Datenschutzerklärung

Gültig ab: 20. Oktober 2025

Zuletzt aktualisiert: 11. Dezember 2025

Diese Datenschutzerklärung erläutert, wie AgenticCart („AgenticCart", „wir", „unser", „uns") personenbezogene Daten erhebt, verwendet, offenlegt und schützt, wenn Sie unsere Website, das AgenticCart-Plugin und zugehörige Cloud-Dienste (zusammen der „Dienst") nutzen. Sie erklärt auch Ihre Rechte gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und österreichischem Recht.

Durch die Nutzung des Dienstes stimmen Sie dieser Datenschutzerklärung zu. Wenn Sie nicht zustimmen, nutzen Sie den Dienst bitte nicht.

1. Wer wir sind und wie Sie uns kontaktieren können

Verantwortlicher für die in dieser Richtlinie beschriebenen Daten:
AgenticCart
Österreich
E-Mail: legal@agenticcart.ai

Wenn Sie als Händler den Dienst in Ihrem WooCommerce-Shop nutzen, fungiert AgenticCart auch als Auftragsverarbeiter für begrenzte durchgeleitete personenbezogene Daten, wenn wir ACP-Anfragen in Ihrem Namen weiterleiten. Siehe Abschnitt 5.

Datenschutzbeauftragter: Wenn wir einen DSB ernennen, werden wir die Kontaktdaten hier veröffentlichen. Sie können uns jederzeit kontaktieren unter legal@agenticcart.ai.

Aufsichtsbehörde: Österreichische Datenschutzbehörde („DSB"). Website: www.dsb.gv.at

2. Geltungsbereich

Diese Richtlinie gilt für Besucher von agenticcart.ai, Händler-Kontoinhaber und Nutzer, die mit dem Dienst interagieren, einschließlich unserer APIs und Cloud-Relay. Sie deckt nicht die Verarbeitung ab, die von Händlern in ihren eigenen WooCommerce-Shops durchgeführt wird, welche durch die jeweiligen Datenschutzhinweise der Händler geregelt wird.

3. Kategorien personenbezogener Daten, die wir verarbeiten

Wir verarbeiten die folgenden Datenkategorien, abhängig von Ihrer Interaktion mit dem Dienst:

Konto- und Identitätsdaten

Name, Unternehmen, Rolle, E-Mail-Adresse, Authentifizierungskennungen, Passwort-Hash (gespeichert durch Supabase Authentication), Profilpräferenzen.

Anmeldung mit Google

Wenn Sie sich mit Google anmelden, erhalten wir grundlegende Profilinformationen von Google, wie Ihren Namen, Ihre E-Mail-Adresse und optional Ihr Profilbild. Wir verwenden diese Daten nur zur Erstellung und Pflege Ihres AgenticCart-Kontos, zur Authentifizierung und zur Anzeige Ihres Profils im Dashboard. Wir greifen nicht auf andere Daten Ihres Google-Kontos zu, wie Gmail-Inhalte, Google Drive-Dateien, Kalendertermine oder Kontakte. Wir verwenden Google-Nutzerdaten nicht für Werbung und verkaufen sie nicht an Dritte.

Kommerzielle und Abonnementdaten

Tarif, Abrechnungsstatus, Lizenzstatus, Nutzungsberechtigungen, Transaktionsverlauf mit uns.

Technische und Nutzungsdaten

IP-Adresse, Zeitstempel, User-Agent, Geräte- und Browser-Metadaten, API-Aufruf-Identifikatoren, Anfrage- und Antwortprotokolle, Fehlercodes, Leistungsmetriken, Idempotenz-Schlüssel.

Transaktionsmetadaten für ACP-Routing

Bestellkennungen, Zahlungsinitiierungskennungen, delegierte Token-Referenzen oder nicht-sensible Token-Metadaten, ACP-Endpunkt-URLs, Statuscodes. Wir speichern keine vollständigen Karteninhaberdaten.

Support- und Kommunikationsdaten

Support-Tickets, E-Mails, Chat-Transkripte, Anhänge, Problemdiagnosen, Feedback.

Marketing- und Zustellbarkeitsdaten

Mailinglisten-Opt-in-Status, Abmelde-Tokens, Kampagnenöffnungen und -klicks, Bounce-Informationen und ähnliche Standard-E-Mail-Zustellbarkeitsmetriken.

Cookies und ähnliche Technologien

Cookies, lokaler Speicher und ähnliche Technologien, wie in Abschnitt 12 beschrieben.

Wir erheben nicht absichtlich besondere Kategorien von Daten im Sinne von Artikel 9 DSGVO. Wir richten den Dienst nicht an Kinder und erheben wissentlich keine Daten von Personen unter 18 Jahren.

4. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten für die nachstehenden Zwecke und auf den nachstehenden Rechtsgrundlagen. Wo mehrere Grundlagen zutreffen, stützen wir uns auf jede entsprechend.

Bereitstellung und Betrieb des Dienstes

Konten erstellen, Benutzer authentifizieren, ACP-Relay, Zahlungsinitiierung und WooCommerce-Bestellsynchronisierung bereitstellen, Kernfunktionalität aufrechterhalten.
Rechtsgrundlagen: Vertragserfüllung Art. 6(1)(b), berechtigte Interessen Art. 6(1)(f).

Sicherheit und Missbrauchsprävention

Betrug, Missbrauch, Fehlnutzung und Sicherheitsvorfälle erkennen, untersuchen und verhindern, Rate-Limits durchsetzen, unsere Infrastruktur schützen.
Rechtsgrundlagen: berechtigte Interessen Art. 6(1)(f), rechtliche Verpflichtung Art. 6(1)(c) wo anwendbar.

Dienstverbesserung und Diagnose

Leistung überwachen, Fehler beheben, Zuverlässigkeit verbessern, neue Funktionen entwickeln und aggregierte Nutzungsmuster analysieren.
Rechtsgrundlage: berechtigte Interessen Art. 6(1)(f).

Kommunikation

Transaktionsnachrichten über Ihr Konto, Dienstbenachrichtigungen, Sicherheitswarnungen und Änderungen der Bedingungen.
Rechtsgrundlagen: Vertragserfüllung Art. 6(1)(b), rechtliche Verpflichtung Art. 6(1)(c).

Marketing

Produktupdates und Marketing-E-Mails an Geschäftskontakte senden, soweit gesetzlich zulässig. Sie können sich jederzeit abmelden.
Rechtsgrundlagen: Einwilligung Art. 6(1)(a) oder berechtigte Interessen Art. 6(1)(f), je nach Rechtsordnung und Kontext.

Rechtliche Compliance

Rechtliche Verpflichtungen erfüllen, auf rechtmäßige Anfragen reagieren, Geschäftsunterlagen führen, Steuern und Buchhaltung.
Rechtsgrundlage: rechtliche Verpflichtung Art. 6(1)(c).

5. Rollen: Verantwortlicher und Auftragsverarbeiter

AgenticCart als Verantwortlicher

Wir sind Verantwortlicher für Konto-, Website- und Plattformdaten, die wir für unsere eigenen Zwecke erheben, einschließlich Identitäts-, Kontakt-, Abonnement-, Sicherheits- und Marketingdaten.

AgenticCart als Auftragsverarbeiter für Händler

Wenn wir ACP-Zahlungsinitiierungs-Payloads über unsere Server weiterleiten und automatisch WooCommerce-Bestellungen für einen Händler erstellen, verarbeiten wir alle in diesen Payloads enthaltenen personenbezogenen Daten im Auftrag des Händlers. In diesem Kontext ist der Händler der Verantwortliche. Wir verarbeiten solche Daten nur zur Bereitstellung des Dienstes, vorbehaltlich unseres Auftragsverarbeitungsvertrags (AVV). Wir entscheiden nicht über die Zwecke oder Mittel der Verarbeitung im Shop des Händlers.

Wenn Sie Endnutzer eines Händler-Shops sind, wenden Sie sich bitte an diesen Händler, um Ihre DSGVO-Rechte auszuüben. Wir unterstützen den Händler wie gesetzlich vorgeschrieben.

6. Wie Zahlungen und Bestellungen funktionieren

Wenn ein Agent oder Kunde eine Transaktion über ACP initiiert:

  • Die Zahlungsinitiierungsanfrage wird über TLS an unsere Server übertragen.
  • Wir validieren und normalisieren den Payload und rufen Stripe mit einem delegierten Zahlungstoken auf, der mit dem Stripe-Konto des Händlers verknüpft ist.
  • Stripe wickelt Autorisierung, Erfassung, Abrechnung, Rückerstattungen, Streitfälle und Rückbuchungen direkt mit dem Händler ab.
  • Nachdem Stripe die Initiierung bestätigt hat, erstellen wir eine entsprechende Bestellung im WooCommerce-System des Händlers.
  • Wir speichern minimale Metadaten für Idempotenz, Abgleich, Sicherheit und Debugging. Wir speichern keine vollständigen Karteninhaberdaten.

7. Datenquellen

Wir erheben Daten direkt von Ihnen, aus Ihrer Nutzung des Dienstes, aus Ihren konfigurierten Integrationen und von unseren Unterauftragsverarbeitern, einschließlich Supabase und unserem E-Mail-Dienst. Wir können auch grundlegende Unternehmens- und Kontaktdaten aus öffentlichen Quellen oder Business-Networking-Tools erhalten, soweit gesetzlich zulässig.

8. Offenlegungen und Empfänger

Wir geben personenbezogene Daten an die folgenden Kategorien von Empfängern weiter, nur soweit erforderlich und unter angemessenen Schutzmaßnahmen.

Unterauftragsverarbeiter, die uns bei der Bereitstellung des Dienstes helfen

  • Supabase: verwaltete Postgres-Datenbank, Objektspeicher und Authentifizierung
  • Stripe: delegierte Zahlungstoken-Initiierung für das Stripe-Konto des Händlers
  • Cloud-Hosting- und CDN-Anbieter
  • E-Mail-Zustellung und Kundensupport-Tools
  • Logging-, Monitoring- und Sicherheitsanbieter

Händler und Integrationspartner

Als Auftragsverarbeiter übertragen wir Payloads an die WooCommerce-Instanz des Händlers und an Stripe für die Zahlungsinitiierung.

Professionelle Berater und Behörden

Wirtschaftsprüfer, Buchhalter, Anwälte und Regierungsbehörden, soweit gesetzlich vorgeschrieben.

Unternehmenstransaktionen

Bei einer Fusion, Übernahme, Reorganisation oder einem Vermögensverkauf können Daten unter Vertraulichkeit an die relevanten Parteien übertragen werden.

Wir verkaufen keine personenbezogenen Daten.

9. Internationale Übermittlungen

Unsere Unterauftragsverarbeiter können Daten in Ländern außerhalb des EWR verarbeiten. Bei internationalen Übermittlungen personenbezogener Daten stützen wir uns auf geeignete Garantien wie die Standardvertragsklauseln der Europäischen Kommission, zusammen mit technischen und organisatorischen Maßnahmen zum Schutz der Daten. Details finden Sie in unserem AVV und der Liste der Unterauftragsverarbeiter.

10. Aufbewahrung

Wir bewahren personenbezogene Daten nur so lange auf, wie es für die in dieser Richtlinie dargelegten Zwecke erforderlich ist.

  • Konto- und Vertragsdaten: für die Dauer des Kontos und einen angemessenen Zeitraum danach zur Erfüllung rechtlicher, steuerlicher und Prüfungsanforderungen.
  • Sicherheit und Protokolle: für die Zeit, die zur Gewährleistung der Sicherheit, Untersuchung von Vorfällen und Verbesserung der Zuverlässigkeit erforderlich ist, dann gelöscht oder anonymisiert.
  • Marketingdaten: bis Sie sich abmelden und für einen kurzen Zeitraum zur Dokumentation Ihrer Präferenz.
  • Für Händler verarbeitete Auftragsverarbeiterdaten: nur so lange aufbewahrt, wie für Routing, Idempotenz, rechtliche Verpflichtungen und Diagnose erforderlich, dann gelöscht oder anonymisiert.

Spezifische Aufbewahrungsfristen können je nach gesetzlichen Anforderungen variieren.

11. Sicherheit

Wir verwenden dem Risiko angemessene technische und organisatorische Maßnahmen, einschließlich Zugriffskontrollen, Verschlüsselung während der Übertragung, von Supabase bereitgestellte Verschlüsselung im Ruhezustand, Schlüssel- und Geheimnisverwaltung, Zugriff nach dem Least-Privilege-Prinzip, Umgebungshärtung, Überwachung und Alarmierung sowie routinemäßiges Schwachstellenmanagement. Kein System kann zu 100 Prozent sicher garantiert werden. Sie sind verantwortlich für die Sicherung Ihrer WordPress-, WooCommerce- und Serverumgebungen sowie API-Schlüssel und Anmeldedaten.

12. Cookies und ähnliche Technologien

Wir verwenden Cookies und ähnliche Technologien, um den Dienst bereitzustellen und zu sichern, Präferenzen zu speichern und die Leistung zu messen.

Arten

  • Streng notwendige Cookies: erforderlich für Authentifizierung und Kernfunktionalität.
  • Funktionale Cookies: speichern Einstellungen und Präferenzen.
  • Analyse-Cookies: helfen uns, die Nutzung zu verstehen und den Dienst zu verbessern.
  • Marketing-Cookies: für erlaubte B2B-Kommunikation und Kampagnenmessung verwendet.

Einwilligung

Wir holen Ihre Einwilligung für nicht-essentielle Cookies in Rechtsordnungen ein, in denen dies gemäß den ePrivacy-Regeln erforderlich ist. Sie können Ihre Präferenzen jederzeit über den Link Cookie-Einstellungen in der Fußzeile ändern.

Browser-Steuerung

Sie können Ihren Browser so einstellen, dass er Cookies blockiert oder löscht. Einige Funktionen funktionieren möglicherweise nicht, wenn Sie bestimmte Cookies deaktivieren. Wir reagieren nicht auf Do-Not-Track-Signale.

Google Analytics (GA4)

Wir verwenden Google Analytics 4, betrieben von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. GA4 hilft uns zu verstehen, wie unsere Website und unser Dashboard genutzt werden. GA4 kann Gerätekennungen, ungefähren Standort und Ereignisdaten erfassen. Wir haben GA4 mit Consent Mode v2 konfiguriert. Analysedaten werden nur nach Ihrer Einwilligung erfasst. Vor der Einwilligung verhindert der Consent Mode das Setzen von Analyse-Cookies.

Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6(1)(a) DSGVO für Analyse-Cookies. Sie können die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen. Bei Datenübertragungen in die USA stützt sich Google auf das EU-US Data Privacy Framework und, wo anwendbar, die Standardvertragsklauseln zusammen mit zusätzlichen Schutzmaßnahmen.

Datenschutzeinstellungen, die wir anwenden:

  • Google Signals deaktiviert, sofern Sie nicht dem Marketing zustimmen.
  • Anzeigenpersonalisierung deaktiviert, sofern Sie nicht dem Marketing zustimmen.
  • Datenaufbewahrung auf einen minimalen Zeitraum eingestellt.
  • Keine Übertragung personenbezogener Daten wie Namen, E-Mail-Adressen, genaue Postadressen oder andere Identifikatoren.

Anbieter: Google Ireland Limited. Datenschutzinformationen und Bedingungen sind in der Google-Dokumentation verfügbar. Sie können sich jederzeit über unsere Cookie-Einstellungen oder Browser-Opt-out-Tools von der Analyse abmelden.

13. Ihre Rechte gemäß DSGVO

Vorbehaltlich der Bedingungen und Ausnahmen der DSGVO haben Sie folgende Rechte:

  • Auskunft: Bestätigung anfordern, ob wir Ihre personenbezogenen Daten verarbeiten, und eine Kopie erhalten.
  • Berichtigung: Korrektur unrichtiger oder unvollständiger Daten anfordern.
  • Löschung: Löschung anfordern, wenn kein überwiegendes Interesse an der Fortsetzung der Verarbeitung besteht.
  • Einschränkung: Einschränkung der Verarbeitung in bestimmten Fällen anfordern.
  • Datenübertragbarkeit: Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übertragen.
  • Widerspruch: der Verarbeitung aufgrund berechtigter Interessen oder zu Direktmarketingzwecken widersprechen.
  • Einwilligung widerrufen: die Einwilligung jederzeit widerrufen, wenn die Verarbeitung auf Einwilligung basiert.
  • Beschwerde: eine Beschwerde bei einer Aufsichtsbehörde einreichen, insbesondere im EWR-Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes. In Österreich können Sie sich an die DSB wenden.

Ausübung von Rechten für händlerkontrollierte Daten

Wenn Sie Endnutzer eines Händler-Shops sind, wenden Sie sich bitte an diesen Händler. Wir unterstützen den Händler bei der Beantwortung Ihrer Anfrage, wenn wir als Auftragsverarbeiter tätig sind.

14. Wie Sie Ihre Rechte ausüben können

Sie können Anfragen per E-Mail an legal@agenticcart.ai. senden. Möglicherweise müssen wir Ihre Identität und Ihre Beziehung zum Konto oder Händler überprüfen. Wir bemühen uns, innerhalb eines Monats wie von der DSGVO vorgeschrieben zu antworten, oder Sie zu informieren, wenn aufgrund der Komplexität mehr Zeit benötigt wird.

15. Datenschutz für Kinder

Der Dienst ist für Geschäftsnutzer bestimmt und richtet sich nicht an Personen unter 18 Jahren. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie legal@agenticcart.ai damit wir geeignete Maßnahmen ergreifen können.

16. Änderungen dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Die aktualisierte Version wird unter agenticcart.ai/privacy mit einem neuen Datum der letzten Aktualisierung veröffentlicht. Bei wesentlichen Änderungen werden wir, soweit gesetzlich vorgeschrieben, zusätzlich informieren. Die fortgesetzte Nutzung des Dienstes nach Änderungen bedeutet, dass Sie die aktualisierte Richtlinie akzeptieren.

17. Auftragsverarbeitungsvertrag für Händler

Für Händler mit Sitz im EWR, Vereinigten Königreich oder der Schweiz ist auf Anfrage ein DSGVO-konformer AVV einschließlich der anwendbaren Standardvertragsklauseln erhältlich. Der AVV regelt unsere Auftragsverarbeitung in Ihrem Auftrag.

18. Kontakt

AgenticCart Datenschutz
E-Mail: legal@agenticcart.ai
Post: AgenticCart, Österreich

Anhang A: Unterauftragsverarbeiter

Wir verwenden sorgfältig ausgewählte Unterauftragsverarbeiter zur Bereitstellung des Dienstes. Jeder Unterauftragsverarbeiter verarbeitet nur die für seine Funktion erforderlichen Daten und ist durch schriftliche Vereinbarungen gebunden, die Vertraulichkeits-, Sicherheits- und Datenschutzverpflichtungen enthalten. Die aktuelle Liste kann umfassen:

Supabase

Funktion: verwaltete Postgres-Datenbank, Objektspeicher und Authentifizierung
Daten: Kontodaten, Authentifizierungskennungen, Anwendungsdaten, begrenzte Protokolle
Standort: EWR-Region wo verfügbar oder andere Regionen je nach Konfiguration
Schutzmaßnahmen: Verschlüsselung im Ruhezustand und während der Übertragung, SCCs für internationale Übermittlungen

Stripe

Funktion: delegierte Zahlungstoken-Initiierung für das Stripe-Konto des Händlers
Daten: Zahlungsinitiierungsmetadaten und Token-Referenzen, keine vollständigen Kartendaten bei AgenticCart gespeichert
Standort: EU und andere Regionen je nach Stripe-Architektur
Schutzmaßnahmen: SCCs wo anwendbar, PCI-DSS-Zertifizierung durch Stripe

Cloud-Hosting- und CDN-Anbieter

Funktion: Anwendungshosting, Datenbanken, Netzwerk, Content Delivery
Daten: Anwendungsdaten und Protokolle nach Bedarf
Standort: nach Konfiguration, einschließlich EWR und andere Regionen
Schutzmaßnahmen: SCCs wo anwendbar

E-Mail-Zustellung und Kundenkommunikation

Funktion: transaktionale und erlaubte Marketing-E-Mails, Support-Tickets
Daten: Kontaktdaten, Nachrichteninhalte, Zustellbarkeitsmetriken
Standort: EWR und/oder andere Regionen je nach Anbieter
Schutzmaßnahmen: SCCs wo anwendbar

Logging-, Monitoring- und Sicherheits-Tools

Funktion: Anwendungsprotokolle, Metriken, Incident Response
Daten: technische und Nutzungsdaten, Fehlerdetails, pseudonymisierte Identifikatoren
Standort: EWR und/oder andere Regionen
Schutzmaßnahmen: SCCs wo anwendbar

Wir können diese Liste aktualisieren, wenn sich unser Dienst weiterentwickelt. Händler können Änderungsbenachrichtigungen für Unterauftragsverarbeiter anfordern.

Anhang B: Datenfluss-Zusammenfassung

Kontoerstellung und Anmeldung

Daten fließen von Ihrem Browser zu Supabase Authentication, das Session-Tokens ausstellt. Kontoprofildaten werden in Supabase DB gespeichert.

ACP-Zahlungsinitiierung

Agent oder Kunde initiiert Zahlung über ACP. Payload erreicht unser Relay über TLS. Wir validieren und normalisieren, dann rufen wir Stripe mit einem delegierten Token auf, der mit dem Stripe-Konto des Händlers verknüpft ist. Wir speichern minimale Metadaten für Idempotenz und Debugging. Wir speichern keine vollständigen Karteninhaberdaten.

WooCommerce-Bestellerstellung

Nachdem Stripe die Initiierung bestätigt hat, rufen wir die WooCommerce-APIs des Händlers auf, um die Bestellung zu erstellen und Status an den anfragenden Agenten zurückzugeben. Der Händler ist Verantwortlicher für Endnutzerdaten in WooCommerce.

E-Mail und Support

Wir senden transaktionale E-Mails und Dienstbenachrichtigungen. Marketing-E-Mails werden nur gesendet, wenn erlaubt, mit einem Abmeldelink.