Datenschutzrichtlinie

Datenschutzrichtlinie für Withdrawly

28. May 2026

Withdrawly — EU-Widerrufsbutton für Shopify

Gültig ab: 7. Juni 2026
Zuletzt aktualisiert: 7. Juni 2026

Diese Datenschutzrichtlinie erklärt, wie Withdrawly personenbezogene Daten im Zusammenhang mit Website, Shopify-App, Händler-Dashboard, Storefront-Widerrufsworkflow, Support und verbundenen Diensten verarbeitet. Sie soll Informationen nach Art. 13 und 14 DSGVO bereitstellen.

Withdrawly ist ein technisches Workflow-Tool und bietet keine Rechtsberatung.

1. Anbieter und Kontakt

Anbieter: Withdrawly
Website: withdrawly.app
E-Mail: support@withdrawly.app

2. Rollen nach Datenschutzrecht

Je nach Kontext handelt Withdrawly in unterschiedlichen Rollen.

A) Endkundendaten: Auftragsverarbeiter

Für personenbezogene Daten von Endkunden eines Händlers, die über den Widerrufsworkflow verarbeitet werden, handelt Withdrawly als Auftragsverarbeiter im Auftrag des Händlers. Der Händler ist der Verantwortliche. Diese Beziehung wird durch die Datenverarbeitungsvereinbarung geregelt.

B) Händler- und Betriebsdaten: Verantwortlicher

Für Händlerkonto-Verwaltung, Support, Abrechnung, Sicherheit und Servicebetrieb handelt Withdrawly als eigenständiger Verantwortlicher.

3. Kategorien personenbezogener Daten

A) Händlerdaten

Shopify-Shop-Kennungen, Shop-Domain und App-Installationsdaten
Händler-E-Mail-Adressen und App-Konfiguration
Plan-, Abrechnungs- und Abonnementstatus
Support-Kommunikation und Kontaktformular-Einreichungen
Technische Logs, Webhook-Metadaten und Sicherheitsereignisse

B) Endkundendaten, die für Händler verarbeitet werden

E-Mail-Adresse und optionaler Kundenname
Bestellnummer und Shopify-Bestellkennungen
Ausgewählte Positionen, SKU, Titel und Menge
Widerrufserklärung und optionaler Grund
Übermittelte Sprache, Zeitstempel, Statushistorie und E-Mail-Zustellmetadaten
Gehashte Rate-Limit-Kennungen

Der Widerrufsworkflow ist so gestaltet, dass keine Kundenadresse, Telefonnummer, Zahlungsdetails oder Kundenkonto-Zugangsdaten abgefragt oder gespeichert werden.

4. Quellen personenbezogener Daten

Händlerdaten werden über Shopify, Händlerkonfiguration, Abrechnungssysteme, Support-Kommunikation und technische Servicenutzung bereitgestellt.

Endkundendaten werden über den Storefront-Widerrufsworkflow des Händlers übermittelt oder über Shopify APIs und Webhooks erhalten, wenn der Händler die App installiert und konfiguriert hat.

5. Zwecke der Verarbeitung

Withdrawly verarbeitet personenbezogene Daten, um:

elektronische Widerrufsanfragen zu empfangen und zu verwalten;
kundenseitig eingereichte Bestelldaten soweit verfügbar mit Shopify-Bestelldaten abzugleichen;
Bestätigungs-E-Mails an Kunden und Benachrichtigungen an Händler zu senden;
Händler-Dashboard, Statusworkflow, Audit-Historie, Exporte und Aufbewahrungskontrollen bereitzustellen;
Abrechnung, Support, Sicherheit, Debugging, Missbrauchsprävention und Servicezuverlässigkeit zu betreiben;
Shopify Privacy Webhooks und Löschweisungen von Händlern zu bearbeiten.

6. Rechtsgrundlagen, wenn Withdrawly Verantwortlicher ist

Soweit Withdrawly als Verantwortlicher handelt, stützt sich die Verarbeitung auf:

Art. 6(1)(b) DSGVO für Servicebereitstellung, Kontoverwaltung, Abrechnung, Support und Vertragskommunikation;
Art. 6(1)(c) DSGVO, soweit Verarbeitung zur Erfüllung rechtlicher Pflichten erforderlich ist;
Art. 6(1)(f) DSGVO für Sicherheit, Betrugsprävention, Debugging, Servicezuverlässigkeit, Missbrauchsprävention und Rechtsverteidigung;
Art. 6(1)(a) DSGVO, wenn für optionale Kommunikation oder Formulare eine Einwilligung eingeholt wird.

Soweit Withdrawly als Auftragsverarbeiter für Endkunden-Widerrufsdaten handelt, bestimmt der Händler die relevante Rechtsgrundlage.

7. Empfänger und Dienstleister

Withdrawly verkauft keine personenbezogenen Daten und teilt personenbezogene Daten nicht zu Werbezwecken.

Withdrawly nutzt Dienstleister, um App und Workflow zu betreiben:

Shopify: App-Plattform, OAuth, Admin API, App Proxy, Webhooks, Billing
Fly.io: Anwendungshosting, Frankfurt (fra) als primäre Region
Supabase: PostgreSQL-Datenbank, Central EU / Frankfurt (eu-central-1)
Resend: Transaktionaler E-Mail-Versand, EU domain region Irland (eu-west-1)
Sentry: optionale Fehlerüberwachung, EU region Frankfurt, falls aktiviert

Die aktuelle Anbieterübersicht wird unter Unterauftragsverarbeiter gepflegt.

8. Internationale Übermittlungen

Die primäre Anwendungs- und Datenbankverarbeitung von Withdrawly ist auf EU/EWR-Infrastruktur ausgerichtet. Einige Anbieter haben ihren Sitz außerhalb der EU/des EWR oder betreiben globale Konto- und Supportsysteme.

Soweit personenbezogene Daten außerhalb der EU/des EWR übermittelt werden, stützt sich Withdrawly auf geeignete Garantien wie Angemessenheitsbeschlüsse, EU-Standardvertragsklauseln, eine EU-US Data Privacy Framework Zertifizierung, soweit anwendbar, oder einen anderen rechtmäßigen Übermittlungsmechanismus.

9. Aufbewahrung und Löschung

Widerrufsbezogene Daten, die im Auftrag von Händlern verarbeitet werden, werden nach App-Einstellungen, Planlimits, Exporten, Löschkontrollen, Deinstallationseinstellungen und Shopify Privacy Webhook-Pflichten des Händlers aufbewahrt.

Händlerkonto-, Abrechnungs-, Support- und Sicherheitsdaten werden so lange aufbewahrt, wie dies zur Bereitstellung des Dienstes, zur Erfüllung gesetzlicher Pflichten, zur Streitbeilegung, zur Sicherheit und zur Rechtsverteidigung erforderlich ist.

Händler können Widerrufsdaten in der App löschen, soweit Kontrollen verfügbar sind.

10. Sicherheitsmaßnahmen

Withdrawly nutzt technische und organisatorische Maßnahmen, darunter Shopify-Authentifizierung, Webhook-Verifizierung, Mandantentrennung nach Shop, Eingabevalidierung, HTML-Escaping, Rate Limiting, Secret Management, verschlüsselte Übertragung, eingeschränkten Produktionszugriff und bereinigtes Error Reporting.

Weitere Informationen finden Sie unter Sicherheit.

11. Ist die Bereitstellung von Daten erforderlich?

Bestimmte Informationen wie Bestellnummer und E-Mail-Adresse werden benötigt, um den relevanten Vertrag zu identifizieren und die Widerrufsbestätigung zu senden. Fehlen erforderliche Daten, kann die Anfrage möglicherweise nicht über die App verarbeitet werden.

12. Betroffenenrechte

Soweit Withdrawly als Verantwortlicher handelt, können Sie uns kontaktieren, um Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch zu verlangen, soweit anwendbar.

Soweit Endkundendaten im Auftrag eines Shopify-Händlers verarbeitet werden, sollten Endkunden ihre Anfragen in der Regel an den Händler richten. Withdrawly unterstützt Händler durch App-Kontrollen, Exporte, Löschkontrollen und Shopify Privacy Webhooks, soweit anwendbar.

Sie können außerdem Beschwerde bei einer zuständigen Aufsichtsbehörde in der EU/im EWR einlegen.

13. Automatisierte Entscheidungsfindung

Withdrawly führt keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO durch.

14. Cookies und ähnliche Technologien

Withdrawly kann technisch notwendige Cookies, Sessions oder Local Storage verwenden, um Authentifizierung, App-Navigation, Sicherheit und Kernfunktionen bereitzustellen. Withdrawly nutzt den Widerrufsworkflow nicht, um Werbe-Cookies für Endkunden zu setzen.