Zum Hauptinhalt springen

Datenschutzerklärung – EU Withdrawal Form (Shopify App)

Gültig für: Die Shopify-App „EU Withdrawal Form“ (App-Store-Listing).
Letzte Aktualisierung: März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen dieser App ist der Betreiber der App (Anbieter). Kontaktdaten und ggf. Anschrift finden Sie im Shopify App Store unter der App „EU Withdrawal Form“ bzw. in der App unter Einstellungen oder im Impressum der App-Website.

2. Welche Daten werden erhoben?

2.1 Daten von Händlern (Shop-Betreibern)

  • Shop-Domain (z. B. ihr-shop.myshopify.com) – für Zuordnung und technische Abwicklung
  • Einstellungen, die Sie in der App vornehmen (z. B. Widerrufsfrist, E-Mail-Benachrichtigungen, B2B-Tag, SMTP-Konfiguration bei Plus)
  • Session-Daten (OAuth) – für den Zugang zur App im Shopify Admin (Token, Shop-Identifikation)
  • Akzeptanz rechtlicher Texte (z. B. Datenschutzerklärung, Nutzungsbedingungen) inkl. Zeitstempel; optional werden IP-Adresse und User-Agent für begrenzte Zeit gespeichert (siehe Speicherdauer)

Diese Daten werden über die Shopify-APIs und durch Ihre Nutzung der App erhoben.

2.2 Daten von Kunden der Händler (Endverbraucher)

Die App verarbeitet im Auftrag des Händlers Daten von Kunden, die einen Widerruf einreichen:

  • E-Mail-Adresse des Kunden
  • Bestellbezug (Bestellnummer, ggf. Order-ID)
  • Angaben zum Widerruf (z. B. Widerrufsgrund, ausgewählte Artikel bei Teilwiderruf)
  • IP-Adresse und User-Agent (optional, für begrenzte Zeit – siehe Speicherdauer)
  • Verifizierungscode/Token (bei E-Mail-Verifizierung), gehasht gespeichert

Diese Daten werden vom Kunden im Storefront-Formular eingegeben bzw. technisch beim Aufruf erfasst (IP/User-Agent). Die App nutzt ferner Shopify-APIs (z. B. Orders, Fulfillments), um die Bestellung zu prüfen und den Widerruf (Stornierung, Return) abzuwickeln.

Die App setzt keine Cookies oder Tracking-Technologien für Endverbraucher zu Marketing- oder Tracking-Zwecken ein. Technisch notwendige Session-/Token-Daten dienen ausschließlich der Formularabwicklung und Verifizierung.

3. Zweck der Verarbeitung

  • Abwicklung des Widerrufs: Prüfung der Bestellung, Berechnung der Widerrufsfrist, Stornierung unversendeter Bestellungen, Erstellung von Rückgaben (Returns) für versendete Artikel, Versand von E-Mails an Händler und Kunden
  • Beweissicherung und Missbrauchsabwehr: IP/User-Agent (Rechtsgrundlage: berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)
  • Vertragserfüllung gegenüber dem Händler (Bereitstellung der App, Einstellungen, Dashboard, Pro/Plus-Funktionen)
  • Erfüllung gesetzlicher Pflichten (z. B. Auskunft, Löschung/Redaktion bei Datenanfragen über Shopify-GDPR-Webhooks)

4. Speicherdauer (Retention)

  • IP-Adresse und User-Agent (WithdrawalRequest, WithdrawalStatusAuditLog): Anonymisierung spätestens 30 Tage nach Abschluss des Widerrufsvorgangs (Status abgeschlossen/abgelehnt). Automatisierter Cleanup-Job (täglich empfohlen).
  • IP/User-Agent (LegalAcceptance): Anonymisierung nach 90 Tagen nach Akzeptanz.
  • VerificationToken (E-Mail-Verifizierung): Löschung bei GDPR-Webhook customers/redact; ansonsten Ablauf über Ablaufdatum.
  • Webhook-Logs: Payload-Bereinigung nach 30 Tagen; Löschung alter Einträge nach 90 Tagen.
  • Widerrufsanfragen (WithdrawalRequest): Kern-Daten (Bestellung, E-Mail, Status, Zeitstempel) werden für die Vertragserfüllung und gesetzlichen Aufbewahrungspflichten des Händlers gespeichert; bei customers/redact und shop/redact (Shopify-GDPR-Webhooks) werden personenbezogene Daten redigiert bzw. gelöscht.

5. Rechtsgrundlage (DSGVO)

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der App, Abwicklung von Widerrufen im Auftrag des Händlers.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Speicherung von IP/User-Agent für begrenzte Zeit (Beweissicherung, Missbrauchsabwehr).
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Reaktion auf Auskunfts- und Löschanfragen (GDPR-Webhooks, Auskunftsexport).

6. Speicherort / Verarbeitung

Die Verarbeitung erfolgt auf Servern des App-Betreibers bzw. des beauftragten Hosting-Dienstleisters. Sofern der Betreiber in der EU ansässig ist bzw. EU-Server nutzt, erfolgt die Verarbeitung innerhalb des EWR. Details können beim App-Betreiber erfragt werden (Kontakt siehe Abschnitt 1).

7. Betroffenenrechte

Betroffene (z. B. Kunden der Händler) haben das Recht auf:

  • Auskunft (Art. 15 DSGVO) – Die App bietet Händlern einen Export der zu einer E-Mail-Adresse gespeicherten Widerrufsdaten (Menü Datenschutz in der App; Format JSON oder CSV). Der Händler kann diesen Export in seine Antwort an den Betroffenen einbinden.
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) – Die App reagiert auf die Shopify-GDPR-Webhooks customers/redact und shop/redact und redigiert bzw. löscht die zugehörigen personenbezogenen Daten (inkl. WithdrawalStatusAuditLog).
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Hinweis: Die rechtliche Verantwortung für die Datenverarbeitung im Shop des Händlers trägt der Händler. Die App unterstützt den Händler mit technischen und dokumentarischen Mitteln (Export, Webhook-Reaktion, Retention, Datenschutzerklärung).

8. Weitere Informationen

  • Die Nutzungsbedingungen und die Datenschutzerklärung in der App (kurze Fassung) werden beim ersten Zugriff in der App angezeigt und müssen bestätigt werden.
  • Für Auskunftsanfragen (DSGVO Art. 15) steht dem Händler in der App der Bereich Datenschutz mit Export-Funktion zur Verfügung.

Diese Datenschutzerklärung dient dem Shopify App Store als öffentlich verlinkbare Privacy Policy. Bei Fragen wenden Sie sich an den App-Betreiber (Kontakt siehe Abschnitt 1).