Rechtliches

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Zuletzt aktualisiert: März 2026

§ 1 Gegenstand und Dauer

(1) Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und regelt die Verarbeitung personenbezogener Daten durch die qune UG (haftungsbeschränkt) (nachfolgend „Auftragsverarbeiter") im Auftrag des Nutzers der Shopify-App Watchdog (nachfolgend „Verantwortlicher").

qune UG (haftungsbeschränkt)
Herrenweg 96, 26135 Oldenburg
E-Mail: kontakt@qune.de

(2) Der AVV gilt ab dem Zeitpunkt der Installation der App und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Deinstallation der App.

(3) Mit der Installation der App akzeptiert der Verantwortliche diesen AVV.

§ 2 Art und Zweck der Verarbeitung

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der in den AGB beschriebenen Leistungen der App Watchdog:

  • Überwachung der Verkaufsleistung von Produktvarianten
  • Aggregation von Bestelldaten auf Variantenebene
  • Berechnung und Aktualisierung von Shopify-Metafields
  • Darstellung der Analyseergebnisse im eingebetteten Dashboard

(2) Die Verarbeitung erfolgt ausschließlich auf Grundlage der durch die App-Installation erteilten Weisungen des Verantwortlichen. Die Installation und Konfiguration der App stellen die dokumentierten Weisungen dar.

§ 3 Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Shop-Domain und Shop-ID (identifiziert den Verantwortlichen)
  • Bestell-IDs und Abschlussdaten (pseudonymisierte Identifikatoren, die der Verantwortliche seinen Kunden zuordnen kann)
  • Shopify-Session-Tokens zur API-Authentifizierung

Die App empfängt ausschließlich: Bestell-ID, Abschlussdatum (closed_at), Einzelpositionen (Produkt-ID, Varianten-ID, Menge, Produkttitel, Variantentitel). Es werden keine personenbezogenen Kundeninformationen (PII) übermittelt.

Ausdrücklich nicht verarbeitet werden:

  • Namen, E-Mail-Adressen oder Kontaktdaten von Endkunden
  • Liefer- oder Rechnungsadressen
  • Zahlungsinformationen
  • IP-Adressen von Endkunden

§ 4 Kategorien betroffener Personen

  • Händler (Verantwortliche) — identifiziert durch die Shop-Domain
  • Endkunden der Händler — mittelbar betroffen durch pseudonymisierte Bestell-IDs, ohne dass der Auftragsverarbeiter diese Personen identifizieren kann

§ 5 Pflichten des Auftragsverarbeiters

5.1 Weisungsgebundenheit

  • Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
  • Die App-Funktionalität — wie in den AGB und der technischen Dokumentation beschrieben — stellt die dokumentierte Weisung dar.
  • Sollte der Auftragsverarbeiter der Auffassung sein, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, informiert er den Verantwortlichen unverzüglich.

5.2 Vertraulichkeit

Alle mit der Datenverarbeitung betrauten Personen sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO). Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Auftragsverhältnisses fort.

5.3 Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 28 Abs. 3 lit. c i. V. m. Art. 32 DSGVO. Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter ist berechtigt, alternative adäquate Maßnahmen umzusetzen, sofern das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird.

5.4 Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zum Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter. Bei Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informiert der Auftragsverarbeiter den Verantwortlichen. Der Verantwortliche hat die Möglichkeit, innerhalb von 14 Tagen nach Zugang der Information Widerspruch gegen die Änderung einzulegen. Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeitern die gleichen Datenschutzpflichten auferlegt werden, die in diesem AVV festgelegt sind.

5.5 Unterstützung des Verantwortlichen

  • Bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) unterstützt der Auftragsverarbeiter den Verantwortlichen im Rahmen seiner technischen Möglichkeiten.
  • Bei Datenschutz-Folgenabschätzungen (Art. 35–36 DSGVO) unterstützt der Auftragsverarbeiter den Verantwortlichen auf Anfrage.
  • Bei Datenschutzverletzungen gilt § 7 dieses AVV.

5.6 Löschung und Rückgabe

Nach Beendigung des Auftrags (Deinstallation der App) erfolgt die vollständige Löschung aller personenbezogenen Daten. Die Löschung erfolgt automatisch über den Shopify shop/redact-Webhook innerhalb von 48 Stunden nach Deinstallation. App-spezifische Metafields werden von Shopify automatisch entfernt.

5.7 Nachweispflichten

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Überprüfungen — einschließlich Inspektionen — durch den Verantwortlichen oder einen von diesem beauftragten Prüfer sind nach angemessener Vorankündigung und unter Wahrung der Vertraulichkeit sowie der Geschäftsgeheimnisse des Auftragsverarbeiters möglich.

§ 6 Pflichten des Verantwortlichen

  • Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 24 DSGVO).
  • Er hat sicherzustellen, dass die betroffenen Personen über die Datenverarbeitung durch die App informiert werden (z. B. in seiner eigenen Datenschutzerklärung).
  • Weisungen sind schriftlich oder in Textform (z. B. per E-Mail) zu erteilen.

§ 7 Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat (Art. 33 Abs. 2 DSGVO).

(2) Die Meldung enthält mindestens:

  • Die Art der Verletzung des Schutzes personenbezogener Daten
  • Die betroffenen Datenkategorien und die ungefähre Anzahl der betroffenen Personen
  • Die wahrscheinlichen Folgen der Verletzung
  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer Auswirkungen

(3) Die Meldung erfolgt per E-Mail an die bei der App-Installation hinterlegte E-Mail-Adresse des Verantwortlichen.

§ 8 Übermittlung in Drittländer

(1) Die Datenverarbeitung erfolgt grundsätzlich in Deutschland bei der Hetzner Online GmbH.

(2) Shopify Inc. als Plattformanbieter hat seinen Sitz in Kanada und betreibt Server in den USA. Die Datenübermittlung an Shopify erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) sowie gegebenenfalls eines Angemessenheitsbeschlusses der EU-Kommission für Kanada.

(3) Darüber hinaus findet keine Übermittlung personenbezogener Daten in Drittländer statt.

§ 9 Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Regelungen in den AGB.

§ 10 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Nachfolgend werden die technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO beschrieben, die der Auftragsverarbeiter zum Schutz personenbezogener Daten umsetzt.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle (physischer Zugang)

  • Server bei Hetzner Online GmbH in deutschen Rechenzentren
  • Biometrische Zugangskontrollen und 24/7-Überwachung durch Hetzner
  • Kein physischer Zugriff durch Personal des Auftragsverarbeiters (rein fernverwaltet)

1.2 Zugangskontrolle (logischer Zugang)

  • SSH-Schlüsselauthentifizierung (kein Passwort-Login)
  • Admin-API-Routen durch Bearer-Token geschützt (ADMIN_KEY)
  • Shopify OAuth für Händler-Authentifizierung
  • Keine gemeinsam genutzten Zugangsdaten

1.3 Zugriffskontrolle

  • Zusammengesetzte Primärschlüssel (shop, id) auf allen Datenmodellen erzwingen shop-basierte Datenisolation
  • Jeder Händler kann ausschließlich auf seine eigenen Daten zugreifen
  • Admin-Routen sind nur für den Infrastrukturbetreiber zugänglich

1.4 Trennungsgebot

  • Strikte Mandantentrennung durch zusammengesetzte Primärschlüssel
  • Kein shop-übergreifender Datenzugriff über die App möglich
  • Logische Trennung aller Händlerdaten in der Datenbank

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Weitergabekontrolle

  • Alle Datenübertragungen verschlüsselt über HTTPS/TLS
  • Webhooks durch HMAC-Signaturen von Shopify verifiziert
  • Keine Datenweitergabe an Dritte
  • Metafield-Schreibvorgänge über authentifizierte Shopify-API-Aufrufe

2.2 Eingabekontrolle

  • Alle Daten stammen aus authentifizierten Shopify-Webhooks (HMAC-verifiziert)
  • Keine direkte Eingabe personenbezogener Daten durch Nutzer
  • Webhook-Verarbeitung mit Zeitstempeln protokolliert

2.3 Auftragskontrolle

  • Datenverarbeitung auf definierte App-Funktionalität beschränkt
  • Keine manuelle Datenverarbeitung oder Exportfunktion
  • Verarbeitungslogik in Quellcode definiert und versioniert

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

3.1 Verfügbarkeitskontrolle

  • systemd-Dienst mit automatischem Neustart bei Ausfall
  • SQLite-Datenbank mit Dateisystem-Persistenz
  • Monitoring über Prometheus/VictoriaMetrics
  • Hetzner-Infrastruktur mit redundanter Stromversorgung und Netzwerkanbindung

3.2 Belastbarkeit

  • Minimaler Ressourcenverbrauch (Node.js + SQLite)
  • Per-Shop-Webhook-Queue zur Isolation
  • Fehlerbehandlung in Webhook-Prozessoren

4. Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)

  • Nur Bestell-IDs gespeichert, keine Kundenidentifikatoren
  • Daten auf Variantenebene aggregiert — individuelle Bestellmuster werden nicht im Dashboard exponiert
  • Keine Möglichkeit der Re-Identifizierung durch den Auftragsverarbeiter

5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Prometheus-Metriken-Monitoring
  • VictoriaMetrics für historische Trendanalyse
  • Health-Check-Endpoint zur Betriebsüberwachung
  • Automatisierte Datenlöschung bei App-Deinstallation durch shop/redact-Webhook

Anlage 2: Unterauftragsverarbeiter

UnterauftragsverarbeiterLeistungStandortDatenschutzvereinbarung
Hetzner Online GmbH, Industriestr. 25, 91710 GunzenhausenServer-Hosting und InfrastrukturDeutschlandHetzner AVV gemäß Art. 28 DSGVO
Shopify Inc., 151 O'Connor Street, Ottawa, ON K2P 2L8, KanadaPlattformanbieter, API-Zugang, Webhook-VersandKanada/USAEU-Standardvertragsklauseln (SCCs)

Hinweis: Shopify ist primär der Plattformanbieter, über den der Verantwortliche die Daten bereitstellt. Soweit der Auftragsverarbeiter Metafields an Shopify zurückschreibt, fungiert Shopify als Unterauftragsverarbeiter für diese spezifische Verarbeitung.