Datenschutzhinweise für das stylink Shopify-Plugin

1. Verantwortlicher und Kontaktdaten

Verantwortlicher für die Datenverarbeitung durch die stylink Shopify App ist:

stylink social media GmbH
Friedrich-Ebert-Str. 181-183
48153 Münster, Deutschland

Handelsregister: HRB 18156, Amtsgericht Münster
USt-IdNr.: DE313221267
Geschäftsführer: Michael Elschenbroich

E-Mail: privacy@stylink.com
Website: https://www.stylink.com

Datenschutzbeauftragter:
stylink social media GmbH
Datenschutzbeauftragter
Friedrich-Ebert-Str. 181-183
48153 Münster, Deutschland
E-Mail: datenschutz@stylink.com

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten durch die stylink Shopify App („die App"), die von Shopify-Händlern („Händler") installiert wird, um Affiliate-Conversion-Tracking innerhalb des stylink Affiliate-Marketing-Netzwerks zu ermöglichen. Die App ordnet Käufe im Shopify-Store eines Händlers den Creators (Influencern/Publishern) innerhalb des stylink-Netzwerks zu und ermöglicht so eine korrekte Provisionsberechnung.

Diese Datenschutzerklärung wird gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO") bereitgestellt.

Informationen zur Datenverarbeitung auf der stylink-Hauptplattform (stylink.com) finden Sie in der allgemeinen Datenschutzerklärung unter https://www.stylink.com/de/datenschutz/.

3. Kategorien verarbeiteter personenbezogener Daten

Die App verarbeitet im Zusammenhang mit dem Affiliate-Conversion-Tracking folgende Datenkategorien:

Bestell- und Transaktionsdaten:

  • Bestell-ID (eindeutige Bestellkennung, vergeben durch Shopify)
  • Warenkorbwert/Bestellwert (Gesamtbestellbetrag und Währung)
  • Bestellstatus (z. B. abgeschlossen, erstattet, teilweise erstattet)
  • Zeitstempel der Bestellung
  • Produktbezogene Daten, soweit zutreffend (Produkt-ID, SKU, Artikelpreis, Menge)
  • Verwendete Rabatt- oder Gutscheincodes (sofern für die Provisionsberechnung relevant)

Tracking- und Zuordnungsdaten:

  • Click-ID (eindeutige Affiliate-Tracking-Kennung, die den Empfehlungslink eines Creators mit einem Kauf verknüpft)
  • Session-Kennungen
  • HTTP-Referrer-Daten (die URL, über die der Kunde den Shop des Händlers erreicht hat)

Händlerdaten:

  • Shopname und Shop-Domain
  • Kontaktinformationen des Händlers (Name, E-Mail-Adresse), wie sie bei der App-Installation über die Shopify-API bereitgestellt werden

Die App ist so konzipiert, dass sie die für das Affiliate-Conversion-Tracking minimal erforderlichen Daten verarbeitet. Die App erhebt und speichert keine personenbezogenen Endkundendaten wie Namen, E-Mail-Adressen, Telefonnummern oder physische Adressen, es sei denn, dies ist technisch durch die Shopify-API bedingt und streng auf die in Abschnitt 4 beschriebenen Zwecke beschränkt.

4. Zwecke der Datenverarbeitung

Personenbezogene Daten werden ausschließlich für folgende Zwecke verarbeitet:

  • Affiliate-Conversion-Tracking und -Zuordnung: Zuordnung von Käufen im Shopify-Store des Händlers zum Creator, der den Kunden geworben hat, um eine korrekte Provisionsberechnung innerhalb des stylink-Affiliate-Netzwerks zu ermöglichen.
  • Provisionsberechnung und -auszahlung: Ermittlung des an den werbenden Creator zu zahlenden Provisionsbetrags auf Basis des Bestellwerts und des anwendbaren Provisionsmodells.
  • Betrugsprävention und Validierung: Überprüfung der Legitimität getätigter Conversions zur Verhinderung von Klickbetrug, Doppelzuordnungen oder sonstigen betrügerischen Aktivitäten.
  • Reporting und Analysen: Bereitstellung aggregierter Leistungsberichte für Händler und Creator (z. B. Anzahl der Conversions, Gesamtbestellwert aus Affiliate-Empfehlungen).
  • Gesetzliche Compliance: Aufbewahrung von Transaktionsdaten gemäß den geltenden steuer- und handelsrechtlichen Vorschriften.
  • Streitbeilegung: Aufbewahrung von Daten, die zur Klärung von Provisionsstreitigkeiten zwischen stylink, Händlern und Creators erforderlich sind.

Die Daten werden nicht für Profiling, verhaltensbasierte Werbung, Remarketing oder andere Zwecke verwendet, die über die oben beschriebene Affiliate-Tracking-Funktionalität hinausgehen.

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten durch die App stützt sich auf folgende Rechtsgrundlagen:

  1. Berechtigtes Interesse — Art. 6 Abs. 1 lit. f DSGVO

    Die primäre Rechtsgrundlage für die Verarbeitung von Conversion-Tracking-Daten (Bestell-ID, Bestellwert, Click-ID, Zeitstempel, Produktdaten) ist unser berechtigtes Interesse am Betrieb des stylink Affiliate-Marketing-Netzwerks. Ein korrektes Conversion-Tracking ist unerlässlich für:

    • Die Zuordnung von Verkäufen zum richtigen Creator und die Berechnung von Provisionen
    • Die Aufrechterhaltung von Vertrauen und Transparenz zwischen Händlern, Creators und stylink
    • Die Verhinderung von Betrug innerhalb des Affiliate-Netzwerks

    Wir haben eine Interessenabwägung durchgeführt und sind zu dem Ergebnis gekommen, dass diese Verarbeitung die Rechte und Freiheiten der betroffenen Personen nicht überwiegt, da: (i) die verarbeiteten Daten pseudonym und im Umfang begrenzt sind; (ii) die Verarbeitung keine nachteiligen Auswirkungen auf den Kauf oder das Erlebnis der betroffenen Person hat; (iii) betroffene Personen vernünftigerweise erwarten können, dass das Anklicken eines Affiliate-Links eine Form des Conversion-Trackings beinhaltet; und (iv) betroffene Personen ihr Widerspruchsrecht jederzeit ausüben können (siehe Abschnitt 9).

  2. Vertragserfüllung — Art. 6 Abs. 1 lit. b DSGVO

    Die Verarbeitung von Händlerdaten ist zur Erfüllung des Vertrags zwischen dem Händler und stylink (Affiliate-Partnerschaftsvereinbarung) erforderlich. Die Verarbeitung von Creator-Daten zur Provisionsabwicklung ist durch die separate Creator-Vereinbarung abgedeckt.

  3. Rechtliche Verpflichtung — Art. 6 Abs. 1 lit. c DSGVO

    Bestimmte Transaktionsdaten werden zur Erfüllung gesetzlicher Aufbewahrungspflichten nach deutschem Steuer- und Handelsrecht (§ 147 AO, § 257 HGB) aufbewahrt.

  4. Einwilligung — Art. 6 Abs. 1 lit. a DSGVO (soweit zutreffend)

    Soweit die App Cookies oder ähnliche Tracking-Technologien auf dem Endgerät des Endkunden einsetzt, wird die Einwilligung gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) und der ePrivacy-Richtlinie eingeholt. Die Einwilligung wird über den Cookie-Consent-Mechanismus des Händlers verwaltet (z. B. Shopify Customer Privacy API). Der Händler ist für die Einholung einer wirksamen Einwilligung zur Cookie-Setzung in seinem Store verantwortlich.

6. Herkunft der Daten

Die durch die App verarbeiteten personenbezogenen Daten werden nicht direkt beim Endkunden (betroffene Person) erhoben. Sie stammen aus folgenden Quellen:

  • Shopify-API: Bestell- und Transaktionsdaten werden über die sichere API-Infrastruktur von Shopify aus dem Shopify-Store des Händlers an die App übermittelt, wenn eine Bestellung aufgegeben wird.
  • stylink Tracking-System: Click-ID und Referral-Daten stammen aus dem stylink Tracking-System, wenn ein Endkunde auf den Affiliate-Link eines Creators klickt und zum Store des Händlers weitergeleitet wird.

Diese Information wird gemäß Art. 14 Abs. 2 lit. f DSGVO bereitgestellt.

7. Empfänger und Datenweitergabe

Über die App verarbeitete personenbezogene Daten können an folgende Empfängerkategorien weitergegeben werden:

  • Händler (Shopify-Store-Betreiber): Aggregierte und, soweit erforderlich, bestellbezogene Conversion-Daten für Reporting und Provisionsabstimmung.
  • Creator/Publisher: Provisionsrelevante Daten, die ihren Empfehlungen zugeordnet werden (Bestellwert, Provisionsbetrag, Bestellstatus). Creator erhalten keine personenbezogenen Endkundendaten.
  • Infrastruktur- und Hosting-Anbieter: Daten werden auf Servern EU-basierter Hosting-Anbieter gespeichert (siehe Abschnitt 8). Diese Anbieter handeln als Auftragsverarbeiter gemäß Art. 28 DSGVO und sind durch Auftragsverarbeitungsverträge gebunden.
  • Steuerberater und Rechtsberater: Soweit für die steuerliche Compliance, Prüfung oder Rechtsstreitigkeiten erforderlich.
  • Öffentliche Stellen: Soweit gesetzlich vorgeschrieben (z. B. Finanzbehörden, Strafverfolgungsbehörden auf Grundlage einer gültigen Rechtsgrundlage).

Daten werden nicht an Dritte verkauft. Daten werden nicht an Werbenetzwerke, Datenhändler oder sonstige Dritte zu Marketingzwecken weitergegeben.

8. Datenspeicherung und internationale Übermittlungen

Alle durch die App verarbeiteten Daten werden auf Servern innerhalb der Europäischen Union gespeichert (z. B. AWS Frankfurt, Deutschland, oder vergleichbare EU-basierte Infrastruktur).

stylink übermittelt über die App erhobene personenbezogene Daten nicht in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), es sei denn, es bestehen angemessene Garantien gemäß Kapitel V DSGVO, wie etwa:

  • Angemessenheitsbeschlüsse der EU-Kommission (Art. 45 DSGVO)
  • Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Sollte ein zukünftiger Unterauftragsverarbeiter eine Datenübermittlung außerhalb des EWR erfordern, wird diese Datenschutzerklärung entsprechend aktualisiert und angemessene Garantien werden dokumentiert.

9. Speicherdauer

Personenbezogene Daten werden nur so lange aufbewahrt, wie es für die in Abschnitt 4 beschriebenen Zwecke erforderlich ist oder gesetzlich vorgeschrieben wird. Es gelten folgende Aufbewahrungsfristen:

DatenkategorieAufbewahrungsfristBegründung
Aktive Tracking-Daten (Click-ID-zu-Bestellungs-Zuordnung)Bis zu 90 TageProvisionsvalidierung und Streitbeilegungsfrist
Finalisierte Provisionsdaten (Bestell-ID, Bestellwert, Provisionsbetrag)10 Jahre ab Ende des Kalenderjahres der ErstellungSteuerrechtliche Aufbewahrungspflichten (§ 147 AO)
Rechnungsbezogene Unterlagen8 Jahre ab Ende des Kalenderjahres der Erstellung§ 14b UStG (geändert durch das Vierte Bürokratieentlastungsgesetz 2024)
Händler-KontodatenVertragsdauer + 3 JahreVertragserfüllung + Verjährungsfrist (§ 195 BGB)
Server-Logs und technische Daten30 TageSicherheit, Fehlerbehebung und Betrugserkennung

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden die Daten endgültig gelöscht oder irreversibel anonymisiert. Anonymisierte, aggregierte Daten (die keine personenbezogenen Daten mehr darstellen) können für statistische und Berichtszwecke unbefristet aufbewahrt werden.

10. Rechte der betroffenen Personen

Gemäß der DSGVO haben betroffene Personen folgende Rechte in Bezug auf ihre durch die App verarbeiteten personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden, und gegebenenfalls Auskunft über diese Daten und die näheren Umstände der Verarbeitung zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, wenn: (a) die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind; (b) Sie Ihre Einwilligung widerrufen (soweit zutreffend); (c) Sie der Verarbeitung widersprechen und keine vorrangigen berechtigten Gründe vorliegen; oder (d) die Daten unrechtmäßig verarbeitet wurden. Dieses Recht unterliegt Ausnahmen, insbesondere wenn die Aufbewahrung zur Erfüllung rechtlicher Verpflichtungen (z. B. steuerliche Aufbewahrungspflichten) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben unter bestimmten Voraussetzungen das Recht, die Einschränkung der Verarbeitung zu verlangen, etwa wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist, Sie aber die Löschung ablehnen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Soweit die Verarbeitung auf Einwilligung oder Vertrag beruht und mithilfe automatisierter Verfahren erfolgt, haben Sie das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Hinweis: Dieses Recht findet möglicherweise keine Anwendung, wenn die Rechtsgrundlage das berechtigte Interesse ist.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, wenn die Verarbeitung auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) beruht. Nach Eingang Ihres Widerspruchs stellen wir die Verarbeitung Ihrer Daten ein, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Um Ihr Widerspruchsrecht auszuüben, kontaktieren Sie uns bitte unter privacy@stylink.com.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Recht auf Beschwerde (Art. 77 DSGVO): Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die für die stylink social media GmbH zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2-4
40213 Düsseldorf, Deutschland
E-Mail: poststelle@ldi.nrw.de
Website: https://www.ldi.nrw.de

Zur Ausübung Ihrer Rechte kontaktieren Sie bitte: privacy@stylink.com

Wir werden Ihren Antrag innerhalb eines Monats nach Eingang beantworten. Diese Frist kann bei Bedarf unter Berücksichtigung der Komplexität und Anzahl der Anfragen um weitere zwei Monate verlängert werden. Über eine etwaige Verlängerung informieren wir Sie innerhalb eines Monats nach Eingang des Antrags.

11. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Zu diesen Maßnahmen gehören:

  • Verschlüsselung der Daten bei der Übertragung (TLS/SSL) und im Ruhezustand
  • Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung
  • Regelmäßige Sicherheitsüberprüfungen und -aktualisierungen
  • Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern (Art. 28 DSGVO)
  • EU-basierte Datenspeicher-Infrastruktur

12. App-Deinstallation und Datenlöschung

Wenn ein Händler die App aus seinem Shopify-Store deinstalliert, löscht oder anonymisiert stylink alle personenbezogenen Daten, die dem Store dieses Händlers zugeordnet sind, innerhalb von 30 Tagen, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben (z. B. steuerrechtliche Aufbewahrungspflichten gemäß Abschnitt 9). In solchen Fällen werden die Daten auf das für die gesetzliche Compliance erforderliche Minimum beschränkt und nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.

stylink implementiert die von Shopify vorgeschriebenen Compliance-Webhooks (customers/data_request, customers/redact, shop/redact), um eine fristgerechte Bearbeitung von Datenauskunfts- und Löschanfragen sicherzustellen.

13. Automatisierte Entscheidungsfindung

Die App führt keine automatisierte Entscheidungsfindung einschließlich Profiling durch, die rechtliche Wirkung gegenüber der betroffenen Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt im Sinne des Art. 22 DSGVO. Die Provisionszuordnung ist ein automatisierter technischer Abgleichprozess, der die Rechte des Endkunden oder die Bedingungen seines Kaufs nicht beeinflusst.

14. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Datenverarbeitungspraktiken, gesetzlicher Anforderungen oder der Funktionalität der App widerzuspiegeln. Die aktuelle Fassung ist stets unter https://www.stylink.com/stylink-shopify-app-privacy/ verfügbar. Händler werden über wesentliche Änderungen über das Shopify-App-Dashboard oder per E-Mail informiert.

15. Weitere Informationen