Gebaut für Händler, die Kundendaten ernst nehmen.
EU-Datenresidenz, mandantenweise Verschlüsselung und strikte Isolation. Zusagen in klarer Sprache, nicht nur Abzeichen.
EU-Datenresidenz
Daten werden in der EU verarbeitet und gespeichert. Die Infrastruktur läuft in einer EU-Region; die Informationen deiner Kunden verlassen den Block nicht.
Verschlüsselung at rest, pro Mandant
WhatsApp-Zugriffstokens werden pro Mandant verschlüsselt und nie dem Browser preisgegeben. Einstellungs-APIs lassen Secrets vollständig weg.
Shopify Protected Customer Data
Wir befolgen die Protected-Customer-Data-Anforderungen von Shopify: minimal notwendiger Zugriff, ein dokumentierter Zweck für jedes Feld und Level-2-Datenkontrollen. Hapee liest Warenkörbe und Bestellungen, nie Zahlungsdaten.
Mandantenisolation
Jede Anfrage wird durch ein signiertes Bearer-Token auf deinen Shop beschränkt; der Server leitet deine Identität ab, nie der Client. Ein Mandant kann nie auf die Daten eines anderen zugreifen.
WhatsApp- & Meta-Konformität
Outreach ist vorlagenbasiert und richtlinienkonform. Du garantierst das Opt-in deiner Kunden; Hapee erzwingt die Nachrichten- und Vorlagenregeln von Meta.
Secrets nur serverseitig
Die Basis-URL der Go-API und das Bearer-Token des Händlers liegen nur serverseitig. Der Browser spricht mit unserem App-Server; er hält nie eine Anmeldeinformation und ruft den Core nie direkt auf.
Wie deine Daten von Anfang bis Ende geschützt werden
Der Browser berührt nie den Core oder dein WhatsApp-Token. Jede Anfrage wird serverseitig vermittelt und auf deinen Shop beschränkt.
Der Browser spricht nur mit dem Hapee App-Server. Der Go-Core und das WhatsApp-Token werden dem Client nie preisgegeben.
Zwei Grenzen leisten die eigentliche Arbeit. Zwischen dem Browser und unserem App-Server reist nur ein httpOnly-, Secure-, SameSite-Session-Cookie, sodass nie eine Anmeldeinformation das clientseitige JavaScript erreicht und es für ein bösartiges Skript nichts zu stehlen gibt.
Zwischen unserem App-Server und dem Go-Core identifiziert ein kurzlebiges, HMAC-signiertes Bearer-Token deinen Shop, ausschließlich aus dem Token abgeleitet, nie aus etwas, das der Client sendet. Dein WhatsApp-Zugriffstoken liegt verschlüsselt at rest und wird nur im Arbeitsspeicher entschlüsselt, im Moment des Nachrichtenversands. Es wird nie in ein Log geschrieben, von einer API zurückgegeben oder im Dashboard angezeigt.
Was wir verarbeiten und wie lange
Das Minimum, das zur Warenkorb-Rückgewinnung nötig ist, nur so lange aufbewahrt, wie es nützlich ist, dann entfernt.
Was wir erheben
Inhalt und Wert abgebrochener Warenkörbe, Vorname und WhatsApp-Nummer des Kunden bei Shoppern mit Opt-in, Nachrichtentexte und Zustellstatus sowie Bestellabschlüsse zur Attribution. Keine Zahlungsdaten.
Warum wir sie verarbeiten
Ausschließlich, um die von dir konfigurierten Rückgewinnungsnachrichten zu liefern, auf der Rechtsgrundlage, auf die du dich stützt und die du garantierst. Wir klassifizieren Warenkörbe, um Bots nicht anzuschreiben, was Shopper und deine Absenderreputation schützt.
Wie lange wir sie aufbewahren
So lange wie nötig, um den Dienst zu betreiben und Attribution und Abrechnung zu belegen, dann gelöscht oder anonymisiert. Du kannst eine frühere Löschung beantragen, vorbehaltlich gesetzlicher Aufbewahrung.
Was Hapee niemals tut
Schreibt niemals Kunden an, die kein Opt-in gegeben haben. Outreach ist vorlagenbasiert und du garantierst die Einwilligung. Hapee kontaktiert keine Shopper ohne Einwilligung.
Gibt dein WhatsApp-Token niemals preis. Es ist pro Mandant verschlüsselt und wird nie dem Browser oder in einer API-Antwort zurückgegeben.
Verkauft niemals personenbezogene Daten. Daten werden nur mit den Subauftragsverarbeitern geteilt, die zum Betrieb des Dienstes nötig sind, aufgeführt im AV-Vertrag.
Verlagert deine Daten niemals aus der EU. Verarbeitung und Speicherung bleiben in einer EU-Region.
Wie die Grenzen gezogen sind.
Eine schnelle, ehrliche Karte davon, wo Daten liegen und wer sie anfassen kann.
nur aus dem Token abgeleitet. Vom Client gelieferte Shop-Kennungen werden als nicht vertrauenswürdig behandelt.access_token verschlüsselt at rest, pro Mandant. DTOs lassen es weg; es wird nie an den Client zurückgegeben oder vom Client akzeptiert.nosniff, strikte Referrer-Policy und eine nonce-basierte CSP, die nur den Meta-Embedded-Signup-Origin in einem Frame zulässt.Deine Datenrechte, unterstützt
Anfragen betroffener Personen werden zügig bearbeitet. Bei Shopperdaten gehen Anfragen an dich als Verantwortlichen und Hapee unterstützt als Auftragsverarbeiter.
Auskunft
Erhalte eine Kopie der über eine betroffene Person gespeicherten personenbezogenen Daten.
Berichtigung
Korrigiere unrichtige oder unvollständige personenbezogene Daten.
Löschung
Beantrage Löschung, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Einschränkung
Beschränke in definierten Fällen, wie personenbezogene Daten verarbeitet werden.
Übertragbarkeit
Erhalte Daten in einem strukturierten, übertragbaren Format.
Widerspruch
Widersprich bestimmten Verarbeitungen personenbezogener Daten.
Subauftragsverarbeiter
Daten werden nur mit den Anbietern geteilt, die zum Betrieb des Dienstes nötig sind. Die aktuelle Liste wird im AV-Vertrag geführt.
| Anbieter | Zweck | Region |
|---|---|---|
| Cloud-Hosting | Betreibt die Hapee-App und den Core | EU |
| Plattform-Connector | Liest abgebrochene Warenkörbe und abgeschlossene Bestellungen (z. B. Shopify) | Pro Plattform |
| WhatsApp über Meta | Stellt Nachrichten über deine eigene Nummer zu | Pro Meta |
Fordere die vollständige, aktuelle Liste der Subauftragsverarbeiter mit dem AV-Vertrag an.
Fragen zu Sicherheit & Compliance
- Ja, wenn Kunden ein Opt-in gegeben haben und das Messaging der WhatsApp-Business-Richtlinie von Meta und der DSGVO folgt. Hapee ist vorlagenbasiert und verlangt, dass du das Opt-in garantierst; es schreibt keine Kunden an, die nicht eingewilligt haben.
- In der EU. Verarbeitung und Speicherung laufen in einer EU-Region, und die Daten deiner Kunden verlassen den Block nicht.
- Niemand über das Produkt. Tokens werden pro Mandant verschlüsselt und nie dem Browser oder in einer API-Antwort zurückgegeben.
- Hapee ist darauf ausgelegt, die DSGVO zu unterstützen: eine Rechtsgrundlage über das Opt-in des Händlers, EU-Residenz, Verschlüsselung, Bearbeitung von Betroffenenanfragen und einen AV-Vertrag auf Anfrage.
- Outreach stoppt sofort und Datensätze werden nur so lange aufbewahrt, wie es für Abrechnung und gesetzliche Pflichten nötig ist, dann gelöscht oder anonymisiert.
Lies das Kleingedruckte.
Unsere Richtlinien sind zum Lesen geschrieben, nicht zum Überfliegen.