BOOK A DEMO

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Johannes Kröger
Rosenhagen 7
19348 Perleberg OT Rosenhagen
Deutschland

E-Mail: johannes@twynk.io

Ein Datenschutzbeauftragter ist nicht benannt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen.

2. Überblick

Nothing to hide ist eine B2B-SaaS-Plattform, die es E-Commerce- und Fashion-Brands ermöglicht, dynamische, markenspezifische Post-Purchase-Erlebnisse über QR-Codes auf Produktverpackungen bereitzustellen. Die Plattform ist ausschließlich für gewerbliche Kunden (Brands) bestimmt.

Soweit Nothing to hide personenbezogene Daten von Endkunden der jeweiligen Brand verarbeitet, erfolgt dies grundsätzlich im Auftrag der Brand. Die Brand bleibt insoweit datenschutzrechtlich Verantwortlicher gegenüber ihren Endkunden; Nothing to hide agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO.

3. Hosting und Infrastruktur

Nothing to hide wird gehostet und betrieben über:

  • Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA (Hosting, Edge-Netzwerk, CDN)
  • Supabase Inc. (Datenbankinfrastruktur, Authentifizierung, Dateispeicher) – gehostet auf AWS-Servern in der EU-Region Frankfurt (eu-central-1)

Vercel verarbeitet im Rahmen des Betriebs technische Zugriffsdaten (IP-Adressen, Zeitstempel, HTTP-Header). Mit Vercel besteht ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO. Für Übermittlungen in die USA stützen wir uns auf die Standardvertragsklauseln der EU-Kommission (SCC).

4. Verarbeitete personenbezogene Daten

4.1 Registrierung und Nutzerkonto

Bei der Registrierung und Nutzung von Nothing to hide verarbeiten wir folgende Daten von Nutzern der Plattform:

  • Name und E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert via Supabase Auth)
  • Unternehmensname bzw. Workspace-Bezeichnung
  • Technische Metadaten, insbesondere Login-Zeitstempel und IP-Adresse bei der Authentifizierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.2 Nutzungsdaten und technische Logs

Im Rahmen des Plattformbetriebs werden technische Nutzungsdaten erhoben, darunter:

  • QR-Code-Scan-Events
  • Session-Daten zu Seitenaufrufen der Post-Purchase-Seiten
  • Gerätekategorie, Browser-Typ, Referrer und Zeitstempel
  • API-Anfragen und Fehler-Logs

Diese Daten dienen dem sicheren Betrieb, der Fehleranalyse, der Missbrauchsprävention und der Bereitstellung von Analytics-Funktionen für die jeweilige Brand.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO im Verhältnis zur Brand

4.3 Shopify-Integration und Bestelldaten

Brands können Nothing to hide mit ihrem Shopify-Shop verbinden. In diesem Fall verarbeitet Nothing to hide über die Shopify Admin API begrenzte Shopify-Daten, die für die Bereitstellung der App-Funktionen erforderlich sind.

Hierzu können insbesondere folgende Daten gehören:

  • Shopify-Shop-Domain und technische Verbindungsdaten
  • Shopify-Bestell-ID und Bestellnummer
  • gekaufte Produkte, Varianten, Mengen und Preise
  • Bestellwert, Währung, Zahlungsstatus und Stornierungsstatus
  • Shopify-Customer-ID, soweit in der Bestellung vorhanden
  • Vorname, Nachname und E-Mail-Adresse des Kunden, soweit diese in der Bestellung enthalten und für die aktivierten Funktionen erforderlich sind
  • Produktdaten wie Titel, Handle, Bilder, Kategorien, Tags, Varianten und Metafelder

Nothing to hide nutzt diese Daten ausschließlich, um Post-Purchase-Erlebnisse zu erstellen, Shopify-Bestellungen mit Nothing-to-hide-Sessions zu verknüpfen, gekaufte Produkte und relevante Inhalte anzuzeigen, Reorder-Flows zu ermöglichen, Umsatzzuordnung und Analytics bereitzustellen sowie eine Experience-URL als Shopify-Order-Metafield zurückzuschreiben.

Nothing to hide verarbeitet Shopify-Kundendaten grundsätzlich aus Bestelldaten. Ein allgemeiner Zugriff auf die Shopify Customers API wird nicht angefordert, sofern dies für die jeweilige Funktion nicht erforderlich ist. Shopify-Bestelldaten gelten als geschützte Kundendaten („Protected Customer Data“) im Sinne der Shopify-Anforderungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. Auftragsverarbeitung gemäß Art. 28 DSGVO

4.4 Shopify-Datenschutz-Webhooks

Nothing to hide unterstützt die von Shopify vorgesehenen Datenschutz-Webhooks:

  • customers/data_request – Anfrage auf Auskunft über Kundendaten
  • customers/redact – Anfrage auf Löschung bzw. Anonymisierung von Kundendaten
  • shop/redact – Löschung shopbezogener Daten nach Deinstallation der App

Bei Eingang eines gültigen Löschersuchens löscht oder anonymisiert Nothing to hide die betreffenden personenbezogenen Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Nach Deinstallation der App löscht Nothing to hide die mit dem jeweiligen Shopify-Shop verbundenen Shopify-Daten gemäß den Shopify-Anforderungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 28 DSGVO

4.5 SMS-Opt-in

Brands können auf ihren Post-Purchase-Seiten ein optionales SMS-Opt-in-Formular aktivieren. Sofern Endkunden ihre Mobilfunknummer angeben und der Nutzung zustimmen, wird diese Nummer ausschließlich im Auftrag der jeweiligen Brand gespeichert und verarbeitet. Nothing to hide agiert dabei als technischer Auftragsverarbeiter. Die datenschutzrechtliche Verantwortung für die Kommunikation mit den Endkunden liegt bei der jeweiligen Brand.

Endkunden können eine erteilte Einwilligung jederzeit über den bereitgestellten Abmeldelink oder andere unterstützte Opt-out-Mechanismen widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Cookies und lokale Speicherung

Nothing to hide verwendet technisch notwendige Cookies sowie lokalen Browser-Speicher (LocalStorage/SessionStorage) ausschließlich zur Aufrechterhaltung der Sitzung, Authentifizierung und Bereitstellung der Plattformfunktionen. Marketing- oder Tracking-Cookies werden nicht eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO / § 25 Abs. 2 TDDDG

6. Weitergabe an Dritte

Personenbezogene Daten werden nur an folgende Kategorien von Empfängern weitergegeben:

  • Vercel Inc. – Hosting und Betrieb der Plattform (DPA vorhanden, SCC für US-Übermittlung)
  • Supabase Inc. – Datenbankinfrastruktur, Authentifizierung und Dateispeicher (EU-Region, DPA vorhanden)
  • Shopify International Ltd. bzw. Shopify-Unternehmen – im Rahmen der Shopify-API-Integration und auf Weisung der jeweiligen Brand
  • SMS-Dienstleister, sofern die jeweilige Brand SMS-Funktionen aktiviert

Eine darüberhinausgehende Weitergabe an Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet oder die jeweilige Brand hat die entsprechende Funktion aktiviert.

Nothing to hide verkauft keine personenbezogenen Daten von Endkunden.

7. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie es für die Zweckerfüllung notwendig ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Nutzerkontodaten: bis zur Löschung des Accounts durch den Nutzer oder auf Anfrage
  • Technische Logs: grundsätzlich maximal 90 Tage
  • Shopify-Bestelldaten: für die Dauer der aktiven Integration bzw. solange sie für die bereitgestellten App-Funktionen erforderlich sind
  • Shopify-Kundendaten: Löschung oder Anonymisierung nach berechtigter Anfrage, nach Shopify-Datenschutz-Webhook oder nach Deinstallation der App, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • SMS-Einwilligungs- und Opt-out-Daten: solange erforderlich, um Einwilligungen, Widerrufe und Compliance-Pflichten nachweisen zu können
  • Steuerrechtlich relevante Daten: 10 Jahre gemäß § 147 AO

8. Rechte betroffener Personen

Als betroffene Person stehen Ihnen gemäß DSGVO folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: johannes@twynk.io

Endkunden einer Brand können ihre Rechte auch direkt gegenüber der jeweiligen Brand geltend machen. Soweit Nothing to hide personenbezogene Daten im Auftrag einer Brand verarbeitet, unterstützen wir die Brand bei der Bearbeitung entsprechender Anfragen.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde ist:

Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Schloss Schwerin, Lennéstraße 1, 19053 Schwerin
www.datenschutz-mv.de

9. Datensicherheit

Nothing to hide setzt technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Alle Datenübertragungen erfolgen verschlüsselt via HTTPS/TLS. Passwörter werden ausschließlich in gehashter Form gespeichert. Der Zugriff auf Shopify-Zugriffstoken und geschützte Kundendaten ist auf serverseitige Systeme und autorisierte Personen beschränkt.

Produktivdaten und Testdaten werden getrennt verarbeitet. Zugriff auf personenbezogene Daten erfolgt nur, soweit dies für Betrieb, Support, Sicherheit oder gesetzliche Pflichten erforderlich ist.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte Rechtslage oder Plattformfunktionen anzupassen. Die jeweils aktuelle Version ist auf der Nothing-to-hide-Plattform abrufbar.

Stand: Mai 2026  |  Nothing to hide – Johannes Kröger  |  johannes@twynk.io

Future-Proof Growth: Scale with Regulation

The Problem: The Volume Trap

 Compliance is manageable with 50 products, but it becomes a nightmare with 5,000. As your brand grows, the administrative burden of tracking supply chains and managing certificates usually grows exponentially. Hiring more people to manage more spreadsheets is a costly strategy that kills agility and increases the risk of human error.

The Solution: API-First Automation

We designed our platform for high-volume complexity. Our „DPP Engine“ allows you to generate and manage thousands of product identities simultaneously. Using a headless architecture, our system integrates directly with your existing tools (ERP, PIM, Shopify) to pull data and push compliant passports automatically. The system works for your catalog, not the other way around.

How It Works: The „Mass-Action“ Workflow

  1. Connect Your Stack: Link your existing data sources (Shopify, Akeneo, or Excel) via our APIs or pre-built connectors.

  2. Batch Generation: Select an entire collection or season. The system applies the correct compliance template and generates unique, serialized DPPs for every item in seconds.

  3. Future-Proofing: When regulations change, you don’t need to rebuild. We update the data model centrally, allowing you to apply new requirements to your entire live catalog with one bulk update.

The Result: Unlimited Scalability

Double your SKU count without doubling your compliance team. Stay agile and ready to enter new markets or categories without technical friction or increased overhead.

From Claims to Proof: Trust by Transparency

The Problem: The „Greenwashing“ Crisis

Modern consumers are skeptical of vague terms like „eco-friendly.“ This erosion of trust is a business risk: shoppers increasingly ignore claims they cannot verify. Furthermore, the EU Green Claims Directive will soon make unsubstantiated marketing promises illegal. If you claim a product is „fairly made,“ you must prove it with data—or face significant fines.

The Solution: A Verified Claims Layer

We transform the Digital Product Passport into an active Trust Layer. Instead of hiding certifications in your website’s footer, our platform attaches verifiable evidence directly to the specific product unit. You don’t just ask customers to „trust you“; you show them the valid GOTS certificate linked to that exact production batch.

How It Works: The Evidence Pipeline

  1. Central Asset Management: Upload certifications, lab reports, and audits (e.g., Oeko-Tex, Fairtrade) into your central database once.

  2. Smart Allocation: The system automatically links these documents to the relevant materials and batches. If a certificate expires, you are flagged immediately.

  3. Consumer-Facing Proof: On the public DPP page, claims like „Recycled Polyester“ are highlighted as „Verified.“ Users can click to see the source authority, creating unmatched transparency.

The Result: Unshakable Brand Trust

 Immunize your brand against greenwashing accusations and win over high-value customers who prioritize honesty. In a crowded market, transparency becomes your strongest competitive advantage.

Peace of Mind: Compliance by Design

The Problem: The Regulatory Maze

New EU laws like the ESPR are turning product data into a legal mandate. You must document how a product was made, its durability, and its recyclability. These regulations are evolving and differ by category. Trying to manually track every new „Delegated Act“ while updating spreadsheets is a full-time job that distracts you from building your brand.

The Solution: Always-On Compliance

Our platform „knows“ the law. Instead of empty text boxes, we provide intelligent DPP Templates pre-configured with the exact mandatory fields required for your specific product category. We translate complex legal texts into structured data requirements. If the EU updates a rule, we update the template and alert you to the changes.

How It Works: The „Guardrails“ Approach

  1. Select Category: Tell the system what you are selling (e.g., „Apparel / T-Shirt“).

  2. Smart Template: The system loads the relevant compliance profile based on current ESPR standards and CIRPASS recommendations, highlighting mandatory vs. optional data.

  3. Validation: Before publishing, our „Compliance Check“ scans your data for missing fields or invalid formats, ensuring you never release a non-compliant passport.

The Result: Zero Liability Risk

Launch your Digital Product Passports with confidence. You meet current legal standards and avoid greenwashing accusations, while our platform handles the regulatory complexity in the background.

Data-Backed Credibility: Automated Product Footprint Analysis

The Problem: The „Impact Calculation“ Bottleneck

Under the Green Claims Directive, vague sustainability claims are a thing of the past. You now need hard data: exact CO2 equivalents, water usage, and energy metrics for every SKU. Traditionally, Life Cycle Assessments (LCAs) are slow, expensive, and trapped in outdated spreadsheets that break the moment a supplier changes a process.

The Solution: Automated Environmental Intelligence

We treat environmental impact as a dynamic attribute, not a static report. By integrating with leading LCA engines (like Carbonfact or Higg MSI), our platform automates the complex math behind the scenes. Your Digital Product Passports display verified, granular impact data that stands up to regulatory scrutiny – without you needing a PhD in climate science.

How It Works: From BOM to Badge

  1. Ingest & Map: The system analyzes your Bill of Materials (BOM), such as „80% Organic Cotton, 20% Recycled Polyester.“

  2. API Calculation: This data, along with your mapped supply chain steps, is sent to our LCA partners via API.

  3. Live Updates: Precise values (e.g., „4.5 kg CO2“) are returned and pushed to the DPP instantly. If you change a material, the footprint updates automatically.

The Result: Audit-Proof Transparency

Deliver credible, data-backed claims that build customer trust while remaining 100% compliant with EU regulations. Your team stays focused on design, while our system handles the math.

Beyond the Label

The Problem: The Tier 1 „Black Box“

Most brands know who stitches their clothes, but have little visibility into who spun the yarn or grew the cotton. With upcoming regulations like the ESPR (Ecodesign for Sustainable Products Regulation), ignorance is no longer an option. Gathering deep-tier data via endless email chains and spreadsheets is slow, error-prone, and impossible to scale.

The Solution: A Digital Chain of Custody

 Our platform transforms your supply chain into a connected network of Nodes (facilities) and Steps (processes). Instead of simple text labels, we create verified links to specific factory profiles. Whether you import data from traceability partners or map it manually, you build an audit-proof record of every hand that touched your product.

How It Works: Journey Mapping

  1. Define Your Actors: Create profiles for suppliers and specific facilities, storing certifications (like GOTS or Oeko-Tex) directly on their profile.

  2. Map the Sequence: Define the production flow for each model—from fiber extraction and spinning to dyeing and assembly.

  3. Link the Batch: When a new batch is produced, the system automatically pulls the relevant location data and certificates for that specific production window.

The Result: Transparency That Sells

 Achieve full compliance with EU transparency laws while gaining a powerful marketing asset. By displaying a verified „Product Journey“ map to your customers, you prove your sustainability claims and differentiate your brand from the noise of greenwashing.

One Change. Everywhere.

The Problem: The Maintenance Trap

In fashion and e-commerce, a single change – like a renewed GOTS certificate or an updated CO₂ value – can trigger a logistical nightmare. Manually updating every SKU and spreadsheet is not only slow; it’s a major compliance risk. One missed file, and your Digital Product Passport (DPP) is no longer compliant.

The Solution: A Single Source of Truth

Our platform is built on a relational data model, not a flat list. We treat suppliers, raw materials, and certificates as independent „assets“ in a central database. Your products don’t just copy this data; they maintain a live link to it. Your DPPs act as dynamic windows into your central data hub.

How It Works: The Update Cascade

  1. Central Update: You update a data point once in your dashboard (e.g., a new supplier certificate).

  2. Intelligent Mapping: Our system automatically identifies every product, batch, and individual item linked to that asset.

  3. Instant Propagation: The change is pushed to all linked DPPs in real-time. Whether you have 50 or 50,000 active passports, they are all updated instantly.

The Result: Maximum Scalability

Achieve 100% compliance across your entire catalog with a single click. Free your team from the burden of data entry and focus on what matters: your product and your brand.