Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Stand: 13. Mai 2026  |  Version: 1.0  |  Anbieter: KYTH. Systems UG (haftungsbeschränkt)

Änderungs-Hinweis 13.05.2026: Sub-Processor-Wechsel Resend (USA) → INWX (Berlin) für KARL-System-E-Mails. Vertragstext unverändert, Sub-Processor-Liste in der Anlage aktualisiert (Version 1.1).

Hinweis zum Vertragsschluss: Dieser Auftragsverarbeitungsvertrag wird mit der Installation der Shopify-App „KYTH.KARL — Shipping Intelligence" und der ausdrücklichen Annahme im Onboarding-Prozess (Klick auf den Button „AVV akzeptieren") rechtsverbindlich zwischen dem installierenden Shopify-Händler („Auftraggeber" oder „Verantwortlicher") und der KYTH. Systems UG (haftungsbeschränkt) („Auftragsverarbeiter") abgeschlossen. Die Annahme wird mit Datum, Vertragsversion und Shop-Identifikation in unserer Datenbank protokolliert (Art. 7 Abs. 1 DSGVO — Nachweispflicht). Eine schriftliche Ausfertigung ist auf Anfrage unter datenschutz@kyth.systems erhältlich.
Inhaltsverzeichnis
  1. Präambel
  2. Vertragsparteien
  3. § 1 Gegenstand und Dauer des Auftrags
  4. § 2 Konkretisierung des Auftragsinhalts
  5. § 3 Technisch-organisatorische Maßnahmen (TOMs)
  6. § 4 Berichtigung, Einschränkung und Löschung von Daten
  7. § 5 Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters
  8. § 6 Unterauftragsverhältnisse
  9. § 7 Kontrollrechte des Auftraggebers
  10. § 8 Mitteilung bei Verletzung des Schutzes personenbezogener Daten
  11. § 9 Weisungsbefugnis des Auftraggebers
  12. § 10 Löschung und Rückgabe von personenbezogenen Daten
  13. § 11 Haftung und Schlussbestimmungen
  14. Anlage 1 — Liste der Unterauftragsverarbeiter
  15. Anlage 2 — Technisch-organisatorische Maßnahmen
  16. Anlage 3 — Datenkategorien und Kategorien betroffener Personen

Präambel

Der Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO) betreibt einen Online-Shop auf der Plattform Shopify und nutzt zur Abwicklung des Versandprozesses die Software-as-a-Service-Anwendung „KYTH.KARL — Shipping Intelligence" (nachfolgend „die App" oder „KARL"), bereitgestellt vom Auftragsverarbeiter. Bei der Erbringung dieser Dienstleistung verarbeitet der Auftragsverarbeiter personenbezogene Daten von Endkunden des Auftraggebers (insbesondere Versandempfänger) in dessen Auftrag und im Sinne des Art. 4 Nr. 8 DSGVO.

Dieser Vertrag konkretisiert die Verpflichtungen der Parteien zum Datenschutz, die sich aus der Inanspruchnahme der Dienstleistung gemäß den Nutzungsbedingungen und der zugehörigen Datenschutzerklärung ergeben. Er gilt für alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter oder Beauftragte des Auftragsverarbeiters mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

Vertragsparteien

Auftraggeber (Verantwortlicher) Der jeweilige Shopify-Händler, identifiziert über seine Shopify-Shop-Domain (z. B. {shop}.myshopify.com), zum Zeitpunkt der Annahme dieses Vertrags im Onboarding-Prozess. Die Shop-Domain, der Akzeptanz-Zeitstempel und die Vertragsversion werden vom Auftragsverarbeiter in einem Audit-Trail protokolliert.
Auftragsverarbeiter KYTH. Systems UG (haftungsbeschränkt)
Geschäftsführer: Stefan Grasse, Stephan Wittmann
Prof.-Mederer-Str. 4, 92348 Berg, Deutschland
Registergericht: Amtsgericht Nürnberg (Eintragung beantragt — Stand 30.04.2026)
USt-IdNr.: in Beantragung
E-Mail: datenschutz@kyth.systems
Web: www.kyth.systems

§ 1 Gegenstand und Dauer des Auftrags

  1. Gegenstand: Der Auftragsverarbeiter erbringt für den Auftraggeber die in der Leistungsbeschreibung der App KYTH.KARL definierten Dienste, insbesondere die Erstellung von Versandetiketten bei den vom Auftraggeber konfigurierten Carriern, die Sendungsverfolgung, das Retourenmanagement, die Buchung von Carrier-Abholungen, die Erstellung von Zoll- und Versanddokumenten sowie die Übermittlung transaktionaler Benachrichtigungen an die vom Auftraggeber benannten Endkunden. Eine vollständige Funktionsbeschreibung ist Bestandteil der Nutzungsbedingungen.
  2. Dauer: Dieser Vertrag wird mit der Installation der App und Annahme durch den Auftraggeber wirksam und gilt für die gesamte Dauer der Nutzung des Hauptvertrags (Software-as-a-Service-Vertrag gemäß Nutzungsbedingungen). Er endet automatisch mit Beendigung des Hauptvertrags, jedoch frühestens mit der vollständigen Löschung aller personenbezogenen Daten gemäß § 10.
  3. Geltungsbereich: Der Vertrag gilt für alle Tätigkeiten, die der Auftragsverarbeiter im Rahmen der Erbringung der App-Dienste durchführt und bei denen personenbezogene Daten von Endkunden des Auftraggebers verarbeitet werden.

§ 2 Konkretisierung des Auftragsinhalts

  1. Art und Zweck der Verarbeitung: Die Verarbeitung erfolgt ausschließlich zur Erfüllung der zwischen den Parteien geschlossenen Hauptvertrag (Software-as-a-Service- Versanddienstleistung). Konkrete Verarbeitungszwecke:
  2. Art der Daten: Eine vollständige Aufstellung der verarbeiteten personenbezogenen Daten ist als Anlage 3 Bestandteil dieses Vertrags.
  3. Kategorien betroffener Personen: Endkunden des Auftraggebers (insbesondere Versandempfänger), gegebenenfalls Mitarbeiter des Auftraggebers (App-Nutzer), sowie ggf. Personen, deren Daten in Rücksendebezügen enthalten sind. Eine Aufstellung ist ebenfalls als Anlage 3 beigefügt.
  4. Ort der Verarbeitung: Die Verarbeitung erfolgt primär auf Servern in einem Rechenzentrum in Berlin, Deutschland (IONOS SE). Übermittlungen an Carrier-APIs können je nach Sitz des Carriers auch in Drittländer (USA für FedEx und UPS) erfolgen, abgesichert durch das EU-US Data Privacy Framework und Standardvertragsklauseln (SCCs).

§ 3 Technisch-organisatorische Maßnahmen (TOMs)

  1. Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technisch- organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Die Maßnahmen sind in der beigefügten Anlage 2 — Technisch-organisatorische Maßnahmen detailliert beschrieben und werden gegenüber dem Auftraggeber zugesichert.
  2. Die TOMs werden regelmäßig (mindestens jährlich oder anlassbezogen) auf ihre Wirksamkeit überprüft und an den Stand der Technik angepasst. Wesentliche Änderungen werden dem Auftraggeber mitgeteilt. Die jeweils aktuelle Fassung ist unter https://karl.kyth.systems/toms abrufbar.
  3. Eine Verringerung der TOMs unter das in der Anlage zugesicherte Niveau ist unzulässig. Erweiterungen und Verbesserungen sind jederzeit zulässig und bedürfen keiner Zustimmung des Auftraggebers.

§ 4 Berichtigung, Einschränkung und Löschung von Daten

  1. Der Auftragsverarbeiter berichtigt, löscht oder schränkt die Verarbeitung der Daten nur auf dokumentierte Weisung des Auftraggebers ein. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter (z. B. mit einem Auskunfts- oder Löschersuchen), wird das Anliegen unverzüglich an den Auftraggeber weitergeleitet, sofern eine Zuordnung zu einem Auftraggeber möglich ist.
  2. Soweit vom Leistungsumfang umfasst, sind im Verantwortungsbereich des Auftraggebers liegende Pflichten zur Beantwortung von Anträgen betroffener Personen vom Auftragsverarbeiter nach Weisung des Auftraggebers zu unterstützen. Konkret implementiert KARL die folgenden Shopify-GDPR-Webhooks gemäß Shopify-Spezifikation:
  3. Erfolgt nach Deinstallation kein shop/redact-Webhook von Shopify, wird ein Fallback-Cleanup nach maximal 7 Tagen automatisch ausgeführt (Cron-Job jobs.py im täglichen Lauf).

§ 5 Qualitätssicherung und sonstige Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter hat zusätzlich zur Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
  2. Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen einer Aufsichtsbehörde im Sinne von Art. 58 DSGVO, soweit sich diese auf die Auftragsverarbeitung beziehen.
  3. Der Auftragsverarbeiter teilt dem Auftraggeber den für ihn zuständigen Datenschutz- Beauftragten oder die zuständige Aufsichtsbehörde auf Anfrage mit. Zuständige Aufsichts- behörde des Auftragsverarbeiters: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

§ 6 Unterauftragsverhältnisse

  1. Der Auftragsverarbeiter darf weitere Unterauftragsverarbeiter („Sub-Processoren") zur Erbringung der vertraglichen Leistungen einsetzen. Die zum Zeitpunkt des Vertragsschlusses beauftragten Sub-Processoren sind in Anlage 1 aufgeführt. Der Auftraggeber stimmt diesen Sub-Processoren ausdrücklich zu.
  2. Allgemeine schriftliche Zustimmung zu Änderungen (Art. 28 Abs. 2 Satz 2 DSGVO): Der Auftraggeber erteilt mit Annahme dieses Vertrags die allgemeine Zustimmung zur Heranziehung weiterer oder zum Austausch der bestehenden Sub-Processoren, jedoch unter folgenden Bedingungen:
  3. Pflichten gegenüber Sub-Processoren: Der Auftragsverarbeiter stellt sicher, dass jeder Sub-Processor die in diesem Vertrag und in Art. 28 Abs. 4 DSGVO festgelegten Pflichten in gleicher Weise erfüllt. Insbesondere wird mit jedem Sub-Processor ein eigener Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit Standardvertragsklauseln geschlossen, soweit nicht selbst vom Sub-Processor ein gleichwertiges Niveau zugesichert wird.
  4. Drittlandtransfers: Bei Sub-Processoren mit Sitz oder Verarbeitungsorten außerhalb der EU/EWR werden Datentransfers ausschließlich auf Grundlage zulässiger Mechanismen nach Kapitel V DSGVO (insbesondere Standardvertragsklauseln 2021/914/EU oder Angemessenheits- beschluss) durchgeführt. Eine Aufstellung der Drittlandtransfers ist Anlage 1 zu entnehmen.
  5. Keine Sub-Processoren: Nicht als Unterauftragsverhältnisse im Sinne dieses § 6 gelten Tätigkeiten, die in untergeordnetem Maße eine Verarbeitung personenbezogener Daten ermöglichen, ohne dass die Hauptleistung der Datenverarbeitung beim Dienstleister liegt (z. B. Telekommunikationsleistungen, Postdienste, Reinigungsdienste, ausschließlich CDN/DNS-Dienstleister ohne Reverse-Proxy oder Inhaltsverarbeitung).

§ 7 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht, sich von der Einhaltung der getroffenen TOMs vor Beginn der Verarbeitung sowie regelmäßig in angemessenen Abständen zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO). Die Kontrolle kann erfolgen durch:
  2. Der Auftragsverarbeiter ist verpflichtet, dem Auftraggeber alle erforderlichen Auskünfte zu erteilen und die Einhaltung der vereinbarten Pflichten nachzuweisen (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).
  3. Die Kosten für eine Vor-Ort-Inspektion trägt der Auftraggeber, sofern keine wesentlichen Verstöße festgestellt werden. Aufwand des Auftragsverarbeiters über zwei Personen-Tage pro Kalenderjahr hinaus wird zu marktüblichen Sätzen abgerechnet.

§ 8 Mitteilung bei Verletzung des Schutzes personenbezogener Daten

  1. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen. Hierzu zählen unter anderem:
  2. Meldefristen: Eine Verletzung des Schutzes personenbezogener Daten, die Daten des Auftraggebers betrifft (Art. 33 DSGVO), wird vom Auftragsverarbeiter unverzüglich nach Kenntniserlangung, in jedem Fall innerhalb von 24 Stunden an den Auftraggeber gemeldet. Die Meldung enthält:
    1. eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datenkategorien und Datensätze;
    2. den Namen und die Kontaktdaten der für weitere Auskünfte zuständigen Stelle;
    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
    4. eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung möglicher nachteiliger Auswirkungen.
    Die Meldung erfolgt schriftlich an die im Onboarding hinterlegte Kontakt-E-Mail-Adresse des Auftraggebers, ergänzend per Hinweis im Intranet/Admin-Bereich der App.
  3. Eine Veröffentlichung gegenüber Dritten oder gegenüber Aufsichtsbehörden (Art. 33 Abs. 1 DSGVO) erfolgt durch den Auftraggeber. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erstellung und Übermittlung der Meldung.

§ 9 Weisungsbefugnis des Auftraggebers

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  2. Die Weisungen sind regelmäßig in diesem Auftragsverarbeitungsvertrag, den Nutzungsbedingungen und der Datenschutzerklärung dokumentiert. Mündliche Weisungen sind nachträglich schriftlich (auch per E-Mail) zu bestätigen.
  3. Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Er ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder abgeändert wird.

§ 10 Löschung und Rückgabe von personenbezogenen Daten

  1. Kopien oder Duplikate der personenbezogenen Daten werden ohne ausdrückliches Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind technisch notwendige Kopien zur Sicherstellung des laufenden Betriebs (insbesondere automatisierte verschlüsselte Backups, siehe TOMs).
  2. Nach Beendigung des Auftrags hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten personenbezogenen Daten und etwaige Datenträger sowie alle Verarbeitungs- und Nutzungsergebnisse, die sich auf den Auftrag beziehen, zu löschen oder — auf Verlangen des Auftraggebers, sofern technisch möglich — zurückzugeben.
  3. Konkret implementiert KARL die folgenden Löschmechanismen:
  4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 11 Haftung und Schlussbestimmungen

  1. Es gelten die Haftungsregelungen des Hauptvertrags (Nutzungsbedingungen § 5). Bezüglich Schadensersatzansprüchen nach Art. 82 DSGVO haften die Parteien nach den Vorgaben der DSGVO im Außenverhältnis als Gesamtschuldner; im Innenverhältnis verteilen sie die Haftung gemäß ihrer jeweiligen Verantwortlichkeit.
  2. Auf diesen Vertrag findet das Recht der Bundesrepublik Deutschland Anwendung. Bei einer etwaigen Drittlandverarbeitung gilt die DSGVO unmittelbar.
  3. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen Regelung tritt eine wirksame, die dem Sinn und Zweck der unwirksamen Bestimmung möglichst nahekommt.
  4. Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform; das Schriftformerfordernis kann nur in schriftlicher Form abbedungen werden. Die elektronische Form (Textform per E-Mail) ist hierzu nicht ausreichend.
  5. Im Falle von Widersprüchen zwischen diesem Vertrag und anderen Vereinbarungen zwischen den Parteien (insbesondere Nutzungsbedingungen) gehen die Regelungen dieses Vertrags vor, soweit der Datenschutz betroffen ist.

Anlage 1 — Liste der Unterauftragsverarbeiter

Stand: 13. Mai 2026. Die jeweils aktuelle Fassung ist unter https://karl.kyth.systems/sub-processors abrufbar. Änderungen werden gemäß § 6 Abs. 2 mit 30-Tage-Vorlauffrist mitgeteilt.

Sub-ProcessorSitz / VerarbeitungsortZweckDrittland-Schutzmechanismus
IONOS SE Berlin, Deutschland (EU) Application-Hosting (VPS, Coolify/Docker), PostgreSQL-Datenbank, verschlüsselte Backup-Storage (Object Storage) Innerhalb EU — kein Drittland. AVV mit IONOS gemäß Art. 28 DSGVO abgeschlossen (ionos.de/terms-gtc/avv, Stand 06/2023). IONOS ist nach ISO 27001 zertifiziert.
Shopify Inc. Kanada / Global E-Commerce-Plattform (Datenquelle der Bestellungen, Embedded-App-Hosting, Webhook-Zustellung) Shopify ist eigenständiger Verantwortlicher für Shop-Daten. Angemessenheits- beschluss Kanada (Kommerzbereich). DPA mit Shopify abgeschlossen.
Cloudflare, Inc. USA (Anycast, EU-Edge-Server) DNS-Auflösung der Domain kyth.systems — keine TLS-Terminierung, kein Reverse-Proxy, keine Inhaltsverarbeitung Standardvertragsklauseln (SCC 2021/914/EU) + Cloudflare DPA. Verarbeitung beschränkt auf DNS-Anfragen (keine personenbezogenen Daten im engeren Sinne).
Geoapify GmbH Wien, Österreich (EU) Adress-Autocomplete und Geocoding für Versandlabels — übermittelt werden ausschließlich vom Händler eingegebene Adress-Fragmente, keine Endkunden-Namen Innerhalb EU — kein Drittland. AVV mit Geoapify abgeschlossen.
INWX GmbH & Co. KG Berlin, Deutschland (Mail-Server smtp.webspace.bz) Versand transaktionaler E-Mails durch KARL (Passwort-Reset, App-Uninstall-Feedback, Waitlist-Eingang). Endkunden-Mails (Versandbestätigung, Retouren-Einladung) laufen über den vom Händler konfigurierten SMTP-Server. Innerhalb EU — kein Drittland. AVV mit INWX abgeschlossen.
FedEx Corporation Memphis, USA (Carrier-API) Versandetiketten-Erstellung, Sendungsverfolgung — Übermittlung der Empfänger- Adressdaten an die FedEx-API zur Auftragsausführung EU-US Data Privacy Framework + Standardvertragsklauseln. FedEx ist eigenständiger Verantwortlicher für die Logistik-Durchführung (Joint-Controller-Verhältnis bei der Zustellung).
United Parcel Service (UPS) Atlanta, USA (Carrier-API) Versandetiketten-Erstellung, Sendungsverfolgung — Übermittlung der Empfänger- Adressdaten an die UPS-API zur Auftragsausführung EU-US Data Privacy Framework + Standardvertragsklauseln. UPS ist eigenständiger Verantwortlicher für die Logistik-Durchführung.
Deutsche Post DHL Group Bonn, Deutschland (Carrier-API für DHL Paket, DHL Express, Internetmarke) Versandetiketten-Erstellung, Sendungsverfolgung Innerhalb EU. Eigenständiger Verantwortlicher für die Logistik-Durchführung.
DPD Deutschland GmbH Aschaffenburg, Deutschland (Carrier-API) Versandetiketten-Erstellung, Sendungsverfolgung Innerhalb EU. Eigenständiger Verantwortlicher für die Logistik-Durchführung.
Österreichische Post AG Wien, Österreich (Carrier-API) Versandetiketten-Erstellung für AT-Sendungen Innerhalb EU. Eigenständiger Verantwortlicher für die Logistik-Durchführung.
GlitchTip (KYTH-Self-Hosted) Berlin, Deutschland — auf demselben IONOS-VPS Self-Hosted Error-Tracking. Es werden ausschließlich technische Stack-Traces und Anwendungs-Logs verarbeitet; ein before_send-Hook entfernt Auth-Header, Cookies, Request-Bodies und Tokens vor dem Logging. Keine Endkunden-PII werden übermittelt. Innerhalb EU — kein Drittland. Kein externer Sub-Processor (eigene Infrastruktur). Aufgeführt zur Transparenz.

Anlage 2 — Technisch-organisatorische Maßnahmen (TOMs)

Die vollständige TOMs-Dokumentation gemäß Art. 32 DSGVO ist Bestandteil dieses Vertrags und unter https://karl.kyth.systems/toms einzusehen. Ein Auszug der wichtigsten Maßnahmen:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Belastungsfähigkeit und Wiederherstellbarkeit

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Anlage 3 — Datenkategorien und Kategorien betroffener Personen

3.1 Kategorien betroffener Personen

3.2 Datenkategorien

KategorieDatenAufbewahrung
Empfänger-StammdatenName, Firma, Straße, PLZ, Stadt, Land, Bundesland, Telefon, E-Mail90 Tage
VersanddatenBestell-Nr., Carrier, Service, Tracking-Nr., Gewicht, Maße, Incoterm, EAS/ODA-Flags, Kosten90 Tage
Zoll-/AusfuhrdatenHS-/Zolltarifnummern, Warenbeschreibung, Warenwert, Ursprungsland; bei DHL Express > 1.000 EUR zusätzlich MRN und ABD (Ausgangsvermerk) 90 Tage
Manuelles AdressbuchVom Händler manuell erfasste Empfänger-/Absender-Adressen für Label ohne Shopify-Order (Name, Firma, Adresse, Telefon, E-Mail) Bis Löschung durch Händler / Deinstallation
Tracking-EventsStatus, Zeitstempel, Ort, Roh-Event-JSON des Carriers 90 Tage; bei customers/redact: Ort + Roh-JSON sofort NULL
Label-PDFsVersandetiketten als Base64 (enthalten Empfänger-Adresse) 30 Tage
Carrier-API-LogsAPI-Request/Response-JSON90 Tage
RetourenKundenname, E-Mail, Bestell-Nr., Grund, Status 90 Tage
Retouren-Portal-TokensEinmal-Token, Kunden-E-Mail, Ablaufzeit Bis Ablauf/Verbrauch; spätestens 90 Tage
E-Mail-Benachrichtigungs-LogsEmpfänger-E-Mail, Bestell-Nr., Carrier, Versandstatus180 Tage
Mobile-Scanner-EventsGescannte Bestell-Nr., Zeitstempel, Shop-Zuordnung 24 Stunden
Shop-DatenShop-Domain, OAuth-Token (verschlüsselt), Plan, Scopes Bis Deinstallation
Shop-Einstellungen / Absender-PIIFirmenadresse, Kontaktperson, Telefon, USt-IdNr., EORIBis Deinstallation
Audit-Log (DSGVO)Zeitstempel, Aktion, Shop-Domain, verarbeitete IDs 365 Tage (Art. 30 DSGVO)

3.3 Besondere Datenkategorien

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten, religiöse Überzeugung etc.) ist im Rahmen dieser Auftragsverarbeitung nicht vorgesehen. Sollte der Auftraggeber solche Daten dennoch in den App-Workflow einbringen (z. B. durch entsprechende Bestellnotizen), geschieht dies außerhalb dieses Vertragsumfangs und auf Risiko des Auftraggebers.