Auftragsverarbeitungsvertrag (AVV)

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters im Rahmen der Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.

Der Verantwortliche hat den Auftragsverarbeiter mit der Nutzung der SaaS-Plattform „MarketplAIce" (erreichbar unter https://marketplaice.io/ und https://app.marketplaice.io/) beauftragt, im Rahmen derer personenbezogene Daten verarbeitet werden. Dieser AVV ist Bestandteil der zwischen den Parteien geschlossenen Nutzungsvereinbarung (AGB) und gilt für alle Tätigkeiten, bei denen Mitarbeiter des Auftragsverarbeiters oder durch ihn eingesetzte Unter-Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeiten.

Art. 1 Gegenstand, Art und Zweck der Verarbeitung

(1) Gegenstand: Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Plattform MarketplAIce zur Verfügung und verarbeitet dabei in dessen Auftrag personenbezogene Daten.

(2) Zweck der Verarbeitung: Bereitstellung und Betrieb der KI-gestützten Plattform zur Optimierung von Marktplatz-Aktivitäten (Amazon, eBay, Otto, Kaufland), einschließlich:

• prädiktive Gebotsoptimierung (PPC)
• Listing-Optimierung
• Repricing und Preis-Monitoring
• Kampagnenmanagement
• Retouren- und Bestand-Reporting
• Automatisierung wiederkehrender Marktplatz-Aufgaben

(3) Art der Verarbeitung: Erhebung, Speicherung, Übertragung, Analyse, Auswertung und Löschung personenbezogener Daten über die Amazon Selling Partner API (SP-API), Amazon Advertising API, eBay API, Otto API, Kaufland API sowie über direkte Eingaben des Verantwortlichen in der Plattform.

(4) Dauer: Die Verarbeitung erfolgt für die Dauer des zugrundeliegenden Hauptvertrages (Nutzungsvereinbarung/AGB) zuzüglich der in Art. 8 geregelten Lösch- und Aufbewahrungsfristen.

Art. 2 Kategorien betroffener Personen und Daten

(1) Kategorien betroffener Personen:

• Endkunden des Verantwortlichen (Käufer auf Amazon und anderen Marktplätzen)
• Mitarbeiter und Nutzer des Verantwortlichen, die die Plattform nutzen
• Geschäftspartner des Verantwortlichen (z. B. Lieferanten, Agenturen)

(2) Kategorien personenbezogener Daten:

• Konto- und Nutzungsdaten der Mitarbeiter des Verantwortlichen: Vorname, Nachname, E-Mail-Adresse, Login-Daten, Aktivitätsprotokolle, Rollen, Berechtigungen
• Bestelldaten von Endkunden: Name, Lieferadresse, Bestellnummer, Bestellwert, Versandstatus
• Kommunikationsdaten: Käufer-Nachrichten, Bewertungsinhalte (nur zur Laufzeitanzeige, keine dauerhafte Speicherung)
• Retourendaten: Rückgabegrund, Produktzustand
• Zahlungsdaten: Abrechnungsadresse, Rechnungsdaten (Verarbeitung über Stripe; Kreditkartendaten werden nicht auf den Servern des Auftragsverarbeiters gespeichert)
• Marktplatz- und Performance-Daten: ASINs, SKUs, Lagerbestand, ACoS, CTR, Conversion-Raten, Werbedaten, Preise
• Technische Daten: IP-Adresse, Browser, Geräte-Identifikatoren, Zugriffszeitpunkte

(3) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden nicht verarbeitet.

Art. 3 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), soweit nicht Unionsrecht oder Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dies erfordern;
• keine Daten für eigene Zwecke oder zu Gunsten Dritter zu verarbeiten;
• nur Personen mit der Datenverarbeitung zu betrauen, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO);
• alle erforderlichen technischen und organisatorischen Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu ergreifen (siehe Art. 4);
• Unter-Auftragsverarbeiter nur gemäß Art. 5 dieses AVV einzusetzen;
• den Verantwortlichen unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt;
• den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei Anfragen betroffener Personen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO);
• den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO);
• nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Verarbeitung zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO; siehe Art. 8);
• dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlich sind (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragsverarbeiter hat keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen gemäß Art. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht vorliegen. Datenschutz-Anfragen sind zu richten an: privacy@marketplaice.io.

Art. 4 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter trifft folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO:

4.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle: Die Verarbeitung erfolgt ausschließlich in zertifizierten Rechenzentren unserer Unter-Auftragsverarbeiter (AWS Frankfurt, eu-central-1) mit physischer Zutrittssicherung, Videoüberwachung und 24/7-Sicherheitsdienst.

Zugangskontrolle:

• Zwei-Faktor-Authentifizierung (2FA/TOTP) für alle Administratoren und Entwickler
• Starke Passwortrichtlinien (mind. 12 Zeichen, Komplexitätsanforderungen)
• Passwort-Hashing mittels Bcrypt
• Automatische Sitzungs-Timeouts
• VPN-Zugang für administrative Tätigkeiten

Zugriffskontrolle:

• Rollenbasiertes Berechtigungskonzept (RBAC)
• Need-to-know-Prinzip bei Mitarbeitern
• Row-Level-Security (RLS) in Supabase: technisch erzwungene Mandantentrennung — kein Kunde kann auf Daten anderer Kunden zugreifen
• Protokollierung sämtlicher administrativer Datenzugriffe (Audit Logs)
• Vertraulichkeitsverpflichtungen aller Mitarbeiter und Auftragsverarbeiter

4.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

• Verschlüsselung aller Datenübertragungen via TLS 1.2/1.3 (HTTPS)
• Verschlüsselung gespeicherter Daten mittels AES-256 (at rest)
• Keine unverschlüsselte Übertragung personenbezogener Daten
• OAuth 2.0 für Marktplatz-API-Anbindungen

Eingabekontrolle:

• Eingabevalidierung und Schutz gegen SQL-Injection und Cross-Site-Scripting (XSS)
• Protokollierung von Eingaben, Änderungen und Löschungen mit User-ID und Zeitstempel
• Revisionssichere Aufzeichnung kritischer Aktionen

4.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

• Hosting in einem hochverfügbaren AWS-Rechenzentrum (eu-central-1, Frankfurt)
• Tägliche automatisierte Datensicherungen
• Redundante Systemarchitektur
• DDoS-Schutz und Web Application Firewall
• Notfallplan und dokumentiertes Wiederherstellungsverfahren (Recovery Time Objective: 24h)
• Angestrebte Verfügbarkeit: 99 % im Jahresmittel

4.4 Trennungskontrolle

• Logische Mandanten-Trennung über Row-Level-Security (RLS)
• Getrennte Verarbeitungs-Umgebungen für Produktion, Staging und Entwicklung
• Keine Vermischung von Daten verschiedener Kunden bei KI-Verarbeitung

4.5 Auftragskontrolle

• Verarbeitung ausschließlich gemäß dokumentierter Weisung des Verantwortlichen
• Schriftliche Auftragserteilung über Nutzungsvereinbarung und diesen AVV
• Keine eigenmächtige Verarbeitung außerhalb des vereinbarten Zwecks

4.6 Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen (Penetration Tests mind. jährlich)
• Monitoring der Systemverfügbarkeit und -performance
• Incident-Response-Prozesse für Datenschutzvorfälle
• Zertifizierungs-Überprüfung der Unter-Auftragsverarbeiter (mind. jährlich)

4.7 Anpassung der TOMs

Der Auftragsverarbeiter passt die TOMs dem Stand der Technik regelmäßig an. Wesentliche Änderungen, die das Schutzniveau senken könnten, werden dem Verantwortlichen mit einem Vorlauf von vier (4) Wochen mitgeteilt.

Art. 5 Unter-Auftragsverarbeiter

(1) Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unter-Auftragsverarbeitern (Art. 28 Abs. 2 Satz 2 DSGVO). Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen des Unter-Auftragsverarbeiter-Verhältnisses mit einer Frist von mindestens vier (4) Wochen per E-Mail. Der Verantwortliche hat das Recht, innerhalb dieser Frist berechtigte Einwände zu erheben. Im Fall berechtigter Einwände, die nicht ausgeräumt werden können, steht dem Verantwortlichen ein Sonderkündigungsrecht für den betroffenen Teil der Leistungen zu.

(2) Der Auftragsverarbeiter hat mit allen Unter-Auftragsverarbeitern Verträge geschlossen, die den Anforderungen des Art. 28 DSGVO entsprechen und denselben Datenschutzpflichten unterliegen, die in diesem AVV vereinbart sind.

(3) Aktuell eingesetzte Unter-Auftragsverarbeiter (Stand: April 2026):

*Supabase ist in Singapur/USA registriert, die für MarketplAIce genutzten Datenbank-Instanzen werden jedoch ausschließlich auf AWS-Servern in Frankfurt (eu-central-1) betrieben. Vercel und Stripe sind US-Unternehmen, betreiben für den Verantwortlichen relevante Verarbeitungen jedoch primär in EU-Regionen. Eine Übermittlung in die USA kann für Support- und Wartungszwecke nicht ausgeschlossen werden.

(4) Drittlandtransfer: Bei Übermittlungen in Drittländer (USA) bestehen geeignete Garantien in Form von:

• EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021
• soweit zutreffend zusätzlich der Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (EU-US Data Privacy Framework)

(5) Klarstellung zur KI-Verarbeitung: Der Auftragsverarbeiter setzt KI-Modelle (Anthropic Claude, Google Gemini) ausschließlich zur Analyse von Marktplatz- und Produktdaten ein (z. B. Listings, ASINs, Preise, Werbe-Performance). Es werden keine personenbezogenen Daten der Endkunden des Verantwortlichen (z. B. Käufernamen, Adressen, Käufernachrichten) an die KI-Anbieter übermittelt. Die KI-Anbieter verwenden die Daten nicht zum Training ihrer Modelle.

(6) Die jeweils aktuelle Liste der Unter-Auftragsverarbeiter ist auf Anfrage unter privacy@marketplaice.io erhältlich.

Art. 6 Rechte der betroffenen Personen

(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechten gemäß Art. 12–22 DSGVO, insbesondere:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — bereitgestellt als JSON-Export unter Einstellungen → Datenschutz
• Widerspruchsrecht (Art. 21 DSGVO)

(2) Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter beantwortet Anfragen betroffener Personen nicht selbst, es sei denn, er wurde vom Verantwortlichen ausdrücklich hierzu ermächtigt.

(3) Der Verantwortliche stellt sicher, dass er die betroffenen Personen über die Verarbeitung gemäß Art. 13/14 DSGVO informiert hat.

Art. 7 Datenpannen und Meldepflichten

(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten („Datenpanne") unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, per E-Mail an die vom Verantwortlichen hinterlegte Kontaktadresse.

(2) Die Meldung enthält gemäß Art. 33 Abs. 3 DSGVO mindestens:

• eine Beschreibung der Art der Datenpanne, möglichst mit Angabe der Kategorien und ungefähren Zahl der betroffenen Personen sowie der ungefähren Zahl der betroffenen Datensätze;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
• eine Beschreibung der wahrscheinlichen Folgen der Datenpanne;
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Eindämmung der Datenpanne.

(3) Der Verantwortliche ist für die Meldung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO sowie die Benachrichtigung betroffener Personen gemäß Art. 34 DSGVO verantwortlich. Der Auftragsverarbeiter unterstützt den Verantwortlichen hierbei nach Maßgabe von Art. 28 Abs. 3 lit. f DSGVO.

Art. 8 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen innerhalb von 90 Tagen vollständig und unwiederbringlich, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (insbesondere nach §§ 147 AO, 257 HGB für Rechnungs- und Buchhaltungsdaten, 10 Jahre).

(2) Auf ausdrücklichen Wunsch des Verantwortlichen stellt der Auftragsverarbeiter die Daten vor der Löschung in einem strukturierten, gängigen und maschinenlesbaren Format (JSON, ggf. CSV) zur Verfügung. Die Exportmöglichkeit besteht für 30 Tage nach Vertragsende. Während laufender Verträge kann der Verantwortliche jederzeit über die Plattform (Einstellungen → Datenschutz → Daten exportieren) einen Export auslösen.

(3) Bei Widerruf der OAuth-Autorisierung für eine Marktplatz-API werden alle über diese API abgerufenen Daten innerhalb von 30 Tagen vollständig gelöscht.

(4) Backups werden im Rahmen der üblichen Backup-Rotationszyklen automatisch überschrieben (innerhalb von 90 Tagen).

(5) Die vollständige Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.

Art. 9 Kontroll- und Auditrechte

(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Datenschutzvorschriften und der Regelungen dieses AVV durch den Auftragsverarbeiter zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO).

(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung. Audits und Inspektionen sind mit einer Vorlaufzeit von mindestens vier (4) Wochen anzukündigen, dürfen den Geschäftsbetrieb nicht wesentlich beeinträchtigen und maximal einmal pro Kalenderjahr stattfinden (außer bei begründetem Anlass, z. B. einer Datenpanne).

(3) Als gleichwertige Nachweise gelten aktuelle Zertifizierungen (z. B. ISO 27001, SOC 2 Type II) der Unter-Auftragsverarbeiter sowie Prüfberichte anerkannter unabhängiger Dritter.

(4) Die Kosten für Audits trägt der Verantwortliche, sofern nicht ein Verstoß des Auftragsverarbeiters gegen diesen AVV festgestellt wird.

Art. 10 Weisungsrecht

(1) Der Verantwortliche ist allein berechtigt, dem Auftragsverarbeiter Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen können in Textform (E-Mail an privacy@marketplaice.io) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Art. 28 Abs. 3 Satz 2 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung einer solchen Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.

Art. 11 Laufzeit und Beendigung

(1) Dieser AVV tritt mit Abschluss des Hauptvertrages (AGB) bzw. mit Aktivierung der Zustimmungs-Checkbox bei der Registrierung in Kraft und endet automatisch mit dessen Beendigung.

(2) Die Rechte und Pflichten aus Art. 8 (Löschung), Art. 9 (Audit) und Art. 13 (Vertraulichkeit) bestehen über die Beendigung dieses AVV hinaus fort.

Art. 12 Haftung

(1) Die Haftung der Parteien für Schäden, die aus einem Verstoß gegen diesen AVV entstehen, richtet sich nach den Regelungen der AGB sowie den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

(2) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für Schäden, die durch eine Verarbeitung entstehen, die den dokumentierten Weisungen des Verantwortlichen nicht entspricht oder die gegen die DSGVO verstoßen hat.

(3) Im Außenverhältnis gegenüber betroffenen Personen haftet jede Partei nach den gesetzlichen Bestimmungen.

Art. 13 Vertraulichkeit

(1) Der Auftragsverarbeiter verpflichtet sich, alle im Rahmen dieses AVV erlangten Informationen und Daten des Verantwortlichen vertraulich zu behandeln und ausschließlich zur Erfüllung der vereinbarten Leistungen zu verwenden.

(2) Alle mit der Datenverarbeitung betrauten Personen werden auf Vertraulichkeit und Datenschutz verpflichtet (Art. 28 Abs. 3 lit. b DSGVO). Diese Verpflichtung besteht auch nach Beendigung ihrer Tätigkeit fort.

Art. 14 Schlussbestimmungen

(1) Ergänzend zu diesem AVV gelten die AGB der AMZ+ Consulting GmbH sowie die gesetzlichen Vorschriften, insbesondere die DSGVO und das BDSG. Bei Widersprüchen zwischen diesem AVV und den AGB gehen die Regelungen dieses AVV vor, soweit es um datenschutzrechtliche Pflichten geht.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Änderungen dieses AVV bedürfen der Textform. Der Auftragsverarbeiter ist berechtigt, diesen AVV bei wesentlichen Änderungen der gesetzlichen Anforderungen oder der technischen Gegebenheiten anzupassen. Wesentliche Änderungen werden dem Verantwortlichen mit einem Vorlauf von vier (4) Wochen mitgeteilt.

(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit gesetzlich zulässig, Bad Rothenfelde.

Vertragsschluss

Durch die Aktivierung der Checkbox „Ich akzeptiere den Auftragsverarbeitungsvertrag (AVV) und die Datenschutzerklärung" im Rahmen des Registrierungsprozesses auf https://app.marketplaice.io/registrieren erklärt der Verantwortliche seine rechtsverbindliche Zustimmung zu diesem AVV.

Datum, Uhrzeit und IP-Adresse der Zustimmung werden zur Beweissicherung dokumentiert (Art. 7 Abs. 1 DSGVO entsprechend).

Der AVV gilt als zwischen den Parteien geschlossen, sobald:

• der Verantwortliche die Checkbox aktiviert hat,
• der Registrierungsprozess erfolgreich abgeschlossen wurde und
• der Auftragsverarbeiter den Zugang zur Plattform freigeschaltet hat.