Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der App ist:

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i.V.m. § 38 BDSG nicht zu bestellen. Für Datenschutzanfragen wenden Sie sich bitte an: datenschutz@shopipixel.de

2. Geltungsbereich

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Shopify App „ShopiPixel“ (app.shopipixel.de). Für die Datenverarbeitung auf unserer Marketing-Website shopipixel.de gilt eine separate Datenschutzerklärung.

2a. Mindestalter

ShopiPixel ist ein B2B-Dienst, der sich ausschließlich an Unternehmer im Sinne des §14 BGB richtet. Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass Daten einer Person unter 16 Jahren erhoben wurden, werden wir diese unverzüglich löschen.

3. Welche Daten verarbeiten wir?

3.3 Shop-Daten (App-Nutzer)

Bei der Installation der App verarbeiten wir:

• Shop-Domain (z.B. meinshop.myshopify.com)
• Shop-Name
• E-Mail-Adresse des Shop-Inhabers
• Währung, Zeitzone, Sprache und Land

Synchronisation mit Shopify-Stammdaten

Bei jedem Login synchronisiert ShopiPixel die Shop-Stammdaten (Währung, Zeitzone, Sprache und Land) direkt aus dem Shopify-Konto des Shop-Inhabers. Bestehende Werte werden dabei mit den von Shopify gemeldeten Werten überschrieben — Shopify ist die maßgebliche Datenquelle. Diese Synchronisation wird im internen Audit-Log protokolliert (Art. 5 Abs. 2 DSGVO, Rechenschaftspflicht). Bereits gespeicherte Statistiken und Reports aus Zeiträumen vor einer Währungsänderung bleiben in der zum Erfassungszeitpunkt gültigen Währung erhalten und werden nicht rückwirkend umgerechnet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3a Plattform-Zugangsdaten

Zur Anbindung der vom Shop-Inhaber konfigurierten Werbeplattformen speichern wir:

• OAuth-Tokens (Refresh Tokens) für die Authentifizierung bei Drittplattformen (z.B. Google Ads, Microsoft Ads über Azure Active Directory) sowie API-Zugangstokens (Bearer Tokens) für weitere Plattformen (z.B. LinkedIn)
• Plattform-Account-Informationen (Account-ID, Account-Name)
• Plattform-spezifische Konfigurationsdaten (z.B. Conversion Actions, UET Tag IDs, Conversion Goals, Pixel-IDs)
• API-Schlüssel und Access Tokens (soweit vom Shop-Inhaber eingegeben)

Alle Zugangsdaten werden verschlüsselt auf unseren eigenen Servern in Deutschland gespeichert. Jeder Shop verfügt über einen eigenen Verschlüsselungsschlüssel.

Bei Trennung einer Plattform-Verbindung oder Deinstallation der App werden die zugehörigen Tokens bei der jeweiligen Plattform widerrufen und alle gespeicherten Zugangsdaten gelöscht.

Bei OAuth-Anmeldung über ein Microsoft-Konto (Azure Active Directory) wird die Microsoft-Account-ID des Shop-Inhabers im OAuth-Token-Austausch mit der Microsoft Corporation (USA) genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert (vgl. §4.3).

Hinweis zu Microsoft Ads: Microsoft (Azure Active Directory) stellt keinen serverseitigen Token-Widerrufs-Endpunkt bereit (RFC 7009 wird nicht unterstützt). Bei Trennung oder Deinstallation entfernt ShopiPixel den Refresh-Token aus der eigenen Datenbank; ein aktiver Widerruf bei Microsoft durch ShopiPixel ist technisch nicht möglich. Shop-Inhaber können die App-Autorisierung bei Microsoft jederzeit zusätzlich selbst entziehen über https://account.microsoft.com/privacy/app-access — dies stellt die vollständige Löschung bei Microsoft sicher.

Für Microsoft Ads wird zusätzlich die Microsoft Advertising Offline Conversions API genutzt: Bei Bestellungen werden kryptographisch gehashte E-Mail-Adressen und Telefonnummern (Enhanced Conversions) gemeinsam mit der Microsoft Click ID (msclkid) an Microsoft übertragen, um Conversions zuordnen zu können.

Zugangsdaten und über die APIs abgerufene Daten werden ausschließlich zur Bereitstellung des beauftragten Dienstes verwendet und niemals verkauft oder für andere Zwecke an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.4 Tracking-Daten

Zur Bereitstellung des Server-Side Trackings verarbeiten wir im Auftrag des Shop-Inhabers:

• Ereignistyp (z.B. PageView, AddToCart, Purchase)
• Zeitstempel des Ereignisses
• Produkt-IDs und -namen
• Bestellwerte und Währungen
• URL der besuchten Seite

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). ShopiPixel verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Shop-Inhabers. Die Rechtsgrundlage gegenüber den Endkunden bestimmt der Shop-Inhaber als Verantwortlicher.

3.5 Browser-Identifikatoren

Zur Zuordnung von Ereignissen verarbeiten wir:

• Client-ID (GA4)
• Pixel-IDs (_fbp, _ttp)
• Click-IDs (_fbc, gclid, wbraid, gbraid, ttclid, msclkid, epik, scid, li_fat_id)

Click-IDs und Cookie-IDs werden als pseudonyme Identifikatoren gespeichert. Diese ermöglichen in Kombination mit Plattformdaten eine Zuordnung, sind aber für sich genommen keine direkt personenbezogenen Daten. E-Mail-Adressen und Telefonnummern werden vor der Speicherung nach dem Stand der Technik pseudonymisiert (Einweg-Verschlüsselung). Die Browser-Identifikatoren werden als First-Party-Cookies auf der Domain des Shops gespeichert. Sie enthalten keine Klarnamen oder direkt identifizierenden Daten, sondern pseudonyme Identifier (UUIDs und Click-IDs) zur plattformübergreifenden Zuordnung von Events. Zur Verbesserung der Zuordnungsqualität werden IP-Adresse und User-Agent des Endkunden server-seitig erfasst und an die konfigurierten Werbeplattformen übermittelt (bei Meta, TikTok, Pinterest und Snapchat im Klartext; Microsoft Ads erhält keine IP-Adresse, da das UET-Tag direkt im Browser läuft und die Offline-Conversions-API keine IP überträgt). Diese Daten werden nicht in unserer Datenbank gespeichert, sondern ausschließlich zum Sendezeitpunkt verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). ShopiPixel verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Shop-Inhabers. Die Rechtsgrundlage gegenüber den Endkunden bestimmt der Shop-Inhaber als Verantwortlicher.

3.6 Endkunden-Daten

Bei Checkout-Ereignissen verarbeiten wir:

• E-Mail-Adresse (gehasht)
• Telefonnummer (gehasht, falls vorhanden)
• Vor- und Nachname (gehasht)
• Versandadresse (nur Land/Region)

Kundenanreicherung (Scale/Enterprise) Zur Verbesserung der Event Match Quality können im Scale- und Enterprise-Plan zusätzliche Kundendaten (E-Mail, Telefon, Vor-/Nachname, Stadt, Region, Postleitzahl, Land — soweit nicht bereits im Event vorhanden) über die Shopify Admin API abgerufen werden. Diese Daten werden für maximal 24 Stunden temporär zwischengespeichert und anschließend automatisch gelöscht. Es erfolgt keine dauerhafte Speicherung dieser Klartextdaten in unserer Datenbank.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). ShopiPixel verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Shop-Inhabers. Die Rechtsgrundlage gegenüber den Endkunden bestimmt der Shop-Inhaber als Verantwortlicher.

3.6a Audience-Synchronisation

Auf Weisung des Shop-Inhabers kann ShopiPixel gehashte Kundendaten an Werbeplattformen zur Erstellung von Custom Audiences übermitteln. Dabei werden folgende Daten verarbeitet (Art. 13 Abs. 1 lit. c DSGVO):

• E-Mail-Adressen (kryptographisch gehasht)
• Telefonnummern (kryptographisch gehasht, falls vorhanden)
• Marketing-Einwilligungs-Kennzeichen pro Event (Ja/Nein): Standardmäßig „Nein". Nur Events, deren Kennzeichen „Ja" lautet, werden in einen Synchronisationslauf einbezogen.

Das Kennzeichen leitet sich aus dem Marketing-Consent ab, den der Shop-Inhaber als Verantwortlicher über sein Cookie-/Consent-Banner einholt. Bei einer Verarbeitungseinschränkung nach Art. 18 DSGVO bleibt das Kennzeichen leer; bei einem Löschverlangen nach Art. 17 DSGVO werden Kennzeichen und gehashte Identifikatoren entfernt.

Es werden ausschließlich nach dem Stand der Technik gehashte Werte übermittelt. Klartextdaten werden zu keinem Zeitpunkt an die Empfängerplattformen gesendet.

Empfänger: Meta Platforms Ireland Ltd. (Custom Audiences API), Google LLC (über die Google Data Manager API für Customer Match), TikTok Technology Limited (Custom Audiences API), Pinterest, Inc. (Customer Lists API), Microsoft Ireland Operations Ltd. (Microsoft Ads — Customer-List-Audiences über die Campaign Management API v13) und Snap Group Ltd. (Snapchat — Customer Segments über die Snapchat Marketing API) — jeweils nur die vom Shop-Inhaber in den App-Einstellungen konfigurierten Plattformen. Microsoft Ads und Snapchat sind bereits aus dem Conversion-Tracking (Abschnitt 3.6) bekannte Empfänger — es handelt sich nicht um neue Empfänger.

In die Synchronisation fließen ausschließlich Käufer ein, deren Kontaktdaten bereits in den Event-Daten des Shops gespeichert sind. Die Synchronisation wirkt ausschließlich vorwärts ab dem Zeitpunkt der Aktivierung durch den Shop-Inhaber (kein rückwirkender Import). Bei einem Löschverlangen eines Endkunden (Art. 17 DSGVO) werden die intern gespeicherten gehashten Identifikatoren des Endkunden entfernt; ein anschließender Synchronisationslauf schließt den gelöschten Endkunden automatisch aus. Bereits an die Werbeplattformen übermittelte gehashte Werte verbleiben dort nach Maßgabe der jeweiligen Plattform: Google entfernt übermittelte Datensätze automatisch nach 30 Tagen, sofern sie nicht erneut synchronisiert werden; Microsoft Ads entfernt übermittelte Mitglieder automatisch 30 Tage nach dem Hinzufügen, sofern sie nicht erneut synchronisiert werden; Meta, TikTok und Snapchat ersetzen die Liste bei jeder erneuten Synchronisation vollständig, sodass gelöschte Endkunden mit dem nächsten Lauf entfernt werden; bei Pinterest unterliegen frühere Listen der Pinterest-eigenen Aufbewahrung, bis der Shop-Inhaber sie über das Pinterest-Konto entfernt.

Rechtsgrundlage: ShopiPixel handelt bei der Audience-Synchronisation als Auftragsverarbeiter gemäß Art. 28 DSGVO und verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Shop-Inhabers. Die datenschutzrechtliche Verantwortlichkeit gegenüber den Endkunden liegt beim Shop-Inhaber; dieser stellt die Rechtsgrundlage sicher — in der Regel die Einwilligung der Endkunden gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 TDDDG, die der Shop-Inhaber über das Cookie-/Consent-Banner seines Shops einholt. Eine eigenständige Verarbeitung durch ShopiPixel auf Grundlage berechtigter Interessen findet hierbei nicht statt.

3.6b Customer Journey Analyse

Zur Optimierung der Conversion-Funnel analysiert ShopiPixel die Abfolge von Events (z. B. PageView → AddToCart → Purchase) auf Shop-Ebene.

• Pseudonymisierte Journey-Kennung (nicht auf einzelne Personen rückführbar)
• Click-IDs der Werbeplattformen (zur Kanalzuordnung)
• Ereignistypen und Zeitstempel

Es werden keine E-Mail-Adressen, Namen oder sonstige direkt identifizierenden Daten für die Journey-Analyse verwendet. Die Ergebnisse werden ausschließlich in aggregierter Form dargestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit ShopiPixel als Auftragsverarbeiter handelt, erfolgt die Verarbeitung auf Weisung des Shop-Inhabers.

3.6c Werbeausgaben-Import

ShopiPixel kann auf Weisung des Shop-Inhabers aggregierte Finanzdaten von Werbeplattformen abrufen:

• Werbeausgaben (Spend) pro Kampagne
• Impressionen und Klicks (aggregiert)
• Kampagnen-Bezeichnungen
• Plattform-attribuierte Conversion-Werte und -Anzahlen pro Kampagne (von der jeweiligen Werbeplattform nach deren eigener Attributionslogik gemeldete aggregierte Conversion-Kennzahlen, zur Berechnung eines plattform-attribuierten ROAS pro Kampagne)

Es werden ausschließlich aggregierte Finanzdaten abgerufen, die keinen Personenbezug haben. Die Daten dienen der Berechnung von Werbeeffizienz-Kennzahlen (z. B. ROAS). Die plattform-attribuierten Conversion-Werte und der daraus berechnete ROAS pro Kampagne beruhen auf der Attributionslogik der jeweiligen Werbeplattform und können daher von den im ShopiPixel-Funnel-Dashboard ausgewiesenen Werten abweichen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6d Kohorten-Analyse

Zur Bestimmung des langfristigen Kundenwerts (LTV) berechnet ShopiPixel Kohorten-Statistiken:

• Pseudonymisierte Kunden-Kennung (nur im Arbeitsspeicher, nicht in der Datenbank)
• Kohorten-Zuordnung nach Erstkaufdatum
• Aggregierte Umsatz- und Kaufhäufigkeitsdaten pro Kohorte

Individuelle Kundendaten werden ausschließlich im Arbeitsspeicher verarbeitet und nicht dauerhaft gespeichert. In der Datenbank werden nur aggregierte Ergebnisse auf Kohortenebene abgelegt (z. B. "Kunden mit Erstkauf im Januar: durchschnittlich X Käufe").

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit ShopiPixel als Auftragsverarbeiter handelt, erfolgt die Verarbeitung auf Weisung des Shop-Inhabers.

3.6e Benutzerdefinierte Reports

Shop-Inhaber können individuelle Reports auf Basis aggregierter Statistiken konfigurieren:

• Aggregierte Tagesstatistiken (Conversions, Umsatz, Events)
• Plattform-bezogene Leistungskennzahlen

Die Reports basieren ausschließlich auf bereits aggregierten Daten und enthalten keine personenbezogenen Endkundendaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6f Daten-Export

Shop-Inhaber können Event-Daten zur weiteren Verarbeitung exportieren:

• Event-Metadaten (Typ, Zeitstempel, Plattform)
• Aggregierte Bestelldaten (Wert, Währung)

Vor dem Export werden personenbezogene Daten entfernt oder pseudonymisiert. Der Export kann pseudonymisierte Visitor-IDs (kryptographisch gehasht mit serverseitigem Schlüssel) enthalten, die ohne den serverseitig gespeicherten Schlüssel keinen Personenbezug ermöglichen. Der Shop-Inhaber bestimmt Ziel und Häufigkeit des Exports.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit ShopiPixel als Auftragsverarbeiter handelt, erfolgt die Verarbeitung auf Weisung des Shop-Inhabers.

3.6g Konfigurierbare Alerts

Shop-Inhaber können Benachrichtigungsregeln für Kennzahlen konfigurieren:

• Schwellenwerte für KPIs (z. B. Conversion Rate, Umsatz)
• Zustellkanal (E-Mail oder Webhook)

Die Alerts basieren auf aggregierten Shop-Statistiken und enthalten keine personenbezogenen Endkundendaten. Bei Webhook-Zustellung wird die konfigurierte URL auf Sicherheit geprüft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6h Datengetriebene Attribution

ShopiPixel kann den Beitrag einzelner Werbekanäle zur Conversion auf Basis statistischer Modelle berechnen:

• Click-IDs der Werbeplattformen (zur Kanalzuordnung)
• Conversion-Pfade (anonymisierte Kanalabfolgen)

Die Attribution erfolgt ausschließlich auf Basis von Click-IDs und Kanalzuordnungen. Es werden keine E-Mail-Adressen oder sonstige direkt identifizierenden Daten verwendet. Die Ergebnisse werden als Gewichtungsfaktoren pro Kanal gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Soweit ShopiPixel als Auftragsverarbeiter handelt, erfolgt die Verarbeitung auf Weisung des Shop-Inhabers.

3.6i Echtzeit-Events

ShopiPixel stellt eine Echtzeit-Ansicht eingehender Events im Dashboard bereit:

• Ereignistyp und Zeitstempel
• Plattform-Zuordnung

Die Echtzeit-Daten sind flüchtig und werden nicht dauerhaft gespeichert. Der Stream enthält keine personenbezogenen Endkundendaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6j Agency-Verknüpfungen und Cross-Shop-Datenweitergabe

ShopiPixel ermöglicht es, einen Shop mit einem Agency-Account (ENTERPRISE-Kunde) zu verknüpfen. Die Verknüpfung entsteht ausschließlich durch einen zweistufigen Opt-In: Der Agency-Account-Inhaber sendet eine Einladung, der Shop-Inhaber bestätigt diese aktiv im App-Dialog. Ohne diese Bestätigung findet keine Datenweitergabe statt.

• Aggregierte Geschäftsstatistiken (Umsatz, Events, ROAS, Cohorts, Attribution-Gewichte, Audience-Sync-Status, Export-Logs, Alert-Historie)
• Ad Spend und Kampagnen-Kennzahlen aus verbundenen Werbeplattformen (einschließlich plattform-attribuierter Conversion-Werte und ROAS pro Kampagne)
• Shop-Meta-Daten (Domain, Name, Plan-Status)
• Kontakt-E-Mail des Shop-Inhabers (für die Kommunikation im Agency-Kontext, z.B. Einladungen, automatische Beendigungs-Hinweise)
• Plattform-Konfiguration des Sub-Stores (welche Werbe- und Analyse-Plattformen verbunden sind, Verbindungsstatus und Validierungsergebnisse — ohne die Zugangsdaten selbst)
• Event- und Quota-Verbrauch des Sub-Stores (Anzahl verarbeiteter Bestellungen pro Abrechnungszeitraum, Anteil am Gesamtkontingent des Agency-Inhabers)

Nicht weitergegeben werden: personenbezogene Daten der Endkunden (E-Mail, Telefon, Name, Adresse), Shopify-Access-Tokens und Zahlungsdaten.

Zwei Verknüpfungs-Typen

• Agentur-verwaltet: Der Agency-Owner ist ein Dienstleister und wird zum weiteren Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Der Shop-Inhaber bleibt Verantwortlicher der Endkunden-Daten.
• Eigene Organisation: Der Agency-Owner und der Shop-Inhaber gehören zur selben Organisation (Multi-Shop-Betrieb). Beide Shops haben denselben Verantwortlichen.

Delegierbare Berechtigungen (14 Kategorien)

Der Shop-Inhaber entscheidet beim Bestätigen der Einladung, welche der folgenden Berechtigungen er dem Agency-Owner erteilt. Jede Berechtigung ist einzeln wählbar:

• Statistiken einsehen (aggregierte KPIs, Dashboards)
• Plattform-Zugangsdaten verwalten (hinzufügen, ändern, entfernen)
• Event-Konfiguration verwalten (Event-Toggles, benutzerdefinierte Events)
• Tracking-Einstellungen verwalten (Erfassungsmodus, Aufbewahrung)
• Server-Side Google Tag Manager verwalten
• Headless SDK und API-Schlüssel verwalten
• Werbekonten trennen (nur Entfernen bestehender Verbindungen)
• Zielgruppen (Audiences) verwalten und an Plattformen synchronisieren
• Alerts und Benachrichtigungsregeln verwalten
• Geplante Reports verwalten
• Custom Domain einrichten
• Daten herunterladen (CSV-/XLSX-Export, Data Warehouse Export)
• Daten importieren (z.B. Bulk-Zugangsdaten-Import)
• Debug-Konsole und Shop-Diagnose

Rechtsgrundlage und Empfänger

Die Weitergabe erfolgt auf Grundlage der ausdrücklichen Einwilligung des Shop-Inhabers gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung wird im Einwilligungs-Protokoll nach Art. 7 Abs. 1 DSGVO dokumentiert.

Bei Agentur-verwalteten Verknüpfungen ist der Agency-Owner weiterer Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Er ist kein Sub-Auftragsverarbeiter von ShopiPixel, sondern ein eigenständiger ShopiPixel-Kunde mit eigenem Vertragsverhältnis.

Bei Verknüpfungen als eigene Organisation ist der Agency-Owner derselbe Verantwortliche wie der Shop-Inhaber.

Speicherdauer

Die Datenweitergabe erfolgt nur während die Agency-Verknüpfung aktiv ist. Nach Beendigung der Verknüpfung (durch Widerruf, Kündigung des Agency-Accounts, Verlust des ENTERPRISE-Tarifs durch den Agency-Inhaber oder App-Deinstallation) endet die Weitergabe sofort. Audit-Log-Einträge zur Verknüpfung bleiben zur Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erhalten.

Datenexport-Frist nach Beendigung

Nach Beendigung der Agency-Verknüpfung (durch Widerruf, Auto-Revoke bei Owner-Plan-Verlust oder App-Deinstallation) gewährt ShopiPixel dem Shop-Inhaber eine Frist von 14 Kalendertagen zum Datenexport. Während dieser Frist gelten weiterhin die ENTERPRISE-Datenaufbewahrungs-Regeln (365 Tage Event-Retention). Nach Ablauf der Frist greift automatisch die Aufbewahrungsfrist des dann gültigen Standardtarifs (FREE: 7 Tage). Der Shop-Inhaber wird drei Mal per E-Mail über die Frist informiert: am Tag der Beendigung, zwei Tage vor Fristablauf und am Tag des Fristablaufs.

Widerrufsrecht (Art. 7 Abs. 3 DSGVO)

Der Shop-Inhaber kann die Einwilligung jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt. Der Widerruf erfolgt in den App-Einstellungen unter "Verknüpfte Organisation" über die Schaltfläche "Verknüpfung beenden". Der Widerruf wirkt unmittelbar: Der Agency-Owner verliert ab diesem Zeitpunkt jeglichen Zugriff. Der Shop fällt nach Widerruf auf den FREE-Tarif zurück.

Automatische Beendigung bei Plan-Verlust des Agency-Inhabers

Verliert der Agency-Account-Inhaber seinen ENTERPRISE-Tarif — etwa durch Kündigung, Herabstufung, Ablauf der Subscription, Ablehnung einer Belastung oder Deinstallation der App — wird die Agency-Verknüpfung automatisch beendet. Diese Beendigung ist eine vertraglich vereinbarte automatische Folge des Wegfalls des Owner-Tarifs und stellt keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO dar (kein Profiling, keine Bewertung). Der Tarif des Sub-Stores wird auf FREE (50 Events pro Monat) zurückgesetzt und es werden keine weiteren Events über den Agency-Inhaber geroutet.

Der betroffene Shop-Inhaber wird unverzüglich per E-Mail über die automatische Beendigung informiert und kann anschließend einen eigenen Tarif wählen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Shop-Inhabers). Zusätzlich Art. 6 Abs. 1 lit. b DSGVO für die aus der Einwilligung resultierenden vertraglichen Nebenpflichten (Audit-Logging, Widerrufsverwaltung).

3.6k Headless SDK (Server-zu-Server)

Das Headless SDK ermöglicht die direkte Übermittlung von E-Commerce-Events von externen Frontend-Anwendungen (Custom Storefronts, PWAs) an ShopiPixel.

• Ereignistypen (PageView, AddToCart, Purchase etc.)
• Produkt-Daten (IDs, Namen, Kategorien, Preise)
• Bestelldaten und -werte
• Gehashte PII (E-Mail, Telefon, Name — falls übermittelt)
• Browser- und Geräte-Identifikatoren

Wie beim Standard-Web-Pixel werden personenbezogene Daten vor der Speicherung kryptographisch gehasht. Der Shop-Inhaber steuert welche Daten übermittelt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). ShopiPixel verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Shop-Inhabers.

3.6l Offline-Abschluss-Daten (Enterprise-Feature)

Für den Enterprise-Tarif bietet ShopiPixel die Möglichkeit, außerhalb des Online-Shops zustandegekommene Geschäftsabschlüsse (Offline-Deals, z.B. telefonische Vertragsabschlüsse oder Offline-Termine) an die vom Shop-Inhaber verbundenen Werbeplattformen zu übermitteln, um die Werbewirksamkeit vergangener Anzeigen-Klicks messbar zu machen.

Datenkategorien (nur gehashte oder pseudonyme Werte):

• Kryptographisch gehashte E-Mail-Adresse des Kunden
• Kryptographisch gehashte Telefonnummer (je nach Zielplattform in E.164-Format oder reine Ziffern)
• Klick-Identifikatoren aus dem URL-Parameter der ursprünglichen Anzeigen-Klicks (gclid, gbraid, wbraid, fbclid, msclkid, ttclid, epik, scid, liFatId)
• Bestehende Browser-Cookie-Werte des Kunden (_fbc, _fbp, _gcl_aw, _ttp), sofern beim ersten Besuch gesetzt
• Abschluss-Betrag, Währung und Abschluss-Datum
• Abschluss-Quelle als freitext-Kennzeichnung (z.B. „Telefonverkauf“)

Es werden keine Klartext-Kontaktdaten an die Werbeplattformen übermittelt. Die Kontaktdaten werden vor Übermittlung lokal nach dem Stand der Technik gehasht.

Zweck: Übermittlung an die vom Shop-Inhaber verbundenen Werbeplattformen zur nachträglichen Conversion-Zuordnung (Offline-Conversion-Upload). Die gehashten Kontaktdaten ermöglichen den Werbeplattformen zusätzlich einen direkten Abgleich mit ihren eigenen Nutzerbeständen (Enhanced Matching) — insbesondere bei Abschlüssen ohne vorherigen Anzeigen-Klick, für die kein Klick-Identifikator zur Verfügung steht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Werbewirksamkeitsmessung) in Verbindung mit § 25 TDDDG (Marketing-Einwilligung via Shopify Customer Privacy API). Soweit ShopiPixel als Auftragsverarbeiter gemäß Art. 28 DSGVO handelt, erfolgt die Verarbeitung auf dokumentierte Weisung des Shop-Inhabers.

Empfänger (je nach Konfiguration des Shop-Inhabers): Meta Platforms Ireland Ltd. (Irland), Google Ireland Limited (Irland), Microsoft Ireland Operations Ltd. (Irland), TikTok Technology Ltd. (Irland), LinkedIn Ireland Unlimited Company (Irland), Snap Group Ltd. (Irland), Pinterest Europe Ltd. (Irland), Klaviyo, Inc. (USA).

Drittlandübermittlung: Die europäischen Gesellschaften der Werbeplattformen leiten Daten an ihre US-amerikanischen Muttergesellschaften weiter. Für Meta, Google, Microsoft, LinkedIn, Snap, Pinterest und Klaviyo gilt der EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Für TikTok werden EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO herangezogen; das Vor-Ab-Hashing der Kontaktdaten dient als zusätzliche Schutzmaßnahme.

Widerspruchsrecht (Art. 21 DSGVO): Der Endkunde kann jederzeit gegen diese Verarbeitung Widerspruch einlegen. Der Widerspruch kann über den Widerruf der Marketing-Einwilligung im Storefront des Shops oder durch Antrag an den Shop-Inhaber erfolgen.

Speicherdauer: Vor Übermittlung temporär erfasste Kontakt-Vorlagen (LeadCapture-Cache) werden nach 90 Tagen automatisch gelöscht (konfigurierbar bis maximal 180 Tage). Offline-Deal-Einträge werden für die Dauer der Vertragslaufzeit zuzüglich 30 Tage aufbewahrt, anschließend automatisch gelöscht.

3.6m Event-Trigger- und Shopify-Flow-Action-Daten (Enterprise-Feature)

Ebenfalls im Enterprise-Tarif steht eine Event-Trigger-Funktion zur Verfügung. Der Shop-Inhaber kann Ereignisse im Storefront (z.B. Formular-Absendungen, Klicks auf bestimmte Elemente, URL-Matches) oder Ereignisse aus Shopify selbst (Webhook-Mapping oder Shopify-Flow-Aktion) als Auslöser definieren, um daraus ein benutzerdefiniertes Plattform-Event an die verbundenen Werbeplattformen zu senden.

Datenkategorien:

• Technische Auslöser-Metadaten (Trigger-Typ, URL-Muster, Formular-Name, Element-ID)
• Kontextdaten des Ereignisses (Ereignisname, Zeitstempel, Währung, Wert sofern relevant)
• Die in Abschnitt 3.5 beschriebenen Browser-Identifikatoren des Endkunden, sofern für die Attribution erforderlich
• Kryptographisch gehashte Kontaktdaten — ausschließlich auf ausdrückliche Konfiguration durch den Shop-Inhaber, nach denselben Prinzipien wie in Abschnitt 3.6l

Zusätzliche Auslöser-Quelle Shopify Flow: Der Shop-Inhaber kann ShopiPixel als Aktion in eine Shopify-Flow-Automatisierung einbinden. Wird die Aktion ausgelöst, übermittelt Shopify die im Flow-Kontext ausgewählten Bestell-, Kunden- oder Warenkorb-Metadaten an ShopiPixel. Vor der Weitergabe an eine Werbeplattform durchläuft die Nutzlast dieselbe Allowlist- und Hashing-Logik wie ein regulärer Event-Trigger — Klartext-Kontaktdaten werden nicht weitergegeben.

Zweck: Ergänzung der Standard-Tracking-Events um individuell definierte Geschäfts-Ereignisse zur präziseren Werbewirksamkeitsmessung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Werbewirksamkeitsmessung) in Verbindung mit § 25 TDDDG (Einwilligung über die Shopify Customer Privacy API des Shops, sofern Browser-Identifikatoren einbezogen werden). Soweit ShopiPixel im Auftrag des Shop-Inhabers als Auftragsverarbeiter handelt, erfolgt die Verarbeitung auf dessen dokumentierte Weisung (Art. 28 DSGVO).

Empfänger, Drittlandübermittlung und Widerspruchsrecht entsprechen Abschnitt 3.6l.

Speicherdauer: Trigger-Konfigurationen und Auslöse-Protokolle werden für die Dauer des Enterprise-Vertrags aufbewahrt und 30 Tage nach Beendigung automatisch gelöscht. Versand-Protokolle der ausgelösten Events unterliegen der Event-Retention nach Abschnitt 6 (planabhängig 30–365 Tage).

3.6n Public REST API (Enterprise-Feature)

Im Enterprise-Tarif stellt ShopiPixel eine öffentliche REST-Schnittstelle für die Server-zu-Server-Übermittlung von E-Commerce-Events bereit. Anders als das Web Pixel (Browser-basiert) und Shopify Webhooks (von Shopify ausgelöst) ermöglicht diese API dem Shop-Inhaber den direkten Aufruf aus eigenen Server-Anwendungen, Backend-Systemen oder Drittsystemen mit einem Bearer-Token zur Authentifizierung.

Datenkategorien (identisch zur Verarbeitung über das Headless SDK, Abschnitt 3.6k):

• Ereignistypen (PageView, AddToCart, Purchase etc.)
• Produkt-Daten (IDs, Namen, Kategorien, Preise)
• Bestelldaten und -werte
• Kryptographisch gehashte Kontaktdaten (E-Mail, Telefon, Name — sofern vom Shop-Inhaber übermittelt)
• Browser- und Geräte-Identifikatoren

Zweck: Übermittlung der Events an die vom Shop-Inhaber konfigurierten Werbeplattformen zur Werbewirksamkeitsmessung — analog zu den anderen Eingangsschnittstellen (Web Pixel, Headless SDK, Shopify Webhooks, Shopify Flow Action).

Empfänger: Die vom Shop-Inhaber verbundenen Werbeplattformen — identisch zu den in Abschnitt 3.6 und 3.6l genannten Empfängern. Es kommen keine neuen Sub-Auftragsverarbeiter und keine neuen Drittlandtransfers hinzu.

Routing: API-Aufrufe gehen — unabhängig davon, ob für den Shop eine Custom-Domain konfiguriert ist — immer an app.shopipixel.de (Hetzner Online GmbH, Rechenzentrum Falkenstein, Deutschland). Eine ggf. eingerichtete Custom-Domain dient ausschließlich der storefront-seitigen Tracking-Integration und nicht der API.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Shop-Inhaber). ShopiPixel verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Weisung des Shop-Inhabers. Soweit Browser-Identifikatoren oder gehashte Kontaktdaten an Werbeplattformen weitergeleitet werden, gilt die Endkunden-Einwilligung über die Shopify Customer Privacy API (§ 25 TDDDG) entsprechend Abschnitt 3.6.

Speicherdauer: Identisch zur Event-Retention nach Abschnitt 6 (planabhängig 30–365 Tage).

3.6o Korrektur-Übermittlung an Werbeplattformen (Refund/Storno/Bestelländerung)

Wenn der Shop-Inhaber eine Bestellung nachträglich ändert, storniert oder einen Teil-/Vollbetrag zurückerstattet, übermittelt ShopiPixel zusätzlich eine Korrektur-Conversion an die vom Shop-Inhaber verbundenen Werbeplattformen. Damit sehen Werbewirksamkeitsmessung und automatisierte Gebots-Optimierung der Plattformen dieselbe Datenbasis wie das Shop-Backend (Buchhaltung, Bestellverwaltung) — und budgetwirksame Gebots-Algorithmen werden nicht mit nicht mehr gültigen Werten gesteuert.

Anlass der Verarbeitung: Eingang eines Refund-, Cancel- oder Order-Edit-Webhooks von Shopify nach einer zuvor an die Werbeplattformen gemeldeten Conversion.

Datenkategorien:

• Bestellreferenz und Korrektur-Wert (negativer Betrag bzw. neuer Gesamtbetrag, Währung)
• Zeitstempel der ursprünglichen Conversion (für plattformseitige Lookback-Prüfung)
• Bei Klaviyo: ein interner Bestellkenner als Pseudonym (shopify:order:<ID>) — die E-Mail-Adresse wird im Korrektur-Pfad bewusst nicht erneut übermittelt (Datenminimierung gemäß Art. 4 Nr. 5, Art. 25 DSGVO)
• Bei den übrigen Plattformen: dieselben (gehashten) Identifikatoren der ursprünglichen Conversion, sofern die Plattform-API sie für die Zuordnung verlangt (z.B. Click-IDs)
• Es werden keine zusätzlichen Datenkategorien gegenüber Abschnitt 3.4–3.6 verarbeitet

Plattform-Abdeckung: Acht der neun verbundenen Plattformen (Meta, Google Ads, Google Analytics 4, TikTok, Pinterest, Snapchat, Microsoft Ads, Klaviyo) verarbeiten Korrektur-Conversions über etablierte Plattform-Schnittstellen. LinkedIn unterstützt keine Korrektur-Schnittstelle und wird daher bewusst übersprungen (Datenminimierung — keine Datenweitergabe ohne plattformseitige Verwertbarkeit). Jede Plattform hat eigene technische Annahmefenster („Lookback“), innerhalb derer eine Korrektur zulässig ist; ältere Conversions werden nicht mehr korrigiert.

Zweck: Datenrichtigkeit der an die Werbeplattformen gemeldeten Conversions — insbesondere damit automatisierte Gebots-Strategien (Smart Bidding, Lookalike-Modelle) nicht auf widerrufenen Bestellungen optimieren.

Rechtsgrundlagen:

• Art. 5 Abs. 1 lit. d DSGVO (Datenrichtigkeit) — Pflicht, sachlich unrichtige Daten unverzüglich zu berichtigen
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — handelsrechtliche Erfassung von Storno- und Rückerstattungsvorgängen sowie deren konsistente Abbildung in nachgelagerten Datenflüssen
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) i.V.m. § 25 TDDDG — berechtigtes Interesse des Shop-Inhabers an einer korrekt arbeitenden Werbeoptimierung; die ursprüngliche Endkunden-Einwilligung über die Shopify Customer Privacy API erstreckt sich auch auf den Korrektur-Pfad, da keine zusätzlichen Datenkategorien hinzukommen.

Empfänger: Die in Abschnitt 3.6 und 3.6l genannten Werbeplattformen — keine neuen Sub-Auftragsverarbeiter, keine neuen Drittlandtransfers, keine neuen Datenkategorien gegenüber dem Hin-Pfad. Es handelt sich um eine Erweiterung der bestehenden Schnittstelle um den Rück-Pfad.

Drittlandübermittlung: Identisch zu Abschnitt 3.6 — EU-US Data Privacy Framework für Meta, Google, Microsoft, LinkedIn (entfällt hier mangels Übermittlung), Snap, Pinterest und Klaviyo; EU-Standardvertragsklauseln für TikTok.

Widerspruchsrecht: Endkunden können der Verarbeitung gemäß Art. 21 DSGVO jederzeit widersprechen; der Widerspruch wird gegenüber dem Shop-Inhaber bzw. über den Widerruf der Marketing-Einwilligung im Storefront geltend gemacht und betrifft Hin- und Rück-Pfad gleichermaßen.

Speicherdauer: Es entstehen keine neuen Datenbestände. Die Plattform-Versand-Protokolle (Send-Logs) unterliegen der Event-Retention nach Abschnitt 6 (planabhängig 30–365 Tage).

3.6p Custom-Webhook-Integrationen

ShopiPixel bietet Shop-Inhabern die Möglichkeit, Conversion-Events an eine selbst gewählte Webhook-URL zu übertragen (z. B. an ein eigenes CRM- oder Data-Warehouse-System). Der Shop-Inhaber konfiguriert die Empfänger-URL und kann optional ein Geheimnis für die HMAC-Signatur, benutzerdefinierte HTTP-Header sowie ein JSON-Transformations-Template hinterlegen.

Es stehen drei Detail-Stufen zur Auswahl:

• Minimal — Es werden keine personenbezogenen Daten übertragen, sondern ausschließlich anonyme Klick-Kennungen.
• Standard (Default) — Es werden ausschließlich kryptographisch gehashte E-Mail-Adressen und Telefonnummern übertragen. Aus den Hash-Werten lässt sich nicht auf die Klartext-Daten zurückschließen.
• Voll — Diese Option ist ausschließlich Kunden des ENTERPRISE-Tarifs vorbehalten und überträgt unmaskierte personenbezogene Daten (E-Mail-Adresse, Telefonnummer, Name, Postanschrift, IP-Adresse und User-Agent) an die vom Shop-Inhaber konfigurierte URL.

Bei Aktivierung der Stufe „Voll" bestätigt der Shop-Inhaber ausdrücklich, dass er die Endkunden-Einwilligung für diese Datenweitergabe selbst eingeholt hat und dass mit dem Webhook-Empfänger ein eigener Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abgeschlossen wurde. Diese Bestätigung wird mit Zeitstempel und Datenschutzerklärungs-Version protokolliert (Art. 7 Abs. 1 DSGVO Nachweispflicht). Der Shop-Inhaber ist in diesem Fall alleiniger Verantwortlicher für die Verarbeitung am Webhook-Empfänger gemäß Art. 4 Nr. 7 DSGVO. ShopiPixel agiert weiterhin ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO und führt die Datenübertragung auf dokumentierte Weisung des Shop-Inhabers aus.

Der Shop-Inhaber kann die Konfiguration jederzeit ändern oder deaktivieren. Bei Deaktivierung der Stufe „Voll" wird ein Widerrufs-Eintrag erstellt; bereits übertragene Daten am Empfänger-System sind vom Shop-Inhaber gemäß Art. 17 DSGVO selbst zu adressieren.

Empfänger: Vom Shop-Inhaber selbst gewähltes Drittsystem (Webhook-URL). ShopiPixel führt keine Auswahl, Prüfung oder Bewertung des Webhook-Empfängers durch.

Drittlandübermittlung: Abhängig von der vom Shop-Inhaber gewählten URL. ShopiPixel selbst übermittelt nicht in Drittländer — der Shop-Inhaber ist verantwortlich für die Prüfung der Drittland-Konformität des Webhook-Empfängers.

Speicherdauer: Konfiguration verbleibt bis zur Deaktivierung durch den Shop-Inhaber. Einwilligungs-Protokollierung 3 Jahre (innerhalb der gesetzlichen Verjährungsfrist).

3.7 Einwilligungsprotokolle

Zur Erfüllung unserer Nachweispflicht (Art. 7 Abs. 1 DSGVO, §25 TDDDG) protokollieren wir:

• Art der Einwilligung (z.B. Cookie-Consent, AGB-Akzeptanz, AVV-Akzeptanz)
• Zeitpunkt der Einwilligung
• IP-Adresse (gehasht)
• Browser-Kennung
• Dokumentversion der akzeptierten Regelwerke

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Nachweisführung)

3.8 E-Mail-Reports

Ab dem Growth-Tarif können automatische E-Mail-Reports konfiguriert werden. Diese E-Mails enthalten keine Tracking-Pixel oder sonstige Nachverfolgungstechnologien.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — vom Nutzer konfigurierte Berichtsfunktion)

3.9 Newsletter

Sie können sich über die ShopiPixel-App für unseren Newsletter anmelden. Dabei verarbeiten wir:

• E-Mail-Adresse
• Sprache (Deutsch/Englisch)
• Quelle der Anmeldung (App)
• Zeitpunkt der Anmeldung und Bestätigung

Wir verwenden ein Double-Opt-In-Verfahren: Nach der Anmeldung erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihre Anmeldung aktiviert.

Sie können den Newsletter jederzeit über den Abmelde-Link in jeder E-Mail abbestellen. Nach der Abmeldung wird Ihre E-Mail-Adresse nicht mehr für den Newsletter-Versand verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Double-Opt-In)

3.10 Benachrichtigungen über Vertragsänderungen

Wir informieren Sie per E-Mail an die bei Shopify hinterlegte E-Mail-Adresse über wesentliche Änderungen unserer AGB, Auftragsverarbeitungsvereinbarung (AVV) oder Datenschutzerklärung.

Verarbeitete Daten:

• E-Mail-Adresse des Shop-Inhabers
• Zeitpunkt der Benachrichtigung
• Zustellstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Informationspflicht bei Vertragsänderungen) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).

Benachrichtigungs-Nachweise werden für die Dauer der Geschäftsbeziehung zuzüglich der gesetzlichen Verjährungsfrist gespeichert.

Diese Benachrichtigungen sind vertragsrelevant und erfordern keine gesonderte Einwilligung. Eine Abmeldung ist nicht möglich, da die Information gesetzlich vorgeschrieben ist.

3.11 Betrugsprävention und Sicherheitsüberwachung

Zum Schutz unseres Dienstes und unserer Nutzer vor Missbrauch, Betrug und unbefugtem Zugriff setzen wir automatisierte Sicherheitsmaßnahmen ein:

• Erkennung ungewöhnlicher Nutzungsmuster (z.B. auffällige Event-Volumina)
• Erkennung von Zugriffsversuchen mit ungültigen Kennungen
• Integritätsprüfungen der Abrechnungsdaten
• Blockierung verdächtiger Anfragen

Dabei verarbeitete Daten:

• IP-Adresse (temporär, für Zugriffsmuster-Erkennung)
• Aggregierte Nutzungsstatistiken (Event-Volumina pro Shop)
• Abrechnungsdaten (Plankonsistenz-Prüfung)

Es findet kein Profiling natürlicher Personen statt. Die Überwachung bezieht sich ausschließlich auf technische Zugriffsmuster und Shop-Account-Integrität.

Temporäre Zugriffsdaten werden nach maximal 5 Minuten automatisch gelöscht. Sicherheitswarnungen werden im Audit-Log gespeichert (siehe Abschnitt 6).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz des Dienstes vor Missbrauch und Betrug)

Übersicht der Rechtsgrundlagen

4. Datenweitergabe an Dritte

4.1 Advertising-Plattformen

Auf Anweisung des Shop-Inhabers übermitteln wir Tracking-Daten an:

• Meta (Facebook/Instagram)
• Google (Analytics 4, Ads)
• TikTok
• Pinterest
• Snapchat
• LinkedIn
• Microsoft Ads
• Klaviyo
• Custom Webhooks (benutzerdefinierte Endpunkte, sofern konfiguriert)

Bei Custom Webhooks bestimmt der Shop-Inhaber den Umfang der übermittelten Daten (minimal, standard oder vollständig). Im Modus "vollständig" werden alle verfügbaren Daten einschließlich E-Mail, Telefon, Name, Adresse, IP-Adresse und User-Agent im Klartext übermittelt. Der Shop-Inhaber ist als Verantwortlicher für die Rechtmäßigkeit der Datenübermittlung an den konfigurierten Endpunkt verantwortlich.

Die Übermittlung erfolgt über die Server-seitigen APIs dieser Plattformen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Shop-Inhaber)

4.2 Infrastruktur-Anbieter

Zur Bereitstellung des Dienstes nutzen wir:

Die Datenverarbeitung unserer Infrastruktur findet auf Servern in Deutschland statt. Der App-Server (Tracking, API, Dashboard) wird von Hetzner Online GmbH in Deutschland betrieben. Der Website-Server (Marketing-Website) wird von IONOS SE betrieben. Backups werden verschlüsselt bei Hetzner Online GmbH in Deutschland gespeichert. Die Übermittlung von Tracking-Daten an die unter 4.1 genannten Plattformen erfolgt jedoch in die USA und ggf. weitere Drittländer (z.B. China/Singapur für TikTok). Grundlage für die Drittlandübermittlung ist für US-Unternehmen der EU-US Data Privacy Framework (DPF), soweit diese zertifiziert sind, sowie für alle Drittländer ergänzend EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Nicht alle Plattformen sind unter dem EU-US Data Privacy Framework zertifiziert. Für TikTok (Empfänger: TikTok Technology Limited, Irland) können Daten von verbundenen Unternehmen in China und Singapur verarbeitet werden; als Transfergarantie dienen SCCs sowie zusätzliche Schutzmaßnahmen. Die Übermittlung erfolgt ausschließlich auf Anweisung des Shop-Inhabers durch Konfiguration der jeweiligen Plattform in der App. Der Shop-Inhaber ist als Verantwortlicher dafür zuständig, die Rechtmäßigkeit der Datenübermittlung an die jeweiligen Drittplattformen sicherzustellen. Der DPF-Zertifizierungsstatus jedes Anbieters wird quartalsweise unter https://www.dataprivacyframework.gov verifiziert. Bei Verlust der Zertifizierung greifen Standard Contractual Clauses (SCCs) als Garantie nach Art. 46 DSGVO als Fallback.

Drittlandtransfer nach Plattform

Status der Drittlandübermittlung für die unterstützten Werbeplattformen:

• Meta Platforms, Inc. (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• Google LLC (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• TikTok Technology Limited (Irland/Singapur/China): EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie zusätzliche Schutzmaßnahmen (Datenverschlüsselung, Zugriffsbeschränkungen)
• Pinterest, Inc. (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• Snap Inc. (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• LinkedIn Corporation (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• Microsoft Corporation (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• Klaviyo, Inc. (USA): DPF-zertifiziert — Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)

Für die optionale KI-gestützte Zusammenfassung von Dashboard-Daten (verfügbar ab Growth-Plan) nutzen wir die API von Anthropic PBC (USA). Die Funktion ist standardmäßig deaktiviert und wird ausschließlich nach aktiver Einwilligung des Shop-Inhabers über einen Toggle in den App-Einstellungen aktiviert. Die Einwilligung wird in unserem Einwilligungsprotokoll dokumentiert und kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO). An Anthropic werden ausschließlich aggregierte, anonyme Kennzahlen übermittelt (Gesamtumsatz, Conversion-Anzahl, Erfolgsrate, durchschnittlicher Bestellwert). Es werden keine personenbezogenen Daten, keine Shop-Identifikatoren und keine Endkundendaten an Anthropic übermittelt. Da ausschließlich anonymisierte, aggregierte Daten ohne Personenbezug übermittelt werden, dürfte diese Übermittlung nach überwiegender Auffassung nicht den Anforderungen der Art. 44 ff. DSGVO an Drittlandtransfers unterliegen. Ergänzend gilt das Data Processing Addendum (DPA) von Anthropic, das Standard Contractual Clauses (SCCs) gemäß EU-Kommissionsbeschluss 2021/914 enthält. Anthropic speichert API-Ein- und Ausgaben für maximal 30 Tage und nutzt diese nicht für Modelltraining (gemäß Anthropic Commercial Terms). Anthropic verfügt über die Zertifizierungen SOC 2 Type II, ISO 27001:2022 und ISO/IEC 42001:2023. EU-Ansprechpartner ist Anthropic Ireland, Limited, Dublin, Irland (dpo@anthropic.com). Die Ergebnisse werden für 24 Stunden zwischengespeichert. Zum Schutz vor fehlerhaften Ausgaben wird der KI-Text vor der Anzeige automatisch auf nicht plausible konkrete Geldbeträge geprüft und im Zweifel unterdrückt. Pro Shop ist die Anzahl der KI-Anfragen pro Stunde begrenzt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5. Datensicherheit

5.1 Verschlüsselung

• Verschlüsselung aller gespeicherten Daten nach dem aktuellen Stand der Technik
• Jeder Shop hat einen eigenen Verschlüsselungsschlüssel
• Ausschließlich verschlüsselte Datenübertragung (Transportverschlüsselung)
• Datenbank-Backups werden verschlüsselt auf deutschen Servern gespeichert
• Events werden zur zuverlässigen Auslieferung temporär in einer verschlüsselten Warteschlange auf unseren eigenen Servern zwischengespeichert und nach erfolgreicher Übermittlung automatisch gelöscht

5.2 Shop-isolierte Verschlüsselung

• Jeder Shop hat individuelle Verschlüsselungsschlüssel
• Personenbezogene Daten werden wo technisch möglich nach dem Stand der Technik pseudonymisiert. Klaviyo erfordert technisch bedingt Klartextdaten für die CRM-Profilzuordnung — diese werden nicht in unserer Datenbank gespeichert, sondern nur zum Sendezeitpunkt entschlüsselt und direkt übermittelt.
• Umfassendes Audit-Logging aller sicherheitsrelevanten Operationen: Credential-Verwaltung, Abrechnungsänderungen, Tracking-Konfiguration, API-Schlüssel-Management, DSGVO-Anfragen (Auskunft, Löschung), Einwilligungsprotokolle, App-Installation und -Deinstallation, Datenbereinigung sowie administrative Zugriffe. Protokolle enthalten Zeitstempel, pseudonymisierte Akteurs-Kennung und Aktionsbeschreibung. IP-Adressen werden in gehashter Form gespeichert.

5.3 Fehlererkennung und Systemstabilität

Zur Sicherstellung der Systemstabilität und schnellen Fehlerbehebung setzen wir ein selbst gehostetes Fehlererkennungssystem ein.

• Erfasst werden ausschließlich technische Fehlermeldungen (Fehlerprotokolle, Fehlercodes, betroffene URL).
• Es werden keine personenbezogenen Kundendaten in Fehlerberichten gespeichert.
• IP-Adressen werden vor der Speicherung entfernt.
• Das System ist selbst gehostet auf unseren eigenen Servern in Deutschland (Hetzner Online GmbH). Es erfolgt keine Datenübermittlung an Dritte.
• Fehlerberichte werden automatisch nach 90 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufrechterhaltung und Sicherung des Dienstes). Eine Einwilligung ist nicht erforderlich, da die Verarbeitung für den sicheren Betrieb des Dienstes notwendig ist.

6. Speicherdauer

Nach Deinstallation der ShopiPixel-App werden Ihre personenbezogenen Daten spätestens 30 Tage nach Deinstallation endgültig gelöscht (Details zur Löschfrist und zum Reinstall-Fenster siehe Eintrag „Daten nach Deinstallation" in dieser Tabelle). Die Löschung umfasst Tracking-Daten, Plattform-Zugangsdaten, Konfigurationen und Statistiken. Die Abrechnung erfolgt vollständig über Shopify als Billing-Agent — ShopiPixel speichert keine steuerlich relevanten Abrechnungsbelege. Ausgenommen von der Löschung sind Protokolldaten (gesetzliche Verjährungsfrist: 3 Jahre) sowie Daten zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO: Missbrauchsprävention).

7. Betroffenenrechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO) - Recht auf Auskunft über Ihre gespeicherten Daten
• Berichtigung (Art. 16 DSGVO) - Recht auf Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) - Recht auf Löschung Ihrer Daten
• Einschränkung (Art. 18 DSGVO) - Recht auf Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO) - Recht auf Erhalt Ihrer Daten in maschinenlesbarem Format
• Widerspruch (Art. 21 DSGVO) - Recht auf Widerspruch gegen die Verarbeitung

Wir bearbeiten Anfragen zur Ausübung von Betroffenenrechten unverzüglich, spätestens innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Die Frist kann um zwei weitere Monate verlängert werden, wenn die Komplexität oder Anzahl der Anfragen dies erfordert. Über eine Verlängerung werden Sie innerhalb eines Monats unter Angabe der Gründe informiert.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@shopipixel.de

Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die KI-gestützten Analytics-Zusammenfassungen (ab Growth-Tarif) dienen ausschließlich der Informationsaufbereitung für den Shop-Inhaber und treffen keine automatisierten Entscheidungen.

Widerruf von Einwilligungen

Soweit die Verarbeitung auf einer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Für das Analyse-Cookie können Sie Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen. Für den Newsletter können Sie Ihre Einwilligung jederzeit über den Abmelde-Link in jeder E-Mail widerrufen.

8. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde des Bundeslandes, in dem Sie Ihren Wohnsitz haben, oder die Behörde am Sitz des Verantwortlichen.

Sie haben das Recht, sich bei jeder EU-Datenschutz-Aufsichtsbehörde zu beschweren — insbesondere am Ort Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder am Ort des mutmaßlichen Verstoßes (Art. 77 Abs. 1 DSGVO). Eine Liste aller europäischen Aufsichtsbehörden finden Sie beim Europäischen Datenschutzausschuss: https://www.edpb.europa.eu/about-edpb/about-edpb/members_de

Für unseren Sitz in Baden-Württemberg:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: 0711/615541-0
www.baden-wuerttemberg.datenschutz.de (öffnet in neuem Fenster)

9. Cookies

Bei Nutzung der ShopiPixel App im Shopify-Shop des Nutzers werden folgende First-Party-Cookies auf der Domain des Shops gesetzt:

Die Einholung der Einwilligung für diese Cookies obliegt dem Shop-Inhaber als Verantwortlichem gemäß Art. 7 DSGVO i.V.m. § 25 TDDDG. Zuordnungs-Cookies werden nur gesetzt, wenn die entsprechende Click-ID in der URL des Besuchers vorhanden ist.

Do-Not-Track

Einige Browser übermitteln ein "Do-Not-Track"-Signal (DNT) oder ein "Global Privacy Control"-Signal (GPC). Da in der EU derzeit kein einheitlicher Rechtsstandard für die automatisierte Interpretation dieser Signale existiert, wertet unsere Website DNT- und GPC-Signale derzeit nicht automatisch aus. Die Cookie-Einstellungen können jederzeit über den Cookie-Banner angepasst werden. Unabhängig davon können Sie Ihr Widerspruchsrecht jederzeit per E-Mail an datenschutz@shopipixel.de ausüben.

10. Erforderlichkeit der Datenbereitstellung

Die Bereitstellung der Shop-Daten (Abschnitt 3.3) ist für die Vertragserfüllung erforderlich. Ohne diese Daten kann die App nicht bereitgestellt werden.

11. Änderungen

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Die aktuelle Version ist unter shopipixel.de/privacy verfügbar.