Datenschutzerklärung

[Unternehmensname ergänzen]
[Straße Hausnummer ergänzen], [PLZ ergänzen] [Ort ergänzen], Deutschland
E-Mail: noreply@returnsos.bitora.studio

[Falls erforderlich: Datenschutzbeauftragten benennen und Kontaktdaten ergänzen.]

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir im Zusammenhang mit ReturnsOS – der Plattform für Retourenmanagement, White-Label Tracking, Operator-App und optional Managed Service – verarbeiten und zu welchem Zweck.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Beim Aufruf unserer Website und Anwendung werden automatisch technische Informationen erfasst, die Ihr Browser oder Client übermittelt. Dazu können gehören:

• IP-Adresse (gekürzt oder vollständig, je nach Konfiguration)
• Datum und Uhrzeit der Anfrage
• aufgerufene URL und HTTP-Statuscode
• Browsertyp, Betriebssystem, Referrer-URL

Diese Daten sind technisch erforderlich, um die Plattform bereitzustellen, Stabilität und Sicherheit zu gewährleisten sowie Missbrauch zu erkennen.

Geschäftskunden (Händler) können ein Nutzerkonto anlegen. Dabei verarbeiten wir insbesondere:

• Name
• E-Mail-Adresse
• Passwort (gespeichert als Hash)
• Zeitpunkt der AGB-/Datenschutz-Kenntnisnahme
• Organisations- und Rollenzuordnungen

Die Registrierung ist für die Nutzung des Händler-Dashboards und der Self-Service-Funktionen erforderlich.

Im Dashboard verarbeiten wir Daten zu Retourenfällen, Entscheidungen, Statusverläufen, Mitarbeitern, API-Schlüsseln, Webhooks, Integrationen und Abrechnungsinformationen im Rahmen des jeweiligen Vertragsverhältnisses.

Operative Mitarbeiter nutzen die ReturnsOS Operator App für Scan, Paketannahme, Öffnungsdokumentation und Artikelprüfung. Dabei können verarbeitet werden:

• Login-/Sessiondaten
• Scan-Ergebnisse (Barcode, QR, Referenznummern)
• Standort- und Gerätedaten (sofern technisch erforderlich)
• Medien-Uploads (siehe unten)
• Offline-Synchronisationsmetadaten

Für Endkunden stellen Händler über ReturnsOS einen White-Label Tracking-Link bereit. Endkunden können ohne Registrierung den Status ihrer Retoure einsehen. Verarbeitet werden können:

• Retourenreferenz und Status
• Artikelinformationen (Name, SKU, Menge)
• Timeline-Ereignisse
• für Endkunden freigegebene Medien
• technische Zugriffsdaten

Für Endkundendaten handelt der Händler in der Regel als Verantwortlicher; ReturnsOS verarbeitet diese Daten im Auftrag des Händlers (siehe AVV).

Im Rahmen der Plattform und optional des Managed Service verarbeiten wir u. a.:

• Retouren- und Bestelldaten (Referenz, externe Bestell-ID, Artikel, Mengen)
• Kundendaten (Name, E-Mail, ggf. Adresse)
• Paket- und Trackingdaten (Carrier, Sendungsnummer, Empfangszeitpunkt)
• Prüf- und Entscheidungsdaten (Zustand, Ergebnis, Freigaben)
• Audit- und Protokolldaten

Zur Dokumentation von Paketöffnungen, Artikelzustand und Streitfällen können Fotos und Videos hochgeladen werden. Diese Medien können im Dashboard sichtbar sein; Endkunden sehen nur explizit freigegebene Inhalte im Tracking.

Speicherdauer und Zugriffsrechte richten sich nach Vertrag, Einstellungen des Händlers und gesetzlichen Aufbewahrungspflichten.

Bei Nutzung der API und Webhooks verarbeiten wir übermittelte Daten sowie Protokolle zu Requests, Responses, Fehlern und Authentifizierung (API-Schlüssel, Token-Metadaten).

Shopify: Bei Anbindung eines Shopify-Shops werden Bestell-, Retouren- und Kundendaten gemäß den erteilten Berechtigungen synchronisiert. Die Datenverarbeitung erfolgt zur Bereitstellung der Retourenfunktionen.

WooCommerce: Bei Anbindung werden entsprechende Shop-Daten über die konfigurierte Integration übermittelt.

Eigene Shops: Über die Public API können Händler eigene Systeme anbinden. Der Umfang der übermittelten Daten bestimmt der Händler.

Die Zahlungsabwicklung über Stripe (vorbereitet, noch nicht aktiv) ist vorbereitet. Bis zur Aktivierung erfolgt die Abrechnung gemäß individueller Vereinbarung. [Zahlungsanbieter und Verarbeitungsdetails vor Go-Live ergänzen.]

Wir versenden transaktionale E-Mails (z. B. Registrierung, Passwort-Reset, Systemhinweise). Dabei verarbeiten wir E-Mail-Adressen und Versandprotokolle. [E-Mail-Dienstleister ergänzen, falls abweichend vom Hosting.]

Die Plattform wird bei folgendem Hosting-Dienstleister betrieben bzw. ist entsprechend zu ergänzen:

[Hostinganbieter ergänzen]
[Adresse Hostinganbieter ergänzen]

Weitere Auftragsverarbeiter (z. B. Backup, CDN, Monitoring) sind in der AVV bzw. Unterauftragsverzeichnis aufgeführt.

Wir verwenden technisch notwendige Cookies bzw. vergleichbare Technologien, insbesondere für:

• Session-Management und Login (z. B. Laravel-Session)
• Sicherheitsfunktionen (CSRF-Schutz)
• Organisations-/Mandantenkontext im Dashboard

Details siehe auch Cookies & lokale Speicherung.

Derzeit setzen wir keine Marketing- oder Reichweiten-Analyse-Tools ein, die einer Einwilligung bedürfen. Sollte sich dies ändern, werden wir diese Erklärung aktualisieren.

Je nach Kontext stützen wir die Verarbeitung auf:

• Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung / vorvertragliche Maßnahmen (Händlerkonto, Plattformnutzung)
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (z. B. Aufbewahrung)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse (Sicherheit, Betrieb, Missbrauchsprävention)
• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (sofern eingeholt, z. B. optionale Cookies)
• Art. 28 DSGVO – Auftragsverarbeitung (Endkundendaten im Auftrag des Händlers)

Personenbezogene Daten speichern wir nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Kriterien sind u. a. Vertragsdauer, Abrechnungsunterlagen, Nachweispflichten bei Retouren und technische Logs.

Empfänger können sein: Hosting-Provider, E-Mail-Dienstleister, Zahlungsdienstleister, integrierte Shop-Systeme, berechtigte Mitarbeiter des Händlers sowie im Managed Service unsere operativen Teams – jeweils im erforderlichen Umfang.

Sofern Dienstleister außerhalb der EU/des EWR eingesetzt werden, erfolgt die Übermittlung nur auf Basis geeigneter Garantien (z. B. Standardvertragsklauseln) oder vergleichbarer Rechtsgrundlagen. [Konkrete Drittlandübermittlungen vor Go-Live ergänzen.]

Sie haben – soweit die gesetzlichen Voraussetzungen erfüllt sind – folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)

Endkunden wenden sich für Retourendaten in der Regel an den jeweiligen Händler. Händler können Anfragen an noreply@returnsos.bitora.studio richten.

Sie können der Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) widersprechen, wenn Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Wir treffen technische und organisatorische Maßnahmen entsprechend Art. 32 DSGVO, u. a. Zugriffskontrollen, Mandantentrennung (Organization Scoping), Verschlüsselung von Verbindungen (HTTPS), rollenbasierte Berechtigungen und Protokollierung sicherheitsrelevanter Ereignisse.

Wir passen diese Erklärung an, wenn sich Rechtslage, Plattformfunktionen oder Verarbeitungsprozesse ändern. Die jeweils aktuelle Version ist unter dieser URL abrufbar.