Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website ist:

Salah Yousefi
Im Bans 15
25421 Pinneberg
Deutschland

E-Mail: [email protected]
Telefon: +49 155 65444829

2. Erhobene Daten

2.1 Registrierung und Konto

Bei der Registrierung erheben wir folgende Daten:

E-Mail-Adresse
Passwort (gespeichert als sicherer bcrypt-Hash)
Datum und Uhrzeit der Registrierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 eBay-Verbindung

Wenn du deinen eBay-Account verbindest, speichern wir OAuth-2.0-Tokens (Access Token und Refresh Token), die verschlüsselt (AES-256) in unserer Datenbank abgelegt werden. Diese Tokens ermöglichen es uns, in deinem Namen auf die eBay API zuzugreifen. Wir speichern und verarbeiten die folgenden Daten, die uns eBay auf Basis deiner Verkäufer-Berechtigung übermittelt:

Bestelldaten: eBay-Bestell-ID, Datum, Artikel, Menge, Preis, Versandkosten, Status
Käuferdaten (öffentlich/auftragsrelevant): Käufername (wie von eBay bereitgestellt), Lieferadresse (Straße, PLZ, Ort, Land), eBay-Benutzername, vom Käufer angegebene Telefonnummer (falls vorhanden)
Nachrichten: Absender, Betreff, Inhalt, Empfangsdatum — soweit diese vom Käufer über das eBay-Nachrichtensystem an dich gesendet werden
Listings: Titel, Beschreibung, Preis, Lagerbestand, Views, Beobachter, Verkaufszahlen
Streitfälle: Fall-ID, Grund, Status, Betrag

Wichtig — was ShopManage NICHT von eBay erhält:

Keine eBay-Kontopasswörter (OAuth-Standard)
Keine Käufer-E-Mail-Adressen über das Maskierungs-System hinaus (eBay anonymisiert diese)
Keine Zahlungsdaten der Käufer (Kreditkarte, PayPal-Details)
Keine Käufer-Standortdaten außer der Lieferadresse

Mandantentrennung: Jeder ShopManage-Account hat eine eindeutige interne Nutzer-ID. Alle gespeicherten Daten (Bestellungen, Nachrichten, Listings, Streitfälle, Aktivitätsprotokolle) sind über diese ID strikt an den jeweiligen Account gebunden. Jede Datenbank-Abfrage filtert verbindlich auf die ID des angemeldeten Nutzers. Ein Zugriff auf Daten anderer Accounts ist technisch ausgeschlossen.

Zugriffsprotokoll (Audit-Log): Jeder Zugriff auf sensitive Datenpfade (Bestellungen, Nachrichten, Streitfälle, Admin-Bereich) wird zusammen mit Zeitstempel, Nutzer-ID, IP-Adresse und User-Agent protokolliert. Diese Logs werden 90 Tage aufbewahrt und dienen ausschließlich der Sicherheits-Forensik.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit als berechtigtes Interesse)

2.3 Zahlungsdaten

Zahlungen werden über Stripe, Inc. abgewickelt. Wir speichern keine vollständigen Kreditkartendaten. Von Stripe erhalten und speichern wir lediglich die Stripe Customer ID und Subscription ID zur Verwaltung deines Abonnements.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.4 Nutzungsdaten

Wir speichern Protokolldaten über die Nutzung des Dienstes (z. B. Anzahl der KI-Nachrichten pro Monat) zur Durchsetzung der Plangrenzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

2.5 IP-Adresse bei Registrierung

Bei der Registrierung speichern wir die IP-Adresse des Nutzers, um den Missbrauch kostenloser Testzugänge (mehrfache Registrierungen) zu verhindern. Die IP-Adresse wird nicht für andere Zwecke verwendet und nicht an Dritte weitergegeben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Schutz vor Missbrauch)

3. Zweck der Datenverarbeitung

Wir verarbeiten deine Daten zu folgenden Zwecken:

Bereitstellung der ShopManage-Plattform und ihrer Funktionen (eBay-Sync, KI-Assistent)
Verwaltung deines Abonnements und deiner Zahlungen
Zusendung transaktionaler E-Mails (Bestätigung, Zahlungshinweise)
Sicherstellung der technischen Verfügbarkeit des Dienstes
Erfüllung gesetzlicher Pflichten

4. Speicherdauer

Wir speichern deine Daten so lange, wie dein Konto aktiv ist oder wie es zur Erbringung des Dienstes notwendig ist. Nach Kündigung deines Kontos werden deine personenbezogenen Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. Aufbewahrung von Rechnungsdaten gem. § 147 AO: 10 Jahre).

5. Eingesetzte Drittanbieter

5.1 Stripe (Zahlungsabwicklung)

Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
Stripe verarbeitet Zahlungsdaten im Auftrag. Datenschutzrichtlinie: stripe.com/de/privacy
Stripe ist nach EU-U.S. Data Privacy Framework zertifiziert.
Wir nutzen Stripe und haben mit ihnen einen Auftragsverarbeitungs-Vertrag (DPA) gemäß Art. 28 DSGVO geschlossen.

5.2 Resend (E-Mail-Versand)

Für den Versand transaktionaler E-Mails (Verifizierung, Zahlungshinweise, Systembenachrichtigungen) nutzen wir Resend. Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.
Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO.
Datenschutzrichtlinie: resend.com/legal/privacy-policy

5.3 eBay (Drittplattform)

Zur Synchronisierung deiner eBay-Daten kommuniziert ShopManage mit der eBay-API (eBay GmbH, Albert-Einstein-Ring 2–6, 14532 Kleinmachnow). Die Datenübertragung zu eBay erfolgt ausschließlich auf deine Anweisung. Datenschutz: eBay Datenschutzerklärung

5.4 Hosting & Cloudflare

Der Dienst wird auf Servern in Deutschland betrieben. Zur Absicherung der Website und zur Abwehr von Angriffen (DDoS-Schutz, Bot-Filterung) setzen wir den Dienst Cloudflare (Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA) als CDN/Proxy ein. Die Datenübermittlung in die USA ist durch das EU-U.S. Data Privacy Framework sowie entsprechende Standardvertragsklauseln rechtlich abgesichert. Datenschutz: cloudflare.com/de-de/privacypolicy

5.5 KI-Schnittstellen zur Datenverarbeitung

Zur automatisierten Beantwortung von eBay-Nachrichten und Analyse von Shop-Daten werden Nachrichteninhalte (Käufernachrichten, Bestellkontext) verschlüsselt an externe KI-Dienste übermittelt. Wir setzen folgende Anbieter in einem Failover-Setup ein — es wird jeweils nur einer pro Anfrage kontaktiert. Die übermittelten Daten enthalten keine Zahlungsdaten und werden von den Anbietern vertraglich nicht zum Training ihrer Modelle genutzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Groq, Inc.
101 Forest Ave, Palo Alto, CA 94301, USA
Zweck: KI-Sprachmodell (Primär-Anbieter) zur Analyse und Generierung von Antworttexten.
Übermittelte Daten: Käufernachrichten, Bestellkontext (pseudonymisiert).
Drittlandübermittlung (USA) auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Datenschutz: groq.com/privacy-policy

Google LLC (Gemini API)
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Zweck: KI-Sprachmodell (Fallback) zur Analyse und Generierung von Antworttexten.
Übermittelte Daten: Käufernachrichten, Bestellkontext (pseudonymisiert).
Drittlandübermittlung (USA) auf Basis von Standardvertragsklauseln; Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
Datenschutz: policies.google.com/privacy

Anthropic PBC
548 Market Street, PMB 90375, San Francisco, CA 94104, USA
Zweck: KI-Sprachmodell (letzter Fallback) zur Analyse und Generierung von Antworttexten.
Übermittelte Daten: Käufernachrichten, Bestellkontext (pseudonymisiert).
Drittlandübermittlung (USA) auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Datenschutz: anthropic.com/privacy

5b. Serverseitige Performance-Analyse

Wir nutzen zur Optimierung unserer Dienste serverseitige Log-Analysen. Hierbei werden technische Parameter (z. B. Antwortzeiten der API, Auslastung der Server, HTTP-Status-Codes) in pseudonymer Form ausgewertet, um die Stabilität unseres SaaS-Dashboards zu gewährleisten. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

Tracking-Pixel oder Third-Party-Analytics: Wir setzen keine Tools wie Google Analytics, Facebook Pixel, Hotjar o.ä. ein. Es findet keine Profilbildung und kein Cross-Site-Tracking statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien Bereitstellung unserer Software).

5a. Auftragsverarbeitung (AVV)

Sofern ShopManage personenbezogene Daten deiner Käufer in deinem Auftrag verarbeitet (z. B. bei Synchronisierung von eBay-Bestelldaten zur Versandabwicklung), kommt zwischen dir und dem Betreiber ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zustande. Der AV-Vertrag kann jederzeit per E-Mail an [email protected] angefordert und in elektronischer Form abgeschlossen werden.

6. Weitergabe an Dritte

Eine Weitergabe deiner personenbezogenen Daten an Dritte findet nur statt, soweit dies für die Vertragserfüllung notwendig ist (z. B. Stripe für die Zahlungsabwicklung) oder du ausdrücklich eingewilligt hast. Eine Weitergabe zu Marketingzwecken oder an Werbetreibende findet nicht statt.

7. Deine Rechte (Art. 15–21 DSGVO)

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

Auskunft (Art. 15 DSGVO): Du kannst jederzeit Auskunft über die von uns gespeicherten Daten verlangen.
Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen.
Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen („Recht auf Vergessenwerden").
Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO): Du kannst die Herausgabe deiner Daten in maschinenlesbarem Format verlangen.
Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten widersprechen.

Zur Ausübung dieser Rechte wende dich an: [email protected]

Du hast außerdem das Recht, dich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren.

8. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um deine Daten zu schützen:

Verschlüsselte Übertragung via HTTPS/TLS
Verschlüsselte Speicherung von eBay-OAuth-Tokens
Passwörter werden ausschließlich als bcrypt-Hash gespeichert
Zugriffsbeschränkungen auf Datenbankebene

9. Cookies und lokaler Speicher

ShopManage verwendet folgende Cookies:

session (Session-Cookie): Speichert die Login-Information. Flags: Secure; HttpOnly; SameSite=Lax. Gültigkeit: bis zum Schließen des Browsers oder Logout. Technisch notwendig.
csrf_token: Schutz vor Cross-Site-Request-Forgery-Angriffen. Flags: Secure; HttpOnly. Gültigkeit: 1 Stunde. Technisch notwendig.
cookie_consent: Speichert deine Einwilligung zum Cookie-Banner. Werte: all oder essential. Gültigkeit: 12 Monate. Wird erst nach aktiver Auswahl gesetzt.

Keine Drittanbieter-Cookies: ShopManage setzt aktuell keine Tracking-, Analyse- oder Werbe-Cookies ein. Es findet kein Tracking-Pixel-Einsatz statt.

Lokaler Speicher (localStorage): Wir verwenden den browserlokalen Speicher nur für UI-Präferenzen (z. B. dunkles/helles Theme). Diese Daten verlassen niemals deinen Browser.

10. Kontakt für Datenschutzanfragen

Für alle Anfragen zum Datenschutz erreichst du uns unter:

E-Mail: [email protected]
Post: Salah Yousefi, Im Bans 15, 25421 Pinneberg