Auftragsverarbeitungsvertrag (AVV)

zwischen

dem Nutzer der Shopify-App „zrapp" (nachfolgend „Verantwortlicher" oder „Auftraggeber")

und

(nachfolgend „Auftragsverarbeiter" oder „Auftragnehmer")

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Shopify-App „zrapp". Die App ermöglicht die automatisierte und manuelle Übertragung von Shopify-Bestelldaten in Buchhaltungssoftware (sevdesk, Lexware Office) zur Rechnungserstellung, Kontaktverwaltung und Buchhaltungsintegration.

(2) Dauer

Dieser Vertrag gilt für die Dauer der Nutzung der App „zrapp" durch den Verantwortlichen. Er beginnt mit der Installation der App im Shopify-Store des Verantwortlichen und endet mit der vollständigen Deinstallation der App und Löschung aller verarbeiteten Daten gemäß § 8 Abs. 5 dieses Vertrages.

§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

• Rechnungserstellung: Übertragung von Bestelldaten (inkl. Kundendaten) an das vom Verantwortlichen gewählte Buchhaltungssystem zur automatisierten oder manuellen Rechnungserstellung
• Kontaktverwaltung: Anlage und Aktualisierung von Kundenkontakten im Buchhaltungssystem auf Basis der Shopify-Bestelldaten
• Gutschrift- und Stornoverarbeitung: Erstellung von Gutschriften und Stornorechnungen bei Stornierungen und Rückerstattungen
• Buchungsverwaltung: Verbuchung von Zahlungseingängen zu den erstellten Rechnungen
• E-Rechnungserstellung: Erstellung von Rechnungen im ZUGFeRD-Format zur Erfüllung der E-Rechnungspflicht
• Metafield-Synchronisation: Rückschreibung von Rechnungsnummern und -status in die Shopify-Bestellung zur Nachverfolgbarkeit
• Produkt-Synchronisation: Abgleich von Shopify-Produktdaten mit Artikelstammdaten im Buchhaltungssystem
• Lieferscheinerstellung: Erstellung von Lieferscheinen bei Versand der Bestellung (Lexware Office)

§ 3 Art der personenbezogenen Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

(1) Kundendaten der Endkunden (Besteller im Shopify-Store)

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Rechnungsadresse (Straße, Hausnummer, PLZ, Ort, Land, ggf. Firma)
• Lieferadresse (sofern abweichend von der Rechnungsadresse)
• USt-IdNr. (bei B2B-Bestellungen)
• Firmenname (bei Geschäftskunden)

(2) Bestelldaten

• Bestellnummer und -datum
• Bestellte Produkte, Mengen und Preise
• Zahlungsstatus und Zahlungsmethode (Name des Payment Gateways, keine Zahlungsdaten wie Kreditkartennummern)
• Versand- und Fulfillment-Status
• Rabatte und Gutscheincodes
• Währung und Steuersätze

(3) Daten des Verantwortlichen (Shop-Inhaber/Administratoren)

• Name und E-Mail-Adresse des Shop-Administrators
• Shopify-Shop-Domain und Shop-Name
• API-Zugangsdaten für das verbundene Buchhaltungssystem

§ 4 Kategorien betroffener Personen

• Endkunden, die Bestellungen im Shopify-Store des Verantwortlichen tätigen
• Mitarbeiter und Administratoren des Verantwortlichen, die die App nutzen

§ 5 Ort der Verarbeitung

Die Datenverarbeitung erfolgt ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums:

• Anwendungsserver: Deutschland (V-Server in deutschem Rechenzentrum)
• Datenbank: PostgreSQL-Server in Deutschland
• Buchhaltungssysteme: sevdesk GmbH (Offenburg, Deutschland), Haufe-Lexware GmbH & Co. KG / Lexware Office (Freiburg, Deutschland)

§ 6 Unterauftragsverarbeiter

(1) Genehmigte Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

(2) Hinweis zur Auswahl des Buchhaltungssystems

Der Verantwortliche wählt selbst, welches Buchhaltungssystem (sevdesk oder Lexware Office) verbunden wird. Daten werden ausschließlich an das vom Verantwortlichen konfigurierte System übertragen.

(3) Änderungen bei Unterauftragsverarbeitern

Der Verantwortliche wird über Änderungen bei den Unterauftragsverarbeitern vorab per E-Mail informiert und kann innerhalb von 14 Tagen Einspruch erheben. Erhebt der Verantwortliche Einspruch und kann keine einvernehmliche Lösung gefunden werden, steht dem Verantwortlichen ein Sonderkündigungsrecht zu.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

(1) Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zugriffskontrolle über Shopify OAuth 2.0 Authentifizierung
• Shopify Webhook-Signaturvalidierung (HMAC-SHA256) für alle eingehenden Daten
• API-Token-basierte Authentifizierung gegenüber Buchhaltungssystemen
• Rollenbasierte Zugriffskontrolle (nur autorisierte Shop-Administratoren)
• Keine Speicherung von Zahlungsdaten (Kreditkartennummern, Bankdaten o. Ä.)
• SSH-basierter Serverzugang mit Schlüsselpaaren (kein Passwort-Login)
• Alle Personen mit Datenzugang zur Vertraulichkeit verpflichtet

(2) Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Idempotenzprüfung bei Webhook-Verarbeitung (Duplikat-Erkennung via PostgreSQL, 48h Aufbewahrung)
• Validierung aller eingehenden Daten vor Verarbeitung
• Rate-Limiting auf allen API-Endpunkten zum Schutz vor Überlastung
• Vollständiger Audit-Trail über Übertragungsprotokoll (Transfer-Log) mit Zeitstempel, Quelle und Status

(3) Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Automatische Datenbank-Backups
• Monitoring und Logging (ohne Protokollierung personenbezogener Daten im Klartext)
• Docker-basiertes Deployment mit automatischem Neustart bei Ausfällen
• Webhook-Retry-Mechanismus durch Shopify bei temporären Ausfällen

(4) Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Graceful Error Handling ohne Datenverlust
• Cache-basierte Ausfallsicherheit für wiederholte API-Anfragen
• Automatische Bereinigung temporärer Daten (Cache: 5 Min, Webhook-Dedup: 48h)

(5) Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

• HTTPS/TLS-Verschlüsselung für alle Datenübertragungen (Frontend, Backend, externe APIs)
• Keine Übertragung personenbezogener Daten über unverschlüsselte Kanäle

(6) Mandantentrennung

• Strikte Trennung der Daten verschiedener Shops auf Datenbankebene
• Shop-spezifische API-Token für Buchhaltungssysteme
• Keine mandantenübergreifende Datenverarbeitung oder -einsicht

§ 8 Pflichten des Auftragsverarbeiters

(1) Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der App und die darin vorgenommenen Konfigurationen (Steuereinstellungen, Automatisierungsregeln, Buchhaltungssystem-Auswahl, Webhook-Toggles) stellen die dokumentierten Weisungen des Verantwortlichen dar. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt.

(2) Vertraulichkeit

Alle Personen, die Zugang zu den personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

(3) Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:

• bei der Erfüllung von Betroffenenrechten (Art. 15–22 DSGVO) gemäß Art. 28 Abs. 3 lit. e DSGVO
• bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) gemäß Art. 28 Abs. 3 lit. f DSGVO
• bei der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Art. 33 DSGVO) und der Benachrichtigung betroffener Personen (Art. 34 DSGVO)

(4) Meldepflicht bei Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:

• eine Beschreibung der Art der Verletzung
• die Kategorien und die ungefähre Zahl der betroffenen Personen
• die wahrscheinlichen Folgen der Verletzung
• die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung

(5) Löschung und Rückgabe nach Vertragsende

Nach Beendigung der Auftragsverarbeitung (Deinstallation der App) werden alle personenbezogenen Daten innerhalb von 48 Stunden gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO). Die Löschung umfasst:

• Shopify-Session-Daten und OAuth-Token
• Shop-Konfigurationsdaten und API-Zugangsdaten für Buchhaltungssysteme
• Übertragungsprotokolle (Transfer-Logs)
• Webhook-Event-Daten
• Alle In-Memory-Caches

Die Löschung wird durch den Shopify-Webhook shop/redact automatisch ausgelöst und protokolliert.

§ 9 Rechte der betroffenen Personen

Der Auftragsverarbeiter implementiert folgende DSGVO-Compliance-Mechanismen, die von Shopify automatisch ausgelöst werden:

(1) Auskunftsrecht (Art. 15 DSGVO)

• Shopify-Webhook: customers/data_request
• Umsetzung: Zusammenstellung aller zu einem Kunden gespeicherten Daten (Bestellreferenzen, Übertragungsprotokolle). Da zrapp keine Endkundendaten lokal speichert, sondern ausschließlich als Durchleitungsservice fungiert, wird dokumentiert, welche Daten an das Buchhaltungssystem übertragen wurden.

(2) Recht auf Löschung (Art. 17 DSGVO)

• Shopify-Webhook: customers/redact
• Umsetzung: Löschung aller mit dem Kunden verknüpften Sessions und Cache-Einträge. Bereinigung der zrapp-Metafields in der Shopify-Bestellung.
• Einschränkung: Rechnungsdaten im Buchhaltungssystem bleiben aufgrund gesetzlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) erhalten. Alle DSGVO-Aktionen werden protokolliert (Zeitstempel, Typ, anonymisierte Kunden-ID, durchgeführte Aktionen, Ergebnis).

(3) Shop-Datenlöschung

• Shopify-Webhook: shop/redact
• Umsetzung: Vollständige Löschung aller Shop-Daten innerhalb von 48 Stunden nach Deinstallation (Sessions, Konfigurationen, Übertragungsprotokolle, Cache)

§ 10 Kontrollrechte des Verantwortlichen

(1) Informationsrecht

Der Verantwortliche hat das Recht, Auskünfte über die getroffenen technischen und organisatorischen Maßnahmen zu verlangen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Inspektionsrecht

Der Verantwortliche hat das Recht, Überprüfungen – einschließlich Inspektionen – durchzuführen oder durch einen beauftragten Prüfer durchführen zu lassen. Der Auftragsverarbeiter stellt die hierfür erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Umfang.

(3) Kontaktdaten des Auftragsverarbeiters

§ 11 Datentransfers in Drittländer

Es finden keine Datentransfers in Drittländer (außerhalb EU/EWR) statt. Sämtliche Datenverarbeitung erfolgt auf Servern in Deutschland und durch Dienstleister mit Sitz in der EU.

Shopify International Ltd. hat seinen Sitz in Irland (EU-Mitgliedstaat). Die Datenspeicherung und -verarbeitung durch Shopify erfolgt innerhalb der EU und unterliegt der DSGVO.

Sollte sich an der Datenverarbeitung in Drittländern etwas ändern, wird der Verantwortliche vorab informiert und es werden die erforderlichen Garantien gemäß Art. 44 ff. DSGVO sichergestellt (z. B. Standardvertragsklauseln).

§ 12 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht ordnungsgemäße Verarbeitung im Sinne der DSGVO entstehen. Der Auftragsverarbeiter ist von der Haftung befreit, soweit er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).

§ 13 Schlussbestimmungen

(1) Änderungen

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform oder der elektronischen Form (E-Mail). Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(2) Vorrang

Im Falle von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien hat dieser Auftragsverarbeitungsvertrag Vorrang in Bezug auf den Schutz personenbezogener Daten.

(3) Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Die unwirksame Bestimmung ist durch eine wirksame zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.

(4) Anwendbares Recht

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland.

(5) Gerichtsstand

Gerichtsstand ist Offenburg, Deutschland.

Anlage 1: Übersicht der Datenverarbeitungstätigkeiten

Anlage 2: Technische und organisatorische Maßnahmen (Details)

Zutrittskontrolle

• Server-Infrastruktur in deutschem Rechenzentrum (Hetzner Online GmbH) mit physischer Zutrittskontrolle, Videoüberwachung und Zutrittskontrollsystem
• SSH-basierter Serverzugang ausschließlich mit Schlüsselpaaren (kein Passwort-Login)

Zugangskontrolle

• Shopify OAuth 2.0 für App-Authentifizierung
• HMAC-SHA256 Webhook-Signaturvalidierung mit Timing-Safe-Vergleich
• JWT-basierte Authentifizierung für Managed Webhooks
• API-Token-basierte Authentifizierung gegenüber Buchhaltungssystemen
• Rate-Limiting auf allen API-Endpunkten (Standard- und Bulk-Operationen getrennt)

Zugriffskontrolle

• Mandantenfähige Datentrennung (jeder Shop sieht ausschließlich eigene Daten)
• Keine gemeinsame Datenhaltung zwischen verschiedenen Shops
• Minimales Berechtigungskonzept (nur die für die Integration notwendigen Shopify-Scopes: read_orders, write_orders, read_products, write_products, read_customers, write_customers)

Weitergabekontrolle

• TLS-Verschlüsselung für alle externen Verbindungen
• Keine Datenweitergabe an nicht autorisierte Dritte
• API-Kommunikation ausschließlich über HTTPS
• Kein Zugriff auf Zahlungsdaten (PCI-Compliance durch Shopify)

Eingabekontrolle

• Vollständiges Übertragungsprotokoll (Transfer-Log) mit Zeitstempel, Quelle (manuell/Webhook), Operationstyp und Status
• Audit-Trail für alle Rechnungs-, Stornierungs- und Gutschriftoperationen
• DSGVO-Aktionsprotokollierung (Zeitstempel, Typ, anonymisierte Kunden-ID, Ergebnis)

Verfügbarkeitskontrolle

• Docker-basiertes Deployment mit automatischem Neustart bei Ausfällen
• Regelmäßige automatische Datenbank-Backups
• Webhook-Retry-Mechanismus durch Shopify bei temporären Ausfällen (bis zu 48h)
• Automatische Bereinigung temporärer Daten (Cache: 5 Min, Webhook-Dedup: 48h, Idle-Caches: 2h)

Trennungskontrolle

• Strikte Trennung der Daten verschiedener Shops auf Datenbankebene (Shop-Domain als Primärschlüssel)
• Shop-spezifische API-Token für Buchhaltungssysteme
• Keine mandantenübergreifende Datenverarbeitung oder -abfrage

Version: 1.0 · Stand: 2. Mai 2026 · Nächste Überprüfung: Mai 2027