Marginly · The Marketplace Guys
Auftragsverarbeitungs-Vertrag (AVV) — Vorlage
Standard-AVV gemäß Art. 28 DSGVO
Hinweis: Dies ist eine Entwurfsvorlage. Vor Verwendung
anwaltlich prüfen lassen. Stand: Mai 2026.
Verantwortlicher
[Kunde / Verantwortlicher]
[Anschrift]
Auftragsverarbeiter
The Marketplace Guys UG (haftungsbeschränkt)
Ritterstraße 8, 33602 Bielefeld, Deutschland
1. Vertragsgegenstand
Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung des SaaS-Produkts „Marginly" gemäß dem Hauptvertrag (AGB / Bestellschein). Dieser Vertrag konkretisiert die Rechte und Pflichten der Parteien gemäß Art. 28 DSGVO.
2. Datenarten und Betroffenenkategorien
Datenarten
- OTTO-Produkt-Daten (Artikelnummern, Titel, Preise, Bestände)
- OTTO-Bestelldaten (Bestellnummern, Bestellpositionen, Status, Versanddaten)
- Werbekampagnen-Daten (Kampagnenstruktur, Keywords, Search-Terms, Kennzahlen)
- Kommunikations- und Stammdaten (Name, geschäftliche E-Mail, Firma, Anschrift)
- Authentifizierungs-Metadaten (Login-Zeitstempel, Session-Token-Hashes)
Betroffenenkategorien
- Mitarbeitende und Beauftragte des Verantwortlichen
- Endkunden des Verantwortlichen, soweit in OTTO-Bestelldaten enthalten
- Geschäftspartner und Lieferanten des Verantwortlichen
3. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter
- verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit nicht durch Unionsrecht oder mitgliedstaatliches Recht zur Verarbeitung verpflichtet,
- gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,
- trifft alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage A),
- unterstützt den Verantwortlichen bei Anfragen betroffener Personen (Art. 12–22 DSGVO) sowie bei Pflichten aus Art. 32–36 DSGVO,
- meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung,
- löscht oder gibt nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Verarbeitungsleistungen zurück und löscht bestehende Kopien, sofern nicht eine Verpflichtung zur Speicherung besteht,
- stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.
4. Technische und organisatorische Maßnahmen (TOMs)
Siehe Anlage A.
5. Sub-Auftragsverarbeiter
Der Auftragsverarbeiter ist berechtigt, Sub-Auftragsverarbeiter einzusetzen. Die aktuell eingesetzten Sub-Auftragsverarbeiter sind in Anlage B aufgeführt. Der Verantwortliche stimmt deren Einsatz zu. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung mindestens 30 Tage vorher. Der Verantwortliche kann der Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.
6. Audit-Rechte
- Audits erfolgen mit angemessener Vorankündigung (mindestens 15 Werktage) maximal einmal pro Kalenderjahr, ausgenommen bei begründetem Verdacht auf Datenschutzverstöße.
- Der Auftragsverarbeiter kann anstelle eines Vor-Ort-Audits aktuelle Zertifikate, unabhängige Prüfberichte (z. B. ISO 27001, SOC 2) oder das CAIQ-Lite Self-Assessment vorlegen.
7. Haftung
Es gilt Art. 82 DSGVO. Im Übrigen richtet sich die Haftung nach den Regelungen des Hauptvertrages.
8. Schlussbestimmungen
- Laufzeit: Dieser Vertrag läuft so lange, wie der Hauptvertrag besteht.
- Anwendbares Recht: Recht der Bundesrepublik Deutschland.
- Gerichtsstand: Bielefeld, soweit gesetzlich zulässig.
- Schriftform: Änderungen und Ergänzungen bedürfen der Textform.
- Salvatorische Klausel: Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
Signatur-Block
Verantwortlicher
Ort, Datum
Unterschrift
Name in Druckbuchstaben
Funktion
Auftragsverarbeiter — TMG UG
Ort, Datum
Unterschrift
Name in Druckbuchstaben
Funktion
Anlage A — Technische und organisatorische Maßnahmen (TOMs)
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zutrittskontrolle: Cloud-Hosting bei Vercel/Supabase mit zertifizierten Rechenzentren (ISO 27001, SOC 2). Eigene Hardware nicht im Einsatz.
- Zugangskontrolle: MFA für alle Admin-Zugänge. SSH-Keys statt Passwörter für Server-Zugriff (soweit anwendbar).
-
Zugriffskontrolle: Rollenbasiertes Berechtigungskonzept,
Mehr-Mandanten-Trennung per
accountIdmit Row-Level-Security in Supabase. - Trennungskontrolle: Logische Trennung der Mandanten-Daten in der Datenbank.
- Pseudonymisierung: Kunden-Daten in Logs werden, soweit möglich, pseudonymisiert.
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
-
Weitergabekontrolle: TLS 1.2+ für alle Datenübertragungen.
Sensible Secrets in der Datenbank werden mit AES-256-GCM verschlüsselt
(
AppSetting-Tabelle). - Eingabekontrolle: Audit-Log mit 365 Tagen Retention für sicherheitsrelevante Aktionen.
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeitskontrolle: Vercel SLA, beobachtetes 99,9 % Uptime. Supabase Point-in-Time Recovery 7 Tage. Tägliche Backups.
- Wiederherstellbarkeit: Halbjährlicher Restore-Test der Backups.
Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
- Datenschutz-Management: Interner Datenschutzbeauftragter, regelmäßige Schulungen.
- Incident-Response-Management: Dokumentierter Prozess, 48h-interne Eskalation, 72h-Meldung an Aufsichtsbehörde gemäß Art. 33 DSGVO.
Anlage B — Sub-Auftragsverarbeiter (Stand: Mai 2026)
| Anbieter | Zweck | Sitz / Datenort | Drittlandtransfer-Mechanismus |
|---|---|---|---|
| Vercel Inc. | Hosting, CDN, Edge-Funktionen | USA (mit EU-Edge-Knoten, Frankfurt fra1) | EU-SCC + EU-US Data Privacy Framework |
| Supabase Inc. | Datenbank (Postgres), Auth, Storage | Irland (eu-west-1) | Verarbeitung in der EU |
| Anthropic PBC | KI-gestützte Anomalie-Erklärung, KI-Hilfe-Chatbot | USA (San Francisco, CA) | EU-US Data Privacy Framework + EU-SCC |
| Resend Ltd. | Transaktionale E-Mails, Newsletter | Vereinigtes Königreich (Verarbeitung in der EU) | UK-Angemessenheitsbeschluss (EU 2021/1772) |
| Plausible Insights OÜ | Cookieless Web-Analytics | Estland / Deutschland (EU) | Verarbeitung in der EU |
Die Liste wird laufend aktualisiert. Die jeweils aktuelle Fassung ist unter marginly.de/sicherheit abrufbar.