peaklyst. Peaklyst

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: April 2026

Überblick

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Allgemeinen Geschäftsbedingungen zwischen Peaklyst, einem Produkt der tupevo S.àr.l.-S („Auftragsverarbeiter"), und dem Kunden, der den Peaklyst-Dienst nutzt („Verantwortlicher"). Er regelt die Verarbeitung personenbezogener Daten durch Peaklyst im Auftrag des Verantwortlichen und wurde so gestaltet, dass er den Anforderungen von Art. 28 der Verordnung (EU) 2016/679 (der „DSGVO") entspricht.

Dieser AVV tritt automatisch in Kraft, sobald ein Verantwortlicher ein Peaklyst-Abonnement abschließt, und bleibt für die Dauer des Dienstes wirksam. Kunden, die eine gegengezeichnete Kopie auf eigenem Briefpapier benötigen, können diese unter [email protected] anfordern.

1. Gegenstand und Dauer

Der Auftragsverarbeiter stellt eine KI-gestützte Plattform zur Optimierung von Amazon-Listings bereit. Im Rahmen der Leistungserbringung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen, wie in Anlage 1 beschrieben. Dieser AVV gilt für die gesamte Vertragsdauer und endet automatisch mit der Beendigung des Abonnements, vorbehaltlich der Nachvertragspflichten in Abschnitt 11.

2. Art und Zweck der Verarbeitung

Zweck der Verarbeitung ist die Bereitstellung des Peaklyst-Dienstes: Generierung KI-gestützter Listing-Inhalte, Durchführung von Keyword-Recherche und -Tracking auf den eigenen Listings des Verantwortlichen, Berechnung von Listing-Qualitätsbewertungen und Ausführung von Autopilot- Optimierungszyklen mit Schreiben nach Freigabe. Personenbezogene Daten werden ausschließlich zur Erfüllung dieser vertraglichen Leistungen verarbeitet.

3. Arten personenbezogener Daten und Kategorien betroffener Personen

Arten personenbezogener Daten:

  • Kontodaten: Name, E-Mail-Adresse, Rechnungsdaten der Mitarbeiter oder autorisierten Nutzer des Verantwortlichen
  • Authentifizierungsdaten: Passwort-Hashes, Sitzungstoken, 2FA-Geheimnisse
  • Nutzungsdaten: IP-Adressen, Geräte- und Browser-Kennungen, Zugriffsprotokolle

Peaklyst verarbeitet keine personenbezogenen Daten (PII) von Amazon-Käufern. Die über die Selling Partner API verarbeiteten Amazon-Marktplatzdaten (Listing-Attribute, Kategorieanforderungen und Listing-Performance-Zusammenfassungen) sind geschäftliche Daten des Verantwortlichen und identifizieren keine einzelnen Käufer.

Kategorien betroffener Personen: Mitarbeiter, Auftragnehmer und autorisierte Nutzer des Verantwortlichen.

4. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter wird:

  • personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten, auch hinsichtlich Übermittlungen in Drittländer, sofern er nicht durch Unionsrecht oder das Recht eines Mitgliedstaats verpflichtet ist;
  • sicherstellen, dass die zur Verarbeitung befugten Personen einer Vertraulichkeitspflicht oder einer gesetzlichen Verschwiegenheitspflicht unterliegen;
  • geeignete technische und organisatorische Maßnahmen (beschrieben in Anlage 2) ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
  • den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung dabei unterstützen, seinen Pflichten bei Anträgen betroffener Personen nach Kapitel III DSGVO nachzukommen;
  • den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO unterstützen (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen, vorherige Konsultation);
  • nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Abschluss der Erbringung der Dienste löschen oder zurückgeben und vorhandene Kopien löschen, sofern nicht Unions- oder Mitgliedstaatsrecht die Speicherung vorschreibt;
  • dem Verantwortlichen alle zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung stellen und Überprüfungen — einschließlich Inspektionen — ermöglichen und dazu beitragen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden.

5. Pflichten des Verantwortlichen

Der Verantwortliche garantiert, dass er für die dem Auftragsverarbeiter erteilten Weisungen eine rechtliche Grundlage nach Art. 6 DSGVO besitzt, dass er den betroffenen Personen die nach Art. 13 und 14 DSGVO erforderlichen Informationen bereitgestellt hat und dass er seinen eigenen Verpflichtungen nach dem geltenden Datenschutzrecht nachkommt.

6. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern für die Erbringung des Dienstes. Eine aktuelle Liste der Unterauftragsverarbeiter wird in unserer Datenschutzerklärung geführt und umfasst die in Anlage 3 genannten Kategorien.

Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage im Voraus über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Bei begründetem Widerspruch des Verantwortlichen verhandeln die Parteien in gutem Glauben; kommt keine Einigung zustande, kann der Verantwortliche den Dienst mit anteiliger Rückerstattung kündigen.

Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in diesem AVV. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin in vollem Umfang.

7. Internationale Übermittlungen

Werden personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien gemäß Kapitel V DSGVO bestehen. Für Übermittlungen in Länder ohne Angemessenheitsbeschluss werden die von der Europäischen Kommission am 4. Juni 2021 angenommenen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) per Verweis einbezogen, wobei der Auftragsverarbeiter als „Datenimporteur" und der Verantwortliche als „Datenexporteur" agiert, Modul Zwei (Verantwortlicher an Auftragsverarbeiter).

8. Sicherheit der Verarbeitung

Der Auftragsverarbeiter hat die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen umgesetzt und hält diese aufrecht, einschließlich Verschlüsselung im Ruhezustand und bei der Übertragung, mandantenbezogener Datenisolation, Least-Privilege-Zugriffskontrollen, kontinuierlicher Schwachstellen-Scans und eines Incident-Response-Prozesses. Vollständige Details finden Sie auf der Sicherheitsseite.

9. Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten, die im Auftrag des Verantwortlichen verarbeitete Daten betrifft. Die Benachrichtigung beschreibt Art, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen.

Betrifft die Verletzung Amazon-Marktplatzdaten, benachrichtigt der Auftragsverarbeiter zusätzlich Amazon innerhalb von 24 Stunden nach Entdeckung, wie es die Amazon Data Protection Policy vorschreibt.

10. Anträge betroffener Personen

Der Auftragsverarbeiter wird den Verantwortlichen, soweit rechtlich zulässig, unverzüglich über jeden Antrag informieren, den er direkt von einer betroffenen Person auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch erhält. Der Auftragsverarbeiter wird solche Anträge nicht selbst beantworten, außer um den Eingang zu bestätigen und auf den Verantwortlichen zu verweisen.

Die Peaklyst-Plattform stellt Werkzeuge bereit, mit denen der Verantwortliche personenbezogene Daten direkt exportieren, berichtigen und löschen kann, um Anträge betroffener Personen nach Art. 15-22 DSGVO zu erfüllen.

11. Rückgabe und Löschung der Daten

Nach Beendigung des Dienstes kann der Verantwortliche innerhalb von 30 Tagen alle nach diesem AVV verarbeiteten personenbezogenen Daten über die Exportfunktion der Peaklyst-Plattform exportieren. Nach Ablauf der 30-tägigen Kulanzfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten und Amazon-Marktplatzdaten innerhalb von weiteren 90 Tagen, einschließlich aller Kopien in Backups, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Auf schriftliche Anforderung bestätigt der Auftragsverarbeiter dem Verantwortlichen schriftlich, dass die Löschung abgeschlossen wurde.

12. Audits

Der Auftragsverarbeiter stellt dem Verantwortlichen alle zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlichen Informationen zur Verfügung. Auf schriftliche Anforderung (höchstens einmal pro Zwölfmonatszeitraum, sofern keine Datenschutzverletzung aufgetreten ist) stellt der Auftragsverarbeiter die aktuellsten Berichte externer Sicherheitsaudits, Zusammenfassungen von Penetrationstests und Antworten auf einen angemessenen Sicherheitsfragebogen bereit.

Ein Vor-Ort-Audit durch den Verantwortlichen oder einen von ihm beauftragten Prüfer ist aus Anlass zulässig, vorbehaltlich angemessener Vorankündigung (mindestens 30 Tage), Vertraulichkeitspflichten und Durchführung zu üblichen Geschäftszeiten ohne unzumutbare Störung des Betriebs.

13. Haftung

Die Haftung jeder Partei nach diesem AVV richtet sich nach den Haftungsbegrenzungen der Allgemeinen Geschäftsbedingungen. Dieser AVV beschränkt oder schließt nicht die Haftung einer Partei für Schäden aus, die einer betroffenen Person durch einen Verstoß gegen die DSGVO entstehen, für den diese Partei nach Art. 82 DSGVO haftbar ist.

14. Anwendbares Recht und Gerichtsstand

Dieser AVV unterliegt dem Recht des Großherzogtums Luxemburg. Die zuständigen Gerichte von Luxemburg-Stadt sind ausschließlich zuständig für Streitigkeiten aus diesem AVV, unbeschadet der zwingenden Zuständigkeit der Gerichte am gewöhnlichen Aufenthaltsort der betroffenen Person nach Art. 79 DSGVO.

15. Rangordnung

Im Falle eines Widerspruchs zwischen diesem AVV und den Allgemeinen Geschäftsbedingungen gehen die Regelungen dieses AVV in Bezug auf die Verarbeitung personenbezogener Daten vor. Im Falle eines Widerspruchs zwischen diesem AVV und den Standardvertragsklauseln gehen die Standardvertragsklauseln vor.

Anlage 1 — Verarbeitungsdetails

Gegenstand: Bereitstellung der KI-gestützten Amazon-Listing-Optimierungsplattform Peaklyst.
Dauer: Für die Laufzeit des Abonnements des Verantwortlichen, zuzüglich der Nachvertragspflichten in Abschnitt 11.
Art und Zweck: Speicherung, Analyse und KI-basierte Verarbeitung von Amazon-Marktplatzdaten und Kontodaten zur Bereitstellung von Optimierungsdiensten.
Arten personenbezogener Daten: Konto-, Authentifizierungs- und Nutzungsdaten gemäß Abschnitt 3.
Kategorien betroffener Personen: Mitarbeiter und autorisierte Nutzer des Verantwortlichen.

Anlage 2 — Technische und organisatorische Maßnahmen

  • Zugriffskontrolle: Rollenbasierter Zugriff, 2FA, namentlich benannte Administratorkonten, Zugriffsprotokollierung, vierteljährliche Überprüfungen.
  • Verschlüsselung: TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand, verschlüsselte Backups in einer separaten Region.
  • Mandantentrennung: PostgreSQL Row-Level-Security, Trennung der Amazon-Daten pro Verkäufer.
  • Netzwerksicherheit: Private Cluster-Netzwerke, Cloudflare Tunnels mit DDoS- und WAF-Schutz, Cilium Default-Deny-Netzwerkrichtlinien.
  • Containersicherheit: Nicht-Root, schreibgeschütztes Root-Dateisystem, Distroless-Basis-Images, kontinuierliche Trivy-Scans.
  • Geheimnisverwaltung: OpenBao-Tresor mit External Secrets Operator, automatische Rotation, Append-Only-Zugriffsprotokolle.
  • Monitoring: Zentrale strukturierte Logs, Metriken, Traces; On-Call-Alarmierung über Slack und PagerDuty.
  • Incident Response: Vier-Phasen-Prozess (Triage, Eindämmung, Beseitigung, Review) mit schriftlichen Post-Mortems.
  • Business Continuity: Regelmäßige Backup-Wiederherstellungstests; hochverfügbare Datenbank- und Anwendungscluster.
  • Personal: Vertraulichkeitspflichten für alle Mitarbeiter; Security-Awareness-Schulung bei Einstellung und jährlich.

Anlage 3 — Unterauftragsverarbeiter

Peaklyst setzt folgende Kategorien von Unterauftragsverarbeitern ein:

  • Cloud-Hosting- und Infrastrukturanbieter (EU/USA)
  • Zahlungsdienstleister (Stripe, EU/USA)
  • Anbieter für transaktionale E-Mails (Resend, EU/USA)
  • Fehler-Monitoring (selbst gehostetes Glitchtip, EU)
  • Analyse (selbst gehostetes Umami, EU — cookielos und pseudonym)
  • KI-Modellanbieter für Listing-Content-Vorschläge (Anthropic — USA mit SCC; Inceptron, Scaleway — EU). Jeder Anbieter ist durch einen AVV gebunden, der das Training auf Amazon-Informationen untersagt.

Die verbindliche Liste der aktuellen Unterauftragsverarbeiter wird in der Datenschutzerklärung — Auftragsverarbeiter-Abschnitt geführt.

Kontakt

Bei Fragen zu diesem AVV, zur Anforderung einer gegengezeichneten Kopie oder zur Ausübung von Rechten daraus kontaktieren Sie uns: