Auftragsverarbeitungsvertrag (AVV / DPA) — Codixio EU Withdrawal Button
DRAFT — FOR LEGAL REVIEW BEFORE PUBLICATION
Dieser Text ist ein Entwurf. Vor Veröffentlichung auf
https://legal.codixio.com/apps/eu-withdrawal-button/dpaist eine anwaltliche Prüfung zwingend. Besonderes Augenmerk auf § 11 Haftung, § 12 Drittlandtransfer + SCCs, § 10 KI-Spezialklauseln. Der finale Text muss merchant-co-signierbar sein (E-Signature genügt nach Art. 28 Abs. 3 DSGVO).
Stand: 24. April 2026
§ 1 Vertragsparteien
Auftraggeber (Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO; im Folgenden "Merchant"): Der Inhaber des Shopify-Shops, in dem die Codixio-EU-Withdrawal-Button-App installiert wird (siehe Shopify-Account-Daten).
Auftragnehmer (Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO; im Folgenden "Codixio"):
Matthias Jakisch
Freiberuflicher Software-Entwickler
Hauptstr. 34, OT Etingen
39359 Oebisfelde-Weferlingen
Deutschland
Telefon: +49 39059 974988
E-Mail: legal@codixio.com
§ 2 Präambel und Vertragsschluss
(1) Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der zwischen Merchant und Codixio bestehenden Nutzungsvereinbarung über die Shopify-App "Codixio EU Withdrawal Button" (im Folgenden "Hauptvertrag") ergeben. Er gilt für alle Tätigkeiten, bei denen Codixio personenbezogene Daten im Auftrag des Merchants verarbeitet (Art. 28 DSGVO).
(2) Der Vertrag kommt mit der Installation der App durch den Merchant im Shopify App Store zustande.
§ 3 Gegenstand, Dauer und Ort der Verarbeitung
(1) Gegenstand: Codixio verarbeitet personenbezogene Daten von Verbrauchern und vom Merchant ausschließlich zur Erfüllung der EU-Verbraucherrechte-Richtlinie 2011/83/EU und ihrer Änderung 2023/2673 (Art. 11a Widerrufsfunktion) sowie der deutschen §§ 355-357 BGB im Auftrag des Merchants.
(2) Dauer: Beginnt mit Installation der App, endet mit deren Deinstallation oder mit Beendigung des Hauptvertrags, je nachdem was zuerst eintritt.
(3) Ort: Deutschland (Hetzner-Rechenzentren Falkenstein und Nürnberg). Drittlandtransfer erfolgt ausschließlich nach § 12.
§ 4 Art und Zweck der Verarbeitung
- Erfassung von Widerrufsanträgen über das Storefront-Formular
- Anti-Betrugs-Abgleich der Konsumenten-E-Mail mit der Shopify-Order
- Speicherung der Widerrufsdaten für Audit- und Nachweis-Zwecke
- Versand der gesetzlich verpflichtenden Bestätigungs-E-Mail auf dauerhaftem Datenträger
- Benachrichtigung des Merchants über neue Widerrufsanträge
- Optional ab v0.2.0: KI-gestützte Workflow-Funktionen (Kategorisierung, Sentiment-Analyse, Übersetzung, Antwort-Vorschläge) — nur mit anonymisierten Daten
- Optional ab v0.3.0 (Max-Tarif): SMS- und WhatsApp-Bestätigungen — nur nach Doppel-Opt-in
§ 5 Art der personenbezogenen Daten
- Verbraucher: E-Mail, Name, Liefer-Anschrift, optional Telefonnummer (nur Max-Tarif mit Doppel-Opt-in), Widerrufsgrund (frei verfasst), Zeitstempel
- Pseudonymisierte Daten: SHA-256-Hash der IP-Adresse mit shop-spezifischem Salt (niemals im Klartext)
- Merchant: Shop-Domain, Merchant-E-Mail, Shop-Konfiguration, OAuth-Token (verschlüsselt), Credit-Balance ab v0.2.0
§ 6 Kategorien betroffener Personen
- End-Verbraucher (Kunden des Merchants), die einen Widerruf gemäß Richtlinie 2011/83/EU erklären
- Merchant-Mitarbeitende, die die App im Shopify Admin nutzen
§ 7 Pflichten des Auftragsverarbeiters (Codixio)
Codixio verpflichtet sich:
- a) Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Merchants zu verarbeiten. Weisungen ergeben sich aus diesem AVV, dem Hauptvertrag und der App-Konfiguration durch den Merchant.
- b) Sicherzustellen, dass alle zur Verarbeitung befugten Personen vertraulich verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- c) Die in § 9 und Anlage 1 beschriebenen TOMs gemäß Art. 32 DSGVO einzuhalten.
- d) Den Merchant unverzüglich zu informieren, wenn eine Weisung gegen die DSGVO oder andere EU-/Mitgliedstaaten-Datenschutzbestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO).
- e) Den Merchant bei Wahrnehmung der Pflichten nach Art. 32-36 DSGVO zu unterstützen (Sicherheit, Meldung von Datenschutzverletzungen binnen 72 Stunden, ggf. DSFA).
- f) Den Merchant bei Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu unterstützen, insbesondere über die Shopify-
customers/data_request- undcustomers/redact-Webhooks. - g) Nach Beendigung des Hauptvertrags alle personenbezogenen Daten innerhalb von 48 Stunden zu löschen oder auf Wunsch des Merchants zurückzugeben, soweit keine gesetzliche Aufbewahrungspflicht besteht.
- h) Dem Merchant alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO-Pflichten zur Verfügung zu stellen sowie Audits durch den Merchant oder einen vom Merchant beauftragten Prüfer zu ermöglichen (siehe § 13).
§ 8 Pflichten des Verantwortlichen (Merchant)
Der Merchant verpflichtet sich:
- a) Eine ordnungsgemäße Rechtsgrundlage für die Datenverarbeitung sicherzustellen (insbesondere Information der Verbraucher gemäß Art. 13 DSGVO im eigenen Shop).
- b) Codixio bei Auskunfts-, Lösch- oder Berichtigungsanträgen betroffener Personen zu informieren.
- c) Die Konfiguration der App (insbesondere Aufbewahrungsfrist und KI-Feature-Aktivierung) an die eigenen rechtlichen Anforderungen anzupassen.
- d) Verbraucher über die Datenverarbeitung in der eigenen Datenschutzerklärung zu informieren, einschließlich Hinweis auf den Einsatz von Codixio als externem Auftragsverarbeiter.
§ 9 Technische und organisatorische Maßnahmen (TOMs)
Codixio implementiert die TOMs gemäß Art. 32 DSGVO. Die vollständige Liste ist in Anlage 1 dieses Vertrags. Kernpunkte:
- AES-256-GCM-Verschlüsselung aller PII-Felder im Ruhezustand unter per-Shop Data-Encryption-Key (DEK), DEK master-key-wrapped
- TLS 1.2+ für alle Datenübertragungen, HSTS-Header
- Multi-Faktor-Authentifizierung für alle Produktions-Zugänge
- Rate-Limit und Scanner-Blocker auf API-Endpunkten
- Tägliche Backups, vierteljährliche Recovery-Tests
- Audit-Log aller Produktions-Zugriffe und relevanten Aktionen
- Automatische Retention-Sweeps (täglich)
- Vierteljährliche Master-Key-Rotation
§ 10 Sub-Auftragsverarbeiter und KI-Spezialklauseln
10.1. Allgemeine Genehmigung
Der Merchant erteilt mit Abschluss dieses AVV die allgemeine Genehmigung zur Inanspruchnahme der in Anlage 2 gelisteten Sub-Auftragsverarbeiter (Art. 28 Abs. 2 Satz 1 DSGVO).
10.2. Änderungsverfahren
Codixio informiert den Merchant über beabsichtigte Änderungen der Sub-Auftragsverarbeiter-Liste mit einer Vorlauffrist von mindestens 30 Tagen per E-Mail. Innerhalb dieser Frist kann der Merchant der Änderung widersprechen. Bei Widerspruch sind beide Parteien berechtigt, den Hauptvertrag mit einer Frist von 30 Tagen zu kündigen, wenn keine einvernehmliche Lösung gefunden wird.
10.3. KI-Zusatzklauseln (gilt ab v0.2.0)
Mit Aktivierung der KI-Funktionen durch den Merchant gelten zusätzlich:
- a) Deployer-Status nach EU AI Act: Codixio ist Deployer eines General-Purpose AI Model (GPAI, Claude von Anthropic, PBC) im Sinne von Art. 3 Nr. 4 Verordnung (EU) 2024/1689. Die eingesetzten KI-Funktionen sind keine High-Risk-Systems nach Anhang III der Verordnung. Für Codixio gelten daher Art. 4 (AI Literacy, seit 02.02.2025) und Art. 50 (Transparenzpflichten); die Deployer-Pflichten nach Art. 26 und die Fundamental Rights Impact Assessment nach Art. 27 sind nicht einschlägig.
- b) Anonymisierungs-Garantie: Codixio betreibt eine code-seitige Anonymisierungsschicht (
app/services/ai-sanitize.server.ts), die vor jeder ausgehenden KI-Anfrage alle PII-Felder durch Token-Platzhalter ersetzt. Die Schicht ist durch Unit-Tests gesichert, die asserten, dass kein Klartext-PII die Anwendung verlässt. Der Merchant verlässt sich für den PII-Schutz auf Codixio-seitige Anonymisierung, nicht auf den KI-Anbieter. - c) Anthropic-Trainings-Klausel: Nach Aussage von Anthropic, PBC werden Modelle nicht auf API-Verkehr von Codixio trainiert (Anthropic Commercial Terms Stand 24.04.2026). Codixio prüft diese Klausel bei Vertragsunterzeichnung gegen die aktuelle Fassung der Anthropic-Bedingungen.
- d) AI-Log-Retention bei Anthropic: Richtet sich nach Anthropic's Data Usage Policy zum Zeitpunkt der Verarbeitung. Codixio dokumentiert die Frist im Sub-Prozessor-Steckbrief.
- e) Provider-Wechsel-Recht: Codixio behält sich vor, den KI-Anbieter ohne separate Merchant-Zustimmung zu wechseln, solange TOMs (Anonymisierung, kein Klartext-PII) und SCCs (oder gleichwertiger Schutzmechanismus) äquivalent bleiben. Der neue Anbieter wird nach § 10.2 informiert.
§ 11 Haftung
Hinweis: Diese Klausel ist vor Veröffentlichung anwaltlich zu prüfen.
Die Haftung der Parteien richtet sich nach den Bestimmungen des Hauptvertrags. Dieser AVV ändert die Haftungsregelungen des Hauptvertrags nicht. Beide Parteien haften unmittelbar gegenüber betroffenen Personen für Schäden, die diese durch eine den DSGVO-Pflichten widersprechende Verarbeitung erleiden, gemäß Art. 82 DSGVO, unabhängig von der internen Haftungsverteilung zwischen den Parteien.
§ 12 Drittlandtransfer und Standardvertragsklauseln
In v0.1.0 erfolgt kein Drittlandtransfer: alle aktiven Sub-Auftragsverarbeiter (Hetzner Online GmbH, Deutschland; Sendinblue SAS / Brevo, Frankreich) sitzen in der EU.
Ab v0.2.0 wird zusätzlich Anthropic, PBC (USA) für KI-Inferenz eingesetzt. Soweit dann personenbezogene Daten an Sub-Auftragsverarbeiter in Drittländern übermittelt werden, gelten die EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 (Modul 2 „Verantwortlicher an Auftragsverarbeiter") zwischen Merchant, Codixio und dem jeweiligen Sub-Auftragsverarbeiter. Die konkreten SCCs sind integraler Bestandteil des jeweiligen Sub-AVV.
Eine Transfer Impact Assessment (TIA) nach EuGH-Urteil "Schrems II" (Rechtssache C-311/18) liegt bei Codixio intern vor und ist auf Anfrage an legal@codixio.com einsehbar. Methodische Grundlage: EDSA-Empfehlungen 01/2020 über ergänzende Maßnahmen zu Übermittlungsinstrumenten.
§ 13 Audit- und Kontrollrechte
(1) Auskunftsrecht: Der Merchant kann von Codixio jederzeit Auskunft über die TOMs und die Einhaltung dieses AVV verlangen. Auf Anfrage stellt Codixio die TOM-Dokumentation (Anlage 1) und Auditberichte zur Verfügung.
(2) Vor-Ort-Kontrolle: Der Merchant darf eine Vor-Ort-Kontrolle bei Codixio nach angemessener Vorankündigung (mindestens 30 Tage) während der üblichen Geschäftszeiten durchführen. Die Kosten trägt der Merchant, sofern keine Pflichtverletzung von Codixio festgestellt wird.
(3) Standardisierte Auditberichte: In lieu of Vor-Ort-Kontrolle kann Codixio einen aktuellen, von einem unabhängigen Prüfer erstellten Auditbericht (z. B. ISO 27001) zur Verfügung stellen, sofern dieser die kontrollbedürftigen Bereiche abdeckt.
§ 14 Laufzeit und Kündigung
(1) Dieser AVV läuft synchron mit dem Hauptvertrag. Mit dessen Beendigung endet auch der AVV.
(2) Codixio erfüllt die Lösch- oder Rückgabe-Pflicht gemäß § 7 lit. g innerhalb von 48 Stunden nach Hauptvertrags-Ende.
§ 15 Schlussbestimmungen
(1) Anwendbares Recht: Deutsches Recht unter Ausschluss des UN-Kaufrechts (CISG).
(2) Gerichtsstand: Magdeburg, soweit gesetzlich zulässig.
(3) Schriftform: Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform. Diese ist auch durch elektronische Form (qualifizierte elektronische Signatur oder dokumentierte E-Mail-Bestätigung beider Parteien) gewahrt.
§ 16 Salvatorische Klausel
Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlich Gewollten am nächsten kommt.
§ 17 Co-Signatur
Dieser AVV ist als E-Signature-Dokument konzipiert. Die Unterzeichnung erfolgt elektronisch (z. B. via DocuSign oder vergleichbarem Anbieter oder durch dokumentierte E-Mail-Bestätigung beider Parteien). Ein PDF-Download zur lokalen Archivierung wird im Codixio-Admin angeboten.
Datum Codixio-Unterzeichnung: ________________________ Datum Merchant-Unterzeichnung: ________________________
Anlage 1 — Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
A1.1. Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)
- Verschlüsselung im Ruhezustand: AES-256-GCM aller PII-Felder (customerEmail, customerName, reason, customerNotes, customerAddress) mit per-Shop Data-Encryption-Key (DEK); DEK master-key-wrapped; Master-Key in Coolify-Secrets, vierteljährliche Rotation.
- Verschlüsselung der Übertragung: TLS 1.2+ verpflichtend, HSTS-Header
max-age=31536000; includeSubDomains; preload. - Pseudonymisierung: Per-Shop-SHA-256-Hashing aller IP-Adressen (kein Klartext).
A1.2. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle (physisch): Hetzner-Rechenzentren Falkenstein und Nürnberg sind ISO-27001-zertifiziert (Zutrittssysteme, Videoüberwachung, Alarmanlagen); Codixio hat keinen physischen Zugang.
Zugangskontrolle (digital): Multi-Faktor-Authentifizierung für alle Produktions-Zugänge (SSH mit Key + TOTP). Least-Privilege-Prinzip. Keine shared accounts.
Zugriffskontrolle (Daten): Shop-id-scoped queries an der Applikationsebene; physische Trennung der Credits-Datenbank von der Widerruf-Datenbank.
Trennungsgebot: Logische Trennung pro Shop auf Applikationsebene.
Integritäts-Schutz der Daten:
- Datenbank-Constraints und Applikations-Validation (Zod) an allen Input-Boundaries
- Webhook-HMAC-Signatur-Verifikation für alle Shopify-Inputs
- AES-GCM-Auth-Tag verhindert Tampering verschlüsselter Daten
Schutz der Verfügbarkeit:
- Rate-Limit (10 POST/IP/h, 60 GET/IP/min auf Storefront-Endpunkten)
- Scanner-Blocker-Middleware für bekannte Scan-Muster
- CSP-, HSTS-, X-Content-Type-Options-, Referrer-Policy-Header
- DDoS-Basis-Schutz durch Hetzner-Netzwerk-Infrastruktur
- Service-Monitoring und Alerting
- Health-Check-Endpunkt für Uptime-Überwachung
A1.3. Wiederherstellung (Art. 32 Abs. 1 lit. c DSGVO)
- Tägliche redundante Datenbank-Backups auf Hetzner Object Storage
- Vierteljährliche Recovery-Tests
- Restore-Runbook in
docs/deployment/backup-restore.md(TODO vor Go-Live)
A1.4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Periodische Sicherheitsüberprüfungen nach Codixio Security Hardening Plan
- Dependency-CVE-Monitoring via npm audit
- OWASP Top 10 (2025) als Baseline
- Jährliche Überprüfung dieser Anlage 1 und Anpassung bei Bedarf
A1.5. Löschung und Redaction
- Konfigurierbare Aufbewahrungsfrist pro Merchant (Default 24 Monate, Range 6-60)
- Täglich automatisch laufender Retention-Sweep
- Vollständige Datenlöschung innerhalb 48 Stunden nach Deinstallation oder
shop/redact-Webhook - KI-Anfrage-/Antwort-Artefakte (ab v0.2.0): anonymisierte Prompts bis 90 Tage Cache, rohe Request-Logs bis 7 Tage, danach auto-purge
A1.6. Incident Response
- Datenschutzverletzungen werden innerhalb 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde gemeldet (Art. 33 DSGVO)
- Betroffene Personen werden bei hohem Risiko unverzüglich benachrichtigt (Art. 34 DSGVO)
- Dokumentation aller Incidents in
docs/legal/incident-response-policy.md
Anlage 2 — Sub-Auftragsverarbeiter-Liste
A2.1. Aktive Sub-Auftragsverarbeiter (v0.1.0)
| Name | Sitz | Tätigkeit | Drittlandtransfer | Schutzmechanismus |
|---|---|---|---|---|
| Hetzner Online GmbH | DE (Falkenstein, Nürnberg) | Hosting (App-Server, Postgres-DB, Object-Storage) | Nein (EU-intern) | n. a. |
| Sendinblue SAS / Brevo | FR (Paris) | Versand transaktionaler E-Mails | Nein (EU-intern) | n. a. |
A2.2. Künftige Sub-Auftragsverarbeiter (ab v0.2.0)
| Name | Sitz | Tätigkeit | Drittlandtransfer | Schutzmechanismus |
|---|---|---|---|---|
| Anthropic, PBC | US | KI-Inferenz ab v0.2.0 (empfängt nur anonymisierte Payloads) | Ja (US) | EU-SCCs Modul 2 (2021/914) |
A2.3. Codixio-eigene Infrastruktur
- credits.codixio.com — Codixio-eigene Infrastruktur, DE (Hetzner/Coolify). Verarbeitet keine Customer-PII, nur Shop-Domain + Credit-Balance + Transaktions-Metadaten. Technisch kein Sub-Auftragsverarbeiter im Sinne von Art. 28 DSGVO; zur Transparenz aufgeführt.
- Coolify — Open-Source-Software auf Hetzner-Server selbst betrieben. Kein externer Dienstleister.
Anlage 3 — Standardvertragsklauseln (SCCs)
In v0.1.0 sind keine Drittland-Transfers vorgesehen — alle aktiven Sub-Auftragsverarbeiter sitzen in der EU. Ab v0.2.0 gelten für den Transfer zu Anthropic, PBC (USA) die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, Modul 2 „Verantwortlicher an Auftragsverarbeiter". Die Klauseln sind im AVV mit Anthropic enthalten und können auf Anfrage unter legal@codixio.com eingesehen werden.
Originaltext der SCCs: https://eur-lex.europa.eu/eli/dec_impl/2021/914.
Eine Transfer Impact Assessment (TIA) nach EuGH-Urteil "Schrems II" (C-311/18) wird in docs/legal/tia-us-subprocessors.md dokumentiert und regelmäßig aktualisiert.