Auftragsverarbeitungsvertrag (AVV)
Dieser AVV nach Art. 28 DSGVO ist Bestandteil des Vertrags zwischen dem Kunden (Verantwortlicher) und der Velocity Labs GmbH (Auftragsverarbeiter) und wird vor Beginn der Verarbeitung gesondert abgeschlossen.
1. Präambel & Rollen
Dieser Auftragsverarbeitungsvertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen der Nutzung von SellerAuto nach Art. 28 DSGVO. Der Kunde ist Verantwortlicher, die Velocity Labs GmbH (Reutlinger Str. 27, D-72501 Gammertingen) ist Auftragsverarbeiter. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Dieser AVV geht bei Widersprüchen zu datenschutzrechtlichen Regelungen dem Hauptvertrag vor.
2. Gegenstand, Art, Zweck & Dauer
Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1. Die Verarbeitung erfolgt für die Laufzeit des Hauptvertrags; mit dessen Beendigung endet auch dieser AVV (vorbehaltlich der Regelungen zu Löschung/Rückgabe, Ziffer 10).
3. Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Weisungen erfolgen in der Regel durch Nutzung der Funktionen der Software-Oberfläche sowie ergänzend in Textform (z. B. per E-Mail an datenschutz@velocity-labs.de); mündliche Weisungen sind unverzüglich in Textform zu bestätigen. Weisungsberechtigt sind die im Hauptvertrag benannten Ansprechpartner sowie die im Kundenkonto als Administrator hinterlegten Nutzer. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich; er darf die Weisung bis zur Bestätigung oder Änderung aussetzen.
4. Vertraulichkeit
Der Auftragsverarbeiter verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO), soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.
5. Technische & organisatorische Maßnahmen (Art. 32 DSGVO)
Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen und hält ein dem Risiko angemessenes Schutzniveau (Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit) sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit aufrecht. Maßnahmen dürfen fortentwickelt werden, sofern das Schutzniveau nicht unterschritten wird.
6. Inanspruchnahme weiterer Auftragsverarbeiter (Sub-Auftragsverarbeiter)
Der Verantwortliche erteilt die allgemeine schriftliche Genehmigung zur Hinzuziehung der in Anlage 3 aufgeführten Sub-Auftragsverarbeiter.
Beabsichtigt der Auftragsverarbeiter, einen Sub-Auftragsverarbeiter hinzuzufügen oder zu ersetzen, informiert er den Verantwortlichen vorab in Textform. Der Verantwortliche kann der Änderung aus wichtigem, datenschutzbezogenem Grund innerhalb von 14 Tagen nach Zugang der Information widersprechen. Widerspricht er, bemüht sich der Auftragsverarbeiter, die Leistung ohne den betreffenden Sub-Auftragsverarbeiter zu erbringen; ist dies mit zumutbarem Aufwand nicht möglich, steht beiden Parteien ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.
Kettenvertrag (Art. 28 Abs. 4 DSGVO): Der Auftragsverarbeiter erlegt jedem Sub-Auftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem AVV festgelegt sind, insbesondere hinreichende Garantien für geeignete technische und organisatorische Maßnahmen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung von dessen Pflichten.
7. Unterstützung bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen (Art. 12–23 DSGVO). Geht ein Antrag unmittelbar beim Auftragsverarbeiter ein, leitet er diesen unverzüglich an den Verantwortlichen weiter. Über den gesetzlich geschuldeten angemessenen Umfang hinausgehende Leistungen kann der Auftragsverarbeiter nach Aufwand zu seinen jeweils gültigen Stundensätzen berechnen.
8. Unterstützung bei Sicherheit, DSFA & Konsultation (Art. 32–36 DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm verfügbaren Informationen bei der Einhaltung der Pflichten aus Art. 32 (Sicherheit), Art. 35 (Datenschutz-Folgenabschätzung) und Art. 36 (vorherige Konsultation) DSGVO.
9. Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33)
Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich (ohne unbillige Verzögerung), in der Regel innerhalb von 48 Stunden nach Kenntniserlangung. Die Meldung enthält mindestens eine Beschreibung der Art der Verletzung (soweit möglich mit Kategorien und Zahl der betroffenen Personen und Datensätze), die wahrscheinlichen Folgen, die ergriffenen bzw. vorgeschlagenen Gegenmaßnahmen sowie eine Kontaktstelle. Der Auftragsverarbeiter trifft unverzüglich die zur Sicherung der Daten erforderlichen Maßnahmen.
10. Löschung & Rückgabe
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht oder übergibt der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Bestehende Kopien werden gelöscht, soweit gesetzlich zulässig.
11. Nachweise & Überprüfungen / Audits (Art. 28 Abs. 3 lit. h)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen —, die der Verantwortliche oder ein von ihm beauftragter, zur Verschwiegenheit verpflichteter Prüfer durchführt. Solche Überprüfungen erfolgen nach angemessener Vorankündigung (in der Regel mindestens vier Wochen), während der üblichen Geschäftszeiten und ohne unzumutbare Beeinträchtigung des Betriebs. Nachweise können auch durch geeignete Zertifizierungen, Testate oder aktuelle Prüfberichte erbracht werden. Über den gesetzlich geschuldeten Umfang hinausgehende Überprüfungen kann der Auftragsverarbeiter nach Aufwand berechnen.
12. Übermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in ein Drittland erfolgt nur auf Grundlage geeigneter Garantien nach Kapitel V DSGVO, insbesondere der Standardvertragsklauseln der EU-Kommission (Modul 3, Auftragsverarbeiter → Sub-Auftragsverarbeiter) bzw. — soweit der Empfänger zertifiziert ist — des EU-US Data Privacy Framework. Für die auf Standardvertragsklauseln gestützten Übermittlungen wurde ein Transfer Impact Assessment (TIA) durchgeführt; es ist gesondert dokumentiert und wird auf Anfrage bereitgestellt.
13. Haftung & Schlussbestimmungen
Im Übrigen gelten die Regelungen des Hauptvertrags und unserer AGB. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Anlage 1 — Gegenstand der Verarbeitung
| Gegenstand | Bereitstellung der SaaS-Anwendung „SellerAuto" zur Analyse, Auswertung und Optimierung von Amazon-Verkaufsdaten, einschließlich KI-gestützter Empfehlungen. |
|---|---|
| Art der Verarbeitung | Erheben, Speichern, Auslesen, Auswerten, Übermitteln (an genehmigte Sub-Auftragsverarbeiter), Löschen. |
| Zweck | Erbringung der vertraglich vereinbarten Leistungen für den Verantwortlichen. |
| Art der Daten | aus dem Amazon-Konto des Verantwortlichen stammende Geschäfts-/Transaktionsdaten (soweit personenbezogen, z. B. Bestell- und Käuferangaben); hinterlegte Zugangsdaten/API-Schlüssel; Stamm-/Nutzungsdaten der Nutzer/Mitarbeiter des Verantwortlichen (z. B. E-Mail, Name). |
| Betroffene Personen | Endkunden des Verantwortlichen; Nutzer/Mitarbeiter des Verantwortlichen. |
| Dauer | Laufzeit des Hauptvertrags. |
Anlage 2 — Technische & organisatorische Maßnahmen (Art. 32 DSGVO)
Vertraulichkeit:
- Zutrittskontrolle: Betrieb in Rechenzentren der netcup GmbH (Deutschland, EU) mit den physischen Schutz-/Zutrittsmaßnahmen des RZ-Betreibers.
- Zugangskontrolle: nutzergebundene Authentifizierung (E-Mail + Passwort; Passwörter ausschließlich als Hash); verpflichtende E-Mail-Verifizierung; Mehr-Faktor-Authentifizierung verfügbar.
- Zugriffskontrolle: berechtigungs- und rollengeprüfter Zugriff; Zugangsdaten des Kunden nur über einen gekapselten Dienst entschlüsselbar; keine Klartext-Speicherung; Protokollierung der Nutzung sicherheitsrelevanter Zugangsdaten.
- Trennungskontrolle: logische Mandantentrennung der Daten je Kunde.
- Pseudonymisierung/Verschlüsselung: Envelope-Verschlüsselung der hinterlegten API-Schlüssel mit dem Verfahren „Fernet" (AES-128 im CBC-Modus mit HMAC-SHA256); pro Datensatz eigener Datenschlüssel (DEK), verschlüsselt mit einem als Umgebungsvariable außerhalb der Datenbank gehaltenen Hauptschlüssel (KEK); Schlüsselrotation des KEK ohne Neuverschlüsselung der Nutzlast möglich.
Integrität:
- Weitergabekontrolle: Transportverschlüsselung (TLS) bei jeder Übertragung; keine Speicherung von Zugangsdaten im Klartext.
- Eingabekontrolle: Protokollierung sicherheitsrelevanter Vorgänge.
Verfügbarkeit & Belastbarkeit: regelmäßige Datensicherungen; Betrieb innerhalb der EU; Maßnahmen zur Wiederherstellbarkeit nach einem Zwischenfall.
Verfahren zur regelmäßigen Überprüfung: automatisierte Tests und Continuous-Integration vor jeder Auslieferung; automatisierte Secret-/Leak-Prüfung und Code-Review; regelmäßige Überprüfung der Wirksamkeit der Maßnahmen.
Anlage 3 — Sub-Auftragsverarbeiter
Nur Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der SaaS-Leistung verarbeiten:
| Dienst | Zweck | Sitz / Region | Transfer-Mechanismus |
|---|---|---|---|
| netcup GmbH | Hosting, Datenbank, E-Mail-Versand | Deutschland (EU) | kein Drittland |
| PostHog | Produktanalyse (cookielos) | EU | kein Drittland |
| Ollama Cloud | KI-Empfehlungen (nur aggregierte Geschäfts-/Produktdaten, keine Käuferdaten) | USA | Standardvertragsklauseln (Modul 3); TIA durchgeführt |
Nicht als Sub-Auftragsverarbeiter im Sinne dieses AVV geführt (siehe Datenschutzerklärung bzw. Leistungsbeschreibung): Stripe (Zahlungsabwicklung, eigenständiger Verantwortlicher; keine Verarbeitung der Amazon-Kundendaten) sowie ScraperAPI und Omkar Cloud (ausschließlich öffentlich zugängliche Wettbewerbsdaten, keine personenbezogenen Daten des Verantwortlichen oder seiner Endkunden).
Stand: Juni 2026.