§ 1 Vertragsparteien

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") wird zwischen dem Betreiber des Shopify-Shops (nachfolgend „Verantwortlicher") und PMGW Design – Valentin Höll (nachfolgend „Auftragsverarbeiter") geschlossen und ergänzt die Nutzungsbedingungen der App „EU Widerrufsbutton".

§ 2 Gegenstand und Dauer der Verarbeitung

Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten zum Zweck der technischen Bereitstellung und des Betriebs der Shopify-App „EU Widerrufsbutton", welche Verbrauchern die elektronische Einreichung von Widerrufserklärungen gemäß EU-Richtlinie 2023/2673 ermöglicht.

Der AVV gilt für die Dauer der Nutzung der App. Bei Beendigung des Nutzungsverhältnisses endet auch dieser AVV; § 8 (Löschung und Rückgabe) bleibt anwendbar.

§ 3 Art der Verarbeitung und Kategorien personenbezogener Daten

3.1 Verarbeitete Datenkategorien

Datenkategorie	Konkrete Daten	Zweck
Stammdaten	Vor- und Nachname, E-Mail-Adresse, Telefonnummer (optional)	Identifikation des Widerrufenden
Bestelldaten	Bestellnummer, Bestelldatum, Artikelbezeichnung, Menge	Zuordnung des Widerrufs zur Bestellung
Widerrufsdaten	Widerrufsgrund, Anmerkungen, Einreichungszeitpunkt	Dokumentation des Widerrufs
Technische Daten	IP-Adresse (bei Einreichung)	Sicherheit, Missbrauchsschutz

3.2 Kategorien betroffener Personen

Endkunden (Verbraucher) des Verantwortlichen, die einen Widerruf einreichen.

3.3 Art der Verarbeitung

• Erfassung und Speicherung von Widerrufserklärungen
• Versand von Bestätigungs-E-Mails an Verbraucher
• Versand von Benachrichtigungs-E-Mails an den Händler
• Bereitstellung einer Verwaltungsoberfläche für den Händler
• Optionale Synchronisation mit dem Shopify Returns-System

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, er ist rechtlich zur Verarbeitung verpflichtet.
2. Sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
3. Alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu ergreifen (vgl. § 9 dieses AVV).
4. Den Verantwortlichen unverzüglich zu informieren, wenn ihm eine Weisung gegen geltendes Datenschutzrecht verstößt.
5. Den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldepflichten, Folgenabschätzung) zu unterstützen.
6. Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen oder zurückzugeben (§ 8).
7. Dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen.

§ 5 Pflichten des Verantwortlichen

1. Der Verantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung im Rahmen dieses Vertrags.
2. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten feststellt.
3. Der Verantwortliche hat Anfragen betroffener Personen (Auskunft, Löschung etc.) eigenständig zu beantworten; der Auftragsverarbeiter unterstützt dabei technisch.

§ 6 Unterauftragnehmer (Sub-Processor)

Der Auftragsverarbeiter setzt die folgenden Unterauftragnehmer ein, die einer gleichwertigen vertraglichen Bindung unterliegen:

Unternehmen	Sitz	Leistung	Datenschutz
Resend Inc.	USA (SCCs)	Transaktions-E-Mail-Versand (Bestätigung, Händler-Benachrichtigung)	resend.com/legal/privacy-policy
Shopify Inc.	Kanada (DSGVO-konform)	Plattform-Infrastruktur, Session-Verwaltung	shopify.com/legal/privacy
Hosting-Provider	EU / EWR	Server-Infrastruktur, Datenbankhosting	gemäß Hosting-AV-Vertrag

Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragnehmer mit Abschluss dieses AVV zu. Über wesentliche Änderungen wird der Verantwortliche vorab informiert und hat das Recht, Widerspruch einzulegen.

§ 7 Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) durch technische Maßnahmen:

• Auskunft / Datenübertragbarkeit: Widerrufsdaten sind im Händler-Dashboard einsehbar und exportierbar.
• Löschung / Einschränkung: Widerrufe können im Dashboard gelöscht werden; bei App-Deinstallation werden alle Daten nach 48 Stunden automatisch gelöscht.
• Berichtigung: Statusänderungen sind über das Dashboard möglich.

§ 8 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsverhältnisses (Deinstallation der App) löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen spätestens 48 Stunden nach Eingang des entsprechenden Shopify-Webhooks (shop/redact).

Eine Rückgabe der Daten kann der Verantwortliche jederzeit vor der Deinstallation über die CSV-Exportfunktion im Dashboard vornehmen.

§ 9 Technische und Organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit

• Verschlüsselte Datenübertragung (TLS 1.2/1.3) für alle API-Kommunikation
• Zugriffskontrolle: Händler sehen ausschließlich ihre eigenen Shop-Daten
• HMAC-Signatur-Validierung für alle eingehenden Webhook- und Proxy-Anfragen
• Keine Weitergabe von Daten an Dritte außer den genannten Sub-Processoren

Integrität

• Shop-bezogene Datenisolierung: alle Datenbankabfragen sind shop-gefiltert
• Rate Limiting zur Verhinderung von Missbrauch
• Eingabevalidierung und Sanitisierung aller Nutzerdaten

Verfügbarkeit

• Hosting in redundanter Cloud-Infrastruktur
• Regelmäßige Datensicherungen der Datenbank

Datensparsamkeit

• Erfassung nur der für den Widerrufsprozess erforderlichen Daten
• Automatische Löschung bei Deinstallation (shop/redact Webhook)

§ 10 Meldepflichten bei Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, per E-Mail an die im Shopify-Partner-Account hinterlegte Kontaktadresse des Händlers.

§ 11 Haftung

Für Schäden, die durch eine nicht datenschutzkonforme Auftragsverarbeitung entstehen, haften Verantwortlicher und Auftragsverarbeiter gegenüber der betroffenen Person gemäß Art. 82 DSGVO. Im Innenverhältnis haftet jede Partei für den Schaden, den sie verursacht hat.

§ 12 Laufzeit und Kündigung

Dieser AVV tritt mit Installation der App in Kraft und endet automatisch mit der Deinstallation. Er kann von beiden Parteien aus wichtigem Grund außerordentlich gekündigt werden. Die ordentliche Kündigung richtet sich nach den Nutzungsbedingungen der App.

§ 13 Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.