Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der Onlyfy-Plattform. Sie wird automatisch Bestandteil des Nutzungsvertrags zwischen der Händlerin/dem Händler („Verantwortliche:r") und [Firmenname, z. B. Onlyfy GmbH] („Auftragsverarbeiter") gemäß den AGB für Händler:innen.
Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten der Endkund:innen der Verantwortlichen durch den Auftragsverarbeiter im Rahmen des Betriebs der Onlyfy-Plattform. Die Dauer entspricht der Laufzeit des Hauptvertrags.
Verwaltung von Produktkatalog, Bestellungen und Kundenbeziehungen im Online-Shop der Verantwortlichen, einschließlich Zahlungsabwicklung, Versand, E-Mail-Kommunikation (Bestellbestätigungen, Newsletter bei erteilter Einwilligung) und optionaler KI-gestützter Funktionen.
Kund:innen und Interessent:innen der Verantwortlichen (Käufer:innen im Shop).
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der/des Verantwortlichen — insbesondere im Rahmen der durch die Plattform bereitgestellten Funktionen (Dashboard, Merchant-API). Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er die/den Verantwortliche:n unverzüglich.
Der Auftragsverarbeiter setzt zur Erfüllung seiner Pflichten die folgenden Unterauftragsverarbeiter ein. Die/der Verantwortliche stimmt deren Einsatz hiermit generell zu; über den Austausch oder die Hinzunahme weiterer Unterauftragsverarbeiter wird die/der Verantwortliche vorab informiert und kann innerhalb angemessener Frist widersprechen.
| Anbieter | Zweck | Standort |
|---|---|---|
| Google LLC / Google Cloud (Firebase) | Authentifizierung, Datenbank (Firestore), Datei-Speicher, Cloud Functions — Kernhosting der Plattform. | Google-Rechenzentren, Region europe-west1 (Belgien) konfiguriert. |
| Vercel Inc. | Hosting der Dashboard- und Storefront-Webanwendungen. | USA (mit EU-Auftragsverarbeitungsvertrag/Standardvertragsklauseln). |
| Stripe Payments Europe, Ltd. / Stripe, Inc. | Zahlungsabwicklung für Plattform-Abos sowie Checkout & Auszahlungen der Händler:innen (Stripe Connect). | Irland/USA. |
| Anthropic, PBC | KI-Funktionen (Chat-Assistent, Business-Coach, Content-Generierung) — Eingaben werden zur Verarbeitung an die Anthropic-API übermittelt. | USA (mit Standardvertragsklauseln). |
| Resend (Resend Inc.) | Transaktions- und Marketing-E-Mail-Versand im Auftrag der Händler:innen. | USA (mit Standardvertragsklauseln). |
| Higgsfield AI / HeyGen | KI-Video-Generierung (UGC-Ads, Avatar-Videos) — nur wenn eine Händlerin/ein Händler dieses Feature aktiv nutzt. | Wird je nach Anbieter ergänzt, sobald Verträge abgeschlossen sind. |
Die/der Verantwortliche kann sich in angemessenem Umfang von der Einhaltung der in dieser Vereinbarung festgelegten Pflichten überzeugen, insbesondere durch Einholung von Auskünften und Nachweisen. Der Auftragsverarbeiter unterstützt dabei in zumutbarem Rahmen.
Der Auftragsverarbeiter meldet der/dem Verantwortlichen eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, damit diese ihrer eigenen Meldepflicht nach Art. 33/34 DSGVO nachkommen kann.
Nach Beendigung des Hauptvertrags kann die/der Verantwortliche ihre/seine Daten über die Export-Funktion im Dashboard sichern. Der Auftragsverarbeiter löscht sämtliche personenbezogenen Daten nach Ablauf gesetzlicher Aufbewahrungsfristen (insb. handels-/steuerrechtlich, i. d. R. 6–10 Jahre für Bestell- und Rechnungsdaten), sofern keine anderslautende Weisung erteilt wird.
Es gilt die Haftungsregelung der AGB für Händler:innen, soweit diese Vereinbarung keine abweichenden Regelungen trifft. Im Verhältnis zu betroffenen Personen haften die Parteien nach Art. 82 DSGVO.