Auftragsverarbeitungsvertrag (AVV)
Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO · Stand: Juni 2026
§ 1 Präambel, Parteien, Kontaktstelle und Vorrang
Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV“) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Er gilt für alle Tätigkeiten, die mit dem zwischen den Parteien geschlossenen Hauptvertrag (Abonnement-/Nutzungsvertrag über die Dropnito-Dienstleistung, nachfolgend „Hauptvertrag“) in Zusammenhang stehen und bei denen der Auftragsverarbeiter personenbezogene Daten für den Verantwortlichen verarbeitet.
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO (nachfolgend „Verantwortlicher“ oder „Kunde“) ist der geschäftliche Kunde (Unternehmer im Sinne des § 14 BGB, eBay-Verkäufer), der die Dropnito-Dienstleistung nutzt. Die konkreten Angaben (Firma/Name, Anschrift, Vertretungsberechtigter) ergeben sich aus dem Hauptvertrag bzw. der Registrierung. Dieser AVV richtet sich ausschließlich an Unternehmer; eine Nutzung durch Verbraucher ist nicht Gegenstand des Hauptvertrags.
Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (nachfolgend „Auftragsverarbeiter“ oder „Dropnito“) ist:
- Dennis Brockhaus, handelnd unter der Marke „Dropnito“
- Sophienstraße 10, 24937 Flensburg, Deutschland
- E-Mail: info.entdeckershop@gmx.de
Datenschutzrechtliche Kontaktstelle des Auftragsverarbeiters für alle Belange dieses AVV (Weisungen, Anfragen, Meldungen nach §§ 7–10) ist: info.entdeckershop@gmx.de. Ein Datenschutzbeauftragter ist nicht bestellt; eine Bestellpflicht nach Art. 37 DSGVO besteht nach derzeitigem Stand nicht.
Verantwortlicher und Auftragsverarbeiter werden nachfolgend einzeln auch „Partei“ und gemeinsam „Parteien“ genannt.
Dieser AVV geht den Regelungen des Hauptvertrags vor, soweit sie der Verarbeitung personenbezogener Daten und dem Datenschutz widersprechen. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor. Einzelne Bestimmungen dieses AVV können durch dokumentierte Weisungen des Verantwortlichen oder gesonderte Vereinbarungen in Textform ergänzt werden.
§ 2 Gegenstand, Art, Zweck, Umfang und Dauer der Verarbeitung
(1) Gegenstand der Verarbeitung ist die Erbringung der im Hauptvertrag beschriebenen Managed-SaaS-Dienstleistung durch Dropnito. Dropnito betreibt für den Verantwortlichen einen dedizierten Server und meldet sich mittels Browser-Automation im eigenen eBay-Verkäuferkonto des Verantwortlichen an, um eBay-Angebote aus Amazon-Produktdaten zu erstellen und zu pflegen, Preise und Bestände zu überwachen sowie Angebote nach Verkauf wieder aufzufüllen. Eine eBay-Programmierschnittstelle (API) wird nicht genutzt.
(2) Art und Zweck der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien betroffener Personen ergeben sich abschließend aus Anlage 1 (Beschreibung der Verarbeitung).
(3) Umfang: Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Umfang, der zur Erfüllung des Hauptvertrags erforderlich ist, und ausschließlich für den Verantwortlichen. Eine Verarbeitung für eigene Zwecke des Auftragsverarbeiters findet nicht statt.
(4) Ort der Verarbeitung / Drittlandbezug: Die inhaltliche Verarbeitung (Hosting des dedizierten Servers, Datenbank, Betrieb des Bots) findet ausschließlich innerhalb der Bundesrepublik Deutschland und damit innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt. Ein Drittlandbezug besteht ausschließlich auf der Netz-/Steuerungsebene des eingesetzten Sub-Auftragsverarbeiters Tailscale Inc. (USA); insoweit erfolgt die Verarbeitung nur unter den Voraussetzungen der Art. 44 ff. DSGVO (insbesondere EU-Standardvertragsklauseln). Einzelheiten zu eingesetzten Sub-Auftragsverarbeitern und Drittlandgarantien ergeben sich aus Anlage 3.
(5) Dauer: Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags (Abonnement). Der AVV beginnt mit Wirksamwerden des Hauptvertrags und endet mit dessen Beendigung. Pflichten, die ihrer Natur nach fortbestehen (insbesondere Löschung/Rückgabe, Vertraulichkeit, Nachweispflichten), gelten über das Vertragsende hinaus.
§ 3 Weisungsbefugnis des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf eine etwaige Übermittlung in Drittländer, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 lit. a DSGVO).
(2) Die Weisungen werden durch diesen AVV und den Hauptvertrag festgelegt und konkretisiert (sog. Erstweisung). Der Verantwortliche kann Einzelweisungen erteilen; diese sind in Textform (z. B. per E-Mail an info.entdeckershop@gmx.de) zu erteilen oder, sofern mündlich erteilt, unverzüglich in Textform zu bestätigen. Die im Dienst angebotenen Konfigurationsmöglichkeiten (z. B. Preisregeln, Markup, Zielbestand, Aktivierung/Deaktivierung von Listings) gelten als dokumentierte Weisungen.
(3) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich zu informieren, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
(4) Weisungsberechtigte und weisungsempfangende Personen benennen die Parteien einander; Änderungen sind unverzüglich mitzuteilen.
§ 4 Vertraulichkeit
(1) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
(2) Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der Tätigkeit der jeweiligen Person und nach Beendigung dieses AVV fort.
(3) Der Auftragsverarbeiter stellt sicher, dass die mit der Verarbeitung betrauten Personen mit den einschlägigen Datenschutzbestimmungen vertraut und im erforderlichen Umfang in den Anforderungen des Datenschutzes unterwiesen sind. Da der Dienst derzeit durch den Auftragsverarbeiter (Dennis Brockhaus) selbst erbracht wird, ist dieser zur Vertraulichkeit verpflichtet; bei Hinzuziehung weiterer Mitarbeiter oder Beauftragter gelten die vorstehenden Pflichten entsprechend.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
(1) Der Auftragsverarbeiter trifft die zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus erforderlichen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Die konkret getroffenen Maßnahmen sind in Anlage 2 beschrieben.
(2) Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter darf die Maßnahmen anpassen und fortschreiben, soweit das vereinbarte Schutzniveau hierdurch nicht unterschritten wird. Wesentliche Änderungen, die das Schutzniveau betreffen, werden dokumentiert.
(3) Die in Anlage 2 beschriebenen Maßnahmen stellen eine Beschreibung des angestrebten Schutzes und keine absolute Garantie für die Sicherheit der Verarbeitung dar.
§ 6 Sub-Auftragsverarbeiter (Art. 28 Abs. 2 und 4 DSGVO)
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter sind in Anlage 3 aufgeführt und genehmigt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Sub-Auftragsverarbeitern, sodass der Verantwortliche die Möglichkeit hat, gegen solche Änderungen Einspruch zu erheben (Art. 28 Abs. 2 DSGVO). Die Information erfolgt in Textform mit einer angemessenen Vorlauffrist von mindestens zwei (2) Wochen vor der beabsichtigten Beauftragung.
(3) Widerspricht der Verantwortliche der Änderung innerhalb der genannten Frist nicht, gilt die Änderung als genehmigt. Erhebt der Verantwortliche aus einem wichtigen datenschutzrechtlichen Grund fristgerecht Einspruch und kann keine einvernehmliche Lösung gefunden werden, ist jede Partei berechtigt, den Hauptvertrag unter Beachtung einer angemessenen Frist zu kündigen.
(4) Der Auftragsverarbeiter verpflichtet jeden Sub-Auftragsverarbeiter mittels Vertrag oder eines anderen Rechtsinstruments zu im Wesentlichen denselben Datenschutzpflichten, wie sie in diesem AVV festgelegt sind, insbesondere zur Gewährleistung hinreichender Garantien für geeignete technische und organisatorische Maßnahmen (Art. 28 Abs. 4 DSGVO). Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Sub-Auftragsverarbeiters.
(5) Eine Übermittlung personenbezogener Daten an einen Sub-Auftragsverarbeiter in einem Drittland erfolgt nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, insbesondere durch Abschluss der EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) und ggf. ergänzende Maßnahmen. Einzelheiten ergeben sich aus Anlage 3.
(6) Als Sub-Auftragsverarbeiter im Sinne dieses Vertrags gelten nicht solche Drittanbieter, die der Auftragsverarbeiter lediglich als reine Daten-Zulieferer für nicht personenbezogene Produktinformationen (Amazon-Produktdaten) in Anspruch nimmt und denen keine personenbezogenen Daten des Verantwortlichen oder betroffener Personen übermittelt werden (vgl. Anlage 1 und Anlage 3). Stellt sich heraus, dass einem solchen Anbieter im Einzelfall doch personenbezogene Daten übermittelt werden, wird er als Sub-Auftragsverarbeiter behandelt und nach Maßgabe dieses Paragraphen eingebunden.
§ 7 Unterstützungspflichten des Auftragsverarbeiters
(1) Betroffenenrechte (Art. 12–23 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung ihrer Rechte (insbesondere Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) nachzukommen (Art. 28 Abs. 3 lit. e DSGVO).
(2) Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, leitet dieser das Ersuchen unverzüglich an den Verantwortlichen weiter und beantwortet es nicht selbst, sofern er hierzu nicht vom Verantwortlichen angewiesen ist.
(3) Sicherheit, Datenschutz-Folgenabschätzung und Vorabkonsultation (Art. 32–36 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten gemäß Art. 32 bis 36 DSGVO, insbesondere bei der Gewährleistung der Sicherheit der Verarbeitung, bei der Durchführung von Datenschutz-Folgenabschätzungen und bei etwaigen Vorabkonsultationen der Aufsichtsbehörde (Art. 28 Abs. 3 lit. f DSGVO).
(4) Der Auftragsverarbeiter kann für Unterstützungsleistungen, die über die gesetzlichen Pflichten und den vertraglich geschuldeten Leistungsumfang hinausgehen und einen erheblichen Aufwand verursachen, eine angemessene Vergütung verlangen, soweit dies gesetzlich zulässig ist.
§ 8 Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO)
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betrifft, unverzüglich nach Bekanntwerden (Art. 28 Abs. 3 lit. f, Art. 33 Abs. 2 DSGVO).
(2) Die Meldung enthält, soweit möglich, mindestens:
- eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der betroffenen Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;
- Name und Kontaktdaten einer Anlaufstelle für weitere Informationen.
(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Pflichten zur Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und zur Benachrichtigung der betroffenen Personen (Art. 34 DSGVO). Die Meldepflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen verbleibt beim Verantwortlichen.
§ 9 Löschung und Rückgabe nach Beendigung der Verarbeitung
(1) Nach Abschluss der Erbringung der Verarbeitungsleistungen ist der Auftragsverarbeiter nach Wahl des Verantwortlichen verpflichtet, alle personenbezogenen Daten entweder zu löschen oder zurückzugeben und die vorhandenen Kopien zu löschen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht (Art. 28 Abs. 3 lit. g DSGVO).
(2) Der Verantwortliche teilt seine Wahl (Löschung oder Rückgabe) in Textform mit. Trifft der Verantwortliche innerhalb von dreißig (30) Tagen nach Vertragsende keine Wahl, ist der Auftragsverarbeiter berechtigt, die personenbezogenen Daten – einschließlich der verschlüsselt gespeicherten eBay-Zugangsdaten – zu löschen.
(3) Die Löschung umfasst insbesondere die auf dem dedizierten Server gespeicherten Daten (SQLite-Datenbank mit Listings, Bestell-Metadaten und verschlüsselten Zugangsdaten). Vorhandene Sicherungskopien (Backups) werden im Rahmen des regulären Backup-Zyklus durch Überschreibung gelöscht, längstens jedoch innerhalb von dreißig (30) Tagen nach der Löschung der Produktivdaten.
(4) Die Dokumentation, die dem Nachweis der ordnungsgemäßen Verarbeitung dient, darf der Auftragsverarbeiter über das Vertragsende hinaus entsprechend den jeweiligen gesetzlichen Aufbewahrungsfristen aufbewahren.
§ 10 Nachweise und Kontrollen / Audits (Art. 28 Abs. 3 lit. h DSGVO)
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO und in diesem AVV niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
(2) Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden. Der Verantwortliche ist berechtigt, sich von der Einhaltung der Pflichten dieses AVV zu überzeugen.
(3) Kontrollen beim Auftragsverarbeiter sind mit angemessener Vorankündigung (in der Regel mindestens zwei (2) Wochen), während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs durchzuführen. Der Auftragsverarbeiter kann den Nachweis vorrangig durch geeignete Mittel erbringen, etwa durch Vorlage geeigneter Nachweise, Selbstauskünfte, eine Beschreibung der TOM oder – soweit vorhanden – durch aussagekräftige Zertifikate oder Prüfberichte.
(4) Soweit der Verantwortliche eine Vor-Ort-Kontrolle für erforderlich hält, trägt er die ihm hierdurch entstehenden Kosten selbst. Der Auftragsverarbeiter kann für einen über das übliche Maß hinausgehenden Aufwand bei der Unterstützung von Kontrollen eine angemessene Vergütung verlangen, soweit gesetzlich zulässig.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Anweisung im Rahmen einer Kontrolle gegen datenschutzrechtliche Vorschriften verstößt.
§ 11 Stellung des Auftragsverarbeiters, Haftung und Schlussbestimmungen
(1) Keine Zweck- und Mittelbestimmung durch den Auftragsverarbeiter (Art. 28 Abs. 10 DSGVO): Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich weisungsgebunden für den Verantwortlichen und entscheidet nicht selbst über die Zwecke und Mittel der Verarbeitung. Verstößt der Auftragsverarbeiter hiergegen und bestimmt er Zwecke und Mittel der Verarbeitung selbst, gilt er in Bezug auf diese Verarbeitung als Verantwortlicher (Art. 28 Abs. 10 DSGVO).
(2) Haftung: Für die Haftung der Parteien gelten die Regelungen des Art. 82 DSGVO sowie die ergänzenden gesetzlichen Bestimmungen. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags, soweit sie nicht zwingenden gesetzlichen Vorschriften widersprechen.
(3) Verantwortlichkeit des Verantwortlichen: Der Verantwortliche ist im datenschutzrechtlichen Sinne der für die Verarbeitung Verantwortliche. Er sichert zu, dass die Verarbeitung der Daten durch den Auftragsverarbeiter im Rahmen dieses AVV auf einer rechtmäßigen Grundlage erfolgt und dass insbesondere die Nutzung des eigenen eBay-Verkäuferkontos und die Verarbeitung der zugehörigen Daten den geltenden Bestimmungen, einschließlich der Nutzungsbedingungen der eingebundenen Plattformen, entspricht. Er ist für die Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich.
(4) Anwendbares Recht: Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts.
(5) Schriftform/Textform: Änderungen und Ergänzungen dieses AVV bedürfen mindestens der Textform; dies gilt auch für eine Änderung dieser Klausel. Mündliche Nebenabreden bestehen nicht.
(6) Vorrang: Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor (vgl. § 1).
(7) Salvatorische Klausel: Sollten einzelne Bestimmungen dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt diejenige wirksame und durchführbare Regelung als vereinbart, die dem mit der unwirksamen Bestimmung verfolgten wirtschaftlichen und datenschutzrechtlichen Zweck am nächsten kommt. Entsprechendes gilt für etwaige Regelungslücken.
(8) Gerichtsstand: Soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder keinen allgemeinen Gerichtsstand im Inland hat, ist Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV der Sitz des Auftragsverarbeiters. Zwingende gesetzliche Gerichtsstände bleiben unberührt.
Anlage 1 — Beschreibung der Verarbeitung
1. Gegenstand und Zweck der Verarbeitung
Erbringung der Dropnito-Managed-SaaS-Dienstleistung: automatisierte Anmeldung im eigenen eBay-Verkäuferkonto des Verantwortlichen mittels Browser-Automation, Erstellung und Pflege von eBay-Angeboten aus Amazon-Produktdaten, Überwachung von Preisen und Beständen sowie Wiederauffüllung von Angeboten nach Verkauf.
2. Art der Verarbeitung
Erheben, Erfassen, Auslesen, Organisieren, Speichern, Verändern, Verwenden, Übermitteln (an die Plattform eBay im Rahmen der vom Verantwortlichen gewünschten Angebotspflege) und Löschen der nachfolgend genannten Daten, im Wege automatisierter Verarbeitung.
3. Art der personenbezogenen Daten / verarbeitete Datenarten
Auf Grundlage einer Prüfung des eingesetzten Bot-Codes verarbeitet der Dienst keine personenbezogenen Daten von eBay-Käufern des Verantwortlichen (insbesondere keine Käufernamen, Lieferadressen, E-Mail-Adressen oder sonstigen Kontaktdaten). Verarbeitet werden ausschließlich:
- eBay-Zugangsdaten des Verantwortlichen (E-Mail-Adresse und Passwort des eBay-Verkäuferkontos). Diese betreffen den geschäftlichen Kunden selbst und werden verschlüsselt gespeichert (siehe Anlage 2).
- eBay-Artikel- und Bestell-Metadaten ohne Käuferbezug: Bestellnummer (orderId), eBay-Artikelnummer (ebayItemId), Bestandseinheit (SKU), Menge (qty), Artikeltitel (title) sowie errechnete Versandkosten (shippingEur). Der Artikeltitel ist hierbei der Produkttitel des eBay-Angebots, der aus dem Artikel-Link (/itm/) ausgelesen wird; er enthält keine Käuferdaten. Aus der eBay-Bestellseite werden ausweislich des Codes (Funktion
readRecentOrders) keine Käufer-, Adress- oder Kontaktfelder ausgelesen oder gespeichert. - Bot-interne Geschäftsdaten des Verantwortlichen: Listings, Preisregeln, Änderungswarteschlangen, verarbeitete Bestellungen (Tabelle
processed_ordersmit order_id, ebay_item_id, asin, sku, qty_sold, sale_price_eur, amazon_cost_eur, detected_at, refill_status) sowie Audit-Historie. Diese enthalten keine Daten betroffener Dritter. - Amazon-Produktdaten (Preis, Verfügbarkeit, Lieferzeit) ohne Personenbezug, bezogen über externe Daten-Zulieferer.
4. Kategorien betroffener Personen
- Der Verantwortliche selbst (geschäftlicher Kunde) als Inhaber des eBay-Verkäuferkontos, bezogen auf seine Zugangsdaten und Geschäftsdaten.
- Auf der Netz-/Steuerungsebene des Sub-Auftragsverarbeiters Tailscale Inc. können zudem Verbindungs- und Geräte-Metadaten (z. B. Geräte-Identifier, öffentliche Schlüssel, IP-Adressen) verarbeitet werden, die dem Verantwortlichen bzw. den von ihm eingesetzten administrativen Endgeräten zuzuordnen sind (siehe Anlage 3).
- Nach derzeitiger Prüfung des Bot-Codes keine weiteren betroffenen Personen (insbesondere keine eBay-Käufer). Sollte der Verantwortliche durch Konfiguration oder künftige Funktionen eine Verarbeitung personenbezogener Käuferdaten veranlassen, ist diese Anlage entsprechend anzupassen.
5. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Werden nicht verarbeitet.
6. Dauer der Verarbeitung: Für die Laufzeit des Hauptvertrags; im Übrigen gilt § 9 dieses AVV.
Anlage 2 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter hat die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen umgesetzt. Sie spiegeln das tatsächliche technische Setup von Dropnito wider und können im Rahmen der technischen Weiterentwicklung fortgeschrieben werden, ohne das Schutzniveau zu unterschreiten.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Mandantentrennung: Pro Kunde wird ein eigener, dedizierter Server betrieben. Daten verschiedener Kunden werden auf getrennten Servern und in getrennten Datenbanken verarbeitet; ein Server enthält nicht die Daten anderer Kunden.
- Zugangs-/Zugriffskontrolle: Der administrative Zugriff auf die Server erfolgt ausschließlich über ein privates, verschlüsseltes Netzwerk (Tailscale, basierend auf dem WireGuard-Protokoll). Der direkte öffentliche Zugriff ist eingeschränkt.
- Verschlüsselte Speicherung der Zugangsdaten: Die eBay-Zugangsdaten des Verantwortlichen (E-Mail und Passwort) werden mit AES-256-GCM verschlüsselt gespeichert (256-Bit-Schlüssel, zufälliger 12-Byte-Initialisierungsvektor je Datensatz, 16-Byte-Authentifizierungs-Tag). Der Schlüssel wird aus einer Umgebungsvariablen (EBAY_CRED_KEY, 64-stelliger Hex-Wert) oder einer lokalen, zugriffsbeschränkten Schlüsseldatei (.ebay-cred.key, Dateirechte 600) bezogen. Das Klartext-Passwort wird nicht protokolliert und nicht an die Benutzeroberfläche ausgegeben; es wird ausschließlich zur Anmeldung an die Browser-Automation (Playwright) sowie zum vom Verantwortlichen veranlassten automatischen Re-Login verwendet.
- Kein Zugriff der Sub-Auftragsverarbeiter auf Klartext-Zugangsdaten: Die Zugangsdaten liegen lokal verschlüsselt vor; Sub-Auftragsverarbeiter erhalten keinen Zugriff auf die entschlüsselten Zugangsdaten.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Transportverschlüsselung: Die administrative Kommunikation mit dem Server erfolgt über das verschlüsselte Tailscale/WireGuard-Netz; die Kommunikation mit den Plattformen erfolgt über TLS/HTTPS.
- Authentizität der gespeicherten Zugangsdaten: Durch das AES-256-GCM-Verfahren mit Authentifizierungs-Tag werden unbemerkte Veränderungen der verschlüsselten Zugangsdaten erkannt.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)
- Hosting in Deutschland: Die Server werden in einem Rechenzentrum in Deutschland (Contabo GmbH) betrieben.
- Backups: Datensicherungen werden vorgehalten, um die Wiederherstellbarkeit der Daten zu unterstützen; zur Löschung siehe § 9 Abs. 3 dieses AVV.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)
- Überprüfung und Fortschreibung der getroffenen Maßnahmen bei wesentlichen technischen Änderungen sowie anlassbezogen.
- Datenminimierung: Es werden ausschließlich die für den Dienst erforderlichen Daten verarbeitet; insbesondere werden keine personenbezogenen Käuferdaten erhoben (vgl. Anlage 1).
Hinweis: Die vorstehenden Maßnahmen beschreiben den nach dem Stand der Technik und unter Berücksichtigung der Verarbeitungsrisiken angemessenen Schutz. Sie stellen keine absolute Gewährleistung der Sicherheit dar.
Anlage 3 — Genehmigte Sub-Auftragsverarbeiter
Der Verantwortliche genehmigt die Hinzuziehung der nachfolgenden Sub-Auftragsverarbeiter (allgemeine Genehmigung nach § 6 dieses AVV):
1. Contabo GmbH
- Leistung/Zweck: Hosting und Datenspeicherung des dedizierten Bot-Servers (einschließlich der SQLite-Datenbank mit Listings, Bestell-Metadaten und den verschlüsselt gespeicherten eBay-Zugangsdaten).
- Ort der Verarbeitung: Deutschland (Rechenzentrum/VPS).
- Drittlandbezug: Keiner.
2. Tailscale Inc.
- Leistung/Zweck: Bereitstellung eines privaten, verschlüsselten Netzwerk-/VPN-Transports (auf Basis von WireGuard) für den sicheren administrativen Zugriff auf den Bot-Server.
- Verarbeitete Daten: Die zwischen den Endpunkten übertragenen Inhaltsdaten werden Ende-zu-Ende (WireGuard) verschlüsselt transportiert und sind für den Sub-Auftragsverarbeiter nicht im Klartext einsehbar. Auf der Steuerungs-/Koordinationsebene verarbeitet der Sub-Auftragsverarbeiter jedoch Verbindungs- und Geräte-Metadaten (z. B. Geräte-Identifier, öffentliche Schlüssel, Zeitstempel und IP-Adressen), die personenbezogene Daten des Verantwortlichen bzw. der von ihm eingesetzten administrativen Endgeräte sein können.
- Ort der Verarbeitung: Die Inhaltsdaten verbleiben transportverschlüsselt; die Steuerungs-/Koordinationsebene wird durch ein Unternehmen mit Sitz in den USA betrieben (Drittlandbezug).
- Drittlandgarantien: Für die in den USA betriebene Steuerungs-/Koordinationsebene werden die EU-Standardvertragsklauseln (SCC) als geeignete Garantie nach Art. 46 DSGVO herangezogen, ggf. ergänzt durch zusätzliche technische und organisatorische Maßnahmen. Den Sub-Auftragsverarbeiter werden über das verschlüsselte Transportverfahren keine entschlüsselten Inhaltsdaten zugänglich gemacht.
3. Reine Daten-Zulieferer für Amazon-Produktdaten (keine Sub-Auftragsverarbeiter im Sinne des Art. 28 DSGVO)
Die nachfolgenden Anbieter liefern ausschließlich nicht personenbezogene Amazon-Produktdaten (Preis, Verfügbarkeit, Lieferzeit). Ihnen werden keine personenbezogenen Daten des Verantwortlichen oder betroffener Personen übermittelt; sie gelten daher nicht als Sub-Auftragsverarbeiter und werden hier nur informationshalber genannt:
- Keepa GmbH — Produktpreis-/Verfügbarkeitsdaten (Keepa-API).
- Oxylabs — Ermittlung von Lieferdaten/-zeiten.
- Rainforest API — Fallback für Amazon-Produktdaten.
Sollte sich herausstellen, dass einem dieser Anbieter im Einzelfall doch personenbezogene Daten übermittelt werden, wird dieser Anbieter als Sub-Auftragsverarbeiter behandelt und nach § 6 dieses AVV vertraglich eingebunden sowie in diese Anlage aufgenommen.
Dropnito ist ein Angebot von Dennis Brockhaus · Impressum · Datenschutz · AGB