HEARTLY.Start →

Legal · Datenschutz · Version v1.1-2026-05

Datenschutz.

Heartly Datenschutzerklärung — Merchant

Version: v1.1-2026-05 Stand: 2026-05-01 Sprache: Deutsch (Primärversion) Vorgänger: v1.0-2026-04 (Platzhalter, ersetzt)

Diese Datenschutzerklärung ist eine deutsche Fassung der unter /privacy veröffentlichten Datenschutzrichtlinie, ergänzt um die Phase-44-spezifischen Datenpunkte (Consent-Log, Email-Verifikations-Tokens, A/B-Test-Tracking).

Verantwortlicher

Heartly Apps UG (haftungsbeschränkt) Tschaikowskistraße 5 04105 Leipzig Deutschland

E-Mail: support@heartly.io USt-ID: DE459972977

Heartly („wir") schützt deine Privatsphäre. Diese Erklärung beschreibt, welche Daten wir erheben, wie wir sie verwenden, mit wem wir sie teilen und wie wir sie schützen, wenn du unsere Anwendung für Shopify und WooCommerce zur Erstellung von Flash-Sales und Marketing-Kampagnen nutzt.

Inhaltsverzeichnis

  1. Welche Daten wir erheben
  2. Wie wir deine Daten nutzen
  3. Rechtsgrundlagen der Verarbeitung (DSGVO)
  4. Weitergabe und Offenlegung
  5. Speicherung und Sicherheit
  6. Speicherdauer
  7. Deine Rechte (DSGVO)
  8. Cookies und Tracking
  9. Drittanbieter-Dienste
  10. Internationale Datenübermittlung
  11. Automatisierte Entscheidungsfindung
  12. Datenschutz für Minderjährige
  13. Änderungen dieser Erklärung
  14. Kontakt

1. Welche Daten wir erheben

a) Daten, die du uns mitteilst

  • Account-Daten: E-Mail-Adresse, Shop-URL, Firmenname, Handelsregister-Nr., USt-ID, Rechtsform, Geschäftsadresse, Telefon
  • Shop-Daten: Produktinformationen, Preise, Bestände
  • Kampagnen-Daten: Flash-Sale-Konfigurationen, Promotion-Einstellungen
  • Kommunikation: Support-Anfragen, Feedback, Umfrageantworten
  • Compliance-Bestätigungen (Consent-Log): Jede Checkbox-Bestätigung im Onboarding-Wizard und bei Re-Consent-Vorgängen wird mit IP-Adresse, User-Agent, Zeitstempel und exakter Text-Versions-ID in der Tabelle merchant_consent_log protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Heartlys an Beweisbarkeit der Zustimmungserteilung gegenüber Behörden und Gerichten gemäß § 11 PAngV).

b) Daten, die wir automatisch erheben

  • Nutzungsdaten: Aufgerufene Seiten, genutzte Features, Verweildauer
  • Geräteinformationen: Browsertyp, Betriebssystem, IP-Adresse
  • Analytische Daten: Kampagnen-Performance, Conversion-Raten, anonymisiertes Besucherverhalten
  • Log-Daten: Zugriffszeiten, Fehlerlogs, Performance-Daten
  • E-Mail-Verifikations-Tokens: Bei Double-Opt-In legen wir in email_verification_tokens einen 48-Stunden-gültigen, kryptografisch sicheren Token-Hash (SHA-256) an. Der Klartext-Token wird nur einmal per E-Mail an dich gesendet, niemals gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. Art. 30 Digital Services Act (Verifikationspflicht für Online-Plattformen).
  • A/B-Test-Tracking transaktionaler E-Mails: Bei automatisierten Mitteilungen (z. B. Deal-Block-Benachrichtigungen) speichern wir in email_ab_test_results welche Template-Variante (A/B), Versanddatum, Öffnungs- und Klick-Zeitpunkt zu deinem Tenant erfasst wurden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Optimierung transaktionaler Kommunikation).

c) Daten von Dritten

  • Shopify / WooCommerce: Shop-Informationen, Bestelldaten, Kundendaten (in deinem Auftrag verarbeitet)
  • Bestellanalysen: Anonymisierte Transaktionsdaten (Zeitstempel, Produkt-IDs, Mengen, Preise). Wir erheben oder speichern KEINE personenbezogenen Kundendaten aus Bestellungen (Namen, E-Mails, Adressen, Telefonnummern).
  • Zahlungsanbieter (Stripe): Transaktionsstatus, Abrechnungsdaten. Vollständige Zahlungsdetails werden ausschließlich bei Stripe gespeichert.

2. Wie wir deine Daten nutzen

  • Diensterbringung: Bereitstellung und Wartung unserer Flash-Sale- und Marketing-Kampagnen-Services
  • Kampagnen-Management: Erstellung, Verwaltung und Optimierung deiner Kampagnen
  • Compliance-Nachweis: Beweisbarkeit der PAngV- und DSGVO-Konformität deiner Deal-Veröffentlichungen
  • Analytics: Performance-Insights und Empfehlungen
  • Kommunikation: Service-Updates, Sicherheitswarnungen, Support-Nachrichten, transaktionale E-Mails (z. B. Account-Verifikation, Deal-Block-Benachrichtigung)
  • Verbesserung: Weiterentwicklung von Features, Verbesserung der Nutzererfahrung
  • Sicherheit: Erkennung, Vermeidung und Bearbeitung von Betrug, Missbrauch und Sicherheitsproblemen
  • Marktintelligenz: Analyse anonymisierter Verkaufsdaten (nur Aggregat-Transaktionsdaten, keine Kundendaten)
  • Rechtskonformität: Erfüllung gesetzlicher Pflichten

3. Rechtsgrundlagen der Verarbeitung (DSGVO)

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

  • Account-Erstellung und -Verwaltung
  • Shop-Daten-Synchronisation (Produkte, Preise, Bestände)
  • Flash-Sale- und Kampagnen-Management
  • Bestell-Synchronisation für Analytics
  • Bearbeitung deiner Support-Anfragen
  • Marktintelligenz-Features (Pro-Plan-Abonnenten)
  • E-Mail-Verifikation (Double-Opt-In)

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Verarbeitung auf Basis deiner ausdrücklichen, jederzeit widerrufbaren Einwilligung:

  • Google Analytics (Website-Nutzungsstatistiken)
  • Meta Pixel / Facebook (Werbung und Conversion-Tracking)
  • Microsoft Clarity (Verhaltensanalyse und Session-Replays)
  • Compliance-Checkboxen (PAngV-Awareness, Preishistorie-Tracking, Deal-Gate-Validierung, Terms, Datenschutz, Autopilot-Opt-In) — werden ergänzend auch auf Vertragsgrundlage und berechtigtem Interesse gespeichert (s.u.)

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

  • Sentry-Fehlertracking (Servicequalität und Debugging)
  • Sicherheitsmaßnahmen und Betrugsprävention
  • Log-Daten (Zugriffszeiten, Fehlerlogs) für technische Operationen
  • Service-Verbesserungen auf Basis anonymisierter Nutzungsmuster
  • Consent-Log mit IP/User-Agent (merchant_consent_log): 36 Monate Aufbewahrung zur Beweisführung gegenüber Behörden und Gerichten bei Streitigkeiten zu PAngV-Compliance, AGB-Akzeptanz und Datenschutz-Einwilligungen
  • A/B-Test-Tracking transaktionaler E-Mails: Optimierung der Kommunikation
  • Inngest-Job-Logs (interne Job-Ausführungs-Daten zur Wartung)

Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

  • Abrechnungs- und Rechnungsdaten (10 Jahre Aufbewahrung nach deutschem Steuerrecht, § 147 AO)
  • Kooperation mit Behörden bei rechtlicher Verpflichtung
  • Beweissicherungspflicht aus § 11 PAngV (36 Monate Preishistorie und Consent-Log)

4. Weitergabe und Offenlegung

Wir verkaufen keine Daten. Heartly verkauft, vermietet oder tauscht keine personenbezogenen Daten — weder Merchant-Daten noch Kundendaten — an Dritte. Wir teilen keine Daten zu Werbe- oder Marketing-Zwecken mit externen Parteien.

Datenweitergabe erfolgt nur in folgenden Fällen:

  • Auftragsverarbeiter: Vertrauenswürdige Drittanbieter, die uns bei Hosting, Analyse und Support unterstützen (Auftragsverarbeitungsverträge nach Art. 28 DSGVO)
  • Plattform-Partner: Shopify und WooCommerce, soweit für die Integration mit deinem Shop erforderlich
  • Rechtliche Anforderungen: Bei behördlicher oder gerichtlicher Anordnung
  • Geschäftsübergang: Bei Fusion, Übernahme oder Verkauf (du wirst informiert)
  • Mit deiner Einwilligung: Wenn du eine konkrete Weitergabe ausdrücklich autorisierst

5. Speicherung und Sicherheit

  • Verschlüsselung: Daten werden bei der Übertragung (TLS/SSL) und im Ruhezustand (AES-256) verschlüsselt
  • Zugriffskontrollen: Strikte rollenbasierte Zugriffskontrollen und Authentifizierung
  • Infrastruktur: Hosting bei DSGVO-konformen Cloud-Anbietern (Supabase, Vercel)
  • Monitoring: Kontinuierliches Sicherheits-Monitoring und regelmäßige Audits
  • Backups: Automatisierte Backups mit sicherer Speicherung
  • Incident Response: Wir betreiben eine Sicherheits-Incident-Response-Policy mit definierten Verfahren zur Erkennung und Behandlung von Datenpannen. Betroffene werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden informiert.

Trotz aller Maßnahmen ist keine Übertragungs- oder Speichermethode zu 100 % sicher. Wir können keine absolute Sicherheit garantieren, arbeiten aber kontinuierlich an deren Verbesserung.

6. Speicherdauer

| Datenart | Speicherdauer | |----------|---------------| | Aktive Account-Daten | Während der Vertragslaufzeit | | Kampagnen-Daten | 24 Monate nach Kampagnen-Ende (Analytics) | | Bestellanalysen (anonymisiert) | bis zu 24 Monate für Marktintelligenz, danach Löschung oder weitere Anonymisierung | | Preishistorie (product_price_history) | 36 Monate post-Kündigung — § 11 PAngV Beweispflicht | | Consent-Log (merchant_consent_log) | 36 Monate post-Kündigung — Beweispflicht AGB/PAngV/DSGVO | | E-Mail-Verifikations-Tokens (email_verification_tokens) | 90 Tage nach Verbrauch oder Ablauf | | A/B-Test-Tracking (email_ab_test_results) | 24 Monate (Analytics-Historie) | | Abrechnungs-/Rechnungsdaten | 10 Jahre (§ 147 AO) | | Account-Löschung auf Antrag | Personenbezogene Daten innerhalb von 30 Tagen gelöscht oder anonymisiert (außer bei gesetzlicher Aufbewahrungspflicht) |

7. Deine Rechte (DSGVO)

Unter der DSGVO stehen dir folgende Rechte zu:

  • Auskunftsrecht (Art. 15): Kopie aller über dich gespeicherten personenbezogenen Daten anfordern. Inkl. Auszug aus merchant_consent_log über /api/account/consent-log als JSON oder PDF.
  • Recht auf Berichtigung (Art. 16): Korrektur unrichtiger oder unvollständiger Daten
  • Recht auf Löschung (Art. 17): „Recht auf Vergessenwerden". Ausnahme: Daten unter gesetzlicher Aufbewahrungspflicht (s. § 6).
  • Recht auf Einschränkung (Art. 18): Begrenzung der Verarbeitung
  • Recht auf Datenübertragbarkeit (Art. 20): Daten in strukturiertem, maschinenlesbarem Format
  • Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses oder Direktwerbung
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeitiger Widerruf für consent-basierte Verarbeitung
  • Beschwerderecht (Art. 77): Beschwerde bei einer Aufsichtsbehörde

Zuständige Aufsichtsbehörde

Sächsischer Datenschutz- und Transparenzbeauftragter Devrientstraße 5 01067 Dresden, Deutschland E-Mail: post@sdtb.sachsen.de Web: https://www.datenschutz.sachsen.de

Zur Wahrnehmung deiner Rechte kontaktiere uns unter support@heartly.io. Wir antworten innerhalb von 30 Tagen.

8. Cookies und Tracking

Wir nutzen Cookies und ähnliche Technologien:

  • Essenzielle Cookies: Authentifizierung und Sicherheit (nicht deaktivierbar)
  • Analyse-Cookies: Nutzungsverständnis (deaktivierbar). Inkl. Google Analytics — anonymisierte Daten zu Seitenaufrufen, Sitzungsdauer, allgemeiner Standort.
  • Marketing-Cookies: Werbung und Retargeting (deaktivierbar). Inkl. Meta Pixel zur Messung der Werbewirksamkeit.
  • Performance-Cookies: Verbessern Geschwindigkeit und Zuverlässigkeit

Cookie-Einstellungen änderbar über unser Cookie-Banner oder Browser-Einstellungen. Analyse- und Marketing-Cookies (inkl. Google Analytics, Meta Pixel) werden erst nach ausdrücklicher Einwilligung aktiviert.

9. Drittanbieter-Dienste

Wir nutzen folgende Drittanbieter:

| Dienst | Zweck | Datenkategorie | Hosting / Region | |--------|-------|----------------|------------------| | Supabase | Datenbank, Authentifizierung | Account-Daten, Shop-Daten, Consent-Log, Token-Hashes | EU (Frankfurt) | | Vercel | Application-Hosting, CDN | Request-Logs, Anwendungsdaten | global, mit EU-Edge | | Resend | Transaktionale E-Mail-Zustellung (z. B. Verifikation, Deal-Block-Benachrichtigung) | E-Mail-Adresse, Empfänger-Inhalte | EU (Auftragsverarbeitung) | | Stripe | Zahlungsabwicklung (WooCommerce-Merchants) | Transaktionsdaten, Abrechnungs-IDs | global, GDPR-konform | | Shopify / WooCommerce | Shop-Plattform-Integration | Shop-Daten, Bestelldaten | abhängig vom Merchant-Setup | | Sentry | Fehler-Monitoring (Datenanonymisierung aktiv) | Stack-Traces, anonymisierte Nutzer-IDs | EU + US | | Anthropic (Claude API) | KI-gestützte Features (Marktintelligenz, Empfehlungen) — nur Pro-Plan | Anonymisierte Aggregat-Daten | US (mit DPA und Standardvertragsklauseln) | | Inngest | Hintergrund-Jobs (z. B. E-Mail-Versand-Queue, Reminder, Re-Consent-Blast) | Job-Payloads (z. B. user_id, tenant_id) | US (mit DPA und Standardvertragsklauseln) | | Upstash Redis | Caching, Rate-Limiting | IP-basierte Rate-Limit-Counter, kurzlebige Caches | EU | | Google Analytics | Website-Analyse (nur nach Einwilligung) | Anonymisierte Nutzungsdaten | global | | Meta Pixel (Facebook) | Werbe-Tracking (nur nach Einwilligung) | Pixel-Events | global | | Microsoft Clarity | Verhaltensanalyse, Heatmaps (nur nach Einwilligung) | Session-Daten | global |

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Bei US-Diensten erfolgt die Übermittlung auf Basis der Standardvertragsklauseln (SCCs) und ggf. des EU-US Data Privacy Frameworks. Jeder Drittanbieter hat eine eigene Datenschutzerklärung.

10. Internationale Datenübermittlung

Deine Daten können in Länder außerhalb deines Wohnsitzes übermittelt und dort verarbeitet werden. Wir gewährleisten angemessenen Schutz durch:

  • Standardvertragsklauseln (SCCs) der EU-Kommission
  • Auftragsverarbeitungsverträge mit allen Drittanbietern
  • EU-US Data Privacy Framework (wo anwendbar)

11. Automatisierte Entscheidungsfindung

Wir nutzen keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die rechtliche Wirkung gegenüber dir entfaltet oder dich erheblich beeinträchtigt.

Hinweis zum Heartly-Deal-Gate: Unser automatisiertes Prüfsystem prüft Deals vor Veröffentlichung auf grundlegende § 11-PAngV-Konformität und kann bei offensichtlichen Verstößen die Veröffentlichung blockieren. Diese Blockade ist eine technische Hilfestellung, keine rechtliche Bewertung — du bleibst Inhaber der Preishoheit. Du kannst gegen Blockaden Widerspruch über support@heartly.io einlegen.

KI-gestützte Empfehlungs-Features (Carousel-Vorschläge, Marktintelligenz, Autopilot-Vorschläge) liefern ausschließlich Empfehlungen ohne automatische Bindung — du behältst stets die volle Kontrolle.

12. Datenschutz für Minderjährige

Heartly richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine Daten von Kindern. Sollten wir feststellen, dass solche Daten erhoben wurden, löschen wir sie umgehend. Hinweise an support@heartly.io.

13. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen kommunizieren wir durch:

  • Veröffentlichung der neuen Version unter /privacy und in compliance/terms/privacy_v{X}-{YYYY-MM}.md
  • Aktualisierung des „Stand"-Datums
  • Bei wesentlichen Änderungen: Re-Consent-Banner im Dashboard mit 30 Tagen Vorlauf und nachgelagerter Blocking-Modal-Bestätigung

Deine fortgesetzte Nutzung nach Änderungen gilt als Zustimmung zur aktualisierten Erklärung — bei wesentlichen Änderungen ist eine ausdrückliche Re-Consent-Bestätigung erforderlich.

14. Kontakt

Heartly Apps UG (haftungsbeschränkt) Tschaikowskistraße 5 04105 Leipzig, Deutschland

E-Mail: support@heartly.io Kontaktformular: https://www.heartly.io/contact

Wir antworten auf alle Anfragen innerhalb von 30 Tagen, wie von der DSGVO vorgegeben.

Phase 44 — Datenschutzerklärung Merchant v1.1 — abgeleitet aus /app/privacy/page.tsx (engl. Version v2026-03-18) plus Phase-44-spezifische Datenpunkte (consent_log, email_verification_tokens, email_ab_test_results) plus vollständige Drittanbieter-Liste (Resend, Stripe, Anthropic, Inngest, Upstash).