BelegioBelegio
App Store

Rechtliches

Datenschutzerklärung

Wie Belegio personenbezogene Daten verarbeitet — transparent, sicher und DSGVO-konform.

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder die Shopify-App „Belegio" nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Diese Datenschutzerklärung gilt für zwei Bereiche:

  • Marketing-Website belegio.app – die Informations- und Kontaktseite
  • Shopify-App „Belegio" – die im Shopify App Store erhältliche Integrationsanwendung

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Verantwortliche Stelle" in dieser Datenschutzerklärung entnehmen.

2. Verantwortliche Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Artur Hoffmann
Okenstraße 352b
77654 Offenburg
Deutschland
Telefon: +49 1522 6939034
E-Mail: support@zrapp.de

Hinweis zur Rolle bei der Shopify-App: Im Rahmen der App „Belegio" handelt der jeweilige Shopify-Händler als Verantwortlicher (Controller) für die Verarbeitung der Endkundendaten. Belegio (Artur Hoffmann) handelt als Auftragsverarbeiter (Processor) im Sinne von Art. 28 DSGVO bzw. Art. 9 nDSG (Schweiz).

3. Hosting

Marketing-Website (belegio.app)

Anbieter ist Lovable (betrieben über Netlify, Inc., 512 2nd Street, Suite 200, San Francisco, CA 94107, USA). Details entnehmen Sie der Datenschutzerklärung von Netlify: https://www.netlify.com/privacy/.

Die Verwendung von Lovable/Netlify erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website.

Shopify-App (Belegio)

Die Shopify-App „Belegio" wird vollständig (Frontend, Backend und PostgreSQL-Datenbank) auf einem dedizierten Server der IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland in einem deutschen Rechenzentrum betrieben. Mit IONOS besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Es erfolgt keine Datenübertragung in Drittländer durch Belegio selbst. Die Kommunikation mit Shopify-Servern (Kanada/USA), sevdesk-Servern (Deutschland) und Lexware-Office-Servern (Deutschland) erfolgt ausschließlich über verschlüsselte HTTPS-Verbindungen.

Weitere Informationen zur Datenverarbeitung bei IONOS finden Sie unter: https://www.ionos.de/terms-gtc/terms-privacy/.

4. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

5. Datenerfassung auf der Marketing-Website (belegio.app)

Cookies

Unsere Internetseiten verwenden so genannte „Cookies". Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung des Nutzers erfolgt nur mit dessen Einwilligung gemäß § 25 Abs. 1 TDDDG, sofern es sich nicht um unbedingt erforderliche Cookies handelt (§ 25 Abs. 2 TDDDG). Die Rechtsgrundlage für technisch notwendige Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Für alle anderen Cookies holen wir Ihre Einwilligung über unseren Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG).

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Ihre Daten werden nach Abschluss der Bearbeitung gelöscht, spätestens jedoch nach 6 Monaten.

E-Mail-Versand über EmailJS

Für den Versand von Kontaktformular-Nachrichten verwenden wir den Dienst EmailJS (EmailJS, 4023 Kennett Pike #50063, Wilmington, DE 19807, USA). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: https://www.emailjs.com/legal/privacy-policy/.

Schutz vor Spam (Honeypot)

Zum Schutz vor automatisierten Spam-Einsendungen über das Kontaktformular setzen wir ein technisches Honeypot-Verfahren ein. Es werden hierbei keine zusätzlichen personenbezogenen Daten erfasst. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

6. Datenverarbeitung in der Shopify-App „Belegio"

6.1 Rolle und Durchleitungs-Prinzip

Belegio ist ein Durchleitungs-Service (Data Processor). Bestelldaten werden von Shopify abgerufen, in das Format der vom Händler gewählten Buchhaltungssoftware (sevdesk oder Lexware Office) transformiert und direkt an diese weitergeleitet. Belegio speichert keine Bestelldaten, Kundendaten oder Rechnungsinhalte in der eigenen Datenbank.

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung).

6.2 Daten, die in Belegio gespeichert werden

  • Shop-Stammdaten: Domain, Name, E-Mail des Shop-Inhabers, Währung, Zeitzone, Shopify-Tarif
  • Shop-Einstellungen: Steuer-Status, Rechnungstexte, Automations-Konfiguration, Zahlungsarten-Zuordnungen (keine PII)
  • Sessions: Vorname, Nachname und E-Mail-Adresse von Staff-Mitgliedern des Shops (Lebensdauer: 24 Stunden)
  • API-Tokens: Shopify Access Token, sevdesk API-Token sowie Lexware-Office-Zugangsdaten/Tokens, jeweils AES-256-GCM-verschlüsselt
  • Webhook-Deduplizierung: Event-IDs und Zeitstempel (48h, keine PII)
  • Produkt-Sync-Status: Zuordnung von Shopify-Varianten-IDs zu Artikel-IDs (keine PII)
  • Billing-Daten: Shopify Charge-ID, Status, Betrag und Aktivierungsdatum (keine Zahlungsdaten)

6.3 Daten, die NICHT in Belegio gespeichert werden

  • Bestelldaten (Bestellnummer, Positionen, Preise, Rabatte)
  • Kundendaten (Namen, Adressen, E-Mail-Adressen, Telefonnummern von Endkunden)
  • Rechnungsinhalte (nur Referenz-IDs zu Buchhaltungs-Rechnungen)
  • Zahlungsdaten (Kreditkarten, Bankdaten, Zahlungsmethoden)
  • Versanddaten (Tracking-Nummern, Lieferadressen)

6.4 Personenbezogene Daten, die an die Buchhaltungssoftware weitergeleitet werden

Bei der Rechnungserstellung werden folgende personenbezogene Daten der Endkunden von Shopify abgerufen und an die vom Händler gewählte Buchhaltungssoftware (sevdesk oder Lexware Office) übertragen (Durchleitung, ohne lokale Speicherung):

  • Vorname, Nachname
  • Firma (falls vorhanden)
  • E-Mail-Adresse
  • Telefonnummer (falls vorhanden)
  • Rechnungsadresse (Straße, PLZ, Ort, Land)
  • Lieferadresse (bei E-Rechnungen)
  • USt-ID (falls vorhanden)

Die Rechtsgrundlage für die Weitergabe ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Cookies in der Shopify-App

Die Shopify-App „Belegio" verwendet ausschließlich einen funktionalen Session-Cookie (belegio.session, Lebensdauer 24 Stunden, HttpOnly, Secure, SameSite=none — erforderlich für eingebettete Shopify-Apps). Es werden kein Tracking, keine Analytics und keine Third-Party-Cookies in der App verwendet.

8. Datenweitergabe an Dritte

8.1 Shopify Inc.

Anbieter: Shopify Inc., 151 O'Connor Street, Ottawa, Ontario K2P 2L8, Kanada
Zweck: E-Commerce-Plattform, OAuth-Authentifizierung, Bestelldaten, Billing
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Datenschutzniveau: Kanada – Angemessenheitsbeschluss der EU-Kommission; zusätzlich DPA mit Shopify.
Datenschutzerklärung von Shopify

8.2 sevdesk GmbH

Anbieter: sevdesk GmbH, Hauptstraße 115, 77652 Offenburg, Deutschland
Zweck: Buchhaltungssoftware – Erstellung von Rechnungen, Kontakten und E-Mail-Versand
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO · Standort: Deutschland (EU)
Datenschutzerklärung von sevdesk

8.3 Haufe-Lexware GmbH & Co. KG (Lexware Office)

Anbieter: Haufe-Lexware GmbH & Co. KG, Munzinger Straße 9, 79111 Freiburg, Deutschland
Zweck: Buchhaltungssoftware (Lexware Office) – Erstellung von Rechnungen, Kontakten und Belegen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO · Standort: Deutschland (EU)
Datenschutzerklärung von Lexware

8.4 Weitere Empfänger

In der Shopify-App „Belegio" selbst werden keine Daten an Analytics-Plattformen, Marketing-Tools, CDN-Anbieter, Logging-Dienste oder Zahlungsabwickler weitergegeben. Die Zahlungsabwicklung für das App-Abonnement erfolgt ausschließlich über Shopify. Auf der Marketing-Website kommen zusätzlich Lovable/Netlify (Hosting) und EmailJS (Kontaktformular) zum Einsatz.

9. Automatische Synchronisierung (Webhooks)

Belegio empfängt Webhooks von Shopify, um auf Ereignisse wie neue Bestellungen, Stornierungen oder Erstattungen zu reagieren. Die automatische Synchronisierung ist standardmäßig deaktiviert. Alle Webhooks werden mit HMAC-SHA256 signiert und mittels Timing-Safe-Vergleich validiert. Eine Deduplizierung über Event-IDs (48h Aufbewahrung) verhindert doppelte Verarbeitung.

10. E-Mail-Versand über die Buchhaltungssoftware

Belegio versendet keine E-Mails direkt. Wenn der Händler den automatischen E-Mail-Versand aktiviert hat, wird die Rechnung über die API der angebundenen Buchhaltungssoftware an die in der Shopify-Bestellung hinterlegte E-Mail-Adresse des Kunden gesendet. Betreff und Text werden vom Händler in den Belegio-Einstellungen konfiguriert.

11. Datensicherheit

  • Verschlüsselung in Ruhe: API-Tokens mit AES-256-GCM (256-Bit) verschlüsselt
  • Verschlüsselung bei Übertragung: Alle Verbindungen über TLS/HTTPS
  • Webhook-Validierung: HMAC-SHA256 mit Timing-Safe-Vergleich
  • Session-Cookies: HttpOnly, Secure, SameSite-Flags
  • Zugriffsschutz: Rate Limiting, CORS, Content Security Policy (CSP), Helmet.js
  • Logging-Sicherheit: Authorization-Header, Cookies, API-Tokens und Kunden-E-Mails werden nie in Logs erfasst
  • Input-Validierung: Domain-Format-Prüfung, Charge-ID-Sanitierung, SQL-Injection-Schutz

12. Datenlöschung und Aufbewahrungsfristen

Bei App-Deinstallation

Bei Deinstallation der App werden sofort (innerhalb von Sekunden) gelöscht:

  • Alle Sessions (Online und Offline)
  • API-Tokens und sensible Konfigurationsdaten
  • Shop-Einstellungen (Steuerkonfiguration, Rechnungstexte, Webhook-Konfiguration, Zahlungsarten-Zuordnungen)

48 Stunden nach Deinstallation sendet Shopify einen shop/redact-Webhook. Daraufhin werden sämtliche verbleibenden Shop-Daten hart gelöscht (Hard Delete).

Aufbewahrungsfristen (Auszug)

  • Online-Sessions: 24 Stunden (automatisch bei Ablauf)
  • Offline-Sessions / Shop-Einstellungen: bis Deinstallation
  • Webhook-Deduplizierung: 48 Stunden (Cleanup alle 6h)
  • Shop-Stammdaten: Hard-Delete 48h nach Deinstallation (shop/redact)
  • Kontaktformular-Daten: 6 Monate
  • Rechnungen in sevdesk/Lexware: 10 Jahre (HGB §257, AO §147)

13. DSGVO-Compliance-Webhooks

Belegio implementiert die von Shopify vorgeschriebenen DSGVO-Webhooks:

  • Datenauskunft (customers/data_request, Art. 15 DSGVO): Alle gespeicherten Daten werden zusammengestellt. Da keine Endkundendaten lokal gespeichert werden, wird dokumentiert, dass ausschließlich Durchleitungsdaten übertragen wurden.
  • Kundenlöschung (customers/redact, Art. 17 DSGVO): Alle mit dem Kunden verknüpften Sessions und Cache-Einträge werden hart gelöscht. Rechnungsdaten in der Buchhaltungssoftware unterliegen der gesetzlichen Aufbewahrungspflicht.
  • Shop-Löschung (shop/redact, Art. 17 DSGVO): 48 Stunden nach Deinstallation werden sämtliche Shop-Daten, Einstellungen und Sessions hart gelöscht.

14. Ihre Rechte als betroffene Person

  • Auskunft (Art. 15 DSGVO / Art. 25 DSG)
  • Berichtigung (Art. 16 DSGVO / Art. 32 DSG)
  • Löschung (Art. 17 DSGVO / Art. 32 DSG), soweit keine Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 DSG)
  • Widerspruch (Art. 21 DSGVO / Art. 30 DSG)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: support@zrapp.de

15. Beschwerderecht bei einer Aufsichtsbehörde

Die für uns zuständige Aufsichtsbehörde:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
baden-wuerttemberg.datenschutz.de

Für Nutzer in Österreich: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb.gv.at

Für Nutzer in der Schweiz: EDÖB, Feldeggweg 1, 3003 Bern, edoeb.admin.ch

16. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (Einwilligung): optionale Cookies auf der Marketing-Website
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Nutzung der Shopify-App, Rechnungserstellung, Datenweitergabe an Shopify und Buchhaltungssoftware
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Aufbewahrung von Rechnungsdaten gemäß HGB §257, AO §147 (10 Jahre)
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Technischer Betrieb, Sicherheitsmaßnahmen, Kontaktformular, Hosting

Hinweis für die Schweiz: Soweit das Schweizer Datenschutzgesetz (DSG) Anwendung findet, erfolgt die Verarbeitung auf Grundlage der einschlägigen Bestimmungen des DSG (insb. Art. 6, Art. 30, Art. 31 DSG).

17. Internationaler Datentransfer

Die Belegio-App und -Datenbank werden in Deutschland betrieben. Ein Datentransfer in Drittländer erfolgt ausschließlich in folgenden Fällen:

  • Shopify Inc. (Kanada/USA): Bestelldaten, OAuth, Billing — Angemessenheitsbeschluss + DPA
  • EmailJS (USA): Kontaktformular-Nachrichten — Absicherung über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Alle übrigen Datenverarbeitungen (sevdesk, Lexware, App-Server, Datenbank) erfolgen ausschließlich in Deutschland/EU.

18. Auftragsverarbeitung

Wir haben mit folgenden Dienstleistern Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) abgeschlossen:

  • IONOS SE (Deutschland) – Hosting der Shopify-App
  • Shopify Inc. (Kanada) – E-Commerce-Plattform, OAuth, Billing
  • sevdesk GmbH (Deutschland) – Buchhaltung, Rechnungserstellung, E-Mail-Versand
  • Haufe-Lexware GmbH & Co. KG (Deutschland) – Buchhaltung (Lexware Office)
  • Lovable / Netlify (USA) – Hosting der Marketing-Website
  • EmailJS (USA) – Versand von Kontaktformular-Nachrichten

Stand: Juni 2026