Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: März 2026
Vertragsparteien
Auftragsverarbeiter: Elektronikhandel Michael Graef, Breitscheidstraße 84, 70176 Stuttgart („LABELfleet“)
Verantwortlicher: Der Nutzer, der ein LABELfleet-Konto registriert hat und die Plattform zur Verarbeitung personenbezogener Daten seiner Endkunden nutzt.
Dieser AVV ergänzt die Allgemeinen Geschäftsbedingungen und wird mit der Registrierung wirksam.
1. Gegenstand & Dauer der Verarbeitung
Gegenstand: Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der LABELfleet-SaaS-Plattform (Versandetiketten-Erstellung, Rechnungsstellung, Bestellverwaltung, Retourenabwicklung, automatisierte Käufer-Kommunikation).
Dauer: Die Verarbeitung beginnt mit der Registrierung und endet mit der Löschung des Kontos. Nach Vertragsende werden die Daten innerhalb von 30 Tagen gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
2. Art der personenbezogenen Daten
Folgende Kategorien personenbezogener Daten werden verarbeitet:
- Empfängeradressen: Name, Straße, Postleitzahl, Ort, Land
- Kontaktdaten: E-Mail-Adressen der Käufer/Empfänger, Telefonnummern (sofern angegeben)
- Bestelldaten: Bestell-IDs, Artikelbeschreibungen, Preise, Marktplatz-Benutzernamen
- Versanddaten: Sendungsnummern, Sendungsstatus, Retouren-Daten
- Rechnungsdaten: Rechnungsnummern, Beträge, USt-IdNr.
- Kommunikationsdaten: Käufernachrichten (wenn KI-Agent aktiv)
3. Kategorien betroffener Personen
- Endkunden (Käufer) des Verantwortlichen
- Empfänger von Sendungen
- Kommunikationspartner des Verantwortlichen auf Marktplätzen
4. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
- Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind (Art. 28 Abs. 3 lit. b DSGVO)
- Geeignete technische und organisatorische Maßnahmen zu treffen (Art. 32 DSGVO, siehe Abschnitt 6)
- Den Verantwortlichen bei Betroffenenanfragen zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
- Den Verantwortlichen bei DSFA- und Konsultationspflichten zu unterstützen (Art. 28 Abs. 3 lit. f DSGVO)
- Nach Vertragsende alle personenbezogenen Daten zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO)
- Alle erforderlichen Informationen zum Nachweis der Einhaltung zur Verfügung zu stellen (Art. 28 Abs. 3 lit. h DSGVO)
- Den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten zu benachrichtigen (Art. 33 DSGVO)
5. Weisungsgebundenheit
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich gemäß den Weisungen des Verantwortlichen. Weisungen werden durch die Nutzung der Plattform erteilt (Konfiguration von Einstellungen, API-Aufrufe, manuelle Aktionen). Weitergehende Weisungen sind schriftlich zu erteilen (E-Mail an datenschutz@labelfleet.com).
Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich.
6. Technische & organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter implementiert folgende Maßnahmen gemäß Art. 32 DSGVO:
Verschlüsselung
- TLS 1.2+ für alle Daten im Transit (HTTPS erzwungen)
- Fernet-Verschlüsselung (AES-128-CBC) für sensible Zugangsdaten (DHL-Passwörter, IMAP/SMTP-Credentials, API-Keys)
- Passwörter mit bcrypt gehasht (Kostenfaktor 12)
Zugriffskontrolle
- Multi-Tenant-Datenisolierung (tenant_id auf jeder Datenbankabfrage)
- Zwei-Faktor-Authentifizierung (TOTP) und Passkey-Unterstützung
- API-Key-Authentifizierung mit Tenant-bezogenem Scoping
- SSH-Key-only Serverzugang (keine Passwort-Authentifizierung)
Verfügbarkeit & Backup
- Tägliche automatisierte Datenbank-Backups
- Docker-basiertes Deployment mit automatisierter CI/CD-Pipeline
- Server-Monitoring und Alerting über Ops Server
7. Unterauftragsverarbeiter
Der Verantwortliche erteilt die allgemeine Genehmigung zur Einschaltung folgender Unterauftragsverarbeiter:
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting (VPS) | Deutschland (Nürnberg) |
| DHL Paket GmbH | Versandetiketten-Erstellung & Sendungsverfolgung | Deutschland (Bonn) |
| Anthropic PBC | KI-gestützte Nachrichtengenerierung (wenn KI-Agent aktiv) | USA (EU-US Data Privacy Framework) |
| Resend Inc. | Transaktionale E-Mail-Zustellung | USA (EU-US Data Privacy Framework) |
Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bei Unterauftragsverarbeitern mit einer Frist von mindestens 14 Tagen. Der Verantwortliche kann innerhalb dieser Frist Einspruch erheben; wird keine Einigung erzielt, kann der Verantwortliche den Vertrag kündigen.
8. Löschung nach Vertragsende
Nach Beendigung des Vertrags wird der Auftragsverarbeiter:
- Dem Verantwortlichen für 30 Tage nach Vertragsende die Möglichkeit geben, alle Daten zu exportieren (JSON-Export über die Kontoeinstellungen)
- Alle personenbezogenen Daten nach Ablauf der 30-Tage-Exportfrist löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Die Löschung auf Anfrage schriftlich bestätigen
9. Kontroll- und Prüfrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter wird:
- Alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung stellen
- Überprüfungen und Inspektionen ermöglichen und dazu beitragen, auch durch einen vom Verantwortlichen beauftragten unabhängigen Prüfer
- Schriftliche Anfragen innerhalb von 14 Werktagen beantworten
Prüfungen erfolgen mit angemessener Vorankündigung (mindestens 14 Tage) und während der üblichen Geschäftszeiten. Die Kosten der Prüfung trägt der Verantwortliche, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß.
10. Kontakt
Für datenschutzrechtliche Anfragen und AVV-bezogene Angelegenheiten:
Elektronikhandel Michael Graef
Breitscheidstraße 84, 70176 Stuttgart
E-Mail: datenschutz@labelfleet.com