Auftragsverarbeitungsvertrag (AVV)

Stand: 14. Mai 2026

Vertragsparteien

Auftraggeber (Verantwortlicher): Der Kunde gemäß registriertem shipply-Konto.

Auftragnehmer (Auftragsverarbeiter): Rubel Trading Company GmbH Gebrüder-Meyer-Str. 6 32758 Detmold Deutschland USt-ID: DE333859817 HRB 10005 (Amtsgericht Lemgo)

§ 1 Gegenstand und Dauer

(1) Gegenstand dieses Auftragsverarbeitungsvertrags (AVV) ist die Verarbeitung personenbezogener Daten durch shipply im Auftrag des Kunden im Rahmen der Nutzung der shipply-Plattform.

(2) Dieser AVV beginnt mit Vertragsschluss zur Plattformnutzung und endet mit Beendigung des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

shipply verarbeitet im Auftrag des Kunden folgende Daten zur Erbringung der vereinbarten Plattform- und Versandleistungen:

• Stammdaten der Endkunden (Name, Adresse, ggf. E-Mail) — zur Versand-Abwicklung
• Bestelldaten (gekaufte Produkte, Personalisierungen, Stückzahlen, Preise)
• Tracking-Daten (Sendungsnummern, Versandstatus)
• Bilder und Texte (Personalisierungs-Variablen aus Marketplace-Bestellungen)

§ 3 Kategorien betroffener Personen

Endkunden des Kunden, die Bestellungen über die mit shipply verbundenen Marketplaces oder Shops aufgeben.

§ 4 Pflichten von shipply

shipply verpflichtet sich, dass:

(1) Die Datenverarbeitung ausschließlich im Rahmen dieses AVV und auf dokumentierte Weisung des Kunden erfolgt.

(2) Alle Personen, die Daten verarbeiten, zur Vertraulichkeit verpflichtet sind oder einer geeigneten gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ergriffen werden — siehe Anlage 1.

(4) Bei Beendigung des Auftrags sämtliche Daten gemäß Wahl des Kunden gelöscht oder zurückgegeben werden, soweit nicht gesetzliche Aufbewahrungsfristen entgegenstehen.

(5) Der Kunde unverzüglich informiert wird, wenn shipply der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

(6) Bei Datenschutzverletzungen der Kunde unverzüglich (spätestens innerhalb 24 Stunden nach Kenntniserlangung) benachrichtigt wird.

§ 5 Subunternehmer

(1) shipply darf für die Auftragsverarbeitung Unterauftragsverarbeiter einsetzen. Der Kunde stimmt der Einbindung folgender Subunternehmer zu:

| Subunternehmer | Sitz | Zweck | |---|---|---| | Railway Corporation | USA | Hosting der Plattform (EU-Standardvertragsklauseln) | | Plausible Analytics OÜ | Estland (EU) | Anonyme Reichweitenmessung | | Cloudflare R2 | EU/Global | Asset-Storage (Bilder, Druckdaten) | | DHL, GLS, DPD | Deutschland | Versanddienstleistung | | Stripe Payments Europe | Irland | Zahlungsabwicklung |

(2) Bei Hinzunahme oder Wechsel eines Subunternehmers informiert shipply den Kunden mit angemessener Vorankündigung. Der Kunde hat das Recht, einer Änderung aus wichtigem Grund schriftlich zu widersprechen.

(3) shipply gewährleistet vertraglich, dass alle Subunternehmer dieselben Datenschutzpflichten einhalten wie shipply.

§ 6 Rechte des Kunden (Auftraggebers)

Der Kunde behält das Recht:

• Weisungen zu erteilen zur Verarbeitung der personenbezogenen Daten
• Kontrollen durchzuführen (in angemessener Form, nach Vorankündigung)
• Auskünfte zu verlangen über die Art und den Umfang der Datenverarbeitung
• Den Vertrag zu kündigen, wenn shipply schwerwiegend gegen diesen AVV verstößt

§ 7 Unterstützung des Kunden

shipply unterstützt den Kunden, soweit für ihn aufgrund seiner Position als Verantwortlicher erforderlich, bei:

• der Erfüllung der Rechte betroffener Personen (Art. 12–22 DSGVO)
• Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• der Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO)

§ 8 Vertraulichkeit

(1) shipply behandelt alle im Rahmen dieses AVV bekannt werdenden Daten und Informationen streng vertraulich.

(2) Die Vertraulichkeitsverpflichtung besteht über die Vertragsbeendigung hinaus fort.

§ 9 Haftung

Es gilt § 9 der AGB. Soweit gesetzlich zwingend, gilt für Schäden aus der Datenverarbeitung die Haftung nach Art. 82 DSGVO.

§ 10 Sonstiges

(1) Änderungen dieses AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.

(3) Gerichtsstand und anwendbares Recht: siehe § 11 der AGB.

Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)

shipply trifft folgende TOMs gemäß Art. 32 DSGVO:

Zugangskontrolle

• Server-Räume bei Hosting-Provider physisch gesichert
• Zugang zu Verwaltungsbereichen nur via Multi-Faktor-Authentifizierung

Datenträgerkontrolle

• Keine Verarbeitung auf lokalen Datenträgern
• Alle Daten in verschlüsselten Cloud-Storage-Systemen

Datenträgervernichtung

• Bei Beendigung sichere Löschung aller Daten

Speicherkontrolle

• Datenbank-Zugriff nur via authentifizierte Service-Accounts
• Vollständiges Audit-Log aller Zugriffe

Benutzerkontrolle

• Rollenbasierte Zugriffsrechte (RBAC)
• Mindestens komplexe Passwörter + 2FA für Admin-Konten

Zugriffskontrolle

• Auditing aller administrativen Aktionen
• Logs werden 90 Tage vorgehalten

Übertragungskontrolle

• Alle Datenübertragungen via TLS 1.3 verschlüsselt
• API-Zugriffe nur via OAuth 2.0 oder JWT

Eingabekontrolle

• Protokollierung aller Eingaben durch Benutzer im Audit-Log

Auftragskontrolle

• Subunternehmer geprüft und vertraglich auf gleiches Schutzniveau verpflichtet

Verfügbarkeitskontrolle

• Redundante Backups (täglich, 30 Tage Aufbewahrung)
• Disaster-Recovery-Plan
• 99,9% Uptime-SLA mit Hosting-Provider

Trennungsgebot

• Mandantenfähige Datenstrukturen — jedes Kunden-Konto in isolierter logischer Umgebung