Auftragsverarbeitungsvertrag

Präambel

Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Nutzung der App "ShopiPixel".

1. Vertragsparteien

Verantwortlicher (Auftraggeber):
Der Shop-Inhaber, der die App ShopiPixel installiert hat.

Ansprechpartner für den Datenschutz: Iwan Gerber (Inhaber). Ein Datenschutzbeauftragter ist gemäß § 38 BDSG nicht zu bestellen.

2. Gegenstand der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zum Zweck der Bereitstellung von Server-Side Tracking-Diensten.

3. Art und Zweck der Verarbeitung

3.1 Zweck

• Erfassung von E-Commerce-Events (PageView, AddToCart, Purchase, etc.)
• Übermittlung dieser Events an konfigurierte Advertising-Plattformen
• Deduplizierung und Anreicherung von Events
• Bereitstellung von Analytics-Dashboards
• KI-gestützte Zusammenfassung aggregierter Kennzahlen (keine personenbezogenen Daten)

Unterstützte Eingangsschnittstellen für die Erfassung der Events:

• Web Pixel (Shopify Web Pixel Sandbox, Browser-basiert)
• Shopify Webhooks (von Shopify ausgelöste Lifecycle- und Bestell-Ereignisse)
• Headless SDK (Server-zu-Server für Custom Storefronts und PWAs, ab Scale-Tarif)
• Public REST API (Server-zu-Server, Bearer-Token-Authentifizierung, ENTERPRISE-Tarif)
• Shopify Flow Action (Auslösung aus Shopify-Flow-Automatisierungen, ENTERPRISE-Tarif)

Die Wahl der Eingangsschnittstelle hat keinen Einfluss auf die nachgelagerte Verarbeitung. Alle Events durchlaufen dieselbe Validierungs-, Hashing- und Weiterleitungs-Logik. Es kommen durch die Public REST API keine neuen Sub-Auftragsverarbeiter, keine neuen Drittlandtransfers und keine neuen Datenkategorien hinzu.

3.2 Art der Daten

• Bestelldaten (Bestellnummer, Bestellwert, Produkte)
• Kundendaten (E-Mail, Telefon, Name - gehasht)
• Browser-Identifikatoren (Client-ID, Pixel-ID) und Click-IDs (fbclid, gclid, ttclid, msclkid, epik, scid, li_fat_id)
• Gerätedaten (IP-Adresse, User-Agent)
• Einwilligungsprotokolle (Consent-Typ, Zeitpunkt, pseudonymisierte IP, Dokumentversion)
• Pseudonymisierte Journey-Kennungen (nicht personenbezogen)
• Kohorten-Aggregate (nur Gruppenstatistiken, keine Einzelpersonendaten)
• Aggregierte Werbeausgaben-Daten (Spend, Impressionen, Klicks)
• Alert-Konfigurationen (Schwellenwerte, Zustellkanäle)

3.3 Kategorien betroffener Personen

• Endkunden des Online-Shops des Auftraggebers
• Besucher des Online-Shops

4. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der Nutzung der App. Nach Beendigung werden alle Daten gemäß Ziffer 10 gelöscht.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

5.1 Daten nur nach dokumentierter Weisung des Auftraggebers zu verarbeiten.

5.2 Die mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten.

5.3 Angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen.

5.4 Unterauftragnehmer nur mit vorheriger Genehmigung einzusetzen.

5.5 Den Auftraggeber bei der Erfüllung der Betroffenenrechte zu unterstützen.

5.6 Den Auftraggeber bei Datenschutzverletzungen unverzüglich zu informieren.

5.7 Nach Beendigung alle Daten zu löschen oder zurückzugeben.

5.8 Den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO zu unterstützen, insbesondere durch Bereitstellung erforderlicher Informationen über die Verarbeitungstätigkeiten.

5.9 Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 DSGVO i.V.m. Erwägungsgrund 81).

Dokumentierte Weisungen des Verantwortlichen umfassen insbesondere:

• die Konfiguration der Tracking-Plattformen in den App-Einstellungen
• die Auswahl der zu übermittelnden Event-Typen
• die Aktivierung/Deaktivierung von Features (z.B. KI-Analytics, E-Mail-Reports)
• die Konfiguration und Auslösung der Audience-Synchronisation (Übermittlung gehashter Kundendaten an Werbeplattformen zur Erstellung von Custom Audiences)
• sowie sonstige Einstellungen innerhalb der App-Oberfläche
• die Konfiguration von Export-Zielen (Webhook, SFTP oder Download) für den PII-bereinigten Daten-Export (NDJSON/CSV/XLSX)
• die Aktivierung der pseudonymisierten Customer Journey Analyse
• die Aktivierung der aggregierten Kohorten-Berechnung und LTV-Analyse

Weisungen, die über die Nutzung der App-Oberfläche hinausgehen, bedürfen der Textform (E-Mail an info@shopipixel.de).

6. Technische und organisatorische Maßnahmen

6.1 Vertraulichkeit

• Verschlüsselung aller gespeicherten Daten nach dem aktuellen Stand der Technik
• Shop-spezifische Verschlüsselungsschlüssel
• Pseudonymisierung personenbezogener Daten vor Speicherung nach dem Stand der Technik
• Zugriffskontrolle nach Need-to-Know-Prinzip

6.2 Integrität

• Kryptographische Integritätsprüfung aller Webhooks
• Audit-Logging aller sicherheitsrelevanten Operationen (Credential-Änderungen, Abrechnung, DSGVO-Anfragen, administrative Zugriffe)
• Versionierung von Konfigurationen

6.3 Verfügbarkeit

• Redundante Infrastruktur
• Tägliche verschlüsselte Backups auf deutschen Servern (30 Tage Aufbewahrung)
• Disaster-Recovery-Plan mit dokumentiertem Wiederherstellungsverfahren
• Selbst gehostetes Fehlererkennungssystem auf deutschen Servern mit automatischer Löschung nach definiertem Aufbewahrungszeitraum

6.4 Belastbarkeit

• Automatische Fehlererkennung und -unterbrechung bei Systemstörungen
• Anfragebegrenzung (Rate-Limiting)
• Wiederholungsmechanismus für fehlgeschlagene Übermittlungen

7. Unterauftragnehmer

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragnehmer zu:

Die Werbeplattformen (Meta, Google, TikTok, Pinterest, Snapchat, LinkedIn, Microsoft Ads, Klaviyo), an die Events auf Weisung des Auftraggebers übermittelt werden, sind keine Unterauftragnehmer des Auftragsverarbeiters. Der Auftraggeber hat eine eigenständige Rechtsbeziehung zu diesen Plattformen. Die Übermittlung erfolgt ausschließlich auf Grundlage der vom Auftraggeber in den App-Einstellungen konfigurierten Plattformen. Darüber hinaus können auf Weisung des Auftraggebers Event-Daten an vom Auftraggeber konfigurierte Custom-Webhook-Endpunkte übermittelt werden. Der Auftraggeber bestimmt Umfang (minimal, standard, vollständig) und Ziel der Übermittlung. Die Verantwortung für die Datenschutzkonformität des Empfängers liegt beim Auftraggeber.

Hinweis zur datenschutzrechtlichen Rolle: Bezüglich der Werbeplattformen Meta, Google, TikTok, Pinterest, Snapchat, LinkedIn und Microsoft Ads liegt für die Conversion-Daten-Verarbeitung eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor (siehe Datenschutzerklärung § 4.1a). Die hier in § 7 erfolgte Klassifizierung als „eigenständige Empfänger auf Weisung“ gilt insoweit nur für die verbleibenden Auftragsverarbeitungs-Anteile (z. B. die technische Übermittlungs-Infrastruktur). Klaviyo bleibt reiner Auftragsverarbeiter (E-Mail-Versand) und ist nicht Joint Controller.

Audience-Synchronisation: Auf ausdrückliche Weisung des Auftraggebers können kryptographisch gehashte Kundendaten (gehashte E-Mail-Adressen und Telefonnummern) an Meta (Custom Audiences API), Google (über die Google Data Manager API für Customer Match), TikTok (Custom Audiences API), Pinterest (Customer Lists API), Microsoft Ads (Customer-List-Audiences über die Campaign Management API) und Snapchat (Customer Segments über die Snapchat Marketing API) übermittelt werden. Diese Übermittlung erfolgt ausschließlich auf Grundlage der vom Auftraggeber in den App-Einstellungen konfigurierten Plattformen und aktiv ausgelösten Synchronisation. Die Audience-Synchronisation ist eine reine Auftragsverarbeitung gemäß Art. 28 DSGVO; es findet insoweit keine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO statt. Klartextdaten werden nicht übermittelt.

An Anthropic werden ausschließlich aggregierte, anonyme Kennzahlen übermittelt (z.B. Gesamtumsatz, Conversion-Anzahl, Erfolgsrate). Es werden keine personenbezogenen Daten, keine Shop-Identifikatoren und keine Endkundendaten an Anthropic weitergegeben. Da keine personenbezogenen Daten übermittelt werden, ist Anthropic im datenschutzrechtlichen Sinne kein Auftragsverarbeiter gemäß Art. 28 DSGVO für diesen Verarbeitungszweck. Die Auflistung erfolgt aus Gründen der Transparenz. Ergänzend enthält das Data Processing Addendum (DPA) von Anthropic Standard Contractual Clauses (SCCs) gemäß EU-Kommissionsbeschluss 2021/914. Anthropic nutzt API-Daten nicht für Modelltraining (Anthropic Commercial Terms). EU-Ansprechpartner: Anthropic Ireland, Limited, Dublin, Irland.

Bei Änderungen der Unterauftragnehmer wird der Auftraggeber mit 30 Tagen Vorlauf informiert. Der Auftraggeber kann neuen Unterauftragsverarbeitern innerhalb von 14 Tagen nach Mitteilung widersprechen. Im Fall eines berechtigten Widerspruchs hat der Auftraggeber das Recht, den Vertrag zum Zeitpunkt des geplanten Einsatzes des neuen Unterauftragsverarbeiters außerordentlich zu kündigen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung als erteilt.

Für Unterauftragnehmer mit Sitz außerhalb des EWR werden Datenübermittlungen durch folgende Garantien abgesichert:

• Shopify Inc. (Kanada): Angemessenheitsbeschluss der EU-Kommission für Kanada (Art. 45 DSGVO) sowie Shopify DPA mit EU-Standardvertragsklauseln
• Anthropic PBC (USA): EU-US Data Privacy Framework (Angemessenheitsbeschluss) sowie ergänzend EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

An Anthropic werden ausschließlich aggregierte, anonymisierte Kennzahlen übermittelt (keine personenbezogenen Daten). Die Übermittlung an Shopify beschränkt sich auf Abrechnungsdaten und API-Anfragen im Rahmen der App-Nutzung.

8. Kontrollrechte

8.1 Der Auftraggeber kann die Einhaltung dieses Vertrags überprüfen durch:

• Vorlage von Zertifikaten/Audits
• Schriftliche Auskünfte
• Vor-Ort-Prüfungen (nach Vereinbarung, Kosten trägt Auftraggeber)

8.2 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage relevante Informationen bereit.

9. Meldung von Datenschutzverletzungen

9.1 Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

9.2 Die Meldung enthält:

• Art der Verletzung
• Betroffene Datenkategorien und -menge
• Wahrscheinliche Folgen
• Ergriffene Maßnahmen

10. Löschung und Rückgabe

10.1 Bei Beendigung des Auftragsverhältnisses (Deinstallation der App) markiert der Auftragsverarbeiter Plattform-Zugangsdaten aus Sicherheitsgründen sofort als ungültig (keine weitere Verarbeitung in Werbeplattformen) — bei OAuth-Plattformen (aktuell Google Ads) zusätzlich beim Anbieter widerrufen. Alle personenbezogenen Daten werden spätestens 30 Tage nach Deinstallation endgültig gelöscht (Art. 28 Abs. 3 lit. g, Art. 17 DSGVO; Details zur Löschfrist und zum Reinstall-Fenster siehe Aufbewahrungstabelle in der Datenschutzerklärung). Gesetzliche Aufbewahrungspflichten bleiben unberührt.

10.2 Auf Wunsch erfolgt vorher eine Rückgabe in maschinenlesbarem Format.

10.3 Die Löschung wird auf Anfrage bestätigt.

10.4 Abrechnungsdaten werden ausschließlich von Shopify als Billing-Agent verarbeitet und aufbewahrt. Protokolldaten (gesetzliche Verjährungsfrist) und Einwilligungsnachweise (Art. 7 Abs. 1 DSGVO) werden für die jeweilige gesetzliche Aufbewahrungsfrist gespeichert.

11. Schlussbestimmungen

11.1 Dieser AVV ist Bestandteil der AGB und tritt mit Installation der App in Kraft.

11.2 Änderungen bedürfen der Schriftform.

11.3 Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen hat dieser AVV Vorrang.

12. Agency-Verknüpfungen (Zusatzvereinbarung)

Diese Zusatzvereinbarung regelt die datenschutzrechtliche Rolle der Parteien beim Einsatz der Agency-Verknüpfungsfunktion von ShopiPixel. Sie gilt zusätzlich zu den vorherigen Bestimmungen und hat bei Widersprüchen innerhalb ihres Anwendungsbereichs Vorrang.

12.1 Rollen-Klärung

Bei Verknüpfungen vom Typ "Agentur-verwaltet" ist der Agency-Owner weiterer Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Er ist kein Sub-Auftragsverarbeiter unter ShopiPixel, sondern ein eigenständiger ShopiPixel-Kunde mit eigenem Vertragsverhältnis. Die Weitergabe der in 12.2 genannten Daten erfolgt auf Grundlage der ausdrücklichen Einwilligung des Auftraggebers (Shop-Inhaber) gemäß Art. 6 Abs. 1 lit. a DSGVO.

Bei Verknüpfungen vom Typ "Eigene Organisation" ist der Agency-Owner derselbe Verantwortliche wie der Auftraggeber (Multi-Shop-Betrieb einer einzelnen Organisation).

In beiden Varianten bleibt der Auftraggeber Verantwortlicher der personenbezogenen Daten seiner Endkunden. Er entscheidet durch aktive Auswahl im Bestätigungs-Dialog, welche der in 12.2 genannten Berechtigungen er dem Agency-Owner erteilt.

12.2 Delegierbare Berechtigungen

Der Auftraggeber kann dem Agency-Owner die folgenden 15 Berechtigungs-Kategorien einzeln erteilen:

• Statistiken einsehen (aggregierte KPIs, Dashboards)
• Plattform-Zugangsdaten verwalten
• Event-Konfiguration und benutzerdefinierte Events verwalten
• Tracking-Einstellungen und Aufbewahrung verwalten
• Server-Side Google Tag Manager verwalten
• Headless SDK und API-Schlüssel verwalten
• Werbekonten-Verbindungen trennen
• Zielgruppen (Audiences) verwalten und synchronisieren
• Alerts und Benachrichtigungsregeln verwalten
• Geplante Reports verwalten
• Custom Domain einrichten
• Daten herunterladen (CSV-/XLSX-Export, Data Warehouse Export)
• Daten importieren (z.B. Bulk-Zugangsdaten-Import)
• Debug-Konsole und Shop-Diagnose

Gegenstand der Weitergabe sind: aggregierte Shop-Statistiken (Umsatz, Events, ROAS, Cohorts, Attribution-Gewichte, Audience-Sync-Status, Export-Logs, Alert-Historie), Werbeausgaben- und Kampagnen-Kennzahlen (einschließlich plattform-attribuierter Conversion-Werte und ROAS pro Kampagne), Plattform-Konfigurationsparameter (Kennungen der aktiven Plattformen nach erteilter Berechtigung, keine Zugangsdaten/Geheimnisse), Event- und Quota-Verbrauchszähler des Sub-Stores gegen das Kontingent des Agency-Owners, Shop-Meta-Daten (Shop-Domain, Shop-Name, Kontakt-E-Mail des Shop-Inhabers, Plan-Status) sowie die für die jeweilige Berechtigung notwendigen Konfigurationsdaten. Personenbezogene Daten der Endkunden (Klartext-E-Mail, Telefon, Name, Adresse), Shopify-Access-Tokens und Zahlungsdaten werden nicht weitergegeben.

12.3 Widerrufsrecht

Der Auftraggeber kann die Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt. Der Widerruf erfolgt in den App-Einstellungen unter "Verknüpfte Organisation" über die Schaltfläche "Verknüpfung beenden".

Der Widerruf wirkt unmittelbar: Der Agency-Owner verliert ab diesem Zeitpunkt jeglichen Zugriff auf die zuvor freigegebenen Daten und Berechtigungen. Der Shop fällt auf den zum Zeitpunkt des Widerrufs gültigen Standardtarif (FREE) zurück. Audit-Log-Einträge zur Verknüpfung bleiben zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erhalten.

Verliert der Agency-Account-Inhaber seinen ENTERPRISE-Tarif (durch Kündigung, Herabstufung, Ablauf, Ablehnung einer Belastung oder App-Deinstallation), wird die Cross-Shop-Datenweitergabe automatisch und sofort beendet. Es werden keine weiteren Events über den bisherigen Agency-Inhaber geroutet. Der betroffene Shop-Inhaber wird per E-Mail benachrichtigt.

12.4 Unterauftragsverarbeiter-Liste

Die in Ziffer 7 geführte Liste der Unterauftragsverarbeiter wird durch Agency-Verknüpfungen nicht erweitert. Agency-Account-Inhaber sind keine Unterauftragsverarbeiter von ShopiPixel, sondern ShopiPixel-Kunden mit eigenem Vertragsverhältnis.

12.5 Dokumentation und Nachweis

Jede Einwilligung zu einer Agency-Verknüpfung wird im Einwilligungs-Protokoll nach Art. 7 Abs. 1 DSGVO dokumentiert. Zusätzlich werden Verknüpfungs- und Zugriffsvorgänge beidseitig im Audit-Log gemäß Art. 5 Abs. 2 DSGVO erfasst. Der Auftraggeber kann alle durch den Agency-Owner vorgenommenen Aktionen im eigenen Audit-Log einsehen.

12.6 Anti-Missbrauchs-Kontrolle

Bei der Erstellung einer Agency-Verknüpfung führt ShopiPixel eine technische Anti-Missbrauchs-Prüfung durch: Verfügen Owner und Sub-Store-Inhaber über dieselbe Custom-Email-Domain (z.B. beide @firma.de), wird die Einladung blockiert. Diese Maßnahme schützt vor Mehrfach-Anmeldungen einer einzelnen Person mit dem Ziel, die für Mehr-Shop-Lizenzen vorgesehenen Tarif-Kontingente zu umgehen. Die Domain-Prüfung erfolgt rein technisch (String-Vergleich); die zugrundeliegenden Email-Adressen werden hierbei nicht zusätzlich gespeichert oder weitergegeben (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).

Free-Email-Provider (Gmail, Outlook, GMX etc.) sind von dieser Prüfung ausgenommen, da legitime Agenturen häufig diese Provider nutzen. ShopiPixel kann auf Antrag die Prüfung für Einzelfälle (z.B. zwei Custom-Domains derselben Unternehmensgruppe) deaktivieren.

13. Offline-Abschluss-, Event-Trigger- und Flow-Action-Weitergabe (Enterprise-Zusatzvereinbarung)

Diese Zusatzvereinbarung regelt die datenschutzrechtliche Behandlung der im Enterprise-Tarif verfügbaren Offline-Abschluss- und Event-Trigger-Funktionen. Sie gilt zusätzlich zu den §§ 1 bis 12 und hat bei Widersprüchen innerhalb ihres Anwendungsbereichs Vorrang.

13.1 Gegenstand

Der Auftragnehmer stellt auf Weisung des Auftraggebers im Enterprise-Tarif zwei zusätzliche Funktionen bereit:

• Offline-Abschluss-Tracking: Erfassung und Übermittlung außerhalb des Online-Shops zustandegekommener Geschäftsabschlüsse (z.B. telefonischer Vertragsabschluss, Offline-Termin) an die vom Auftraggeber konfigurierten Werbeplattformen zur nachträglichen Conversion-Zuordnung. Die übermittelten gehashten Kontaktdaten werden von den Werbeplattformen sowohl für den Abgleich über Klick-Identifikatoren als auch — bei Abschlüssen ohne Anzeigen-Klick — für einen direkten Abgleich gegen den jeweiligen Nutzerbestand der Plattform verwendet (Enhanced Matching).
• Event-Trigger- und Shopify-Flow-Action: Regelbasiertes Auslösen benutzerdefinierter Plattform-Events aus Storefront-Ereignissen (Klicks, Formular-Absendungen, URL-Matches), Webhook-Mappings oder einer Aktion in Shopify Flow.

13.2 Verarbeitete Daten

Über die in § 3.2 aufgelisteten Datenkategorien hinaus werden verarbeitet:

• Kryptographisch gehashte E-Mail-Adresse und Telefonnummer der betroffenen Endkunden (keine Klartext-Speicherung in der Datenbank des Auftragnehmers)
• Klick-Identifikatoren aus der URL des ursprünglichen Anzeigenklicks (gclid, gbraid, wbraid, fbclid, msclkid, ttclid, epik, ScCid, li_fat_id)
• Offline-Deal-Metadaten: Abschluss-Betrag, Währung, Abschluss-Datum, Abschluss-Quelle (freie Kennzeichnung durch den Auftraggeber)
• Trigger-Konfigurationen (URL-Muster, Formular-Namen, Element-IDs, Ereignisnamen, Mapping-Regeln)
• Shopify-Flow-Kontextdaten (vom Auftraggeber im Flow-Editor ausgewählte Bestell-, Kunden- oder Warenkorb-Metadaten)

Vor der Weitergabe an Werbeplattformen durchlaufen alle Nutzlasten eine Allowlist. Klartext-Kontaktdaten werden nicht an Werbeplattformen übermittelt.

13.3 Technische Consent-Sperre

Die Weitergabe an Werbeplattformen erfolgt nur, wenn der betroffene Endkunde zuvor im Storefront des Shops eine Marketing-Einwilligung über die Shopify Customer Privacy API erteilt hat (§ 25 TDDDG). Der Auftragnehmer prüft dies vor jeder Übermittlung automatisch.

13.4 Keine neuen Unterauftragsverarbeiter

Die in § 7 geführte Liste der Unterauftragsverarbeiter wird durch diese Zusatzvereinbarung nicht erweitert. Die Werbeplattformen (Meta, Google, TikTok, Pinterest, Snapchat, LinkedIn, Microsoft, Klaviyo) sind keine Unterauftragsverarbeiter des Auftragnehmers, sondern eigenständige Empfänger auf Weisung des Auftraggebers (§ 7 Abs. 2). Die Weitergabe erfolgt ausschließlich an die bereits nach § 7 gelisteten und vom Auftraggeber konfigurierten Plattformen. Klaviyo ist bereits nach § 7 als Empfänger benannt.

13.5 Speicherdauer und Löschung

• Temporäre Kontakt-Vorlagen im LeadCapture-Cache: 90 Tage (automatisch, konfigurierbar bis 180 Tage)
• Offline-Deal-Einträge und Trigger-Konfigurationen: Vertragslaufzeit + 30 Tage
• Versand-Protokolle der ausgelösten Events: Event-Retention nach § 10 bzw. der Datenschutzerklärung Abschnitt 6 (planabhängig 30–365 Tage)

Nach Beendigung des Auftragsverhältnisses erfolgt die Löschung gemäß § 10 (Details zur Löschfrist siehe Aufbewahrungstabelle in der Datenschutzerklärung).

13.6 Technische und organisatorische Maßnahmen

Die in § 6 beschriebenen Maßnahmen gelten auch für die Verarbeitungen nach § 13. Ergänzend gelten:

• Automatische Pseudonymisierung nach dem Stand der Technik vor Speicherung und Übermittlung (Details im TOM-Anhang)
• Shop-spezifische Datenisolation (Multi-Tenancy) auf allen Datenbank-Zugriffen
• Zeitgesteuerte Löschung der Offline-Kontaktdaten (90-Tage-Cron)
• Einwilligungs-Protokollierung (flow_action) für Shopify-Flow-Auslösungen zum Nachweis der Auftraggeber-Weisung (3 Jahre Aufbewahrung)