Datenschutzerklärung

Datenschutzhinweise für my-order.download (Website, Merchant-App, API)

Stand: 30.01.2026 Version: 0.2 (Entwurf)
TL;DR
  • Wir tracken nicht extern: keine Google Analytics/Marketing-Tracker; nur Cloudflare Analytics.
  • Nur notwendige Daten: Merchant-Accountdaten + Order-/Produktdaten, die für Delivery nötig sind (Datenminimierung).
  • Buyer-Daten meist im Auftrag: Buyer-E-Mail/Download-Events werden i.d.R. für den Merchant verarbeitet (AVV).
  • Technische Cookies: nur Session/Token/Security – aktuell kein Cookie-Banner.
  • Infra: Cloudflare (CDN/WAF/R2), Supabase (DB/Auth), Stripe (Billing), Mailersend (E-Mails).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

my-order.download (Einzelunternehmen)
Inhaber: Peter Faust
Schmittstr. 4, 53123 Bonn, Deutschland
E-Mail: support@my-order.download
(Impressum: Impressum)

Ein Datenschutzbeauftragter ist nicht benannt.

2. Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt für:

  • Marketing-/Landingpage (öffentliche Website)
  • Merchant Dashboard / App (Login-Bereich)
  • API-Endpunkte (z.B. /api/...)
  • Technische Schutzmechanismen (z.B. CDN/WAF/Captcha)

Für die Download-Seiten für Käufer:innen (Buyer) gibt es separate Hinweise: Datenschutzhinweise für Käufer:innen.

3. Kategorien verarbeiteter Daten

3.1 Daten von Merchants (B2B)

  • Stammdaten: Name, E-Mail, Firma, Adresse, USt-IdNr.
  • Shop-/Plattformdaten: Shop-Name, Plattform, Plattform-ID, Konfigurationen
  • Produktdaten (notwendig & teils öffentlich sichtbar): Produkt-IDs, Titel, Beschreibungen, Bilder/Thumbnails
  • Vertrags-/Abrechnungsdaten: Plan, Abrechnungszeitraum, Status, Stripe-Referenzen (z.B. Customer/Subscription IDs)

3.2 Order-/Transaktionsdaten (aus Plattformen)

  • Order-ID, Kaufdatum
  • Produkte je Order (Produkt-ID/Titel)
  • Buyer-E-Mail (soweit erforderlich für Zustellung/Verifikation)
  • ggf. Bezahlstatus, wenn technisch nötig zur Auslieferung

Wir arbeiten nach dem Grundsatz Datenminimierung und übernehmen nur Daten, die für die Leistungserbringung erforderlich sind. Zusätzlich können öffentlich einsehbare Produktinformationen (z.B. Listing-Details und Bilder) verarbeitet werden.

3.3 Technische Daten (Website/App/Download-Abläufe)

  • IP-Adresse, User-Agent, Zeitstempel
  • Token-/Session-Daten (z.B. Session-Cookies, Token-Hashes)
  • Download-/Security-Events (z.B. Erfolg/Fehler, Counter, Missbrauchsindikatoren)
  • Referrer kann im Rahmen üblicher HTTP-Anfragen technisch anfallen

4. Zwecke der Verarbeitung

  • Bereitstellung der Website/App und der technischen Infrastruktur
  • Vertragserfüllung gegenüber Merchants (Account, Asset-/Order-Verwaltung, Delivery)
  • Zustellung digitaler Inhalte an Buyer (im Auftrag des Merchants)
  • Sicherheit & Missbrauchsvermeidung (Bot-/Abuse-Schutz, Rate-Limiting, Nachvollziehbarkeit)
  • Abrechnung & Zahlungsabwicklung (über Stripe)
  • Support & Kommunikation
  • Fehleranalyse / technische Verbesserung (ohne externe Tracking-Tools; derzeit nur Cloudflare Analytics)

5. Rechtsgrundlagen

Je nach Kontext verarbeiten wir Daten auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – z.B. IT-Sicherheit, Missbrauchsprävention, Stabilität des Systems
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) – z.B. Aufbewahrungspflichten für abrechnungsrelevante Unterlagen

Hinweis zu Buyer-Daten: Soweit wir Buyer-Daten im Auftrag des Merchants verarbeiten, erfolgt dies i.d.R. im Rahmen einer Auftragsverarbeitung (Art. 28 DSGVO).

6. Cookies / lokale Speicher (nur technisch notwendig)

Wir setzen derzeit ausschließlich technisch notwendige Cookies/Storage-Mechanismen ein, die für Betrieb, Sicherheit und Login-/Download-Prozesse erforderlich sind, z.B.:

  • Session-Cookie für den Merchant Login
  • Token-/Session-Mechanismen für Download-Seiten (z.B. Session/Token-Hashes)
  • ggf. sicherheitsrelevante Cookies/Funktionen im Rahmen von Cloudflare WAF/Bot-Schutz/Captcha

Es werden aktuell keine externen Tracking- oder Marketing-Cookies eingesetzt. Daher ist derzeit kein Cookie-Banner vorgesehen. Sollte sich dies ändern, passen wir die Einwilligungslogik entsprechend an.

7. Subprozessoren / Dienstleister

Nachfolgende Anbieter nutzen wir zur Bereitstellung des Dienstes. (Bezeichnungen/Regionen können sich je nach Setup ändern – wir halten das schlank und transparent.)

AnbieterZweckDatenkategorien (typisch)Region
Cloudflare (CDN/WAF/R2/Captcha)Auslieferung, DDoS-/Bot-Schutz, Performance, Datei-Storage (R2)IP/UA, Requests, Security-Events, ggf. Download-/Session-Tokens, Dateien (Assets)EU (primär), teils globales Edge-Routing
Supabase (Postgres/Auth)Datenbank, Auth (Merchant Login), App-BetriebMerchant-Daten, Order-/Produktdaten, Token-/SessiondatenEU
StripeBilling/ZahlungsabwicklungRechnungs-/Zahlungsmetadaten, Plan/Subscription-IDsabhängig von Stripe-Setup (typisch EU/US)
MailersendVersand von Zustell-/Verifikations-E-MailsEmpfängeradresse (Buyer/ Merchant), Mail-Content-MetadatenUS (laut aktueller Angabe)

8. Auftragsverarbeitung (AVV) – Buyer-Daten im Merchant-Kontext

Bei der Zustellung digitaler Inhalte verarbeiten wir personenbezogene Daten von Buyer (z.B. Buyer-E-Mail, technische Download-Events) im Auftrag des jeweiligen Merchants.

  • Merchant ist in der Regel Verantwortlicher.
  • my-order.download ist Auftragsverarbeiter.

Der Merchant schließt mit uns hierzu einen AVV nach Art. 28 DSGVO (siehe AGB/Anlage).

9. Datenübermittlung außerhalb EU/EWR

Soweit Dienstleister Daten außerhalb der EU/EWR verarbeiten (z.B. Mailersend; teils auch Support-/Betriebsprozesse bei Infrastruktur-Providern), achten wir auf geeignete Schutzmechanismen (z.B. vertragliche Garantien / Standardklauseln) und beschränken Daten auf das Notwendige.

10. Speicherdauer / Löschung

  • Merchant-Accountdaten: mindestens bis Vertragsende; danach nach Bedarf für Support/Abwicklung und im Rahmen gesetzlicher Pflichten
  • Abrechnungsrelevante Daten: nach gesetzlichen Aufbewahrungspflichten
  • Order-/Buyer-/Eventdaten: soweit möglich anonymisiert oder gehasht (u.a. zur Missbrauchsprävention und Systemstabilität)
  • „Delete now“: löscht Einträge und Dateien; technisch können Restdaten in Backups für übliche Zyklen fortbestehen. Ein Softdelete (z.B. Produkt-ID) kann verbleiben, um den Status „Datei gelöscht“ anzeigen zu können.

11. Datensicherheit

  • Transportverschlüsselung (TLS/HTTPS)
  • Verschlüsselung „at rest“ gemäß Provider-Standards (Supabase/R2)
  • Zugriffskontrolle / Least Privilege
  • Mandantentrennung
  • Schutzmaßnahmen gegen Missbrauch (Rate Limits, Bot-Schutz, Captcha)

12. Umgang mit Sicherheitsvorfällen (Incident Handling)

Bei Sicherheitsvorfällen handeln wir nach einem Incident-Prozess.
Soweit wir als Auftragsverarbeiter tätig sind, informieren wir den Merchant unverzüglich, sobald uns ein relevanter Vorfall bekannt wird, und unterstützen im angemessenen Rahmen.

13. Betroffenenrechte

Betroffene Personen haben – unter den gesetzlichen Voraussetzungen – Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Beschwerde bei einer Aufsichtsbehörde.

Buyer-Anfragen: Primär ist der Merchant Ansprechpartner. Du kannst dich dennoch an support@my-order.download wenden; wir unterstützen und leiten Anfragen ggf. an den Merchant weiter.

14. Kontakt

Fragen zum Datenschutz: support@my-order.download