Datenschutzerklärung der Kiivoo-Plattform
Geltung: Plattform ki-shopberater.de (Marketing-Website, Login, Dashboard, Onboarding, Billing, Support).
Diese Datenschutzerklärung gilt ausschließlich für Shop-Betreiber und sonstige Besucher der Plattform-Website der 54° north solutions GmbH. Die Verarbeitung von Daten der Endkunden im Chat-Widget ist Gegenstand einer separaten Erklärung unter /datenschutz/chat.
1. Verantwortlicher
54° north solutions GmbH
Eschenburgstraße 5
23568 Lübeck
Geschäftsführung: Dennis Becker, Michael Medzech
Handelsregister: HRB 19175 HL, Amtsgericht Lübeck
USt-IdNr.: DE326185759
E-Mail: hello@kiivoo.ai
Datenschutz: datenschutz@54north.solutions
Telefon: +49 451 5834 55 55
2. Datenschutzbeauftragter
Wir haben gemäß Art. 37 DSGVO einen externen Datenschutzbeauftragten bestellt.
Datenschutzbezogene Anfragen erreichen den DSB über datenschutz@54north.solutions. Anfragen werden vertraulich behandelt und unverzüglich an den Datenschutzbeauftragten weitergeleitet.
3. Aufruf der Website (Server-Logs)
Bei jedem Aufruf einer Seite auf ki-shopberater.de werden technische Verbindungsdaten verarbeitet, die der Browser automatisch an den Server übermittelt:
- IP-Adresse,
- Datum und Uhrzeit des Aufrufs,
- aufgerufene URL und Referer,
- User-Agent (Browser, Betriebssystem, Sprache),
- Statuscode und übertragene Datenmenge.
Zweck: Bereitstellung der Website, Fehleranalyse, Abwehr von Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Sicherheit).
Speicherdauer: 30 Tage, danach automatische Löschung.
Empfänger: Hetzner Online GmbH (Auftragsverarbeiter, Server-Infrastruktur Deutschland).
4. Schriftarten (Google Fonts, lokal gehostet)
Wir verwenden die Schriftart „Inter" über den Next.js-Font-Loader. Die Schriftdateien werden zur Build-Zeit auf unsere Server kopiert und beim Aufruf der Website ausschließlich von unseren eigenen Servern in Deutschland ausgeliefert. Es entsteht keine Verbindung zu Google-Servern und keine Übermittlung Ihrer IP-Adresse an Google.
5. Cookies und lokale Speicherung
Die Plattform verwendet ausschließlich technisch notwendige Cookies und Speicherobjekte:
| Zweck | Speichertyp | Speicherdauer |
|---|---|---|
| Auth-Session (Login-Token) | Cookie (HttpOnly, Secure, SameSite=Lax) | bis Logout, längstens 30 Tage |
| CSRF-Schutz | Session-Cookie | bis Browser-Schließung |
| UI-Präferenzen (z. B. Spracheinstellung) | localStorage | unbegrenzt, vom Nutzer löschbar |
Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies werden nicht eingesetzt. Aus diesem Grund wird kein Cookie-Consent-Banner benötigt; die genannten Cookies sind nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig.
5.1 Reichweiten-Messung (Umami, datensparsam)
Zur Auswertung der Reichweite unserer öffentlichen Seiten (Landingpage, Bestellprozess, Login, Datenschutz, Impressum) betreiben wir eine eigene Instanz der quelloffenen Statistik-Software Umami auf unseren Servern in Deutschland. Die Verarbeitung erfolgt cookielos, ohne Speicherung Ihrer IP-Adresse und ohne geräteübergreifendes Fingerprinting. Erfasst werden ausschließlich aggregierte technische Metriken: aufgerufene URL, Referer, Browser-/Geräte-Typ, ungefähre Region (auf Länder-Ebene, abgeleitet aus der IP im Moment des Aufrufs und sofort verworfen), Zeitpunkt. Eine Zuordnung zu Ihrer Person ist nicht möglich.
Zweck: Verbesserung der Inhalte und der Bedienbarkeit der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datensparsamer Reichweiten-Messung).
Speicherdauer: Aggregierte Statistiken bis zu 12 Monate.
Empfänger: Keine externen Empfänger. Datenverarbeitung erfolgt ausschließlich auf unseren Servern (Hetzner, Deutschland).
Drittlandtransfer: Keiner.
Widerspruch: Sie können der Reichweiten-Messung jederzeit widersprechen, indem Sie in Ihrem Browser Do Not Track (DNT) aktivieren oder über einen Werbeblocker die Zählung blockieren.
5.2 Eingebettete Videos (YouTube, Zwei-Klick-Lösung)
Auf unserer Marketing-Website binden wir Vorstellungs- und Demo-Videos vom Dienst YouTube ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google").
Die Einbindung erfolgt im erweiterten Datenschutzmodus über die Domain youtube-nocookie.com und zusätzlich als Zwei-Klick-Lösung: Beim bloßen Aufruf der Seite werden keine Daten an YouTube oder Google übermittelt — es wird weder ein Cookie gesetzt noch ein Vorschaubild von Google-Servern geladen. Erst wenn Sie aktiv auf die Schaltfläche „Ich bin Kiivoo — das Vorstellungsvideo" klicken, wird das eingebettete YouTube-iframe nachgeladen und die Verbindung zu Google hergestellt.
Verarbeitete Daten (erst nach Ihrem Klick): IP-Adresse, User-Agent, Datum/Uhrzeit, Referer, abgerufene Video-ID; bei in einem Google-Konto angemeldeten Nutzern zusätzlich Konto-Bezugsdaten.
Zweck: Auslieferung des Videos, Schutz vor Missbrauch sowie weitere von Google bestimmte Zwecke (siehe Google-Datenschutzerklärung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), erteilt durch den aktiven Klick auf die Abspielen-Schaltfläche. Den Klick können Sie schlicht unterlassen, dann findet keine Verarbeitung statt. Eine bereits erteilte Einwilligung wirkt nur für den jeweiligen Seitenaufruf; bei einem neuen Aufruf wird die Einwilligung erneut abgefragt.
Speicherdauer: Wird durch Google bestimmt.
Empfänger: Google Ireland Limited (Irland) sowie Google LLC (USA) als Konzerngesellschaft.
Drittlandtransfer: Bei Aktivierung des Videos werden Daten an Google LLC in die USA übermittelt. Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert; Grundlage des Transfers ist der Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023.
Weitere Informationen zur Datenverarbeitung durch Google finden Sie in der Datenschutzerklärung von Google.
6. Account-Registrierung und Login
Bei der Registrierung als Shop-Betreiber verarbeiten wir folgende Daten:
- E-Mail-Adresse,
- Passwort (gehasht und gesalzen, niemals im Klartext gespeichert),
- Firmenname, Anschrift, USt-IdNr.,
- Vor- und Nachname der vertretungsberechtigten Person,
- Telefonnummer (optional, für Support-Rückrufe).
Zweck: Begründung und Durchführung des Vertragsverhältnisses, Authentifizierung, Identifikation des Vertragspartners.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).
Speicherdauer: Für die Dauer des Vertrags. Nach Vertragsende: 30 Tage Löschfrist; ausgenommen Daten mit gesetzlicher Aufbewahrungspflicht (siehe § 14).
7. Shop-Verknüpfung
Damit Kiivoo Ihren Shop beraten kann, verbinden wir uns mit Ihrem Shop-System: bei Shopware 6 über unser Kiivoo-Connector-Plugin, bei Shopify per OAuth. Für Shopware benötigen wir keine Zugangsdaten zu Ihrer Shop-Administration — der Connector authentifiziert sich mit einem Kiivoo-eigenen Schlüssel, der bei uns nur als kryptografischer Hash gespeichert wird. Bei Shopify erhalten wir nach Ihrer Einwilligung im Shopify-Admin einen OAuth-Access-Token, der ausschließlich die von Ihnen freigegebenen Berechtigungen umfasst.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer der Shop-Anbindung; bei Deaktivierung oder Vertragsende erfolgt die Löschung.
8. Billing und Zahlungsabwicklung
Für die Abrechnung des Plattform-Abonnements verarbeiten wir:
- Vertragsdaten (Tarif, Buchungs- und Wechselzeitpunkte, Laufzeit),
- Rechnungsdaten (Rechnungsnummer, -betrag, -datum),
- Verbrauchsdaten zur variablen Gebührenberechnung (Anzahl Conversations, ohne Inhalt).
Empfänger der Zahlungsdaten: Die Zahlungsabwicklung erfolgt über die Novalnet AG, Feringastr. 4, 85774 Unterföhring. Novalnet ist eigener Verantwortlicher im Sinne der DSGVO für die Zahlungsdaten und die Erfüllung gesetzlicher Anforderungen an den Zahlungsverkehr (PSD2, GwG). Bankverbindungs- oder Kreditkartendaten werden auf der Plattform der 54° north solutions GmbH nicht gespeichert.
Rechtsgrundlage: Vertragsdurchführung Art. 6 Abs. 1 lit. b DSGVO; Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO und § 257 HGB.
Speicherdauer: Rechnungsbezogene Daten 10 Jahre, danach Löschung.
9. E-Mail-Kommunikation
9.1 Transaktionale E-Mails
Im Rahmen des Vertrags versenden wir an Sie:
- Bestätigungen (Registrierung, Passwort-Reset, Bestellbestätigung, Plan-Änderung),
- Rechnungen und Zahlungsbenachrichtigungen,
- Onboarding-Reminder bei nicht abgeschlossener Einrichtung,
- Service- und Sicherheitsinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
9.2 Marketing-E-Mails
Wir versenden gelegentlich E-Mails mit Produkt-Neuigkeiten, Tipps zur Beratungsqualität und Hinweisen auf neue Funktionen. Solche Mails erhalten Sie:
- als Bestandskunde auf Grundlage von § 7 Abs. 3 UWG (Direktwerbung für eigene ähnliche Produkte/Dienstleistungen) — Sie können diesem Empfang jederzeit widersprechen, ohne dass dadurch Kosten entstehen, oder
- als Interessent auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) im Double-Opt-in-Verfahren.
In jeder Marketing-E-Mail ist ein Abmeldelink enthalten, mit dem Sie die weitere Zustellung sofort beenden können. Eine Abmeldung berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht.
9.3 E-Mail-Versand
Der technische Versand erfolgt über einen SMTP-Dienstleister mit Sitz in der EU/EWR. Verarbeitete Daten: Empfänger-Adresse, Betreff und Inhalt der E-Mail, Zeitpunkt, technischer Zustellstatus.
10. Vormerk-Liste für noch nicht unterstützte Shop-Konfigurationen
Wenn Sie im Bestellprozess ein Shop-System angeben, das Kiivoo aktuell noch nicht unterstützt — Shopware 6.3 oder älter, Magento, WooCommerce oder OXID eShop — bieten wir Ihnen die Eintragung auf eine interne Vormerk-Liste an. Wir kontaktieren Sie persönlich, sobald Kiivoo Ihr Shop-System unterstützt.
Verarbeitete Daten: E-Mail-Adresse (Pflicht), Shop-Domain (Pflicht), Telefon (optional), Einwilligungs-Snapshot, Verify-Token (temporär, max. 48 Stunden), IP-Adresse, User-Agent, Status-/Notiz-Felder zur internen Bearbeitung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) mit Bestätigung über E-Mail-Verifizierung (Double‑Opt-In).
Speicherdauer: Unbestätigte Einträge werden nach 7 Tagen automatisch gelöscht. Bestätigte Einträge bis zur Konvertierung oder zum Widerruf, längstens 36 Monate. Bei Widerruf erfolgt unverzügliche Löschung.
Empfänger: Keine externen Empfänger; Zugriff ausschließlich durch Plattform-Administratoren der 54° north solutions GmbH im internen Demand-Tracker.
Drittlandtransfer: Keiner.
Widerruf: Per E-Mail an datenschutz@54north.solutions.
11. Support-Kommunikation
Wenn Sie uns per E-Mail, Telefon oder Kontaktformular eine Anfrage senden, verarbeiten wir die mitgeteilten Daten zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
Speicherdauer: Bis zur Erledigung; anschließend bis zu 6 Monate zur Nachvollziehbarkeit, danach Löschung — sofern keine gesetzlichen Aufbewahrungspflichten greifen.
12. Selbstauskunfts-Chat (KI-Berater auf der Website)
Auf unserer Marketing-Website bieten wir einen KI-gestützten Beratungs-Chat („Kiivoo-Selbstberater"), mit dem sich Interessenten ohne Anmeldung über Kiivoo informieren können. Dabei verarbeiten wir:
- die von Ihnen eingegebenen Freitext-Nachrichten,
- technische Metadaten (User-Agent, Referer),
- eine zufällig erzeugte Sitzungs-Kennung (ohne Personenbezug).
Wir fordern im Chat nicht zur Eingabe personenbezogener Daten auf; der Chat dient der allgemeinen Produktberatung. Bitte geben Sie insbesondere keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ein.
Zweck: Beantwortung von Interessenten-Fragen zum Produkt, Verbesserung unseres Informations- und Beratungsangebots.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktinformation und -beratung).
Empfänger / KI-Anbieter: Zur Erzeugung der Antworten übermitteln wir Ihre Eingaben an einen externen KI-Anbieter (derzeit Anthropic, Inc., USA; bei abweichender Modellwahl ggf. OpenAI, L.L.C., USA). Eine Verwendung Ihrer Eingaben zum Training der KI-Modelle ist vertraglich bzw. nach den API-Bedingungen ausgeschlossen.
Drittlandtransfer: Die Übermittlung in die USA ist über Standardvertragsklauseln (SCC) sowie das EU-US Data Privacy Framework abgesichert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).
Speicherdauer: Die Chat-Verläufe werden automatisch nach spätestens 90 Tagen gelöscht (siehe § 14).
13. Empfänger und Auftragsverarbeiter
Im Rahmen des Plattform-Betriebs nutzen wir folgende Auftragsverarbeiter und externe Empfänger. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.
| Empfänger | Sitz | Zweck | Rolle |
|---|---|---|---|
| Hetzner Online GmbH | Deutschland (Nürnberg/Falkenstein) | Server-, Storage- und Netzwerkinfrastruktur | Auftragsverarbeiter |
| Novalnet AG | Deutschland (Unterföhring) | Zahlungsabwicklung des Plattform-Abonnements | eigener Verantwortlicher |
| SMTP-Dienstleister | EU/EWR | Versand transaktionaler und Marketing-E-Mails | Auftragsverarbeiter |
| Google Ireland Ltd. / Google LLC | Irland / USA | Auslieferung eingebetteter YouTube-Videos nach Einwilligung (siehe 5.2) | eigener Verantwortlicher |
| Anthropic, Inc. | USA | Erzeugung der Antworten im Selbstauskunfts-Chat (KI-Berater, § 12) | Auftragsverarbeiter |
| OpenAI, L.L.C. | USA | KI-Berater bei abweichender Modellwahl (§ 12) | Auftragsverarbeiter |
Hinweis zur Chat-Beratung: Die Verarbeitung von Endkunden-Daten im Shop-Chat-Widget durch unsere KI-Sub-Auftragsverarbeiter (Anthropic, OpenAI, ElevenLabs) ist Gegenstand der separaten Datenschutzerklärung unter /datenschutz/chat und betrifft nicht die hier beschriebenen Plattform-Daten. Die KI-Verarbeitung im Selbstauskunfts-Chat auf dieser Website ist in § 12 beschrieben.
14. Speicherdauer (Übersicht)
| Datentyp | Aufbewahrung |
|---|---|
| Server-Logs der Plattform | 30 Tage |
| Reichweiten-Statistiken (Umami, aggregiert, ohne IP) | bis 12 Monate |
| Account-Daten (E-Mail, Passwort-Hash, Firmendaten) | für Vertragsdauer, danach 30 Tage Löschfrist |
| API-Credentials des verbundenen Shops | für Dauer der Shop-Anbindung, danach Löschung |
| Vertragsdaten | 3 Jahre nach Vertragsende |
| Rechnungs- und Buchhaltungsdaten | 10 Jahre (§ 147 AO, § 257 HGB) |
| Support-Kommunikation | bis 6 Monate nach Erledigung |
| Marketing-Mail-Einwilligungen / Widerrufe | bis Widerruf bzw. 3 Jahre nach letztem Kontakt |
| Vormerk-Liste — unbestätigte Einträge | 7 Tage (automatische Löschung) |
| Vormerk-Liste — bestätigte Einträge | bis Konvertierung oder Widerruf, längstens 36 Monate |
| Selbstauskunfts-Chat (KI-Berater) — Chat-Verläufe | 90 Tage (automatische Löschung) |
15. Drittlandtransfers
Plattform-Daten der Shop-Betreiber werden ausschließlich auf Servern in Deutschland verarbeitet. Eine Übermittlung in Drittländer findet im regulären Plattform-Betrieb nicht statt.
Ausnahme — eingebettete Videos: Wenn Sie auf der Marketing-Website ein eingebettetes YouTube-Video durch aktiven Klick starten (siehe Abschnitt 5.2), werden Daten an Google LLC in die USA übermittelt. Grundlage ist der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework vom 10. Juli 2023. Ohne Ihren Klick findet kein Drittlandtransfer statt.
Ausnahme — Selbstauskunfts-Chat (KI-Berater): Wenn Sie den KI-Berater auf dieser Website nutzen, werden Ihre Eingaben zur Antwort-Erzeugung an einen KI-Anbieter in die USA übermittelt (Anthropic, ggf. OpenAI; abgesichert über SCC und EU-US Data Privacy Framework). Einzelheiten in § 12.
(Drittlandtransfers für die KI-gestützte Chat-Beratung im Shop-Chat-Widget — Anthropic, OpenAI, ElevenLabs — sind Gegenstand der separaten Datenschutzerklärung für Endkunden im Chat-Widget.)
16. Ihre Rechte
Sie haben jederzeit folgende Rechte:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen,
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO),
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
Anfragen richten Sie an datenschutz@54north.solutions. Wir bearbeiten Anfragen innerhalb von 72 Stunden nach Eingang.
17. Beschwerderecht
Sie können sich mit einer Beschwerde an die für uns zuständige Aufsichtsbehörde wenden:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
Telefon: +49 431 988-1200
E-Mail: mail@datenschutzzentrum.de
Web: www.datenschutzzentrum.de
Daneben können Sie sich an die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts oder Arbeitsplatzes wenden.
18. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, wenn sich die Verarbeitung ändert oder rechtliche Vorgaben das erfordern. Die jeweils aktuelle Fassung ist unter /datenschutz/plattform abrufbar.
Stand: Mai 2026 · Version 0.10