Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO (Data Processing Agreement) · für die Nutzung von Flow Trigger Extensions

Parteien

Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen

dem Verantwortlichen (dem nachstehend genannten Kunden)
Die Angaben des Verantwortlichen werden aus dem Identifikationsformular übernommen und in Ihre personalisierte Fassung eingesetzt.

und

dem Auftragsverarbeiter:
Code Creation Labs GmbH
Friedensstr. 1, 47647 Kerken, Germany
vertreten durch Yann Faulhaber
Handelsregister: Amtsgericht Kleve, HRB 20472 · USt-IdNr.: DE451671933
support@codecreationlabs.com

1. Gegenstand und Weisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen ausschließlich zur Erbringung des Dienstes Flow Trigger Extensions: Bereitstellung zusätzlicher Shopify-Flow-Trigger-Typen, einschließlich der Erkennung von Änderungen an Kunden- und Bestelldaten (zum Beispiel 'Customer Email Changed' oder 'Address Changed').

Der Auftragsverarbeiter verarbeitet die Daten nur auf dokumentierte Weisung des Verantwortlichen - auch in Bezug auf die Übermittlung in ein Drittland -, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet ist. Dieser AVV bildet zusammen mit der Nutzung und Konfiguration der App durch den Verantwortlichen diese dokumentierte Weisung.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt.

2. Laufzeit

Dieser AVV gilt, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, d. h. für die Dauer der Nutzung der App durch den Verantwortlichen, und endet mit der Löschung oder Rückgabe der Daten gemäß Ziffer 9.

3. Art und Zweck der Verarbeitung; Daten und Betroffene

Art und Zweck der Verarbeitung: Bereitstellung zusätzlicher Shopify-Flow-Trigger-Typen, einschließlich der Erkennung von Änderungen an Kunden- und Bestelldaten (zum Beispiel 'Customer Email Changed' oder 'Address Changed').

Kategorien personenbezogener Daten: Personenbezogene Kundendaten, die zur Änderungserkennung aus dem Shopify-Shop gelesen werden - insbesondere Vor- und Nachname, Rechnungs- und Lieferadresse sowie E-Mail-Adresse - nebst zugehörigen Bestell-, Produkt- und Metafield-Daten.

Kategorien betroffener Personen: Die Kunden des Händlers; die Mitarbeiter des Händlers, die die App nutzen.

Weitere Einzelheiten ergeben sich aus Anlage 1.

4. Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass der Zugriff auf das für die Leistungserbringung erforderliche Maß beschränkt ist.

5. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung und des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 2 beschrieben.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine schriftliche Genehmigung, die in Anlage 3 genannten Unterauftragsverarbeiter zur Erbringung des Dienstes einzusetzen. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die den in diesem AVV festgelegten gleichwertig sind.

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen damit die Möglichkeit, gegen solche Änderungen vor deren Wirksamwerden Einspruch zu erheben.

7. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte nach Kapitel III DSGVO.

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.

8. Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, und stellt die Informationen bereit, die der Verantwortliche zur Erfüllung seiner Meldepflichten nach Art. 33 und 34 DSGVO billigerweise benötigt.

9. Löschung oder Rückgabe der Daten

Nach Wahl des Verantwortlichen löscht der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, und zwar innerhalb von 30 Tagen nach Vertragsende (zum Beispiel Deinstallation der App), sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Pflicht zur Speicherung besteht.

Der Auftragsverarbeiter beachtet zudem die verpflichtenden Datenlösch-Webhooks von Shopify (customers/redact und shop/redact) innerhalb der von Shopify vorgegebenen Fristen.

10. Nachweise und Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, nach angemessener Vorankündigung und unter Wahrung der Vertraulichkeit.

11. Drittlandtransfers

Die Verarbeitungsinfrastruktur des Auftragsverarbeiters (Google Cloud) befindet sich in der Europäischen Union; die für diesen Dienst eingesetzten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt. Sollten personenbezogene Daten in ein Drittland übermittelt werden, erfolgt dies unter geeigneten Garantien gemäß Kapitel V DSGVO, insbesondere den EU-Standardvertragsklauseln und, sofern einschlägig, dem EU-U.S. Data Privacy Framework.

12. Haftung und Schlussbestimmungen

Die Haftung richtet sich nach Art. 82 DSGVO und der Vereinbarung der Parteien über die Nutzung der App. Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen bedürfen der Textform.

Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.

13. Vertragsschluss

Dieser Auftragsverarbeitungsvertrag wird auf der Website des Auftragsverarbeiters (und ggf. im Kundenkonto des Verantwortlichen) bereitgestellt. Der Vertragsschluss erfolgt, indem der Verantwortliche vor Vertragsschluss den Inhalt zur Kenntnis nimmt und die Bestätigungs-Checkbox (zum Beispiel 'Ich akzeptiere den Auftragsverarbeitungsvertrag') aktiv anklickt.

Eine handschriftliche Unterschrift des Verantwortlichen ist daher nicht erforderlich; die Zustimmung des Verantwortlichen wird elektronisch mit dem Datum der Annahme dokumentiert, und die Unterschrift des Auftragsverarbeiters ist nachstehend angebracht.

Anlage 1 - Einzelheiten der Verarbeitung

Gegenstand und Zweck: Bereitstellung zusätzlicher Shopify-Flow-Trigger-Typen, einschließlich der Erkennung von Änderungen an Kunden- und Bestelldaten (zum Beispiel 'Customer Email Changed' oder 'Address Changed').

Art der personenbezogenen Daten: Personenbezogene Kundendaten, die zur Änderungserkennung aus dem Shopify-Shop gelesen werden - insbesondere Vor- und Nachname, Rechnungs- und Lieferadresse sowie E-Mail-Adresse - nebst zugehörigen Bestell-, Produkt- und Metafield-Daten.

Kategorien betroffener Personen: Die Kunden des Händlers; die Mitarbeiter des Händlers, die die App nutzen.

Dauer: für die Laufzeit der Nutzung der App durch den Verantwortlichen (siehe Ziffer 2).

Anlage 2 - Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Der Auftragsverarbeiter trifft die folgenden technischen und organisatorischen Maßnahmen:

• Vertraulichkeit - Zutrittskontrolle: Hosting in den zertifizierten EU-Rechenzentren von Google Cloud (ISO 27001 / SOC 2); der Auftragsverarbeiter betreibt keine eigenen Serverräume.
• Vertraulichkeit - Zugangskontrolle: authentifizierter Zugang zu allen Systemen, Multi-Faktor-Authentifizierung (MFA) für administrative Zugänge, Einsatz eines Passwort-Managers, administrative Konten nach dem Least-Privilege-Prinzip, keine geteilten Logins.
• Vertraulichkeit - Zugriffskontrolle: rollenbasierte Zugriffsbeschränkungen, Zugriffsprotokollierung und Verschlüsselung ruhender Daten.
• Vertraulichkeit - Trennungskontrolle: logische Trennung der Daten je Händler (Mandantentrennung) sowie getrennte Produktions- und Staging-Umgebungen.
• Integrität - Weitergabekontrolle: TLS/HTTPS für alle Daten während der Übertragung; gesamte Verarbeitung innerhalb der Europäischen Union.
• Integrität - Eingabekontrolle: Protokollierung relevanter Änderungen (wer, was, wann).
• Verfügbarkeit und Belastbarkeit: redundante EU-Cloud-Infrastruktur, Monitoring und Alerting, regelmäßige, vollständig verschlüsselte Backups sowie dokumentierte Wiederherstellungsverfahren.
• Verfahren zur regelmäßigen Überprüfung: Datenschutz-Management, ein Incident-Response- und Meldeprozess für Datenschutzverletzungen, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sowie Kontrolle der Unterauftragsverarbeiter nach Art. 28 Abs. 2 und 4 DSGVO.
• Personenbezogene Datenfelder (PII) werden auf Feldebene mit Google Cloud KMS verschlüsselt. Personenbezogene Kundendaten und Geheimnisse (z. B. Zugangsdaten und Token) werden mit getrennten Google-Cloud-KMS-Schlüsseln verschlüsselt.
• Zusätzlich zum verschlüsselten Wert wird von jedem überwachten PII-Feld ein Einweg-Hash gespeichert, um Werte zwischen Ereignissen zu vergleichen und Änderungen zu erkennen; verglichen werden nur Hashes.

Anlage 3 - Genehmigte Unterauftragsverarbeiter

Der Verantwortliche genehmigt die folgenden Unterauftragsverarbeiter:

• Google Cloud (Google Ireland Limited) - Compute, Storage und Cloud-KMS-Schlüsselverwaltung - EU region (eu-west-1) - AVV: https://cloud.google.com/terms/data-processing-addendum
• Amazon Web Services EMEA SARL (Amazon SES) - Versand der betrieblichen Benachrichtigungs-E-Mails der App - EU (Frankfurt), eu-central-1 - AVV: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf