Auftragsverarbeitungsvertrag (AVV)

Supabase Inc.

Delaware-Corporation (USA); operativer Sitz: 970 Toa Payoh North #07-04, Singapore 318992

Zweck: Datenbank (PostgreSQL), Authentifizierung, Dateispeicherung

Daten: Alle in der Plattform gespeicherten Daten

Standort: EU (Irland)

Vercel Inc.

354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Zweck: Hosting der Webanwendung (Serverless-Funktionen und Edge-CDN), Auto-Scaling, Multi-AZ-Redundanz

Daten: IP-Adressen und technische Verbindungsdaten der Webanwendung. Anwendungsinhalte werden zu keinem Zeitpunkt dauerhaft bei Vercel gespeichert — die Serverless-Funktionen verarbeiten Daten ausschließlich transient im Funktions-Memory. Persistente Speicherung erfolgt bei Supabase (Anwendungsdaten) bzw. AWS S3 (verschlüsselte Backups) — siehe eigene Einträge.

Standort: EU-Datenresidenz Frankfurt-Region; konzerninterner Sitz Vercel Inc. in den USA

Garantien: Datenverarbeitung erfolgt operativ in der EU-Region Frankfurt; konzerninterne Zugriffe der US-Mutter sind durch EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Vercel Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO abgeschlossen.

Amazon Web Services EMEA SARL (S3-Backup)

38 Avenue John F. Kennedy, L-1855 Luxemburg

(Eigenständiger Vertragsgegenstand und Region, unabhängig vom AWS-Bedrock-Eintrag für die KI-Belegerkennung weiter unten — gleiche Rechtspersönlichkeit, aber getrennter Zweck und eigener Bucket.)

Zweck: Verschlüsselter Cross-Region-Backup-Storage der Anwendungsdatenbank (tägliche automatische Backups als geographisch getrenntes Secondary)

Daten: Verschlüsselte Snapshot-Dateien der Supabase-Datenbank (Anwendungsinhalte, Käufer-PII gemäß Anonymisierungs-Lifecycle, gehashte Authentifizierungs- daten). Die Snapshots werden zweischichtig verschlüsselt: AES-256-GCM auf Anwendungsebene mit dediziertem Backup-Schlüssel plus serverseitige SSE-KMS Verschlüsselung mit einem AWS-KMS-Customer-Managed-Key (FIPS 140-2 Level 3 HSM-gestützt, FIPS 140-3 Level 3-Validierung lt. AWS in Bearbeitung). Ein Angreifer müsste beide Schlüsselquellen gleichzeitig kompromittieren.

Aufbewahrungsdauer: 24 Tage rollierend (S3-Lifecycle-Policy) — innerhalb der DSGVO-Aufbewahrungs- und der Amazon-DPP-30-Tage- Window. Operative PII-Anonymisierung der Quelldatenbank täglich um 02:00 UTC (RETENTION_DAYS = 30).

Standort: Region eu-central-1 (Frankfurt am Main, Deutschland) — rund 1.300 km vom Supabase-Primary in Dublin entfernt, eigenständige EU-Jurisdiktion

Garantien: Verarbeitung ausschließlich in der EU; AWS Data Processing Addendum (DPA), Teil der AWS- Nutzungsbedingungen (aws.amazon.com/compliance/gdpr-center). Alle KMS-, S3- und IAM-API-Aufrufe sind durch eine dedizierte CloudTrail-Spur mit Log-File-Integrity- Validation und 12+ Monate Retention abgesichert.

Stripe Inc.

354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Zweck: Zahlungsabwicklung, Abo-Verwaltung

Daten: E-Mail-Adresse, Zahlungsinformationen, Abo-Status

Garantien: EU-Standardvertragsklauseln, PCI DSS Level 1

Amazon Web Services EMEA SARL

38 Avenue John F. Kennedy, L-1855 Luxemburg

Zweck: Infrastruktur für KI-gestützte Belegerkennung (Amazon Bedrock). Ausführung der Anthropic Claude KI-Modelle in europäischen Rechenzentren.

Daten: Beleg-Bilder und -PDFs zur Extraktion von Rechnungsdaten (werden an das KI-Modell weitergeleitet, nicht dauerhaft bei AWS gespeichert)

Standort: EU (Irland, Frankfurt, Paris, Stockholm)

Garantien: AWS Data Processing Addendum (DPA), automatisch Teil der AWS-Nutzungsbedingungen (aws.amazon.com/compliance/gdpr-center). EU-Datenresidenz durch EU Cross-Region Inference Profiles — Daten verlassen die EU nicht. CloudWatch-Logging ist deaktiviert (keine Speicherung von Prompt-Inhalten). CloudTrail protokolliert nur API-Metadaten (wer, wann, welches Modell), nicht den Inhalt.

Anthropic PBC

548 Market St, San Francisco, CA 94104, USA

Zweck: KI-Modell für Belegerkennung (Datenextraktion aus hochgeladenen Rechnungen und Belegen). Anthropic stellt das KI-Modell (Claude) bereit, das über AWS Bedrock in der EU ausgeführt wird.

Daten: Beleg-Bilder und -PDFs werden zur Verarbeitung an das Claude-Modell übermittelt

Standort: EU (Ausführung über AWS Bedrock in europäischen Rechenzentren)

Garantien: Auftragsverarbeitungsvertrag (DPA) mit EU-Standardvertragsklauseln (SCCs), automatisch in den Anthropic Commercial Terms enthalten. Übermittelte Daten werden nicht für KI-Training verwendet. Maximale Speicherdauer bei Anthropic: 30 Tage (Trust & Safety).

Verarbeitungskette: FakturaCloud → AWS Bedrock (EU-Infrastruktur) → Anthropic Claude (KI-Modell). Beide Auftragsverarbeiter verfügen über eigene DPAs mit EU-Standardvertragsklauseln.

Zoho Corporation B.V. (ZeptoMail)

Hoogoorddreef 15, 1101 BA Amsterdam, Niederlande

Zweck: Transaktionaler E-Mail-Versand (Versand von Geschäftsdokumenten per E-Mail über SMTP)

Daten: Empfänger-E-Mail-Adresse, Betreff, E-Mail-Inhalt, Anhänge (PDF-Dokumente)

Standort: EU (Niederlande)

Garantien: DSGVO-konformer Sitz in der EU, Auftragsverarbeitungsvertrag (DPA) mit Zoho

Functional Software Inc. (Sentry)

45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA

Zweck: Fehlererkennung, Performance-Monitoring (Web-Vitals: LCP, CLS, INP, TTFB, FCP — 10 %-Stichprobe) und Sicherheitsüberwachung (u. a. Brute-Force-Detection bei Login-Fehlversuchen)

Daten: Technische Fehlerdaten (Stack-Trace, Fehlermeldung), Browser- und Geräteinformationen, URL des Aufrufs, Performance-Traces (anonyme Stichprobe); IP-Adressen werden vor Speicherung serverseitig entfernt (IP-Scrubbing); bei Login-Fehlversuchen ausschließlich die E-Mail-Domain (nie der Local-Part). Sensible Felder (Passwörter, Tokens, Cookies, Kreditkartendaten) werden automatisch entfernt. Kein Session-Replay.

Standort: Datenhosting in der EU (Frankfurt); Mutterkonzern in den USA

Aufbewahrungsdauer: 90 Tage (Sentry-Standard)

Garantien: Standard-Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO der Functional Software Inc. (sentry.io/legal/dpa) inklusive EU-Standardvertragsklauseln (SCCs) für etwaige konzerninterne US-Mutter-Zugriffe; EU-Datenresidenz (Frankfurt), aktivierter Data Scrubber, IP-Scrubbing, kein Session-Replay

Deutsche Post DHL Group

Charles-de-Gaulle-Str. 20, 53113 Bonn, Deutschland

Zweck: Erstellung von Versandlabels (Parcel DE Shipping API) und Sendungsverfolgung (Parcel DE Tracking API)

Daten: Empfängeradresse (Name, Straße, PLZ, Ort, Land), Absenderadresse, Paketgewicht/-maße

Standort: Deutschland

Etsy Inc.

117 Adams Street, Brooklyn, NY 11201, USA

Zweck: Bestellabruf über die Etsy Open API v3, automatische Versandbestätigung mit Tracking-Nummern sowie Bestandssynchronisation für Etsy-Listings des Verantwortlichen.

Daten: Käufer-Name und Lieferadresse, Bestellpositionen und Beträge, Tracking-Nummern, Listing- und Bestandsdaten

Standort: USA

Garantien: EU-Standardvertragsklauseln (SCCs) als Transfer-Grundlage, Etsy API Terms of Use mit Service-Provider-Klauseln. Ergänzend — soweit Etsy Inc. unter dem EU-US Data Privacy Framework zertifiziert ist — der DPF-Schutz. Käufer-bezogene personenbezogene Daten werden in FakturaCloud nach standardmäßig 30 Tagen ab Bestellzustellung gelöscht; bei laufender Retoure oder Kundenanfrage verlängert sich die Aufbewahrung auf maximal 90 Tage (siehe Datenschutzerklärung §6 und Art. 30 VT-04).

Amazon EU S.à r.l.

38 Avenue John F. Kennedy, L-1855 Luxemburg

(Seit 01.08.2024 die Contracting Party für die Amazon Selling Partner API. Nicht zu verwechseln mit Amazon Web Services EMEA SARL, siehe eigener Eintrag oben — gleiche Anschrift, aber eigenständige Rechtspersönlichkeit und unterschiedlicher Verarbeitungszweck.)

Zweck: Bestellabruf über die Amazon Selling Partner API (SP-API), automatische Versandbestätigung mit Tracking-Nummern und Bestandssynchronisation für Amazon-Angebote des Verantwortlichen.

Daten: Käufer-Lieferadressen (Name, Straße, PLZ, Ort, Land), Bestelldaten (Bestellnummer, Artikel, Mengen, Beträge), Tracking-Nummern

Standort: EU (Luxemburg)

Garantien: Amazon SP-API Data Protection Policy, Amazon Acceptable Use Policy. Für etwaige konzerninterne Übermittlungen an Amazon.com Services LLC (USA): EU-Standardvertragsklauseln im Rahmen des Amazon Data Processing Addendum. Käufer-bezogene personenbezogene Daten werden in FakturaCloud nach maximal 30 Tagen automatisch gelöscht (siehe Datenschutzerklärung, Abschnitt Amazon-Integration).

Telegram FZ-LLC

Building 13, Office 304, Dubai Media City, Dubai, UAE

Zweck: Optionale Push-Benachrichtigungen pro Brand bei Marketplace-Events (z. B. Amazon-Feed-Fehler, Etsy-Webhook-Ereignis). Wird nur aktiv, wenn der Händler die Telegram-Anbindung in den Brand-Settings ausdrücklich aktiviert.

Daten: Telegram-Chat-ID des Händlers (numerische Telegram-Kennung) und vom Händler vergebene Chat-Bezeichnungen (z. B. „Mein Privat-Chat“, „Team-Gruppe“, können bei Verwendung von Mitarbeiter-Namen personenbezogene Daten enthalten) sowie DSGVO-minimierte Benachrichtigungs-Inhalte: interne Bestellnummer, Marktplatz-Flagge, Stadt, Summe. Keine Käufernamen, keine Adressen, keine Marktplatz-Nummern werden an Telegram übermittelt.

Standort: Vereinigte Arabische Emirate (Drittland ohne Angemessenheitsbeschluss)

Garantien: Übermittlung erfolgt ausschließlich mit ausdrücklicher Einwilligung pro Brand gemäß Art. 49 Abs. 1 lit. a DSGVO (Einwilligung in eine ausdrücklich vorgesehene Drittland-Übermittlung nach Hinweis auf das Fehlen eines Angemessenheitsbeschlusses). Die Payloads enthalten keine personenbezogenen Daten von Käufern; die Chat-ID des Händlers wird in unserer EU-gehosteten Datenbank gespeichert (At-Rest-Verschlüsselung AES-256 durch AWS RDS, Row-Level-Security pro Händler-Account) und bei Opt-Out unverzüglich gelöscht. Optional vergebene Chat-Bezeichnungen folgen demselben Lifecycle. Der Händler kann die Telegram-Anbindung jederzeit in seinen Brand-Settings deaktivieren.

Nachweis: Die Einwilligung wird in unserem internen Einwilligungs-Protokoll persistent dokumentiert (Art. 7 Abs. 1 DSGVO Rechenschaftspflicht): Zeitpunkt, IP-Adresse, User-Agent und SHA-256-Hash des angezeigten Disclosure-Wordings. Bei Wording-Updates erzeugt das System einen neuen Hash; Bestandskunden erhalten 30 Tage Grace-Period mit Banner zur erneuten Bestätigung — danach pausiert der Sendepfad die Übermittlung automatisch (Hard-Lock), bis erneut zugestimmt wurde.