CarliLogin

Datenschutzrichtlinie

Stand: 17. März 2026

1. Verantwortlicher

Paul & Romi GmbH
Ravensberger Straße 14
33602 Bielefeld
Deutschland

E-Mail: datenschutz@getcarli.io
Website: https://getcarli.io

2. Übersicht der Datenverarbeitung

Carli ist eine SaaS-Plattform zur Optimierung von E-Commerce-Werbekampagnen, powered by Claude. Wir verbinden Google Ads, Meta Ads und Shopify, um Nutzern datenbasierte Optimierungsvorschläge zu liefern. Alle Optimierungen erfordern eine explizite Freigabe durch den Nutzer (Approval-Modus).

3. Welche Daten wir erheben

3.1 Kontodaten (bei Registrierung)

  • E-Mail-Adresse
  • Name (optional)
  • Passwort (gehasht gespeichert über Supabase Auth, bcrypt)

3.2 Verbundene Plattform-Daten

Bei der Verbindung von Werbekonten und Shopify speichern wir:

  • OAuth Access Tokens und Refresh Tokens (AES-256-GCM verschlüsselt)
  • Plattform-Kontokennung (z.B. Shopify-Shop-Domain, Ad-Account-ID)
  • Verbindungsstatus und Berechtigungsumfang (Scopes)

Wichtig: Wir speichern keine personenbezogenen Kundendaten aus Ihrem Shopify-Shop. Carli verarbeitet nur aggregierte Kennzahlen und speichert keine Namen, Adressen oder E-Mail-Adressen Ihrer Endkunden.

3.3 Nutzungsdaten

  • IP-Adresse (nur in Server-Logs, automatisch nach 30 Tagen gelöscht)
  • Browser-Typ und Geräteinformationen
  • Zeitpunkt und Art der Nutzung (z.B. Audit-Ausführungen)

4. Rechtsgrundlagen (Art. 6 DSGVO)

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b): Verarbeitung der Kontodaten und Plattform-Tokens zur Bereitstellung unseres Dienstes.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Server-Logs und Nutzungsanalysen zur Sicherstellung des Betriebs.
  • Einwilligung (Art. 6 Abs. 1 lit. a): Soweit zusätzliche Cookies oder Tracking-Dienste eingesetzt werden.

5. Sicherheitsmaßnahmen

  • Verschlüsselung: Alle OAuth-Tokens werden mit AES-256-GCM verschlüsselt.
  • Transport: Sämtliche Kommunikation über TLS 1.2+ (HTTPS).
  • Zugriffskontrolle: Row Level Security (RLS) in der Datenbank.
  • HMAC-Verifizierung: Alle Shopify-Webhooks werden mittels HMAC-SHA256 verifiziert.
  • Infrastruktur: Vercel (Frontend) und Fly.io Frankfurt (Backend) — Datenverarbeitung innerhalb der EU.
  • Approval-Modus: Keine automatischen Aktionen — jede Änderung erfordert explizite Nutzerfreigabe.

6. Auftragsverarbeiter

DienstZweckStandort
Supabase (AWS eu-central-1)Authentifizierung, DatenbankFrankfurt, DE
VercelFrontend-HostingEU / Edge
Fly.ioMCP-Server (Backend)Frankfurt, DE
StripeZahlungsabwicklungEU
CloudflareDNS, DDoS-SchutzGlobal / EU

7. Datenweitergabe

Wir geben personenbezogene Daten nicht an Dritte weiter, es sei denn: Sie haben eingewilligt, es ist zur Vertragserfüllung erforderlich, oder wir sind gesetzlich verpflichtet.

8. Speicherdauer

  • Kontodaten: Solange Ihr Konto aktiv ist. Bei Löschung innerhalb von 30 Tagen gelöscht.
  • OAuth-Tokens: Sofort bei Trennung der Verbindung gelöscht.
  • Server-Logs: Automatisch nach 30 Tagen gelöscht.
  • Abrechnungsdaten: Gemäß gesetzlicher Aufbewahrungspflichten (bis 10 Jahre).

9. Ihre Rechte (Art. 15–21 DSGVO)

Sie haben Recht auf: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21).

Kontakt: datenschutz@getcarli.io

10. Beschwerderecht

Zuständige Aufsichtsbehörde: LDI NRW, Kavalleriestr. 2–4, 40213 Düsseldorf

11. Shopify-spezifische Hinweise

  • Zugriff nur im Umfang gewährter Berechtigungen (read_products, read_inventory, read_orders).
  • Keine personenbezogenen Endkundendaten (PII) werden dauerhaft gespeichert.
  • Bei Deinstallation werden alle Shop-Daten vollständig gelöscht.
  • Alle GDPR-Webhooks werden gemäß Shopify-Anforderungen verarbeitet.