Datenverarbeitungsvertrag (DPA)

Zuletzt aktualisiert: 29. Mai 2026

1. Vertragsparteien

Dieser Datenverarbeitungsvertrag (\"DPA\") wird geschlossen zwischen:

  • Costplus OÜ, eine in Estland eingetragene Gesellschaft mit Sitz in Pärnu mnt 139b, 11317 Tallinn, Estland, Handelsregisternummer 16936614 (\"Auftragsverarbeiter\", \"wir\", \"uns\", oder \"Cost+\"); und
  • der Händler, der die Cost+ Checkout Shopify-Anwendung installiert oder den Cost+ Checkout-Dienst anderweitig integriert hat, indem er unseren Nutzungsbedingungen unter https://costplus.io/shopify-app-terms.html (\"Verantwortlicher\", \"Händler\", oder \"Sie\"),

jeweils eine \"Partei\" und gemeinsam die \"Parteien\".

Dieser DPA ist Bestandteil der Nutzungsbedingungen zwischen den Parteien und unterliegt diesen. Bei Widersprüchen zwischen diesem DPA und den Nutzungsbedingungen in Bezug auf die Verarbeitung personenbezogener Daten hat dieser DPA Vorrang.

2. Begriffsbestimmungen

Soweit nicht anderweitig definiert, haben großgeschriebene Begriffe die Bedeutung, die ihnen in der Verordnung (EU) 2016/679 (der \"DSGVO\") zugewiesen wird. Zur Vereinfachung:

  • \"Personenbezogene Daten\" hat die Bedeutung gemäß Artikel 4 Abs. 1 DSGVO.
  • \"Verarbeitung\" hat die Bedeutung gemäß Artikel 4 Abs. 2 DSGVO.
  • \"Betroffene Person\" bezeichnet einen Shopify-Kunden oder Endnutzer, dessen personenbezogene Daten im Rahmen dieses DPA verarbeitet werden.
  • \"Unterauftragsverarbeiter\" bezeichnet jeden Dritten, der vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen eingesetzt wird.
  • \"Dienste\" bezeichnet den Cost+ Checkout-Dienst (die Shopify-App, zugehörige APIs und gehostete Checkout-Seiten), den der Auftragsverarbeiter dem Verantwortlichen gemäß den Nutzungsbedingungen erbringt.

3. Gegenstand, Art, Zweck und Dauer der Verarbeitung

3.1 Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten über die Kunden des Verantwortlichen, um die Dienste zu erbringen. Cost+ Checkout ist ein Funnel-Orchestrierungswerkzeug, das Käufer, die über vom Händler kontrollierte Einstiegspunkte eintreffen (z. B. E-Mail-Kampagnen, Landingpages, Social-Media-Anzeigen oder direkte Shopify-Storefront-Links), durch eine einheitliche Checkout-Erfahrung führt und nach erfolgter Zahlung die entsprechende Bestellung im Shopify-Shop des Händlers erstellt.

3.2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten zu folgenden Zwecken:

  • Erhebung von Kontakt- und Versanddaten des Käufers während des Checkouts;
  • Berechnung anfallender Steuern und Versandkosten über Shopifys eigene Steuer- und Versandberechnungsdienste;
  • Erstellung der entsprechenden Shopify-Bestellung, nachdem der Käufer die Zahlung abgeschlossen hat;
  • Zahlungsabwicklung über die Zahlungsinfrastruktur von Cost+ oder den vom Händler konfigurierten Zahlungsanbieter;
  • Rückspiegelung von Erstattungen, Stornierungen und Erfüllungsereignissen, die vom Händler in seiner Shopify-Verwaltung initiiert wurden, in die Cost+ Checkout-Konfiguration des Händlers;
  • Bearbeitung von Anfragen betroffener Personen, die von Shopify über die standardmäßigen DSGVO-Webhooks weitergeleitet werden (customers/data_request, customers/redact, shop/redact);
  • Bereitstellung händlerseitiger Analysen auf Basis aggregierter und pseudonymisierter Sitzungsdaten.

3.3 Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer der Dienste und bewahrt diese für die in Abschnitt 9 festgelegten Zeiträume auf.

4. Arten personenbezogener Daten und Kategorien betroffener Personen

4.1 Arten personenbezogener Daten

  • Vor- und Nachname;
  • E-Mail-Adresse;
  • Telefonnummer (sofern angegeben);
  • Lieferadresse (Straße, Stadt, Postleitzahl, Land, optionale Adresszeile 2, Bundesland/Kanton);
  • Rechnungsadresse (dieselben Felder);
  • Bestelldetails, einschließlich Positionen, Produktkennzeichnungen, Mengen, Preise, angewendete Rabattcodes, Bestellsumme, Währung und Erfüllungsstatus;
  • Zahlungsbezogene Metadaten (Zahlungsmethoden-Token oder -Referenz, Autorisierungs- und Erfassungskennungen) – es ist zu beachten, dass vollständige primäre Kontonummern (PAN) niemals in die Systeme des Auftragsverarbeiters gelangen; sie werden durch die PCI-DSS-konforme Zahlungsinfrastruktur von Cost+ oder den vom Händler konfigurierten Zahlungsanbieter tokenisiert.

4.2 Kategorien betroffener Personen

  • Die Kunden (Käufer) des Verantwortlichen, die den Checkout über Cost+ Checkout abschließen.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat:

5.1 Dokumentierte Weisungen

Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen hin zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht diese Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet. Die Parteien vereinbaren, dass die Nutzungsbedingungen, dieser DPA und die Nutzung der Dienste durch den Verantwortlichen über die standardmäßigen Konfigurationsoptionen dokumentierte Weisungen im Sinne von Artikel 28 Abs. 3 lit. a DSGVO darstellen.

5.2 Vertraulichkeit

Sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

5.3 Sicherheitsmaßnahmen

Geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie es Artikel 32 DSGVO erfordert. Eine Zusammenfassung dieser Maßnahmen ist in Anhang 1 dargelegt. Der Verantwortliche nimmt zur Kenntnis, dass Anhang 1 von Zeit zu Zeit aktualisiert werden kann, um Verbesserungen im Sicherheitsniveau des Auftragsverarbeiters widerzuspiegeln, und dass eine solche Aktualisierung nicht zu einer wesentlichen Absenkung des Sicherheitsniveaus führt.

5.4 Unterauftragsverarbeiter

Unterauftragsverarbeiter ausschließlich gemäß den Bestimmungen von Abschnitt 7 einzusetzen.

5.5 Unterstützung bei Betroffenenrechten

Unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, dabei zu unterstützen, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte betroffener Personen gemäß Kapitel III der DSGVO nachzukommen.

5.6 Unterstützung bei sonstigen Pflichten des Verantwortlichen

Den Verantwortlichen dabei zu unterstützen, die Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 DSGVO zu gewährleisten, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

5.7 Rückgabe oder Löschung bei Beendigung der Dienste

Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der auf die Verarbeitung bezogenen Dienstleistungen zu löschen oder dem Verantwortlichen zurückzugeben und bestehende Kopien zu löschen, sofern nicht das Recht der Union oder der Mitgliedstaaten die Speicherung der personenbezogenen Daten verlangt. Der Auftragsverarbeiter löscht personenbezogene Daten innerhalb von 90 Tagen nach Beendigung der Dienste, außer wenn eine längere Aufbewahrung gemäß Abschnitt 9 erforderlich ist.

5.8 Verarbeitungsverzeichnis

Ein schriftliches Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die im Auftrag des Verantwortlichen durchgeführt werden, wie es Artikel 30 Abs. 2 DSGVO erfordert.

5.9 Audits

Dem Verantwortlichen alle Informationen bereitzustellen, die erforderlich sind, um die Einhaltung von Artikel 28 DSGVO nachzuweisen, und Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten anderen Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen. Der Verantwortliche trägt alle Kosten solcher Audits, die über die Bereitstellung der dem Verantwortlichen über die Dienste bereits zugänglichen Standardinformationen hinausgehen. Der Verantwortliche hat eine angemessene Vorankündigung (mindestens 30 Tage) zu geben, Audits während der normalen Geschäftszeiten durchzuführen und den Betrieb des Auftragsverarbeiters nicht zu stören.

6. Pflichten des Verantwortlichen

Der Verantwortliche versichert, dass:

  • Er eine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO (und, soweit anwendbar, Artikel 9 DSGVO) für alle personenbezogenen Daten festgelegt hat, die er dem Auftragsverarbeiter über die Dienste zur Verfügung stellt;
  • Er betroffenen Personen alle erforderlichen Transparenzinformationen gemäß den Artikeln 13 und 14 DSGVO bereitgestellt hat, einschließlich der Tatsache, dass Cost+ Checkout zur Verarbeitung von Checkout- und Bestelldaten eingesetzt wird;
  • Er Cost+ Checkout ordnungsgemäß konfiguriert hat (einschließlich Flow-Regeln, zugelassener Länder, Zahlungsmethoden und etwaiger benutzerdefinierter Skripte oder Blöcke), sodass die Dienste ausschließlich personenbezogene Daten verarbeiten, die für die rechtmäßigen Zwecke des Händlers erforderlich sind;
  • Er auf Anfragen betroffener Personen, die vom Auftragsverarbeiter weitergeleitet werden, innerhalb der gesetzlich vorgeschriebenen Fristen reagieren wird.

7. Unterauftragsverarbeiter

7.1 Allgemeine Genehmigung

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung, Unterauftragsverarbeiter für die Erbringung der Dienste einzusetzen. Eine Liste der aktuellen Unterauftragsverarbeiter wird in Anhang 2 geführt und von Zeit zu Zeit aktualisiert.

7.2 Mitteilung bei Änderungen

Der Auftragsverarbeiter informiert den Verantwortlichen mit einer Vorlaufzeit von mindestens 30 Tagen über beabsichtigte Änderungen an der Liste der Unterauftragsverarbeiter (Hinzufügung oder Ersatz) und gibt dem Verantwortlichen damit Gelegenheit, aus vertretbaren Gründen Einwände zu erheben. Erhebt der Verantwortliche Einwände und können sich die Parteien nicht innerhalb von 30 Tagen auf eine Lösung einigen, kann der Verantwortliche den betroffenen Teil der Dienste aus wichtigem Grund kündigen.

7.3 Weitergabe von Pflichten

Der Auftragsverarbeiter legt jedem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, wie sie in diesem DPA festgelegt sind, und bleibt dem Verantwortlichen gegenüber vollständig verantwortlich für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters.

8. Internationale Datenübermittlungen

8.1 Primäres Hosting

Der Auftragsverarbeiter hostet die Dienste in der Europäischen Union und verarbeitet personenbezogene Daten vorrangig innerhalb der EU/des EWR. Einige autorisierte Unterauftragsverarbeiter (z. B. bestimmte Zahlungsabwicklungspartner) befinden sich außerhalb des EWR; in diesen Fällen stellt der Auftragsverarbeiter sicher, dass die Übermittlung durch einen Angemessenheitsbeschluss oder durch Standardvertragsklauseln gemäß Abschnitt 8.2 abgesichert ist, und benennt die betreffenden Unterauftragsverarbeiter in Anhang 2.

8.2 Übermittlungen an Unterauftragsverarbeiter

Befindet sich ein Unterauftragsverarbeiter außerhalb der EU/des EWR, stellt der Auftragsverarbeiter sicher, dass Übermittlungen durch einen Angemessenheitsbeschluss gemäß Artikel 45 DSGVO, durch von der Europäischen Kommission angenommene Standardvertragsklauseln (Modul 2: Verantwortlicher–Auftragsverarbeiter oder Modul 3: Auftragsverarbeiter–Auftragsverarbeiter, je nach Sachlage) oder durch einen anderen gültigen Übermittlungsmechanismus gemäß Kapitel V DSGVO abgedeckt sind.

8.3 Weiterübermittlungen

Shopify selbst agiert als eigenverantwortlicher Verantwortlicher in Bezug auf die Kundendaten, die der Verantwortliche in seinen Shopify-Shop eingestellt hat. Der Empfang solcher Daten vom Auftragsverarbeiter von Shopify sowie die Rückübermittlung von durch Shopify erstellten Bestelldaten an Shopify unterliegen Shopifys eigenen Datenschutzbedingungen mit dem Händler und stellen keine Weiterübermittlungen im Sinne dieses DPA dar.

9. Aufbewahrung und Löschung

Der Auftragsverarbeiter bewahrt personenbezogene Daten für folgende Zeiträume auf:

  • Aktive Sitzungsdaten (laufende Checkout-Sitzungen, die nicht abgeschlossen wurden): gelöscht 30 Tage nach Ablauf der Sitzung;
  • Abgeschlossene Bestelldaten (Sitzungen, die zu einer Shopify-Bestellung geführt haben): aufbewahrt für 7 Jahre zur Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten in Estland und den meisten EU-Ländern, danach gelöscht;
  • Zahlungstoken und Autorisierungsnachweise: aufbewahrt für den Aufbewahrungszeitraum der zugrundeliegenden Zahlungsmethode (in der Regel 7 Jahre);
  • Protokolldaten (Anfrage-Logs, Webhook-Zustellungsprotokolle): aufbewahrt für 90 Tage, danach rotiert;
  • Audit-/Sicherheitsereignisprotokolle: aufbewahrt für 1 Jahr.

Nach Beendigung der Dienste löscht oder übergibt der Auftragsverarbeiter personenbezogene Daten gemäß Abschnitt 5.7, vorbehaltlich der nach anwendbarem Recht vorgeschriebenen Aufbewahrungsfristen.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 48 Stunden, nachdem er von einer Verletzung des Schutzes personenbezogener Daten, die die Daten des Verantwortlichen betrifft, Kenntnis erlangt. Die Benachrichtigung enthält mindestens die nach Artikel 33 Abs. 3 DSGVO erforderlichen Informationen, soweit verfügbar, und wird aktualisiert, sobald weitere Informationen bekannt werden.

11. Haftung

Die Haftung der Parteien im Rahmen dieses DPA unterliegt den Haftungsbestimmungen der Nutzungsbedingungen, mit der Maßgabe, dass eine Haftungsbeschränkung in den Nutzungsbedingungen die Haftung für Angelegenheiten, bei denen ein solcher Ausschluss oder eine solche Beschränkung nach dem anwendbaren Datenschutzrecht unzulässig wäre, nicht ausschließt oder begrenzt.

12. Anwendbares Recht und Gerichtsstand

Dieser DPA unterliegt dem Recht Estlands, ohne Berücksichtigung seiner kollisionsrechtlichen Vorschriften. Die Parteien unterwerfen sich der ausschließlichen Zuständigkeit der Gerichte des Landkreises Harju, Estland, für alle Streitigkeiten, die aus diesem DPA entstehen oder damit zusammenhängen, vorbehaltlich zwingender gesetzlicher Bestimmungen über die Zuständigkeit in Verbraucher- oder Betroffenenstreitigkeiten.

13. Laufzeit und Kündigung

Dieser DPA tritt mit dem Datum in Kraft, an dem der Verantwortliche die Dienste erstmals installiert oder nutzt, und endet automatisch mit Beendigung der Nutzungsbedingungen. Klauseln, die ihrem Wesen nach die Beendigung überdauern sollen (einschließlich der Abschnitte 5.7, 9, 10 und 12), bleiben wirksam.

14. Gesamte Vereinbarung

Dieser DPA bildet zusammen mit den Nutzungsbedingungen unter https://costplus.io/shopify-app-terms.html und der Datenschutzerklärung unter https://costplus.io/privacy-policy.html die gesamte Vereinbarung zwischen den Parteien hinsichtlich des Vertragsgegenstands und ersetzt alle früheren Vereinbarungen und Absprachen.

Anhang 1 — Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter implementiert folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:

Verschlüsselung

  • Alle Daten während der Übertragung werden mit TLS 1.2 oder höher verschlüsselt; die Zertifikate werden über Let's Encrypt mit automatischer Rotation verwaltet.
  • Shopify API-Zugriffstoken und Zugangsdaten für Drittanbieter-Zahlungsdienstleister werden im Ruhezustand mit AES-256-GCM verschlüsselt, wobei die anwendungsebenenspezifischen Schlüssel über HashiCorp Vault Transit oder ein gleichwertiges Schlüsselverwaltungssystem verwaltet werden.
  • Datenbanksicherungen werden vor der Übertragung in einen externen Speicher verschlüsselt.

Zugriffskontrolle

  • Der Zugriff auf Produktionssysteme ist auf einen definierten Kreis autorisierter Mitarbeiter mit individuell identifizierbaren Konten beschränkt – mit SSH-Key-Authentifizierung für den Serverzugriff sowie hardware-gestützter oder TOTP-basierter Multi-Faktor-Authentifizierung für administrative Schnittstellen.
  • Passwörter für Händler auf Anwendungsebene werden mit Argon2id und speicherintensiven Parametern gehasht.
  • Der Zugriff auf personenbezogene Daten wird protokolliert und gemäß Abschnitt 9 des DPA aufbewahrt.

Infrastruktur

  • Die Dienste werden in Rechenzentren der Klasse Tier-III oder gleichwertig innerhalb der Europäischen Union betrieben.
  • Logische Trennung zwischen Test- und Produktionsumgebungen; Produktionsdaten werden nicht in Entwicklungs- oder Testumgebungen verwendet.
  • Regelmäßiges Patching von Betriebssystemen, Laufzeitumgebungen und Drittanbieter-Abhängigkeiten.

Personal

  • Mitarbeiter mit Zugriff auf personenbezogene Daten sind durch schriftliche Vertraulichkeitsverpflichtungen gebunden, die über das Ende ihres Arbeitsverhältnisses hinaus gelten.
  • Einführungs- und regelmäßige Sicherheitsschulungen für alle Mitarbeiter mit Zugriff auf personenbezogene Daten oder die Produktionsinfrastruktur.

Incident Response

  • Dokumentiertes Verfahren zur Reaktion auf Sicherheitsvorfälle, das Erkennung, Eindämmung, Untersuchung, Benachrichtigung (einschließlich des Verantwortlichen innerhalb von 48 Stunden gemäß Abschnitt 10) und Nachbereitung umfasst.
  • Vierteljährliche Überprüfung der Incident-Response-Verfahren und Kontaktdaten.

Datenverlustprävention

  • Zugriffskontrollen auf Anwendungsebene, die auf einzelne Händler und Sitzungen beschränkt sind; kein Händler kann über die API auf die Daten eines anderen Händlers zugreifen.
  • Auditprotokollierung aller Zugriffe auf personenbezogene Daten, aufbewahrt gemäß Abschnitt 9.
  • Regelmäßige Wiederherstellungstests verschlüsselter Backups.

Sichere Entwicklung

  • Quellcode in einem privaten Repository gehostet, mit erzwungener Überprüfung aller Änderungen vor dem Merge.
  • Automatisiertes Dependency-Scanning und regelmäßige Aktualisierung von Drittanbieter-Bibliotheken.
  • Penetrationstests mindestens einmal jährlich, sobald die Dienste allgemein verfügbar sind.

Anhang 2 — Autorisierte Unterauftragsverarbeiter

Zum Zeitpunkt der letzten Aktualisierung dieses DPA sind folgende Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen autorisiert:

UnterauftragsverarbeiterZweckStandortÜbermittlungsmechanismus
OVH SASCloud-Infrastruktur-Hosting (Compute, Storage, Netzwerk) und verschlüsselte externe BackupsFrankreich (EU)Intra-EWR
SMTP2GOTransaktions- und Benachrichtigungs-E-MailsEUIntra-EWR
Cost+ Zahlungsinfrastruktur (Costplus OÜ)Zahlungstokenisierung, Autorisierung, Erfassung, RückerstattungEUIntra-EWR
Ginger PaymentsZahlungs-Gateway / TransaktionsroutingNiederlande (EU)Intra-EWR
FinteqHubZahlungs-Gateway / OrchestrierungZypern und Litauen (EU)Intra-EWR
ComplyPayBanking-as-a-Service (BaaS) AnbieterDänemark (EU)Intra-EWR
RapydZahlungsabwicklung / -acquiringEU / Vereinigtes KönigreichIntra-EWR; UK-Übermittlungen auf Grundlage des EU–UK-Angemessenheitsbeschlusses
SHIFT4Zahlungsabwicklung / -acquiringEU / Vereinigtes KönigreichIntra-EWR; UK-Übermittlungen auf Grundlage des EU–UK-Angemessenheitsbeschlusses
ElavonZahlungsabwicklung / -acquiringEU / Vereinigtes KönigreichIntra-EWR; UK-Übermittlungen auf Grundlage des EU–UK-Angemessenheitsbeschlusses
ClearhausZahlungsabwicklung / -acquiringDänemark (EU)Intra-EWR
PayneticsZahlungsabwicklung / E-Geld-AusgabeBulgarien (EU)Intra-EWR
DiditIdentitätsprüfung, KYB / KYC / AML-ComplianceVereinigte Staaten / Spanien (EU)Standardvertragsklauseln (Art. 46 DSGVO)

Der Auftragsverarbeiter hält eine aktuelle Version dieser Liste unter https://costplus.io/dpa/sub-processors bereit und informiert den Verantwortlichen über alle Ergänzungen oder Änderungen gemäß Abschnitt 7.2 dieses DPA.

Ende des Auftragsverarbeitungsvertrags.