Auftragsverarbeitungsvertrag (AVV)

§ 1 Gegenstand und Dauer

1. Dieser AVV regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung der SaaS-Plattform „Faktor400“.
2. Dieser AVV wird mit Aktivierung der Amazon SP-API-Anbindung im Faktor400-Nutzerkonto des Verantwortlichen wirksam und gilt für die Dauer des Nutzungsverhältnisses (vgl. AGB § 8). Er endet automatisch mit Beendigung des Hauptvertrags und vollständiger Löschung aller im Auftrag verarbeiteten Daten.
3. Die Einzelheiten der Verarbeitung, insbesondere Art, Zweck und Umfang, ergeben sich aus den nachfolgenden Bestimmungen und der Leistungsbeschreibung in den AGB (§ 4).

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zu folgenden Zwecken:

• Abruf und Speicherung von Amazon-Bestelldaten über die Amazon SP-API im Auftrag des Sellers zur Bereitstellung der Faktor400-Analysefunktionen
• Aufbereitung und Analyse der Geschäftsdaten (Gewinnberechnung, Bestandsmanagement, PPC-Analysen)
• Darstellung in Dashboards und Berichten innerhalb der Faktor400-Plattform

Die Verarbeitung erfolgt ausschließlich gemäß den Weisungen des Verantwortlichen (vgl. § 5).

§ 3 Art der personenbezogenen Daten

Folgende personenbezogene Daten von Amazon-Käufern (Endkunden des Sellers) können im Rahmen der SP-API-Datenabfrage verarbeitet werden:

Hinweis: Zahlungsinformationen der Käufer werden von Faktor400 nicht verarbeitet oder gespeichert.

§ 4 Kategorien betroffener Personen

Amazon-Käufer (Endkunden des Sellers), deren Bestellungen über die SP-API synchronisiert werden.

§ 5 Pflichten und Weisungen

5.1 Weisungsgebundenheit

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Faktor400-Plattform inkl. der Konfiguration der SP-API-Anbindung stellt die Weisung des Verantwortlichen dar.
2. Sofern der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen (Art. 28 Abs. 3 S. 3 DSGVO).

5.2 Pflichten des Verantwortlichen

1. Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und stellt sicher, dass er die Amazon SP-API-Daten rechtmäßig an Faktor400 übermitteln darf.
2. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich über Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung.

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen gemäß Art. 32 DSGVO um:

Vertraulichkeit

• Zutrittskontrolle: Server-Infrastruktur bei Hetzner Online GmbH (zertifizierte Rechenzentren, ISO 27001) in Falkenstein, Deutschland
• Zugangskontrolle: Authentifizierung über Supabase Auth (PKCE-basiert), Passwörter bcrypt-gehasht, MFA-fähig
• Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept, mandantenfähige Datentrennung (jeder Seller sieht nur seine eigenen Daten)
• Trennungskontrolle: Logische Mandantentrennung auf Datenbankebene (Organisations-IDs)

Integrität

• Weitergabekontrolle: TLS-Verschlüsselung (TLSv1.2/1.3) für alle Datenübertragungen, HSTS aktiviert
• Eingabekontrolle: Audit-Logging von relevanten Datenänderungen

Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle: Regelmäßige Datenbank-Backups, Monitoring via Prometheus/Grafana
• Wiederherstellbarkeit: Backup-Restore-Verfahren dokumentiert, Recovery-Tests

Verfahren zur regelmäßigen Überprüfung

Regelmäßige Überprüfung der TOMs und Anpassung an den Stand der Technik.

§ 6a Vertraulichkeitspflicht

Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

§ 7 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

2. Der Verantwortliche stimmt dem Einsatz der vorstehend genannten Unterauftragsverarbeiter zu.
3. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Mitteilung aus wichtigem Grund Widerspruch einzulegen.
4. Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzpflichten einhalten, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 8 Meldepflichten bei Datenschutzverletzungen

1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (in der Regel innerhalb von 24 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO).
2. Die Meldung enthält mindestens:
   • Art der Verletzung
   • Betroffene Datenkategorien und ungefähre Anzahl betroffener Datensätze
   • Wahrscheinliche Folgen
   • Ergriffene oder vorgeschlagene Abhilfemaßnahmen
3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von dessen Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und gegenüber den betroffenen Personen (Art. 34 DSGVO).

§ 9 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung:

1. Bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte (Art. 15–22 DSGVO)
2. Bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO), soweit erforderlich

§ 10 Löschung und Rückgabe

1. Nach Beendigung des Hauptvertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche im Auftrag verarbeiteten personenbezogenen Daten entweder zurückgeben oder innerhalb von 30 Tagen löschen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO; vgl. AGB § 9). Trifft der Verantwortliche innerhalb der Frist keine Wahl, werden die Daten gelöscht.
2. Innerhalb der 30-Tage-Frist kann der Verantwortliche einen Datenexport (Rückgabe) über die Faktor400-Plattform anfordern.
3. Amazon-DPP-konforme PII-Löschung: Personenbezogene Käuferdaten (Name, Adresse) werden automatisiert innerhalb von 30 Tagen nach Versand der jeweiligen Bestellung anonymisiert. Aggregierte Geschäftsdaten (Umsatz, ASIN-Kennzahlen) werden hiervon nicht erfasst.
4. Die Löschung wird auf Anfrage des Verantwortlichen bestätigt.

§ 11 Kontroll- und Nachweispflichten

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
2. Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden (Art. 28 Abs. 3 lit. h DSGVO). Der Verantwortliche kündigt Vor-Ort-Prüfungen mit angemessener Frist (mindestens 14 Tage) an.
3. Als Nachweis können auch geeignete Zertifizierungen oder aktuelle Prüfberichte unabhängiger Stellen dienen.

§ 12 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Bestimmungen der Art. 82 ff. DSGVO in Verbindung mit den Haftungsregelungen der AGB (§ 11).

§ 13 Schlussbestimmungen

1. Bei Widersprüchen zwischen diesem AVV und den AGB oder sonstigen Vereinbarungen geht dieser AVV vor, soweit der Gegenstand den Datenschutz betrifft.
2. Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand richtet sich nach § 15 der AGB.
3. Änderungen dieses AVV bedürfen der Textform.

Kontakt

Fragen zum Datenschutz oder zu diesem AVV: datenschutz@faktor400.com

Sprachversionen

Im Falle von Abweichungen zwischen der deutschen und einer etwaigen englischen Fassung dieses AVV ist die deutsche Fassung maßgeblich.