Zum Inhalt springen
Zackreturns
← Zurück zur Startseite

Datenschutz der ZackReturns-App

Stand: 23. Juni 2026 · Version 1.0

Diese Datenschutzerklärung erläutert, wie CrossBox Digital LTD („CrossBox Digital“, „ZackReturns“, „wir“, „uns“) personenbezogene Daten im Zusammenhang mit der ZackReturns-Anwendung (die „App“) erhebt, nutzt, weitergibt und schützt – einer App für Retouren, Umtausch und den gesetzlichen Widerruf für Shopify-Shops. Maßstab ist in erster Linie die DSGVO; berücksichtigt sind außerdem die UK-GDPR, die Vorgaben des Shopify App Store und des Protected-Customer-Data-Programms sowie – für Endkundschaft in den USA – der California Consumer Privacy Act (CCPA/CPRA).

Diese Erklärung ist getrennt von unserer Website-Datenschutzerklärung (die die Besucher von zackreturns.com betrifft – Cookies, Analyse, Kontakt) und vom Impressum.

1. Verantwortliche Stelle

CrossBox Digital LTDPrivate Company Limited by Shares nach zyprischem Recht
Griva Digeni & K. Chatzopoulou 28
1066 Nicosia
Cyprus
Registereintrag: HE 456544 (Registrar of Companies (DRCIP), Nikosia, Zypern)
USt-IdNr.: CY60054427U
Vertreten durch: Stawros Koutis
Kontakt (auch für Datenschutzanfragen): support@zackreturns.com · +357 22 516617

Zuständige Aufsichtsbehörde ist das Office of the Commissioner for Personal Data Protection, Zypern. Eine gesetzlich vorgeschriebene Datenschutzbeauftragte haben wir nicht bestellt (für Größe und Art unserer Verarbeitung nicht verpflichtend); alle Datenschutzanfragen erreichen die verantwortlichen Personen über den obigen Kontakt.

2. Unsere zwei Rollen: Auftragsverarbeiter und Verantwortlicher

ZackReturns arbeitet in einem B2B2C-Modell, weshalb unsere datenschutzrechtliche Rolle je nach Datenart unterschiedlich ist. Davon hängt ab, welche Rechte du hast und wer deine Anfrage beantwortet.

  • Daten der Endkundschaft – wir sind Auftragsverarbeiter. Installiert ein Händler die App, verarbeiten wir die personenbezogenen Daten seiner Endkundschaft ausschließlich im Auftrag und nach Weisung des Händlers. Für diese Daten ist der Händler der Verantwortliche und wir sind Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO. Endkundschaft nimmt ihre Rechte über den jeweiligen Händler wahr (sowie über die integrierten Datenschutz­mechanismen von Shopify).
  • Händler-, Konfigurations- und Abrechnungsdaten – wir sind Verantwortliche. Für Daten über das Händler-Unternehmen und die Mitarbeitenden, die die App nutzen (Authentifizierung, Einstellungen, Support, Abrechnung/Nutzung), sind wir Verantwortliche.
  • Ein begrenzter Bereich an Kommunikation und Sicherheit – wir sind eigenständig Verantwortliche. Für einige Tätigkeiten handeln wir in eigener Verantwortung: den Versand der gesetzlichen Eingangsbestätigung zum Widerruf und der Händler-Benachrichtigungen über neue Retouren/Widerrufe über unsere eigene Infrastruktur; Maßnahmen zur Betrugs-, Missbrauchs- und Angriffsabwehr (Rate-Limiting); sowie die nach Shopify und Art. 30 DSGVO erforderlichen Audit- und Compliance-Protokolle.

3. Welche Daten wir verarbeiten

Wir setzen konsequent auf Datenminimierung. Als Grundprinzip speichert die App die meisten personenbezogenen Endkundendaten gar nicht zwischen – wo möglich, hinterlegen wir nur eine Shopify-Kunden-ID als Referenz und rufen Namen, E-Mail und Adressen erst im Moment der Label- oder E-Mail-Erstellung bei der Shopify-Admin-API ab. Es folgt die vollständige Liste der Datenkategorien, die die App berührt.

3.1 Händler-Konto- & Authentifizierungsdaten (wir = Verantwortliche)

  • Shopify-Shop-Domain und Shop-ID – zur Identifikation der Installation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Wird bei Deinstallation gelöscht.
  • Shopify-Offline-Access- & Refresh-Tokens, Token-Ablauf, Mitarbeitenden-ID – zur Authentifizierung der eingebetteten App und für Admin-API-Aufrufe. In unserer Datenbank gespeichert; abgelaufene Sitzungen werden nach 30 Tagen gelöscht. Name und E-Mail der Händler-Mitarbeitenden werden bewusst aus den Sitzungsdaten entfernt und nicht gespeichert.
  • Abonnement, Tarif, Abrechnungswährung, Nutzungs-/Overage-Datensätze – zur Verwaltung des App-Abonnements und der nutzungsabhängigen Abrechnung (über die Shopify-Billing-API). Aufbewahrung ca. 6 Jahre (Steuer-/Handelsrecht).

3.2 Händler-Konfiguration & hinterlegte Zugangsdaten

  • Retouren-Richtlinien & Portaleinstellungen (Fristen, Gründe, Gebühren, Branding, Logo, Sprachen, Hinweise, Widerruf-Konfiguration) – zur Einrichtung des Retourenportals und des Widerruf-Ablaufs.
  • Retouren-/Lageradresse des Händlers – die Empfängeradresse auf Retourenlabels (vorgesehen ausschließlich als Geschäftsadresse).
  • Zugangsdaten für Helpdesk, ERP und Marketing (Gorgias, Zendesk, Xentral, JTL, Weclapp, Plentymarkets, Billbee sowie Klaviyo-OAuth-Tokens) – zur Authentifizierung der vom Händler gewählten Integrationen. Gespeichert verschlüsselt (AES-256-GCM); Zugriffe auf Zugangsdaten werden protokolliert.
  • Zugangsdaten für Carrier und E-Mail-Versand (DHL, DPD, GLS, UPS, FedEx, Sendcloud sowie ein eigener Brevo-API-Key des Händlers) – zur Authentifizierung der Carrier-/E-Mail-Konten des Händlers. Zugriffsgeschützt gespeichert und nur an den jeweiligen Anbieter weitergegeben.

3.3 Identitäts- & Kontaktdaten der Endkundschaft (wir = Auftragsverarbeiter)

  • Bestellnummer / Shopify-Bestell-ID – um die Bestellung zu finden und die Retoure bzw. den Widerruf zuzuordnen.
  • E-Mail der Endkundin/des Endkunden – zur Prüfung der Bestellzuordnung und für Bestätigungs-, Status- und gesetzliche Widerruf-E-Mails. Für Retouren und Widerruf nicht dauerhaft gespeichert (bei Bedarf aus Shopify abgerufen); im Zustell-Protokoll nur vorübergehend, wobei Empfängerdaten nach 90 Tagen entfernt werden.
  • Name der Endkundschaft – zur Personalisierung von Formularen/E-Mails und als Absenderfeld auf Retourenlabels. Beim Widerruf wird er nicht gespeichert (nur zum Versandzeitpunkt abgerufen).
  • Lieferadresse der Endkundschaft (Straße, Ort, PLZ, Land, Telefon) – zur Erstellung des Retourenlabels. Nicht in unserer Datenbank gespeichert (pro Label aus Shopify abgerufen); eine Änderung im Mai 2026 hat gespeicherte Adressen vollständig entfernt.
  • Rechnungsadresse der Endkundschaft – zur Anzeige des Retouren-Kontexts. Nicht gespeichert (bei Bedarf abgerufen).
  • Telefonnummer der Endkundschaft – Carrier-Kontaktfeld auf dem Label. Nicht gespeichert (vorübergehend).
  • Shopify-Kunden-ID – der Minimierungs-Schlüssel, der eine Retoure/einen Widerruf mit der Kundin/dem Kunden verknüpft, anstatt deren personenbezogene Daten zu speichern.

3.4 Bestell-, Finanz- & Retourendaten (wir = Auftragsverarbeiter)

  • Bestellpositionen (Titel, Variante, SKU, Menge, Preis) und Produkt-/Varianten-IDs – um zurückgesendete Artikel zuzuordnen, Erstattungen zu berechnen und Umtausch anzulegen.
  • Finanz-/Fulfillment-Status, Zahlungstransaktionen, Erstattungsvorschläge – zur Prüfung der Erstattungsfähigkeit und zur Vermeidung von Überzahlungen. Nicht gespeichert (vorübergehend).
  • Erstattungsbeträge, Erstattungs-/Transaktions-IDs, Gesamterstattung – zur Abwicklung der Erstattung auf das ursprüngliche Zahlungsmittel (der Erstattungsdatensatz selbst liegt bei Shopify).
  • Store-Credit-Beträge (inkl. optionalem Bonus) und Store-Credit-Transaktionen – zur Ausgabe von nativem Shopify-Store-Credit.
  • Retourengrund (Kategorie + Freitext), Artikelzustand und Anmerkungen der Endkundschaft – für Eignungsprüfungen, Händlerprüfung und Auswertungen. Freitext-Notizen werden ca. 180 Tage nach Abschluss der Retoure anonymisiert.
  • Wertminderungsabzug & Grund, Retouren-Versandgebühr, Händler-Notizen – zur Berechnung der Netto-Erstattung und zur Dokumentation der Entscheidung.
  • Umtausch-/Ersatzauswahl (Variante, Titel, Positionen, Upsell-Rabatt) – zum Anlegen des Umtausch-Entwurfs.
  • Wahl der Erstattungsart / Retourenart (Erstattung, Store Credit oder Umtausch) – zur Bestimmung des Erstattungsziels.

3.5 Retouren-Lebenszyklus & Versanddaten (wir = Auftragsverarbeiter)

  • Retouren-/RMA-ID, Status, Art, Währung, Statusverlauf und Zeitstempel – die zentrale Retouren-Logik, die Dashboard, E-Mails und Integrations-Synchronisation steuert.
  • Sendungsnummer, Carrier-Name, Label-PDF/-URL, QR-Code-URL – damit die Endkundschaft die Rücksendung verfolgen kann und als Nachweis der Rücksendung.
  • Paketgewicht, Warenwert (Zoll, Nicht-EWR), Sendungsreferenz – zur Berechnung der Versandkosten, Service-Auswahl und Zollanmeldung. Nicht gespeichert (an den Carrier übermittelt).

3.6 Widerrufsdaten (gesetzlicher Widerruf)

Der Widerruf-Ablauf erzeugt gesetzliche Datensätze nach § 356a BGB und unterliegt der handelsrechtlichen Aufbewahrungspflicht nach § 257 HGB.

  • Widerrufserklärung, widerrufene Artikel, Teilauswahl, Sprache – gesetzliche Dokumentation des Widerrufs. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO. Aufbewahrung 8 Jahre (§ 257 HGB).
  • Eindeutige Widerruf-Referenznummer und unveränderlicher Eingangszeitpunkt – die Nachweis-Kennung und der „als zugegangen geltende“ Zeitpunkt nach § 356a BGB.
  • Name & E-Mail der Endkundschaft – nur im Moment des Versands der Eingangsbestätigung aus Shopify abgerufen, nie im Widerruf-Datensatz gespeichert.

Bei einem berechtigten Löschverlangen (Art. 17) wird der Widerruf-Datensatz nicht gelöscht – stattdessen werden seine personenbezogenen Kennungen entfernt und ein Redaktionszeitstempel gesetzt, gestützt auf die Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO (rechtliche Verpflichtung). Bei Deinstallation des Shops wird der Datensatz hart gelöscht; die verbleibende Aufbewahrungspflicht geht auf den Händler über.

3.7 Technische, Sicherheits- & Audit-Daten

  • IP-Adresse des Widerruf-Absenders – SHA-256-gehasht und gesalzen, nie im Klartext gespeichert – für Rate-Limiting und Betrugs-/Missbrauchsabwehr. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • User-Agent – auf 500 Zeichen gekürzt – zur Missbrauchserkennung und Diagnose.
  • Zustell-Metadaten der E-Mails (Anbieter-Message-ID, Zustellstatus, Versuche, Fehler) – zur Nachverfolgung von Zustellung und Wiederholungen; Empfängerdaten werden nach 90 Tagen entfernt, Datensätze nach 180 Tagen gelöscht.
  • Audit- & Compliance-Protokolle (Zugriffe von Mitarbeitenden auf Retouren, Zugangsdaten-Zugriffe, Bearbeitung von DSGVO-Anfragen) – unser Sicherheits-/DSGVO-Audit-Trail und die Aufzeichnungen nach Art. 30 DSGVO.
  • Ausgehende Integrations-Ereignis-Payloads – zur Übermittlung von Retouren-Ereignissen an ERP-/Helpdesk-Tools; vor der Speicherung um personenbezogene Daten bereinigt.
  • Kurzfristige Server-Protokolldateien – zum Betrieb und zur Absicherung des Dienstes.

3.8 Einwilligungs-Datensätze

  • Einwilligung der Endkundschaft für optionale Zwecke (z. B. Marketing), mit Erteilungs-/Widerrufszeitpunkt. Die eigentliche Retourenabwicklung stützt sich auf die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), nicht auf Einwilligung – Einwilligung wird nur für echte Zusatzzwecke genutzt.

4. Rechtsgrundlagen (Art. 6 DSGVO)

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Bereitstellung des Retouren-/Umtauschdienstes, Erstellung von Labels, Erstattungen und Store Credit sowie Betrieb der App für Händler.
  • Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung: die gesetzlichen Widerruf-Datensätze (§ 356a BGB), handels- und steuerrechtliche Aufbewahrung (§ 257 HGB) sowie die Bearbeitung von Betroffenenanfragen.
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen: Absicherung des Dienstes (Betrugsabwehr, gehashtes IP-Rate-Limiting), zuverlässige Benachrichtigungszustellung, Audit-Protokollierung und Wartung der App.
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: optionale marketingbezogene Verarbeitung, jederzeit widerrufbar.

Für Endkundendaten, die wir als Auftragsverarbeiter verarbeiten, wird die Rechtsgrundlage vom Händler (Verantwortlicher) bestimmt und verantwortet.

5. Retouren-Fotos

Verlangt ein Händler Zustandsfotos, lädt die Endkundschaft Bilder über das Retourenportal hoch. Diese Bilder werden in den Shopify Files des Händlers (cdn.shopify.com) gespeichert, nicht als Dateien in unserer Datenbank – wir hinterlegen nur die Shopify-Datei-Referenzen. Fotos werden durch einen täglichen Lauf nach dem vom Händler eingestellten Aufbewahrungszeitraum (7–365 Tage, Standard 90) für abgeschlossene Retouren automatisch gelöscht. Bei einem berechtigten Löschverlangen werden die Fotos aus den Shopify Files gelöscht und die Referenzen entfernt.

6. Empfänger und Unterauftragsverarbeiter

Wir geben personenbezogene Daten nur an die folgenden Stellen weiter. Mit „nur bei Verbindung durch dich“ gekennzeichnete Stellen kommen ausschließlich zum Einsatz, wenn ein Händler den jeweiligen Carrier oder die Integration aktiviert. Kein Unterauftragsverarbeiter darf die Daten für eigene Zwecke nutzen.

Immer eingebunden (Kern-Infrastruktur)

  • Shopify (Kanada/USA) – Commerce-Plattform und Quelle der Bestell-/Kundendaten; speichert Retouren-Fotos; OAuth; liefert die gesetzlich vorgeschriebenen Datenschutz-Webhooks; betreibt das Kundenportal.
  • Railway (Cloud-Hosting) – hostet das App-Backend sowie die PostgreSQL-Datenbank und die Redis-Queue.
  • Brevo (Sendinblue) (EU, Frankreich) – Standard-Versand für Transaktions-E-Mails: Retouren- und Widerruf-E-Mails, Händler-Benachrichtigungen, DSGVO-Export-Anhänge und Eskalationen.

Nur bei Verbindung durch dich (Opt-in)

  • Brevo – eigenes Händler-Konto (EU) – um Kunden-E-Mails aus der eigenen Domain des Händlers zu versenden.
  • Klaviyo (USA) – Marketing-Automatisierung; erhält Retouren-Lebenszyklus-Ereignisse und kann bei Verbindung die Eingangsbestätigung des Widerrufs übernehmen.
  • Gorgias, Zendesk (USA) – Helpdesk-Ticketing; erhalten Kontakt- und Retourendaten zum Erstellen/Aktualisieren von Tickets.
  • Xentral, JTL, Weclapp, Plentymarkets, Billbee (EU/verschieden) – ERP-/Buchhaltungs-Sync. Diese erhalten Retouren-/Bestell-IDs, Status, Artikel, Grund und Erstattungsbetrag und erhalten weder Name noch E-Mail der Endkundschaft.
  • DHL, DPD, GLS, UPS, FedEx, Sendcloud (EU; UPS/FedEx USA) – zur Erstellung von Retourenlabels; erhalten Name, Adresse, Telefon/E-Mail der Endkundschaft sowie Paketdaten.

7. Internationale Datenübermittlung

Wir haben unseren Sitz in der EU (Zypern) und verarbeiten Daten, wo möglich, vorrangig innerhalb des EWR. Einige Unterauftragsverarbeiter (insbesondere Shopify, Railway, Klaviyo, Gorgias, Zendesk, UPS und FedEx) befinden sich in den USA oder Kanada bzw. verarbeiten dort Daten. Werden personenbezogene Daten außerhalb des EWR/UK übermittelt, stützen wir uns auf geeignete Garantien nach Art. 46 DSGVO, insbesondere die Standardvertragsklauseln der EU-Kommission, das UK International Data Transfer Addendum und – soweit einschlägig – einen Angemessenheitsbeschluss oder das EU-US Data Privacy Framework. Eine Kopie der jeweiligen Garantien ist auf Anfrage unter support@zackreturns.com erhältlich.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange wie nötig und löschen oder anonymisieren sie anschließend. Wichtige Fristen (automatisiert, wo angegeben):

  • Abgelaufene Shopify-Sitzungen/Tokens – Löschung nach 30 Tagen.
  • Retouren-Fotos (Shopify Files) – Händler-Einstellung 7–365 Tage (Standard 90), für abgeschlossene Retouren.
  • Empfängerdaten von Benachrichtigungen – Entfernung nach 90 Tagen; Datensätze gelöscht nach 180 Tagen.
  • Freitext-Notizen der Endkundschaft zu Retouren – Anonymisierung ca. 180 Tage nach Abschluss der Retoure.
  • Audit-Protokolle zu Retouren-Zugriffen – Löschung nach 365 Tagen.
  • Vollständige Retouren-Datensätze – Aufbewahrung für die Dauer der Dienstbeziehung und bis zu ca. 24 Monate nach Abschluss, danach Löschung/Anonymisierung.
  • Widerruf-Datensätze – 8 Jahre (§ 257 HGB); personenbezogene Kennungen werden bei Löschung früher entfernt.
  • Abrechnungs-/Nutzungs-/Abonnementdaten – ca. 6 Jahre (zypr. Steuer- und Handelsrecht).
  • Einwilligungs-Datensätze – bis zu 5 Jahre.
  • Alle Händler- & Endkundendaten bei Deinstallation – hart gelöscht im Anschluss an Shopifys shop/redact (ca. 48 Stunden nach Deinstallation) und in jedem Fall innerhalb von ca. 30 Tagen.

9. Deine Rechte

Als Endkundin/Endkunde: Nach DSGVO/UK-GDPR hast du das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit sowie auf Widerruf einer Einwilligung, soweit die Verarbeitung darauf beruht. Da wir deine Daten im Auftrag des Händlers verarbeiten, bei dem du gekauft hast, richte deine Anfrage bitte an diesen Händler (den Verantwortlichen); du kannst auch die integrierten Mechanismen von Shopify nutzen. Die App setzt alle drei verpflichtenden Shopify-Datenschutz-Abläufe um:

  • customers/data_request – wir stellen die Retouren- und Widerruf-Daten der betroffenen Person für eine Auskunfts-/Übertragbarkeitsanfrage zusammen.
  • customers/redact – wir löschen oder anonymisieren die Retourendaten der Person und löschen ihre hochgeladenen Fotos; gesetzliche Widerruf-Datensätze werden redigiert, aber nach § 257 HGB aufbewahrt.
  • shop/redact – wir löschen alle Daten eines Shops hart, ca. 48 Stunden nach Deinstallation der App.

Als Händler: Für Daten, bei denen wir Verantwortliche sind (Konto, Konfiguration, Abrechnung), kontaktiere uns unter support@zackreturns.com, um dieselben Rechte auszuüben.

Beschwerderecht: Du kannst dich bei deiner örtlichen Datenschutz-Aufsichtsbehörde oder bei unserer zuständigen Behörde, dem Office of the Commissioner for Personal Data Protection, Zypern (www.dataprotection.gov.cy), beschweren.

10. Cookies und Tracking

  • Das Retourenportal im Storefront setzt keine dauerhaften Cookies und keine Marketing-/Werbe-Pixel. Es nutzt nur den Browser-sessionStorage (zum Wiederherstellen eines begonnenen Formulars, beim Schließen des Browsers gelöscht) und URL-Fragmente (zur Schrittnavigation).
  • Die eingebettete Admin-App authentifiziert sich über Shopify-App-Bridge-Session-Tokens, nicht über Tracking-Cookies.
  • In der App nutzen wir keine Analyse-, Werbe- oder Session-Replay-Tools von Dritten (kein Google Analytics, Meta Pixel, Sentry, PostHog, Segment, Mixpanel, Datadog o. ä.).

(Cookies auf unserer Marketing-Website beschreiben wir gesondert in der Website-Datenschutzerklärung.)

11. Datensicherheit

Wir treffen dem Risiko angemessene technische und organisatorische Maßnahmen, u. a.: Verschlüsselung bei der Übertragung (TLS/HTTPS) für alle Daten, die mit Shopify, Carriern, Integrationen und E-Mail-Anbietern ausgetauscht werden; Verschlüsselung sensibler Zugangsdaten von Integrationen und Marketing-Tools im Ruhezustand mit AES-256-GCM, wobei Schlüssel nur in Umgebungs-Secrets liegen und Zugangsdaten-Zugriffe protokolliert werden; Datenminimierung „by design“ (Endkunden-Daten werden bei Bedarf abgerufen statt zwischengespeichert); Zugriffskontrollen und Protokollierung von Mitarbeitenden-Zugriffen und der Bearbeitung von DSGVO-Anfragen; Bereinigung ausgehender Integrations-Payloads von personenbezogenen Daten; sowie Trennung von Plattform-Secrets und Anwendungsdaten.

Wir nehmen am Protected-Customer-Data-Programm von Shopify teil und verpflichten uns für geschützte Kundendaten dazu, nur die für die Funktion der App erforderlichen Mindestdaten zu verarbeiten, Händler transparent darüber zu informieren, was wir warum verarbeiten, anwendbare Einwilligungs- und Opt-out-Entscheidungen zu beachten, Aufbewahrungsfristen einzuhalten, Daten bei Übertragung und im Ruhezustand zu verschlüsseln, Mitarbeitenden-Zugriffe zu begrenzen und zu protokollieren, Test- und Produktivdaten zu trennen und einen Incident-Response-Prozess vorzuhalten. Kein Übertragungs- oder Speicherverfahren ist absolut sicher; wir arbeiten jedoch fortlaufend am Schutz personenbezogener Daten und daran, die Verschlüsselung im Ruhezustand auf alle gespeicherten Secrets auszuweiten.

12. Automatisierte Verarbeitung

Die App kann Retouren unterhalb eines vom Händler festgelegten Wert-Schwellenwerts automatisch genehmigen, um die Bearbeitung zu beschleunigen. Dies ist eine vom Händler konfigurierte Komfortregel; sie entfaltet gegenüber der Endkundschaft keine rechtliche oder ähnlich erhebliche Wirkung im Sinne von Art. 22 DSGVO, und ein Händler kann sie prüfen, übersteuern oder deaktivieren. Ein Profiling mit Rechtswirkung führen wir nicht durch.

13. Daten von Kindern

Die App ist ein Geschäftswerkzeug für Shopify-Händler und richtet sich nicht an Kinder. Wir erheben nicht wissentlich personenbezogene Daten von Kindern unter 16 Jahren; Endkundendaten, die wir verarbeiten, stammen aus dem Shop des Händlers im Rahmen eines gewöhnlichen Kaufs.

14. Kalifornien & weitere US-Bundesstaaten (CCPA/CPRA)

Bist du in Kalifornien ansässig und werden deine Daten über die App verarbeitet, handeln wir als „service provider“ für den Händler. Wir verarbeiten ggf. Identifikatoren (Name, E-Mail, Bestell-/Kunden-ID), kommerzielle Informationen (Bestell- und Retourendaten) und begrenzte technische Informationen (gekürzter User-Agent, gehashte IP) und verarbeiten Adressdaten vorübergehend für Labels. Wir verkaufen oder „teilen“ keine personenbezogenen Daten für kontextübergreifende verhaltensbezogene Werbung und haben dies in den vergangenen 12 Monaten nicht getan; Opt-out-Signale beachten wir, soweit anwendbar. Dir stehen die Rechte auf Kenntnis/Auskunft, Löschung, Berichtigung, Opt-out vom Verkauf/Teilen und Beschränkung der Nutzung sensibler Daten ohne Benachteiligung zu – richte Anfragen an den Händler, bei dem du gekauft hast, oder kontaktiere uns unter support@zackreturns.com; wir unterstützen dann den Händler.

15. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung an Änderungen der App, der Rechtslage oder unserer Unterauftragsverarbeiter anpassen. Wir aktualisieren das Datum „Stand“ und benachrichtigen Händler bei wesentlichen Änderungen über die App oder per E-Mail.

16. Kontakt

CrossBox Digital LTD
Griva Digeni & K. Chatzopoulou 28, 1066 Nicosia, Cyprus
E-Mail: support@zackreturns.com · Telefon: +357 22 516617
Aufsichtsbehörde: Office of the Commissioner for Personal Data Protection, Zypern – www.dataprotection.gov.cy