⚠️ TEILWEISER ENTWURF — Verantwortlicher und Verarbeitungstätigkeiten sind eingetragen. Mit [TODO] markierte Felder (Volladresse, Kontakt-E-Mail Datenschutz, EU-Vertreter nach Art. 27 DSGVO mit physischer EU-Adresse, ggf. Datenschutz- beauftragter) sind vor dem öffentlichen Launch zu ergänzen + von einem Datenschutz-Anwalt zu prüfen. Ohne benannten Art-27-Vertreter darf die Plattform EU-Bürgern nicht angeboten werden.

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

AMZSTAY - FZCO (Freezone Company)
vertreten durch MHD RATEB KAISAR
[TODO Straße + Hausnummer]
DSO-IFZA, IFZA Properties
[TODO PLZ] Dubai Silicon Oasis
Vereinigte Arabische Emirate
E-Mail: [TODO datenschutz@…]

1a. EU-Vertreter (Art. 27 DSGVO)

Da der Verantwortliche seinen Sitz außerhalb der Europäischen Union hat, aber der DSGVO unterfallende Verarbeitungstätigkeiten gegenüber Personen in der EU anbietet, wurde gemäß Art. 27 DSGVO ein Vertreter in der Union benannt:

[TODO Name des EU-Vertreters]
[TODO Straße + Hausnummer]
[TODO PLZ Ort]
[TODO EU-Mitgliedstaat]
E-Mail: [TODO Kontakt-E-Mail des Vertreters]

Der EU-Vertreter ist Anlaufstelle für Aufsichtsbehörden und betroffene Personen für sämtliche Fragen zur Verarbeitung personenbezogener Daten.

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Bereitstellung der SaaS-Plattform Sellerwerk (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
Authentifizierung und Zugriffsverwaltung (selbst betriebene Auth-Infrastruktur auf eigenen Servern in Deutschland)
Zahlungsabwicklung über Stripe (Art. 6 Abs. 1 lit. b DSGVO)
Verbindung zur Amazon-Advertising-API im Auftrag des Kunden (Art. 6 Abs. 1 lit. b DSGVO + Auftragsverarbeitung)
Protokollierung von Aktionen im Audit Log (Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflicht)

3. Empfänger / Drittländer

Wir geben personenbezogene Daten an folgende Auftragsverarbeiter (Art. 28 DSGVO) weiter:

Infrastruktur innerhalb der EU:

Dediziertes Hosting in Deutschland — physisches Hosting der dedizierten Server bei einem EU-Rechenzentrums-Anbieter mit Sitz in Deutschland. Auf diesen Servern läuft sämtliche Anwendungs-, Datenbank- und Mail-Infrastruktur. Keine Drittland-Übermittlung. Kategorien des Auftragsverarbeiters: Hosting / Rechenzentrum (EU, Deutschland). Konkrete Anbieter-Identität wird auf Anfrage im Auftragsverarbeitungsvertrag (AVV/DPA) offengelegt.
Selbst betriebene Dienste auf eigener EU-Infrastruktur: Die folgenden Funktions-Schichten betreiben wir selbst auf eigener Infrastruktur in Deutschland — es liegt insoweit keine Auftragsverarbeitung durch Dritte vor:
- Anwendungs-Datenbank (relationale + Zeitreihen-Daten) — Konto-, Kampagnen- und Audit-Daten
- Hintergrund-Verarbeitung — In-Memory-Cache für Session-Daten und asynchrone Job-Verarbeitung (Synchronisation, Reports, Regel-Auswertungen, Rate-Limits)
- Authentifizierungs- und Echtzeit-Schicht — selbst betrieben in der gleichen EU-Umgebung
- Mailserver für transaktionale E-Mails (Registrierung, Passwort-Reset, Rechnungen). Kein Resend, Mailgun oder vergleichbarer US-Dienst.
- Fehler-Monitoring — selbst betrieben. Stack-Traces und anonymisierte Session-Kennungen. IP-Adressen und Anfrage-Bodies werden vor der Ablage gescrubbed; keine US-Telemetrie.

Auftragsverarbeiter mit Drittland-Transfer (USA):

Stripe Payments Europe, Ltd. (Irland) / Stripe, Inc. (USA) — Zahlungsabwicklung, Rechnungsstellung und Subscription-Management. Stripe ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
Amazon Advertising LLC (USA, über Amazon EU S.à.r.l., Luxembourg) — Verwaltung von Werbekampagnen im Auftrag des Kunden. Der Kunde autorisiert uns per OAuth zum Zugriff auf seinen Amazon-Ads-Account.

Drittland-Transfer-Absicherung: Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss der EU-Kommission vom 10.07.2023), ergänzend auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Wir weisen darauf hin, dass US-Behörden auf Grundlage des U.S. CLOUD Act und FISA 702 unter bestimmten Voraussetzungen Zugriff auf in den USA gespeicherte Daten erhalten können; die genannten Anbieter haben diese Risiken durch Verschlüsselung, vertragliche Schutzmaßnahmen und DPF-Selbstzertifizierung adressiert.

3a. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Sellerwerk enthält automatisierte Verarbeitungssysteme, die im Auftrag des Kunden Werbekampagnen anpassen. Diese Systeme umfassen:

Automatisierungs-Regeln: Vom Kunden konfigurierte Regeln (z. B. „pausiere Keyword wenn ACoS > 60 % über 7 Tage"), die zeitgesteuert auf Kampagnen-, Anzeigengruppen- oder Keyword-Ebene ausgeführt werden.
Bid-Empfehlungen: Statistische Vorschläge für Gebots- anpassungen basierend auf historischer Performance. Vorschläge werden nur nach expliziter Freigabe durch den Kunden umgesetzt.
Keyword-Intelligence: KI-gestützte Vorschläge für neue Keywords, negative Keywords und Budget-Verschiebungen.

Tragweite: Die Systeme wirken ausschließlich auf Werbe- kampagnen-Einstellungen im Amazon-Ads-Konto des Kunden. Es werden keine Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung gegenüber natürlichen Personen getroffen i.S.v. Art. 22 Abs. 1 DSGVO.

Logik: Regeln sind vom Kunden selbst definiert und jederzeit transparent in der Anwendung einsehbar. Bid-Empfehlungen und Keyword-Vorschläge werden ausschließlich durch unsere eigenen statistischen Algorithmen auf Basis von Impressionen, Klicks, Konversionen und historischem ACoS/ROAS berechnet — ohne Einbindung externer KI-Anbieter.

Ihre Rechte: Als betroffene Person haben Sie das Recht, die zugrunde liegende Logik erläutert zu bekommen (Art. 13 Abs. 2 lit. f DSGVO), auf menschliche Überprüfung (Art. 22 Abs. 3 DSGVO) und auf Widerspruch gegen die automatisierte Verarbeitung. Alle Automatisierungen können in den Konto-Einstellungen deaktiviert werden.

4. Ihre Rechte

Sie haben folgende Rechte:

Auskunft über gespeicherte Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO — in Deutschland zuständig ist der Landesdatenschutzbeauftragte Ihres Bundeslandes)

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung der oben genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. handels- und steuerrechtlich) dies vorschreiben. Audit-Logs werden gemäß Plan-Limit (30 Tage für Starter, bis zu 2 Jahre für höhere Tarife) aufbewahrt. Amazon- Refresh-Token werden verschlüsselt (AES-256) gespeichert und bei Trennung des Kontos sofort gelöscht; Amazon-Access-Token werden niemals persistent gespeichert und haben eine Lebensdauer von maximal 60 Minuten.

6. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies für Authentifizierung (Session-Cookie) und Präferenzen (Sprache, Theme). Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt. Ein Einwilligungs-Banner ist daher für die Kernfunktionalität nicht erforderlich; Zahlungsfunktionen über Stripe werden erst nach ausdrücklicher Zustimmung geladen.

7. Datensicherheit (Art. 32 DSGVO)

Wir treffen folgende technische und organisatorische Maßnahmen:

Transportverschlüsselung via TLS 1.2+ für alle Client-Server- und Server-zu-Server-Kommunikation
Row-Level Security auf Datenbank-Ebene — eine als Organisation A authentifizierte Anfrage kann keine Zeile der Organisation B lesen oder schreiben
VPN-basierte administrative Zugriffe auf Backend-Systeme; Admin-Oberflächen sind nicht im öffentlichen Internet erreichbar
Verschlüsselung sensibler Felder (Amazon-Tokens) mit AES-256; Schlüssel werden getrennt von den Tokens in einem dedizierten Geheimnis-Speicher abgelegt
Tägliche Backups mit Point-in-Time-Recovery; WAL-Archivierung und regelmäßige Restore-Drills
Scrubbing von IP-Adressen und Anfrage-Bodies vor der Übergabe an das Fehler-Monitoring

8. Kontakt

Für Anfragen zum Datenschutz wenden Sie sich bitte per E-Mail an [TODO datenschutz@…] oder postalisch an die oben genannte Adresse. Personen mit Wohnsitz in der EU können sich alternativ an den unter Ziffer 1a genannten EU-Vertreter wenden.

9. Aufsichtsbehörde

Zuständige Aufsichtsbehörde ergibt sich aus dem Sitz des EU- Vertreters (Ziffer 1a) und wird hier ergänzt, sobald der Vertreter benannt ist: [TODO Aufsichtsbehörde des EU-Vertreters].

10. Datenschutzbeauftragter

[TODO Name des Datenschutzbeauftragten oder Begründung warum kein DPO benannt ist (Art. 37 DSGVO — bei nicht-Großverarbeitung von besonderen Datenkategorien optional).] Kontakt: dpo@sellerwerk.de oder über den unter Ziffer 1a genannten EU-Vertreter.

11. Markennamen-Hinweis

„Sellerwerk“ ist der Markenname, unter dem AMZSTAY-FZCO die hier beschriebenen Dienste anbietet. Vertragspartner und Verantwortlicher im Sinne der DSGVO bleibt stets AMZSTAY-FZCO. Sämtliche Rechte und Pflichten aus dieser Datenschutzerklärung treffen AMZSTAY-FZCO; der Markenname „Sellerwerk“ dient ausschließlich der Produkt-Bezeichnung.