Datenschutzerklärung

1. Geltungsbereich

Diese Erklärung gilt für die Shopify-App „Simple Holidays" (im Folgenden „App"), erreichbar über den Shopify App Store sowie unter app.simpleholidays.de, und für die Marketing-Website unter simpleholidays.de.

Für eingebundene Shopify-Funktionen (OAuth, App-Embed, Billing) gilt zusätzlich die Datenschutzerklärung der Shopify Inc.

2. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist Manuel Wlochowitz, orbilyte, Im Altseiterstal 110, 66538 Neunkirchen, Deutschland. Telefon: 06821 / 3093860, E-Mail: hello@orbilyte.de.

Vollständige Anbieterkennung siehe Impressum.

3. Daten beim App-Betrieb (Merchant-Session)

Beim Installieren und Nutzen der App übermittelt Shopify im Rahmen des OAuth-Handshakes folgende Daten an unseren Server, die wir in einer Session-Tabelle speichern: Shop-Domain (z. B. mein-shop.myshopify.com), OAuth-Access-Token, Shopify-User-ID, Vor- und Nachname sowie E-Mail-Adresse des installierenden Admin-Users, Locale-Einstellung sowie der von Shopify übermittelte API-Scope.

Zweck: Authentifizierung der App gegenüber dem Shop, Ausführung von Admin-API-Aufrufen, sichere Webhook-Zustellung. Ohne diese Daten kann die App technisch nicht betrieben werden.

4. Konfigurationsdaten

Die App speichert pro installiertem Shop die vom Merchant selbst angelegten Konfigurationsdaten: Banner-Einstellungen (Hintergrund- und Textfarbe, Position, Popup-Optionen), optional Custom-CSS sowie geplante Urlaubsperioden (Start-/End-Datum und frei eingegebene Banner-Texte).

Diese Daten enthalten regelmäßig keine personenbezogenen Daten von Dritten. Der Merchant ist selbst verantwortlich, keine personenbezogenen Daten in frei eingegebene Banner-Texte aufzunehmen.

5. Daten der Endkundinnen und Endkunden des Shops

Die App verarbeitet ausdrücklich keine Daten der Endkundinnen und Endkunden des Shops. Es findet kein Tracking, kein Profiling, keine Cookie-Setzung und keine Übermittlung an externe Analyse- oder Werbedienste statt.

Das Storefront-Banner wird serverseitig durch Liquid gerendert. Das optionale Popup nutzt ausschließlich den browserseitigen sessionStorage zur Anzeige-Begrenzung („einmal pro Sitzung") und übermittelt dabei keine Daten an unsere Server.

6. Rechtsgrundlagen

Die Verarbeitung von Session- und Konfigurationsdaten stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des mit dem Merchant geschlossenen Vertrags über die Bereitstellung der App) sowie auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, missbrauchsfreien Betrieb der App).

7. Empfänger und Auftragsverarbeiter

Wir setzen die folgenden Auftragsverarbeiter ein, mit denen jeweils ein Vertrag nach Art. 28 DSGVO besteht. Eine Weitergabe an weitere Dritte – insbesondere an Werbenetzwerke, Analyse-Anbieter oder Mail-Versender – findet nicht statt:

• Shopify Inc. (Kanada/Irland) – Plattformbetrieb der Shopify-App-Infrastruktur (OAuth, App-Embed-Auslieferung, Webhook-Zustellung, Billing). Verarbeitung erfolgt zwingend, da die App nur als Shopify-App betrieben werden kann.
• Railway Corp. – Application-Hosting der App und Bereitstellung der Postgres-Datenbank. Hosting-Region: EU.
• Vercel Inc. – Hosting der Marketing-Website. Hosting-Region: EU.

8. Drittlandtransfer

Application-Hosting und Datenbank werden in einer EU-Region betrieben. Auch die Marketing-Website wird aus einer EU-Region ausgeliefert.

Die Verarbeitung durch Shopify Inc. kann mit einem Drittlandtransfer verbunden sein; Shopify hat hierfür Standardvertragsklauseln und ergänzende Schutzmaßnahmen veröffentlicht (siehe Datenschutzerklärung von Shopify).

9. Speicherdauer und Löschung

Session- und Konfigurationsdaten werden gespeichert, solange die App im jeweiligen Shop installiert ist. Bei Deinstallation übermittelt Shopify den Webhook „app/uninstalled"; spätestens 48 Stunden nach Deinstallation übermittelt Shopify zusätzlich den Webhook „shop/redact". Beide lösen das vollständige Löschen aller zum betroffenen Shop gespeicherten Session-, Settings- und Urlaubsperioden-Datensätze aus.

10. Shopify-Compliance-Webhooks

Die App implementiert die drei von Shopify vorgeschriebenen Compliance-Webhooks:

• customers/data_request – wird ohne Datenrückgabe quittiert, da die App keine Endkundendaten speichert.
• customers/redact – wird ohne Löschvorgang quittiert, da die App keine Endkundendaten speichert.
• shop/redact – löscht Session, Shop-Einstellungen und sämtliche Urlaubsperioden zum betroffenen Shop.

11. Marketing-Website

Die Marketing-Website verwendet keine Cookies, kein Tracking, kein Analytics und keine eingebetteten Drittinhalte. Schriftarten werden lokal ausgeliefert. Beim Aufruf werden ausschließlich technisch zwingend erforderliche Server-Logs (IP-Adresse, Zeitstempel, abgerufene URL, Browser-Kennung) durch den Hosting-Anbieter Vercel verarbeitet (Art. 6 Abs. 1 lit. f DSGVO, kurzlebige Speicherung zur Sicherstellung des Betriebs).

12. Betroffenenrechte

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).

Anfragen richten Sie bitte an hello@orbilyte.de.

13. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:

Unabhängiges Datenschutzzentrum Saarland, Fritz-Dobisch-Straße 12, 66111 Saarbrücken.

14. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen der App, eingesetzte Auftragsverarbeiter oder Rechtslage ändern. Es gilt jeweils die hier veröffentlichte Fassung.