Datenschutzinformationen

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Shopible

Obergasse 5

61250 Usingen, Deutschland

E-Mail: [email protected]

Hinweis: Sofern Shopible als B2B-Software im Auftrag von Shopbetreibern genutzt wird, können Shopbetreiber für bestimmte Verarbeitungen eigenständig Verantwortliche sein.

---

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Bei Fragen zum Datenschutz wende dich bitte an die oben genannten Kontaktdaten des Verantwortlichen.

---

3. Geltungsbereich

Diese Datenschutzinformationen gelten für die Nutzung der Website und Webanwendung „Shopible“ (nachfolgend „Plattform“), einschließlich zugehöriger Funktionen wie Online-Shop, Self-Checkout, POS-/Kassenfunktionen und administrativer Bereiche.

---

4. Verarbeitungen im Überblick

---

5. Nutzerkonto & Authentifizierung

Bei Registrierung und Nutzung eines Benutzerkontos verarbeiten wir Daten, die du uns bereitstellst (z. B. Name, E-Mail-Adresse, Telefonnummer, Passwort-Hash, Profilinformationen).

• Zweck: Kontoverwaltung, Login, Bereitstellung personalisierter Funktionen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung).
• Speicherdauer: bis zur Löschung des Kontos, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.

---

6. Bestellungen, Zahlungen, Abrechnung

Wenn du über einen Shop auf der Plattform bestellst oder Zahlungen abwickelst, verarbeiten wir Bestell- und ggf. Liefer-/Kontaktdaten. Zahlungsdaten werden typischerweise durch einen Zahlungsdienstleister verarbeitet (z. B. Stripe); wir erhalten dabei i. d. R. nur Transaktionsreferenzen und Statusinformationen.

• Zweck: Vertragserfüllung, Nachweisführung, Abrechnung, Betrugsprävention.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).
• Empfänger: Zahlungsdienstleister, ggf. Shopbetreiber als eigenständiger Verantwortlicher.

---

7. POS-/Kassenbetrieb (B2B)

Shopible kann von Unternehmen zur Abwicklung von Verkäufen eingesetzt werden. Je nach Konfiguration kann es sein, dass Mitarbeiterdaten (z. B. Kassenbenutzer) und Transaktionsdaten verarbeitet werden.

• Zweck: Betriebsabläufe, Kassenführung, Reporting, Nachweis- und Protokollierungspflichten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten) durch den Shopbetreiber.
• Rollen: Shopbetreiber kann Verantwortlicher sein; Shopible kann als Auftragsverarbeiter tätig werden (AVV erforderlich).

---

8. Server-Logs & Sicherheit

Bei jeder Anfrage an unsere Server werden technische Informationen verarbeitet, insbesondere: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent, Statuscodes.

• Zweck: Betrieb, Fehleranalyse, Abwehr von Angriffen, Missbrauchserkennung.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).
• Speicherdauer: i. d. R. wenige Tage bis Wochen; konkrete Frist: 30 Tage.

---

9. Cookies & lokale Speicher

Wir verwenden Cookies und ähnliche Technologien, um grundlegende Funktionen bereitzustellen (z. B. Session-Management, Sicherheitsfunktionen). Optional können – je nach deiner Konfiguration – Analyse/Marketing-Tools eingesetzt werden.

9.1 Notwendige Cookies

• Zweck: Login/Sessions, CSRF-Schutz, Spracheinstellungen.
• Rechtsgrundlage: § 25 Abs. 2 TTDSG (unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

9.2 Optionale Cookies/Tools

Optionale Cookies/Tools werden nicht genutzt.

• Zweck: Reichweitenmessung, Optimierung, Conversion-Tracking.
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TTDSG).

---

9a. Instagram-Integration

Shop-Inhaber können ihren Instagram-Business- oder Creator-Account mit ihrem Shopible-Shop verbinden, damit Instagram-Beiträge des Shops auf der öffentlichen Shop-Seite angezeigt werden. Diese Funktion ist optional und muss vom Shop-Inhaber aktiv im Shop-Admin angeschaltet werden.

9a.1 Was wird verarbeitet?

• OAuth-Zugangsdaten: Wir speichern das vom Shop-Inhaber bei Meta autorisierte Long-Lived-Access-Token (verschlüsselt in unserer Datenbank), die Instagram-Business-Account-ID und den Instagram-Handle.
• Medien-Inhalte des Shop-Inhabers: Über die Instagram Graph API (/me/media) rufen wir Bilder, Videos, Bildunterschriften, Permalinks und Zeitstempel der vom Shop-Inhaber selbst veröffentlichten Beiträge ab und zeigen sie auf der Shop-Seite an. Antworten werden bis zu 60 Minuten zwischengespeichert um API-Calls zu reduzieren.
• Keine Endkundendaten: Wir greifen nicht auf Follower-Listen, Kommentare anderer Instagram-Nutzer oder Direct Messages zu. Es werden keine Endkunden-Daten von Instagram-Nutzern verarbeitet, die mit dem Shop interagieren — nur Inhalte des Shop-Inhabers selbst.

9a.2 Genutzte Berechtigungen (Scopes)

Wir fordern ausschließlich die Berechtigung instagram_business_basic an. Diese erlaubt nur das Lesen der Account-Metadaten und der eigenen Medien — kein Posten, kein Messaging, kein Zugriff auf Insights oder Analytics.

9a.3 Rechtsgrundlage und Zweck

Rechtsgrundlage ist die ausdrückliche Einwilligung des Shop-Inhabers gemäß Art. 6 Abs. 1 lit. a DSGVO im Rahmen des OAuth-Flows. Zweck ist die Anzeige der Social-Media-Präsenz des Shops für seine Endkunden — eine eigene Marketing-Entscheidung des Shop-Inhabers.

9a.4 Widerruf und Löschung

Der Shop-Inhaber kann die Verbindung jederzeit im Shop-Admin unter „Shop-Einstellungen → Instagram → Verbindung trennen" aufheben. Dabei werden Token, gecachte Medien und die Verbindungs-Metadaten in unseren Systemen gelöscht.

Zusätzlich respektieren wir die Data-Deletion-Callback-Anforderung von Meta: Wenn ein Nutzer in seinen Instagram-Einstellungen die Datenlöschung anfordert, sendet Meta uns einen signierten Request an https://shopible.app/meta/data-deletion/. Wir validieren die Signatur und löschen die zugehörigen Daten unverzüglich. Den Status können Betroffene unter dem mit der Bestätigung übermittelten Link einsehen.

9a.5 Drittlandübermittlung

Anbieter der Schnittstelle ist Meta Platforms Ireland Limited, Dublin, Irland; technische Endpoints werden ggf. von Meta Platforms, Inc. in den USA betrieben. Die Übermittlung erfolgt auf Grundlage der Einwilligung des Shop-Inhabers (Art. 49 Abs. 1 lit. a DSGVO) sowie Standardvertragsklauseln (Art. 46 DSGVO), die Meta selbst bereitstellt.

---

9b. Google-Unternehmensprofil-Integration

Shop-Inhaber können ihr Google-Unternehmensprofil (Google Business Profile, „GBP") mit ihrem Shopible-Shop verbinden, damit Geschäftsdaten wie Öffnungszeiten, Adresse, Telefonnummer und Geschäftsname automatisch von Shopible nach Google synchronisiert werden. Diese Funktion ist optional und muss vom Shop-Inhaber aktiv im Shop-Admin angeschaltet werden.

9b.1 Was wird verarbeitet?

• OAuth-Zugangsdaten: Wir speichern das vom Shop-Inhaber via Google autorisierte Access-Token sowie das Refresh-Token (verschlüsselt in unserer Datenbank), die Account-ID und die Location-ID des verbundenen Google-Unternehmensprofils.
• Geschäftsdaten: Über die Google Business Profile API (mybusinessaccountmanagement.googleapis.com, mybusinessbusinessinformation.googleapis.com) lesen und schreiben wir Daten des Shop-Inhabers wie Öffnungszeiten, Adresse, Telefonnummer, Geschäftsname und Kategorie.
• Keine Endkundendaten: Wir greifen nicht auf Bewertungen, Fragen, Antworten oder Beiträge anderer Nutzer zu. Wir verarbeiten keine personenbezogenen Daten von Endkunden, die das Google-Profil des Shops besuchen — nur Inhalte und Konfigurationen die der Shop-Inhaber selbst auf Google pflegt.

9b.2 Genutzte Berechtigungen (Scopes)

Wir fordern ausschließlich die Berechtigung https://www.googleapis.com/auth/business.manage an. Diese erlaubt das Lesen und Schreiben der Geschäftsdaten des verbundenen Google-Profils. Zusätzlich verwenden wir die Standard-Identifikations-Scopes openid, userinfo.email und userinfo.profile um den Shop-Inhaber im OAuth-Flow zu identifizieren.

9b.3 Rechtsgrundlage und Zweck

Rechtsgrundlage ist die ausdrückliche Einwilligung des Shop-Inhabers gemäß Art. 6 Abs. 1 lit. a DSGVO im Rahmen des OAuth-Flows. Zweck ist die Synchronisation von Geschäftsdaten zwischen Shopible (Single Source of Truth) und Google, damit Endkunden auf Google Maps und in der Google-Suche immer die aktuellen Daten des Shops sehen.

9b.4 Widerruf und Löschung

Der Shop-Inhaber kann die Verbindung jederzeit im Shop-Admin unter „Shop-Einstellungen → Google-Unternehmensprofil → Verbindung trennen" aufheben. Dabei werden Access-Token, Refresh-Token und die Verbindungs-Metadaten in unseren Systemen gelöscht. Zusätzlich rufen wir Google's Revoke-Endpoint (https://oauth2.googleapis.com/revoke) auf, damit der Token auch auf Google's Seite invalidiert wird.

Der Shop-Inhaber kann auch direkt über sein Google-Konto unter myaccount.google.com/permissions die Verbindung zu Shopible widerrufen. In diesem Fall wird unser Token bei Google ungültig und wir können auf die Daten nicht mehr zugreifen.

9b.5 Drittlandübermittlung

Anbieter der Schnittstelle ist Google Ireland Limited, Dublin, Irland; technische Endpoints werden ggf. von Google LLC in den USA betrieben. Die Übermittlung erfolgt auf Grundlage der Einwilligung des Shop-Inhabers (Art. 49 Abs. 1 lit. a DSGVO) sowie Standardvertragsklauseln (Art. 46 DSGVO), die Google selbst bereitstellt. Detaillierte Informationen zu Google's Datenverarbeitung: policies.google.com/privacy.

---

10. Empfänger & Auftragsverarbeiter

Wir setzen Dienstleister ein (z. B. Hosting, E-Mail, Support, Zahlungsdienstleister), die personenbezogene Daten in unserem Auftrag verarbeiten können. Mit entsprechenden Dienstleistern schließen wir – sofern erforderlich – Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO.

---

11. Drittlandübermittlungen

Je nach eingesetzten Dienstleistern kann eine Übermittlung in Drittländer (außerhalb EU/EWR) stattfinden. In diesen Fällen stellen wir ein angemessenes Datenschutzniveau sicher, z. B. durch Angemessenheitsbeschluss oder EU-Standardvertragsklauseln (SCC).

---

12. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Typische Fristen:

• Account-Daten: bis Kontolöschung (sofern keine Pflichten entgegenstehen).
• Vertrags-/Abrechnungsdaten: gemäß handels- und steuerrechtlichen Vorgaben (z. B. 6/10 Jahre, je nach Inhalt).
• Server-Logs: 30 Tage.

---

13. Betroffenenrechte

Du hast – soweit die gesetzlichen Voraussetzungen vorliegen – folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte genügt eine Nachricht an die oben angegebenen Kontaktdaten.

---

14. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

---

15. Änderungen dieser Datenschutzinformationen

Wir können diese Datenschutzinformationen aktualisieren, um Änderungen unserer Verarbeitungen oder gesetzliche Vorgaben abzubilden. Die jeweils aktuelle Version wird auf dieser Seite veröffentlicht.