Auftragsverarbeitungsvertrag

Präambel

Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Nutzung der App "ShopiPixel".

1. Vertragsparteien

Verantwortlicher (Auftraggeber):
Der Shop-Inhaber, der die App ShopiPixel installiert hat.

Ansprechpartner für den Datenschutz: Iwan Gerber (Inhaber). Ein Datenschutzbeauftragter ist gemäß § 38 BDSG nicht zu bestellen.

2. Gegenstand der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zum Zweck der Bereitstellung von Server-Side Tracking-Diensten.

3. Art und Zweck der Verarbeitung

3.1 Zweck

• Erfassung von E-Commerce-Events (PageView, AddToCart, Purchase, etc.)
• Übermittlung dieser Events an konfigurierte Advertising-Plattformen
• Deduplizierung und Anreicherung von Events
• Bereitstellung von Analytics-Dashboards
• KI-gestützte Zusammenfassung aggregierter Kennzahlen (keine personenbezogenen Daten)

3.2 Art der Daten

• Bestelldaten (Bestellnummer, Bestellwert, Produkte)
• Kundendaten (E-Mail, Telefon, Name - gehasht)
• Browser-Identifikatoren (Client-ID, Pixel-ID) und Click-IDs (fbclid, gclid, ttclid, msclkid, epik, scid, li_fat_id)
• Gerätedaten (IP-Adresse, User-Agent)
• Einwilligungsprotokolle (Consent-Typ, Zeitpunkt, pseudonymisierte IP, Dokumentversion)
• Pseudonymisierte Journey-Kennungen (nicht personenbezogen)
• Kohorten-Aggregate (nur Gruppenstatistiken, keine Einzelpersonendaten)
• Aggregierte Werbeausgaben-Daten (Spend, Impressionen, Klicks)
• Alert-Konfigurationen (Schwellenwerte, Zustellkanäle)

3.3 Kategorien betroffener Personen

• Endkunden des Online-Shops des Auftraggebers
• Besucher des Online-Shops

4. Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer der Nutzung der App. Nach Beendigung werden alle Daten gemäß Ziffer 10 gelöscht.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

5.1 Daten nur nach dokumentierter Weisung des Auftraggebers zu verarbeiten.

5.2 Die mit der Verarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten.

5.3 Angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu treffen.

5.4 Unterauftragnehmer nur mit vorheriger Genehmigung einzusetzen.

5.5 Den Auftraggeber bei der Erfüllung der Betroffenenrechte zu unterstützen.

5.6 Den Auftraggeber bei Datenschutzverletzungen unverzüglich zu informieren.

5.7 Nach Beendigung alle Daten zu löschen oder zurückzugeben.

5.8 Den Auftraggeber bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO zu unterstützen, insbesondere durch Bereitstellung erforderlicher Informationen über die Verarbeitungstätigkeiten.

5.9 Den Auftraggeber unverzüglich zu informieren, falls eine Weisung nach Auffassung des Auftragnehmers gegen datenschutzrechtliche Vorschriften verstößt (Art. 28 Abs. 3 DSGVO i.V.m. Erwägungsgrund 81).

Dokumentierte Weisungen des Verantwortlichen umfassen insbesondere:

• die Konfiguration der Tracking-Plattformen in den App-Einstellungen
• die Auswahl der zu übermittelnden Event-Typen
• die Aktivierung/Deaktivierung von Features (z.B. KI-Analytics, E-Mail-Reports)
• die Konfiguration und Auslösung der Audience-Synchronisation (Übermittlung gehashter Kundendaten an Werbeplattformen zur Erstellung von Custom Audiences)
• sowie sonstige Einstellungen innerhalb der App-Oberfläche
• die Konfiguration von Export-Zielen (Webhook, SFTP oder Download) für den PII-bereinigten Daten-Export (NDJSON/CSV/XLSX)
• die Aktivierung der pseudonymisierten Customer Journey Analyse
• die Aktivierung der aggregierten Kohorten-Berechnung und LTV-Analyse

Weisungen, die über die Nutzung der App-Oberfläche hinausgehen, bedürfen der Textform (E-Mail an info@shopipixel.de).

6. Technische und organisatorische Maßnahmen

6.1 Vertraulichkeit

• Verschlüsselung aller gespeicherten Daten nach dem aktuellen Stand der Technik
• Shop-spezifische Verschlüsselungsschlüssel
• Pseudonymisierung personenbezogener Daten vor Speicherung nach dem Stand der Technik
• Zugriffskontrolle nach Need-to-Know-Prinzip

6.2 Integrität

• Kryptographische Integritätsprüfung aller Webhooks
• Audit-Logging aller sicherheitsrelevanten Operationen (Credential-Änderungen, Abrechnung, DSGVO-Anfragen, administrative Zugriffe)
• Versionierung von Konfigurationen

6.3 Verfügbarkeit

• Redundante Infrastruktur
• Tägliche verschlüsselte Backups auf deutschen Servern (30 Tage Aufbewahrung)
• Disaster-Recovery-Plan mit dokumentiertem Wiederherstellungsverfahren
• Selbst gehostetes Fehlererkennungssystem auf deutschen Servern mit automatischer Löschung nach definiertem Aufbewahrungszeitraum

6.4 Belastbarkeit

• Automatische Fehlererkennung und -unterbrechung bei Systemstörungen
• Anfragebegrenzung (Rate-Limiting)
• Wiederholungsmechanismus für fehlgeschlagene Übermittlungen

7. Unterauftragnehmer

Der Auftraggeber stimmt dem Einsatz folgender Unterauftragnehmer zu:

Die Werbeplattformen (Meta, Google, TikTok, Pinterest, Snapchat, LinkedIn, Microsoft Ads, Klaviyo), an die Events auf Weisung des Auftraggebers übermittelt werden, sind keine Unterauftragnehmer des Auftragsverarbeiters. Der Auftraggeber hat eine eigenständige Rechtsbeziehung zu diesen Plattformen. Die Übermittlung erfolgt ausschließlich auf Grundlage der vom Auftraggeber in den App-Einstellungen konfigurierten Plattformen. Darüber hinaus können auf Weisung des Auftraggebers Event-Daten an vom Auftraggeber konfigurierte Custom-Webhook-Endpunkte übermittelt werden. Der Auftraggeber bestimmt Umfang (minimal, standard, vollständig) und Ziel der Übermittlung. Die Verantwortung für die Datenschutzkonformität des Empfängers liegt beim Auftraggeber.

Audience-Synchronisation: Auf ausdrückliche Weisung des Auftraggebers können gehashte Kundendaten (SHA256-gehashte E-Mail-Adressen und Telefonnummern) an Meta (Custom Audiences API), Google (Customer Match API), TikTok (Custom Audiences API) und Pinterest (Customer Lists API) übermittelt werden. Diese Übermittlung erfolgt ausschließlich auf Grundlage der vom Auftraggeber in den App-Einstellungen konfigurierten Plattformen und aktiv ausgelösten Synchronisation. Klartextdaten werden nicht übermittelt.

An Anthropic werden ausschließlich aggregierte, anonyme Kennzahlen übermittelt (z.B. Gesamtumsatz, Conversion-Anzahl, Erfolgsrate). Es werden keine personenbezogenen Daten, keine Shop-Identifikatoren und keine Endkundendaten an Anthropic weitergegeben. Da keine personenbezogenen Daten übermittelt werden, ist Anthropic im datenschutzrechtlichen Sinne kein Auftragsverarbeiter gemäß Art. 28 DSGVO für diesen Verarbeitungszweck. Die Auflistung erfolgt aus Gründen der Transparenz. Ergänzend enthält das Data Processing Addendum (DPA) von Anthropic Standard Contractual Clauses (SCCs) gemäß EU-Kommissionsbeschluss 2021/914. Anthropic nutzt API-Daten nicht für Modelltraining (Anthropic Commercial Terms). EU-Ansprechpartner: Anthropic Ireland, Limited, Dublin, Irland.

Bei Änderungen der Unterauftragnehmer wird der Auftraggeber mit 30 Tagen Vorlauf informiert. Der Auftraggeber kann neuen Unterauftragsverarbeitern innerhalb von 14 Tagen nach Mitteilung widersprechen. Im Fall eines berechtigten Widerspruchs hat der Auftraggeber das Recht, den Vertrag zum Zeitpunkt des geplanten Einsatzes des neuen Unterauftragsverarbeiters außerordentlich zu kündigen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung als erteilt.

Für Unterauftragnehmer mit Sitz außerhalb des EWR werden Datenübermittlungen durch folgende Garantien abgesichert:

• Shopify Inc. (Kanada): Angemessenheitsbeschluss der EU-Kommission für Kanada (Art. 45 DSGVO) sowie Shopify DPA mit EU-Standardvertragsklauseln
• Anthropic PBC (USA): EU-US Data Privacy Framework (Angemessenheitsbeschluss) sowie ergänzend EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO

An Anthropic werden ausschließlich aggregierte, anonymisierte Kennzahlen übermittelt (keine personenbezogenen Daten). Die Übermittlung an Shopify beschränkt sich auf Abrechnungsdaten und API-Anfragen im Rahmen der App-Nutzung.

8. Kontrollrechte

8.1 Der Auftraggeber kann die Einhaltung dieses Vertrags überprüfen durch:

• Vorlage von Zertifikaten/Audits
• Schriftliche Auskünfte
• Vor-Ort-Prüfungen (nach Vereinbarung, Kosten trägt Auftraggeber)

8.2 Der Auftragnehmer stellt dem Auftraggeber auf Anfrage relevante Informationen bereit.

9. Meldung von Datenschutzverletzungen

9.1 Der Auftragnehmer meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden.

9.2 Die Meldung enthält:

• Art der Verletzung
• Betroffene Datenkategorien und -menge
• Wahrscheinliche Folgen
• Ergriffene Maßnahmen

10. Löschung und Rückgabe

10.1 Nach Beendigung des Auftrags löscht der Auftragnehmer alle personenbezogenen Live-Daten unverzüglich nach Eingang der Löschanfrage, in der Regel innerhalb von 48 Stunden. Verschlüsselte Backups werden innerhalb von 30 Tagen gelöscht.

10.2 Auf Wunsch erfolgt vorher eine Rückgabe in maschinenlesbarem Format.

10.3 Die Löschung wird auf Anfrage bestätigt.

11. Schlussbestimmungen

11.1 Dieser AVV ist Bestandteil der AGB und tritt mit Installation der App in Kraft.

11.2 Änderungen bedürfen der Schriftform.

11.3 Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen hat dieser AVV Vorrang.

12. Agency-Verknüpfungen (Zusatzvereinbarung)

Diese Zusatzvereinbarung regelt die datenschutzrechtliche Rolle der Parteien beim Einsatz der Agency-Verknüpfungsfunktion von ShopiPixel. Sie gilt zusätzlich zu den vorherigen Bestimmungen und hat bei Widersprüchen innerhalb ihres Anwendungsbereichs Vorrang.

12.1 Rollen-Klärung

Bei Verknüpfungen vom Typ "Agentur-verwaltet" ist der Agency-Owner weiterer Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Er ist kein Sub-Auftragsverarbeiter unter ShopiPixel, sondern ein eigenständiger ShopiPixel-Kunde mit eigenem Vertragsverhältnis. Die Weitergabe der in 12.2 genannten Daten erfolgt auf Grundlage der ausdrücklichen Einwilligung des Auftraggebers (Shop-Inhaber) gemäß Art. 6 Abs. 1 lit. a DSGVO.

Bei Verknüpfungen vom Typ "Eigene Organisation" ist der Agency-Owner derselbe Verantwortliche wie der Auftraggeber (Multi-Shop-Betrieb einer einzelnen Organisation).

In beiden Varianten bleibt der Auftraggeber Verantwortlicher der personenbezogenen Daten seiner Endkunden. Er entscheidet durch aktive Auswahl im Bestätigungs-Dialog, welche der in 12.2 genannten Berechtigungen er dem Agency-Owner erteilt.

12.2 Delegierbare Berechtigungen

Der Auftraggeber kann dem Agency-Owner die folgenden 14 Berechtigungs-Kategorien einzeln erteilen:

• Statistiken einsehen (aggregierte KPIs, Dashboards)
• Plattform-Zugangsdaten verwalten
• Event-Konfiguration und benutzerdefinierte Events verwalten
• Tracking-Einstellungen und Aufbewahrung verwalten
• Server-Side Google Tag Manager verwalten
• Headless SDK und API-Schlüssel verwalten
• Werbekonten-Verbindungen trennen
• Zielgruppen (Audiences) verwalten und synchronisieren
• Alerts und Benachrichtigungsregeln verwalten
• Geplante Reports verwalten
• Custom Domain einrichten
• Daten herunterladen (CSV-/XLSX-Export, Data Warehouse Export)
• Daten importieren (z.B. Bulk-Zugangsdaten-Import)
• Debug-Konsole und Shop-Diagnose

Gegenstand der Weitergabe sind: aggregierte Shop-Statistiken (Umsatz, Events, ROAS, Cohorts, Attribution-Gewichte, Audience-Sync-Status, Export-Logs, Alert-Historie), Werbeausgaben- und Kampagnen-Kennzahlen, Plattform-Konfigurationsparameter (Kennungen der aktiven Plattformen nach erteilter Berechtigung, keine Zugangsdaten/Geheimnisse), Event- und Quota-Verbrauchszähler des Sub-Stores gegen das Kontingent des Agency-Owners, Shop-Meta-Daten (Shop-Domain, Shop-Name, Kontakt-E-Mail des Shop-Inhabers, Plan-Status) sowie die für die jeweilige Berechtigung notwendigen Konfigurationsdaten. Personenbezogene Daten der Endkunden (Klartext-E-Mail, Telefon, Name, Adresse), Shopify-Access-Tokens und Zahlungsdaten werden nicht weitergegeben.

12.3 Widerrufsrecht

Der Auftraggeber kann die Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt. Der Widerruf erfolgt in den App-Einstellungen unter "Verknüpfte Organisation" über die Schaltfläche "Verknüpfung beenden".

Der Widerruf wirkt unmittelbar: Der Agency-Owner verliert ab diesem Zeitpunkt jeglichen Zugriff auf die zuvor freigegebenen Daten und Berechtigungen. Der Shop fällt auf den zum Zeitpunkt des Widerrufs gültigen Standardtarif (FREE) zurück. Audit-Log-Einträge zur Verknüpfung bleiben zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erhalten.

Verliert der Agency-Account-Inhaber seinen ENTERPRISE-Tarif (durch Kündigung, Herabstufung, Ablauf, Ablehnung einer Belastung oder App-Deinstallation), wird die Cross-Shop-Datenweitergabe automatisch und sofort beendet. Es werden keine weiteren Events über den bisherigen Agency-Inhaber geroutet. Der betroffene Shop-Inhaber wird per E-Mail benachrichtigt.

12.4 Unterauftragsverarbeiter-Liste

Die in Ziffer 7 geführte Liste der Unterauftragsverarbeiter wird durch Agency-Verknüpfungen nicht erweitert. Agency-Account-Inhaber sind keine Unterauftragsverarbeiter von ShopiPixel, sondern ShopiPixel-Kunden mit eigenem Vertragsverhältnis.

12.5 Dokumentation und Nachweis

Jede Einwilligung zu einer Agency-Verknüpfung wird im Einwilligungs-Protokoll nach Art. 7 Abs. 1 DSGVO dokumentiert. Zusätzlich werden Verknüpfungs- und Zugriffsvorgänge beidseitig im Audit-Log gemäß Art. 5 Abs. 2 DSGVO erfasst. Der Auftraggeber kann alle durch den Agency-Owner vorgenommenen Aktionen im eigenen Audit-Log einsehen.