Zurück

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit der Nutzung der SaaS-Plattform Kommora. Er ergänzt die Allgemeinen Geschäftsbedingungen (AGB) und die Datenschutzerklärung und wird mit Abschluss der Registrierung wirksam.

§1Vertragsparteien

Auftraggeber (Verantwortlicher):

Der jeweilige registrierte Nutzer der Plattform Kommora, der im Rahmen der Registrierung seine Kontaktdaten angegeben hat.

Auftragsverarbeiter:

Björn David
Spelzenhofstr. 37
67678 Mehlingen, Deutschland
E-Mail: info@kommora.de
Tel.: 017663422619

§2Gegenstand und Dauer der Verarbeitung

2.1 Der Auftragsverarbeiter stellt dem Auftraggeber eine Software-as-a-Service-Plattform (SaaS) zur Analyse, Auswertung und Optimierung von E-Commerce-Shops (Shopware 6) bereit. Im Rahmen dieser Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftraggebers.

2.2 Die Verarbeitung beginnt mit der Registrierung des Auftraggebers auf der Plattform und endet mit der vollständigen Löschung aller Daten nach Beendigung des Nutzungsverhältnisses.

2.3 Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR).

§3Art der verarbeiteten Daten

Im Rahmen der Auftragsverarbeitung werden folgende Datenkategorien verarbeitet:

  • Produkt- und Artikeldaten (Name, Beschreibung, Preise, Bilder)
  • Bestell- und Transaktionsdaten (Bestellnummern, Bestellpositionen, Umsätze)
  • Kundenstammdaten (Name, Adresse, E-Mail-Adresse, sofern vom Shop übermittelt)
  • Umsatz- und Statistikdaten (aggregierte Verkaufszahlen)
  • Technische Metadaten (IDs, Zeitstempel, API-Zugangsdaten)
  • Lagerbestandsdaten (Mengen, Verfügbarkeiten)

§4Kategorien betroffener Personen

  • Kunden und Besteller des Auftraggebers (Endkunden des Shops)
  • Mitarbeiter und Administratoren des Auftraggebers
  • Lieferanten und Geschäftspartner des Auftraggebers (sofern in Produktdaten enthalten)

§5Zweck der Verarbeitung

Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich zu folgenden Zwecken:

  • Analyse und Auswertung von Shopdaten zur Optimierung
  • Bereitstellung von SEO-Analysen und Verbesserungsvorschlägen
  • Erstellung von Statistiken, Berichten und Dashboards
  • Lagerbestandsüberwachung und -management
  • Technischer Betrieb und Wartung der Plattform
  • Fehleranalyse, Systemüberwachung und Support

§6Weisungsbindung

6.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisungen ergeben sich primär aus diesem Vertrag, den AGB und der Leistungsbeschreibung der Plattform.

6.2 Der Auftragsverarbeiter darf die Daten nicht zu eigenen Zwecken oder Zwecken Dritter verarbeiten.

6.3 Weisungen können vom Auftraggeber schriftlich, in Textform (E-Mail) oder über die Funktionen der Plattform erteilt werden.

6.4 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie vom Auftraggeber bestätigt oder geändert wird.

§7Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Vertraulichkeit: Alle mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit zu verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht zu unterliegen.
  • Sicherheit: Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen.
  • Subunternehmer: Die Bedingungen gemäß §9 dieses Vertrags für die Einschaltung weiterer Auftragsverarbeiter einzuhalten.
  • Unterstützung: Den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32-36 DSGVO zu unterstützen.
  • Löschung/Rückgabe: Nach Abschluss der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben.
  • Nachweise: Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen.

§8Vertraulichkeit

8.1 Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8.2 Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Auftrags fort.

8.3 Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind und er mit der Wahrnehmung der Aufgaben betraute Personen entsprechend geschult hat.

§9Unterauftragsverarbeiter (Subunternehmer)

9.1 Der Auftraggeber erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen.

9.2 Der Auftragsverarbeiter informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.

9.3 Der Auftragsverarbeiter stellt sicher, dass Subunternehmern dieselben Datenschutzpflichten auferlegt werden wie in diesem Vertrag festgelegt.

9.4 Aktuell eingesetzte Subunternehmer:

Hetzner Online GmbH

Industriestr. 25, 91710 Gunzenhausen, Deutschland

Zweck: Server-Hosting, Datenspeicherung

Standort: Deutschland (EU)

Stripe Payments Europe Ltd.

1 Grand Canal Street Lower, Dublin, Irland

Zweck: Zahlungsabwicklung (nur bei kostenpflichtigen Tarifen)

Standort: Irland (EU)

OpenAI, LLC

San Francisco, CA, USA

Zweck: KI-gestützte Textgenerierung und SEO-Optimierung

Hinweis: Es werden nur Produktdaten (keine Endkundendaten) übermittelt. Die Übermittlung erfolgt auf Basis von Standardvertragsklauseln (SCC).

§10Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Server in zertifizierten Rechenzentren (Hetzner, ISO 27001)
  • Zugangskontrolle: Authentifizierung mittels Passwort, SSH-Keys für Serveradministration
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, Mandantentrennung
  • Trennungskontrolle: Logische Trennung der Kundendaten durch separate Datenbankeinträge

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS/HTTPS)
  • Eingabekontrolle: Protokollierung von Datenänderungen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • Verfügbarkeitskontrolle: Redundante Systeme, regelmäßige Backups
  • Wiederherstellbarkeit: Backup-Konzept mit täglichen Sicherungen
  • Belastbarkeit: Skalierbare Cloud-Infrastruktur

Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen
  • Incident-Response-Prozess für Sicherheitsvorfälle
  • Dokumentation der Verarbeitungstätigkeiten

§11Unterstützung bei Betroffenenrechten

11.1 Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)

11.2 Wendet sich eine betroffene Person mit einem Antrag auf Ausübung ihrer Rechte direkt an den Auftragsverarbeiter, wird dieser den Antrag unverzüglich an den Auftraggeber weiterleiten.

§12Meldung von Datenschutzverletzungen

12.1 Der Auftragsverarbeiter meldet dem Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, jede Verletzung des Schutzes personenbezogener Daten.

12.2 Die Meldung enthält mindestens folgende Informationen:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen
  • Kategorien und ungefähre Zahl der betroffenen Datensätze
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

12.3 Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und den betroffenen Personen (Art. 34 DSGVO).

§13Prüf- und Kontrollrechte

13.1 Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags und der datenschutzrechtlichen Vorschriften zu überprüfen. Der Auftragsverarbeiter stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen.

13.2 Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden. Solche Prüfungen sind mit angemessener Vorankündigung (mindestens 14 Tage) durchzuführen.

13.3 Der Auftragsverarbeiter kann anstelle einer Vor-Ort-Prüfung auch geeignete Nachweise (z.B. Zertifikate, Testate, Berichte unabhängiger Prüfer) zur Verfügung stellen.

§14Datenschutz-Folgenabschätzung

Der Auftragsverarbeiter unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten gemäß Art. 35 und 36 DSGVO (Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörde).

§15Löschung und Rückgabe von Daten

15.1 Nach Beendigung des Nutzungsverhältnisses löscht der Auftragsverarbeiter alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

15.2 Auf Wunsch des Auftraggebers werden die Daten vor der Löschung in einem gängigen Format (z.B. CSV, JSON) zur Verfügung gestellt.

15.3 Der Auftragsverarbeiter bestätigt die vollständige Löschung auf Anfrage schriftlich.

§16Haftung

16.1 Die Haftung richtet sich nach Art. 82 DSGVO. Danach haftet jeder an einer Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

16.2 Der Auftragsverarbeiter haftet für den durch die Verarbeitung verursachten Schaden nur, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat.

§17Schlussbestimmungen

17.1 Dieser Auftragsverarbeitungsvertrag wird mit Abschluss der Registrierung auf der Plattform Kommora wirksam. Die Zustimmung erfolgt elektronisch über die entsprechende Checkbox.

17.2 Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Formerfordernisses.

17.3 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

17.4 Es gilt das Recht der Bundesrepublik Deutschland.

17.5 Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen zwischen den Parteien hat dieser AVV Vorrang.

Stand: 5.3.2026 · Version 2.0

AGB lesenDatenschutzerklärungZurück zur Registrierung