⚠️ PLACEHOLDER — Diese Datenschutzerklärung ist ein Gerüst und muss vor dem Launch mit den tatsächlichen Datenverarbeitungs- vorgängen von Sellerwerk gefüllt und durch einen Datenschutz-Anwalt geprüft werden (self-hosted Datenbank + Mailserver + GlitchTip auf netcup DE, Stripe, Amazon Ads API).

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:

[Firmenname]
[Straße Hausnummer]
[PLZ Ort]
E-Mail: [datenschutz@beispiel.de]

2. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Bereitstellung der SaaS-Plattform Sellerwerk (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
Authentifizierung und Zugriffsverwaltung (self-hosted Supabase-Auth auf unseren Servern in Deutschland)
Zahlungsabwicklung über Stripe (Art. 6 Abs. 1 lit. b DSGVO)
Verbindung zur Amazon-Advertising-API im Auftrag des Kunden (Art. 6 Abs. 1 lit. b DSGVO + Auftragsverarbeitung)
Protokollierung von Aktionen im Audit Log (Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflicht)

3. Empfänger / Drittländer

Wir geben personenbezogene Daten an folgende Auftragsverarbeiter (Art. 28 DSGVO) weiter:

Infrastruktur innerhalb der EU:

netcup GmbH, Nürnberg, Deutschland — physisches Hosting der dedizierten Server, auf denen sämtliche Anwendungs-, Datenbank- und Mail-Infrastruktur läuft. Keine Drittland-Übermittlung.
Self-Hosted auf netcup-Servern (EU): Die folgenden Systeme betreiben wir selbst auf eigener Infrastruktur in Deutschland — es liegt insoweit keine Auftragsverarbeitung durch Dritte vor:
- PostgreSQL 16 mit TimescaleDB-Erweiterung (Zeitreihen-Daten für Kampagnen-Metriken) — Konto-, Kampagnen-, Audit-Daten
- Redis — temporäre Session-Daten, BullMQ-Jobs, Rate-Limits
- Self-hosted Supabase (Auth + Realtime + Storage-Schnittstelle) — Authentifizierung und Zugriffsverwaltung
- Mailcow (Postfix/Dovecot/Rspamd/SOGo) — Mailserver für transaktionale E-Mails (Registrierung, Passwort-Reset, Rechnungen). Kein Resend, Mailgun oder vergleichbarer US-Dienst.
- GlitchTip — Fehler-Monitoring. Stack-Traces und anonymisierte Session-Kennungen. IP-Adressen und Anfrage-Bodies werden vor der Ablage gescrubbed; kein Sentry, keine US-Telemetrie.

Auftragsverarbeiter mit Drittland-Transfer (USA):

Stripe Payments Europe, Ltd. (Irland) / Stripe, Inc. (USA) — Zahlungsabwicklung, Rechnungsstellung und Subscription-Management. Stripe ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
Amazon Advertising LLC (USA, über Amazon EU S.à.r.l., Luxembourg) — Verwaltung von Werbekampagnen im Auftrag des Kunden. Der Kunde autorisiert uns per OAuth zum Zugriff auf seinen Amazon-Ads-Account.

Drittland-Transfer-Absicherung: Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Durchführungsbeschluss der EU-Kommission vom 10.07.2023), ergänzend auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Wir weisen darauf hin, dass US-Behörden auf Grundlage des U.S. CLOUD Act und FISA 702 unter bestimmten Voraussetzungen Zugriff auf in den USA gespeicherte Daten erhalten können; die genannten Anbieter haben diese Risiken durch Verschlüsselung, vertragliche Schutzmaßnahmen und DPF-Selbstzertifizierung adressiert.

3a. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Sellerwerk enthält automatisierte Verarbeitungssysteme, die im Auftrag des Kunden Werbekampagnen anpassen. Diese Systeme umfassen:

Automatisierungs-Regeln: Vom Kunden konfigurierte Regeln (z. B. „pausiere Keyword wenn ACoS > 60 % über 7 Tage"), die zeitgesteuert auf Kampagnen-, Anzeigengruppen- oder Keyword-Ebene ausgeführt werden.
Bid-Empfehlungen: Statistische Vorschläge für Gebots- anpassungen basierend auf historischer Performance. Vorschläge werden nur nach expliziter Freigabe durch den Kunden umgesetzt.
Keyword-Intelligence: KI-gestützte Vorschläge für neue Keywords, negative Keywords und Budget-Verschiebungen.

Tragweite: Die Systeme wirken ausschließlich auf Werbe- kampagnen-Einstellungen im Amazon-Ads-Konto des Kunden. Es werden keine Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung gegenüber natürlichen Personen getroffen i.S.v. Art. 22 Abs. 1 DSGVO.

Logik: Regeln sind vom Kunden selbst definiert und jederzeit transparent in der Anwendung einsehbar. Bid-Empfehlungen und Keyword-Vorschläge werden ausschließlich durch unsere eigenen statistischen Algorithmen auf Basis von Impressionen, Klicks, Konversionen und historischem ACoS/ROAS berechnet — ohne Einbindung externer KI-Anbieter.

Ihre Rechte: Als betroffene Person haben Sie das Recht, die zugrunde liegende Logik erläutert zu bekommen (Art. 13 Abs. 2 lit. f DSGVO), auf menschliche Überprüfung (Art. 22 Abs. 3 DSGVO) und auf Widerspruch gegen die automatisierte Verarbeitung. Alle Automatisierungen können in den Konto-Einstellungen deaktiviert werden.

4. Ihre Rechte

Sie haben folgende Rechte:

Auskunft über gespeicherte Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung Ihrer Daten, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO — in Deutschland zuständig ist der Landesdatenschutzbeauftragte Ihres Bundeslandes)

5. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung der oben genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. handels- und steuerrechtlich) dies vorschreiben. Audit-Logs werden gemäß Plan-Limit (30 Tage für Starter, bis zu 2 Jahre für höhere Tarife) aufbewahrt. Amazon- Refresh-Token werden verschlüsselt (AES-256) gespeichert und bei Trennung des Kontos sofort gelöscht; Amazon-Access-Token werden niemals persistent gespeichert und haben eine Lebensdauer von maximal 60 Minuten.

6. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies für Authentifizierung (Session-Cookie) und Präferenzen (Sprache, Theme). Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt. Ein Einwilligungs-Banner ist daher für die Kernfunktionalität nicht erforderlich; Zahlungsfunktionen über Stripe werden erst nach ausdrücklicher Zustimmung geladen.

7. Datensicherheit (Art. 32 DSGVO)

Wir treffen folgende technische und organisatorische Maßnahmen:

Transportverschlüsselung via TLS 1.2+ für alle Client-Server- und Server-zu-Server-Kommunikation
Row-Level Security auf Datenbank-Ebene — eine als Organisation A authentifizierte Anfrage kann keine Zeile der Organisation B lesen oder schreiben
WireGuard-VPN für administrative Zugriffe auf Backend-Systeme; Admin-Oberflächen sind nicht im öffentlichen Internet erreichbar
Verschlüsselung sensibler Felder (Amazon-Tokens) mit AES-256 im Vault
Tägliche Backups mit Point-in-Time-Recovery; WAL-Archivierung und regelmäßige Restore-Drills
Scrubbing von IP-Adressen und Anfrage-Bodies vor der Übergabe an das Fehler-Monitoring

8. Kontakt

Für Anfragen zum Datenschutz wenden Sie sich bitte per E-Mail an [datenschutz@beispiel.de] oder postalisch an die oben genannte Adresse.