Datenverarbeitungszusatz
Dieser Shoprocket Datenverarbeitungszusatz ("Zusatz") ändert die Shoprocket Allgemeinen Geschäftsbedingungen ("Vereinbarung") zwischen Ihnen ("Sie") und Shoprocket LTD (Firmen-Nr. 12656598, registriert in England & Wales unter 20-22 Wenlock Road, London, NG 17U). Wenn Sie einen separaten SLA mit Shoprocket haben, beziehen sich Verweise auf die Vereinbarung auf diesen SLA. Dieser Zusatz unterliegt der Vereinbarung und ist in diese integriert. Ein Begriff, der hier großgeschrieben ist und nicht definiert ist, hat die Bedeutung, die in der Vereinbarung angegeben ist.
Definitionen
Kontoeinstellungen: Konfigurationen für Ihr Shoprocket-Konto (einschließlich Sicherheit), die es Ihnen ermöglichen, zu verwalten, wie Shoprocket personenbezogene Daten verarbeitet.
Geschäftszwecke: Die in der Vereinbarung definierten Dienstleistungen.
Kundendaten: Personenbezogene Daten über Ihre Beziehung zu Shoprocket (z. B. autorisierte Kontakte, Abrechnungsdetails), sowie Informationen, die Shoprocket für das Kontomanagement, Identitätsprüfungen oder gesetzliche Anforderungen sammelt.
Nutzungsdaten des Kunden: Nutzungsdaten, die von Shoprocket im Zusammenhang mit Ihrer Nutzung der Dienste verarbeitet werden (z. B. Protokolle, Leistungskennzahlen, Daten zur Missbrauchsprävention).
Datenrechtliche Bestimmungen: Umfasst das CCPA, die EU-DSGVO, das Schweizer Bundesgesetz über den Datenschutz, die UK-DSGVO, das DPA 2018 und das PECR 2003, jeweils in der aktualisierten Fassung. Begriffe (z. B. "Datenverantwortlicher", "Auftragsverarbeiter") folgen der EU-DSGVO.
EEA: Europäischer Wirtschaftsraum.
EU-SCCs: Die Standardvertragsklauseln gemäß der Kommissionsentscheidung 2021/914.
Ex-EEA-Übertragung: Eine Übertragung personenbezogener Daten (unter der EU-DSGVO) außerhalb des EEA ohne eine Angemessenheitsentscheidung nach Artikel 45 der EU-DSGVO.
Ex-UK-Übertragung: Eine Übertragung personenbezogener Daten (unter der UK-DSGVO) außerhalb des UK ohne eine Angemessenheitsentscheidung des britischen Staatssekretärs.
Service Provider: Wie im CCPA definiert.
Dienste: Die Werkzeuge von Shoprocket zur Erstellung/Verwaltung von Online-Shops ("Shoprocket Store"), zur Abwicklung von Produkten, Zahlungen, Versand, Marketing und allen Werkzeugen oder Diensten, die Shoprocket anbieten kann.
Shoprocket-Konto: Ihr Konto, das Zugriff auf die Dienste einschließlich Kontoeinstellungen unter https://www.shoprocket.io gewährt.
Shoprocket Datenschutzrichtlinie: Die Mitteilung unter https://shoprocket.io/privacy, wie aktualisiert.
Shoprocket Store: Ihre E-Commerce-Website, die von Shoprocket gehostet oder ermöglicht wird.
Besondere Kategorien von Daten: Wie in den Artikeln 4(13), 4(14), 4(15) und 9 der EU/UK-DSGVO definiert (sofern zutreffend).
Standardvertragsklauseln (SCCs): Die EU-SCCs und UK-SCCs, je nach Relevanz.
UK-SCCs: Die EU-SCCs, wie sie von dem IDTA-Zusatz des UK ICO geändert wurden.
Wir/Uns/Unser: Shoprocket LTD (einschließlich "Shoprocket" und "Shoprocket.io").
Sie/Ihr: Die vertragliche Partei, die in der Vereinbarung genannt ist.
Kundenanweisungen
Dieser Zusatz und die Vereinbarung (einschließlich der Anweisungen in Ihren Kontoeinstellungen) bilden die dokumentierten Anweisungen dafür, wie Shoprocket personenbezogene Daten verarbeitet. Shoprocket wird personenbezogene Daten nur gemäß den Anweisungen verarbeiten. Zusätzliche Anweisungen außerhalb dieser Bedingungen erfordern eine vorherige schriftliche Zustimmung (und können zusätzliche Gebühren nach sich ziehen).
Shoprocket kann diesen Zusatz und die Vereinbarung beenden, wenn Ihre Anweisungen den datenschutzrechtlichen Bestimmungen widersprechen oder von den vereinbarten Anweisungen abweichen. Angesichts der Art der Verarbeitung kann Shoprocket im Allgemeinen nicht beurteilen, ob Ihre Anweisungen gegen das Gesetz verstoßen; falls dies der Fall ist, wird es Sie informieren, und Sie können die Anweisungen ändern oder zurückziehen.
Datenverarbeitung
Die Verarbeitung durch Shoprocket
Datenverarbeiter/Service Provider: Mit Ausnahme von Kundendaten und Nutzungsdaten verarbeitet Shoprocket personenbezogene Daten (unter der EU/UK-DSGVO) oder persönliche Informationen (unter dem CCPA) in Ihrem Auftrag.
Unabhängiger Datenverantwortlicher: Shoprocket ist ein Datenverantwortlicher für personenbezogene Daten, die direkt von Shop-Kunden gesammelt werden, sowie für Kundendaten oder Nutzungsdaten.
Speicherung
Personenbezogene Daten werden auf Folgendem gespeichert:
AWS-Server in Irland (oder anderen EEA-Regionen),
Hetzner-Server in Nürnberg/Falkenstein (Deutschland).
Umfang und Zweck
Shoprocket verarbeitet personenbezogene Daten nur soweit erforderlich für die von Ihnen angegebenen Geschäftszwecke (übereinstimmend mit den gekauften Dienstleistungen) und in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen.
Falls gesetzlich erforderlich, anders zu verarbeiten, wird Shoprocket Sie benachrichtigen, es sei denn, das Gesetz verbietet dies.
Shoprocket folgt unverzüglich Ihren schriftlichen Anweisungen zur Berichtigung, Übertragung oder Löschung personenbezogener Daten oder zur Beendigung unbefugter Verarbeitung.
Shoprocket hält personenbezogene Daten vertraulich, es sei denn, die Offenlegung ist autorisiert oder gesetzlich erforderlich.
Shoprocket unterstützt Sie kostenlos bei Ihren Compliance-Verpflichtungen (z. B. Anfragen von betroffenen Personen, DPIAs).
Shoprocket informiert Sie über rechtliche Änderungen, die die Vereinbarung oder diesen Zusatz betreffen könnten.
Shoprocket als unabhängiger Datenverantwortlicher
Für Kundendaten und Nutzungsdaten ist Shoprocket kein gemeinsamer Verantwortlicher, sondern verarbeitet diese Daten zur Verwaltung der Beziehung zu Ihnen, zur Verhinderung von Betrug/Sicherheitsvorfällen, zur Erfüllung gesetzlicher Verpflichtungen usw., gemäß der Datenschutzrichtlinie von Shoprocket.
CCPA
Außer für Kundendaten und Nutzungsdaten ist Shoprocket Ihr Service Provider unter dem CCPA; es wird solche persönlichen Informationen nicht "verkaufen" und nutzt sie nur zur Erbringung der Dienste oder wie gesetzlich erlaubt.
Add-Ons
Sie können Drittanbieter-Add-Ons ("Add-Ons") gemäß separaten EULAs mit jedem Anbieter integrieren. Shoprocket überträgt die erforderlichen personenbezogenen Daten an den Add-On-Anbieter, ist jedoch nicht für deren Verarbeitung verantwortlich. Aktuelle von Shoprocket angebotene Add-Ons umfassen:
Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Multichannel Fulfillment und Synchronisierung.
Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Zahlungsintegrationen, die verschiedene Zahlungsmethoden/Währungen unterstützen.
Zapier: Automatisiert Datenübertragungen/Workflows zwischen Shoprocket und anderen Anwendungen.
Wenn Shoprocket und Sie SCCs haben, gilt Ihre Anweisung zur Integration von Add-Ons als Zustimmung zur Übertragung personenbezogener Daten an diese Add-On-Anbieter, sofern dies von den SCCs erforderlich ist.
Ihre Pflichten
Sie sind der Datenverantwortliche für alle personenbezogenen Daten, die von Shoprocket in Ihrem Auftrag gesammelt oder verarbeitet werden.
Sie sind verantwortlich für die Erfüllung der Mitteilungs-/Einwilligungsanforderungen und die Gewährleistung der Einhaltung der datenschutzrechtlichen Bestimmungen.
Arten personenbezogener Daten und Verarbeitungszwecke
Gegenstand: Personenbezogene Daten, die Sie in die Dienste hochladen, einschließlich Ihres Shoprocket-Kontos oder -Stores.
Dauer: Von Ihnen bestimmt (bis Sie Ihr Shoprocket-Abonnement oder die entsprechenden Integrationen aussetzen/kündigen).
Zweck: Bereitstellung der Dienste auf Ihre Anweisung (z. B. Betrieb Ihres Shoprocket Stores/Kontos).
Art der Verarbeitung: Die E-Commerce-Plattform von Shoprocket (und alle Unterverarbeiter/Add-On-Anbieter) kann personenbezogene Daten speichern oder verarbeiten.
Arten personenbezogener Daten: Daten, die Sie hochladen (z. B. Kontaktinformationen, Kundendetails, Transaktionsaufzeichnungen).
Datenstands: Sie, Ihre Kunden, Mitarbeiter, Auftragnehmer, Agenten, Lieferanten oder Verkäufer.
Datensicherheit
Shoprocket wird angemessene technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust oder Zerstörung zu schützen, gemäß Artikel 32 der EU/UK-DSGVO. Zu den Maßnahmen gehören (falls angemessen):
Pseudonymisierung/Verschlüsselung von Daten;
Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme;
Wiederherstellung der Datenverfügbarkeit in angemessener Zeit nach Vorfällen;
Regelmäßiges Testen, Bewerten und Evaluieren dieser Maßnahmen.
Die Mitarbeiter von Shoprocket
Shoprocket stellt sicher, dass Mitarbeiter, Auftragnehmer und Agenten, die mit personenbezogenen Daten umgehen, geschult, zur Vertraulichkeit verpflichtet und sich ihrer Verpflichtungen zum Datenschutz voll bewusst sind.
Sicherheit (erneut dargestellt)
Shoprocket aktualisiert kontinuierlich technische/organisatorische Schutzmaßnahmen zur Verhinderung unbefugter Verarbeitung, einschließlich Verschlüsselung, Systemwiderstandsfähigkeit, Wiederherstellbarkeit und Effektivitätstests.
Datenschutzverletzung
Benachrichtigung
Shoprocket benachrichtigt Sie innerhalb von 72 Stunden (und ohne unangemessene Verzögerung), wenn es Kenntnis erlangt von:
Verlust/Schäden an personenbezogenen Daten;
Jeder versehentlichen, unbefugten oder unrechtmäßigen Verarbeitung;
Einer Datenschutzverletzung.
Informationen
Shoprocket stellt eine Beschreibung des Vorfalls, der betroffenen Datenkategorien/-zahlen und der Maßnahmen, die ergriffen oder vorgeschlagen wurden, um die Auswirkungen zu mildern.
Zusammenarbeit
Shoprocket koordiniert mit Ihnen bei der Untersuchung und informiert Dritte nicht ohne Ihre schriftliche Zustimmung, es sei denn, dies ist gesetzlich erforderlich.
Kosten
Shoprocket deckt angemessene Kosten für diese Verpflichtungen, es sei denn, der Vorfall ergibt sich aus Ihren Anweisungen, Fahrlässigkeit oder Vertragspflichtverletzungen, in diesem Fall tragen Sie die angemessenen Kosten von Shoprocket (einschließlich der professionellen Berater).
Unterverarbeiter
Shoprocket verwendet derzeit diese Unterverarbeiter für das Hosting/Verarbeitung von Daten, Infrastruktur-/Netzwerkanwendungen oder anderen Dienstleistungsfunktionen:
| Name | Beschreibung | Standort |
|---|---|---|
| 200OK LLC (Profitwell) | Abonnementberichterstattung/Analytik. | MA, USA |
| Amazon Web Services EMEA SARL | Cloud-Hosting, Computing, Speicherung. | Luxemburg, EU |
| Automattic, Inc. (Gravatar) | Ermöglicht Benutzern das Hochladen von Profilbildern zu Shoprocket-Konten. | CA, USA |
| Cloudflare, Inc. | Netzwerksicherheit und Konnektivität. | CA, USA |
| Crisp IM SAS | Live-Chat- und Kundenmessungsanwendung für Benutzerunterstützung. | Frankreich, EU |
| Facebook Technologies Ireland | Facebook-Pixels für Konversionen, Anzeigeneoptimierung, Audience-Bildung. | Irland, EU |
| Google Ireland Limited | Google Analytics (Verhaltensanalytik), Adwords (Anzeigenplatzierung/Monetarisierung). | Irland, EU |
| GmbH | Cloud-Hosting, Computing und Speicherung. | Deutschland, EU |
| TPS Unlimited, Inc. (Taxjar) | Steuerautomatisierung für EU-Mehrwertsteuer und US-Verkaufssteuer auf Shoprocket-Stores. | CA, USA |
| Twilio, Inc. (Sendgrid) | Multichannel-Messaging (E-Mail, SMS, WhatsApp). | Irland, EU |
| Twitter, Inc. | Twitter-Pixel für Konversionsverfolgung und Anzeigenleistungskennzahlen. | CA, USA |
Sie autorisieren Shoprocket, die oben genannten Unterverarbeiter zu verwenden, und erteilen die allgemeine Genehmigung, dass Shoprocket weitere ("autorisierte Unterverarbeiter") hinzufügen kann. Shoprocket wird Ihnen mindestens 30 Tage im Voraus (über die Website, E-Mail oder Kontobenachrichtigung) mitteilen, bevor ein neuer Unterverarbeiter verwendet wird. Sie können innerhalb von 10 Tagen nach der Benachrichtigung schriftlich aus berechtigten datenschutzrechtlichen Gründen widersprechen. Wenn ein wesentlicher Unterverarbeiter beteiligt ist und kein Ersatz innerhalb von 90 Tagen gefunden wird, können Sie die betreffenden Dienste einstellen oder kündigen (auch wenn noch Gebühren zu zahlen sind).
Wenn Sie innerhalb von 10 Tagen nicht widersprechen, wird der neue Unterverarbeiter als genehmigt betrachtet. Wo Shoprocket einen Unterverarbeiter einsetzt,:
Beschränkt den Zugang nur auf das, was zur Bereitstellung oder Verbesserung der Dienste erforderlich ist;
Verpflichtet ihn zu denselben Datenschutzverpflichtungen;
Bleibt für deren Einhaltung verantwortlich.
Wenn SCCs anwendbar sind, zählt Ihre Genehmigung als vorherige schriftliche Zustimmung gemäß Klausel 9(c) oder relevanten UK-SCC-Klauseln. Shoprocket kann nicht wesentliche kommerzielle Details vor der Bereitstellung von Untervertraglichen Verträgen an Sie redigieren.
Übertragungen personenbezogener Daten
Shoprocket kann personenbezogene Daten außerhalb des EEA, UK oder der Schweiz übermitteln, um die Dienste bereitzustellen (z. B. einige Add-On-Anbieter/Unterverarbeiter in den USA). Wo keine Angemessenheitsentscheidung gilt, wird Shoprocket geeignete Schutzmaßnahmen gemäß den datenschutzrechtlichen Bestimmungen sicherstellen.
Ex-EEA-Übertragungen: Von den EU-SCCs abgedeckt (Modul Eins für Shoprocket als Verantwortlicher, Modul Zwei für Shoprocket als Verarbeiter). Bestimmte Klauseln (z. B. Klausel 7's Docking) gelten nicht; Streitigkeiten unterliegen dem irischen Recht/den Gerichten.
Ex-UK-Übertragungen: Durch den IDTA-Zusatz abgedeckt.
Übertragungen aus der Schweiz: Ähnlich wie die EU-SCCs, mit Modifikationen für das Schweizer FADP.
Zusätzliche Maßnahmen:
Es gibt keine formalen Anfragen für den Datenzugriff durch die Regierung zum Zeitpunkt dieses Zusatzes.
Falls Shoprocket gezwungen ist, Ihre Daten offenzulegen, wird es Sie benachrichtigen (es sei denn, das Gesetz verbietet dies) und hilft Ihnen, Schutzmaßnahmen zu suchen.
Shoprocket und Sie werden regelmäßig darüber diskutieren, ob die Gesetze im Einfuhrland einen gleichwertigen Schutz bieten oder ob zusätzliche Maßnahmen erforderlich sind.
Wenn ein Übertragungsmechanismus ungültig wird oder eine Aufsichtsbehörde ihn aussetzt, kann Shoprocket alternative Regelungen treffen oder Übertragungen aussetzen.
Wenn Sie einen Unterverarbeiter/Add-On außerhalb des EEA genehmigen, autorisieren Sie Shoprocket auch, SCCs in Ihrem Namen zu unterzeichnen.
Beschwerden, Anfragen betroffener Personen und Rechte Dritter
Shoprocket wird Ihnen umgehend alle Informationen oder Unterstützung bereitstellen, die Sie benötigen, um:
Die Rechte betroffener Personen zu erfüllen (Zugriff, Berichtigung, Löschung, Übertragbarkeit, Widerspruch usw.).
Auf Informations-/Bewertungsmitteilungen von Aufsichtsbehörden zu reagieren oder sich daran zu halten.
Shoprocket informiert Sie sofort, wenn es Beschwerden oder Mitteilungen über die Verarbeitung erhält, und innerhalb von 14 Tagen, wenn es eine Anfrage einer betroffenen Person erhält. Shoprocket unterstützt bei der Beantwortung und wird personenbezogene Daten nicht an Dritte weitergeben, es sei denn, dies ist gesetzlich erforderlich oder erfolgt auf Ihre Anweisung.
Laufzeit und Kündigung
Dieser Zusatz bleibt so lange in Kraft, wie die Vereinbarung dies tut, oder Shoprocket personenbezogene Daten aufbewahrt. Bestimmungen, die für den Datenschutz bestehen bleiben müssen, bleiben in Kraft. Jede wesentliche Verletzung dieser DPA ist eine wesentliche Verletzung der Vereinbarung, die Sie berechtigt, sofort ohne weitere Haftung zu kündigen.
Wenn Änderungen der datenschutzrechtlichen Bestimmungen eine Partei daran hindern, ihre Verpflichtungen zu erfüllen, können die Parteien die Verarbeitung aussetzen, bis die Einhaltung erreicht ist. Wenn dies nicht innerhalb von 90 Tagen gelöst wird, kann jede Partei mit sofortiger Wirkung durch Mitteilung kündigen.
Rückgabe und Zerstörung von Daten
Auf Anfrage stellt Shoprocket Ihnen (oder einem Dritten, den Sie schriftlich benennen) Kopien oder Zugriff auf personenbezogene Daten in einem von Ihnen angegebenen Format zur Verfügung (soweit angemessen).
Bei Kündigung gibt Shoprocket personenbezogene Daten zurück oder löscht sie, es sei denn, die weitere Speicherung ist gesetzlich erforderlich. Wenn die Löschung unpraktikabel oder illegal ist, blockiert Shoprocket die weitere Verarbeitung und schützt die Daten weiterhin.
SCC-Zertifikate: Wenn SCCs gelten, wird Shoprocket die Löschung gemäß Klausel 8.1(d) der EU-SCCs (oder UK-SCCs) auf Ihre schriftliche Anfrage hin zertifizieren.
Wenn ein Gesetz/eine Verordnung Shoprocket verpflichtet, bestimmte Daten aufzubewahren, wird es Sie über die Grundlage, den Zeitrahmen informieren und dann löschen, wenn sie nicht mehr erforderlich sind.
Shoprocket zertifiziert die Löschung innerhalb von 30 Tagen nach erfolgreicher Durchführung.
Aufzeichnungen
Shoprocket führt detaillierte, genaue und aktuelle Aufzeichnungen aller Verarbeitung personenbezogener Daten (z. B. Sicherheitsmaßnahmen, Unterverarbeiter, Verarbeitungszwecke, internationale Übertragungen). Diese Aufzeichnungen müssen Ihnen ermöglichen, die Einhaltung von Shoprocket zu überprüfen. Kopien werden auf Anfrage bereitgestellt.
Gewährleistungen
Shoprocket gewährt, dass:
Seine Mitarbeiter, Subunternehmer oder Agenten mit Zugang zu personenbezogenen Daten zuverlässig, vertrauenswürdig und entsprechend geschult sind.
Es personenbezogene Daten in vollem Umfang unter Einhaltung der Datenschutzgesetze und verwandter Gesetze verarbeiten wird.
Es keinen Grund hat zu glauben, dass das Gesetz die Bereitstellung der vereinbarten Dienstleistungen verhindert.
In Anbetracht der Technologie und Kosten wird es angemessene Maßnahmen ergreifen, um unbefugte Verarbeitung oder versehentliche Schäden/Verluste zu verhindern und die Sicherheit im Verhältnis zum Risiko und zur Sensitivität der Daten zu gewährleisten.
Ausführung und Änderungen
Durch die Unterzeichnung der Vereinbarung stimmen Sie diesem Zusatz zu und sind daran gebunden. Shoprocket kann diesen Zusatz mit einer 30-tägigen schriftlichen Vorankündigung aktualisieren, wenn dies aus rechtlichen oder aufsichtsrechtlichen Gründen erforderlich ist. Wenn Sie widersprechen und keine einvernehmliche Lösung gefunden wird, können Sie die betroffenen Dienste durch schriftliche Mitteilung innerhalb dieses Zeitraums kündigen (unter Zahlung aller anfallenden Gebühren). Aus einer solchen Kündigung ergeben sich keine weiteren Ansprüche.
Anlage A
Shoprocket Sicherheitsstandards
(Begriffe, die hier nicht definiert sind, haben die im Zusatz zugewiesene Bedeutung.)
Diese Anlage umreißt die technischen und organisatorischen Maßnahmen von Shoprocket, um:
Personenbezogene Daten gegen versehentlichen oder unrechtmäßigen Verlust, Zugang oder Offenlegung zu sichern;
Vorhersehbare Sicherheitsrisiken zu erkennen und unbefugten Zugriff auf die Dienste (einschließlich Ihres Shoprocket-Kontos) zu verhindern;
Datensicherheitsrisiken durch Risikobewertung und -tests zu minimieren.
Shoprocket beauftragt einen oder mehrere Mitarbeiter, um diese Informationssicherheitspraktiken zu überwachen und auf entsprechende Anfragen zu reagieren.
1. Geteiltes Verantwortungsmodell
Shoprocket ist eine cloudbasierte, SaaS-Anwendung, die gehostet wird von:
Amazon Web Services (AWS) in der Region eu-west-1 (Irland)
Hetzner Online in Falkenstein, Deutschland
AWS betreibt die Haupt-Platform von Shoprocket, Infrastruktur und Daten-Hosting. Hetzner Online stellt zusätzlichen, dedizierten Serverplatz für Bilder, digitale Downloads, Protokolle und Rechnungen bereit. Unter diesem Modell:
Shoprocket verwaltet die Sicherheit auf Anwendungsebene (z. B. Benutzerzugriff, Anwendungs-Patches).
AWS / Hetzner verwalten die physische Sicherheit und die zugrunde liegende Cloud-Umgebung.
Für weitere Informationen zu den Sicherheitsvorkehrungen von AWS und Hetzner siehe deren jeweilige Dokumentationen.
2. AWS- und Hetzner-Server
AWS
Shoprocket wählte AWS nach sorgfältiger Prüfung gemäß den Artikeln 28(3)(c) und 32 der UK-DSGVO. AWS ist unter zahlreichen Standards zertifiziert (z.B. SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) und stellt umfangreiche Compliance-Dokumentationen bereit. Shoprocket konfiguriert AWS so, dass personenbezogene Daten nur in der EU/EEA gespeichert werden.
Hetzner Online
Hetzner Online, zertifiziert nach DIN ISO/IEC 27001, stellt dedizierten Serverplatz für bestimmte Datensicherungen und Protokolle bereit. Die Rechenzentren von Hetzner Online in Nürnberg und Falkenstein werden von Drittparteien geprüft und zertifiziert und implementieren ein Informationssicherheitsmanagementsystem (ISMS).
3. Design, Integrität und Verfügbarkeit der Shoprocket-Anwendung
Architektur: Die Shoprocket-Anwendung wurde mit einem JavaScript-Framework entwickelt und nutzt Amazons Relational Database Service (Amazon RDS) für MySQL.
Hohe Leistung und Redundanz: AWS verwaltet automatisch die Lastverteilung, und Shoprocket führt tägliche Backups in Amazon S3 durch. Backups werden in verschiedenen AWS-Regionen für Widerstandsfähigkeit gespeichert. Zusätzlich werden Backups auf dedizierten Servern von Hetzner Online gespeichert (mit RAID-1-Disk-Systemen).
Sicherheit durch Design: Shoprocket überwacht regelmäßig bekannte Webanfälligkeiten (z. B. OWASP Top Ten) und implementiert XSS-Schutz und Sanitizer. Ein spezialisierter Drittdienstleister testet jährlich den Code und die Infrastruktur auf Schwachstellen, zusätzlich unterstützt von einem Drittanbieter, der eine Schwachstellenscanning-Dienstleistung anbietet.
4. Verschlüsselung
Im Ruhezustand: Personenbezogene Daten auf AWS/Hetzner werden unter Verwendung von AES-256 oder höher verschlüsselt.
Schlüsselverwaltung: Der AWS Key Management Service (KMS) sorgt dafür, dass niemand (einschließlich AWS-Mitarbeiter) auf Klartextschlüssel zugreifen kann; Schlüssel rotieren jährlich. Hetzner implementiert eine vollständige Festplattenverschlüsselung mit AES-256 sowie eine verpflichtende Authentifizierung.
Im Transit: Alle externen Datenübertragungen verwenden TLS 1.2+. APIs und Weboberflächen erfordern HTTPS (keine unverschlüsselten Verbindungen).
5. Einschränkung der Serverstandorte auf die EEA/EU
Shoprocket speichert Daten ausschließlich in der EEA (AWS in Irland, Hetzner in Deutschland), um Risiken im Zusammenhang mit Übertragungen außerhalb der EEA zu minimieren (z. B. Einhaltung der Schrems II-Entscheidung).
6. Verfügbarkeitszonen
Die Front-End-/Back-End-Systeme von Shoprocket sind redundant verteilt über mehrere Verfügbarkeitszonen (sowohl AWS als auch Hetzner). Jede Zone verfügt über mehrere ISPs, Stromquellen und Hochgeschwindigkeitsverbindungen, wodurch hohe Verfügbarkeit und optimale Leistung sichergestellt werden.
7. Einbruchserkennung
Shoprocket verwendet ein Intrusion Detection System (IDS) zur Überwachung:
Protokolldateien auf ungewöhnliche Einträge,
Änderungen der Dateiintegrität,
Netzwerkverkehr (Spoofing, bekannte Exploits, Rootkits),
Portänderungen, und
AWS-Kontoinformationen (z. B. Änderungen in der Konfiguration).
Kritische Anomalien lösen automatische präventive Maßnahmen aus. Das IDS unterstützt auch die Anforderungen von PCI DSS 3.0.
8. Protokollierung / Audit-Trail
Shoprocket protokolliert:
Systemereignisse,
Fehler,
Benutzeraktivitäten,
Datenbankanmeldungen/-anfragen,
Andere sicherheitsrelevante Ereignisse.
Shoprocket erfasst alle Ereignisse in seinen Cloud-Umgebungen mit AWS CloudTrail, um Transparenz und forensische Analysen zu gewährleisten.
9. Überwachung
Shoprocket verwendet mehrere Überwachungstools, um Verfügbarkeit und Leistung sicherzustellen, und verfolgt:
Verfügbarkeit: Anwendungszugänglichkeit, Backend/Systemzustand;
Ressourcen: CPU, Netzwerk-Interfaces, Speichernutzung;
Leistung: Anwendungs-/DatenbankAntwortzeiten;
Sicherheit: IDS-Status, Systemupdates, Fehler-/Zugriffsprotokolle.
Die Mitarbeiter von Shoprocket überwachen auch Sicherheitsupdates, Schwachstellenberichte und relevante Sicherheitsblogs (wie OWASP).
10. Sicherheitsprüfungen und Penetrationstests
Shoprocket führt regelmäßig interne und externe Sicherheitstests durch. Externe Anbieter prüfen auf Schwachstellen, während interne Audits die technischen und organisatorischen Maßnahmen auf ihre Wirksamkeit bewerten.
11. Änderungsmanagement
Shoprocket führt versionierte Repositories für Codeänderungen und eine Staging-Umgebung, die die Produktion spiegelt. Änderungen werden vor der Bereitstellung getestet, um die Rückverfolgbarkeit von Zeit/Inhalt sicherzustellen.
12. Zugriffskontrolle
Bedarfsprinzip: Nur Mitarbeiter, deren Rollen einen Systemzugang erfordern, erhalten diesen.
IAM-Systeme: Die Zugriffskontrolle verwendet AWS/Hetzner Identity Management.
Sicherheit: Backend-Systeme sind nur über sichere, authentifizierte Verbindungen zugänglich. Eine sehr begrenzte Anzahl von Personen hat direkten Zugang zu Daten zu Diagnosezwecken; ein solcher Zugriff wird protokolliert und überwacht.
Anlage B
Grenzüberschreitende Übertragungen
TEIL 1 - ex-EEA-Übertragungen
Beilage I.A der Standardvertragsklauseln (SCCs)
Datenexporteur: Sie (gemäß der Vereinbarung).
Kontaktdaten: Wie in der Vereinbarung.
Rolle: Datenverantwortlicher.
Modul Eins: Datenimporteur ist ein Datenverantwortlicher (für Kundendaten und Nutzungsdaten).
Modul Zwei: Datenimporteur ist ein Datenverarbeiter (für alle anderen personenbezogenen Daten).
Unterschrift/Datum: Durch die Eingabe der Vereinbarung & DPA gilt der Datenexporteur als als Unterzeichner der SCCs ab dem Wirksamkeitsdatum.
Datenimporteur: Shoprocket.
Kontaktdaten: Wie in der Vereinbarung.
Unterschrift/Datum: Durch die Eingabe der Vereinbarung & DPA gilt der Datenimporteur als Unterzeichner der SCCs ab dem Wirksamkeitsdatum.
Beilage I.B der SCCs
Datenstands: In Klausel 4.6 des Zusatzes beschrieben.
Kategorien personenbezogener Daten: In Klausel 4.5 des Zusatzes beschrieben.
Keine besonderen Kategorien von Daten zur Übertragung vorgesehen.
Häufigkeit: Kontinuierlich während der Laufzeit der Vereinbarung.
Art: Siehe Klausel 4.4 des Zusatzes.
Zweck: Siehe Klausel 4.3 des Zusatzes.
Aufbewahrung: Laufzeit der Vereinbarung, sofern nicht anders angegeben.
Übertragungen von Unterverarbeitern: Gegenstand, Art und Dauer gemäß Klausel 9 des Zusatzes.
Beilage I.C der SCCs
Kompetente Aufsichtsbehörde: Wie in Klausel 10(e) des Zusatzes angegeben.
- Shoprocket Sicherheitsstandards (Anlage A) erfüllen die Anforderungen von Anhang II SCC.
Konflikt
Wenn ein Konflikt zwischen den SCCs und der DPA oder der Vereinbarung auftritt, haben die SCCs Vorrang.
TEIL 2 - ex-UK-Übertragungen
Der IDTA-Zusatz gilt für ex-UK-Übertragungen, wirksam ab dem 21. März 2022.
Begriffe, die in der Vereinbarung oder der DPA nicht definiert sind, folgen der Bedeutung in Teil 2 der Anlage 2 (Obligatorische Klauseln).
Teil 1: Tabellen
Tabelle 1 des IDTA-Zusatzes
Tabelle 1
Datenexporteur: Sie (gemäß der Vereinbarung).
Kontaktdaten: Wie in der Vereinbarung.
Unterschrift/Datum: Durch die Eingabe der Vereinbarung & Zusatz gilt der Exporteur als als Unterzeichner des IDTA-Zusatzes ab dem Wirksamkeitsdatum.
Datenimporteur: Shoprocket.
Kontaktdaten: Wie in der Vereinbarung.
Unterschrift/Datum: Durch die Eingabe der Vereinbarung & DPA gilt der Importeur als als Unterzeichner des IDTA-Zusatzes ab dem Wirksamkeitsdatum.
Tabelle 2 des IDTA-Zusatzes
Tabelle 2
Genehmigte EU-SCCs: Die Klauseln/Module aus den genehmigten EU-SCCs, die für diesen Zusatz gelten.
Verwendete Module/Klauseln:
Modul 1 und Modul 2, Klausel 7 und Klausel 11 (Option) gelten nicht, Klausel 9a ist die allgemeine Genehmigung mit einer Frist von 30 Tagen (Zusatzklausel 9.2).
Keine Kombination personenbezogener Daten des Importeurs mit Daten des Exporteurs.
Tabelle 3 des IDTA-Zusatzes
Beilage I.A
Datenexporteur: Sie (Verantwortlicher).
Datenimporteur: Shoprocket (Verantwortlicher für Kunden-/Nutzungsdaten; Verarbeiter für andere personenbezogene Daten).
Unterschrift/Datum: Gilt als unterzeichnet beim Eingeben der Vereinbarung & DPA.
Beilage I.B
Datenstände, Datenkategorien, Fehlen besonderer Kategorien von Daten, kontinuierliche Übertragungen, Art/Zweck der Verarbeitung und Aufbewahrung entsprechen den Klauseln 4.4, 4.3, 4.5, 4.6 des Zusatzes.
Informationen zu Unterverarbeitern gemäß der Zusatzklausel 9.
Beilage III (Liste der Unterverarbeiter) gilt nicht, da Shoprocket die allgemeine Genehmigung verwendet.
Tabelle 4 des IDTA-Zusatzes
Der Importeur kann diesen IDTA-Zusatz gemäß Klausel 26 dieses IDTA-Zusatzes beenden.
Teil 2: Obligatorische Klauseln
Jede Partei ist an diese Bedingungen des IDTA-Zusatzes gebunden, im Austausch für die Zustimmung der anderen Partei, sodass betroffene Personen die Rechte, wie angegeben, durchsetzen können.
Die Eingabe dieses IDTA-Zusatzes entspricht der Unterzeichnung der genehmigten EU-SCCs (einschließlich aller erforderlichen Unterschriften gemäß Anlage 1A/Klausel 7).
Auslegung
Begriffe aus den genehmigten EU-SCCs tragen hier dieselbe Bedeutung; zusätzliche relevante Begriffe (z. B. "Zusatz EU-SCCs," "Genehmigter Zusatz," "UK Datenschutzgesetze") sind in diesem IDTA-Zusatz definiert.
Dieser IDTA-Zusatz muss konsistent mit den UK Datenschutzgesetzen ausgelegt werden und muss "angemessene Schutzmaßnahmen" erfüllen.
Änderungen der genehmigten EU-SCCs, die gemäß diesen oder dem genehmigten Zusatz nicht zulässig sind, sind ungültig. Widersprüchliche Bestimmungen gehen auf die nicht geänderten SCC-Bestimmungen zurück.
Im Falle eines Konflikts mit den UK Datenschutzgesetzen finden die letzteren Anwendung.
Unklarheiten werden so gelöst, dass sie am besten mit den UK Datenschutzgesetzen übereinstimmen.
Hinweise auf Gesetze beinhalten alle überarbeiteten oder konsolidierten Versionen.
Hierarchie
Klausel 5 der genehmigten EU-SCCs besagt, dass sie über anderen Vereinbarungen stehen, jedoch für eingeschränkte Übertragungen die Hierarchie in Abschnitt 17 unten gilt.
Falls im Widerspruch zu den genehmigten EU-SCCs steht, hat der genehmigte Zusatz Vorrang, es sei denn, die SCCs bieten größeren Schutz für betroffene Personen, in welchem Fall die SCC-Bestimmungen Vorrang haben.
Nichts hier beeinflusst die SCCs, die die Parteien zur Einhaltung der EU-DSGVO verwenden.
Incorporation und Änderungen der EU-SCCs
Der IDTA-Zusatz integriert die genehmigten EU-SCCs mit den notwendigen Modifikationen, damit sie für UK-bezogene Übertragungen funktionieren, die Hierarchie von Klausel 5 aufheben und sicherstellen, dass sie dem englischen Recht/den Gerichten unterliegen (es sei denn, es wird etwas anderes für Schottland oder Nordirland gewählt).
Wenn keine spezifische Alternative vereinbart wird, gilt Abschnitt 22.
Weitere Änderungen der genehmigten EU-SCCs sind nur im Rahmen von Abschnitt 19 zulässig.
Änderungen der Zusatz-EU-SCCs beinhalten Klarstellungen bezüglich der Hinweise auf UK Datenschutzgesetze, die Referenzen auf die Verordnung (EU) 2016/679 durch "UK Datenschutzgesetze" ersetzen, Referenzen auf die Verordnung (EU) 2018/1725 entfernen, Klausel 17/18 auf englisches Recht/Untergerichte anpassen usw. Fußnoten sind nicht Teil des IDTA außer Fußnoten 8, 9, 10, 11.
Änderungen zu diesem IDTA
Parteien können Klauseln 17 oder 18 ändern, um auf schottische oder nordirische Gerichte zu verweisen.
Parteien können auch das Tabellenformat im gegenseitigen schriftlichen Einvernehmen ändern, um sicherzustellen, dass das gleiche Schutzniveau erhalten bleibt.
Die ICO kann von Zeit zu Zeit einen überarbeiteten genehmigten Zusatz herausgeben, der diesen IDTA-Zusatz ab dem Wirksamkeitsdatum automatisch ändert und möglicherweise eine Überprüfung durch die Parteien erforderlich macht.
Wenn die Änderungen der ICO substantiell und unverhältnismäßig die Kosten oder Risiken einer Partei erhöhen und keine Reduzierung dieser Kosten/Risiken möglich ist, kann diese Partei diesen IDTA mit angemessener Frist an die andere Partei vor Inkrafttreten des überarbeiteten Zusatzes beenden.
Für Änderungen ist die Zustimmung Dritter nicht erforderlich, jedoch müssen die Modifikationen den Bedingungen dieses IDTA-Zusatzes entsprechen.
Bereit zum Verkaufen?
Alle Werkzeuge, die Sie benötigen, um von Ihrer bestehenden Website, sozialen Kanälen und mehr zu verkaufen.
Keine technischen Kenntnisse erforderlich.
34,384 Verkäufer haben über verarbeitet 3.091.265,20 $
wie in erwähnt
