Datenschutz‑ & Datenverarbeitungsrichtlinie

Zweck und Geltungsbereich

Diese Richtlinie beschreibt, wie die Agrezor GmbH („Agrezor“) Amazon‑Daten, einschließlich personenbezogener Daten („PII“), die über die Amazon Selling Partner API bezogen werden, erhebt, verarbeitet, speichert, nutzt, weitergibt und entsorgt. Die Richtlinie gilt für alle Agrezor‑Mitarbeitenden, Systeme und Umgebungen, die Amazon‑Daten verarbeiten.

1. Datenerhebung und Zweckbindung

Amazon‑Daten werden ausschließlich über die offizielle Amazon Selling Partner API und nur für autorisierte Rollen im Zusammenhang mit Händler‑versandten Bestellungen und der Rechnungsstellung für steuerliche Zwecke unseres eigenen Verkäuferkontos erhoben.

Die erhobenen personenbezogenen Daten können — sofern von Amazon bereitgestellt — den Namen des Käufers, die Lieferadresse, die Rechnungsadresse sowie Kontaktinformationen (E‑Mail/Telefon) umfassen.

Die Daten werden ausschließlich verwendet für:

  • Die Erstellung von Versandetiketten und die Bestätigung von Versandzielen.

  • Die Rechnungsstellung und Buchhaltung in Übereinstimmung mit der Mehrwertsteuer und lokalen Steuergesetzen.

Agrezor erhebt oder verarbeitet Amazon‑Daten nicht für Marketing, Analysen, Profiling, Weiterverkauf oder andere nicht‑operative Zwecke.

2. Datenminimierung und Aufbewahrung

  • Es werden nur die minimal erforderlichen personenbezogenen Daten erhoben und gespeichert, die für Versand‑ und Rechnungsfunktionen notwendig sind.

  • Personenbezogene Daten werden höchstens 30 Tage nach Auftragsabwicklung oder Rechnungserstellung aufbewahrt, es sei denn, eine längere Aufbewahrung ist nach Buchhaltungs‑ oder Steuervorschriften gesetzlich erforderlich.

  • Nach Ablauf der Aufbewahrungsfrist werden die Daten sicher gelöscht oder anonymisiert, sodass keine Identifizierung von Personen mehr möglich ist.

3. Datenspeicherung und Verschlüsselung

  • Alle Amazon‑Daten werden in kontrollierten Umgebungen innerhalb der Europäischen Union gespeichert.

  • Die Daten werden während der Übertragung mit TLS 1.2+ und im Ruhezustand mit AES‑256 verschlüsselt.

  • Verschlüsselungsschlüssel werden in einem sicheren Schlüsselverwaltungssystem gespeichert und jährlich oder bei Verdacht auf Kompromittierung sofort rotiert.

4. Zugriffskontrolle und Identitätsmanagement

  • Der Zugriff auf Amazon‑Daten ist auf autorisierte Mitarbeitende beschränkt, die ihn zur Durchführung von Versand‑ oder Buchhaltungsaufgaben benötigen.

  • Alle Nutzer besitzen eindeutige IDs; gemeinsame oder generische Konten sind untersagt.

  • Für alle privilegierten Zugriffe ist Multi‑Faktor‑Authentifizierung (MFA) verpflichtend.

  • Zugriffsrechte werden vierteljährlich überprüft und innerhalb von 24 Stunden nach Beendigung eines Beschäftigungsverhältnisses oder Rollenwechsels entzogen.

5. Weitergabe von Daten und Dritte

  • Agrezor gibt Amazon‑Daten nicht an externe Dritte weiter und überträgt sie nicht.

  • Keine Subunternehmer oder Dienstleister verarbeiten Amazon‑Daten im Auftrag von Agrezor.

  • Amazon‑Daten werden ausschließlich innerhalb unserer internen Infrastruktur von autorisierten Agrezor‑Mitarbeitenden verwendet.

6. Überwachung, Protokollierung und Audit

  • Jeder Zugriff auf Systeme mit Amazon‑Daten wird protokolliert, einschließlich Benutzer‑ID, Zeitstempel und Art der Aktion.

  • Protokolle werden mindestens monatlich überprüft, um Anomalien oder unbefugte Zugriffe zu erkennen.

  • Protokolle werden mindestens 90 Tage aufbewahrt und ohne personenbezogene Daten gespeichert.

  • Jährliche interne Audits überprüfen die Einhaltung dieser Richtlinie und der Amazon Data Protection Policy (DPP).

7. Datenlöschung und sichere Entsorgung

  • Nach Ablauf der Aufbewahrungsfrist werden Daten dauerhaft mittels sicherer Löschverfahren entfernt, sodass eine Wiederherstellung ausgeschlossen ist.

  • Sicherungsdaten werden verschlüsselt und innerhalb desselben Aufbewahrungszeitraums gelöscht.

  • Lösch‑ und Entsorgungsmaßnahmen werden protokolliert und sind auditierbar.

8. Datenschutz‑ und Sicherheits‑Governance

  • Der/Die Datenschutzbeauftragte (DPO) überwacht die Einhaltung dieser Richtlinie und sorgt für die Befolgung der Amazon‑DPP, der AUP und der DSGVO.

  • Mitarbeitende mit Zugriff auf Amazon‑Daten erhalten jährliche Schulungen zu Datenschutz, Datenhandhabung und Incident‑Response.

  • Alle Mitarbeitenden sind an Vertraulichkeits‑ und Datenschutzklauseln in ihren Arbeitsverträgen gebunden.

9. Vorfallreaktion und Meldung

  • Agrezor unterhält einen Incident‑Response‑Plan, der Erkennung, Eindämmung, Beseitigung und Wiederherstellung bei Sicherheitsvorfällen umfasst.

  • Jede bestätigte oder vermutete Kompromittierung von Amazon‑Daten wird innerhalb von 24 Stunden an das Sicherheitsteam von Amazon unter security@amazon.com gemeldet, wie in der DPP gefordert.

  • Ursachenanalysen und Nachbereitungen werden dokumentiert; Korrekturmaßnahmen werden umgesetzt, um Wiederholungen zu verhindern.

10. Betroffenenrechte

Obwohl Agrezor personenbezogene Daten ausschließlich als Auftragsverarbeiter für Amazon verarbeitet, unterstützen wir die Pflichten von Amazon gemäß DSGVO, indem wir verifizierte Betroffenenanfragen, die von Amazon übermittelt werden, umgehend bearbeiten.

11. Überprüfung und Aktualisierung der Richtlinie

  • Diese Richtlinie wird jährlich oder bei Änderungen der Amazon Data Protection Policy, der DSGVO oder lokaler Vorschriften überprüft.

  • Alle Aktualisierungen werden dokumentiert, versioniert und allen relevanten Mitarbeitenden mitgeteilt.

Zusammenfassende Compliance‑Erklärung

Die Datenschutz‑ und Datenhandhabungspraktiken von Agrezor entsprechen §2.2 der Amazon Data Protection Policy, §4.1 der Acceptable Use Policy sowie der EU‑DSGVO. Amazon‑Daten werden nur für autorisierte Geschäftszwecke (Versandabwicklung und steuerliche Compliance) verwendet, mit branchenüblichen Verfahren geschützt, durch strikte Zugriffskontrollen abgesichert und am Ende der Aufbewahrungsfrist sicher gelöscht.