Datenschutzerklärung

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

AMZ+ Consulting GmbH
Salinenstraße 3
49214 Bad Rothenfelde
Deutschland

Geschäftsführer: Jorginho Engelmeyer
Handelsregister: HRB 212694
USt-IdNr.: DE 815770366

Telefon: +49 1556 1267682
E-Mail: info@marketplaice.io
Datenschutz-Anfragen: privacy@marketplaice.io

Der Verantwortliche hat keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen gemäß Art. 37 DSGVO i. V. m. § 38 BDSG derzeit nicht vorliegen. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

§ 2 Allgemeine Hinweise zur Datenverarbeitung

(1) Die Plattform „MarketplAIce" (erreichbar unter https://marketplaice.io/ und https://app.marketplaice.io/) ist eine SaaS-Plattform, die sich ausschließlich an Unternehmer im Sinne des § 14 BGB richtet. Die Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit der DSGVO, dem BDSG und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

(2) Personenbezogene Daten werden nur erhoben, wenn Sie uns diese im Rahmen der Registrierung, Nutzung der Plattform oder Kontaktaufnahme freiwillig mitteilen oder wenn die Erhebung zur Vertragserfüllung oder aufgrund einer anderen Rechtsgrundlage erforderlich ist.

(3) Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen (vgl. § 8 dieser Datenschutzerklärung).

§ 3 Kategorien erhobener Daten

Im Rahmen der Nutzung unserer Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

• Registrierungsdaten: Vorname, Nachname, E-Mail-Adresse, Firmenname (optional, für Rechnungsstellung), Passwort (verschlüsselt gespeichert mittels Bcrypt-Hashing)
• Profildaten: Firmenname, Sprache, Währung, Marktplatz-Präferenzen
• Nutzungsdaten: Produktdaten, Bestellungen, Werbekampagnen, Plattform-Einstellungen, Klick- und Aktivitätsverläufe innerhalb der App
• Technische Daten: IP-Adresse, Browser-Typ und -Version, Betriebssystem, Zugriffszeitpunkte, Referrer-URL, Geräte-Identifikatoren
• Marktplatzdaten: Über die Amazon Selling Partner API (SP-API), Amazon Advertising API, eBay API, Otto API und Kaufland API abgerufene Produkt-, Bestell-, Bestands-, Finanz- und Werbedaten; insbesondere der über die SP-API ermittelte monatliche Marktplatz-Umsatz zur automatischen Tarifzuordnung
• Zahlungsdaten: Abrechnungsinformationen, die über den Zahlungsdienstleister Stripe verarbeitet werden (Kreditkarten- oder Bankdaten werden nicht auf unseren Servern gespeichert)
• Werbe-Einwilligungsdaten: Status der Newsletter-/Werbe-Einwilligung, Datum, IP-Adresse und Bestätigungs-Token im Rahmen des Double-Opt-in-Verfahrens (Beweispflicht nach Art. 7 Abs. 1 DSGVO)
• Partner-/Empfehlungsdaten: Creator Code und Referrer-Parameter (?ref=) zur Abwicklung des Creator-Partnerprogramms, verarbeitet durch Rewardful Inc.

§ 4 Zwecke und Rechtsgrundlagen der Verarbeitung

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

• Bereitstellung und Betrieb der Plattform
• Kontoverwaltung, Registrierung und Authentifizierung
• Anbindung an Marktplätze (Amazon, eBay, Otto, Kaufland) im Auftrag des Kunden
• Automatische Tarifzuordnung und -anpassung anhand des über die Amazon SP-API ermittelten monatlichen Marktplatz-Umsatzes
• KI-gestützte Analysen, Empfehlungen und Optimierungen
• Abrechnung und Zahlungsabwicklung über Stripe
• Bereitstellung von Kundensupport

4.2 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

• Verbesserung und Weiterentwicklung der Plattform
• Fehlerbehebung und Gewährleistung der IT-Sicherheit
• Statistische Auswertungen in anonymisierter bzw. pseudonymisierter Form
• Missbrauchsprävention und Betrugsschutz
• Abwicklung des Creator-Partnerprogramms und Nachverfolgung von Empfehlungen (Rewardful)
• Direktwerbung an Bestandskunden für eigene ähnliche Produkte und Tarife (§ 7 Abs. 3 UWG, vgl. § 15.4)

4.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / § 25 Abs. 1 TDDDG)

• Versand von Newslettern, Produkt-Updates und Werbe-E-Mails an Interessenten und Trial-Nutzer (Double-Opt-in, vgl. § 15)
• Einsatz von Analyse- und Werbetools (Google Analytics, Hotjar, Microsoft Clarity, Meta-Pixel, LinkedIn Insight Tag), soweit eine Einwilligung über den Cookie-Banner eingeholt wurde
• Drittlandübermittlung im Rahmen von Cookie-Diensten

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

4.4 Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

• Erfüllung steuerrechtlicher und handelsrechtlicher Aufbewahrungspflichten (vgl. § 18)
• Erfüllung von Auskunftspflichten gegenüber Behörden

§ 5 Amazon Selling Partner API – Datenverarbeitung

Unsere Plattform nutzt die Amazon Selling Partner API (SP-API) und die Amazon Advertising API ausschließlich im Auftrag und mit OAuth-Autorisierung des jeweiligen Sellers.

• Erhebung: Produkt-, Bestell-, Bestands-, Finanz- und Werbedaten werden ausschließlich über die offizielle Amazon SP-API abgerufen. Es werden keine Scraping-Dienste oder inoffizielle Schnittstellen genutzt.
• Verarbeitung: Die Daten werden zur Analyse, Optimierung (Preise, Listings, PPC-Kampagnen) und Berichterstattung innerhalb unserer Plattform verarbeitet.
• Speicherung: Alle über die SP-API abgerufenen Verkaufsdaten werden verschlüsselt (AES-256) auf EU-Servern (Frankfurt, eu-central-1) gespeichert. Row-Level-Security stellt sicher, dass jeder Seller ausschließlich eigene Daten einsehen kann.
• Verwendung: Daten werden ausschließlich zur Optimierung der Verkaufsperformance des autorisierten Sellers genutzt.
• Weitergabe: Über die SP-API abgerufene Daten werden nicht an Dritte verkauft, weitergegeben oder offengelegt. Infrastruktur-Dienstleister verarbeiten Daten nur als Auftragsverarbeiter ohne inhaltlichen Zugriff.
• Personenbezogene Daten (PII): Käufernachrichten und PII aus der SP-API werden nicht dauerhaft gespeichert, sondern nur zur Laufzeit dem autorisierten Seller angezeigt. Bestelldaten mit PII-Bezug unterliegen den gesetzlichen Aufbewahrungsfristen (10 Jahre gem. HGB/AO).
• Vernichtung: Bei Kontolöschung oder Widerruf der OAuth-Autorisierung werden alle Amazon-bezogenen Daten vollständig und unwiderruflich gelöscht.
• Keine Datenaggregation: MarketplAIce verbindet sich ausschließlich über die offizielle Amazon Selling Partner API (SP-API) mit Ihrem Seller-Account. Alle Analysen basieren ausschließlich auf Ihren eigenen Account-Daten. Wir aggregieren keine Daten mehrerer Seller.

§ 5a Amazon-Daten & SP-API

MarketplAIce verarbeitet Amazon-Verkäuferdaten ausschließlich über die offizielle Selling Partner API (SP-API) von Amazon. Die Verarbeitung erfolgt ausschließlich im Auftrag des jeweiligen autorisierten Sellers. Daten werden nicht an Dritte weitergegeben, nicht zwischen verschiedenen Seller-Accounts aggregiert und nicht für eigene Analysezwecke genutzt. Wir halten uns an Amazons Data Protection Policy (DPP) und die zugehörigen Acceptable Use Policies (AUP).

§ 6 Hosting und Serverstandort

(1) Unsere Plattform besteht aus zwei technischen Komponenten:

• Frontend / Web-Anwendung (app.marketplaice.io): Hosting durch Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA, mit Auslieferung über das globale Edge-Netzwerk. Statische Inhalte und Server-Side-Rendering der Next.js-Anwendung werden vorrangig in EU-Regionen (Frankfurt) ausgeliefert.
• Backend / Datenbank / Authentifizierung: Bereitstellung direkt durch Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992, gehostet in der Region Frankfurt am Main, Deutschland (AWS-Region eu-central-1). Mit Supabase besteht ein direktes Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO; ein Zwischen-Auftragsverarbeiter wird nicht eingesetzt.

(2) Personenbezogene Daten der Nutzer werden ausschließlich in der EU (Frankfurt, eu-central-1) gespeichert. Eine Datenübertragung in Drittländer außerhalb der EU/des EWR findet nur statt, soweit dies für die in § 7 und § 9 genannten Auftragsverarbeiter erforderlich ist und durch geeignete Garantien gemäß Art. 46 DSGVO abgesichert wird.

(3) Beim Aufruf der Website werden durch die Hosting-Infrastruktur Server-Logfiles erstellt (IP-Adresse, Browser, Datum/Uhrzeit, abgerufene Datei, Referrer). Diese Daten dienen der Sicherheit und Verfügbarkeit und werden spätestens nach 90 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

§ 7 Auftragsverarbeitung gemäß Art. 28 DSGVO

7.1 Rechtsrahmen

(1) Gemäß Art. 28 Abs. 1 DSGVO arbeiten wir nur mit Auftragsverarbeitern zusammen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

(2) Mit allen nachfolgend genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) bzw. Data Processing Agreements (DPA) gemäß Art. 28 Abs. 3 DSGVO.

7.2 Auftragsverarbeitungs-Kette (AVV-Kette)

Stufe 1 – Verantwortlicher ↔ Auftragsverarbeiter: AMZ+ Consulting GmbH (Verantwortlicher) hat mit allen unten in § 7.4 aufgeführten Auftragsverarbeitern (insbesondere Vercel Inc., Supabase Inc., Stripe Payments Europe Ltd., Resend Inc., Anthropic PBC, Google LLC, Calendly LLC, Rewardful Inc.) jeweils ein Data Processing Agreement (DPA) gemäß Art. 28 Abs. 3 DSGVO geschlossen. Diese Auftragsverarbeiter verarbeiten personenbezogene Kundendaten ausschließlich im Auftrag und auf dokumentierte Weisung des Verantwortlichen.

Stufe 2 – Auftragsverarbeiter ↔ Unter-Auftragsverarbeiter: Supabase Inc. nutzt zur Bereitstellung der Datenbank- und Speicher-Infrastruktur Amazon Web Services (AWS) in der Region Frankfurt (eu-central-1) als Unter-Auftragsverarbeiter. Vercel Inc. nutzt ebenfalls AWS sowie Cloudflare als Unter-Auftragsverarbeiter für CDN- und Edge-Dienste. Mit allen Unter-Auftragsverarbeitern bestehen DPAs nach Art. 28 DSGVO.

Die jeweils aktuelle Liste der Unter-Auftragsverarbeiter ist hier öffentlich einsehbar:

• Supabase: https://supabase.com/legal/dpa
• Vercel: https://vercel.com/legal/subprocessors
• Stripe: https://stripe.com/legal/privacy-center

Wir informieren betroffene Nutzer über Änderungen bei Unter-Auftragsverarbeitern und räumen ein Widerspruchsrecht innerhalb von zehn (10) Werktagen ein.

7.3 Sicherheitsmaßnahmen der Auftragsverarbeiter

Die DPAs umfassen insbesondere folgende Zusicherungen:

• Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen
• Vertraulichkeitsverpflichtung aller Mitarbeiter mit Datenzugang
• Meldung von Datenschutzverletzungen ohne unangemessene Verzögerung
• Löschung aller personenbezogenen Daten innerhalb von 30 Tagen nach Vertragsende (Backups innerhalb von 90 Tagen)
• Möglichkeit zur Durchführung von Audits (mindestens jährlich)
• Keine automatisierte Entscheidungsfindung mit rechtlicher oder vergleichbarer Wirkung (Art. 22 DSGVO)
• Keine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)

7.4 Übersicht der Auftragsverarbeiter und Unter-Auftragsverarbeiter

*Vercel und Stripe sind US-Unternehmen, verarbeiten Nutzerdaten jedoch primär auf EU-Servern. Supabase ist in Singapur/USA registriert, betreibt die für MarketplAIce genutzten Datenbank-Instanzen jedoch ausschließlich auf AWS-Servern in Frankfurt (eu-central-1). Eine Übermittlung in die USA kann für Support- und Wartungszwecke nicht ausgeschlossen werden und ist durch SCCs und/oder das EU-US Data Privacy Framework abgesichert.

§ 8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:

8.1 Vertraulichkeit

• Verschlüsselung der Datenübertragung mittels TLS 1.2/1.3 (HTTPS)
• Verschlüsselung gespeicherter Daten mittels AES-256 (at rest)
• Passwort-Hashing mittels Bcrypt
• Row-Level-Security (RLS) in Supabase zur mandantengetrennten Datenzugriffskontrolle
• Zugangskontrollen und rollenbasierte Berechtigungen
• Vertraulichkeitsverpflichtungen aller Mitarbeiter und Auftragsverarbeiter

8.2 Integrität

• Eingabevalidierung und Schutz gegen SQL-Injection und Cross-Site-Scripting (XSS)
• Protokollierung von Zugriffen und Änderungen (Audit Logs)
• Nutzung von OAuth 2.0 für Marktplatz-API-Anbindungen

8.3 Verfügbarkeit und Belastbarkeit

• Hosting in einem hochverfügbaren AWS-Rechenzentrum (eu-central-1, Frankfurt)
• Regelmäßige automatisierte Backups
• DDoS-Schutz und Firewall-Regeln
• Angestrebte Verfügbarkeit: 99 % im Jahresmittel

8.4 Verfahren zur regelmäßigen Überprüfung

• Regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen
• Monitoring der Systemverfügbarkeit und -performance
• Incident-Response-Prozesse für Datenschutzvorfälle

§ 9 Datenübermittlung in Drittländer

(1) Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR erfolgt nur, soweit dies zur Vertragserfüllung erforderlich ist oder Sie Ihre Einwilligung erteilt haben, und nur unter Einhaltung der Art. 44–49 DSGVO.

(2) Für die Übermittlung an Dienstleister in den USA stützen wir uns auf folgende Garantien:

• EU-Standardvertragsklauseln (SCCs): Abschluss der von der EU-Kommission genehmigten Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021.
• EU-US Data Privacy Framework (DPF): Soweit der jeweilige Dienstleister über eine gültige DPF-Zertifizierung verfügt, stützen wir uns zusätzlich auf den Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 (Art. 45 DSGVO).

(3) Personenbezogene Daten werden für KI-Verarbeitungen (Google Gemini API, OpenAI) soweit technisch möglich anonymisiert bzw. pseudonymisiert übermittelt.

(4) Die DPF-Zertifizierungen der eingesetzten Dienstleister können unter https://www.dataprivacyframework.gov/ überprüft werden (u. a. Google LLC, Meta Platforms, LinkedIn, Microsoft, Vercel, Stripe, Calendly).

§ 10 Cookies und Einwilligungsverwaltung

(1) Wir verwenden auf unserer Plattform technisch notwendige Cookies zur Sitzungsverwaltung und Speicherung Ihrer Einstellungen (z. B. Authentifizierung, Sidebar-Zustand, Sprachauswahl). Diese Cookies sind für den Betrieb der Plattform zwingend erforderlich und bedürfen keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG).

(2) Darüber hinaus werden Cookies und vergleichbare Technologien durch eingebundene Analyse- und Werbetools gesetzt, soweit Sie hierzu Ihre ausdrückliche Einwilligung über unseren Cookie-Banner erteilt haben (§ 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO).

(3) Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen über den Cookie-Banner erneut aufrufen oder die entsprechenden Cookies in Ihrem Browser löschen.

§ 11 Kontaktaufnahme

Wenn Sie uns per E-Mail, Telefon oder Kontaktformular kontaktieren, wird Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, E-Mail, Anfrage) zum Zwecke der Bearbeitung Ihres Anliegens bei uns gespeichert und verarbeitet.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO).

Die Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung widerrufen oder der Zweck für die Datenspeicherung entfällt. Gesetzliche Aufbewahrungsfristen bleiben unberührt.

§ 12 Terminbuchung (Calendly)

Auf unserer Website haben Sie die Möglichkeit, Termine mit uns zu vereinbaren. Hierfür nutzen wir das Tool „Calendly". Anbieter ist die Calendly LLC, 271 17th St NW, 10th Floor, Atlanta, Georgia 30363, USA.

Die eingegebenen Daten (Name, E-Mail, Termin, optional Telefon) werden für die Planung, Durchführung und Nachbereitung des Termins verwendet. Datenschutzerklärung von Calendly: https://calendly.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Terminorganisation). Sofern eine Einwilligung abgefragt wurde: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. Drittlandübermittlung: SCCs und EU-US DPF (https://calendly.com/pages/dpa). Wir haben einen AVV geschlossen.

§ 13 Analyse-Tools

13.1 Google Tag Manager

Anbieter: Google Ireland Limited, Dublin, Irland. Der Google Tag Manager erstellt keine Nutzerprofile, speichert keine Cookies und nimmt keine eigenständigen Analysen vor. Erfasst jedoch IP-Adressen, die an Google in die USA übertragen werden können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; sofern Einwilligung abgefragt: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG.

13.2 Google Analytics 4

Anbieter: Google Ireland Limited. Verwendet Cookies und Device-Fingerprinting zur Analyse des Nutzungsverhaltens (anonymisierte IP, Sitzungsdauer, Seitenaufrufe, Conversion-Pfade). IP-Anonymisierung ist aktiviert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Drittlandübermittlung: SCCs und EU-US DPF. Opt-Out: Browser-Add-on (https://tools.google.com/dlpage/gaoptout). AVV mit Google abgeschlossen.

13.3 Google Search Console

Anbieter: Google Ireland Limited. Wir nutzen die Google Search Console zur Überwachung der organischen Sichtbarkeit unserer Website in der Google-Suche. Die Search Console verarbeitet aggregierte und anonymisierte Daten zu Suchanfragen, Klicks und Impressionen. Es werden keine personenbezogenen Daten der Website-Besucher direkt durch uns verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an SEO-Performance-Messung).

13.4 Hotjar

Anbieter: Hotjar Ltd., St Julians, Malta (EU). Erstellt Heatmaps, Sitzungsaufzeichnungen und Klickanalysen zur Optimierung der Nutzerführung. Persönliche Eingaben (Passwörter, Zahlungsdaten) werden automatisch maskiert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG). Opt-Out: Do-Not-Track-Header oder https://www.hotjar.com/legal/compliance/opt-out. AVV geschlossen.

13.5 Microsoft Clarity

Anbieter: Microsoft Ireland Operations Limited, Dublin, Irland. Heatmaps und Sitzungsaufzeichnungen zur Analyse des Nutzerverhaltens. Persönliche Eingaben werden automatisch maskiert. Daten werden auf Microsoft Azure (auch in den USA) verarbeitet. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG). DPF: Eintrag vorhanden. AVV geschlossen. Datenschutzerklärung: https://privacy.microsoft.com/de-de/privacystatement

§ 14 Werbung und Conversion-Tracking

14.1 Google Ads

Anbieter: Google Ireland Limited. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Drittlandübermittlung: SCCs und EU-US DPF.

14.2 Google Ads Remarketing

Interessenbezogene Werbung im Google-Werbenetzwerk auf Basis von Cookies und Conversion-Daten. Widerspruch über Anzeigeeinstellungen (https://myadcenter.google.com). Rechtsgrundlage: Einwilligung.

14.3 Google Conversion-Tracking

Conversion-Daten ohne persönliche Identifizierung. Rechtsgrundlage: Einwilligung. DPF-Zertifizierung vorhanden.

14.4 Meta-Pixel (ehemals Facebook Pixel)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Daten werden auch in die USA an Meta Platforms Inc. übertragen. „Erweiterter Abgleich" ist aktiviert (gehashte E-Mail/Telefonnummer). Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Für die Erfassung und Weitergabe besteht eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO (Joint Controller Addendum: https://www.facebook.com/legal/controller_addendum). Drittlandübermittlung: SCCs und EU-US DPF.

14.5 Meta Conversion API (CAPI)

Anbieter: Meta Platforms Ireland Limited. Server-zu-Server-Übermittlung von Conversion-Events zur Verbesserung der Messung. Gleiche Regelungen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO wie beim Meta-Pixel. Rechtsgrundlage: Einwilligung. AVV/DPA geschlossen.

14.6 Meta Custom Audiences

Anbieter: Meta Platforms Ireland Limited. Zielgruppenbasierte Werbung auf Basis gehashter Daten. Rechtsgrundlage: Einwilligung. Deaktivierung über Facebook-Einstellungen oder Your Online Choices (https://www.youronlinechoices.eu).

14.7 LinkedIn Insight Tag

Anbieter: LinkedIn Ireland Unlimited Company, Dublin, Irland. Erfasst berufliche Eckdaten (Branche, Funktion) und Conversion-Daten. IP-Adressen werden gekürzt/gehasht. Direkte Kennungen werden nach 7 Tagen gelöscht, pseudonymisierte Daten innerhalb von 180 Tagen. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG). Widerspruch: LinkedIn-Werbeeinstellungen. Drittlandübermittlung: SCCs und EU-US DPF. AVV geschlossen.

§ 15 Newsletter, Werbe-E-Mails und Marketing-Kommunikation

15.1 Werbe-Einwilligung bei der Registrierung (Double-Opt-in)

Bei der Registrierung für ein MarketplAIce-Konto oder eine kostenlose Testphase haben Sie die Möglichkeit, in den Erhalt von Werbe-E-Mails einzuwilligen. Hierzu wird Ihnen während der Registrierung eine gesondert zu aktivierende Checkbox angezeigt:

Die Checkbox ist standardmäßig nicht vorausgewählt (kein Pre-Tick gem. EuGH C-673/17 „Planet49"). Die Einwilligung erfolgt freiwillig und ist nicht Voraussetzung für die Nutzung der Plattform (Kopplungsverbot, Art. 7 Abs. 4 DSGVO).

15.2 Bestätigungsverfahren (Double-Opt-in)

Nach Aktivierung der Checkbox senden wir eine Bestätigungs-E-Mail an die angegebene E-Mail-Adresse mit einem persönlichen Bestätigungs-Link. Erst nach Klick auf diesen Link gilt die Einwilligung als rechtskräftig erteilt und Sie werden in den E-Mail-Verteiler aufgenommen.

Wir protokollieren zur Erfüllung der Beweispflicht nach Art. 7 Abs. 1 DSGVO:

• Datum und Uhrzeit der Registrierung
• Datum und Uhrzeit der Bestätigung
• IP-Adresse zum Zeitpunkt der Bestätigung
• Wortlaut der Einwilligungserklärung zum Zeitpunkt der Erteilung

Diese Nachweisdaten werden bis zum Widerruf der Einwilligung sowie für weitere drei Jahre nach Widerruf gespeichert (Verjährungsfristen UWG/DSGVO).

15.3 Inhalt der Werbe-E-Mails

Im Rahmen der erteilten Einwilligung erhalten Sie E-Mails mit folgenden Inhalten:

• Produkt-Updates und neue Funktionen von MarketplAIce
• Best Practices und Tipps zur Amazon-Optimierung (PPC, Listings, Repricing, FBA)
• Sonderangebote, Rabatte und Tarif-Upgrades
• Einladungen zu Webinaren, Online-Trainings und Branchen-Events
• Case Studies, Whitepaper und redaktionelle Inhalte
• Hinweise auf Partnerprogramme

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 7 Abs. 2 Nr. 3 UWG.

15.4 Werbung an Bestandskunden (§ 7 Abs. 3 UWG)

Soweit Sie ein zahlungspflichtiges Abonnement bei uns abgeschlossen haben (Bestandskunde), können wir Sie auf Grundlage von § 7 Abs. 3 UWG auch ohne separate Werbe-Einwilligung in folgendem engen Rahmen per E-Mail kontaktieren:

• ausschließlich Werbung für eigene, ähnliche Produkte und Dienstleistungen (z. B. Tarif-Upgrades von Essential auf Growth, neue Module, Partner-Programm)
• kein Versand für Drittprodukte oder Themen außerhalb des bestehenden Vertrags
• bei jeder E-Mail wird klar und deutlich auf die Widerspruchsmöglichkeit hingewiesen
• ein Widerspruch ist kostenfrei möglich (Abmelde-Link, privacy@marketplaice.io)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG (berechtigtes Interesse).

15.5 Widerruf und Abmeldung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Möglichkeiten:

• Abmelde-Link am Ende jeder Werbe-E-Mail (1-Klick-Abmeldung)
• E-Mail an privacy@marketplaice.io mit dem Betreff „Newsletter abmelden"
• Konto-Einstellungen → Datenschutz → Werbe-Kommunikation deaktivieren

Nach Widerruf wird Ihre E-Mail-Adresse zur Vermeidung weiterer Zusendungen in einer technischen Sperrliste (Blacklist) gespeichert. Die Verarbeitung in der Sperrliste beruht auf unserem berechtigten Interesse, Ihren Widerruf umzusetzen (Art. 6 Abs. 1 lit. f DSGVO i. V. m. Art. 21 Abs. 3 DSGVO). Diese Daten werden nicht für andere Zwecke verwendet und nicht mit anderen Daten zusammengeführt.

15.6 Versanddienstleister

Für den Versand der Werbe-E-Mails nutzen wir folgende Auftragsverarbeiter:

• Transaktions- und Newsletter-Versand: Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. Resend ist DSGVO-konform aufgesetzt (DPA, SCCs, EU-US DPF) und bietet eine EU-Datenregion (Irland). Datenschutz: https://resend.com/legal/privacy-policy
• Cold-Email-Outreach an Geschäftskontakte (B2B, mutmaßliches Interesse): Instantly.ai Inc., USA — Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO, § 7 Abs. 2 Nr. 2 UWG, DPA + SCCs

§ 16 Plugins und Tools

16.1 Google Fonts

Anbieter: Google Ireland Limited. Beim Seitenaufruf lädt Ihr Browser Fonts von Google-Servern (IP-Adresse wird übermittelt). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; sofern Einwilligung abgefragt: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG. DPF-Eintrag vorhanden.

16.2 G2 Reviews / Trustpilot (sofern eingebunden)

Bei eingebundenen Bewertungs-Widgets werden technische Daten (IP-Adresse, Browser) an den jeweiligen Anbieter übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Einwilligung über den Cookie-Banner.

§ 17 Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, unentgeltlich Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten sowie eine Kopie dieser Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige Daten berichtigen und unvollständige Daten vervollständigen zu lassen. Änderungen können Sie in den Plattform-Einstellungen selbst vornehmen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern kein aktives Abonnement besteht und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung kann über die Plattform-Einstellungen selbstständig ausgelöst werden.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) zu erhalten. Export unter Einstellungen → Datenschutz.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einlegen. Bei Direktwerbung können Sie jederzeit ohne Angabe von Gründen widersprechen (Art. 21 Abs. 2 DSGVO).
• Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.
• Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig: Die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover, E-Mail: poststelle@lfd.niedersachsen.de, Internet: www.lfd.niedersachsen.de.

§ 18 Aufbewahrungsfristen und Löschkonzept

Wir verarbeiten und speichern personenbezogene Daten nur solange, wie dies für den jeweiligen Verarbeitungszweck erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht:

§ 19 Datenexport und Selbstverwaltung

Gemäß Art. 20 DSGVO können Sie alle Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) unter Einstellungen → Datenschutz herunterladen.

Welche Daten exportierbar sind

• Kontodaten (Profil, Firma, Sprache)
• Nutzungsdaten (Plattform-Aktivität)
• Über die Amazon SP-API verarbeitete Daten (Bestellungen, Listings, Werbedaten, Reports)
• Werbe-Einwilligungs-Status
• Verbundene Marktplatz-Konten (ohne Tokens)

Widerruf der Amazon-Zugriffsberechtigung

Sie können die OAuth-Zugriffsberechtigung jederzeit in Ihrem Amazon Seller Central unter Apps & Dienste → Meine Apps widerrufen. Nach Widerruf werden alle Amazon-bezogenen Daten innerhalb von 30 Tagen gelöscht.

§ 20 Kontakt und Beschwerderecht

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich an:

AMZ+ Consulting GmbH
Salinenstraße 3, 49214 Bad Rothenfelde
Telefon: +49 1556 1267682
E-Mail: privacy@marketplaice.io

Zuständige Datenschutz-Aufsichtsbehörde:
Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5, 30159 Hannover
E-Mail: poststelle@lfd.niedersachsen.de
Internet: www.lfd.niedersachsen.de

§ 21 Automatisierte Entscheidungsfindung und Profiling (Art. 22 DSGVO)

(1) MarketplAIce setzt KI-Modelle und automatisierte Algorithmen für folgende Zwecke ein:

• Prädiktive Gebotsoptimierung (PPC) auf Basis von Marktplatzdaten
• Listing- und Repricing-Vorschläge
• Automatisierte Tarifzuordnung anhand des über die Amazon SP-API ermittelten Marktplatz-Umsatzes
• Anomalie-Erkennung und Performance-Warnungen

(2) Diese Verarbeitungen beziehen sich ausschließlich auf Marktplatz- und Produktdaten, nicht auf personenbezogene Daten der Nutzer der Plattform. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer Beeinträchtigung gegenüber Ihnen als natürlicher Person im Sinne des Art. 22 Abs. 1 DSGVO findet nicht statt.

(3) Die automatische Tarifzuordnung anhand des Marktplatz-Umsatzes (z. B. Wechsel von Essential auf Growth) ist vertraglich vereinbart (Art. 22 Abs. 2 lit. a DSGVO) und wird mit einer Vorankündigung per E-Mail kombiniert. Sie haben das Recht, eine manuelle Überprüfung zu verlangen (privacy@marketplaice.io).

§ 22 Quelle der Daten

Sämtliche personenbezogene Daten erheben wir direkt bei Ihnen (Art. 13 DSGVO). Daten aus den angebundenen Marktplatz-APIs (Amazon, eBay, Otto, Kaufland) erhalten wir auf Basis Ihrer ausdrücklichen OAuth-Autorisierung. Eine Erhebung personenbezogener Daten aus öffentlich zugänglichen Quellen oder die Anreicherung über Drittquellen (z. B. Apollo) erfolgt ausschließlich für Geschäftskontakte (B2B) im Rahmen der Geschäftsanbahnung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Betroffene haben jederzeit ein Widerspruchsrecht (Art. 21 DSGVO) und werden bei der ersten Kontaktaufnahme gem. Art. 14 DSGVO informiert.

§ 23 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen abbildet. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung. Bei wesentlichen Änderungen, die Ihre Einwilligung betreffen, werden wir Sie gesondert per E-Mail informieren und gegebenenfalls eine erneute Einwilligung einholen.