Scaleproof← Zur Startseite

Auftragsverarbeitungsvertrag (AVV)

Version 2026-06-28

Dieser Auftragsverarbeitungsvertrag („AVV") nach Art. 28 DSGVO wird geschlossen zwischen dir bzw. dem von dir vertretenen Unternehmen als Verantwortlichem („Kunde") und

Andrew Mann (Scaleproof), Geesthachter Straße 6, 23556 Lübeck — als Auftragsverarbeiter („wir").

Der AVV konkretisiert die Datenschutzpflichten der Parteien im Zusammenhang mit der Nutzung von Scaleproof und gilt ergänzend zu den Allgemeinen Geschäftsbedingungen. Mit der Bestätigung im Dienst (Häkchen) schließt du diesen AVV in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO rechtsverbindlich ab.

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch uns im Auftrag des Kunden im Rahmen der Erbringung des Dienstes Scaleproof (Analyse von Shop- und Werbedaten, KI-gestützte Auswertung, ggf. server-seitiges Conversion-Tracking). Der AVV gilt für die Dauer des Nutzungsverhältnisses und endet mit dessen Beendigung.

§ 2 Art, Umfang und Zweck; Datenarten; Betroffenenkreise

Art und Zweck: automatisierte Verarbeitung (Erhebung, Speicherung, Auswertung, Übermittlung an die in Anlage 2 genannten Unterauftragsverarbeiter) zum Zweck der von dir beauftragten Analyse- und Tracking-Funktionen.

Art der Daten: je nach genutzter Funktion können dies sein: Bestell- und Produktdaten (ohne Endkundennamen/-kontaktdaten), aggregierte Werbe-Kennzahlen, anonymisierte Kommentartexte, Video- und Transkriptinhalte deiner Anzeigen, sowie — nur bei aktiviertem server-seitigem Tracking — pseudonymisierte (gehashte) Kontaktmerkmale, IP-Adressen und Klick-IDs von Endkunden deines Shops.

Kreise der Betroffenen: Endkunden und Website-/ Shop-Besucher des Kunden sowie ggf. in Inhalten genannte Personen.

Eine Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) ist nicht Gegenstand des Auftrags.

§ 3 Weisungsrecht

Wir verarbeiten die Daten ausschließlich auf dokumentierte Weisung des Kunden, insbesondere im Rahmen der durch die Nutzung des Dienstes erteilten Konfiguration. Die Nutzung der Funktionen des Dienstes gilt als Weisung. Sind wir der Auffassung, dass eine Weisung gegen geltendes Datenschutzrecht verstößt, weisen wir den Kunden darauf hin und dürfen die Ausführung aussetzen.

§ 4 Pflichten des Auftragsverarbeiters

  • Vertraulichkeit: Wir setzen zur Verarbeitung nur Personen ein, die auf Vertraulichkeit verpflichtet oder einer gesetzlichen Verschwiegenheitspflicht unterworfen sind.
  • Datensicherheit (Art. 32 DSGVO): Wir treffen die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen (TOM) und entwickeln sie fort.
  • Unterstützung Betroffenenrechte (Art. 12–23): Wir unterstützen den Kunden mit geeigneten Maßnahmen bei der Erfüllung von Betroffenenanfragen (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit). Der Dienst stellt hierfür einen Export sowie eine vollständige Löschung je Marke bereit.
  • Meldung von Datenschutzverletzungen (Art. 33/34): Wir informieren den Kunden unverzüglich über uns bekannt gewordene Verletzungen des Schutzes personenbezogener Daten.
  • Mitwirkung bei DSFA (Art. 35/36): Wir unterstützen den Kunden im erforderlichen Umfang bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen.
  • Löschung/Rückgabe: Nach Beendigung des Auftrags löschen wir die personenbezogenen Daten oder geben sie zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Nachweise/Kontrolle (Art. 28 Abs. 3 lit. h): Wir stellen dem Kunden die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglichen Überprüfungen in angemessenem, vorab abgestimmtem Rahmen.

§ 5 Unterauftragsverarbeiter

Der Kunde erteilt die allgemeine Genehmigung zum Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter. Wir verpflichten Unterauftragsverarbeiter auf ein gleichwertiges Datenschutzniveau (Art. 28 Abs. 4 DSGVO). Über beabsichtigte Änderungen (Hinzufügung oder Austausch) informieren wir den Kunden vorab; der Kunde kann einer Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb von 14 Tagen widersprechen.

§ 6 Übermittlung in Drittländer

Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur unter Einhaltung der Art. 44 ff. DSGVO — d. h. auf Grundlage eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework) oder von Standardvertragsklauseln nebst ergänzenden Schutzmaßnahmen. Die Drittlandbezüge der einzelnen Unterauftragsverarbeiter sind in Anlage 2 gekennzeichnet.

§ 7 Pflichten des Verantwortlichen

Der Kunde ist für die Rechtmäßigkeit der Verarbeitung und die Erfüllung der Informations- und ggf. Einwilligungspflichten gegenüber den Betroffenen verantwortlich. Insbesondere stellt der Kunde sicher, dass für eine etwaige Aktivierung des server-seitigen Conversion-Trackings die erforderlichen Rechtsgrundlagen (insb. Einwilligungen nach § 25 TDDDG / Art. 6 DSGVO) vorliegen.

§ 8 Haftung

Für die Haftung gelten Art. 82 DSGVO sowie die Haftungsregelungen der AGB entsprechend.

§ 9 Schlussbestimmungen

Bei Widersprüchen zwischen diesem AVV und den AGB gehen hinsichtlich der Auftragsverarbeitung die Regelungen dieses AVV vor. Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt der AVV im Übrigen wirksam.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32)

  • Vertraulichkeit: Mandantentrennung über Datenbank-Sicherheit auf Zeilenebene (Row Level Security) je Marke; rollenbasierte Zugriffsrechte; Zugriff auf Produktivsysteme nur für befugte Personen; Verschlüsselung der Übertragung (TLS) und der Speicherung (at rest) bei unseren Infrastruktur-Anbietern.
  • Integrität: Zugriffs-/Token-Spalten sind server-seitig geschützt und für Clients nicht lesbar; Eingabevalidierung; Protokollierung administrativer Vorgänge (Audit-Log).
  • Verfügbarkeit & Belastbarkeit: verwaltete, redundante Infrastruktur mit automatischen Backups beim Datenbankanbieter; Monitoring und Fehlerdiagnose.
  • Pseudonymisierung/Datenminimierung: Verzicht auf den Import personenbezogener Endkundendaten aus Shopify; Anonymisierung von Kommentartexten; Hashing (SHA-256) von Kontaktmerkmalen vor einer etwaigen Übermittlung im Tracking.
  • Löschung: kaskadierende, vollständige Löschung je Marke inkl. Zugangs-Token; befristete Aufbewahrung roher Tracking-Ereignisse (max. 90 Tage).
  • Überprüfung: regelmäßige Sicherheits-Reviews sicherheitsrelevanter Änderungen.

Anlage 2 — Unterauftragsverarbeiter

Stand: Version 2026-06-28.

  • Supabase Inc. — Datenbank, Authentifizierung, Speicher. Standort: EU (Frankfurt). Drittland: ggf. USA (SCC).
  • Vercel Inc. — Hosting/Auslieferung. Standort: EU-Edge / USA. Drittland: USA (EU-US DPF).
  • Cloudflare, Inc. — Datei-Objektspeicher (R2, EU-Jurisdiktion). Standort: EU.
  • IONOS SE — Verarbeitungs-Server (Worker). Standort: Deutschland.
  • Anthropic PBC — KI-Analyse (Claude). Standort: USA (SCC; keine Trainingsnutzung der API-Daten).
  • Stripe, Inc. / Stripe Payments Europe Ltd. — Zahlungsabwicklung. Drittland: USA (EU-US DPF).
  • Google Ireland Ltd. / Google LLC — Anmeldung per Google (OAuth). Drittland: USA (EU-US DPF).
  • Functional Software, Inc. (Sentry) — Fehlerdiagnose. Standort: EU (keine PII-Erfassung).
  • Resend, Inc.— Transaktions-E-Mail-Versand (z. B. Service-/Rechtsänderungs-Mitteilungen). Drittland: USA (SCC). Derzeit inaktiv, bis konfiguriert.
  • TikTok Technology Ltd. (Events API) — server-seitiges Conversion-Tracking. Derzeit inaktiv; Drittland würde gesonderte Absicherung erfordern und wird erst nach Prüfung und ausdrücklicher Aktivierung eingesetzt.