Vertrag zur Auftragsverarbeitung

1. Parteien und Einordnung

Dieser Vertrag zur Auftragsverarbeitung ("AVV") wird zwischen dem jeweiligen gewerblichen Nutzer von SellerTool ("Kunde", "Verantwortlicher") und Elias Florian Evers, handelnd unter SellerTool, Breitwiesenstraße 39B, 86179 Augsburg, Deutschland ("SellerTool", "Auftragsverarbeiter") geschlossen.

Der Kunde nutzt SellerTool als Software-as-a-Service zur Unterstützung seines Amazon-, FBA- und E-Commerce-Geschäfts. Dabei kann SellerTool personenbezogene Daten im Auftrag des Kunden verarbeiten. Dieser AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien nach Art. 28 DSGVO.

Die Bestellung eines Datenschutzbeauftragten ist bei SellerTool nach § 38 BDSG i. V. m. Art. 37 DSGVO derzeit nicht erforderlich. Datenschutzbezogene Anfragen können an support@sellertool.eu gerichtet werden.

2. Gegenstand, Dauer und Zweck der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung, der Betrieb, die Wartung, Sicherung und Weiterentwicklung der SellerTool-Dienste einschließlich der angebundenen Funktionen, Schnittstellen, Browser-Erweiterungen, Importe, Exporte, Synchronisationen, Analysen, Automatisierungen und Supportleistungen.

Zweck der Verarbeitung ist die technische und organisatorische Unterstützung des Kunden bei Einkaufs-, Verkaufs-, Lager-, Retouren-, Listing-, Analyse-, Buchhaltungs-, Prep-Center- und Marktplatzprozessen. Die Verarbeitung erfolgt für die Dauer des zwischen den Parteien bestehenden Nutzungsvertrags und darüber hinaus nur, soweit gesetzliche Aufbewahrungspflichten, Nachweiszwecke, Sicherheitszwecke oder berechtigte Verteidigungsinteressen bestehen.

3. Art der personenbezogenen Daten

Je nach genutzten Funktionen können insbesondere folgende Arten personenbezogener Daten verarbeitet werden:

• Kontaktdaten, Namen, E-Mail-Adressen, Telefonnummern und Adressen,
• Konto-, Profil-, Rollen-, Login-, Sicherheits- und Supportdaten,
• Amazon-, eBay-, Business-, Prep-Center-, Lexware-, Google-Sheets- und sonstige Integrationsdaten,
• Bestell-, Liefer-, Rechnungs-, Retouren-, Zahlungsstatus-, Einkaufs- und Verkaufsdaten,
• Produkt-, Angebots-, SKU-, Lager-, Versand- und FBA-bezogene Daten,
• Kommunikations-, Protokoll-, Geräte-, Browser-, Nutzungs- und Fehlerdaten,
• OAuth-Tokens, API-Schlüssel und sonstige technische Zugangsdaten in geschützter Form.

4. Kategorien betroffener Personen

Betroffene Personen können insbesondere Kunden und Endkunden des Verantwortlichen, Lieferanten, Dienstleister, Prep-Center, Mitarbeiter, Nutzerkonten, Ansprechpartner, Supportkontakte und sonstige Personen sein, deren Daten der Kunde in SellerTool eingibt, importiert oder über Schnittstellen bereitstellt.

5. Weisungen des Kunden

SellerTool verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, soweit keine gesetzliche Verpflichtung zu einer anderweitigen Verarbeitung besteht. Weisungen ergeben sich aus dem Nutzungsvertrag, diesen AVV, den vom Kunden gewählten Einstellungen, verbundenen Integrationen und sonstigen Weisungen in Textform.

SellerTool informiert den Kunden, wenn eine Weisung nach unserer Auffassung gegen Datenschutzrecht verstößt. SellerTool darf die Ausführung einer offensichtlich rechtswidrigen Weisung aussetzen, bis sie bestätigt, geändert oder zurückgenommen wurde.

6. Pflichten von SellerTool

SellerTool verpflichtet sich insbesondere,

• personenbezogene Daten nur im Rahmen dieses AVV und der dokumentierten Weisungen zu verarbeiten,
• mit der Verarbeitung befasste Personen zur Vertraulichkeit zu verpflichten,
• angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO umzusetzen,
• den Kunden bei Betroffenenrechten und Pflichten nach Art. 32 bis 36 DSGVO angemessen zu unterstützen,
• personenbezogene Daten nach Vertragsende nach Maßgabe dieses AVV zurückzugeben oder zu löschen,
• Unterauftragnehmer nur nach den Regelungen dieses AVV einzusetzen.

7. Pflichten des Kunden

Der Kunde bleibt Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er ist insbesondere verantwortlich für die Rechtmäßigkeit der Datenverarbeitung, die Wahrung der Betroffenenrechte, die Erfüllung eigener Informationspflichten, die Auswahl der genutzten Funktionen und Integrationen sowie die Rechtmäßigkeit der an SellerTool übermittelten Daten.

Der Kunde informiert SellerTool unverzüglich, wenn er Fehler, Unregelmäßigkeiten oder Datenschutzrisiken im Zusammenhang mit der Verarbeitung feststellt.

8. Technische und organisatorische Maßnahmen

SellerTool trifft angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO zum Schutz personenbezogener Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Dazu gehören, soweit für die jeweilige Verarbeitung einschlägig, insbesondere:

8.1 Vertraulichkeit

• Zugriffsbeschränkungen und rollenbasierte Berechtigungen (Need-to-know-Prinzip),
• Authentifizierung mit Passwörtern, Passwort-Hashing und optionaler Zwei-Faktor-Authentifizierung,
• Vertraulichkeitsverpflichtungen für Personen mit Zugriff auf personenbezogene Daten,
• logische Mandanten-/Nutzertrennung in Datenbank und Anwendung,
• Schutz der Produktivumgebung gegen unbefugten Zugriff (z. B. eingeschränkter Administrationszugriff, Audit-Trails).

8.2 Integrität

• verschlüsselte Übertragung per TLS,
• verschlüsselte Speicherung sensibler Zugangsdaten wie OAuth-Tokens, API-Schlüssel und vergleichbarer Geheimnisse (Encryption at Rest auf Anwendungsebene),
• Pseudonymisierung, soweit für den jeweiligen Verarbeitungszweck angemessen und technisch möglich,
• Protokollierung sicherheitsrelevanter Vorgänge (z. B. Logins, sicherheitskritische Aktionen, Administrationszugriffe),
• Eingabekontrollen und Validierung an sicherheitskritischen Stellen.

8.3 Verfügbarkeit und Belastbarkeit

• Bereitstellung der Dienste über etablierte Hosting- und Datenbankanbieter mit eigenen Verfügbarkeits- und Sicherungsmechanismen,
• regelmäßige Datenbank-Backups durch den eingesetzten Datenbankanbieter,
• Rate-Limiting, Bot-Schutz und Missbrauchserkennung,
• Monitoring sicherheitsrelevanter Ereignisse und Fehlerprotokolle,
• Notfallkonzepte und Wiederherstellungsverfahren im Rahmen der eingesetzten Infrastruktur.

8.4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• regelmäßige Aktualisierung der eingesetzten Software und Abhängigkeiten (Patch-Management),
• Überprüfung sicherheitsrelevanter Konfigurationen, insbesondere Content-Security-Policy, HTTP-Header und Authentifizierungs­abläufe,
• etablierter interner Prozess zur Behandlung und Dokumentation von Sicherheitsvorfällen (Incident Response),
• Sensibilisierung und Verpflichtung der mit der Verarbeitung befassten Personen auf Datenschutz und Vertraulichkeit,
• Auswahl und vertragliche Verpflichtung von Unterauftragnehmern auf ein angemessenes Datenschutz- und Sicherheitsniveau.

SellerTool darf technische und organisatorische Maßnahmen weiterentwickeln, sofern das Schutzniveau insgesamt nicht wesentlich abgesenkt wird. Eine jeweils aktuelle Übersicht der Maßnahmen wird auf Anfrage in geeigneter Form bereitgestellt.

9. Unterauftragnehmer

Der Kunde erteilt SellerTool eine allgemeine Genehmigung zum Einsatz der in der jeweils aktuellen Sub-Prozessor-Liste aufgeführten Unterauftragnehmer im Sinne von Art. 28 Abs. 2 Satz 2 DSGVO. Unterauftragnehmer können insbesondere für Hosting, Datenbankbetrieb, Caching, Hintergrundjobs, E-Mail-Versand, Zahlungsabwicklung, Support, Bot-Schutz, Monitoring sowie für die vom Kunden aktivierten Integrationen eingesetzt werden.

Eine jeweils aktuelle Liste der eingesetzten Unterauftragnehmer mit Firmenname, Sitz, Verarbeitungszweck und Verarbeitungsregion ist abrufbar unter sellertool.eu/avv/sub-prozessoren.

SellerTool informiert den Kunden über die geplante Hinzunahme oder Ersetzung eines Unterauftragnehmers in Textform oder über die Dienste mit einer Vorlauffrist von in der Regel 30 Tagen vor dem geplanten Wirksamwerden, in Eilfällen (insbesondere bei kurzfristig erforderlichen Sicherheits- oder Stabilitätsmaßnahmen) auch kurzfristiger.

Der Kunde kann der Änderung innerhalb von 14 Tagen nach Zugang der Mitteilung in Textform aus einem wichtigen datenschutzrechtlichen Grund widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Hinzunahme oder Ersetzung als genehmigt.

Wird einem Widerspruch nicht abgeholfen und ist die Leistungserbringung ohne den betroffenen Unterauftragnehmer für SellerTool nicht oder nur mit unzumutbarem Aufwand möglich, sind beide Parteien berechtigt, den betroffenen Dienst oder den Vertrag insgesamt mit angemessener Frist zu kündigen.

SellerTool wird Unterauftragnehmer sorgfältig auswählen und ihnen Datenschutzpflichten auferlegen, die dem Schutzniveau dieses AVV angemessen entsprechen.

10. Drittlandtransfers

Soweit personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeitet werden, stellt SellerTool sicher, dass hierfür eine geeignete datenschutzrechtliche Grundlage besteht, insbesondere ein Angemessenheitsbeschluss, Zertifizierungen wie das EU-US Data Privacy Framework oder Standardvertragsklauseln der EU-Kommission, soweit erforderlich.

11. Datenschutzverletzungen

SellerTool informiert den Kunden ohne unangemessene Verzögerung, in der Regel innerhalb von 48 Stunden nach Kenntnisnahme, über jede Verletzung des Schutzes personenbezogener Daten, die im Auftrag des Kunden verarbeitet werden. Diese Frist soll dem Kunden ermöglichen, seine eigene Meldepflicht nach Art. 33 DSGVO innerhalb von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde zu erfüllen.

Die Mitteilung enthält, soweit verfügbar, Informationen zur Art der Verletzung, zu den betroffenen Datenkategorien und Personen, zu wahrscheinlichen Folgen sowie zu den ergriffenen oder vorgeschlagenen Maßnahmen zur Eindämmung und Behebung. Soweit nicht alle erforderlichen Informationen unmittelbar vorliegen, werden diese unverzüglich nachgereicht.

Der Kunde bleibt für die Meldungen gegenüber Aufsichtsbehörden und betroffenen Personen verantwortlich. SellerTool unterstützt den Kunden dabei im gesetzlich erforderlichen und zumutbaren Umfang.

12. Kontrollrechte

SellerTool stellt dem Kunden die zur Erfüllung der Pflichten aus Art. 28 DSGVO erforderlichen Informationen zur Verfügung. Der Nachweis kann insbesondere durch Dokumentationen, Sicherheitsinformationen, Selbstauskünfte, Zertifikate, Prüfberichte oder vergleichbare Nachweise erfolgen.

Vor-Ort-Prüfungen sind nur nach angemessener Vorankündigung, während üblicher Geschäftszeiten, unter Wahrung von Vertraulichkeit, Sicherheitsanforderungen und Betriebsgeheimnissen sowie gegen Ersatz angemessener Aufwände zulässig, soweit kein zwingender gesetzlicher Grund entgegensteht.

13. Rückgabe und Löschung

Nach Beendigung des Nutzungsvertrags löscht SellerTool personenbezogene Daten des Kunden oder gibt sie nach Maßgabe der bereitgestellten Exportfunktionen zurück, soweit keine gesetzlichen Aufbewahrungspflichten, Nachweispflichten, Sicherheitszwecke oder berechtigte Interessen zur Speicherung entgegenstehen.

Backups und Protokolldaten können nach Beendigung noch für eine begrenzte Zeit vorgehalten und anschließend im Rahmen regulärer Löschzyklen gelöscht werden.

14. Schlussbestimmungen

Dieser AVV gilt ergänzend zu den AGB und dem jeweiligen Nutzungsvertrag. Im Fall von Widersprüchen gehen die datenschutzrechtlichen Regelungen dieses AVV vor, soweit sie die Auftragsverarbeitung betreffen. Es gilt deutsches Recht.

Änderungen dieses AVV sind zulässig, soweit sie zur Anpassung an rechtliche, technische oder organisatorische Entwicklungen erforderlich sind und das gesetzlich geschuldete Schutzniveau nicht unterschreiten.