Sellograph
    Rechtliches

    Auftragsverarbeitungsvertrag (DPA)

    Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zwischen dir und der Go 2 Flow AG.

    Stand 17.04.2026Version 2026-04Sprache DE

    Dieser Auftragsverarbeitungsvertrag („DPA“, Data Processing Addendum) regelt die Verarbeitung personenbezogener Daten gemaess Art. 28 DSGVO zwischen dem Kunden (nachfolgend „Verantwortlicher“) und der Go 2 Flow AG, Grabenstrasse 8, 6004 Luzern, Schweiz (nachfolgend „Auftragsverarbeiter“ oder „Sellograph“). Der DPA ist integraler Bestandteil der Nutzungsbedingungen.

    Mit der Nutzung der Sellograph-Plattform — insbesondere durch Installation der Sellograph-App im Shopify App Store oder Anbindung an andere E-Commerce-Systeme — gilt dieser DPA als geschlossen. Eine zusaetzliche unterzeichnete Fassung stellen wir auf Anfrage unter kontakt@go2flow.ch zur Verfuegung.

    1. Gegenstand und Dauer

    Gegenstand der Auftragsverarbeitung sind alle personenbezogenen Daten, die Sellograph im Rahmen der Leistungserbringung gemaess Nutzungsbedingungen im Auftrag des Verantwortlichen verarbeitet. Die Dauer entspricht der Laufzeit der jeweiligen Leistungsvereinbarung.

    2. Art und Zweck der Verarbeitung

    Die Verarbeitung umfasst insbesondere:

    • Synchronisation von Produkt-, Bestell- und Kundendaten zwischen verbundenen Systemen
    • Bereitstellung von Analytics-Dashboards (Umsatz, RFM, Kohorten, Lifetime Value)
    • Marketing-Attribution und Kampagnen-Auswertung
    • Optional: Server-Side-Conversion-Tracking (CAPI) an vom Verantwortlichen ausgewaehlte Werbeplattformen
    • Optional: Cross-Selling- und KI-gestuetzte Empfehlungen

    Zweck der Verarbeitung ist ausschliesslich die Erbringung der beauftragten Leistungen. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

    3. Art der personenbezogenen Daten

    • Kunden-Stammdaten: Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Rechnungs- und Lieferadresse
    • Bestell- und Warenkorbdaten inkl. Bestellwert, Zahlungs- und Versandstatus
    • Consent-Status (Marketing-Einwilligung) und Zeitpunkt der Einwilligung
    • Technische Event-Daten: IP-Adresse, Browser-User-Agent, Seitenaufrufe, Add-to-Cart, Purchase
    • Login-Daten der Mitarbeiter des Verantwortlichen (verschluesselt gespeicherte Passwoerter, OAuth-Tokens)

    4. Kategorien betroffener Personen

    • Endkunden und Website-Besucher des Verantwortlichen
    • Mitarbeitende und Administratoren des Verantwortlichen

    5. Pflichten des Auftragsverarbeiters

    Sellograph verpflichtet sich insbesondere:

    • personenbezogene Daten nur nach dokumentierter Weisung des Verantwortlichen zu verarbeiten;
    • Personen, die zur Verarbeitung befugt sind, zur Vertraulichkeit zu verpflichten;
    • die in Ziffer 7 dargestellten technischen und organisatorischen Massnahmen (TOM) einzuhalten;
    • Unterauftragsverarbeiter nur gemaess Ziffer 8 einzusetzen;
    • den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zu unterstuetzen (Art. 12–22 DSGVO);
    • den Verantwortlichen bei der Einhaltung seiner Pflichten gemaess Art. 32–36 DSGVO zu unterstuetzen;
    • Daten nach Ende der Leistungserbringung entsprechend Ziffer 9 zu loeschen oder zurueckzugeben;
    • dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfuegung zu stellen.

    6. Pflichten des Verantwortlichen

    Der Verantwortliche bleibt fuer die Rechtmaessigkeit der Datenverarbeitung sowie die Wahrung der Rechte der betroffenen Personen verantwortlich. Er ist insbesondere fuer die Einholung erforderlicher Einwilligungen (z. B. fuer Marketing-Tracking oder CAPI-Weiterleitung) zustaendig.

    7. Technische und organisatorische Massnahmen (TOM)

    Sellograph trifft insbesondere folgende Sicherheitsmassnahmen gemaess Art. 32 DSGVO:

    • Verschluesselung: TLS 1.2+ fuer alle Daten-Transfers; AES-256 fuer Daten at rest in Datenbanken
    • Zugriffskontrolle: Rollen- und rechtebasierte Zugriffssteuerung (RBAC), Multi-Tenant-Isolation via Row-Level-Security in der Datenbank
    • Authentifizierung: Passwoerter werden ausschliesslich als bcrypt-Hashes gespeichert; OAuth-Tokens werden verschluesselt abgelegt
    • Hashing personenbezogener Identitaets-Felder: Weitergabe an CAPI-Empfaenger (Meta, Google, TikTok) ausschliesslich als SHA-256-Hash, niemals im Klartext
    • Audit-Logs: Zugriffs- und Aenderungs-Logs fuer sicherheitsrelevante Aktionen
    • Datensparsamkeit: rohe personenbezogene Identitaets-Daten werden spaetestens nach 365 Tagen geloescht oder durch Hashes ersetzt
    • Hosting in der EU/EWR: Primaer-Hosting bei Supabase (EU-Region) und Hetzner (Deutschland)
    • Backups: taegliche verschluesselte Backups; Point-in-Time-Recovery fuer mindestens 7 Tage
    • Incident-Response: Meldung von Datenschutz-Verletzungen an den Verantwortlichen ohne schuldhaftes Zoegern, spaetestens binnen 48 Stunden nach Kenntniserlangung
    • Softwaresicherheit: regelmaessige Dependency-Updates, Code-Reviews, automatisierte Tests

    8. Unterauftragsverarbeiter

    Der Verantwortliche stimmt dem Einsatz der folgenden Unterauftragsverarbeiter zu. Eine Aenderung oder Hinzunahme weiterer Subunternehmer wird vorab angekuendigt; der Verantwortliche hat ein Widerspruchsrecht binnen 14 Tagen.

    • Supabase Inc. (USA / EU-Region) — Datenbank, Authentifizierung, Edge Functions. DPA: supabase.com/legal/dpa
    • Hetzner Online GmbH (Deutschland) — Worker-Server, ClickHouse-Analytics
    • Cloudflare, Inc. (USA / EU-Region) — CDN, Analytics-Worker, Tracking-Snippet-KV. DPA: cloudflare.com/cloudflare-customer-dpa
    • Shopify Inc. (Kanada) — sofern der Verantwortliche die Shopify-Integration nutzt; Datenaustausch erfolgt via offizielle Shopify-APIs

    Bei Uebermittlungen in Drittlaender ausserhalb der EU/EWR stellt Sellograph sicher, dass geeignete Garantien gemaess Art. 44ff. DSGVO bestehen (EU-Standardvertragsklauseln, Angemessenheitsbeschluesse).

    9. Loeschung und Rueckgabe nach Vertragsende

    Nach Beendigung der Leistungserbringung loescht Sellograph saemtliche personenbezogenen Daten des Verantwortlichen spaetestens binnen 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Auf Wunsch stellt Sellograph vor der Loeschung einen Daten-Export im maschinenlesbaren Format zur Verfuegung. Fuer Shopify-Shops gilt zusaetzlich: binnen 48 Stunden nach Deinstallation der Shopify-App werden alle Shop-Daten automatisch hart geloescht (shop/redact-Webhook).

    10. Kontrollrechte

    Der Verantwortliche ist berechtigt, sich in angemessenem Umfang von der Einhaltung dieses DPA zu ueberzeugen. Sellograph stellt hierfuer auf Anfrage aktuelle Zertifikate, Audit-Berichte und Nachweise der getroffenen TOM zur Verfuegung. Vor-Ort-Kontrollen sind mit einer Vorlaufzeit von mindestens 14 Tagen in Abstimmung mit Sellograph moeglich.

    11. Haftung

    Die Haftung richtet sich nach den Regelungen der Nutzungsbedingungen sowie nach Art. 82 DSGVO.

    12. Schlussbestimmungen

    Sollten einzelne Bestimmungen dieses DPA unwirksam sein, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt. Aenderungen beduerfen der Textform. Es gilt schweizerisches Recht, soweit die DSGVO keine zwingenden Regelungen vorsieht. Gerichtsstand ist Luzern, Schweiz.

    Kontakt

    Fragen zum DPA richten Sie an:
    Go 2 Flow AG, Grabenstrasse 8, 6004 Luzern, Schweiz
    E-Mail: kontakt@go2flow.ch