Infrastruktur und Datenspeicherung. Alle Daten werden in EU-Regionen gespeichert (europe-west4, Niederlande).
Legal basis: Standardvertragsklauseln (SCCs) + EU-US Data Privacy Framework
Privacy policySecurity & Privacy
Wie wir mit Ihren Daten und denen Ihrer Kunden umgehen.
It Goes Forward ist ein DSGVO-konformer Auftragsverarbeiter nach niederländischem Recht. Diese Seite erklärt genau, welche Daten wir erheben, wer sie verarbeitet, wie sie geschützt werden und welche Rechte gelten.
Die Kurzversion
- Adressen der Konsumenten sind füreinander nie sichtbar: Der Sender sieht die Adresse des Käufers nicht, und der Käufer sieht die Adresse des Senders nicht.
- Wir sind ein DSGVO Artikel 28-konformer Auftragsverarbeiter. Eine unterschriebene Auftragsverarbeitungsvereinbarung (AVV) besteht mit allen Kunden.
- Wir nutzen drei Unterauftragsverarbeiter: Google Cloud Platform (Speicherung), Mollie (Zahlungen) und Postmark (transaktionale E-Mails). Alle arbeiten unter dem EU-US Data Privacy Framework oder Standardvertragsklauseln.
- Wir verkaufen, teilen oder nutzen Konsumentendaten nicht für andere Zwecke als den Betrieb des Forwarding-Dienstes für Ihren Webshop.
DSGVO-Rollen
Ihr Webshop (Verantwortlicher)
Ihr Webshop ist der Verantwortliche. Sie bestimmen Zwecke und Mittel der Verarbeitung von Konsumentendaten. Sie sind verantwortlich für Ihre Rückgaberichtlinien, Datenschutzhinweise an Konsumenten und die Rechtsgrundlage für die Weitergabe von Konsumentendaten an uns.
It Goes Forward (Auftragsverarbeiter)
It Goes Forward ist Auftragsverarbeiter. Wir verarbeiten Konsumentendaten ausschließlich auf Ihre dokumentierten Weisungen hin, nur zum Betrieb von Forwarding und nur so lange wie nötig. Wir nutzen Konsumentendaten nicht für andere Zwecke.
Eine DSGVO Artikel 28-konforme Auftragsverarbeitungsvereinbarung regelt dieses Verhältnis. Die AVV umfasst: Umfang und Zweck der Verarbeitung, Pflichten von Unterauftragsverarbeitern, Rechte der betroffenen Personen, Meldung von Datenschutzverletzungen, Rückgabe und Löschung von Daten sowie Auditrechte. Auf Anfrage verfügbar.
AVV anfordernWelche Daten wir verarbeiten und warum
| Daten | Zweck | Aufbewahrung |
|---|---|---|
| Name und E-Mail-Adresse des Konsumenten | Versand von Transaktionsbenachrichtigungen (Match erstellt, Label ausgegeben, Rückerstattung ausgelöst) über Postmark | Dauer der Transaktion + 30 Tage |
| Postleitzahl (Sender) | Matching-Algorithmus zur Suche geografisch naher Käufer, um Transportwege zu minimieren | Dauer des Listings |
| Postleitzahl (Empfänger) | Erzeugung des Versandlabels (wird an den Carrier weitergegeben, dem Sender nie angezeigt) | Dauer des Versands |
| Produktdetails (SKU, Name, Preis) | Erstellung des Listings, Matching mit Käuferbestellungen, Erzeugung des Rabatts | Dauer des Listings |
| Retourengrund | Zulässigkeitsprüfung: Artikel mit Grund 'beschädigt' werden vom Forwarding ausgeschlossen | Nach der Zulässigkeitsprüfung nicht mehr aufbewahrt |
| Käuferbewertung und Feedback | Auslösen der Rückerstattung, verhaltensbasierte Filterung schlechter Akteure | 12 Monate |
| CO₂-Einsparung pro Transaktion | Reporting an den Händler, ISO-Standard-Wirkungsberechnung | Unbegrenzt (für aggregiertes Reporting) |
Vollständige Adressen (Straße, Hausnummer) werden ausschließlich für die Label-Erzeugung an den Carrier weitergegeben. It Goes Forward speichert sie nie über den Versandzyklus hinaus und sie sind für den jeweils anderen Konsumenten nie sichtbar.
Unterauftragsverarbeiter
Wir nutzen drei Unterauftragsverarbeiter. Alle sind vertraglich an DSGVO-äquivalente Datenschutzstandards gebunden.
Mollie
Zahlungsabwicklung für Käufertransaktionen. Mollie ist ein niederländischer Zahlungsdienstleister unter Aufsicht der De Nederlandsche Bank.
Legal basis: DSGVO-konform. Regulierte EU-Finanzinstitution.
Privacy policyPostmark
Zustellung transaktionaler E-Mails. Verwendet für Match-Benachrichtigungen, Label-E-Mails und Rückerstattungsbestätigungen an Konsumenten.
Legal basis: EU-US Data Privacy Framework oder Standardvertragsklauseln
Privacy policyÄnderungen bei Unterauftragsverarbeitern kündigen wir Kunden mindestens 30 Tage im Voraus an, im Einklang mit unserer AVV. Kunden können neuen Unterauftragsverarbeitern widersprechen.
Konsumentenprivatsphäre ist Teil des Produkts, nicht aufgesetzt.
Adressen werden nie geteilt
Der Sender sieht die Adresse des Käufers nie. Der Käufer sieht die Adresse des Senders nie. Das Versandlabel wird von It Goes Forward erzeugt und direkt an den Carrier weitergegeben; keine der beiden Parteien sieht den Ort der anderen.
Nur Einzelartikel-Retouren
Forwarding ist nur für Einzelartikel-Retouren verfügbar. Das ist eine bewusste Entscheidung aus Privacy- und Qualitätsgründen: Die Originalverpackung kann wiederverwendet werden und Artikel können nicht zwischen Konsumenten vertauscht werden.
Kein Konsumentenkonto erforderlich
Konsumenten müssen bei It Goes Forward kein Konto anlegen. Alle Interaktionen finden im bestehenden Retouren-Flow Ihres Webshops mit Ihrer bestehenden Konsumentenauthentifizierung statt.
Technische und organisatorische Sicherheitsmaßnahmen
Alle Daten im Transit verschlüsselt via TLS 1.2+
Alle Daten at-Rest verschlüsselt (AES-256) auf Google Cloud Platform
API-Authentifizierung per API-Schlüssel (Schlüssel sind pro Händler gescoped)
Test- und Produktionsumgebungen sind vollständig getrennt
Keine vollständigen Konsumentenadressen über den Versandzyklus hinaus gespeichert
Zugriff auf Produktionsdaten auf autorisierte Engineers beschränkt
Benachrichtigung der Kunden bei Datenschutzverletzungen innerhalb von 72 Stunden nach Feststellung, gemäß DSGVO Artikel 33
Datenexport auf Kundenanfrage verfügbar
Datenlöschung bei Vertragsende, schriftlich bestätigt
Auditrechte für Kunden im Rahmen der AVV verfügbar
Rechte der Betroffenen unter der DSGVO
Konsumenten, deren Daten wir verarbeiten, haben unter der DSGVO folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Als Verantwortlicher ist Ihr Webshop für die Entgegennahme und Beantwortung von Betroffenenanfragen zuständig. Wir unterstützen Sie bei Anfragen, die Maßnahmen in unseren Systemen erfordern, innerhalb der von der DSGVO vorgesehenen Fristen.
Für Betroffenenanfragen zur Verarbeitung durch It Goes Forward: privacy@itgoesforward.com
Security & Privacy FAQ
Haben Sie eine Auftragsverarbeitungsvereinbarung (AVV)?
Ja. Eine DSGVO Artikel 28-konforme AVV besteht mit allen Kunden. Sie umfasst Pflichten der Unterauftragsverarbeiter, Meldung von Datenschutzverletzungen, Aufbewahrung, Löschung und Auditrechte. Auf Anfrage vor Vertragsunterzeichnung verfügbar; kontaktieren Sie uns.
Wo werden Konsumentendaten gespeichert?
Alle Daten werden auf Google Cloud Platform in EU-Regionen gespeichert (europe-west4, Niederlande). Keine Konsumentendaten werden außerhalb der EU gespeichert.
Kann der Sender die Adresse des Käufers sehen oder umgekehrt?
Nein. Das ist eine zentrale Produktentscheidung. Keine der Parteien sieht jemals die Adresse der anderen. Versandlabels werden von It Goes Forward erzeugt und dem Sender als URL bereitgestellt; der Carrier übernimmt die Zustellung, ohne die Empfängeradresse offenzulegen.
Was passiert mit Konsumentendaten, wenn wir unseren Vertrag beenden?
Bei Vertragsende stellen wir einen Datenexport bereit und löschen anschließend alle Konsumentendaten innerhalb von 30 Tagen aus unseren Systemen. Die Löschung wird schriftlich bestätigt. Aggregierte, anonymisierte Reporting-Daten (z. B. gesamt eingesparte CO₂) können wir für eigene Unterlagen behalten.
Führen Sie Penetration Tests oder Sicherheitsaudits durch?
Sicherheitsaudits sind Teil unserer Roadmap, unter anderem über das NLnet/Radically Open Security-Programm. Zusammenfassungen der Auditergebnisse veröffentlichen wir auf dieser Seite, sobald verfügbar.
Sind Sie ISO 27001-zertifiziert?
Noch nicht. Eine ISO 27001-Zertifizierung steht auf unserer Roadmap. Wir arbeiten nach den auf dieser Seite beschriebenen technischen und organisatorischen Maßnahmen, die in unserer AVV vertraglich zugesichert sind.
Wie gehen Sie mit einer Datenschutzverletzung um?
Bei einer Datenschutzverletzung, die Konsumentendaten betrifft, die wir in Ihrem Auftrag verarbeiten, benachrichtigen wir Sie innerhalb von 72 Stunden nach Kenntnisnahme, gemäß DSGVO Artikel 33. Unsere AVV beschreibt das Meldeverfahren im Detail.
Dokumentation für Ihr Procurement- oder Legal-Team?
Wir stellen bereit: unsere unterschriebene AVV-Vorlage, eine ausgefüllte Security-Questionnaire, unsere Liste der Unterauftragsverarbeiter mit vertraglicher Basis und die Dokumentation unserer CO₂-Berechnungsmethodik. Die meisten Procurement-Fragen lassen sich ohne Gespräch beantworten: Senden Sie uns Ihren Fragebogen und wir füllen ihn aus.
Senden Sie uns Ihre Security-QuestionnaireEnterprise-Beschaffungsdokumentation ist paketiert und bereit. Enterprise-Details →