Datenschutzerklärung
Mit dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung unserer Website sowie unseres SaaS-Produkts Marginly gemäß Art. 13 DSGVO.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:
The Marketplace Guys UG (haftungsbeschränkt)Ritterstraße 8
33602 Bielefeld
Deutschland / Germany
Geschäftsführer: Alexander Schnelle, Bhavesh Tailor
E-Mail: hello@themarketplaceguys.com
2. Datenschutzbeauftragter
Wir haben einen internen Datenschutzbeauftragten benannt. Sie erreichen ihn unter:
E-Mail: dpo@themarketplaceguys.com
Postanschrift: The Marketplace Guys UG (haftungsbeschränkt), z. Hd. Datenschutzbeauftragter, Ritterstraße 8, 33602 Bielefeld
3. Allgemeine Hinweise und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage einer der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person (z. B. Newsletter-Anmeldung).
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung bzw. vorvertragliche Maßnahmen (Bereitstellung des SaaS-Tools, Abrechnung).
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungsfristen § 257 HGB, § 147 AO).
- Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (IT-Sicherheit, Reichweitenmessung, Missbrauchsabwehr).
4. Hosting
Unsere Website und unser SaaS-Tool werden auf der Infrastruktur der Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Vercel betreibt Edge-Knoten weltweit, einschließlich der EU. Eine Übermittlung personenbezogener Daten in die USA findet statt; Grundlage sind die EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 sowie der EU-US Data Privacy Framework. Mit Vercel besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Vercel Data Processing Addendum).
5. Erhobene Daten und Verarbeitungszwecke
5.1 Beim Besuch der Website (Server-Logs)
Beim Aufruf unserer Website werden durch unseren Hosting-Provider technisch notwendige Daten in sogenannten Server-Logfiles erfasst:
- anonymisierte IP-Adresse des anfragenden Endgeräts,
- Datum und Uhrzeit des Zugriffs,
- aufgerufene Ressource (URL),
- HTTP-Status, übertragene Datenmenge,
- Referrer-URL, User-Agent (Browser, Betriebssystem).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem störungsfreien Betrieb und der IT-Sicherheit). Speicherdauer: maximal 14 Tage.
5.2 Bei Registrierung und Nutzung des SaaS-Tools
Im Rahmen der Registrierung und Vertragsabwicklung verarbeiten wir:
- Vor- und Nachname,
- geschäftliche E-Mail-Adresse,
- Firmenname, Rechnungsanschrift, USt-IdNr.,
- OTTO-Market-Installation-IDs zur Anbindung Ihres OTTO-Händlerkontos,
- Kommunikationsverlauf mit dem Support.
Authentifizierungs-Daten — derzeit über Magic-Link (E-Mail + zeitlich begrenzter Token) — werden nur so lange gespeichert wie für die Anmeldung erforderlich. Eine vollständige passwortbasierte Anmeldung ist in Vorbereitung; vor Aktivierung wird die Erklärung entsprechend aktualisiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5.3 Bei Bezahlung (geplant)
Die Zahlungsabwicklung erfolgt nach Aufschaltung über Stripe Payments Europe Ltd. Hierbei werden Zahlungsdaten (z. B. Name, Kreditkartennummer, IBAN) direkt an Stripe übermittelt; wir selbst speichern keine vollständigen Zahlungsdaten. Es gelten die Datenschutzbestimmungen von Stripe. Mit Stripe besteht bzw. wird ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5.4 Bei OTTO-API-Nutzung
Zentrales Merkmal von Marginly ist die Synchronisation von Daten aus der OTTO-Market-API (api.otto.market) in unsere Datenbank. Im Auftrag des Kunden verarbeiten wir hierbei insbesondere:
- OTTO-Produkt-Daten (Artikelnummern, Titel, Preise, Bestände),
- Bestelldaten (Bestellnummern, Bestellpositionen, Status, Versanddaten),
- Werbekampagnen-Daten (Kampagnenstruktur, Keywords, Kennzahlen),
- aggregierte Performance- und Statistikdaten.
Soweit OTTO-Bestelldaten personenbezogene Daten von Endkunden des Kunden enthalten, verarbeiten wir diese ausschließlich im Auftrag des Kunden gemäß Art. 28 DSGVO (Auftragsverarbeitung). Der Auftragsverarbeitungsvertrag (AVV) ist Bestandteil unserer AGB bzw. wird auf Anfrage zur Verfügung gestellt.
6. Auftragsverarbeiter und Drittanbieter
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir – soweit erforderlich – Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen haben:
| Dienstleister | Zweck | Sitz / Datenort | Rechtsgrundlage Drittlandübermittlung |
|---|---|---|---|
| Vercel Inc. | Hosting, CDN, Edge-Funktionen | USA (mit EU-Edge-Knoten) | EU-Standardvertragsklauseln, EU-US Data Privacy Framework |
| Stripe Payments Europe Ltd. (geplant) | Zahlungsabwicklung Abonnement | Irland (EU) | Verarbeitung in der EU |
| Resend Ltd. | Transaktionale E-Mails, Newsletter | Vereinigtes Königreich (Verarbeitung in der EU) | Angemessenheitsbeschluss UK (Beschluss (EU) 2021/1772) |
| OTTO GmbH & Co KG | API-Datenverarbeitung im Auftrag des Kunden | Deutschland | Verarbeitung in der EU |
| Plausible Insights OÜ | Cookieless Web-Analytics | Estland / Deutschland (EU) | Verarbeitung in der EU |
| Anthropic PBC | KI-gestützte Erklärung von Anomalien und KI-Hilfe-Chatbot. Übermittelt werden Kampagnennamen, aggregierte Performance-Metriken, Search-Terms sowie Bid-Werte. Keine personenbezogenen Endkunden-Daten. Speicherdauer bei Anthropic: 7 Tage Default-Retention, ZDR (Zero Data Retention) angefragt. | USA (San Francisco, CA) | EU-US Data Privacy Framework (DPF) sowie EU-Standardvertragsklauseln. AVV gemäß Art. 28 DSGVO ab 1.1.2026 in den Anthropic Commercial Terms enthalten. |
7. Cookies
Wir setzen ausschließlich technisch notwendige Cookies ein. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO bzw. – im eingeloggten Zustand – Art. 6 Abs. 1 lit. b DSGVO.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| otto_active_account | Dashboard, Pflichtcookie zur Identifikation des aktiven Mandanten (httpOnly + Secure) | 30 Tage |
| otto_trial_email | Marketing-Site, optional, speichert die im Anmeldeformular eingegebene E-Mail für UX-Komfort | 30 Tage |
| otto_oauth_state | OAuth-CSRF-Schutz beim OTTO-Connect-Flow (kurzlebig) | < 15 Minuten |
| otto_oauth_account | Koppelt OAuth-Antwort an den aktiven Mandanten (kurzlebig) | < 15 Minuten |
Über die o. g. technisch notwendigen Cookies hinaus laden wir Tracking-Tools (Google Analytics 4, Google Ads, Meta-Pixel) nur, wenn Sie hierfür in unserem Consent-Banner aktiv eingewilligt haben. Reichweitenmessung erfolgt zusätzlich cookie-frei via Plausible.
7a. Einwilligungs-Management (Consent-Banner)
Beim ersten Besuch unserer Website zeigen wir Ihnen einen Consent-Banner, der explizit nach Ihrer Einwilligung für nicht notwendige Cookies und Tracking-Tools fragt. Ohne Ihre aktive Auswahl wird kein einwilligungspflichtiger Tracker geladen. Die Schaltflächen „Alle akzeptieren", „Alle ablehnen" und „Anpassen" sind gleichwertig gestaltet (kein Dark Pattern). Sie können Ihre Auswahl jederzeit über den Link „Cookie-Einstellungen" im Footer der Website ändern oder vollständig widerrufen.
Wir speichern Ihre Entscheidung in einem First-Party-Cookie sowie im localStorage Ihres Browsers (Schlüssel: marginly-consent-v1, Speicherdauer: 180 Tage). Nach Ablauf bzw. nach einem Widerruf wird der Banner erneut angezeigt. Rechtsgrundlage für die Speicherung der Einwilligung selbst ist Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 DSGVO (Nachweispflicht).
7b. Google Analytics 4
Sofern Sie im Consent-Banner der Kategorie „Analyse" zustimmen, setzen wir Google Analytics 4 (GA4) ein, einen Webanalyse-Dienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. GA4 erstellt mit Hilfe von Cookies (u. a. _ga, _ga_*) pseudonyme Nutzungsprofile zur Verbesserung unseres Webangebots. Die IP-Adresse wird durch den Parameter „anonymize_ip" gekürzt.
Eine Übermittlung in die USA findet statt. Rechtsgrundlage der Übermittlung sind die EU-Standardvertragsklauseln (Beschluss (EU) 2021/914) sowie der EU-US Data Privacy Framework (DPF) — Google LLC ist DPF-zertifiziert. Speicherdauer der GA4-Cookies: bis zu 24 Monate. Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
7c. Google Ads Conversion-Tracking
Sofern Sie im Consent-Banner der Kategorie „Marketing" zustimmen, setzen wir Google Ads Conversion-Tracking ein, einen Dienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Klicken Sie auf eine von uns geschaltete Anzeige bei Google, wird ein Cookie (u. a. _gcl_au) auf Ihrem Endgerät gespeichert. Dieses Cookie hilft uns zu messen, ob Klicks auf unsere Anzeigen zu Anmeldungen oder Conversions führen.
Die Daten werden an Server von Google in den USA übertragen. Rechtsgrundlage der Übermittlung sind die EU-Standardvertragsklauseln sowie der EU-US Data Privacy Framework (DPF). Speicherdauer des _gcl_au-Cookies: 90 Tage. Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf jederzeit über die Cookie-Einstellungen möglich.
7d. Meta-Pixel (Facebook/Instagram)
Sofern Sie im Consent-Banner der Kategorie „Marketing" zustimmen, setzen wir den Meta-Pixel ein, einen Dienst der Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland. Der Pixel setzt Cookies (u. a. _fbp) und sendet u. a. Ihre IP-Adresse, Browser-Informationen sowie aufgerufene Seiten an Meta. Wir nutzen den Pixel, um Conversions aus Facebook- und Instagram-Anzeigen zu messen und Sie zielgerichteter mit relevanten Inhalten anzusprechen (Retargeting).
Meta verarbeitet die Daten auch in den USA. Rechtsgrundlage der Übermittlung sind die EU-Standardvertragsklauseln sowie der EU-US Data Privacy Framework (DPF) — Meta Platforms Inc. ist DPF-zertifiziert. Speicherdauer des _fbp-Cookies: 90 Tage. Hinweis: Für die gemeinsame Verarbeitung mit Meta liegt eine Vereinbarung nach Art. 26 DSGVO vor (Joint-Controller-Addendum). Rechtsgrundlage der Verarbeitung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf jederzeit über die Cookie-Einstellungen möglich.
8. Newsletter
Sofern Sie sich für unseren Newsletter anmelden, verwenden wir das Double-Opt-In-Verfahren (DOI): Nach Eingabe Ihrer E-Mail-Adresse senden wir Ihnen eine Bestätigungs-E-Mail über unseren Versanddienstleister Resend Ltd. Erst nach Klick auf den dort enthaltenen Link erhalten Sie weitere Newsletter. Wir protokollieren Anmeldung und Bestätigung (Zeitstempel, IP-Adresse) zum Nachweis.
Sie können den Newsletter jederzeit ohne Angabe von Gründen abbestellen, entweder über den Abmelde-Link in jeder Newsletter-E-Mail oder per E-Mail an hello@themarketplaceguys.com. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 7 Abs. 2 Nr. 3 UWG.
9. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:
- Vertragsdaten: für die Dauer des Vertragsverhältnisses; nach Vertragsende bis zum Ablauf gesetzlicher Aufbewahrungsfristen (regelmäßig 10 Jahre für Rechnungen und Buchungsbelege gemäß § 257 HGB / § 147 AO).
- Server-Logfiles: maximal 14 Tage.
- Newsletter-Anmeldedaten: bis zum Widerruf der Einwilligung.
- OTTO-Auftragsdaten (Auftragsverarbeitung): nach Maßgabe der Weisung des Kunden, im Übrigen Löschung nach Vertragsende.
10. Rechte der betroffenen Personen
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden Daten:
- Auskunftsrecht (Art. 15 DSGVO) – Auskunft über Ihre verarbeiteten Daten.
- Recht auf Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten.
- Recht auf Löschung (Art. 17 DSGVO) – „Recht auf Vergessenwerden".
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Herausgabe in einem gängigen, maschinenlesbaren Format.
- Widerspruchsrecht (Art. 21 DSGVO) – gegen Verarbeitungen auf Grundlage berechtigter Interessen, insbesondere Direktwerbung.
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – mit Wirkung für die Zukunft.
- Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an dpo@themarketplaceguys.com.
11. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist:
Landesbeauftragte für Datenschutz und InformationsfreiheitNordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
Telefon: 0211 38424-0
E-Mail: poststelle@ldi.nrw.de
12. Änderungsvorbehalt
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Stand: 2026-05-10