Last updated: 19 May 2026
This privacy policy describes how we, the data controller, process personal data in connection with the Shopify application "Covex CRO" (the "App").
Controller (within the meaning of Art. 4(7) GDPR):
A.B. Digital Solutions UG (haftungsbeschränkt)
Hartweg 39, 72793 Pfullingen, Germany
Represented by: Alexander Bossert, Managing Director
Email: alex@bossert.digital
We have not appointed a data protection officer because we are not required to do so under Art. 37 GDPR.
Covex is a Shopify app that lets merchants add conversion-rate optimisation widgets (announcement bar, social proof badge, flash sale section, and similar) to their storefronts. The widget configuration is stored on our servers and delivered to merchant storefronts via Shopify-managed metafields.
We process two distinct sets of data:
3.1 Merchant account data
my-shop.myshopify.com)3.2 Storefront event data (visitors of merchant shops)
cro_session_id), stored in the visitor's browser localStorageWe do not collect names, email addresses, postal addresses, phone numbers, payment information, or any other directly identifying information from storefront visitors.
The App itself sets no cookies. The storefront widget script does write two values to the visitor's localStorage:
cro_session_id — random pseudonymous identifier used to deduplicate impressions and attribute clicks. Persists until the visitor clears their browser storage.cro_dismissed, cro_recently_viewed and similar keys — used to remember which widgets the visitor has dismissed and which products they have viewed. Read on the visitor's device only; never transmitted to us.Under § 25 TTDSG (Germany) and the ePrivacy directive, storing information in a visitor's terminal device for purposes that go beyond what is strictly necessary requires the visitor's consent. The obligation to obtain that consent lies with the merchant operating the storefront; merchants must include Covex's storefront script in their cookie/consent management solution where applicable.
We do not sell personal data. We share data only with the following sub-processors, each of which acts on documented instructions and is bound by a data processing agreement:
fra1 Frankfurt) — hosting of the application backend and storefront tracking endpoint. eu-central-1 Frankfurt) — managed PostgreSQL database storing merchant data and widget events. An up-to-date list of sub-processors is maintained at /dpa#sub-processors.
Our hosting infrastructure is configured to keep merchant and storefront data within the European Union (Vercel Frankfurt region and Supabase eu-central-1). The legal entities operating these services are, however, established in the United States and may access EU-resident data for technical support purposes. Such access is governed by the European Commission's Standard Contractual Clauses (Module 2 / Module 3, Commission Implementing Decision (EU) 2021/914) included in each sub-processor's data processing agreement.
Shopify operates globally; data transmitted via the Shopify Admin API is processed in accordance with Shopify's Data Processing Addendum.
shop/redact webhook and we permanently delete all associated records.Under the GDPR you have the right to:
To exercise these rights, email alex@bossert.digital. We will respond within 30 days.
You also have the right to lodge a complaint with a supervisory authority. The competent authority for our establishment is: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, Germany — baden-wuerttemberg.datenschutz.de.
In line with Shopify's privacy requirements, the App is subscribed to the three mandatory compliance webhooks:
customers/data_request — fulfilled by confirming that we do not store storefront-visitor personal data beyond a pseudonymous session IDcustomers/redact — likewise; no customer PII is storedshop/redact — triggers full erasure of all merchant data within 30 days of receipt (in practice: on receipt)We apply state-of-the-art technical and organisational measures including TLS 1.2+ for all data in transit, AES-256-GCM encryption of Shopify access tokens at rest, HMAC validation of all incoming Shopify webhooks, App Bridge session-token-based authentication for the admin UI, IP-based rate-limiting on public endpoints, and least-privilege database access. A summary of the measures is set out in Annex 2 of our Data Processing Agreement.
We do not use automated decision-making (Art. 22 GDPR), including profiling, that produces legal effects concerning you or similarly significantly affects you.
The App is offered to Shopify merchants, who must be at least 18 years of age under Shopify's Terms of Service. We do not knowingly process data of children under 16.
We may update this policy from time to time. Material changes will be reflected in the "Last updated" date at the top of this page. Significant changes affecting merchants will be communicated by email.
For any privacy-related question, contact us at alex@bossert.digital.
Stand: 19 May 2026
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
A.B. Digital Solutions UG (haftungsbeschränkt)
Hartweg 39, 72793 Pfullingen, Deutschland
Vertreten durch: Alexander Bossert, Geschäftsführer
E-Mail: alex@bossert.digital
Ein Datenschutzbeauftragter wurde nicht bestellt, da wir hierzu nach Art. 37 DSGVO nicht verpflichtet sind.
Covex CRO („die App“) ist eine Shopify-Anwendung, mit der Händler ihre Storefront um Widgets zur Conversion-Optimierung (Ankündigungsleiste, Social-Proof-Badge, Flash-Sale-Sektion und ähnliche) ergänzen können. Die Widget-Konfiguration wird auf unseren Servern gespeichert und über Shopify-Metafelder an die Händler-Storefront ausgeliefert.
3.1 Händlerdaten
mein-shop.myshopify.com)3.2 Ereignisdaten der Storefront (Besucher der Händlershops)
cro_session_id), gespeichert im localStorage des BrowsersNamen, E-Mail-Adressen, postalische Adressen, Telefonnummern, Zahlungsdaten oder andere unmittelbar identifizierenden Angaben der Storefront-Besucher werden nicht erhoben.
Die App selbst setzt keine Cookies. Das Storefront-Skript schreibt jedoch folgende Werte in den localStorage des Browsers:
cro_session_id — pseudonyme Kennung zur Deduplizierung von Impressions und Zuordnung von Klicks.cro_dismissed, cro_recently_viewed u. a. — speichern geschlossene Widgets bzw. zuletzt angesehene Produkte. Werden nur lokal gelesen und nie an uns übertragen.Nach § 25 TTDSG bedarf das Speichern von Informationen auf dem Endgerät eines Nutzers grundsätzlich der Einwilligung, sofern dies nicht unbedingt erforderlich ist. Die Pflicht zur Einholung dieser Einwilligung trifft den Storefront-Betreiber (den Händler), nicht uns.
Eine Weitergabe Ihrer Daten an Dritte zu kommerziellen Zwecken findet nicht statt. Folgende Dienstleister sind als Auftragsverarbeiter im Sinne des Art. 28 DSGVO eingebunden:
fra1 Frankfurt) — Hosting des Anwendungs-Backends.eu-central-1 Frankfurt) — verwaltete PostgreSQL-Datenbank.Die jeweils aktuelle Liste finden Sie unter /dpa#sub-processors.
Die Datenverarbeitung erfolgt auf Servern in der EU (Vercel Frankfurt und Supabase eu-central-1). Die betreibenden Gesellschaften haben jedoch ihren Sitz in den USA und können technisch-administrativ auf in der EU gespeicherte Daten zugreifen. Solche Zugriffe sind durch Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 abgesichert.
shop/redact-Webhook auslöst; anschließend vollständige Löschung.Ihnen stehen die folgenden Rechte zu: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.
Zur Ausübung Ihrer Rechte wenden Sie sich an alex@bossert.digital. Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.
Eine automatisierte Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO findet nicht statt.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Maßgeblich ist die jeweils aktuelle, auf dieser Seite veröffentlichte Fassung.
See also our Impressum, our Terms of Service and our Data Processing Agreement.