Mustervereinbarung gemäß Art. 28 DSGVO · Stand: 2025
Auftragsverarbeiter (Anbieter):
Salah Yousefi (ShopManage)
Im Bans 15, 25421 Pinneberg, Deutschland
E-Mail: [email protected]
Telefon: +49 155 65444829
USt-IdNr.: DE457240251
Verantwortlicher (Kunde):
Name: ______________________________
Firma: ______________________________
Anschrift: ______________________________
E-Mail: ______________________________
USt-IdNr.: ______________________________
Die Vertragsparteien sind mit dem Nutzungsvertrag über die SaaS-Plattform ShopManage ein Auftragsverarbeitungsverhältnis eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu konkretisieren, schließen die Vertragsparteien diese Vereinbarung.
(1) Die Vereinbarung findet Anwendung auf die Verarbeitung (Art. 4 Nr. 2 DSGVO) aller personenbezogenen Daten, die im Rahmen der Nutzung der SaaS-Plattform ShopManage durch den Verantwortlichen anfallen und auf Weisung des Verantwortlichen verarbeitet werden. Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters.
(2) Diese Vereinbarung gilt vorrangig vor anderen Vereinbarungen zwischen den Parteien, es sei denn, etwas anderes wird ausdrücklich vereinbart.
(1) Gegenstand und Dauer: Die Auftragsverarbeitung erfolgt für die Laufzeit des Nutzungsvertrages über die SaaS-Plattform ShopManage und endet mit dessen Beendigung.
(2) Zweck der Verarbeitung: Bereitstellung der SaaS-Funktionen (eBay-Synchronisation, KI-gestützte Nachrichtenbearbeitung, Bestellverwaltung, Versandlabel-Erstellung).
(3) Art der personenbezogenen Daten:
(4) Kategorien betroffener Personen: Endkunden (Käufer) des Verantwortlichen, die über eBay mit dem Verantwortlichen in Geschäftsbeziehung treten.
(5) Im Rahmen der Auftragsverarbeitung werden keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet.
(6) Die verarbeiteten personenbezogenen Daten haben einen normalen Schutzbedarf.
(1) Die Vertragsparteien sind verpflichtet, die ihnen durch datenschutzrechtliche Vorschriften (insbesondere die DSGVO) auferlegten Pflichten einzuhalten. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der Verarbeitung der Daten verlangen.
(2) Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch geeignete technische und organisatorische Maßnahmen.
(3) Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird dieser das Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
(4) Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten. Die initialen Weisungen ergeben sich aus dem Nutzungsvertrag und den Funktionen der SaaS-Plattform. Spätere Weisungen können per E-Mail oder über das Kundenkonto in dokumentierter Form geändert werden.
(5) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn eine Weisung nach seiner Meinung gegen datenschutzrechtliche Vorschriften verstößt. Die Ausführung kann bis zur Klärung ausgesetzt werden.
(6) Auskünfte an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher Zustimmung des Verantwortlichen erteilen.
(7) Kopien und Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt.
(8) Die Verarbeitung der Daten findet ausschließlich auf dem Gebiet der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) statt. Soweit Unterauftragsverarbeiter mit Sitz in Drittstaaten (z. B. USA) zum Einsatz kommen (siehe § 8), wird dies durch das EU-U.S. Data Privacy Framework oder Standardvertragsklauseln abgesichert.
(9) Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DSGVO.
(1) Der Auftragsverarbeiter gewährleistet, dass alle zur Verarbeitung befugten Personen vertraglich zur Vertraulichkeit verpflichtet sind oder einer gesetzlichen Verschwiegenheitspflicht unterliegen.
(2) Der Auftragsverarbeiter ist nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (kein Erreichen der Schwelle nach § 38 BDSG). Ansprechpartner für Datenschutzfragen ist: Salah Yousefi, [email protected].
(3) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen oder Anfragen der Aufsichtsbehörden, sofern diese die Verarbeitung im Auftrag betreffen.
Die konkreten technisch-organisatorischen Maßnahmen sind im Anhang „TOM" am Ende dieser Vereinbarung festgelegt und Bestandteil dieser Vereinbarung.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieser Maßnahmen nachzuweisen. Überprüfungen können nach Vorankündigung zu üblichen Geschäftszeiten erfolgen.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich (innerhalb von 24 Stunden nach Kenntnis) über jede Verletzung des Schutzes personenbezogener Daten und unterstützt ihn bei der Erfüllung der Meldepflichten nach Art. 33 und 34 DSGVO. Die Meldung erfolgt per E-Mail an die im Kundenkonto hinterlegte Adresse.
(1) Nach Beendigung des Nutzungsvertrags hat der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten dem Verantwortlichen auf Verlangen zurückzugeben (z. B. als CSV-Export) oder datenschutzgerecht zu löschen.
(2) Die Daten werden innerhalb von 30 Tagen nach Vertragsbeendigung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. Steuerrecht: 10 Jahre für Rechnungsdaten).
(3) Backups mit personenbezogenen Daten werden innerhalb der jeweiligen Backup-Rotation (max. 14 Tage) automatisch überschrieben.
(1) Der Verantwortliche erteilt eine allgemeine Genehmigung zur Beauftragung der im Anhang „Unterauftragsverarbeiter" aufgeführten Subunternehmer. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens vier Wochen im Voraus über beabsichtigte Änderungen.
(2) Der Auftragsverarbeiter stellt sicher, dass alle Unterauftragsverarbeiter ein Datenschutzniveau gewährleisten, das mindestens dieser Vereinbarung entspricht.
Der Auftragsverarbeiter ermöglicht dem Verantwortlichen oder einem von ihm beauftragten Prüfer Überprüfungen zu üblichen Geschäftszeiten nach vorheriger Ankündigung von mindestens zwei Wochen. Diese Überprüfungen können auch durch Vorlage aktueller Testate, Zertifikate oder Berichte unabhängiger Prüfer erfolgen.
Für die Haftung gelten die Regelungen des Art. 82 DSGVO sowie die Haftungsbeschränkungen des Nutzungsvertrags / der AGB des Auftragsverarbeiters.
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform (auch elektronisch).
(2) Sollten einzelne Regelungen dieser Vereinbarung unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.
(3) Es gilt deutsches Recht. Ausschließlicher Gerichtsstand ist Pinneberg.
Gemäß Art. 32 DSGVO setzt der Auftragsverarbeiter folgende Maßnahmen um:
| Maßnahme | Umsetzung |
|---|---|
| Pseudonymisierung und Verschlüsselung | Passwörter via bcrypt-Hash · OAuth-Tokens AES-256-verschlüsselt · Übertragung via HTTPS/TLS 1.2+ · Cloudflare-TLS-Proxy |
| Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit | Strikte Mandantentrennung über user_id-Filter in allen DB-Queries · Pool-Pre-Ping gegen vergiftete Connections · Systemd-Auto-Restart bei Crashes |
| Wiederherstellbarkeit | Tägliche PostgreSQL-Backups (pg_dump) · 14 Tage Rotation · Wiederherstellung getestet |
| Regelmäßige Überprüfung der Wirksamkeit | Code-Reviews bei Schema-Änderungen · Multi-Tenancy-Audits · Alembic-Migrationen versioniert |
| Identifizierung und Autorisierung | E-Mail/Passwort-Login · CSRF-Schutz · Session-Cookies mit Secure/HttpOnly/SameSite=Lax · Audit-Log aller sensitiven Zugriffe |
| Schutz während Übermittlung | HTTPS erzwungen (HSTS max-age 1 Jahr + preload) · HTTP→HTTPS 301-Redirect · TLS für Drittanbieter-APIs (eBay, Stripe, KI) |
| Schutz während Speicherung | PostgreSQL mit Zugriffsbeschränkung auf Datenbankebene · Tokens verschlüsselt · Backups verschlüsselt komprimiert |
| Physische Sicherheit | Hosting auf Server in Deutschland · Zutritt nur durch berechtigte Person · Cloudflare als CDN/DDoS-Schutz davor |
| Protokollierung von Ereignissen | Server-Log-Files (14 Tage) · Audit-Log für sensitive Datenzugriffe (90 Tage) · Error-Log mit Stacktraces im Admin-Panel |
| Systemkonfiguration | Versionierte Migrations (Alembic) · Environment-Variablen für Secrets (nicht im Code) · Reproduzierbare Deploys via systemd-Service |
| IT-Governance | Solo-Inhaber (Salah Yousefi) verantwortlich für IT-Sicherheit · Klare Eskalations-E-Mail ([email protected]) |
| Datenminimierung | Nur erforderliche Daten gespeichert · Keine Käufer-E-Mail-Adressen über eBay-Anonymisierung hinaus · Keine Drittanbieter-Tracker |
| Datenqualität | Echtzeit-Sync mit eBay (Quelldaten) · Validierung bei Eingabe · Periodischer Order-Sync alle 15 Min |
| Begrenzte Speicherdauer | Server-Logs 14 Tage · Audit-Log 90 Tage · Nutzerdaten 30 Tage nach Vertragsende · Steuerpflichtige Daten 10 Jahre |
| Rechenschaftspflicht | Verzeichnis von Verarbeitungstätigkeiten geführt · Datenschutzerklärung dokumentiert · Diese AVV abrufbar unter /avv |
| Datenübertragbarkeit / Löschung | CSV-Export aller Daten möglich (Settings → Exporte) · Konto-Löschung über Kontaktanfrage |
Der Verantwortliche genehmigt allgemein die Beauftragung folgender Unterauftragsverarbeiter:
| Anbieter | Zweck / Datenkategorie |
|---|---|
| Cloudflare, Inc. 101 Townsend St, San Francisco, CA, USA |
CDN, DDoS-Schutz, TLS-Terminierung. IP-Adressen, HTTP-Header. Abgesichert durch EU-U.S. Data Privacy Framework + Standardvertragsklauseln. |
| Stripe, Inc. 510 Townsend St, San Francisco, CA, USA |
Zahlungsabwicklung. Zahlungsdaten des Verantwortlichen (Kunden). EU-U.S. DPF zertifiziert. |
| eBay GmbH Albert-Einstein-Ring 2–6, 14532 Kleinmachnow, DE |
Plattform-Anbindung. Auf Weisung des Verantwortlichen — eBay ist gleichzeitig Datenquelle und Datenempfänger für eigene Operationen. |
| Resend, Inc. 2261 Market Street #5039, San Francisco, CA, USA |
Versand transaktionaler E-Mails (Verifizierung, Zahlungshinweise). E-Mail-Adresse des Empfängers. EU-Standardvertragsklauseln. |
| Google LLC (Google Cloud / Gemini API) 1600 Amphitheatre Parkway, Mountain View, CA, USA |
KI-Schnittstelle (Gemini). Nachrichteninhalte zur Übersetzung/Generierung. EU-U.S. DPF + Standardvertragsklauseln. |
| Anthropic PBC 548 Market St, San Francisco, CA, USA |
KI-Schnittstelle (Claude) für komplexe Nachrichtenbearbeitung. Nachrichteninhalte. Vertraglich kein Training. Standardvertragsklauseln. |
| Groq, Inc. 400 Castro St, Mountain View, CA, USA |
KI-Schnittstelle (Llama-Inferenz) für Standard-Antworten. Nachrichteninhalte. Vertraglich kein Training. Standardvertragsklauseln. |
| Deutsche Post AG Charles-de-Gaulle-Str. 20, 53113 Bonn, DE |
Internetmarke-Versandlabel-Erstellung. Empfänger-Adressdaten der Endkunden. |
| DHL Paket GmbH Sträßchensweg 10, 53113 Bonn, DE |
Paket-Versand und Tracking. Empfänger-Adressdaten der Endkunden. |
Änderungen an dieser Liste werden mit einer Frist von vier Wochen per E-Mail an den Verantwortlichen angekündigt. Widerspricht der Verantwortliche nicht innerhalb dieser Frist, gilt die Änderung als genehmigt.
Datum, Ort · Verantwortlicher
Name, Vorname, Funktion
Pinneberg, ____________
Datum, Ort · Auftragsverarbeiter
Salah Yousefi, Inhaber
Name, Vorname, Funktion
Diese Mustervereinbarung orientiert sich an der „Mustervereinbarung zur Auftragsverarbeitung, Version 2.1" und ist auf die SaaS-Plattform ShopManage zugeschnitten.