Auftragsverarbeitungsvertrag
Stand: April 2026
§ 1 Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag (AVV) regelt die Verarbeitung personenbezogener Daten durch AfterCost (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der AfterCost SaaS-Plattform gemäß Art. 28 DSGVO.
Die Laufzeit dieses AVV ist an den Hauptvertrag (AGB) gebunden. Er endet automatisch mit Beendigung der Nutzung der AfterCost-Plattform.
§ 2 Zweck der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:
- Betrieb der SaaS-Plattform (Profit-Tracking für Marktplatz-Händler)
- Nutzerkontenverwaltung und Authentifizierung
- Synchronisation und Analyse von Geschäftsdaten via Kaufland Seller API
- Transaktionale E-Mails (Registrierung, Passwort-Reset, Benachrichtigungen)
§ 3 Arten personenbezogener Daten
Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
- E-Mail-Adressen der Kontonutzer
- Namen der Kontonutzer
- Unternehmensnamen
- Nutzungsdaten (Login-Zeiten, aufgerufene Seiten)
- Technische Daten (IP-Adressen in Server-Logs)
Endkundendaten (Namen, Adressen, Kontaktdaten von Bestellern) werden weder erhoben noch gespeichert. AfterCost verarbeitet ausschließlich aggregierte Bestelldaten (Umsätze, Gebühren, Retouren) ohne Personenbezug der Endkunden.
§ 4 Kategorien betroffener Personen
Beschäftigte und Beauftragte des Verantwortlichen, die über einen Zugang zur AfterCost-Plattform verfügen (Kontoinhaber, Team-Mitglieder, eingeladene Nutzer).
§ 5 Pflichten des Verantwortlichen
Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er erteilt alle Weisungen bezüglich der Verarbeitung personenbezogener Daten, stellt die Einhaltung des Grundsatzes der Datenminimierung sicher und informiert die betroffenen Personen über die Datenverarbeitung gemäß Art. 13/14 DSGVO.
§ 6 Pflichten des Auftragsverarbeiters
(1) Weisungsbindung. AfterCost verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
(2) Vertraulichkeit. Alle Personen, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet.
(3) Technische und organisatorische Maßnahmen. AfterCost trifft die in § 9 beschriebenen Maßnahmen zum Schutz personenbezogener Daten.
(4) Betroffenenrechte. AfterCost unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch).
(5) Datenschutz-Folgenabschätzung. AfterCost unterstützt den Verantwortlichen bei der Durchführung einer DSFA, soweit erforderlich.
(6) Löschung. Nach Beendigung des Hauptvertrags werden personenbezogene Daten gemäß AGB § 7 gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
§ 7 Unterauftragsverarbeiter
Der Verantwortliche erteilt eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. AfterCost informiert über jede Änderung mit einer Frist von 14 Tagen. Bei berechtigtem Widerspruch besteht ein Sonderkündigungsrecht.
Aktuell eingesetzte Unterauftragsverarbeiter:
| Dienstleister | Zweck | Standort | Garantie |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) | DPA, SOC 2 |
| Vercel Inc. | Hosting, CDN | EU (Frankfurt) | DPA, SOC 2 |
| Stripe Inc. | Zahlungsabwicklung | Irland/USA | DPA, EU-US DPF |
| Resend | Transaktionale E-Mails | USA (Verarbeitung: EU-Region Irland) | DPA, EU-US DPF |
| Sentry (Functional Software Inc.) | Error Monitoring | USA (Verarbeitung: EU-Region Frankfurt) | DPA, EU-US DPF |
| Hetzner Online GmbH | API-Server (VPS) | DE (Nürnberg) | AVV, ISO 27001 |
| Cloudflare Inc. | DNS, CDN, E-Mail-Routing | USA/EU | DPA, EU-US DPF, SCC |
| Axiom Inc. | Log-Aggregation | USA | DPA, EU-US DPF |
§ 8 Kontrollrechte
Der Verantwortliche hat das Recht, jährlich Auskünfte über die Einhaltung dieses AVV zu verlangen. Vor-Ort-Kontrollen sind mit einer Ankündigungsfrist von 30 Tagen möglich und werden zu üblichen Geschäftszeiten durchgeführt.
§ 9 Technische und organisatorische Maßnahmen (TOMs)
Vertraulichkeit
- TLS 1.2+ für alle Datenübertragungen, AES-256 Verschlüsselung at rest
- Row-Level Security (RLS) auf Datenbankebene, JWT-basierte Authentifizierung
- Rollenkonzept: Owner/Admin/Member mit Least-Privilege-Prinzip
- MFA für alle Admin-Zugänge (Vercel, Supabase, GitHub)
- Secrets in Umgebungsvariablen, keine Hardcodierung im Quellcode
Verfügbarkeit und Wiederherstellung
- Serverless Hosting mit Auto-Scaling und DDoS-Schutz
- Automatische tägliche Datenbank-Backups
- Point-in-Time Recovery
- Git-Versionierung aller Deployments, Rollback jederzeit möglich
Regelmäßige Überprüfung
- Dependency-Checks via npm audit und Dependabot
- Regelmäßige Security-Updates aller Abhängigkeiten
§ 10 Meldung von Datenschutzverletzungen
AfterCost meldet jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung an den Verantwortlichen. Die Meldung enthält Art der Verletzung, betroffene Datenkategorien, geschätzte Anzahl betroffener Personen und ergriffene Gegenmaßnahmen. AfterCost unterstützt bei der Erfüllung der behördlichen Meldepflicht gemäß Art. 33 DSGVO.
§ 11 Haftung
Die Haftung richtet sich nach Art. 82 DSGVO. Jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter haftet für den Schaden, der durch eine nicht DSGVO-konforme Verarbeitung verursacht wird. Im Übrigen gelten die Haftungsregelungen der AGB.
§ 12 Drittlandtransfers
Soweit Unterauftragsverarbeiter in Drittländern (USA) eingesetzt werden, erfolgt der Transfer auf Grundlage des EU-US Data Privacy Framework (DPF). Als Fallback werden Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart. Die primäre Datenhaltung erfolgt in EU-Rechenzentren (Frankfurt).
§ 13 Schlussbestimmungen
Dieser AVV unterliegt deutschem Recht. Änderungen und Ergänzungen bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (salvatorische Klausel).