Withdrawly

Datenverarbeitungsvereinbarung

Datenverarbeitungsvereinbarung für Shopify-Händler, die Withdrawly nutzen
3. Jun 2026

Überblick

Diese Datenverarbeitungsvereinbarung ("DPA") gilt, wenn ein Shopify-Händler Withdrawly nutzt, um Widerrufsdaten von Endkunden im Auftrag seines Shops zu verarbeiten.

Der Händler ist der Verantwortliche. Withdrawly handelt für Widerrufsdaten, die über die App verarbeitet werden, als Auftragsverarbeiter.

Version: Juni 2026. Withdrawly ist ein technisches Workflow-Tool und bietet keine Rechtsberatung.

So funktioniert es

Durch Installation oder Nutzung von Withdrawly und, soweit verfügbar, durch Bestätigung der DPA in den App-Einstellungen akzeptiert der Händler diese DPA elektronisch.

Withdrawly kann die akzeptierte DPA-Version, den Zeitpunkt der Annahme, die Shop-Domain und, soweit verfügbar, den akzeptierenden Shopify-Nutzer oder die Konto-E-Mail speichern.

Was die DPA abdeckt

  • Gegenstand und Dauer der Verarbeitung, gebunden an die Nutzung der Shopify-App
  • Arten personenbezogener Daten, die für Widerrufsanfragen verarbeitet werden
  • Weisungen des Händlers und Verantwortlichkeiten des Händlers
  • Technische und organisatorische Sicherheitsmaßnahmen
  • Genehmigte Unterauftragsverarbeiter und Änderungsmitteilungen
  • Unterstützung bei Betroffenenrechten und Shopify Privacy Webhooks
  • Unterstützung bei Datenschutzverletzungen, Audit-Informationen, Aufbewahrung, Export und Löschung
  • Schutzmaßnahmen für internationale Übermittlungen, wenn ein Anbieter außerhalb der EU/des EWR tätig ist

Wo werden Ihre Daten gespeichert?

Die primäre Anwendungs- und Datenbankverarbeitung ist auf EU/EWR-Infrastruktur ausgerichtet:

  • Datenbank: Supabase PostgreSQL, Central EU / Frankfurt (eu-central-1)
  • Anwendungsserver: Fly.io, Frankfurt (fra) als primäre Region
  • E-Mail-Versand: Resend EU domain region, Irland (eu-west-1)
  • Fehlerüberwachung: Sentry EU region, Frankfurt, falls aktiviert
  • Shopify-Plattformdienste: globale Shopify-Infrastruktur, geregelt durch Shopify-Plattform- und Datenverarbeitungsbedingungen

Einige Anbieter haben ihren Sitz außerhalb der EU/des EWR oder betreiben globale Konto- und Supportsysteme. Soweit dies eine Drittlandübermittlung umfasst, stützt sich Withdrawly auf geeignete Garantien wie Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln, eine EU-US Data Privacy Framework Zertifizierung, soweit anwendbar, oder einen anderen rechtmäßigen Übermittlungsmechanismus.

Die vollständige Anbieterübersicht finden Sie unter Unterauftragsverarbeiter.

Verarbeitete personenbezogene Daten

Withdrawly kann Kunden-E-Mail, optionalen Kundennamen, Bestellnummer, Shopify-Bestellkennungen, ausgewählte Positionen, Widerrufserklärung, optionalen Grund, übermittelte Sprache, Zeitstempel, Statushistorie, E-Mail-Zustellmetadaten und gehashte Rate-Limit-Kennungen verarbeiten.

Der Widerrufsworkflow ist so gestaltet, dass keine Kundenadresse, Telefonnummer, Zahlungsdetails oder Kundenkonto-Zugangsdaten abgefragt oder gespeichert werden.

Wichtige Verantwortlichkeiten

Withdrawly verarbeitet Widerrufsdaten nur auf dokumentierte Weisung des Händlers, einschließlich App-Installation, App-Einstellungen, Workflow-Konfiguration, Aufbewahrungseinstellungen, Löschkontrollen, Exporte, Shopify Privacy Webhook-Ereignisse und schriftliche Weisungen an support@withdrawly.app.

Der Händler bleibt verantwortlich für Rechtsgrundlage, Kundeninformationen, Shop-Rechtstexte, Bearbeitung von Widerrufen, Aufbewahrungspflichten, Rückerstattungen, Retouren und Kundenkommunikation.

Aufbewahrung und Löschung

Händler können Widerrufsdaten in den Einstellungen löschen, Datensätze exportieren, soweit verfügbar, und Aufbewahrungsfristen konfigurieren, soweit die Planfunktionen dies erlauben.

Bei Deinstallation löscht Withdrawly Shopify-Sessions und Rate-Limit-Ereignisse und folgt der Aufbewahrungseinstellung des Händlers für Widerrufsdatensätze, bis eine Shopify Shop Redaction oder eine andere Löschweisung greift.

Soweit kein kürzerer Produktworkflow gilt, erfolgt die Löschung nach Beendigung oder Deinstallation ohne unangemessene Verzögerung und innerhalb von 30 Tagen, sofern gesetzliche Aufbewahrungspflichten, Shopify-Datenschutzprozesse, Exportanfragen, Sicherheitsuntersuchungen oder Händler-Aufbewahrungseinstellungen nichts anderes erfordern.

Häufige Fragen

Muss ich die DPA separat unterschreiben?

Nein. Eine separate Papierunterschrift ist nicht erforderlich. Die DPA wird elektronisch bereitgestellt und kann durch Installation, fortgesetzte Nutzung oder In-App-Bestätigung akzeptiert werden, soweit verfügbar.

Wer ist Verantwortlicher und wer ist Auftragsverarbeiter?

Der Händler ist Verantwortlicher für Widerrufsdaten von Endkunden. Withdrawly handelt für diese Daten als Auftragsverarbeiter.

Verarbeitet Withdrawly Shopify Privacy Webhooks?

Ja. Withdrawly implementiert Workflows für Customer Data Request, Customer Redaction und Shop Redaction, die für Shopify App Store Apps erforderlich sind.

Wie werde ich über Änderungen bei Unterauftragsverarbeitern informiert?

Wesentliche Änderungen bei Unterauftragsverarbeitern werden, soweit erforderlich, mindestens 14 Tage vor Inkrafttreten per Website-Update, E-Mail oder In-App-Mitteilung kommuniziert.

Zugehörige Dokumente

Datenschutzrichtlinie · Unterauftragsverarbeiter · Sicherheit · Nutzungsbedingungen

Referenzen

Kontakt

Datenschutzfragen können an support@withdrawly.app gesendet werden.