DSGVO im Amazon-Repricing rechtssicher
Sie autorisieren einen Cloud-Repricer für Ihren Amazon-Account, klicken die AGB weg und legen los. Was dabei selten jemand liest: Mit diesem Klick werden Sie datenschutzrechtlich zum Verantwortlichen - und der Anbieter zu Ihrem Auftragsverarbeiter. Heißt konkret: Sie müssen einen Auftragsverarbeitungsvertrag abschließen, die Serverstandorte prüfen und haften am Ende selbst, wenn beim Anbieter etwas schiefläuft. Die DSGVO gilt im Repricing nicht nur für Kundendaten. Sie gilt für die Tools, die Sie einsetzen.
Das ist Bürokratie, ja. Aber die Bußgelder sind real, und Unwissenheit zählt vor der Aufsichtsbehörde nicht als Entschuldigung.
Wann wird ein Cloud-Repricer zum Auftragsverarbeiter?
Auftragsverarbeiter ist nach DSGVO jeder, der personenbezogene Daten in Ihrem Auftrag verarbeitet. Bei einem Cloud-Repricer passiert genau das, sobald der Anbieter Ihre Daten auf seinen Servern speichert.
Der Ablauf: Sie autorisieren das Tool für den Zugriff auf Ihren Amazon-Account. Der Anbieter holt sich Verkaufsdaten, Preise, Lagerbestände und Konkurrenzpreise, speichert sie auf seinen Servern, berechnet daraus neue Preise und setzt diese über die Amazon-API. Dabei verarbeitet er Ihre SP-API-Credentials, die Ihnen als Unternehmer zugeordnet und damit personenbezogen sind. Je nach Tool kommen Einkaufspreise, Kalkulationen und manchmal Kundendaten dazu.
Rechtlich ist der Anbieter damit Auftragsverarbeiter, Sie bleiben Verantwortlicher. Und Sie sind nach Art. 28 DSGVO verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen. Das ist keine Empfehlung, sondern Pflicht.
Was muss im AVV mit dem Repricer-Anbieter stehen?
Ein Auftragsverarbeitungsvertrag regelt, wie der Anbieter mit Ihren Daten umgeht. Die DSGVO schreibt einen Mindestinhalt vor: Gegenstand und Dauer der Verarbeitung, Art der Daten, Kategorien betroffener Personen (Sie als Händler, gegebenenfalls Ihre Mitarbeiter), die Pflichten und Rechte des Verantwortlichen sowie die technischen und organisatorischen Maßnahmen, mit denen der Anbieter Ihre Daten schützt. Dazu gehören Serverstandorte und eingebundene Subunternehmer.
Genau die Subunternehmer werden in der Praxis übersehen. Hosting bei AWS, E-Mail-Versand über SendGrid, Support-Tickets bei Zendesk - jeder dieser Dienstleister wird zum Unterauftragsverarbeiter und muss seinerseits DSGVO-konform arbeiten. Bindet der Anbieter einen neuen Subunternehmer ein, muss er Sie vorab informieren, und Sie haben ein Widerspruchsrecht. Kontrolliert wird das selten. Verpflichtet sind Sie trotzdem.
Ein Punkt, der oft fehlt: Was nach Vertragsende mit Ihren Daten passiert. Der Auftragsverarbeiter muss sie löschen oder an Sie herausgeben. Die meisten Anbieter exportieren Ihre Konfiguration und löschen historische Daten nach einer Frist von etwa 30 Tagen. Ob die Daten dann wirklich physisch verschwinden oder noch in Backups und Logs liegen, können Sie nicht überprüfen. Seriöse Cloud-Repricer bieten standardisierte AVVs zum Akzeptieren im Kundenportal an - lesen müssen Sie sie trotzdem, denn nicht jeder angebotene Vertrag ist sauber. Warum lokale Datenhaltung diese Vertragskette komplett umgeht, beschreibt der Beitrag zu Verkaufsdaten lokal speichern statt Cloud.
Serverstandorte und Drittstaaten-Transfer bei Cloud-Repricern
Wo die Server Ihres Repricers stehen, ist keine akademische Frage, sondern rechtlich entscheidend. Daten außerhalb der EU unterliegen anderen Datenschutzgesetzen, und die Übermittlung in Drittstaaten - USA, UK seit dem Brexit, die Schweiz - ist nach DSGVO nur unter strengen Auflagen erlaubt.
Seit dem Schrems-II-Urteil des EuGH von 2020 ist die Lage kompliziert. Das Privacy-Shield-Abkommen mit den USA ist ungültig. Stattdessen braucht es Standardvertragsklauseln plus zusätzliche technische Maßnahmen: Verschlüsselung, Zugriffskontrollen, Garantien gegen Behördenzugriff. Viele Repricer setzen auf AWS, Google Cloud oder Azure. Die betreiben zwar Rechenzentren in Frankfurt, replizieren aber oft global. Bei Lastspitzen oder Serverausfällen können Ihre Daten auf US-Servern landen. Prüfen und dokumentieren müssen Sie das als Verantwortlicher - sonst drohen Bußgelder.
Wer haftet bei einem Datenschutzverstoß im Repricing?
Der Knackpunkt: Auch wenn der Verstoß beim Auftragsverarbeiter passiert, haften Sie als Verantwortlicher. Wird der Cloud-Repricer gehackt und Ihre Amazon-Zugangsdaten fließen ab, müssen Sie die Datenpanne binnen 72 Stunden der Aufsichtsbehörde melden. Fehlt dann auch noch der AVV, ist das ein zusätzlicher Verstoß.
Die Größenordnung: Bußgelder reichen bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Solche Höchststrafen werden selten verhängt, klar. Aber die Aufsichtsbehörden werden strenger, und ein fehlender AVV oder eine unterlassene Anbieterprüfung sind leicht nachweisbare Verstöße. Weitere Szenarien, in denen Sie als Händler in die Pflicht genommen werden, zeigt der Beitrag zu DSGVO-Risiken bei Cloud-Anbietern.
Welche Repricing-Daten gelten als personenbezogen?
Ihre reinen Verkaufsdaten sind es meist nicht. Artikelnummern, Preise, Lagerbestände sind Geschäftsdaten, keine personenbezogenen Daten. Personenbezogen wird es bei Ihren Amazon-Zugangsdaten: SP-API-Credentials und MWS-Token sind Ihnen als Unternehmer zugeordnet, ebenso Ihre E-Mail-Adresse, Ihr Firmenname und Ihre Seller-ID.
Heikel wird es, sobald Sie im Repricer zusätzlich Kundendaten hinterlegen - Retouren-Informationen, Kunden-E-Mails, individuelle Rabatte. Dann verarbeitet der Anbieter Daten Ihrer Endkunden, und Sie brauchen dafür eine eigene Rechtsgrundlage. Gerade bei Tools, die Repricing mit CRM oder Support kombinieren, verschwimmen die Grenzen schnell. Welche Daten Cloud-Tools konkret speichern und warum das auch ein Wettbewerbsrisiko ist, erklärt der Beitrag zu Verkaufsdaten lokal speichern statt Cloud.
So macht das der PRICEPARSER
Der PRICEPARSER ist eine Windows-Software, die ausschließlich auf Ihrem PC läuft. Der Anbieter hat keinen Zugriff auf Ihre Daten, sie liegen lokal in Projektdateien. Damit wird der Anbieter nicht zum Auftragsverarbeiter - kein AVV, keine Prüfung von Serverstandorten, keine Subunternehmer-Kette, keine Drittstaaten-Frage.
Sie bleiben alleiniger Verantwortlicher. Ihre Amazon-Zugangsdaten liegen verschlüsselt auf Ihrem PC, ohne externen Zugriff, und die Software kommuniziert nur direkt mit Amazon, um Preise abzurufen und zu setzen. Das spart Papierkram und senkt Ihr Haftungsrisiko: keine Meldepflicht bei fremden Server-Hacks, keine Haftung für die Datenschutzverstöße eines Dienstleisters, keine Compliance-Dokumentation für eine Cloud, die Ihnen nicht gehört.
Die Lizenz kostet ab 19 Euro zzgl. MwSt. im Monat und ist monatlich kündbar. Warum Flexibilität gerade bei Datenschutzfragen zählt, lesen Sie unter monatlich kündbar vs. Jahresvertrag. Wenn Sie sich die DSGVO-Kette rund um Cloud-Repricer sparen wollen, testen Sie den PRICEPARSER 14 Tage kostenlos.
Häufige Fragen
Gilt die DSGVO auch, wenn ich als Einzelunternehmer ohne Mitarbeiter verkaufe?
Muss ich das Repricing in mein Verzeichnis von Verarbeitungstätigkeiten aufnehmen?
Schützt mich ein abgeschlossener AVV vor Bußgeldern?
Weitere Artikel
Cloud-Anbieter pleite: Ihre Daten weg
Insolvenz, Übernahme, Service-Ende: Was passiert mit Ihren Repricing-Daten, wenn der Cloud-Anbieter verschwindet? Vendor-Lock-in vermeiden.
Weiterlesen →Amazon-Zugangsdaten sicher verwalten
SP-API-Credentials, MWS-Token, Seller-Zugang: Wie Sie Amazon-Zugangsdaten im Repricing schützen. Cloud vs. lokal - Sicherheitsrisiken im Vergleich.
Weiterlesen →Verkaufsdaten lokal speichern statt Cloud
Lokale Datenhaltung vs. Cloud: Wer sieht Ihre Amazon-Verkaufszahlen, Margen und Strategien? Datenschutz, Kontrolle und Risiken im Vergleich.
Weiterlesen →