EU Widerrufsbutton — Auftragsverarbeitungsvertrag (AVV)

English version: Data Processing Agreement (DPA).

Stand: 18. Juni 2026

zwischen

Anviara LLC (Limited Liability Company nach dem Recht des US-Bundesstaates Wyoming, USA) 30 N Gould St, Ste N Sheridan, WY 82801 USA E-Mail: [email protected] – nachfolgend „Auftragsverarbeiter” oder „AV” –

und

Der Händler (Merchant), der die App über den Shopify App Store installiert und nutzt – nachfolgend „Verantwortlicher” oder „Auftraggeber” –

– gemeinsam „Parteien”, einzeln „Partei” –

Stand / Version: Juni 2026 (v1.0)


Präambel

Der Auftragsverarbeiter betreibt die Shopify-App „EU Widerrufsbutton” (nachfolgend „App”). Die App unterstützt den Verantwortlichen bei der technischen Umsetzung der elektronischen Widerrufsfunktion gemäß § 356a BGB (ab 19.06.2026) bzw. der EU-Richtlinie (EU) 2023/2673: ein storefront-seitiges Widerrufsformular für Endkunden (Verbraucher), ein Admin-Postfach für den Händler zur Bearbeitung und Dokumentation von Widerrufsvorgängen sowie rechtlich formatierte Eingangsbestätigungen per E-Mail.

Im Rahmen der Nutzung der App verarbeitet der Auftragsverarbeiter personenbezogene Daten von Endkunden des Verantwortlichen (Verbraucher, die über die App einen Widerruf erklären) im Auftrag und auf Weisung des Verantwortlichen.

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV”) konkretisiert die datenschutzrechtlichen Pflichten der Parteien gemäß Art. 28 Abs. 3 DSGVO und ergänzt die zwischen den Parteien bestehende Nutzungsvereinbarung (Terms of Service der App).

Hinweis: Dieser AVV tritt mit aktiver Bestätigung durch den Verantwortlichen in Kraft (vgl. Anlage 3). Die Nutzung der App setzt die Zustimmung zu diesem AVV voraus.


§ 1 – Gegenstand und Dauer der Verarbeitung

(1) Gegenstand

Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung und des Betriebs der App. Die Verarbeitung erfolgt ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen.

(2) Dauer

Dieser AVV gilt für die gesamte Dauer der Nutzung der App durch den Verantwortlichen. Er endet automatisch mit der Deinstallation der App oder der Beendigung des Nutzungsverhältnisses, vorbehaltlich der in § 10 geregelten Löschpflichten.

(3) Art und Zweck der Verarbeitung

Die Verarbeitung dient folgenden Zwecken:

  • Entgegennahme und Verarbeitung elektronischer Widerrufserklärungen von Endkunden des Verantwortlichen;
  • Übermittlung der gesetzlich vorgeschriebenen Eingangsbestätigung per E-Mail an den Endkunden;
  • Bereitstellung einer Verwaltungsoberfläche (Merchant Admin) für den Verantwortlichen zur Bearbeitung und Dokumentation von Widerrufsvorgängen.

(4) Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

DatenkategorieBeschreibungQuelleSpeicherung
NameVor- und/oder Nachname des EndkundenWiderrufsformulargespeichert
E-Mail-AdresseIdentifikation und Zustellung der EingangsbestätigungWiderrufsformulargespeichert
Bestellnummer / BestellreferenzZuordnung des betroffenen VertragsWiderrufsformulargespeichert
WiderrufsstatusBearbeitungsstatus (z. B. received / in_progress / completed)Systemgeneriert / Verantwortlichergespeichert
SprachpräferenzLocale zur automatischen Sprachauswahl des FormularsURL-Parameter / Shopify-Session / Browser des Endkundengespeichert
ZeitstempelDatum und Uhrzeit der Erklärung und BestätigungSystemgeneriertgespeichert
Kundenkommentar (optional)Optionale Freitextnachricht des EndkundenWiderrufsformular (freiwillige Eingabe)gespeichert
Interne Notizen (optional)Vom Verantwortlichen erfasste Bearbeitungsnotizen zum VorgangVerantwortlicher (Admin)gespeichert
E-Mail-MetadatenZustellstatus/Zeitstempel der BestätigungsmailE-Mail-Dienstleister (MailerSend)beim Dienstleister
IP-AdresseVerbindungsdaten; ausschließlich transient durch das CDN (Cloudflare) bei der Auslieferung der Formular-Assets verarbeitet. ALTCHA arbeitet als Proof-of-Work ohne IP-AdresseCloudflare (in transit)Vom Auftragsverarbeiter nicht erhoben oder gespeichert

(4a) Bezug zu Shopify

Die App liest oder verändert keine Bestellungen des Verantwortlichen. Die im Widerrufsformular angegebene Bestell- bzw. Vertragsnummer ist eine Freitexteingabe des Endkunden und wird nicht mit Shopify-Bestelldaten abgeglichen. Über die Shopify-API verarbeitet die App ausschließlich händlerbezogene Konfigurations- und Metadaten (z. B. Shop-Domain, primäre Sprache, Zeitzone), um das Formular und die Benachrichtigungen korrekt darzustellen; sie fordert keine Berechtigung zum Lesen oder Ändern von Bestellungen an (read_orders/write_orders werden nicht verwendet). Soweit Konfigurations-Metafelder (Formulareinstellungen und -texte) gespeichert werden, erfolgt dies innerhalb der vom Verantwortlichen kontrollierten Shopify-Umgebung.

(5) Kategorien betroffener Personen

Betroffene Personen sind Endkunden (Verbraucher) des Verantwortlichen, die über die App einen Widerruf erklären.


§ 2 – Weisungsbefugnis des Verantwortlichen

(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist durch Unionsrecht oder das Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern das Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Die Weisungen des Verantwortlichen werden in erster Linie durch die Konfiguration und Nutzung der App dokumentiert (z. B. Aktivierung/Deaktivierung von Funktionen, Konfiguration von E-Mail-Einstellungen, Einstellung von Aufbewahrungsfristen). Dies lässt das Recht des Verantwortlichen unberührt, zusätzliche dokumentierte Weisungen zu erteilen. Solche Weisungen bedürfen der Textform (E-Mail genügt) und sind an [email protected] zu richten.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung einer solchen Weisung auszusetzen, bis der Verantwortliche sie bestätigt oder abändert.


§ 3 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • die personenbezogenen Daten ausschließlich im Rahmen der dokumentierten Weisungen des Verantwortlichen zu verarbeiten (§ 2);
  • sicherzustellen, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
  • die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (vgl. § 5 und Anlage 1);
  • die in § 6 genannten Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten;
  • den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen (Art. 15–22 DSGVO) nachzukommen (§ 7);
  • den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation);
  • nach Beendigung der Auftragsverarbeitung alle personenbezogenen Daten gemäß § 10 zu löschen oder zurückzugeben;
  • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen zu ermöglichen (§ 9);
  • ein Verzeichnis aller Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO zu führen.

§ 4 – Pflichten des Verantwortlichen

Der Verantwortliche ist insbesondere verpflichtet:

  • die Rechtmäßigkeit der Datenverarbeitung sicherzustellen und die alleinige Verantwortung für die Zulässigkeit der Verarbeitung im Sinne des Art. 6 DSGVO zu tragen;
  • die betroffenen Personen (Endkunden) gemäß Art. 13 und 14 DSGVO über die Datenverarbeitung zu informieren, einschließlich der Verarbeitung durch den Auftragsverarbeiter und dessen Unterauftragsverarbeiter;
  • die Datenverarbeitung in seiner eigenen Datenschutzerklärung korrekt und vollständig abzubilden;
  • sicherzustellen, dass die Nutzung der App und die damit verbundene Datenverarbeitung den geltenden datenschutzrechtlichen Vorschriften entspricht;
  • Weisungen an den Auftragsverarbeiter in dokumentierter Form zu erteilen.

§ 5 – Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

(2) Die zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen sind in Anlage 1 beschrieben. Der Auftragsverarbeiter ist berechtigt, die Maßnahmen während der Vertragslaufzeit anzupassen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Über wesentliche Änderungen ist der Verantwortliche zu informieren.


§ 6 – Unterauftragsverarbeiter (Sub-Processors)

(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen, sofern die Bedingungen der Absätze (2) bis (4) eingehalten werden.

(2) Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Durch die Zustimmung zu diesem AVV genehmigt der Verantwortliche den Einsatz der dort genannten Unterauftragsverarbeiter.

(3) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wobei er dem Verantwortlichen die Möglichkeit gibt, gegen derartige Änderungen Einspruch zu erheben. Die Information erfolgt per E-Mail und/oder In-App-Benachrichtigung. Erhebt der Verantwortliche nicht innerhalb von 14 Tagen nach Zugang der Information Einspruch, gilt die Genehmigung als erteilt.

(4) Erhebt der Verantwortliche berechtigten Einspruch, bemüht sich der Auftragsverarbeiter nach besten Kräften, dem Verantwortlichen eine alternative Lösung anzubieten. Ist keine zumutbare Alternative verfügbar, steht beiden Parteien das Recht zu, den AVV und das Nutzungsverhältnis mit einer Frist von 30 Tagen zu kündigen.

(5) Der Auftragsverarbeiter stellt sicher, dass jedem Unterauftragsverarbeiter mindestens die gleichen datenschutzrechtlichen Pflichten auferlegt werden, wie sie in diesem AVV festgelegt sind, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen und der Weisungsbindung.

(6) Nicht als Unterauftragsverarbeiter gelten reine Nebenleistungen (z. B. Telekommunikations-, Post- und Logistikdienste) ohne gezielten Zugriff auf die Daten des Verantwortlichen.


§ 7 – Unterstützung bei Betroffenenrechten

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht, Anträge auf Wahrnehmung der in Art. 15–22 DSGVO genannten Rechte betroffener Personen zu beantworten.

(2) Wendet sich eine betroffene Person (Endkunde) direkt an den Auftragsverarbeiter, um ihre Rechte geltend zu machen, leitet der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiter und wird ohne Weisung des Verantwortlichen nicht eigenständig gegenüber der betroffenen Person tätig.

(3) Der Auftragsverarbeiter stellt dem Verantwortlichen über die Admin-Oberfläche der App Funktionen zur Einsicht und Löschung der verarbeiteten personenbezogenen Daten bereit. Löschanträge betroffener Personen werden zudem über die Shopify-Compliance-Webhooks (customers/redact) automatisiert unterstützt.


§ 8 – Meldung von Datenschutzverletzungen

(1) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO). Die Benachrichtigung erfolgt per E-Mail an die im Shopify-Konto des Verantwortlichen hinterlegte E-Mail-Adresse.

(2) Die Benachrichtigung enthält mindestens folgende Informationen, soweit zum Zeitpunkt der Meldung bekannt:

  • Beschreibung der Art der Verletzung;
  • Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze;
  • Beschreibung der wahrscheinlichen Folgen;
  • Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten nach Art. 33 und 34 DSGVO. Eigenständige Meldungen an die Aufsichtsbehörde oder betroffene Personen erfolgen nur nach vorheriger Weisung des Verantwortlichen, es sei denn, der Auftragsverarbeiter ist gesetzlich unmittelbar zur Meldung verpflichtet.


§ 9 – Nachweispflichten und Kontrollrechte

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, die zur Überprüfung der Einhaltung der in diesem AVV und in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind.

(2) Der Verantwortliche hat das Recht, Überprüfungen durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen. Überprüfungen werden unter angemessener Berücksichtigung des Geschäftsbetriebs des Auftragsverarbeiters durchgeführt und mit einer Vorlaufzeit von mindestens 30 Tagen angekündigt. Bei begründetem Verdacht auf eine Verletzung des Schutzes personenbezogener Daten ist eine kurzfristige Überprüfung mit einer Vorlaufzeit von 7 Werktagen zulässig.

(3) Da die Datenverarbeitung in einer Cloud-Infrastruktur erfolgt, kann der Nachweis vorrangig durch die Vorlage geeigneter und aktueller Nachweise (z. B. Zertifizierungen, Audit-Berichte unabhängiger Dritter der eingesetzten Infrastruktur-Provider oder Selbstauskunft) erfüllt werden. Ein physisches Betretungsrecht besteht nur insoweit, als dort tatsächlich personenbezogene Daten des Verantwortlichen verarbeitet werden und eine Fernprüfung nachweislich nicht ausreicht.


§ 10 – Löschung und Rückgabe von Daten

(1) Nach Beendigung des Nutzungsverhältnisses (Deinstallation der App) löscht der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten.

(2) Die vollständige Löschung erfolgt mit Eingang des Shopify-Compliance-Signals shop/redact (regelmäßig ca. 48 Stunden nach Deinstallation) durch Löschung des Händler-Datensatzes einschließlich aller zugehörigen Widerrufsvorgänge. Der Verantwortliche hat die Möglichkeit, die Rückgabe seiner Daten zuvor (z. B. per CSV-Export über die Admin-Oberfläche) zu verlangen.

(3) Während der Vertragslaufzeit gilt für gespeicherte Widerrufsvorgänge eine automatische Aufbewahrungsfrist von 24 Monaten; nach Ablauf werden diese automatisiert gelöscht. Der Verantwortliche kann einzelne Vorgänge jederzeit manuell über die Admin-Oberfläche löschen.

(4) Der Verantwortliche ist für die Einhaltung eigener gesetzlicher Aufbewahrungsfristen (z. B. § 147 AO, § 257 HGB hinsichtlich steuer- oder handelsrechtlich relevanter Daten) in seiner Shopify-Umgebung selbst verantwortlich.

(5) Der Auftragsverarbeiter bestätigt die Löschung auf Verlangen des Verantwortlichen.


§ 11 – Datenübermittlung in Drittländer

(1) Die zur Verarbeitung eingesetzte Dateninfrastruktur (Applikations- und Datenbank-Hosting sowie verschlüsselte Backups) befindet sich innerhalb der Europäischen Union / des Europäischen Wirtschaftsraums (EU/EWR), in Deutschland (Falkenstein/Frankfurt).

(2) Der Auftragsverarbeiter (Anviara LLC) ist eine nach dem Recht des US-Bundesstaates Wyoming gegründete Gesellschaft; der laufende Betrieb sowie administrative Zugriffe auf die Daten erfolgen zudem von außerhalb der EU/des EWR. Soweit hierdurch oder durch einzelne Unterauftragsverarbeiter (vgl. Anlage 2) personenbezogene Daten außerhalb der EU/des EWR verarbeitet oder zugänglich gemacht werden, gewährleistet der Auftragsverarbeiter ein angemessenes Schutzniveau durch geeignete Garantien gemäß Art. 46 DSGVO, insbesondere:

  • den Abschluss der EU-Standardvertragsklauseln (Modul 2: Verantwortlicher an Auftragsverarbeiter; Durchführungsbeschluss (EU) 2021/914), die hiermit in diesen AVV einbezogen werden. Die Anhänge der Standardvertragsklauseln werden durch die Parteienangaben dieses AVV sowie durch Anlage 1 (technische und organisatorische Maßnahmen) und Anlage 2 (Unterauftragsverarbeiter) ausgefüllt;
  • ergänzend, soweit einschlägig, einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) oder eine Zertifizierung unter dem EU-US Data Privacy Framework.

(3) Der Auftragsverarbeiter bewertet das Schutzniveau im Wege einer Übermittlungs-Folgenabschätzung (Transfer Impact Assessment) und hält diese auf Anfrage des Verantwortlichen bereit.


§ 12 – Haftung

(1) Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO, insbesondere Art. 82 DSGVO, sowie den allgemeinen gesetzlichen Bestimmungen. Die Haftung gegenüber betroffenen Personen gemäß Art. 82 DSGVO bleibt von diesem Vertrag unberührt und wird durch nachfolgende Regelungen nicht beschränkt.

(2) Im Innenverhältnis der Parteien zueinander haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für Schäden, die er durch leicht fahrlässige Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) verursacht hat, der Höhe nach begrenzt auf den vertragstypischen, vorhersehbaren Schaden. Bei leicht fahrlässiger Verletzung nicht wesentlicher Vertragspflichten ist die Haftung des Auftragsverarbeiters ausgeschlossen. Bei leichter Fahrlässigkeit ist die Haftung für mittelbare Schäden, Folgeschäden und entgangenen Gewinn ausgeschlossen.

(3) Die Gesamthaftung des Auftragsverarbeiters aus oder im Zusammenhang mit diesem AVV ist – als Höchstbetrag über alle Schadensfälle hinweg – auf das Entgelt begrenzt, das der Verantwortliche innerhalb der letzten 12 Monate vor Eintritt des (ersten) Schadensereignisses für die Nutzung der App an den Auftragsverarbeiter entrichtet hat.

(4) Die Begrenzungen und Ausschlüsse der Absätze (2) und (3) gelten nicht für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für Schäden aus grob fahrlässiger oder vorsätzlicher Pflichtverletzung sowie für die Haftung nach Art. 82 DSGVO gegenüber betroffenen Personen.

(5) Freistellung durch den Verantwortlichen. Der Verantwortliche stellt den Auftragsverarbeiter auf erstes Anfordern von allen Ansprüchen Dritter – einschließlich Ansprüchen betroffener Personen sowie Geldbußen und Maßnahmen von Aufsichtsbehörden – frei, die darauf beruhen, dass der Verantwortliche seinen eigenen datenschutzrechtlichen Pflichten nicht nachgekommen ist, insbesondere hinsichtlich der Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO), der Informationspflichten gegenüber betroffenen Personen (Art. 13, 14 DSGVO) oder der Erteilung rechtswidriger Weisungen. Die Freistellung umfasst die angemessenen Kosten der Rechtsverteidigung. Sie gilt nicht, soweit der Auftragsverarbeiter den Schaden selbst zu vertreten hat.

(6) Soweit eine Partei gegenüber betroffenen Personen zum Schadensersatz verpflichtet wird, steht ihr ein Regressanspruch gegen die andere Partei zu, soweit diese den Schaden verursacht hat (Art. 82 Abs. 5 DSGVO).

(7) Ansprüche des Verantwortlichen gegen den Auftragsverarbeiter wegen leicht fahrlässiger Pflichtverletzungen verjähren innerhalb von 12 Monaten ab dem gesetzlichen Verjährungsbeginn. Dies gilt nicht für Ansprüche aus der Verletzung des Lebens, des Körpers oder der Gesundheit, aus grob fahrlässiger oder vorsätzlicher Pflichtverletzung sowie für Ansprüche nach Art. 82 DSGVO; insoweit verbleibt es bei den gesetzlichen Verjährungsfristen.


§ 13 – Schlussbestimmungen

(1) Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland, sofern nicht zwingende datenschutzrechtliche Vorschriften des EU-Mitgliedstaats des Verantwortlichen Vorrang haben.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Textformerfordernisses.

(3) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen und datenschutzrechtlichen Zweck der unwirksamen Bestimmung möglichst nahekommt.

(4) Im Falle von Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen zwischen den Parteien hat dieser AVV in Bezug auf datenschutzrechtliche Fragestellungen Vorrang.

(5) Der Auftragsverarbeiter ist berechtigt, diesen AVV bei Änderungen der Rechtslage oder der technischen Infrastruktur anzupassen. Dabei gilt folgende Unterscheidung:

  • Redaktionelle Anpassungen (z. B. Korrektur von Schreibfehlern, Aktualisierung von Kontaktdaten) sowie Änderungen, die durch gesetzliche Vorgaben zwingend erforderlich werden, werden dem Verantwortlichen mindestens 30 Tage vor Inkrafttreten per E-Mail und/oder In-App-Benachrichtigung mitgeteilt. Widerspricht der Verantwortliche nicht innerhalb von 30 Tagen, gilt die Änderung als genehmigt.
  • Wesentliche inhaltliche Änderungen – insbesondere solche, die den Umfang der Verarbeitung, die Pflichtinhalte nach Art. 28 Abs. 3 DSGVO, die Liste der Unterauftragsverarbeiter, die technischen und organisatorischen Maßnahmen oder den Drittlandtransfer betreffen – bedürfen der ausdrücklichen Zustimmung des Verantwortlichen in Textform (E-Mail genügt).

Anlage 1 – Technische und organisatorische Maßnahmen (TOMs)

Die folgenden Maßnahmen beschreiben den Stand zum Zeitpunkt des Vertragsschlusses und werden laufend dem Stand der Technik angepasst.

MaßnahmeBeschreibung
Verschlüsselung in TransitTLS 1.2+ für alle Verbindungen (Storefront, App-Proxy, Admin, E-Mail-Versand); Edge-TLS über Cloudflare (Full-strict), HSTS-Erzwingung; TLS-terminierter Origin (Cloudflare Origin-Zertifikat)
Verschlüsselung at RestDatenbank auf verschlüsseltem Volume; Backups GPG/AES-256-verschlüsselt auf Hetzner Storage Box
ZugriffskontrolleLeast-Privilege-Prinzip; Zugriff auf Produktionsdaten nur für den Betreiber; Multi-Faktor-Authentifizierung für Infrastruktur-Zugänge (Hetzner, Cloudflare, Container-Registry); Secrets in verschlüsselten Anwendungs-Credentials / Secret-Manager, nicht im Klartext im Quellcode
MandantentrennungLogische Trennung der Händlerdaten auf Anwendungsebene durch konsequentes Scoping aller Datensätze auf eindeutige Händler-Kennungen (shop_id)
EingabekontrolleServerseitige Input-Validierung; Anti-Spam-Maßnahmen (ALTCHA Proof-of-Work, Honeypot, Rate-Limiting); Signatur- und Session-Token-Verifikation an den Vertrauensgrenzen (Admin, Extension-API, App-Proxy)
VerfügbarkeitskontrolleHosting auf Hetzner Cloud (EU-Region, Falkenstein/Deutschland); 6-stündliche verschlüsselte Backups, 14 Tage lokale Aufbewahrung, wöchentlicher Restore-Drill; DDoS-Schutz über Cloudflare
AuftragskontrolleVerarbeitung ausschließlich gemäß dokumentierter Weisung; keine Weitergabe an Dritte außer an genehmigte Unterauftragsverarbeiter
TrennungskontrolleStrikte Trennung von Entwicklungs-, Test- und Produktionsumgebungen; keine Echtdaten in Test- und Entwicklungsumgebungen
LöschkonzeptAutomatische Löschung gespeicherter Widerrufsvorgänge nach 24 Monaten; vollständige Löschung bei Deinstallation (Shopify shop/redact, ca. 48 Stunden); Betroffenenlöschung über customers/redact
Monitoring & Incident ResponseError-Tracking via Sentry (EU-Region, Data Residency Deutschland). Die Übermittlung personenbezogener Daten an Sentry ist deaktiviert (send_default_pii = false). Verfügbarkeits-Monitoring; definierter Incident-Response-Prozess
Software-Sicherheit (DevSecOps)Automatisierte Dependency-Audits in der CI-Pipeline; automatisierte Testsuite vor jedem Release; versionierte, nachvollziehbare Deployments
DatensparsamkeitErhebung nur der für den Widerrufsprozess zwingend erforderlichen Daten; keine Speicherung von Adress-, Zahlungs- oder IP-Daten durch den Auftragsverarbeiter; ALTCHA-Spam-Schutz arbeitet ohne IP-Adresse
RechenschaftVerzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO

Anlage 2 – Genehmigte Unterauftragsverarbeiter (Sub-Processors)

Stand: Juni 2026. Änderungen werden gemäß § 6 Abs. 3 mitgeteilt.

AnbieterZweckStandort / RegionDrittlandtransfer / SchutzmaßnahmeVertragliche Grundlage
Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, DE)Applikations- und Datenbank-Hosting; verschlüsselte BackupsFalkenstein, Deutschland (EU)EU – kein DrittlandtransferAVV mit Hetzner
Cloudflare, Inc. (101 Townsend St, San Francisco, CA, USA)CDN, Reverse-Proxy, TLS-Terminierung, DDoS-SchutzGlobales Edge-Netz; EU-Traffic über EU-EdgeDrittland (USA): SCCs + EU-US Data Privacy FrameworkCloudflare DPA (inkl. SCCs)
MailerSend, Inc. (US-Gesellschaft; EU-Datenregion: Google Cloud, Belgien)Versand der Eingangsbestätigung und Händler-Benachrichtigung per E-MailEU-Datenregion (Belgien); Anbieter US-inkorporiertDrittland (US-Anbieter): SCCsDPA mit MailerSend (inkl. SCCs)
Sentry GmbH (de.sentry.io)Error-Tracking und Performance-Monitoring (technische Daten; keine Übermittlung personenbezogener Endkundendaten, send_default_pii = false)Deutschland (EU)EU – kein DrittlandtransferDPA mit Sentry GmbH
Shopify International Ltd. (Dublin, Irland)E-Commerce-Plattform; App-Proxy-Transport des Formulars; Zugriff nur auf händlerbezogene Konfigurations-/Metadaten (read_themes, read_locales, read_online_store_navigation, write_app_proxy) – kein Zugriff auf BestellungenIrland (EU) / globalAngemessenheitsbeschluss bzw. ergänzend SCCs (Shopify DPA)Shopify DPA / Partner Program Agreement

Hinweis: Der Auftragsverarbeiter bemüht sich, die Datenverarbeitung so weit wie möglich in der EU/im EWR zu halten. Mit jedem Unterauftragsverarbeiter wurde ein Data Processing Agreement (DPA) abgeschlossen. Bei Unterauftragsverarbeitern mit Sitz in Drittländern wird durch vertragliche Maßnahmen (insbesondere SCCs) und/oder Zertifizierung unter dem EU-US Data Privacy Framework ein angemessenes Schutzniveau sichergestellt.

Nicht als Unterauftragsverarbeiter im Sinne dieses AVV gelten: Dienste, die ausschließlich Daten des Händlers im eigenen Verantwortungsbereich des Auftragsverarbeiters verarbeiten und keine Endkundendaten des Verantwortlichen betreffen – insbesondere das Marketing-/Newsletter-Tool MailerLite (UAB „MailerLite”, Litauen) für Händlerkontakte (nur mit gesonderter Einwilligung des Händlers). Diese werden in der Datenschutzerklärung des Auftragsverarbeiters offengelegt.


Anlage 3 – Vertragsschluss und Kontaktdaten

Vertragsschluss

Dieser AVV tritt in Kraft, wenn der Verantwortliche seine Zustimmung aktiv erklärt. Die Zustimmung erfolgt durch eine gemeinsame Bestätigung im Onboarding der App („Ich stimme den Nutzungsbedingungen und dem Auftragsverarbeitungsvertrag zu”). Dieser AVV ist Bestandteil der Nutzungsbedingungen (Terms of Service) und wird durch deren Annahme mitgeschlossen. Der Zeitpunkt der Zustimmung sowie die akzeptierte Version werden elektronisch dokumentiert. Die Zustimmung ist gemäß Art. 28 Abs. 9 DSGVO auch ohne handschriftliche Unterschrift rechtsgültig.

Der vollständige AVV ist jederzeit unter https://anviara.com/apps/order-editing/avv einsehbar und als PDF herunterladbar.

Kontaktdaten für datenschutzrelevante Anfragen

AuftragsverarbeiterAnviara LLC (Wyoming LLC, USA)
Anschrift30 N Gould St, Ste N, Sheridan, WY 82801, USA
E-Mail (Datenschutz)[email protected]
Websitehttps://anviara.com
DatenschutzbeauftragterNicht bestellt (keine Pflicht gemäß Art. 37 DSGVO)