Zum Inhalt springen
Zackreturns
← Zurück zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Stand: 23. Juni 2026 · Version 1.0

Dieser Auftragsverarbeitungsvertrag („AVV“) wird nach Art. 28 der EU-Datenschutz-Grundverordnung („DSGVO“) geschlossen zwischen:

  • dem Händler – der natürlichen oder juristischen Person, die den Shopify-Shop betreibt, in dem die ZackReturns-Anwendung (die „App“) installiert ist (der „Verantwortliche“); und
  • CrossBox Digital LTD, Private Company Limited by Shares nach zyprischem Recht, Griva Digeni & K. Chatzopoulou 28, 1066 Nicosia, Cyprus, Registernummer HE 456544 (der „Auftragsverarbeiter“, „CrossBox Digital“, „wir“).

Dieser AVV ist Bestandteil der Vereinbarung, unter der die App bereitgestellt wird (die „Vereinbarung“), und wird durch Verweis in diese einbezogen. Mit der Installation oder Nutzung der App akzeptierst du diesen AVV. Er regelt unsere Verarbeitung personenbezogener Daten der Endkundschaft und Mitarbeitenden des Händlers in dessen Auftrag und spiegelt in vertraglicher Form die Praxis unserer App-Datenschutzerklärung wider. Eine gegengezeichnete Fassung ist auf Anfrage unter support@zackreturns.com erhältlich.

1. Begriffsbestimmungen

„Personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Unterauftragsverarbeiter“, „betroffene Person“, „Verletzung des Schutzes personenbezogener Daten“ und „Aufsichtsbehörde“ haben die Bedeutung gemäß DSGVO. „Endkunde“ bzw. „Endkundschaft“ meint Endkundinnen und Endkunden des Händlers. „Datenschutzrecht“ meint die DSGVO, die UK-GDPR und sonstiges anwendbares Datenschutzrecht. Nicht hier definierte Begriffe haben die Bedeutung aus der Vereinbarung oder der App-Datenschutzerklärung.

2. Rollen und Umfang der Verarbeitung

Hinsichtlich der über die App verarbeiteten personenbezogenen Daten der Endkundschaft ist der Händler der Verantwortliche und CrossBox Digital der Auftragsverarbeiter. Für die eigenen Händler-Konto-, Abrechnungs- und Sicherheitsdaten ist CrossBox Digital Verantwortliche, wie in der App-Datenschutzerklärung beschrieben; diese Daten fallen nicht unter diesen AVV. Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anlage I beschrieben.

3. Pflichten des Auftragsverarbeiters

CrossBox Digital wird:

  • (a) Dokumentierte Weisungen. Personenbezogene Daten der Endkundschaft nur auf dokumentierte Weisung des Händlers verarbeiten – einschließlich der Vereinbarung, dieses AVV, der Konfiguration/Einstellungen der App und der Nutzung der App-Funktionen durch den Händler – sofern wir nicht durch Unions- oder mitgliedstaatliches Recht zu etwas anderem verpflichtet sind (in diesem Fall informieren wir den Händler, sofern das Recht dies nicht verbietet). Wir informieren den Händler, wenn eine Weisung nach unserer Auffassung gegen Datenschutzrecht verstößt.
  • (b) Vertraulichkeit. Sicherstellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
  • (c) Sicherheit. Die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen umsetzen, wie in Anlage II dargestellt.
  • (d) Unterauftragsverarbeiter. Unterauftragsverarbeiter nur gemäß Abschnitt 7 und Anlage III einsetzen.
  • (e) Betroffenenrechte. Den Händler unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen nach Möglichkeit bei der Beantwortung von Anträgen betroffener Personen unterstützen (Abschnitt 5).
  • (f) Unterstützung. Den Händler bei der Einhaltung seiner Pflichten nach Art. 32–36 DSGVO unterstützen (Sicherheit, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzung und vorherige Konsultation), unter Berücksichtigung der Art der Verarbeitung und der uns vorliegenden Informationen.
  • (g) Löschung oder Rückgabe. Nach Abschluss der Leistungserbringung personenbezogene Daten gemäß Abschnitt 8 löschen oder zurückgeben.
  • (h) Audits. Die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen bereitstellen und Audits gemäß Abschnitt 6 ermöglichen und dazu beitragen.

4. Verletzungen des Schutzes personenbezogener Daten

CrossBox Digital benachrichtigt den Händler unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem uns eine Verletzung des Schutzes personenbezogener Daten der Endkundschaft bekannt geworden ist. Die Meldung beschreibt, soweit bekannt, die Art der Verletzung, die Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Wir arbeiten mit dem Händler zusammen und treffen angemessene Maßnahmen zur Eindämmung. Die Meldung stellt für sich genommen kein Schuldanerkenntnis dar.

5. Anträge betroffener Personen

Richtet eine Endkundin/ein Endkunde einen Antrag (Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit oder Widerspruch) an CrossBox Digital, verweisen wir – sofern wir nicht gesetzlich zur Beantwortung verpflichtet sind – die betroffene Person an den Händler und benachrichtigen, soweit wir den betreffenden Shop identifizieren können, den Händler unverzüglich. Wir unterstützen die Reaktion des Händlers vor allem über die verpflichtenden Datenschutz-Mechanismen von Shopify, die die App umsetzt:

  • customers/data_request – wir stellen die Retouren- und Widerruf-Daten der betroffenen Person für eine Auskunfts-/Übertragbarkeitsanfrage zusammen.
  • customers/redact – wir löschen oder anonymisieren die Retourendaten der Person und löschen ihre hochgeladenen Fotos aus den Shopify Files; gesetzliche Widerruf-Datensätze werden redigiert, aber aufbewahrt, soweit das Recht dies verlangt (Abschnitt 8).
  • shop/redact – wir löschen die Daten eines Shops nach der Deinstallation (Abschnitt 8).

6. Audits

CrossBox Digital stellt dem Händler die zum Nachweis der Einhaltung seiner Pflichten als Auftragsverarbeiter erforderlichen Informationen bereit und ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, die vom Händler oder einem von ihm beauftragten Prüfer durchgeführt werden. Audits dürfen höchstens einmal pro Zwölfmonatszeitraum stattfinden (sofern nicht von einer Aufsichtsbehörde verlangt oder nach einer Datenschutzverletzung), mit angemessener vorheriger schriftlicher Ankündigung, während der Geschäftszeiten und unter Wahrung der Vertraulichkeit. Wir können Audit-Anfragen durch Bereitstellung einschlägiger Unterlagen, unserer Sicherheitsbeschreibungen oder verfügbarer Zertifizierungen/Berichte Dritter erfüllen.

7. Unterauftragsverarbeiter

Der Händler erteilt CrossBox Digital eine allgemeine schriftliche Genehmigung zum Einsatz von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten der Endkundschaft. Die zum Zeitpunkt dieses AVV eingesetzten Unterauftragsverarbeiter sind in Anlage III aufgeführt; bestimmte Unterauftragsverarbeiter werden nur eingesetzt, wenn der Händler einen entsprechenden Carrier oder eine Integration verbindet.

  • Wir verpflichten jeden Unterauftragsverarbeiter auf Datenschutzpflichten, die nicht weniger schützend sind als die dieses AVV, insbesondere hinsichtlich der Sicherheit nach Art. 32, und bleiben dem Händler gegenüber für die Leistung des Unterauftragsverarbeiters voll verantwortlich.
  • Wir kündigen dem Händler mindestens 30 Tage im Voraus (über die App oder per E-Mail) jede beabsichtigte Hinzunahme oder Ersetzung eines Unterauftragsverarbeiters an. Der Händler kann innerhalb dieser Frist aus berechtigten Datenschutzgründen widersprechen. Können die Parteien den Widerspruch nicht ausräumen, kann der Händler die betroffene Funktion einstellen oder die Vereinbarung kündigen; wir setzen den abgelehnten Unterauftragsverarbeiter für diesen Händler für die betroffene Verarbeitung nicht ein, soweit dies vertretbar vermeidbar ist.

8. Löschung und Rückgabe von Daten

Nach Wahl des Händlers löscht oder gibt CrossBox Digital bei Beendigung der Vereinbarung oder Deinstallation der App die personenbezogenen Daten der Endkundschaft zurück und löscht vorhandene Kopien, soweit nicht eine Speicherung nach Unions- oder mitgliedstaatlichem Recht vorgeschrieben ist. Insbesondere:

  • Die Deinstallation der App löst den Prozess shop/redact von Shopify aus (ca. 48 Stunden nach Deinstallation), woraufhin wir die Daten des Shops hart löschen, in jedem Fall innerhalb von ca. 30 Tagen.
  • Gesetzliche Widerruf-Datensätze werden 8 Jahre (§ 257 HGB) mit redigierten personenbezogenen Kennungen aufbewahrt, gestützt auf die Ausnahme nach Art. 17 Abs. 3 lit. b DSGVO; nach der Deinstallation liegt diese Aufbewahrungspflicht beim Händler.
  • Abrechnungs- und Nutzungsdaten bewahrt CrossBox Digital als Verantwortliche zu Buchhaltungs-/Steuerzwecken auf (ca. 6 Jahre).

Soweit das Recht eine fortgesetzte Speicherung verlangt, schützen wir diese Daten und beschränken die Verarbeitung auf das von der Pflicht Geforderte.

9. Internationale Datenübermittlung

CrossBox Digital hat seinen Sitz in der EU (Zypern). Soweit die Verarbeitung personenbezogener Daten der Endkundschaft eine Übermittlung außerhalb des EWR oder des Vereinigten Königreichs umfasst (einschließlich an bestimmte in Anlage III genannte Unterauftragsverarbeiter in den USA oder Kanada), erfolgt diese auf Grundlage eines geeigneten Übermittlungsinstruments nach Kapitel V DSGVO – insbesondere der Standardvertragsklauseln der EU-Kommission (Modul 2, Verantwortlicher-an-Auftragsverarbeiter, sowie Modul 3 für Weiterübermittlungen) und des UK International Data Transfer Addendum oder eines Angemessenheitsbeschlusses bzw. des EU-US Data Privacy Framework, soweit einschlägig. Die einschlägigen Standardvertragsklauseln werden hiermit durch Verweis in diesen AVV einbezogen und gehen bei Widersprüchen zu anderen Bestimmungen über solche Übermittlungen vor.

10. Haftung, anwendbares Recht und Vorrang

Die Haftung jeder Partei aus diesem AVV unterliegt den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung. Dieser AVV unterliegt dem Recht, dem die Vereinbarung unterliegt; soweit die Vereinbarung dies nicht bestimmt, gilt das Recht der Republik Zypern, unbeschadet zwingender Bestimmungen des für den Händler als Verantwortlichen geltenden Datenschutzrechts. Bei Widersprüchen zwischen diesem AVV und der Vereinbarung in Datenschutzfragen geht dieser AVV vor. Bei Widersprüchen zwischen diesem AVV und den einbezogenen Standardvertragsklauseln gehen die Klauseln vor.

11. Laufzeit

Dieser AVV wird wirksam, sobald der Händler die App installiert oder nutzt, und bleibt in Kraft, solange CrossBox Digital personenbezogene Daten der Endkundschaft im Auftrag des Händlers verarbeitet; danach gelten die Pflichten aus Abschnitt 8.

Anlage I – Beschreibung der Verarbeitung

  • Verantwortlicher (Datenexporteur): der Händler, der den Shopify-Shop betreibt, in dem die App installiert ist, identifiziert über die Shopify-Shop-Domain und die Kontodaten.
  • Auftragsverarbeiter (Datenimporteur): CrossBox Digital LTD, Griva Digeni & K. Chatzopoulou 28, 1066 Nicosia, Cyprus; Kontakt support@zackreturns.com.
  • Gegenstand: Bereitstellung des ZackReturns-Dienstes für Retouren, Umtausch und den gesetzlichen Widerruf für Shopify-Shops.
  • Dauer: für die Laufzeit der Vereinbarung und bis zur Löschung/Rückgabe nach Abschnitt 8.
  • Art und Zweck: Erheben, Speichern, Organisieren, Abrufen, Nutzen, Übermitteln und Löschen personenbezogener Daten zum Betrieb von Retouren, Umtausch, Erstattungen, Store Credit, Retourenlabels, Kundenbenachrichtigungen und des gesetzlichen Widerrufs sowie zur Synchronisation von Retouren-Ereignissen mit den verbundenen Tools des Händlers.
  • Häufigkeit: fortlaufend, für die Dauer der Vereinbarung.
  • Kategorien betroffener Personen: die Endkundschaft des Händlers, die eine Retoure, einen Umtausch oder einen Widerruf veranlasst; sowie die Mitarbeitenden des Händlers, die die App nutzen.
  • Kategorien personenbezogener Daten: Identifikatoren und Kontaktdaten (Name, E-Mail, Bestell-/Kunden-ID); Liefer- und Rechnungsadresse und Telefon (für Labels vorübergehend verarbeitet); Bestell- und Retourendaten (Positionen, SKUs, Preise, Grund, Zustand, Notizen); Retouren-Fotos (in den Shopify Files des Händlers gespeichert); Finanz-/Retourendaten (Erstattungs- und Store-Credit-Beträge, Retourenart); Versanddaten (Sendungsnummer, Label, Carrier); gesetzliche Widerruf-Datensätze (Erklärung, Referenz, Zeitstempel, Sprache); sowie technische/Sicherheitsdaten (gehashte IP, gekürzter User-Agent, Zustell-Metadaten, Audit-Protokolle). Einzelheiten enthält die App-Datenschutzerklärung.
  • Besondere Datenkategorien: sind weder vorgesehen noch erforderlich; der Händler darf die App nicht so konfigurieren, dass besondere Datenkategorien erhoben werden.
  • Speicherdauer: wie in der App-Datenschutzerklärung und in Abschnitt 8 dieses AVV dargestellt.

Anlage II – Technische und organisatorische Maßnahmen (Art. 32)

  • Verschlüsselung bei der Übertragung: TLS/HTTPS für alle Daten, die mit Shopify, Carriern, Integrationen und E-Mail-Anbietern ausgetauscht werden.
  • Verschlüsselung im Ruhezustand: sensible Zugangsdaten von Integrationen und Marketing-Tools sowie OAuth-Tokens werden mit AES-256-GCM verschlüsselt, wobei Schlüssel nur in Umgebungs-Secrets liegen; wir weiten die Verschlüsselung im Ruhezustand fortlaufend auf alle gespeicherten Secrets aus.
  • Pseudonymisierung & Minimierung: die App speichert eine Shopify-Kunden-ID-Referenz, statt personenbezogene Endkundendaten zwischenzuspeichern, und ruft Namen/E-Mails/Adressen bei Bedarf ab; Widerruf-Datensätze speichern weder Name noch E-Mail; Absender-IPs werden SHA-256-gehasht und gesalzen; User-Agents werden gekürzt; ausgehende Integrations-Payloads werden um personenbezogene Daten bereinigt.
  • Zugriffskontrolle & Vertraulichkeit: der Zugriff von Mitarbeitenden auf Retourendaten ist beschränkt und protokolliert; Zugriffe auf Zugangsdaten werden protokolliert; befugte Personen sind zur Vertraulichkeit verpflichtet.
  • Belastbarkeit & Integrität: Betrieb auf verwalteter Cloud-Infrastruktur mit Backups; idempotente Erstattungs- und Löschvorgänge.
  • Datenlöschung: automatisierte Aufbewahrungs-Läufe und automatische Foto-Löschung; Löschung über die Shopify-Redact-Webhooks (Abschnitt 8).
  • Trennung: Test- und Produktivdaten werden getrennt gehalten; Plattform-Secrets sind von Anwendungsdaten getrennt.
  • Incident-Response & Governance: ein Incident-Response-Prozess für Sicherheitsvorfälle; Audit- und Compliance-Protokollierung (Art. 30); sowie Teilnahme am Protected-Customer-Data-Programm von Shopify.

Anlage III – Unterauftragsverarbeiter

Immer eingebunden (Kern-Infrastruktur)

  • Shopify (Kanada/USA) – Commerce-Plattform, Quelle der Bestell-/Kundendaten, Speicherung der Retouren-Fotos (Shopify Files), OAuth und gesetzlich vorgeschriebene Datenschutz-Webhooks.
  • Railway (Cloud-Hosting) – hostet das App-Backend, die PostgreSQL-Datenbank und die Redis-Queue.
  • Brevo / Sendinblue (EU, Frankreich) – Transaktions- E-Mails (Retouren- und Widerruf-E-Mails, Händler-Benachrichtigungen, Datenexporte).

Nur bei Verbindung durch den Händler eingebunden

  • Brevo (eigenes Händler-Konto) (EU) – Versand von Kunden-E-Mails aus der eigenen Domain des Händlers.
  • Klaviyo (USA) – Marketing-Automatisierung.
  • Gorgias, Zendesk (USA) – Helpdesk-Ticketing.
  • Xentral, JTL, Weclapp, Plentymarkets, Billbee (EU/verschieden) – ERP-/Buchhaltungs-Sync (erhalten weder Name noch E-Mail der Endkundschaft).
  • DHL, DPD, GLS, UPS, FedEx, Sendcloud (EU; UPS/FedEx USA) – Erstellung von Retourenlabels.

Die aktuelle Liste ist auch in unserer App-Datenschutzerklärung abgebildet. Änderungen werden gemäß Abschnitt 7 mitgeteilt.