Datenschutzerklärung
Zuletzt aktualisiert: 22. Februar 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:
Johannes Hayer
Eggentaler Str. 6
85778 Haimhausen, Deutschland
E-Mail: contact@jhayer.tech

2. Erhebung und Speicherung personenbezogener Daten

Wir verarbeiten folgende Daten:

  • Administratordaten: Name, E-Mail-Adresse und Profilbild (über Google OAuth), IP-Adresse, User-Agent bei der Anmeldung
  • Händlerdaten: Shop-Domain, Shop-Name, E-Mail-Adresse des Shop-Inhabers, Shopify-Zugangstoken (OAuth), Abrechnungsinformationen
  • Kundendaten: E-Mail-Adresse, Vor- und Nachname (für Widerrufsabwicklung gemäß § 356 BGB)
  • Bestelldaten: Bestellnummer, Bestelldatum, Artikelinformationen, Bestellwert
  • Widerrufsdaten: Widerrufsgrund, Widerrufsdatum, Status der Bearbeitung, Zeitstempel aller Statusänderungen

Speicherdauer: Mindestens 2 Jahre gemäß § 257 HGB (Aufbewahrungspflicht für Handelsbriefe). Danach erfolgt die Löschung, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

3. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Abwicklung von Widerrufen)
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Aufbewahrungspflichten § 257 HGB, § 147 AO)
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Systemsicherheit, Betrugsbekämpfung)

4. Weitergabe an Dritte

Wir nutzen folgende Dienstleister zur Erbringung unserer Leistung:

  • Shopify Inc. (Kanada/USA) – Shop-Integration, Bestelldatenabfrage und Abrechnung (€6,99/Monat) über die Shopify API sowie OAuth-Authentifizierung (App-Installation/Administrator-Zugriff). Shopify ist EU-US Data Privacy Framework (DPF)-zertifiziert.
  • Vercel Inc. (USA) – Hosting und Bereitstellung der Anwendung. Vercel ist EU-US Data Privacy Framework (DPF)-zertifiziert.
  • Neon Inc. (USA) – PostgreSQL-Datenbank. Die Datenbankserver befinden sich in der Europäischen Union (Frankfurt, Deutschland).
  • Resend Inc. (USA) – E-Mail-Versand für Widerrufsbestätigungen und Statusbenachrichtigungen. Verarbeitung erfolgt im Auftrag gemäß Art. 28 DSGVO.
  • jsDelivr / Google Fonts (CDN) – Bereitstellung statischer Assets. Dabei kann eine Übermittlung der IP-Adresse an den CDN-Betreiber erfolgen.

Mit allen Dienstleistern wurden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen. Für Übermittlungen in die USA stützen wir uns auf das EU-US Data Privacy Framework bzw. Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

5. Ihre Rechte

Sie haben folgende Rechte:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO), sofern keine Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Für Anfragen kontaktieren Sie uns unter: contact@jhayer.tech

6. Cookies und Session-Daten

Diese App verwendet folgende technisch notwendige Cookies:

  • shopify_shop – Speichert die Shop-Domain für die Zuordnung (Laufzeit: 30 Tage, httpOnly)
  • Better-Auth Session-Cookie – Authentifizierung und Sitzungsverwaltung (httpOnly)
  • sidebar:state – Speichert den UI-Zustand der Seitenleiste

Es werden keine Tracking-Cookies (z.B. Google Analytics, Facebook Pixel) eingesetzt.

7. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Datenspeicherung in der Datenbank
  • Zugriffskontrolle und Authentifizierung (OAuth 2.0)
  • HMAC-Verifizierung aller eingehenden Shopify-Webhooks
  • Schwärzung sensibler Daten in Logausgaben
  • Regelmäßige Sicherheitsupdates

8. Datenlöschung und GDPR-Compliance

Wir unterstützen die Datenschutzanforderungen von Shopify vollständig:

  • App-Deinstallation: Bei Deinstallation der App wird der Shop als inaktiv markiert (Soft-Delete). Eine vollständige Löschung aller Shop-Daten erfolgt 48 Stunden nach Deinstallation.
  • Kundendaten-Löschung (customers/redact): Auf Anforderung durch Shopify werden personenbezogene Kundendaten (E-Mail, Name) unwiderruflich durch [redacted] ersetzt.
  • Shop-Daten-Löschung (shop/redact): 48 Stunden nach Deinstallation werden alle mit dem Shop verknüpften Daten vollständig und unwiderruflich gelöscht.
  • Datenauskunft (customers/data_request): Auf Anforderung werden alle zu einem Kunden gespeicherten Daten bereitgestellt.

Gesetzliche Aufbewahrungsfristen (insbesondere § 257 HGB: mindestens 2 Jahre) bleiben von Löschanfragen unberührt.

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Leistungen anzupassen. Die jeweils aktuelle Version finden Sie unter dieser URL.

10. Weitere Informationen

Weitere Informationen zum Datenschutz finden Sie im Impressum.