf ausgelegt, Risiken zu minimieren und im Falle eines unautorisierten Zugriffs eine belastbare Reaktionsfähigkeit zu unterstützen.

Wenn Sie als Endkunde mit einem Händler über Instagram oder WhatsApp interagiert haben und die Löschung Ihrer Konversationsdaten aus den Systemen von ShopsApp wünschen, senden Sie eine E-Mail an info@shops-app.com mit dem Betreff „Löschungsanfrage“ und folgenden Angaben:

• Die genutzte Plattform (Instagram oder WhatsApp).
• Der Nutzername bzw. die Telefonnummer, mit der Sie den Händler kontaktiert haben.
• Den Geschäftsnamen des Händlers, mit dem Sie interagiert haben (sofern bekannt).

ShopsApp löscht die Konversationsdaten innerhalb von 30 Tagen und sendet eine Bestätigung per E-Mail. Können keine übereinstimmenden Datensätze ermittelt werden, wird der/die Antragsteller/in innerhalb desselben Zeitraums entsprechend informiert.

Aufbewahrung des Einwilligungsnachweises. Sofern Sie zuvor auf einer verbundenen Plattform eine Marketing-Einwilligung erteilt oder widerrufen haben (etwa per WhatsApp-Double-Opt-In oder durch ein Opt-out-Schlüsselwort wie „STOP“), bewahrt ShopsApp den entsprechenden Einwilligungs-Eintrag append-only weiter auf, auch nachdem der Kontaktdatensatz selbst gelöscht wurde. Diese gestalterische Entscheidung ist nach deutschem Wettbewerbsrecht (§ 7 UWG) und nach den Meta-Plattformrichtlinien erforderlich: Das Löschrecht nach Art. 17 DSGVO hebt die separate Pflicht des Händlers nicht auf, einen belastbaren Nachweis über frühere Einwilligungs-Transitionen zu führen. Die in diesen erhalten gebliebenen Einträgen gespeicherte Telefonnummer ist der einzige verbleibende Identifikator; alle übrigen Daten — Nachrichtenverlauf, Spracheinstellung, Tags — werden unwiderruflich entfernt.

Diese URL — https://office.shops-app.com/de/privacy#data-deletion (bzw. die englische Fassung unter /privacy#data-deletion) — ist bei Meta als Löschungs-URL von ShopsApp gemäß den Meta-Plattformbedingungen hinterlegt.

ShopsApp kann diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Die jeweils aktuelle Fassung wird auf der ShopsApp-Website und im Back Office bereitgestellt.

Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung personenbezogener Daten richten Sie bitte an: