Version 1.1 – gültig ab 17. Juli 2025
Dieses Data-Protection-Addendum (“DPA“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der SendDrop-Plattform und wird Bestandteil jedes Vertragsverhältnisses zwischen
SendDrop GmbH, Fürstenweg 12, 83395 Freilassing, Deutschland – vertreten durch den Geschäftsführer Mario Neuhauser (im Folgenden „Auftragsverarbeiter“ oder „SendDrop“) und
dem jeweiligen Kunden (im Folgenden „Verantwortlicher“), der SendDrop zur Abwicklung seiner Versand- oder Integrationsprozesse nutzt.
Das DPA erfüllt die Anforderungen des Art. 28 DSGVO und integriert die EU‑Standardvertragsklauseln (EU‑SCC) 2021/914 (Modul 2 – Verantwortlicher ↔ Auftragsverarbeiter), soweit personenbezogene Daten in Drittländer übermittelt werden.
SendDrop verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen, um Versandetiketten zu erzeugen, Track‑&‑Trace‑Informationen bereitzustellen sowie Schnittstellen (Shopify, WooCommerce u. a.) zu betreiben. Die Verarbeitung endet mit Vertrags‑ bzw. Kontobeendigung; anschließend werden die Daten gem. § 10 gelöscht oder zurückgegeben.
| Kategorie | Betroffene Personen | Verarbeitete Daten |
|---|---|---|
| Shop‑Nutzer | Mitarbeiter des Verantwortlichen | Name, geschäftliche E‑Mail, Telefonnummer, Login‑Daten |
| Endkund:innen | Käufer im Webshop des Verantwortlichen | Name, Liefer‑/Rechnungsadresse, E‑Mail, Telefonnummer, Bestell‑ und Paketinformationen |
| Abrechnungsdaten | Shop‑Nutzer | IBAN (sofern Lastschrift), Transaktions‑IDs, Rechnungsbelege |
Es werden keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO verarbeitet.
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und erteilt Weisungen in schriftlicher oder elektronischer Form.
Er dokumentiert alle Weisungen; Änderungen oder Ergänzungen sind jederzeit möglich.
Er informiert SendDrop unverzüglich, falls Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Vorschriften festgestellt werden.
Weisungsgebundenheit – SendDrop verarbeitet Daten nur gemäß dokumentierter Weisung und unter Einsatz geeigneter technischer & organisatorischer Maßnahmen (TOMs, siehe Anhang III).
Vertraulichkeit – Mit allen Mitarbeitenden bestehen Vertraulichkeitsvereinbarungen nach Art. 28 Abs. 3 lit. b DSGVO.
Sicherheit – SendDrop betreibt ein InformationsSicherheits‑Management nach Best‑Practice‑Standards; Daten werden im Ruhezustand und in Transmission verschlüsselt.
Unterstützung – SendDrop unterstützt den Verantwortlichen bei Betroffenenrechten, Meldepflichten, DPIA und Behördenanfragen.
Nachweispflicht & Audits – SendDrop stellt alle erforderlichen Informationen bereit und ermöglicht Audit‑/Inspektionsrechte (1×/Jahr, 14 Tage Vorankündigung).
Meldung von Datenpannen – SendDrop informiert den Verantwortlichen unverzüglich (< 24 h) über jede Verletzung des Schutzes personenbezogener Daten.
| Dienst | Unternehmen | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|---|
| Hosting | Hetzner Online GmbH | Deutschland | Primärer Infrastruktur‑ und DB‑Betrieb | AVV Art. 28 DSGVO |
| Cloud Hosting | Google Cloud Platform (Google Cloud EMEA Ltd.) | EU‑Region / USA* | Skalierbare Compute & Storage Ressourcen | SCC + AVV |
| CDN / DDoS | Cloudflare Inc. | USA* | Caching & Netzwerkschutz | SCC + ZOA |
| Payment Gateway | Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | AVV |
| Payment Gateway | PayPal (Europe) S.à r.l. | Luxemburg | Zahlungsabwicklung | AVV |
| Consent‑Tool | Usercentrics GmbH | Deutschland | Cookie‑Banner | AVV |
| Analytics | Google Ireland Ltd. | Irland / USA* | Web‑Analyse (GA4) | SCC + Einwilligung |
| UX‑Analyse | Hotjar Ltd. | Malta | Heatmaps / Funnels | AVV + Einwilligung |
| Automation | Zapier Inc. | USA* | Workflow Automation / iPaaS | SCC |
| CRM | Pipedrive OÜ | Estland (EU) | Kundenbeziehungsmanagement | AVV |
| E‑Mail‑Marketing | Brevo (Sendinblue SAS) | Frankreich (EU) | Mailinglisten & Newsletter | AVV + Einwilligung |
* Übermittlungen in die USA basieren auf den EU‑SCC 2021/914 (Modul 3) nebst ergänzenden Schutzmaßnahmen.
Der Verantwortliche wird 30 Tage im Voraus über das Hinzufügen oder Ersetzen eines Sub‑Processors informiert und kann innerhalb dieser Frist begründeten Widerspruch einlegen.
SendDrop oder seine Sub‑Processor übermitteln Daten in Drittstaaten nur, sofern:
ein Angemessenheitsbeschluss (Art. 45 DSGVO) vorliegt,
die EU‑Standardvertragsklauseln 2021/914 angewandt werden, oder
ein Ausnahmetatbestand nach Art. 49 DSGVO greift.
Nach Vertragsende löscht SendDrop alle personenbezogenen Daten binnen 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen, oder stellt sie in einem gängigen maschinenlesbaren Format bereit.
Die Haftung richtet sich nach den AGB von SendDrop sowie den gesetzlichen Regelungen. Jede Partei haftet für Verstöße gegen dieses DPA oder die DSGVO, die sie zu vertreten hat.
Änderungen dieses DPA bedürfen der Textform.
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit des übrigen DPA unberührt.
Es gilt deutsches Recht; Gerichtsstand ist – soweit zulässig – Traunstein.
| Rolle | Bezeichnung | Kontaktdaten |
|---|---|---|
| Verantwortlicher | Kund:in gemäß Hauptvertrag | lt. Registrierungsdaten |
| Auftragsverarbeiter | SendDrop GmbH | Fürstenweg 12, 83395 Freilassing |
| E‑Mail: [email protected] |
Siehe § 2 dieses DPA.
Zutrittskontrolle – Rechenzentrumszugang nur für autorisierte Personen (RFID + 24/7 Security).
Zugangskontrolle – MFA für Admin‑Accounts; passwortlose SSO; IP‑beschränkte VPN.
Datenzugriff – Rollen‑ & Rechte‑Konzept; „Least Privilege“; jährliche Rezertifizierung.
Weitergabekontrolle – TLS 1.3; Audit‑Logs aller API‑Calls ≥ 365 Tage.
Eingabekontrolle – Immutable Logs; SIEM‑Monitoring; WORM‑Storage.
Auftragskontrolle – Standardisiertes Sub‑Processor‑Onboarding inkl. DPIA & SCC‑Review.
Verfügbarkeitsschutz – Redundante Cluster, tägliche Off‑Site‑Backups, 99,9 % Uptime.
Datentrennung – Mandanten‑IDs in allen DB‑Schichten; Verschlüsselung at rest (AES‑256).
Privacy by Design/Default – Pseudonymisierte Tracking‑IDs; minimale Datensätze.
Incident Response – 24/7 Security‑Team; Reaktionszeit < 2 h; Notfall‑Plan gem. ISO 27001 A.17.
Ende des DPA – Version 1.1
