Datenschutzerklärung

Zuletzt aktualisiert am 13. März 2026.

Diese Datenschutzerklärung beschreibt, wie FibuPilot personenbezogene Daten verarbeitet, wenn du unsere Website, unsere Software oder verbundene Dienste nutzt. FibuPilot ist eine Shopify-App für Rechnungen, Gutschriften, Vorlagen und PDF-Auslieferung. Entsprechend verarbeiten wir nicht nur Kontaktdaten, sondern je nach Nutzung auch Shop-, Bestell-, Refund-, Dokument- und Template-Daten.

Hinweis: Dieser Text ist ein technischer Erstentwurf und ersetzt keine individuelle Rechtsberatung. Bitte ergänze vor Veröffentlichung insbesondere die Angaben zum Verantwortlichen, zu konkreten Aufbewahrungsfristen, eingesetzten Cookies und etwaigen weiteren Unterauftragsverarbeitern.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

[Firma / Name ergänzen]
[Adresse ergänzen]
E-Mail: datenschutz@deine-domain.de

Soweit wir Shopify-Kundendaten ausschließlich im Auftrag eines Merchants verarbeiten, handeln wir in der Regel als Auftragsverarbeiter. In diesen Fällen bleibt der jeweilige Merchant primär für die Beziehung zu seinen Kundinnen und Kunden und für die einschlägige Rechtsgrundlage verantwortlich.

2. Welche Daten wir verarbeiten

Je nach Nutzung von FibuPilot verarbeiten wir insbesondere folgende Kategorien personenbezogener Daten:

  • Stammdaten von Nutzerinnen und Nutzern, etwa Name, E-Mail-Adresse, Firma, Rolle und Anmeldedaten
  • Shop- und Integrationsdaten, etwa Shop-Domain, Shopify-Shop-ID, API-Berechtigungen, Webhook-Ereignisse und technische Integrationsmetadaten
  • Bestell-, Refund- und Dokumentdaten, etwa Bestellungen, Rückerstattungen, Rechnungen, Gutschriften, PDF-Metadaten, Vorlagenversionen sowie rechnungsrelevante Steuer- und Adressinformationen
  • Shopify-Kundendaten, soweit sie für die jeweilige Funktion zwingend erforderlich sind, etwa Kunden-IDs, Bestellbezug, Liefer- oder Rechnungsinformationen sowie Kontaktangaben
  • Kommunikationsdaten, wenn du uns kontaktierst, Support anfragst oder dich für Produktinformationen oder einen Newsletter anmeldest
  • Technische Nutzungs- und Protokolldaten, etwa IP-Adresse, Zeitstempel, Browserinformationen, Fehlermeldungen, Request-IDs, Sicherheits- und Audit-Logs

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

  • zur Bereitstellung, Authentifizierung, Absicherung und laufenden technischen Erbringung von FibuPilot, Art. 6 Abs. 1 lit. b DSGVO
  • zur Verarbeitung von Bestell-, Refund-, Dokument-, Template- und Auslieferungsdaten im Rahmen unserer vertraglichen Leistungen, Art. 6 Abs. 1 lit. b DSGVO
  • zur Erfüllung gesetzlicher Pflichten, insbesondere handels-, steuer- und aufsichtsrechtlicher Anforderungen, Art. 6 Abs. 1 lit. c DSGVO
  • zur IT-Sicherheit, Missbrauchsverhinderung, Fehleranalyse, Produktstabilität und Verteidigung gegen Rechtsansprüche, Art. 6 Abs. 1 lit. f DSGVO
  • zur Kommunikation mit Interessenten, Bestandskunden und Supportanfragenden, Art. 6 Abs. 1 lit. b oder lit. f DSGVO
  • bei Einwilligung, etwa für Newsletter oder optionale Analyse- bzw. Marketingmaßnahmen, Art. 6 Abs. 1 lit. a DSGVO

4. Verarbeitung von Shopify-Daten und Kundendaten

FibuPilot ist auf die Verarbeitung von Shopify-Daten ausgelegt. Dabei orientieren wir uns an den von Shopify veröffentlichten Anforderungen für geschützte Kundendaten und an allgemeinen Datenschutz- und Sicherheitsstandards. Insbesondere gilt:

  • Wir beantragen und nutzen nur diejenigen Shopify-Berechtigungen und Datenfelder, die für die angebotene Funktion tatsächlich erforderlich sind.
  • Wir beschränken die Verarbeitung auf die in dieser Datenschutzerklärung und in unseren Vertragsunterlagen beschriebenen Zwecke.
  • Wir verarbeiten Shopify-Kundendaten grundsätzlich nicht für fremde Werbezwecke, verkaufen sie nicht und geben sie nicht für sachfremde Zwecke weiter.
  • Soweit möglich, arbeiten wir mit internen IDs, Referenzen, Pseudonymisierung und minimierten Datensätzen statt mit frei sichtbaren Klardaten.
  • Wir respektieren, soweit anwendbar, Einwilligungen, Opt-outs und andere Datenschutzentscheidungen, die im jeweiligen Merchant-Kontext maßgeblich sind.
  • Wir halten Prozesse vor, um Auskunfts-, Lösch- und Redaktionsanforderungen strukturiert umzusetzen. Soweit FibuPilot über den Shopify App Store vertrieben wird oder Shopify dies vorschreibt, umfasst dies insbesondere die von Shopify vorgesehenen Compliance-Webhooks wie customers/data_request, customers/redact und shop/redact.
  • Wir trennen Test- und Produktionsumgebungen, beschränken Mitarbeiterzugriffe nach dem Need-to-know-Prinzip und protokollieren relevante Zugriffe auf sensible Daten.

Wenn ein Merchant personenbezogene Daten seiner Endkundinnen oder Endkunden über FibuPilot verarbeiten lässt, geschieht dies regelmäßig im Rahmen einer Auftragsverarbeitung. In solchen Fällen richtet sich die Beantwortung von Betroffenenanfragen in erster Linie an den jeweiligen Merchant; wir unterstützen ihn, soweit erforderlich und rechtlich zulässig.

5. Hosting und Infrastruktur auf AWS

Wir hosten FibuPilot primär auf Amazon Web Services (AWS) in der Region eu-central-1 (Frankfurt am Main, Deutschland). Soweit technisch möglich, werden personenbezogene Daten innerhalb dieser AWS-Region bzw. innerhalb des Europäischen Wirtschaftsraums verarbeitet und gespeichert. AWS kann dabei als Auftragsverarbeiter für Hosting, Rechenleistung, Datenbanken, Backups, Protokollierung und verwandte Infrastrukturleistungen eingesetzt werden.

Wir nutzen AWS insbesondere, um Verfügbarkeit, Skalierbarkeit, Datensicherung und technische Sicherheit zu gewährleisten. Backups und gespeicherte Daten sollen nach Möglichkeit verschlüsselt werden; Daten werden verschlüsselt übertragen.

6. Fehleranalyse und Monitoring mit Sentry

Wir nutzen Sentry für Fehlererkennung, Stabilitätsanalyse und Performance-Monitoring. Sentry ist für uns ein wichtiges Werkzeug, um Abstürze, fehlerhafte Requests und technische Probleme nachvollziehen und schneller beheben zu können. Wir verwenden Sentry in einer EU- bzw. DE-Region-Konfiguration.

Dabei können insbesondere folgende technische Daten verarbeitet werden: Zeitpunkt des Fehlers, technische Ereignis- und Trace-IDs, Request-Metadaten, Browser- und Geräteinformationen, URL-Pfade, Systeminformationen, Stacktraces und ähnliche Diagnosedaten. Wir achten darauf, in Fehlermeldungen keine unnötigen Geheimnisse oder Inhalte wie Zugangsdaten, Tokens, Zahlungsinformationen oder vollständige Request-Inhalte zu erfassen. Soweit möglich, setzen wir Filter, Scrubbing und datensparsame Konfigurationen ein.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an einer sicheren und stabilen Bereitstellung unseres Dienstes, Art. 6 Abs. 1 lit. f DSGVO.

7. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten oder zur Bereitstellung unserer Dienste erforderlich ist. Empfänger können insbesondere sein:

  • AWS als Hosting- und Infrastrukturprovider
  • Sentry als Dienstleister für Fehlertracking und Performance-Monitoring
  • Shopify als Plattformpartner, soweit Daten über APIs, Webhooks und Integrationen verarbeitet werden
  • weitere technische Dienstleister für E-Mail, Support, Authentifizierung, Protokollierung oder Datensicherung, soweit diese tatsächlich eingesetzt werden
  • Behörden, Gerichte, Steuerberater, Wirtschaftsprüfer oder sonstige beruflich verpflichtete Empfänger, soweit hierfür eine rechtliche Grundlage besteht

8. Internationale Datenübermittlungen

Wir streben an, personenbezogene Daten vorrangig innerhalb der EU bzw. des EWR zu verarbeiten. Gleichwohl kann bei einzelnen Dienstleistern, Supportfällen, Konzernstrukturen oder Fernzugriffen nicht ausgeschlossen sein, dass Daten auch in Drittländern verarbeitet werden. In solchen Fällen achten wir auf geeignete Garantien, insbesondere Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere gesetzlich anerkannte Schutzmechanismen.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Maßgeblich sind dabei insbesondere:

  • die Dauer der Vertragsbeziehung und der laufenden Nutzung
  • gesetzliche Aufbewahrungspflichten, insbesondere handels- und steuerrechtliche Pflichten für buchhaltungsrelevante Daten
  • Verjährungsfristen für mögliche Rechtsansprüche und Dokumentationspflichten
  • die Notwendigkeit kurzer technischer Speicherfristen für Logs, Sicherheits- und Diagnosedaten

Sobald die Speicherung nicht mehr erforderlich ist und keine gesetzliche Aufbewahrungspflicht entgegensteht, löschen, anonymisieren oder sperren wir die betreffenden Daten.

10. Cookies, ähnliche Technologien und Server-Logs

Beim Besuch unserer Website können technisch erforderliche Cookies oder ähnliche Technologien eingesetzt werden, insbesondere zur Sitzungsverwaltung, Sicherheit und Bereitstellung wesentlicher Website-Funktionen. Außerdem fallen serverseitige Protokolldaten an, etwa IP-Adresse, Zeitstempel, aufgerufene Seiten, Referrer und technische Header.

Soweit wir darüber hinaus optionale Analyse-, Tracking- oder Marketingtechnologien einsetzen, sollten diese grundsätzlich erst nach einer entsprechenden Einwilligung aktiviert werden. Vor Veröffentlichung bitte konkret prüfen und ergänzen, welche Tools auf der Website tatsächlich verwendet werden.

11. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten gegen Verlust, Manipulation, unbefugten Zugriff und sonstige unrechtmäßige Verarbeitungen zu schützen. Dazu gehören insbesondere rollenbasierte Zugriffskontrollen, Verschlüsselung bei der Übertragung, getrennte Umgebungen für Test und Produktion, Backupsicherung, Protokollierung sicherheitsrelevanter Vorgänge, Mehrmandanten-Trennung, Geheimnismanagement sowie Prozesse für Sicherheitsvorfälle und Wiederherstellung.

12. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der gesetzlichen Vorschriften insbesondere folgende Rechte:

  • Auskunft über die verarbeiteten personenbezogenen Daten
  • Berichtigung unrichtiger oder unvollständiger Daten
  • Löschung, soweit keine Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
  • Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde

Soweit wir Daten als Auftragsverarbeiter für einen Merchant verarbeiten, ist für Auskunfts-, Berichtigungs- oder Löschbegehren in erster Linie der jeweilige Merchant Ansprechpartner. Wir unterstützen den Merchant bei der rechtmäßigen Bearbeitung solcher Anfragen, soweit erforderlich.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Dienste, die eingesetzten Technologien, gesetzliche Vorgaben oder behördliche Anforderungen ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.

14. Kontakt

Wenn du Fragen zum Datenschutz oder zur Verarbeitung personenbezogener Daten durch FibuPilot hast, kontaktiere uns bitte unter:

[Firma / Name ergänzen]
E-Mail: datenschutz@deine-domain.de
[Adresse ergänzen]