Datenschutzerklärung

---

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Ein Datenschutzbeauftragter ist nicht benannt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen.

2. Überblick

pxos ist eine B2B-SaaS-Plattform, die es E-Commerce- und Fashion-Brands ermöglicht, dynamische, markenspezifische Post-Purchase-Erlebnisse über QR-Codes auf Produktverpackungen bereitzustellen. Die Plattform ist ausschließlich für gewerbliche Kunden (Brands) bestimmt. Endkunden der Brands erstellen keine Nutzerkonten auf pxos und werden nicht direkt von uns erfasst.

3. Hosting und Infrastruktur

pxos wird gehostet und betrieben über:

• Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA (Hosting, Edge-Netzwerk, CDN)
• Supabase Inc. (Datenbankinfrastruktur, Authentifizierung, Dateispeicher) – gehostet auf AWS-Servern in der EU-Region Frankfurt (eu-central-1)

Vercel verarbeitet im Rahmen des Betriebs technische Zugriffsdaten (IP-Adressen, Zeitstempel, HTTP-Header). Mit Vercel besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO. Für Übermittlungen in die USA stützen wir uns auf die Standardvertragsklauseln der EU-Kommission (SCC).

4. Verarbeitete Personendaten

4.1 Registrierung und Nutzerkonto

Bei der Registrierung und Nutzung von pxos verarbeiten wir folgende Daten:

• Name und E-Mail-Adresse
• Passwort (verschlüsselt gespeichert via Supabase Auth)
• Unternehmensname (Workspace-Bezeichnung)
• Technische Metadaten (Login-Zeitstempel, IP-Adresse bei der Authentifizierung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.2 Nutzungsdaten und Logs

Im Rahmen des Plattformbetriebs werden technische Nutzungsdaten erhoben, darunter:

• QR-Code-Scan-Events (anonym – ohne Nutzeridentifikation der Endkunden)
• Session-Daten zu Seitenaufrufen der Post-Purchase-Seiten
• Gerätekategorie, Browser-Typ, Zeitstempel (keine personenidentifizierbaren Daten der Endkunden)
• API-Anfragen und Fehler-Logs

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

4.3 Shopify-Integration

Brands können pxos mit ihrem Shopify-Shop verbinden. Dabei werden über die Shopify API Bestelldaten (z. B. Bestellnummern, Produkttitel, Bestellstatus) abgerufen, um personalisierte Post-Purchase-Inhalte zu erzeugen. Diese Daten werden ausschließlich im Auftrag der jeweiligen Brand verarbeitet. pxos agiert insoweit als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. Auftragsverarbeitungsvertrag

4.4 SMS-Opt-in

Brands können auf ihren Post-Purchase-Seiten ein optionales SMS-Opt-in-Formular aktivieren. Sofern Endkunden ihre Mobilfunknummer angeben und der Nutzung zustimmen, wird diese Nummer ausschließlich im Auftrag der jeweiligen Brand gespeichert und verarbeitet. pxos agiert dabei als technischer Auftragsverarbeiter – die datenschutzrechtliche Verantwortung für die Kommunikation mit den Endkunden liegt bei der jeweiligen Brand.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Cookies und lokale Speicherung

pxos verwendet technisch notwendige Cookies sowie lokalen Browser-Speicher (LocalStorage/SessionStorage) ausschließlich zur Aufrechterhaltung der Sitzung und Authentifizierung. Marketing- oder Tracking-Cookies werden nicht eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO / § 25 Abs. 2 TDDDG

6. Weitergabe an Dritte

Personenbezogene Daten werden nur an folgende Kategorien von Empfängern weitergegeben:

• Vercel Inc. – Hosting und Betrieb der Plattform (DPA vorhanden, SCC für US-Übermittlung)
• Supabase Inc. – Datenbankinfrastruktur (EU-Region, DPA vorhanden)
• Shopify International Ltd. – im Rahmen der API-Integration (auf Weisung der Brand)

Eine darüberhinausgehende Weitergabe an Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet.

7. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Zweckerfüllung notwendig ist oder gesetzliche Aufbewahrungspflichten bestehen:

• Nutzerkontodaten: bis zur Löschung des Accounts durch den Nutzer oder auf Anfrage
• Technische Logs: maximal 90 Tage
• Shopify-Bestelldaten: für die Dauer der aktiven Integration, danach Löschung auf Anfrage
• Steuerrechtlich relevante Daten: 10 Jahre gemäß § 147 AO

8. Ihre Rechte als betroffene Person

Als betroffene Person stehen Ihnen gemäß DSGVO folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: johannes@twynk.io

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde ist:

9. Datensicherheit

pxos setzt technische und organisatorische Maßnahmen ein, um Ihre Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Alle Datenübertragungen erfolgen verschlüsselt via HTTPS/TLS. Passwörter werden ausschließlich in gehashter Form gespeichert. Der Zugriff auf Produktionsdaten ist auf autorisierte Personen beschränkt.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslage oder Plattformfunktionen anzupassen. Die jeweils aktuelle Version ist auf der pxos-Plattform abrufbar.