Datenschutzerklärung für AMZ Profit & Amazon Selling Partner API (SP-API)

Stand: Juli 2025

Verantwortlicher:
Ridvan Pektas (Einzelunternehmen)
Honigsberger Str. 70, 45472 Mülheim an der Ruhr, Deutschland
E-Mail: admin@amz-profit.com
Website: https://app.amz-profit.com / https://amz-profit.com

1. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung unserer Software AMZ Profit (Web-App) sowie unserer Webseiten. Sie beschreibt insbesondere die Verarbeitung von Daten, die nach Ihrer Autorisierung über die Amazon Selling Partner API (SP-API) abgerufen werden.

2. Rollenverständnis (DSGVO)

  • Für Website-Besuche und Ihr Kundenkonto bei AMZ Profit sind wir Verantwortlicher (Art. 4 Nr. 7 DSGVO).

  • Für SP-API-Daten handeln wir gegenüber dem jeweiligen Verkäuferkonto in der Regel als Auftragsverarbeiter (Art. 28 DSGVO). Ein Auftragsverarbeitungsvertrag (AVV) wird auf Wunsch bereitgestellt.

3. Welche Daten wir verarbeiten und wofür

3.1 Daten über die SP-API (Standard, ohne PII/RDT)

Nach Ihrer aktiven OAuth-Autorisierung rufen wir nur die für Auswertungen erforderlichen Nicht-PII-Daten ab, typischerweise:

  • Bestell- und Verkaufskennzahlen (ohne Käufernamen/-adressen),

  • Gebühren- und Abrechnungsdaten,

  • Produkt-, Preis-, Lager- und Versandstatus-Informationen.

Zwecke: KPI-Berechnung (Umsatz, Gebühren, Profit), Visualisierung/Dashboards, Forecast/Controlling, Fehlersuche/Support.

3.2 (Optional) Verarbeitung von PII/Restricted Data

Nur wenn Sie diese Funktionen gesondert freischalten und wir dafür Restricted Data Tokens (RDT) bzw. entsprechende Rollen aktivieren, verarbeiten wir personenbezogene Bestelldaten wie Empfängername, Anschrift, Telefonnummer, E-Mail.
Zusatz-Zwecke: z. B. steuerliche Auswertungen/Belege, Versandabgleich, Rückfragen zu spezifischen Transaktionen.

Standardmäßig ist AMZ Profit so konfiguriert, dass keine PII über die SP-API abgerufen wird.

3.3 Konten/Technische Daten

  • OAuth-Daten: Access-Token (kurzlebig), Refresh-Token (langfristig, serverseitig), ggf. RDT.

  • Nutzungs-/Protokolldaten: Zeitstempel von Abrufen, API-Fehlercodes (ohne PII), Gerät/Browser-Basics für Sicherheit/Fehleranalyse.

4. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung) für die Bereitstellung der App-Funktionen.

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Kontoverknüpfung via OAuth in Seller Central.

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Stabilität, Sicherheit, Missbrauchs- und Fehlervermeidung.

5. Herkunft der Daten

  • Direkt von Ihnen (Registrierung, Support-Kommunikation).

  • Von Amazon SP-API nach Ihrer expliziten Autorisierung (OAuth).

6. Empfänger / Auftragsverarbeiter / Hosting

Wir setzen sorgfältig ausgewählte technische Dienstleister (Hosting/Monitoring/Backups) als Auftragsverarbeiter ein. Eine stets aktuelle Liste unserer Unterauftragsverarbeiter sowie deren Verarbeitungsorte stellen wir auf Anfrage zur Verfügung.
Datenübermittlung in Drittländer: Sofern Dienste außerhalb des EWR eingesetzt werden, gewährleisten wir ein angemessenes Schutzniveau (z. B. EU-Standardvertragsklauseln). Wir achten auf Verschlüsselung und Zugriffsbeschränkung nach dem Need-to-know-Prinzip.

Hinweis: Wir verkaufen keine Daten und geben SP-API-Daten nicht zu eigenen Zwecken an Dritte weiter.

7. Speicherdauer & Löschfristen

  • OAuth-Zugangsdaten (Tokens/RDT): nur solange erforderlich; sofortige Löschung bei Widerruf/De-Auth (spätestens binnen 30 Tagen).

  • Nicht-PII SP-API-Daten: solange Ihr Account aktiv ist bzw. bis Sie die Löschung verlangen; aggregierte, anonymisierte Kennzahlen können länger gespeichert werden.

  • (Falls aktiviert) PII/Restricted Data: max. 30 Tage nach Auslieferung/Abschluss der jeweiligen Bestellung, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen (z. B. Steuerrecht).

  • Protokolle/Logs: ohne PII; übliche Aufbewahrung mindestens 90 Tage zur Fehleranalyse und Sicherheit.

8. Sicherheit (Auszug unserer TOMs)

  • Transport- & Speicher-Verschlüsselung: TLS 1.2+ in Transit; Datenbanken/Backups ruhend verschlüsselt (z. B. AES-256).

  • Zugriffsschutz: Rollen/Least-Privilege, MFA für Admins, quartalsweise Rechte-Reviews, getrennte Test/Prod-Umgebungen.

  • Token-Handhabung: Access/Refresh/RDT ausschließlich serverseitig, niemals im Frontend oder Client-Storage.

  • Logging/Monitoring: Keine PII in Logs; Alarmierung bei Auffälligkeiten; regelmäßige Patches/Vulnerability-Management.

  • Schlüssel-/Geheimnis-Management: sichere Rotation, segregierte Secrets.

  • Incident-Response: technisches und organisatorisches Verfahren zur Erkennung, Bewertung und Meldung von Sicherheitsvorfällen.

9. Widerruf & De-Autorisierung

Sie können die erteilte Berechtigung jederzeit in Amazon Seller Central widerrufen. Nach De-Auth entfernen wir sämtliche OAuth-Zugangsdaten und die zugeordneten Amazon-Daten spätestens innerhalb von 30 Tagen.
Zusätzlich können Sie Ihre Einwilligung in unserer App jederzeit mit Wirkung für die Zukunft widerrufen.

10. Cookies & vergleichbare Technologien

Unsere Web-App verwendet technisch notwendige Cookies (z. B. Session/CSRF-Schutz) zur sicheren Durchführung des OAuth-Flows und zur Anmeldung. Tracking-/Marketing-Cookies setzen wir nur, wenn hierfür eine Einwilligung vorliegt (sofern eingesetzt; sonst nicht).

11. Ihre Rechte (DSGVO)

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen. Sie haben außerdem das Recht, eine erteilte Einwilligung jederzeit zu widerrufen.
Beschwerderecht: Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren, z. B. bei der Landesbeauftragten für Datenschutz NRW.

Kontakt für Datenschutzanfragen: admin@amz-profit.com

12. Minderjährige

Unser Angebot richtet sich an Unternehmen/Verkäufer. Wir verarbeiten wissentlich keine Daten von Kindern.

13. Änderungen

Wir aktualisieren diese Datenschutzerklärung bei Bedarf und kennzeichnen das Änderungsdatum.

14. Anhang A – Klarstellungen zur SP-API-Nutzung

  1. Standardbetrieb (empfohlen, voreingestellt): Keine PII/RDT

    • Wir rufen keine Käufer-Identitätsdaten ab (kein Name, keine Adresse, keine Telefonnummer/E-Mail).

    • Profit-/Gebühren-Auswertungen basieren auf nicht-restriktierten Endpunkten (z. B. Gebühren/Finanzen, Bestell-/Artikelkennzahlen ohne Käuferdetails).

  2. Erweiterter Betrieb (nur auf ausdrückliche Freischaltung): PII/RDT aktiv

    • Wenn Sie Funktionen benötigen, die PII erfordern, aktivieren wir gemeinsam die dafür notwendigen Rollen/Scopes und Restricted Data Tokens (RDT).

    • Zusatzmaßnahmen: striktere Zugriffskontrollen, PII-Minimierung, Löschung binnen 30 Tagen (sofern keine längeren gesetzlichen Pflichten bestehen), keine PII in Logs/Exports, Support-Zugriffe nur nach Freigabe.

    • Diese Aktivierung wird in Ihrem Account nachvollziehbar dokumentiert.

  3. Datenexporte

    • Exporte aus AMZ Profit enthalten standardmäßig keine PII. PII-Exporte sind nur möglich, wenn PII/RDT zuvor aktiviert wurden und ein berechtigter Zweck besteht (z. B. steuerliche Nachweise).

Kontakt

Ridvan Pektas (Einzelunternehmen) • Honigsberger Str. 70, 45472 Mülheim an der Ruhr • admin@amz-profit.com