Datenschutzerklärung / Privacy Policy

Move To Shop GmbH – Shopify-App „Move To Shop“
Version: 2.1 · Letzte Aktualisierung: März 2026 (Release zur Shopify-Einreichung)
Kanonische URL für Shopify und Öffentlichkeit: https://movetoshop.de/privacy.html · Aufruf über app.movetoshop.de/privacy leitet hierher weiter.

1. Verantwortlicher / Verantwortliche Stelle

Verantwortlicher im Sinne der DSGVO: Geschäftsführung (siehe Impressum).

2. Übersicht

Diese Datenschutzerklärung informiert Sie darüber, wie die Shopify-App „Move To Shop“ (im Folgenden „die App“, „wir“, „uns“) personenbezogene Daten verarbeitet, die im Zusammenhang mit der Nutzung der App durch Händler und deren Kunden anfallen.

Die App ist eine Multi-Shop-Verwaltungsanwendung, die Händlern hilft, ihre Shopify-Shops zu verwalten, Produkte zu importieren, Bestellungen zu bearbeiten und verschiedene Integrationen (Bidex, DST, TriCon usw.) zu nutzen.

3. Welche Daten werden verarbeitet?

3.1 Daten von Händlern (Shop-Betreibern)

Wenn Sie die App installieren, verarbeiten wir u. a.:

• Shop-Informationen: Shop-Domain, Name, E-Mail, Plan, Währung, Zeitzone, Installationsdatum, letzter Login
• Authentifizierungsdaten: Shopify Access Token (verschlüsselt), OAuth-Status
• Konfigurationsdaten: API-Schlüssel externer Dienste (verschlüsselt), App-Einstellungen, Modul-Aktivierungen

3.2 Daten von Kunden der Händler

Über die Shopify-API u. a.:

• Bestelldaten: Bestellnummer, Datum, Status, Wert, Zahlungsstatus, Adressen, Line Items
• Kundendaten: Name, E-Mail, Telefon, Adressen, Kunden-ID, Tags, Notizen
• Produktdaten: Name, Beschreibung, Preis, Bilder, Varianten, Lagerbestand, Metafields
• Analysedaten: Aggregierte Auswertungen, Top-Produkte

3.3 Shopify-API-Zugriffe (Scopes)

Bei Installation erteilen Sie der App die in Shopify angezeigten Berechtigungen. Entsprechend der Konfiguration in unserer App können u. a. folgende Datenkategorien aus Shopify gelesen oder geschrieben werden: Produkte und Medien, Inventar und Standorte, Bestellungen und zugehörige Fulfillment-/Versanddaten, Kundendaten (soweit für abgewickelte Bestellungen erforderlich), Rabatte und Preisregeln, Online-Store-Navigation, merchant-managed Fulfillment Orders. Die konkret wirksamen Scopes ergeben sich jeweils aus dem Berechtigungsdialog bei Installation bzw. Aktualisierung der App in Ihrem Shop; die Nutzungsbedingungen und unsere technische Dokumentation beschreiben die funktionale Verwendung.

4. Zweck der Datenverarbeitung

4.1 App-Funktionalität

• Produktverwaltung (Import/Sync Bidex, DST, TriCon)
• Bestell- und Kundenverwaltung
• Versandzonen und Fulfillments
• Preisregeln und Rabatte
• Analysen (Umsatz, Bestellungen, Top-Produkte)

4.2 Technische Funktionalität

• OAuth, API-Kommunikation, Datenbank, Logging

4.3 Shopify-Erweiterungen (Theme & Checkout)

Theme- und Checkout-Erweiterungen können – wenn aktiviert – Netzwerkzugriff nutzen, um Inhalte von app.movetoshop.de zu laden. Verarbeitung personenbezogener Daten nur soweit für die Funktion und im Auftrag des Händlers nötig.

4.4 Externe Integrationen

Bidex, DST, TriCon, VeloConnect, JobRad Leasing, Versicherungsdienstleister u. a. – Datenübermittlung im Auftrag des Händlers bei aktiver Nutzung.

5. Rechtsgrundlage

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag App-Nutzung)
• Art. 6 Abs. 1 lit. f DSGVO (Betrieb und Sicherheit)
• Art. 28 DSGVO (Auftragsverarbeitung zugunsten des Händlers)

6. Auftragsverarbeitung und Verantwortlichkeit im Shopify-Kontext

Händler als Verantwortlicher: Sie sind im Verhältnis zu Ihren Endkunden in der Regel der datenschutzrechtlich Verantwortliche für die Verarbeitung von Bestell-, Kunden- und Shopdaten. Wir verarbeiten solche Daten, soweit sie über die Shopify-API in die App gelangen, in Ihrem Auftrag und auf Ihre Weisung zur Bereitstellung der von Ihnen gewählten App-Funktionen (Art. 28 DSGVO), sofern diese Verarbeitung nicht bereits durch unser eigenes Verhältnis zu Ihnen als Vertragspartner der App gerechtfertigt ist (Art. 6 Abs. 1 lit. b DSGVO).

Auftragsverarbeitungsvertrag (AV-Vertrag): Die von Shopify bereitgestellten Standardbedingungen für App-Entwickler und Händler sowie unser Angebot, auf Anfrage gesonderte AV-Vertragstexte oder Ergänzungen bereitzustellen, regeln die Pflichten als Auftragsverarbeiter. Fordern Sie hierzu Unterlagen an: info@movetoshop.de.

Shopify: Shopify kann je nach Konstellation selbst Verantwortlicher oder Verarbeiter für bestimmte Verarbeitungen sein. Bitte beachten Sie die Datenschutzinformationen von Shopify und Ihre vertraglichen Vereinbarungen mit Shopify.

7. Datenweitergabe und Empfänger

Eine Übermittlung Ihrer Daten zu Zwecken des werblichen Profilings durch uns findet nicht statt.

Interne Empfänger: Beschäftigte und beauftragte Teams der Move To Shop GmbH mit strengem Need-to-know-Zugriff.

Auftragsverarbeiter (Hosting & Infrastruktur): Rechenzentrums- bzw. Hosting-Dienstleister, bei denen unsere Anwendung und Datenbanken betrieben werden (vorzugsweise EU/EWR; sofern Drittland: geeignete Garantien z. B. nach Art. 46 DSGVO). Konkrete Unterauftragsverarbeiter nennen wir Ihnen im AV-Vertrag oder auf Anfrage in aktualisierter Liste.

Shopify: Übertragung technischer und geschäftsbezogener Daten an Shopify im Rahmen der App-Installation, API-Nutzung und ggf. Billing gemäß Shopify-Richtlinien.

Von Ihnen angestoßene Integrationen: Wenn Sie Schnittstellen zu BIDEX, DST, TriCon, VeloConnect, JobRad-Leasing, Versicherungsdienstleistern o. Ä. aktivieren und Datenübermittlung stattfindet, sind die jeweiligen Betreiber Empfänger im Sinne Ihrer Weisungen. Maßgeblich sind deren Datenschutzhinweise und Ihre Vereinbarungen mit diesen Partnern.

Behörden: Übermittlung, wenn wir gesetzlich oder durch durchsetzbare behördliche Anordnung dazu verpflichtet sind.

8. Datensicherheit

Wir setzen organisatorische und technische Maßnahmen ein, die dem Stand der Technik angemessen sind, insbesondere: Verschlüsselung der Übertragung (HTTPS/TLS), Verschlüsselung oder gehashte Speicherung besonders sensibler Konfigurationsdaten (z. B. API-Schlüssel in der von uns dokumentierten Form), Zugriffsbeschränkungen, Protokollierung sicherheitsrelevanter Ereignisse, getrennte Test-/Produktionsumgebungen soweit betrieben, regelmäßige Sicherungen mit rotierender Aufbewahrung. Ein absolutes Schutzniveau kann nicht garantiert werden.

9. Speicherdauer und Löschung

• Aktive Installation: Daten werden gespeichert, solange die App im Shop installiert ist und eine Berechtigung zur Verarbeitung besteht.
• Nach Deinstallation: Shop- und tokenbezogene Daten werden gelöscht oder anonymisiert, sobald der von Shopify ausgelöste Deinstallationsprozess dies erlaubt; typischerweise unverzüglich nach Webhook „app/uninstalled“. Restbestände in Backups werden im rotierenden Zyklus überschrieben.
• Protokolle (Server-/Anwendungslogs): in der Regel bis zu 90 Tage, sofern keine längere Aufbewahrung zur Beweissicherung oder aus sonstigem berechtigtem Interesse erforderlich ist.
• Gesetzliche Aufbewahrung: steht einer Löschung nicht entgegen, bewahren wir Daten in dem Umfang und für die Dauer gesetzlicher Pflichten auf (z. B. handels- oder steuerrechtliche Fristen), danach Löschung oder Anonymisierung.
• Betroffenenanfragen: Bearbeitung in der Regel innerhalb eines Monats nach Art. 12 Abs. 3 DSGVO; in komplexen Fällen kann eine Verlängerung um weitere zwei Monate mit Begründung erforderlich sein.

Zur Ausübung Ihrer Rechte oder zur Koordinierung einer Löschung kontaktieren Sie uns unter info@movetoshop.de. Die Deinstallation der App über den Shopify-Admin ist der reguläre Weg zur Beendigung der Datenverarbeitung durch uns für den jeweiligen Shop.

10. Ihre Rechte (Art. 15–22 DSGVO)

Soweit die Voraussetzungen vorliegen, haben Sie das Recht auf Auskunft über die verarbeiteten Daten, auf Berichtigung unrichtiger Daten, auf Löschung („Recht auf Vergessenwerden“), auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format, sowie – bei Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO – das Recht, der Verarbeitung zu widersprechen, sofern nicht zwingende schutzwürdige Gründe vorliegen.

Sie haben ferner das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Für die Move To Shop GmbH ist z. B. der BayLDB (www.lda.bayern.de) zuständig, soweit Sie uns gegenüber Verantwortlicher sind; für rein auftragsverarbeitungsbezogene Anliegen wenden Sie sich zusätzlich an Ihre führende Aufsichtsbehörde als Shop-Betreiber.

Widerruf von Einwilligungen: Sofern wir Verarbeitungen auf Einwilligung stützen (selten im reinen App-Betrieb), können Sie die Einwilligung mit Wirkung für die Zukunft widerrufen.

11. Automatisierte Entscheidungen

Wir treffen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die Ihnen oder Ihren Endkunden gegenüber rechtliche Wirkung entfalten oder Sie vergleichbar erheblich beeinträchtigen. Logik der App beschränkt sich auf die von Ihnen konfigurierten Geschäftsregeln (z. B. Sync-Frequenz, Mapping von Produktfeldern) ohne autonomes „Scoring“ von Personen ohne Ihre Steuerung.

12. Cookies und lokale Speicher

Wir setzen keine werblichen Tracking-Cookies auf Händler-Seite ein. Für die eingebettete App kann eine sitzungsbasierte Authentifizierung technisch notwendige Cookies oder vergleichbare Mechanismen (z. B. Session-Token serverseitig) verwenden. Theme-/Checkout-Erweiterungen können – je nach Implementierung – ausschließlich funktionale Speicherung nutzen, um angezeigte Inhalte zu laden; keine Verkauf personenbezogener Daten an Werbenetzwerke durch uns.

13. Internationale Datenübermittlungen

Unsere primäre Verarbeitung erfolgt in der EU/EWR, soweit Sie keine ausdrückliche Nutzung von Diensten verlangen, die einen anderen Standort erfordern.

Drittlandübermittlung kann insbesondere dann eintreten, wenn Shopify oder ein von Ihnen gewählter Anbieter Daten in Länder außerhalb EU/EWR verarbeitet. Shopify beschreibt Garantien (u. a. Standardvertragsklauseln, ggf. Zertifizierungen) in seinen Datenschutzunterlagen. Wir wählen Subprozessoren und Konfigurationen, die dem jeweils erforderlichen Schutzniveau entsprechen.

14. Besondere Kategorien personenbezogener Daten

Die App ist nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) zu verarbeiten. Sollten solche Informationen dennoch – etwa durch Freitext in Bestellnotizen – in Shopify-Datensätzen enthalten sein, sind Sie verpflichtet, die Rechtmäßigkeit eigenständig zu prüfen und uns nur im erforderlichen Umfang zugänglich zu machen.

15. Minderjährige

Die App richtet sich an Unternehmer und deren Mitarbeiter im Händlerbetrieb. Wir erheben nicht wissentlich Daten von Kindern unter 16 Jahren zu eigenständigen Profilzwecken.

16. Änderungen dieser Erklärung

Bei Änderungen der Verarbeitung oder der Rechtslage passen wir diese Erklärung an. Die maßgebliche öffentliche Version finden Sie unter https://movetoshop.de/privacy.html. Aufruf über https://app.movetoshop.de/privacy liefert denselben Inhalt (ggf. mit HTTP-Umleitung).

17. Kontakt Datenschutz

18. English summary (informational; the German version above prevails)

This section is a non-binding convenience summary for international merchants. The legally controlling text is the German version.

• Controller: Move To Shop GmbH, Germany – contact: info@movetoshop.de.
• What we process: Shop and app configuration, encrypted access tokens, order/customer/product data from Shopify as needed to provide app features you enable.
• Legal bases (GDPR): Contract (Art. 6(1)(b)), legitimate interests for security and operations (Art. 6(1)(f)), processor role towards your store where applicable (Art. 28).
• Retention: Data is deleted after app uninstall per Shopify’s lifecycle and our policy; logs up to ~90 days unless law requires otherwise.
• Rights: Access, rectification, erasure, restriction, portability, objection, complaint to a supervisory authority – contact us at the email above.
• Sub-processors & transfers: Described in the German sections above; EU/EEA primary hosting where practicable; Shopify and integrations you enable may involve further transfers subject to their documentation.
• Other policies: Terms of use · General terms (German) · Legal notice / Impressum.

Stand: März 2026