Auftragsverarbeitungsvertrag (AVV)
Stand: 2. November 2025
Verantwortlicher (Controller): Kund:in von The Marketplace Tools
Auftragsverarbeiter (Processor): The Marketplace Guys UG (haftungsbeschränkt), Bielefeld, Deutschland
E‑Mail: hello@themarketplaceguys.com
1. Gegenstand und Dauer der Verarbeitung
Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO im Rahmen der Nutzung von The Marketplace Tools. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Verantwortlichen. Die Verarbeitung beginnt mit Abschluss des Nutzungsvertrags (AGB/Terms of Service) und besteht für die Dauer der Nutzung des Dienstes.
2. Art und Zweck der Verarbeitung
Zweck: Automatisierte Optimierung und Analyse von Amazon-Produktlistings durch KI-gestützte Textgenerierung, Wettbewerbsanalyse und Performanceanalyse.
Art der Daten:
- Kontaktdaten (Name, E‑Mail‑Adresse, ggf. Unternehmensbezeichnung)
- Zugangsdaten zu Amazon‑Konten (Token‑basiert, verschlüsselt)
- Produktinformationen (ASINs, Titel, Beschreibungen, Keywords)
- Listing‑Performance‑Daten, Metriken und Analysedaten
- Nutzer:innenkonfigurationen, Einstellungen und Präferenzen
Kategorien betroffener Personen:
- Beschäftigte der Kund:innen
- Mitarbeitende mit Zugriff auf Amazon Seller Accounts
- ggf. Marketingverantwortliche und Listing-Manager:innen
3. Rechte und Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit Weisungen zur Verarbeitung erteilen, Änderungen anfordern oder die Löschung von Daten verlangen. Er ist verpflichtet, Betroffenenrechte (z. B. Auskunft, Löschung, Berichtigung) eigenständig zu erfüllen.
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen zu verarbeiten
- Vertraulichkeit aller Beschäftigten sicherzustellen
- geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu implementieren
- Betroffene bei der Wahrnehmung ihrer Rechte zu unterstützen
- Datenschutzverletzungen unverzüglich zu melden
- alle Unterauftragsverarbeiter vertraglich zur Einhaltung der DSGVO zu verpflichten
5. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter gewährleistet Datensicherheit durch:
- TLS‑Verschlüsselung bei Übertragung und AES‑256 bei Speicherung
- rollenbasiertes Zugriffssystem
- verschlüsselte API‑Tokens und Zugriffsschlüssel
- Protokollierung aller Zugriffe
- regelmäßige Sicherheitsupdates
- Hosting auf Servern innerhalb der EU (Supabase, Frankfurt/Amsterdam Cluster)
Eine Übersicht der Maßnahmen ist auf Anfrage abrufbar.
6. Unterauftragsverarbeiter
Der Auftragsverarbeiter nutzt folgende Unterauftragsverarbeiter im Sinne des Art. 28 Abs. 2 DSGVO:
| Anbieter | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Supabase Inc. | EU (Frankfurt/Amsterdam) | Hosting, Datenbank, Authentifizierung | Art. 28 DSGVO |
| Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | Art. 28 DSGVO |
| Amazon Web Services (AWS) | EU (verschiedene Regionen) | Cloud-Infrastruktur, Speicherung | Art. 28 DSGVO |
| Keepa | Deutschland | Amazon-Produktdaten und Preishistorie | Art. 28 DSGVO |
| Asindatascraper | EU | Amazon-Produktdaten-Scraping | Art. 28 DSGVO |
Weitere Unterauftragsverarbeiter werden nur nach vorheriger schriftlicher Information des Verantwortlichen hinzugefügt.
7. Löschung und Rückgabe von Daten
Nach Beendigung der Vertragsbeziehung werden personenbezogene Daten nach 30 Tagen automatisch gelöscht oder anonymisiert; auf schriftliche Anforderung des Verantwortlichen vorzeitig gelöscht oder exportiert. Sicherungskopien werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.
8. Kontrollrechte
Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV zu überprüfen. Der Auftragsverarbeiter ermöglicht auf Anfrage Auskunft über die getroffenen technischen und organisatorischen Maßnahmen und kann Nachweise (z. B. Penetration‑Tests, Audit‑Berichte) bereitstellen.
9. Haftung
Die Haftung richtet sich nach den Bestimmungen des Hauptvertrags (AGB/Terms of Service). Bei Verstößen gegen Datenschutzvorschriften haftet jede Partei im Rahmen ihrer Verantwortlichkeit.
10. Schlussbestimmungen
Dieser Vertrag gilt ab dem Zeitpunkt der Annahme der AGB/Terms of Service als abgeschlossen. Er ist Bestandteil des Hauptvertrags und gilt für alle Verarbeitungsvorgänge, die im Rahmen der Nutzung von The Marketplace Tools erfolgen. Es gilt deutsches Recht. Gerichtsstand ist Bielefeld, sofern gesetzlich zulässig.