Datenschutzerklaerung
Stand: April 2026
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Tosun Media Services FZCO
Building A1
Dubai Digital Park, Dubai Silicon Oasis
Dubai, United Arab Emirates
E-Mail: support@shoporu.com
2. Besonderer Hinweis: Shoporu als Plattform (Auftragsverarbeitung)
Shoporu ist eine Multi-Tenant-E-Commerce-Plattform. Im Verhältnis zu den einzelnen Shop-Betreibern agiert Shoporu als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Die Shop-Betreiber sind die Verantwortlichen für die Verarbeitung der Daten ihrer Endkunden (Kaeufer, Shop-Besucher).
Diese Datenschutzerklaerung betrifft die Verarbeitung personenbezogener Daten durch Shoporu als Plattformbetreiber gegenüber:
- Besuchern der Shoporu-Website (shoporu.com)
- Registrierten Shop-Betreibern (Admin-Nutzern)
- Team-Mitgliedern von Shops (Logistik, Support)
Für die Datenverarbeitung in einzelnen Shops sind die jeweiligen Shop-Betreiber verantwortlich und muessen eigene Datenschutzerklaerungen bereitstellen. Zwischen Shoporu und den Shop-Betreibern besteht ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO.
3. Hosting und Server-Logfiles
Die Shoporu-Plattform wird bei Vercel (Vercel Inc., San Francisco, CA, USA) und Render (Render Services, Inc., San Francisco, CA, USA) gehostet. Beim Zugriff auf unsere Website werden automatisch folgende Daten erfasst:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Ressource
- Referrer-URL
- Verwendeter Browser und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und dem EU-U.S. Data Privacy Framework.
4. Datenbank und Authentifizierung
Die Datenbank und das Authentifizierungssystem werden von Supabase (Supabase, Inc., USA) bereitgestellt. Das Datenmodell wird über Prisma verwaltet. Supabase verarbeitet in unserem Auftrag:
- Kontodaten (Name, E-Mail, verschluesseltes Passwort)
- Sitzungsdaten (JWT-Tokens)
- Shop-Konfigurationen und Inhalte
- Bestelldaten, Kundendaten und Produktdaten der einzelnen Shops
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln.
5. Registrierung und Nutzerkonto (Shop-Betreiber)
Bei der Registrierung als Shop-Betreiber erheben wir:
- Vor- und Nachname
- E-Mail-Adresse
- Passwort (verschluesselt gespeichert)
Im Rahmen der Shop-Einrichtung und -Nutzung werden zusaetzlich erhoben: Shop-Name, Shop-Logo, Zahlungskonfiguration (Stripe-Konto-ID, PayPal-Credentials), Versandeinstellungen, Rechnungsadresse, Steuer-ID, benutzerdefinierte Domain.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Für die Dauer des Vertragsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen.
6. Zahlungsabwicklung
a) Plattform-Abonnement (Stripe)
Für die Abrechnung der Shoporu-Abonnements nutzen wir Stripe (Stripe Payments Europe, Ltd., Dublin, Irland). An Stripe werden übermittelt: Name, E-Mail, Zahlungskartendaten, Rechnungsadresse, Transaktionsbetraege, IP-Adresse. Zahlungskartendaten werden nicht auf unseren Servern gespeichert.
b) Shop-Zahlungen (Stripe Connect & PayPal)
Endkunden-Zahlungen in einzelnen Shops werden über Stripe Connect oder PayPal abgewickelt. Shoporu fungiert als Plattform im Sinne von Stripe Connect — der Shop-Betreiber ist der Vertragspartner des Kunden. Zahlungsdaten werden direkt an den jeweiligen Zahlungsdienstleister übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutz von Stripe: stripe.com/de/privacy
7. Endkunden-Daten in Shops (Auftragsverarbeitung)
Wenn Endkunden in einem auf Shoporu betriebenen Shop einkaufen, werden folgende Daten erhoben und im Auftrag des Shop-Betreibers verarbeitet:
- Name und E-Mail-Adresse
- Liefer- und Rechnungsadresse
- Bestelldaten (Produkte, Mengen, Preise)
- Zahlungsinformationen (werden an Stripe/PayPal weitergeleitet)
- IP-Adresse, Geraetetyp, Land (für Analytics)
Verantwortlicher für diese Daten ist der jeweilige Shop-Betreiber, nicht Shoporu. Shoporu verarbeitet diese Daten ausschliesslich im Auftrag und gemaess den Weisungen des Shop-Betreibers (Art. 28 DSGVO).
Die Datenisolation erfolgt technisch: Jeder Shop hat eine eigene Datenpartition, und saemtliche Datenbankabfragen sind durch die Shop-ID getrennt.
8. Shop-Analytics
Shoporu stellt Shop-Betreibern ein integriertes Analytics-Dashboard bereit. Dabei werden folgende Daten der Shop-Besucher erfasst:
- Seitenaufrufe und Verweildauer
- Geraetetyp (Desktop/Mobil/Tablet)
- Land (abgeleitet aus IP-Adresse, anonymisiert)
- Conversion-Events (Warenkorb, Checkout, Kauf)
- Session-Daten
Die Daten werden ausschliesslich dem jeweiligen Shop-Betreiber zur Verfügung gestellt. Es werden keine Daten an externe Analytics-Dienste übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Shop-Betreibers).
9. E-Mail-Kommunikation (Resend)
Für den Versand transaktionaler E-Mails nutzen wir Resend (Resend, Inc., USA). Dies umfasst:
- Registrierungsbestätigungen und Passwort-Zurücksetzungen
- Bestellbestätigungen und Versandbenachrichtigungen
- Team-Einladungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln.
10. KI-Dienste (OpenAI)
Shoporu nutzt die API von OpenAI (OpenAI, LLC, USA) für die automatisierte Generierung von Produktbewertungen und rechtlichen Seitentexten. An OpenAI werden ausschliesslich produktbezogene Daten und Shop-Konfigurationsdaten übermittelt — keine personenbezogenen Endkundendaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. OpenAI verarbeitet API-Daten nicht zum Modelltraining.
11. Cookies und lokale Speicherung
Shoporu verwendet ausschliesslich technisch notwendige Cookies und lokale Speichermechanismen:
| Name/Typ | Zweck | Dauer |
|---|---|---|
| Supabase Auth Token | Authentifizierung | Sitzung / 7 Tage |
| x-shop-id (Header) | Shop-Zuordnung | Request-basiert |
| ref (Cookie) | Affiliate-Tracking | 90 Tage |
| Cart (localStorage) | Warenkorb-Inhalt | Persistent |
Wir verwenden keine Analyse-, Tracking- oder Marketing-Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
12. Datenübermittlung in Drittländer
| Dienst | Sitz | Zweck | Grundlage |
|---|---|---|---|
| Vercel | USA | Frontend-Hosting | SCCs + DPF |
| Render | USA | Backend-Hosting | SCCs |
| Supabase | USA | Datenbank, Auth | SCCs + DPF |
| Stripe | Irland / USA | Zahlung | DPF + SCCs |
| OpenAI | USA | KI-Generierung | SCCs + DPF |
| Resend | USA | E-Mail-Versand | SCCs |
SCCs = Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). DPF = EU-U.S. Data Privacy Framework.
13. Speicherdauer
- Shop-Betreiber-Konten: Für die Dauer des Vertragsverhältnisses zzgl. 30 Tage Exportfrist
- Shop-Daten: Für die Dauer des Abonnements, danach 30 Tage Exportfrist
- Endkunden-Bestelldaten: 10 Jahre (gesetzliche Aufbewahrungspflichten HGB / AO)
- Server-Logfiles: 30 Tage
- Analytics-Daten: 12 Monate, danach anonymisiert
14. Ihre Rechte als Betroffener
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Loeschung (Art. 17 DSGVO)
- Recht auf Einschraenkung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Kontakt: support@shoporu.com
Für Endkunden einzelner Shops: Bitte wenden Sie sich an den jeweiligen Shop-Betreiber, der für Ihre Daten verantwortlich ist.
15. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst.
16. Änderung dieser Datenschutzerklaerung
Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.