Datenschutzerklärung
Wie Keaz mit Ihren Daten und den Daten Ihrer Kundinnen und Kunden umgeht. In klarer Sprache, wo das Gesetz es zulässt.
1 · Verantwortlicher
Pocket Agency GmbH, Kollwitzstraße 76, 10435 Berlin, Deutschland, ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Kontakt: privacy@keaz.app.
Gegenüber unseren Kundinnen und Kunden (Shopify-Shops) handelt Keaz für die personenbezogenen Daten von deren Endkundinnen und Endkunden als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Ein Vertrag zur Auftragsverarbeitung wird bei der Registrierung automatisch geschlossen.
2 · Welche Daten wir erheben
Von Shopify-Shops (unsere Kundinnen und Kunden)
- Kontodaten: Name, E-Mail-Adresse, Passwort-Hash, Rolle, Zeitzone.
- Rechnungsdaten: Firmenname, Anschrift, USt-IdNr., Zahlungsmethode (verarbeitet von Stripe — wir sehen niemals Kartennummern).
- Shop-Verbindungsdaten: Shopify-Shop-Domain, OAuth-Token, Zeitpunkte der App-Installation.
- Nutzungsdaten: aufgerufene Seiten, genutzte Funktionen, Fehlerberichte — zur Produktverbesserung.
Von Endkundinnen und Endkunden der Shops unserer Kunden
- Kontaktdaten: Vorname, Nachname, Telefonnummer, E-Mail-Adresse — bereitgestellt durch den Shop oder erhoben über Keaz-Wachstumstools (mit ausdrücklichem Opt-in).
- Verhaltensdaten aus Shopify: Bestellungen, Warenkorbinhalte, Browsing-Ereignisse, Abo-Status.
- Metadaten zu WhatsApp-Nachrichten: Nachrichten-ID, Zustellstatus, Lesebestätigungen, Klick-Ereignisse auf CTAs.
Was wir nicht erheben: Kreditkartendaten (das übernimmt Stripe), Passwörter aus verbundenen Systemen oder die Inhalte von Gesprächen zwischen Ihnen und Ihren Kundinnen und Kunden über die von Ihnen eingerichteten Vorlagen hinaus.
3 · Zwecke der Verarbeitung
- Erbringung des Dienstes: Nachrichten zustellen, Flows ausführen, Prognosen erstellen.
- Abrechnung und Betrugsprävention.
- Produktverbesserung (aggregiert, niemals zur Identifizierung einzelner Endkundinnen oder Endkunden).
- Erfüllung gesetzlicher Pflichten (Steuern, Buchhaltung, Behördenanfragen).
4 · Rechtsgrundlagen
- Vertrag (Art. 6 Abs. 1 lit. b DSGVO) — zur Erbringung des Dienstes, den Sie abonniert haben.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — für Produktverbesserung, Betrugsprävention und Sicherheitsüberwachung.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — für WhatsApp-Marketingnachrichten an Endkundinnen und Endkunden, erhoben vom Shop über ein dokumentiertes Opt-in (Double-Opt-in, wo gesetzlich erforderlich).
- Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO) — für Buchhaltungsunterlagen (10 Jahre) und steuerliche Pflichten.
5 · Auftragsverarbeiter
Wir setzen die folgenden sorgfältig ausgewählten Auftragsverarbeiter ein. Alle arbeiten unter Auftragsverarbeitungsverträgen mit uns und – soweit erforderlich – unter EU-Standardvertragsklauseln (SCC).
Shopify Inc.
Quelle für Bestell- und Kundendaten via OAuth.
Kanada / EU-Server
WhatsApp Business Platform (Meta)
Nachrichtenzustellung an Endkundinnen und Endkunden.
USA · SCC abgeschlossen
Klaviyo, Inc.
Optionale Integration: shop-gesteuert, nur per Opt-in.
USA · SCC abgeschlossen
Stripe Payments Europe Ltd.
Abrechnung & Zahlungsabwicklung.
Irland / EU
Amazon Web Services EMEA
Hosting, Speicherung und Backup.
eu-central-1 (Frankfurt)
Postmark / Resend
Transaktionale E-Mails (Konto, Abrechnung).
USA · SCC abgeschlossen
7 · Speicherdauer
- Aktive Kontodaten: solange Ihr Abonnement aktiv ist + 30 Tage für das Offboarding.
- Endkunden-Messaging-Daten: 24 Monate ab der letzten Nachricht, anschließend Löschung, sofern Ihre aktive Aufbewahrungsrichtlinie nichts anderes vorgibt.
- Buchhaltungsunterlagen: 10 Jahre (deutsches Steuerrecht).
- Server-Logs: 14 Tage.
8 · Ihre Rechte (Art. 15–22 DSGVO)
- Auskunftsrecht — was wir über Sie gespeichert haben.
- Recht auf Berichtigung — falsche Daten korrigieren.
- Recht auf Löschung — Daten löschen (vorbehaltlich gesetzlicher Aufbewahrungspflichten).
- Recht auf Einschränkung der Verarbeitung.
- Recht auf Datenübertragbarkeit.
- Widerspruchsrecht gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Recht auf jederzeitigen Widerruf der Einwilligung.
- Recht auf Beschwerde bei einer Aufsichtsbehörde (in Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit).
Schreiben Sie an privacy@keaz.app — wir antworten innerhalb von 30 Tagen.
9 · Internationale Datenübermittlung
Einige Auftragsverarbeiter (Meta, Klaviyo, Stripe, Postmark/Resend) sitzen in den USA. Übermittlungen erfolgen auf Grundlage der von der EU-Kommission anerkannten Standardvertragsklauseln (SCC). Wir übermitteln keine Daten in Länder ohne Angemessenheitsbeschluss oder ohne abgeschlossene SCC.
10 · Sicherheit
Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand (AES-256). Audit-Logging für alle Datenzugriffe. Rollenbasierte Zugriffskontrolle. Jährliche Penetrationstests. Wir schließen Auftragsverarbeitungsverträge mit Kundinnen und Kunden und stellen ISO-/SOC2-Dokumentation auf Anfrage zur Verfügung.
11 · Kontakt
Fragen zum Datenschutz: privacy@keaz.app
Datenschutzbeauftragter: dpo@keaz.app
Postanschrift: Pocket Agency GmbH · Datenschutz · Kollwitzstraße 76 · 10435 Berlin · Deutschland
Zuletzt aktualisiert · 18. Mai 2026