Version 1.0
zwischen Pladsly und dem Shop-Betreiber gemäß Art. 28 DSGVO
Dieser Auftragsverarbeitungsvertrag (im Folgenden „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten durch Pladsly im Rahmen der Erbringung der Dienste nach den Allgemeinen Geschäftsbedingungen für Shop-Betreiber (im Folgenden „AGB"). Der AVV gilt im Verhältnis zwischen dem Shop-Betreiber (Verantwortlicher im Sinne Art. 4 Nr. 7 DSGVO) und dem Anbieter Pladsly (Auftragsverarbeiter im Sinne Art. 4 Nr. 8 DSGVO).
Verantwortlicher: der jeweilige Shop-Betreiber gemäß seinem Account und den darunter geführten Shops.
Auftragsverarbeiter:
Anne Speerschneider, handelnd unter der Geschäftsbezeichnung „Lille Loppe"
Conrad-Röntgen-Straße 72, 25524 Itzehoe, Deutschland
E-Mail: datenschutz@pladsly.app
(1) Pladsly stellt dem Verantwortlichen eine Software-as-a-Service-Plattform zur Verwaltung von Flohmarkt-Shops zur Verfügung. Im Rahmen dieser Tätigkeit verarbeitet Pladsly personenbezogene Daten, die dem Geschäftsbereich des Verantwortlichen zugeordnet sind (im Folgenden „Auftragsdaten").
(2) Dieser AVV regelt die Verarbeitung der Auftragsdaten durch Pladsly im Auftrag des Verantwortlichen.
(3) Ausdrücklich nicht von diesem AVV erfasst sind Verarbeitungen, bei denen Pladsly eigenständig Verantwortlicher ist. Hierzu zählen insbesondere:
Für diese Verarbeitungen ist Pladsly eigener Verantwortlicher; sie sind in der Datenschutzerklärung von Pladsly beschrieben.
(4) Verhältnis zur gemeinsamen Verantwortlichkeit. Das in diesem AVV abgebildete Standardmodell ist die Auftragsverarbeitung nach Art. 28 DSGVO. Soweit einzelne Verarbeitungsvorgänge ausnahmsweise einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO unterfallen sollten, werden die Parteien hierfür eine gesonderte Vereinbarung treffen. Der Bestand dieses AVV im Übrigen bleibt davon unberührt.
(1) Art der Verarbeitung: Erhebung, Speicherung, Strukturierung, Veränderung, Abfrage, Übermittlung, Einschränkung, Löschung sowie KI-gestützte Datenanreicherung von Produktbildern.
(2) Zweck der Verarbeitung: Bereitstellung der Pladsly-Dienste an den Verantwortlichen zur Verwaltung seines Flohmarkt-Geschäfts, im Auftrag und nach Konfiguration des Verantwortlichen, insbesondere:
(3) Kategorien betroffener Personen:
(4) Kategorien personenbezogener Daten: Eine detaillierte Aufstellung findet sich in Anlage 1 zu diesem AVV.
(5) Dauer der Verarbeitung: Für die Laufzeit der AGB sowie bis zur Rückgabe oder Löschung der Auftragsdaten nach Vertragsende gemäß § 11.
(1) Der Verantwortliche bleibt im Sinne der DSGVO alleinverantwortlich für die Verarbeitung der Auftragsdaten. Insbesondere ist er verantwortlich für:
(2) Weisungen des Verantwortlichen erfolgen grundsätzlich textlich, in der Regel per E-Mail an datenschutz@pladsly.app. Routinemäßige Verarbeitungen ergeben sich aus der vertragsgemäßen Nutzung der Plattform und gelten als generelle Weisung.
(3) Pladsly weist den Verantwortlichen unverzüglich darauf hin, wenn eine Weisung nach Auffassung Pladslys gegen geltendes Datenschutzrecht verstößt. Pladsly ist berechtigt, die Ausführung einer entsprechenden Weisung auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird.
Pladsly verpflichtet sich, die Auftragsdaten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten und insbesondere:
(1) Die Verarbeitung im Rahmen der DSGVO und der ergänzenden Datenschutzgesetze der Mitgliedstaaten, in denen Pladsly tätig ist, durchzuführen.
(2) Geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu treffen, die in Anlage 3 zu diesem AVV beschrieben sind, und auf dem Stand der Technik zu halten.
(3) Die zur Verarbeitung der Auftragsdaten befugten Personen zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass sie einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(4) Den Verantwortlichen bei der Erfüllung seiner Pflichten nach den Art. 32 bis 36 DSGVO zu unterstützen, soweit Pladsly hierzu in der Lage ist und der Aufwand verhältnismäßig ist.
(5) Den Verantwortlichen bei Anfragen betroffener Personen nach den Art. 15 bis 22 DSGVO zu unterstützen, soweit dies dem Verantwortlichen erforderliche Mitwirkung verlangt (insbesondere durch Bereitstellung der Auftragsdaten oder durch technische Funktionen wie Datenexport oder Löschung).
(6) Verwendung von Auftragsdaten zu eigenen Zwecken Pladslys. Pladsly nutzt die Auftragsdaten nicht zu eigenen Zwecken. Zulässig bleibt eine anonymisierte oder aggregierte Auswertung zum Zweck der Produktverbesserung und der Sicherheit der Plattform, soweit die Auswertung keine Rückschlüsse auf einzelne Verantwortliche, Shops oder betroffene Personen zulässt. Eine Nutzung personenbezogener Auftragsdaten zum Training eigener KI-Modelle erfolgt nicht; ebenso wenig eine Weitergabe von Auftragsdaten an Drittanbieter zu Trainingszwecken. Abweichende ausdrückliche Vereinbarungen mit dem Verantwortlichen bleiben vorbehalten.
(7) Den Verantwortlichen unverzüglich über Anfragen oder Maßnahmen von Aufsichtsbehörden zu informieren, soweit diese die Verarbeitung im Rahmen dieses AVV betreffen.
(1) Pladsly informiert den Verantwortlichen unverzüglich, in der Regel innerhalb von 48 Stunden nach Kenntnis, über Verletzungen des Schutzes personenbezogener Daten im Rahmen der Auftragsverarbeitung.
(2) Die Mitteilung umfasst insbesondere:
(3) Pladsly unterstützt den Verantwortlichen bei der Erfüllung dessen Meldepflichten nach Art. 33 DSGVO gegenüber der Aufsichtsbehörde und ggf. nach Art. 34 DSGVO gegenüber den betroffenen Personen.
(1) Wendet sich eine betroffene Person mit einer Anfrage zu ihren Rechten direkt an Pladsly, weist Pladsly die betroffene Person an den zuständigen Verantwortlichen (Shop-Betreiber) weiter und informiert den Verantwortlichen unverzüglich.
(2) Pladsly stellt dem Verantwortlichen über das Dashboard angemessene Funktionen zur Verfügung, mit denen er Auskunfts-, Berichtigungs-, Lösch- und Übertragbarkeitsanfragen seiner Mieter erfüllen kann (z.B. Datenexport, Löschung von Contact-Entities).
(3) Für nicht über das Dashboard abbildbare Anfragen unterstützt Pladsly den Verantwortlichen im zumutbaren Umfang. Pladsly kann für einen unverhältnismäßigen Aufwand eine angemessene Vergütung verlangen.
(1) Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch Pladsly zu überprüfen, insbesondere durch Einholen von Auskünften und Einsichtnahme in einschlägige Nachweise (z.B. Zertifikate, Auditberichte, Selbstauskünfte zu den TOMs).
(2) Vor-Ort-Audits sind nach vorheriger schriftlicher Anmeldung mit einer Frist von mindestens 30 Tagen und während üblicher Geschäftszeiten möglich. Pladsly kann verlangen, dass Auditoren zu Stillschweigen verpflichtet werden und keine Wettbewerber Pladslys sind.
(3) Soweit Pladsly Audits durch unabhängige Dritte (z.B. ISO 27001, SOC 2) durchführen lässt, kann Pladsly die Vorlage der entsprechenden Auditberichte anstelle eines Einzelaudits anbieten.
(4) Die Kosten eines durch den Verantwortlichen veranlassten Audits trägt der Verantwortliche. Werden bei dem Audit erhebliche Verstöße Pladslys gegen diesen AVV festgestellt, trägt Pladsly die Kosten des Audits.
(1) Der Verantwortliche genehmigt mit Abschluss dieses AVV den Einsatz der zum Zeitpunkt des Vertragsschlusses unter pladsly.app/subprocessors gelisteten Subprozessoren. Eine Übersicht ist auch in Anlage 2 zu diesem AVV beigefügt.
(2) Pladsly verpflichtet jeden Subprozessor mindestens auf das Schutzniveau dieses AVV durch geeignete vertragliche Vereinbarungen (insbesondere Standardvertragsklauseln, soweit ein Drittlandstransfer vorliegt).
(3) Änderungen am Subprozessoren-Stack kündigt Pladsly mit einem Vorlauf von mindestens 30 Tagen per E-Mail an die im Account hinterlegte Adresse an. Der Verantwortliche kann innerhalb dieser Frist aus wichtigem Grund Einspruch erheben.
(4) Erhebt der Verantwortliche fristgemäß Einspruch, sucht Pladsly im konstruktiven Dialog nach einer Lösung (z.B. abweichender Subprozessor, technische Anpassung). Findet sich keine Lösung, ist der Verantwortliche berechtigt, den Vertrag zum geplanten Inkrafttreten der Änderung außerordentlich zu kündigen.
(5) In dringenden Fällen, insbesondere bei Sicherheitslücken bei einem bestehenden Subprozessor, kann Pladsly einen Subprozessor kurzfristig austauschen und den Verantwortlichen unverzüglich informieren.
(1) Soweit Pladsly Auftragsdaten an einen Subprozessor außerhalb der EU/EWR überträgt, stellt Pladsly sicher, dass geeignete Garantien im Sinne von Art. 46 DSGVO bestehen, insbesondere Standardvertragsklauseln der EU-Kommission oder ein Angemessenheitsbeschluss (z.B. EU-US Data Privacy Framework).
(2) Eine Übersicht der Drittlandstransfers und der jeweiligen Schutzmaßnahmen findet sich in Anlage 2.
(3) Pladsly hat die Architektur so gestaltet, dass über den US-Subprozessor „Vercel Workflows" per technischer Festlegung ausschließlich produktbezogene Daten und Bild-Referenzen verarbeitet werden. Eine Übertragung personenbezogener Daten in den Workflow-Kontext ist nicht vorgesehen und technisch nicht implementiert. Diese Architekturentscheidung ist als verbindliche technische und organisatorische Maßnahme in Anlage 3 dokumentiert.
(1) Dieser AVV gilt für die Laufzeit der zugrundeliegenden AGB.
(2) Beide Parteien können diesen AVV unabhängig von den AGB außerordentlich kündigen, wenn der jeweils andere Vertragspartner wesentliche Pflichten dieses AVV erheblich verletzt und Abhilfe trotz Aufforderung mit angemessener Fristsetzung nicht erfolgt.
(1) Nach Beendigung der Verarbeitung — gleich aus welchem Grund — wird Pladsly die Auftragsdaten nach Wahl des Verantwortlichen löschen oder zurückgeben, soweit nicht eine gesetzliche Speicherungspflicht entgegensteht.
(2) Der Verantwortliche kann seine Daten während der gesamten Vertragslaufzeit selbständig über die im Dashboard bereitgestellte Export-Funktion exportieren. Dies gilt insbesondere für eine geordnete Beendigung der Verarbeitung.
(3) Soweit keine ausdrückliche Anweisung des Verantwortlichen vorliegt, löscht Pladsly die Auftragsdaten innerhalb angemessener Frist nach Vertragsende, vorbehaltlich der gesetzlichen Aufbewahrungspflichten gemäß § 257 HGB und § 147 AO, die insbesondere Buchungs- und Vertragsdaten für bis zu zehn Jahre erhalten können.
(4) Die Löschung wird auf Anfrage des Verantwortlichen schriftlich oder textlich bestätigt.
Pladsly behandelt sämtliche Auftragsdaten und sonstige im Rahmen der Vertragsdurchführung erlangten Informationen vertraulich. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Vertrags fort, soweit die Informationen nicht öffentlich bekannt sind oder eine gesetzliche Offenlegungspflicht besteht.
Bei Widersprüchen zwischen diesem AVV und den AGB hat dieser AVV in Bezug auf datenschutzrechtliche Regelungen Vorrang.
(1) Im Innenverhältnis zwischen Pladsly und dem Verantwortlichen gilt die Haftungsregelung der AGB entsprechend.
(2) Die Haftung gegenüber betroffenen Personen nach Art. 82 DSGVO bleibt davon unberührt. Im Rahmen eines Innenausgleichs nach Art. 82 Abs. 5 DSGVO haftet jede Partei in dem Umfang, der ihrer Verantwortung für die zugrundeliegende Verletzung der DSGVO entspricht.
(1) Auf diesen AVV findet ausschließlich das Recht der Bundesrepublik Deutschland Anwendung.
(2) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AVV ist Itzehoe, soweit der Verantwortliche Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
(3) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(4) Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
| Datenkategorie | Beispiele | Verarbeitungszweck |
|---|---|---|
| Stammdaten der Mieter | Name, Anschrift, ggf. Geburtsdatum, Kontaktdaten | Verwaltung des Mietverhältnisses |
| Buchungsdaten | Regal, Zeitraum, Konditionen, Status | Vertragsdurchführung |
| Vertragsdokumente | Mietvertragstext, Widerrufsbelehrung | Nachweisführung, Vertragsverwaltung |
| Bankverbindung (sofern vom Shop verlangt) | IBAN, Bankname | Auszahlung von Verkaufserlösen |
| Produktdaten | Bezeichnung, Beschreibung, Preise, Kategorien | Verkaufsabwicklung |
| Produktbilder | Bilddateien | Darstellung im Schaufenster, KI-gestützte Kategorisierung |
| Verkaufshistorie | Verkaufte Artikel, Erlöse, Zeitpunkte | Buchhaltung, Mieter-Abrechnung |
| Stripe-Transaktionsreferenzen | Charge-IDs, Customer-IDs | Verknüpfung zur Zahlungsabwicklung |
| Magic-Link-Zustellung an Mieter (im Rahmen des Wizards) | E-Mail-Adresse | Aktivierung des Mieter-Accounts |
Die jeweils aktuelle, vollständige Liste der Subprozessoren ist unter pladsly.app/subprocessors einsehbar. Zum Zeitpunkt des Vertragsschlusses umfasst sie die folgenden Anbieter:
| Subprozessor | Sitz / Konfiguration | Datenkategorien | Drittland-Schutzmaßnahme |
|---|---|---|---|
| Vercel Inc. (Hosting) | Primär Frankfurt (EU), USA als Failover | Hosting-Inhalte, Server-Logs | EU-US DPF + Standardvertragsklauseln |
| Vercel Inc. (Workflows) | USA (Region nicht konfigurierbar) | Nur produktbezogene Daten und Bild-Referenzen; eine Übertragung personenbezogener Daten ist per Architektur nicht vorgesehen und technisch nicht implementiert (siehe § 9 Abs. 3 und Anlage 3) | EU-US DPF; Architektur-TOM (siehe Anlage 3) |
| Vercel Inc. (Analytics) | EU-aware | Aggregierte, anonyme Nutzungsstatistik | Cookielos, anonymisiert |
| Vercel Inc. (Blob Storage) | Frankfurt (EU) | Produktbilder (Pladsly minimiert die Übertragung personenbezogener Inhalte technisch und organisatorisch, siehe Anlage 3) | EU-Region; ergänzend EU-US DPF |
| MongoDB Inc. (Atlas) | Frankfurt (EU) | Datenbank-Inhalte (alle Auftragsdaten) | EU-Region; ergänzend Atlas DPA + SCC |
| Resend (Resend Inc.) | USA | E-Mail-Inhalte und Empfänger-Adressen (transactional) | EU-US DPF + Standardvertragsklauseln |
| Google LLC (Vertex AI) | Frankfurt oder Niederlande (EU-Region) | Produktbilder und abgeleitete Auswertungen (Pladsly minimiert die Übertragung personenbezogener Inhalte technisch und organisatorisch, siehe Anlage 3) | EU-Region; ergänzend EU-US DPF |
| Stripe Payments Europe Ltd. / Stripe Inc. | Irland / USA | Zahlungsdaten der Mieter (für die Zahlungsabwicklung Stripe = eigener Verantwortlicher) | EU-US DPF + Standardvertragsklauseln; im Auftragsverhältnis Pladsly: lediglich Stripe-Account-IDs und Transaktionsreferenzen |
Änderungen am Subprozessoren-Stack erfolgen nach Maßgabe von § 8 dieses AVV.
Pladsly setzt zum Schutz der Auftragsdaten folgende technische und organisatorische Maßnahmen ein, jeweils nach dem aktuellen Stand der Technik. Die Aufstellung kann an die technologische Entwicklung angepasst werden, das Schutzniveau wird dabei nicht reduziert.