BelegioBelegio
App Store

Rechtliches

Auftragsverarbeitungsvertrag

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zwischen dem Shop-Betreiber (Verantwortlicher) und dem Betreiber der Shopify-App „Belegio" (Auftragsverarbeiter). Stand: Juni 2026.

Abschluss: Mit der Installation und Nutzung der App „Belegio" sowie der entsprechenden Bestätigung im App-Setup gilt dieser AVV elektronisch als geschlossen (Art. 28 Abs. 9 DSGVO). Eine zusätzliche Unterzeichnung in Papierform ist nicht erforderlich, auf Wunsch jedoch jederzeit möglich — Anfrage an support@zrapp.de.

1. Rollenverteilung

  • Verantwortlicher (Art. 4 Nr. 7 DSGVO): Der Shop-Betreiber („Merchant"), der die App installiert. Er entscheidet über Zwecke und Mittel der Rechnungsstellung an seine Kunden.
  • Auftragsverarbeiter (Art. 28 DSGVO): Artur Hoffmann, Okenstraße 352b, 77654 Offenburg, Deutschland — Betreiber der App „Belegio". Verarbeitet Endkunden-Daten ausschließlich im Auftrag des Merchants.
  • Eigenständig Verantwortlicher: Shopify International Ltd. — die Plattform; ein eigener DPA besteht zwischen Merchant und Shopify.

Für die Händler-Stammdaten (Firmendaten, IBAN, SMTP-Zugangsdaten) ist Belegio selbst Verantwortlicher (Vertragsverhältnis mit dem Merchant). Diese Verarbeitung ist Gegenstand der Datenschutzerklärung, nicht dieses AVV.

2. Daten-Inventar (Anlage 1)

2.1 Endkunden-Daten (Betroffene: Kunden des Shops)

Rechnungen, Lieferscheine, Gutschriften:

  • Name des Endkunden (§ 14 UStG-Pflichtangabe)
  • Rechnungsanschrift: Straße, PLZ, Ort, Land (§ 14 UStG)
  • E-Mail-Adresse (optional, für Beleg-Versand)
  • USt-IdNr. des Käufers (optional, nur B2B)
  • Shopify-Bestellreferenz und Bestellnummer
  • Tracking-Nummer (optional, für Lieferscheine)
  • Vom Merchant konfigurierte Order-/Customer-Metafields (Opt-in, frei definierbar)

Rechnungspositionen: Produkttitel, Menge, Preise, Steuersätze (in der Regel keine personenbezogenen Daten).

USt-IdNr.-Prüfung (VIES-Audit/-Cache): USt-IdNr., Prüfergebnis, von VIES zurückgelieferter Firmenname und Adresse, Request-ID, Zeitstempel — als Nachweis bei Reverse-Charge (§ 6a UStG, Art. 138 MwStSystRL).

2.2 Technische Daten

  • Sessions: Shopify-Session-Storage (PostgreSQL)
  • Logs: Shop-Domain, Request-Metadaten (Methode, URL, Status, Dauer), Fehlerkontext — keine personenbezogenen Endkundendaten in Logs (by design)
  • Keine Cookies/Tracking auf Endkunden-Seite; PDF-Abruf-Links sind HMAC-signierte Kurzzeit-Tokens (Shop-Token 1 Jahr, Re-Send-Token 24 h)

3. Zwecke der Verarbeitung

  1. Erstellung von Rechnungen, Lieferscheinen und Gutschriften aus Shopify-Bestellungen
  2. Versand der Belege per E-Mail an Endkunden bzw. Bereitstellung als PDF-Download
  3. Steuerliche Einordnung inkl. USt-IdNr.-Prüfung (VIES) bei EU-B2B
  4. Aufbewahrung der Belege für den Merchant im Rahmen der gesetzlichen Pflichten

4. Sub-Auftragsverarbeiter (Anlage 3)

Sub-ProzessorLeistungOrtDaten
Hetzner Online GmbHServer-Hosting (App & Datenbank)Frankfurt am Main, DESämtliche unter Ziff. 2 genannten Daten
Amazon Web Services EMEA SARL (SES)E-Mail-Versand (Produktion)eu-central-1 (Frankfurt, DE)Empfänger-E-Mail, Beleg als PDF-Anhang

Keine Sub-Prozessoren, aber Übermittlungen an:

  • EU-Kommission (VIES-API) — Übermittlung der USt-IdNr. an die offizielle EU-Schnittstelle zur Prüfung bei Reverse-Charge (rechtliche Verpflichtung).
  • Shopify — Datenquelle/Plattform (eigenständig Verantwortlicher, eigener DPA Merchant↔Shopify).
  • Merchant-eigener SMTP-Server (optional): Konfiguriert der Merchant einen eigenen SMTP-Anbieter, versendet Belegio über diesen — der SMTP-Anbieter ist dann Auftragsverarbeiter des Merchants, nicht von Belegio.

Drittlandübermittlung: Keine. Hosting und E-Mail-Versand erfolgen ausschließlich in Deutschland bzw. der EU.

5. Speicherfristen & Betroffenenrechte

  • Aufbewahrung der Belege: 10 Jahre gemäß § 147 AO und § 14b UStG (steuerrelevante Handelsbriefe).
  • Art. 15 Auskunft (Shopify-Webhook customers/data_request): Automatische Benachrichtigung des Merchants mit allen passenden Rechnungen und Hinweis auf die 30-Tage-Frist (Art. 12 Abs. 3 DSGVO). Der Merchant beauskunftet seinen Kunden selbst.
  • Art. 17 Löschung (Webhook customers/redact): Wegen Aufbewahrungspflicht erfolgt eine Pseudonymisierung statt vollständiger Löschung: Name und Rechnungsanschrift werden auf „REDACTED" gesetzt; E-Mail und USt-IdNr. auf null. Ein Audit-Log dokumentiert die betroffenen Belege und Felder.
  • App-Deinstallation (Webhook shop/redact, 48 h danach): Vollständige Löschung des gesamten Shop-Datenbestands inklusive Belege, Einstellungen und Sessions.

Wichtig vor Deinstallation:

Die gesetzliche Aufbewahrungspflicht trifft den Merchant. 48 Stunden nach Deinstallation werden alle Daten — auch innerhalb der 10-Jahres-Frist — endgültig gelöscht. Belege bitte vorher exportieren oder die Deinstallation hinauszögern.

6. Technische und organisatorische Maßnahmen (Anlage 2)

  • Verschlüsselung at-rest: Shopify-Access-Token und SMTP-Passwörter mit AES-256-GCM.
  • Transportverschlüsselung: TLS für alle Verbindungen (App, Datenbank, SMTP, externe APIs).
  • Authentifizierung & Autorisierung: Shopify-Session-Token (HMAC-signierte JWTs, 60 s TTL) bei jedem API-Request; Mandantentrennung pro Shop-Domain.
  • PDF-Links: HMAC-signierte Kurzzeit-Tokens, gebunden an Zweck und Ressource.
  • Rate-Limiting: 300 Requests/Min/IP global, strengere Limits auf sensiblen Endpoints.
  • Webhook-Verifikation: Shopify-HMAC-Signatur auf Raw-Body.
  • Sicherheits-Header (Helmet), Input-Validierung, keine PII in Logs (by design).
  • Hosting: Ausschließlich Frankfurt am Main (DE).

7. Vertragstext (Art. 28 Abs. 3 DSGVO)

§ 1 Gegenstand und Dauer

Erstellung, Versand und Aufbewahrung von Rechnungen, Lieferscheinen und Gutschriften aus Shopify-Bestelldaten mittels der App „Belegio". Laufzeit: ab Installation der App bis 48 Stunden nach Deinstallation (danach Löschung gemäß § 7).

§ 2 Art und Zweck der Verarbeitung, Datenarten, Betroffene

Gemäß Anlage 1 (Ziff. 2 und 3 dieses Dokuments): Endkunden-Stammdaten, Bestell- und Belegdaten, USt-IdNrn. Betroffene sind die Kunden des Verantwortlichen.

§ 3 Weisungsgebundenheit

Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung. Die Konfiguration in der App (Einstellungen, Automatisierung, Auswahl der Metafields) gilt als Weisung. Bei offensichtlich rechtswidrigen Weisungen wird der Verantwortliche informiert.

§ 4 Vertraulichkeit

Zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b DSGVO).

§ 5 Sicherheit der Verarbeitung

Es gelten die TOMs gemäß Anlage 2 (Ziff. 6). Eine Anpassung an den Stand der Technik bleibt vorbehalten; das Schutzniveau darf dabei nicht unterschritten werden.

§ 6 Sub-Auftragsverarbeiter

Der Verantwortliche genehmigt die in Anlage 3 (Ziff. 4) aufgeführten Sub-Auftragsverarbeiter. Änderungen werden mindestens 30 Tage vorab per E-Mail an den Shop-Inhaber sowie über das Changelog auf dieser Seite angekündigt. Der Verantwortliche hat ein Widerspruchsrecht; im Widerspruchsfall steht ihm ein Sonderkündigungsrecht (Deinstallation) zu.

§ 7 Löschung und Rückgabe

Nach Vertragsende (Deinstallation) werden alle Daten binnen 48 Stunden automatisiert via Shopify-Webhook shop/redact gelöscht. Der Verantwortliche ist verpflichtet, aufbewahrungspflichtige Belege vor der Deinstallation zu exportieren. Gesetzliche Aufbewahrungspflichten des Auftragsverarbeiters bleiben unberührt.

§ 8 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Betroffenenrechte (automatisiert über Shopify-GDPR-Webhooks: Auskunfts-Benachrichtigung, Pseudonymisierung) sowie bei den Pflichten nach Art. 32–36 DSGVO (Sicherheit, Meldungen, DSFA). Datenschutzverletzungen werden unverzüglich, spätestens binnen 72 Stunden nach Kenntnis, gemeldet.

§ 9 Nachweise und Kontrollen

Nachweise erfolgen durch dieses Dokument, die TOMs und geeignete Belege. Audits sind nach vorheriger Ankündigung in angemessenem Rahmen möglich.

§ 10 Schlussbestimmungen

Es gilt deutsches Recht. Gerichtsstand ist — soweit zulässig — Offenburg. Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam (salvatorische Klausel).

Anlagen: 1 Datenarten und Betroffene (Ziff. 2/3) · 2 TOMs (Ziff. 6) · 3 Sub-Auftragsverarbeiter (Ziff. 4)

8. Abschluss & Kontakt

Bei Fragen zu diesem AVV oder zur Datenverarbeitung wenden Sie sich an support@zrapp.de. Eine signierte PDF-Fassung dieses Vertrags wird auf Wunsch zur Verfügung gestellt.

Stand: Juni 2026