Zum Hauptinhalt springen
— Konzept-Anleitung

DSGVO bei digitalen Downloads

Nach DSGVO ist Ihr Shop der Verantwortliche und Alva Apps der Auftragsverarbeiter. Alva speichert die zur jeweiligen Shopify-Bestellung gehörende Kunden-E-Mail und den Namen, die Bestell-ID, nach dem Kauf zugewiesene Lizenzschlüssel und ein Download-Protokoll pro Versuch (IP, User Agent, Zeitstempel). Dieser Artikel ist informativ und stellt keine Rechtsberatung dar — sprechen Sie für rechtliche Spezifika mit einer Datenschutzanwältin oder einem Datenschutzanwalt. Im Folgenden eine ehrliche Zusammenfassung, was gespeichert wird, wo es liegt und wie Sie eine Betroffenenanfrage abwickeln.

Zuletzt aktualisiert · 6. Mai 2026 Lesedauer · 4 Min. Autor ·

Was Alva über Ihre Kunden speichert

  • Kunden-E-Mail und Name — aus der Shopify-Bestellung übernommen, sobald orders/paid ausgelöst wird.
  • Bestellreferenzen — Shopify-Bestell-ID, Bestellnummer und die Positionen, die digitalen Dateien oder Lizenzschlüsseln zugeordnet sind.
  • Download-Nutzungsprotokolle — jeder Download-Versuch erzeugt eine Zeile mit IP-Adresse, User Agent, Zeitstempel und der angefragten Datei. Versorgt Betrugslimits und den Pro-Kunde-Protokollexport.
  • Lizenzschlüssel-Zuweisungen — der konkrete Schlüsselwert, der jedem Kunden ausgegeben wurde, gespeichert auf PurchaseLicenseKey.
  • E-Mail-Protokolle — welche Liefer-E-Mails Alva versendet hat (Betreff, Empfänger, Sende-Zeitstempel).

Alva speichert keine Zahlungsdaten, Lieferadressen oder sonstige Daten, die Shopify nicht über den Bestell-Webhook übergibt.

Wo die Daten liegen

Kundenzeilen, Kaufdatensätze, Lizenzschlüssel, Download-Protokolle und E-Mail-Protokolle liegen in einer auf Heroku gehosteten PostgreSQL-Datenbank. Hochgeladene Produktdateien liegen in Cloudflare R2. Ausgehende Liefer-E-Mails laufen je nach Plan und Status der eigenen Domain über Postmark oder MailerToGo. Die aktuelle Liste der Subprozessoren und der Mechanismus für internationale Übermittlungen finden sich in Alvas Datenschutzerklärung — lesen Sie diese ergänzend zu diesem Artikel.

Auskunftsanfrage des Kunden (Article 15)

Shopify löst den Webhook customers/data_request an Alva aus, wenn ein Händler eine Anfrage über das Shopify-Admin einreicht. Alva ist für dieses Topic registriert (in shopify.app.toml unter compliance_topics) und bestätigt jeden Aufruf, doch der Export selbst wird manuell erstellt, statt automatisch versendet. Leiten Sie die Kunden-E-Mail und Bestell-ID an digitaldownloads@alvaapps.com weiter, und wir liefern die passenden Datensätze innerhalb von 30 Tagen.

In den meisten Fällen sind die Daten bereits zugänglich: Die Detailseite der Bestellung zeigt Kunden-E-Mail, Lizenzschlüssel und Download-Protokoll; Einstellungen → Download-Protokoll exportiert eine CSV pro Kunde. Zusammen mit Shopifys eigenem Kundenexport reicht das in der Regel für eine Article-15-Anfrage aus, ohne den Alva-Support einzubeziehen.

Screenshot benötigt

Shopify Partners-Admin → App-Konfiguration → Bereich Compliance-Webhooks mit den drei registrierten Topics (customers/data_request, customers/redact, shop/redact) für Alva Digital Downloads. Alternativ eine geschwärzte Beispiel-CSV-Zeile aus dem Download-Protokoll-Export. Browser-Chrome zugeschnitten, keine echten Händlerdaten sichtbar.

Shopifys Compliance-Webhooks-Bereich — Alva ist für alle drei Topics registriert.

Löschanfrage des Kunden (Article 17)

Das Recht auf Löschung läuft über Shopifys customers/redact-Webhook, den Shopify 60 Tage nach der Markierung des Kunden zur Löschung durch den Verantwortlichen auslöst — ein Standard-Karenzfenster, das offene Chargebacks und Erstattungsabläufe abdeckt. Alva ist für das Topic registriert und löscht beim Empfang die zugehörigen Zeilen in Customer, Purchase, PurchaseLicenseKey, DownloadLog und EmailLog für diese Kunden-E-Mail.

Was gelöscht wird: personenbezogene Identifikatoren, Zeilen im Download- und E-Mail-Protokoll. Was bleibt: aggregierte Zähler und die zugrunde liegenden Produktdateien, die Sie hochgeladen haben — das sind Ihre Daten, nicht die des Kunden. Um eine Löschung außerhalb des Shopify-Flows auszulösen, schicken Sie eine E-Mail an den Support mit der Kunden-E-Mail und den Bestellnummern.

Löschanfrage für Shop-Daten (Deinstallation)

Das Topic shop/redact und eine vollständige Deinstallation löschen alles, was zum Shop gehört. Mechanik, was erhalten bleibt und wie Sie vorher sichern, finden Sie unter Was passiert, wenn ich Alva Digital Downloads deinstalliere.

Häufig gestellte Fragen

Hat Alva einen Auftragsverarbeitungsvertrag (DPA)?

Ja. Schreiben Sie an digitaldownloads@alvaapps.com und wir senden einen unterzeichneten DPA, der Alva Apps als Auftragsverarbeiter und Ihren Shop als Verantwortlichen benennt. Der DPA verweist auf die in der Datenschutzerklärung gelisteten Subprozessoren und auf Standardvertragsklauseln für internationale Übermittlungen.

Wie lange bewahrt Alva Kundendaten nach Versand einer Bestellung auf?

Kunden-E-Mail, Bestell-Metadaten, Lizenzschlüssel-Zuweisungen und Download-Nutzungsprotokolle werden für die Dauer Ihrer Installation aufbewahrt. Sie werden nur gelöscht, wenn Sie die App deinstallieren oder eine Löschanfrage für diesen Kunden einreichen. Eine automatische zeitbasierte Bereinigung gibt es nicht.

Wo werden die Daten physisch gespeichert?

Bestelldatensätze und Download-Protokolle liegen in PostgreSQL auf Heroku. Hochgeladene Dateien liegen in Cloudflare R2. Ausgehende E-Mails laufen über Postmark oder MailerToGo. Die aktuelle Subprozessor-Liste finden Sie in der Datenschutzerklärung unter /privacy-policy.html.

Siehe auch

Abrechnung & Pläne

Was passiert, wenn ich Alva deinstalliere

Der vollständige Deinstallationspfad — was gelöscht wird, was bleibt und wie Sie sich vorbereiten.

 Abrechnung & Pläne

Welche Funktionen erfordern einen kostenpflichtigen Plan

DPAs und eigene E-Mail-Domains sind in den kostenpflichtigen Stufen — Kurzreferenz.

 Betrug & Sicherheit

Betrugsentscheidungen mit dem Fraud-Action-Log auditieren

Das Download-Protokoll ist nicht die einzige Audit-Oberfläche — Betrugsaktionen werden separat protokolliert.

War das hilfreich?

Kommen Sie nicht weiter? Schreiben Sie uns.

Zuletzt aktualisiert 2026-05-06