Onlyfy
Entwurf — noch nicht anwaltlich geprüft. Vor Livegang bitte durch eine:n Anwält:in bzw. einen spezialisierten Dienst (z. B. eRecht24, Trusted Shops) prüfen lassen.

Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung der Onlyfy-Plattform. Sie wird automatisch Bestandteil des Nutzungsvertrags zwischen der Händlerin/dem Händler („Verantwortliche:r") und [Firmenname, z. B. Onlyfy GmbH] („Auftragsverarbeiter") gemäß den AGB für Händler:innen.

§ 1 Gegenstand und Dauer

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten der Endkund:innen der Verantwortlichen durch den Auftragsverarbeiter im Rahmen des Betriebs der Onlyfy-Plattform. Die Dauer entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Verwaltung von Produktkatalog, Bestellungen und Kundenbeziehungen im Online-Shop der Verantwortlichen, einschließlich Zahlungsabwicklung, Versand, E-Mail-Kommunikation (Bestellbestätigungen, Newsletter bei erteilter Einwilligung) und optionaler KI-gestützter Funktionen.

Kategorien betroffener Personen

Kund:innen und Interessent:innen der Verantwortlichen (Käufer:innen im Shop).

Kategorien personenbezogener Daten

§ 3 Weisungsrecht der/des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der/des Verantwortlichen — insbesondere im Rahmen der durch die Plattform bereitgestellten Funktionen (Dashboard, Merchant-API). Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er die/den Verantwortliche:n unverzüglich.

§ 4 Pflichten des Auftragsverarbeiters

§ 5 Technische und organisatorische Maßnahmen (TOM)

§ 6 Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt zur Erfüllung seiner Pflichten die folgenden Unterauftragsverarbeiter ein. Die/der Verantwortliche stimmt deren Einsatz hiermit generell zu; über den Austausch oder die Hinzunahme weiterer Unterauftragsverarbeiter wird die/der Verantwortliche vorab informiert und kann innerhalb angemessener Frist widersprechen.

AnbieterZweckStandort
Google LLC / Google Cloud (Firebase)Authentifizierung, Datenbank (Firestore), Datei-Speicher, Cloud Functions — Kernhosting der Plattform.Google-Rechenzentren, Region europe-west1 (Belgien) konfiguriert.
Vercel Inc.Hosting der Dashboard- und Storefront-Webanwendungen.USA (mit EU-Auftragsverarbeitungsvertrag/Standardvertragsklauseln).
Stripe Payments Europe, Ltd. / Stripe, Inc.Zahlungsabwicklung für Plattform-Abos sowie Checkout & Auszahlungen der Händler:innen (Stripe Connect).Irland/USA.
Anthropic, PBCKI-Funktionen (Chat-Assistent, Business-Coach, Content-Generierung) — Eingaben werden zur Verarbeitung an die Anthropic-API übermittelt.USA (mit Standardvertragsklauseln).
Resend (Resend Inc.)Transaktions- und Marketing-E-Mail-Versand im Auftrag der Händler:innen.USA (mit Standardvertragsklauseln).
Higgsfield AI / HeyGenKI-Video-Generierung (UGC-Ads, Avatar-Videos) — nur wenn eine Händlerin/ein Händler dieses Feature aktiv nutzt.Wird je nach Anbieter ergänzt, sobald Verträge abgeschlossen sind.

§ 7 Kontrollrechte

Die/der Verantwortliche kann sich in angemessenem Umfang von der Einhaltung der in dieser Vereinbarung festgelegten Pflichten überzeugen, insbesondere durch Einholung von Auskünften und Nachweisen. Der Auftragsverarbeiter unterstützt dabei in zumutbarem Rahmen.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet der/dem Verantwortlichen eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, damit diese ihrer eigenen Meldepflicht nach Art. 33/34 DSGVO nachkommen kann.

§ 9 Löschung und Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags kann die/der Verantwortliche ihre/seine Daten über die Export-Funktion im Dashboard sichern. Der Auftragsverarbeiter löscht sämtliche personenbezogenen Daten nach Ablauf gesetzlicher Aufbewahrungsfristen (insb. handels-/steuerrechtlich, i. d. R. 6–10 Jahre für Bestell- und Rechnungsdaten), sofern keine anderslautende Weisung erteilt wird.

§ 10 Haftung

Es gilt die Haftungsregelung der AGB für Händler:innen, soweit diese Vereinbarung keine abweichenden Regelungen trifft. Im Verhältnis zu betroffenen Personen haften die Parteien nach Art. 82 DSGVO.