REPMOD
  • Funktionen ▾
    • Alle Funktionen
    • BMECat → CSV
    • BMECat → JTL-Ameise
    • Lieferantendaten konvertieren
    • BMECat → Shopware
    • BMECat → WooCommerce
    • BMECat → Plentymarkets
  • Für JTL
  • So funktioniert's
  • Preise
  • Kontakt
Anmelden Kostenlos testen
Rechtliches

Auftragsverarbeitungs­vertrag.

Art. 28 DSGVO Stand: 3. Juli 2026 · Version 1.0
    Dieser Vertrag über die Auftragsverarbeitung personenbezogener Daten (Art. 28 DSGVO) wird geschlossen zwischen REP Solution, Inhaber Patrick Wilke, Norderkamp 1, 24983 Handewitt, Deutschland, E-Mail: info@rep-solution.de — im Folgenden Auftragnehmer — und dem Kunden gemäß Registrierung/Kundenkonto auf der Plattform REPMOD (Firma, Anschrift und Vertretung wie im Kundenkonto hinterlegt) — im Folgenden Auftraggeber. Der Abschluss erfolgt im elektronischen Verfahren bei der Registrierung (siehe Ziffer 15.6).

    1Einleitung, Geltungsbereich, Definitionen

    1.1. Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien" genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag im Sinne des Art. 28 der EU-Datenschutzgrundverordnung (im Folgenden „DSGVO").

    1.2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer, seine Mitarbeiter oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

    1.3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der DSGVO zu verstehen. Soweit Erklärungen im Folgenden „schriftlich" zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

    2Gegenstand und Dauer der Verarbeitung

    2.1. Der Auftragnehmer übernimmt folgende Verarbeitungen: die Erfassung, Speicherung, Organisation, Auswertung und Aufbereitung von Kontakt- und Stammdaten (insbesondere Ansprechpartner-Angaben in Lieferanten- und Herstellerdateien) von Ansprechpartnern der Lieferanten und Hersteller des Auftraggebers sowie von Nutzer- und Kontodaten des Auftraggebers zum Zwecke der Konvertierung, Aufbereitung und Anreicherung von Artikel- und Lieferantendaten zu Importdateien für Warenwirtschafts- und Shopsysteme.

    Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Nutzungsvertrag über die SaaS-Plattform REPMOD nebst Allgemeinen Geschäftsbedingungen (abrufbar unter repmod.de/agb) (im Folgenden „Hauptvertrag").

    2.2. Die Verarbeitung beginnt mit der Bereitstellung des Kundenkontos bzw. dem ersten Daten-Upload des Auftraggebers und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.

    3Art und Zweck der Datenverarbeitung

    3.1. Der Auftragnehmer erbringt digitale Dienstleistungen und erhält unter gewissen Umständen Zugriff auf den elektronischen Bestand an personenbezogenen Daten und Datensätzen von Kunden des Auftraggebers.

    3.2. Die Verarbeitung durch den Auftragnehmer erfolgt in der Art der Erfassung, des Auslesens, des Zuordnens, des Abgleichs, der Organisation, Auswertung und Aufbereitung von Datensätzen des Auftraggebers. Der Auftraggeber ist ein Unternehmen des Handels bzw. gewerblicher Wiederverkäufer von Waren (reines B2B-Verhältnis).

    3.3. Die Verarbeitung dient dem Zweck der Konvertierung, Aufbereitung, Anreicherung und Qualitätssicherung von Lieferanten-Artikeldaten (z. B. BMECat-XML- und CSV-Dateien) zu Importdateien für Warenwirtschafts- und Shopsysteme (z. B. JTL, Shopware, WooCommerce, plentymarkets) für den Auftraggeber und erfolgt aufgrund dessen Interesses an Rationalisierung, Vereinfachung der Datenorganisation und Entschlackung von Arbeitsabläufen bei der Übernahme von Lieferantendaten.

    3.4. Es werden folgende Kategorien personenbezogener Daten verarbeitet:

    • Kontaktdaten von Ansprechpartnern (Name, geschäftliche Anschrift, E-Mail-Adresse, Telefonnummer), soweit in vom Auftraggeber hochgeladenen Lieferanten- und Herstellerdateien enthalten
    • Hersteller- und Produktsicherheits-Kontaktangaben (z. B. GPSR-/Impressumsangaben) — überwiegend Unternehmensdaten, im Einzelfall personenbezogen (etwa bei Einzelunternehmern)
    • Konto- und Nutzungsdaten des Auftraggebers (Name, E-Mail-Adresse, Firmenzuordnung, Protokolldaten), soweit sie im Rahmen der Leistungserbringung technisch mitverarbeitet werden

    Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind nicht Gegenstand der Verarbeitung und dürfen vom Auftraggeber nicht hochgeladen werden.

    3.5. Von der Verarbeitung betroffen sind: Ansprechpartner und Beschäftigte der Lieferanten und Hersteller des Auftraggebers sowie Beschäftigte und Nutzer des Auftraggebers (Kontonutzer). Endkunden-Daten des Auftraggebers sind nicht Gegenstand der Leistung.

    4Pflichten des Auftragnehmers

    4.1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

    4.2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

    4.3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

    4.4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

    4.5. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

    4.6. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

    4.7. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

    4.8. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

    4.9. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.

    4.10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU, des EWR oder in Staaten, für die ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO gilt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der DSGVO enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

    5Technische und organisatorische Maßnahmen

    5.1. Die in Anlage 1 beschriebenen Datensicherheitsmaßnahmen (technische und organisatorische Maßnahmen) werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum.

    5.2. Die Maßnahmen gemäß vorheriger Ziffer können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.

    5.3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

    5.4. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

    5.5. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen sowie Datensicherungen (Backups), soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

    5.6. Die Verarbeitung von Daten im Auftrag außerhalb der in Anlage 1 beschriebenen Umgebungen erfolgt nur auf gemäß Anlage 1 gesicherten Endgeräten.

    5.7. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, kommen im Regelbetrieb nicht zum Einsatz. Sollten sie im Einzelfall eingesetzt werden, werden sie besonders gekennzeichnet, laufend verwaltet, angemessen aufbewahrt und dürfen unbefugten Personen nicht zugänglich sein; Ein- und Ausgänge werden dokumentiert.

    5.8. Der Auftraggeber ist berechtigt, die Erfüllung der Pflichten durch den Auftragnehmer, insbesondere die vollständige Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihre Wirksamkeit, unter Vorankündigung mit angemessener Frist zu kontrollieren und zu überprüfen. Der Auftragnehmer ist verpflichtet, dem Auftraggeber zu diesem Zweck und für die Dauer der Kontrolle Zugang zu allen relevanten Räumlichkeiten sowie Einsicht in und Zugriff auf alle für die Prüfung erforderlichen Dokumente und Systeme zu verschaffen.

    6Berichtigung, Löschung und Sperrung von Daten

    6.1. Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

    6.2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

    7Unterauftragsverhältnisse

    7.1. Die Beauftragung von Subunternehmern durch den Auftragnehmer ist zulässig. Der Auftragnehmer ist verpflichtet, auf Verlangen des Auftraggebers jederzeit Auskunft über die gegenwärtig und in der Vergangenheit für die Auftragsverarbeitung eingesetzten Subunternehmer zu erteilen und Einsicht in mit diesen Subunternehmern über die weitere Datenverarbeitung im Auftrag geschlossene Verträge zu gewähren.

    7.2. Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.

    7.3. Weitere Subbeauftragungen durch den Subunternehmer sind nach den Maßgaben der Ziffer 7.1. zulässig.

    7.4. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

    7.5. Die Beauftragung von Subunternehmern im Sinne von Ziffer 7.1. und Ziffer 7.3., die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU, des EWR oder Staaten erbringen, für die ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO gilt, ist nur bei Beachtung der in Ziffer 4.10. dieses Vertrags genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.

    7.6. Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig angemessen zu überprüfen und die Ergebnisse zu dokumentieren. Die Dokumentation ist dem Auftraggeber auf dessen Verlangen hin vorzulegen.

    7.7. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

    7.8. Zurzeit sind die in Anlage 2 mit Namen und Anschrift bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang betraut. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.

    7.9. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice, sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

    8Rechte und Pflichten des Auftraggebers

    8.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

    8.2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

    8.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

    8.4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen, insbesondere die vollständige Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen im Sinne der Ziffer 5 sowie ihre Wirksamkeit, beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.

    8.5. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.

    9Mitteilungspflichten

    9.1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:

    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    • eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

    9.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

    9.3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

    9.4. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.

    10Weisungen

    10.1. Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

    10.2. Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 3.

    10.3. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.

    10.4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt oder zu einer Haftung des Auftragnehmers führen kann. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

    10.5. Zu einer materiell-rechtlichen Prüfung von Weisungen ist der Auftragnehmer nicht verpflichtet.

    11Beendigung des Auftrags

    11.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Elektronische Daten werden durch sichere Löschverfahren entfernt. Physische Datenträger mit Auftragsdaten kommen im Regelbetrieb nicht zum Einsatz; im Einzelfall erfolgt eine physische Vernichtung gemäß DIN 66399, hierbei gilt mindestens Schutzklasse 3.

    11.2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.

    11.3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber auf Verlangen vorzulegen.

    11.4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

    12Vergütung

    Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

    13Haftung

    13.1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.

    13.2. Der Auftraggeber trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit personenbezogene Daten in seiner Verantwortung vom Auftragnehmer unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftraggeber den Auftragnehmer auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftragnehmer erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftraggeber dem Auftragnehmer ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.

    13.3. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.

    13.4. Die Ziffer 13.3 gilt nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

    14Sonderkündigungsrecht

    14.1. Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung"), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

    14.2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

    14.3. Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

    15Sonstiges

    15.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages hinaus vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

    15.2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

    15.3. Für Nebenabreden ist die Schriftform erforderlich.

    15.4. Die Einrede des Zurückbehaltungsrechts im Sinne des § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

    15.5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

    15.6. Dieser Vertrag kann im elektronischen Verfahren geschlossen werden. Die dokumentierte Zustimmung des Auftraggebers im Rahmen der Registrierung bzw. im Kundenkonto (einschließlich Protokollierung des Zeitpunkts) gewährleistet die Nachweisbarkeit im Sinne von Ziffer 1.3. Bei Abschluss im elektronischen Verfahren entfällt die eigenhändige Unterschrift.

    A1Anlage 1 — Technische und organisatorische Maßnahmen

    Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrechtzuerhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen. Die Leistung wird als Cloud-Dienst (SaaS) erbracht; Produktivdaten werden ausschließlich in Rechenzentren innerhalb der EU verarbeitet (Hosting: Region EU/Amsterdam, Niederlande; Backups: Deutschland).

    1. Zutrittskontrolle

    a) Die Verarbeitung erfolgt in professionellen Rechenzentren der in Anlage 2 genannten Hosting-Dienstleister (EU). Der physische Zutritt ist durch die Zutrittskontrollsysteme der Rechenzentrumsbetreiber geschützt; eigene Serverräume werden nicht betrieben. b) Arbeitsplatz-Endgeräte des Auftragnehmers sind mit Festplattenverschlüsselung und automatischer Bildschirmsperre gesichert und werden ausschließlich vom Auftragnehmer genutzt.

    2. Zugangskontrolle

    a) Der Zugang zur Plattform ist durch Benutzerauthentifizierung geschützt; Passwörter werden ausschließlich als moderne Hashes (Argon2id) gespeichert. b) Für Benutzerkonten steht eine Zwei-Faktor-Authentisierung (TOTP) zur Verfügung; für administrative Konten des Auftragnehmers ist sie aktiviert. c) Fehlgeschlagene Anmeldeversuche führen zu automatischen Kontosperren; Registrierung und Anmeldung sind zusätzlich durch Bot-Schutz und Rate-Limits gesichert. d) Sitzungen werden über gesicherte Cookies (httponly, SameSite) verwaltet und laufen automatisch ab.

    3. Zugriffskontrolle

    a) Mandantentrennung: Daten der Auftraggeber sind auf Datenbankebene strikt dem jeweiligen Kundenkonto zugeordnet; ein Zugriff anderer Kunden ist ausgeschlossen. b) Administrative Funktionen sind auf gesondert gekennzeichnete interne Konten beschränkt (rollenbasiert); Support-Rollen sehen ausschließlich das Ticket-Modul. c) Administrative Aktionen werden in einem Audit-Log protokolliert.

    4. Transport-/Weitergabekontrolle

    a) Sämtliche Datenübertragungen erfolgen verschlüsselt (TLS). b) Der Dienst setzt Sicherheits-Header (u. a. Content-Security-Policy) und CSRF-Schutz ein; Datei-Uploads werden technisch validiert. c) Datensicherungen werden verschlüsselt übertragen und gespeichert. d) Physische Datenträger mit Auftragsdaten kommen im Regelbetrieb nicht zum Einsatz.

    5. Eingabekontrolle

    Verarbeitungsvorgänge werden über strukturierte, personenbezogene Daten filternde Protokolle sowie den Job-Verlauf der Plattform nachvollziehbar dokumentiert; administrative Änderungen zusätzlich im Audit-Log.

    6. Auftragskontrolle

    Subunternehmer (Anlage 2) werden sorgfältig ausgewählt; mit allen Subunternehmern bestehen Auftragsverarbeitungsverträge (DPAs). Die Einhaltung wird regelmäßig, mindestens einmal jährlich, überprüft.

    7. Verfügbarkeitskontrolle

    a) Tägliche automatisierte, verschlüsselte Datensicherungen der Datenbanken auf einen räumlich getrennten Speicher (Deutschland) mit definierter Aufbewahrung (Retention); die Wiederherstellbarkeit wurde getestet. b) Automatische Systemüberwachung (Healthchecks mit automatischem Neustart) und Fehler-Monitoring mit Alarmierung (EU-Datenhaltung). c) Lastbegrenzungen (Arbeitsspeicher-Budget, Begrenzung paralleler Verarbeitungen) schützen den Dienst vor Überlast. d) Ein Wartungsmodus erlaubt kontrollierte Wartungsfenster ohne Datenverlust.

    8. Trennungsgebot

    Daten, die zu unterschiedlichen Zwecken erhoben, verarbeitet oder genutzt werden, werden getrennt gespeichert: logische Mandantentrennung in der Datenbank (kontobezogene Zuordnung aller Auftragsdaten), Trennung von Produktiv- und Entwicklungsumgebung.

    9. Löschung und Datenträgervernichtung

    a) Automatisierte Löschroutinen entfernen Upload-Sitzungen und Ausgabedateien nach definierten Fristen (abhängig vom gebuchten Leistungsumfang). b) Bei Kontolöschung werden personenbezogene Daten gelöscht; ausgenommen sind gesetzliche Aufbewahrungspflichten sowie pseudonymisierte Missbrauchs-Sperrvermerke. c) Elektronische Löschung erfolgt durch sichere Löschverfahren; physische Datenträger mit Auftragsdaten kommen im Regelbetrieb nicht zum Einsatz (im Einzelfall: DIN 66399, mind. Schutzklasse 3).

    10. Fernwartung

    Es erfolgt keine Fernwartung der Systeme durch andere Unternehmen.

    11. Verfügbarkeit und Belastbarkeit

    a) Für die Systeme besteht ein Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten (siehe Ziffer 7); im Fehlerfall alarmiert das Monitoring den Auftragnehmer unmittelbar. b) Schutzprogramme und Sicherheitsmechanismen (u. a. Bot-Schutz, Rate-Limits, Sicherheits-Header, automatische Sicherheitsupdates der Plattform-Umgebung) sind im Einsatz.

    A2Anlage 2 — Gegenwärtige Subunternehmer

    Der Auftragnehmer bedient sich zur Erbringung der Datenverarbeitungen im Auftrag zum Zeitpunkt des Vertragsschlusses der folgenden Subunternehmer:

    SubunternehmerSitzLeistung / UmfangVerarbeitungsort / Garantien
    Railway Corp.San Francisco, USAHosting der Plattform und der Datenbanken (alle im Auftrag verarbeiteten Daten)Workload EU (Amsterdam, Niederlande); SCCs / DPA
    Hetzner Online GmbHGunzenhausen, DeutschlandSpeicherung verschlüsselter Datenbank-Sicherungen (Backups)Deutschland; AVV
    Cloudflare, Inc.San Francisco, USADNS/Proxy/CDN (Daten im Transit)EU-Edge; DPF-zertifiziert, Customer-DPA
    Functional Software, Inc. (Sentry)San Francisco, USAFehler-Monitoring (Fehlerprotokolle können Datenfragmente enthalten; PII-Filterung aktiv)EU-Data-Residency; DPF + SCCs, DPA
    Plus Five Five, Inc. (Resend)USAVersand von Transaktions-E-Mails (Konto-/Benachrichtigungsdaten)SCCs, DPA
    Elastic N.V. (vorm. Jina AI GmbH)Amsterdam, NiederlandeAnreicherung von Herstellerangaben aus öffentlich zugänglichen QuellenEU/USA; Elastic Customer DPA

    Hinweis: Zahlungsdienstleister (Stripe, PayPal) verarbeiten Zahlungsdaten als eigenständige Verantwortliche im Verhältnis zum Auftragnehmer und sind daher keine Subunternehmer im Sinne dieser Anlage; sie sind in der Datenschutzerklärung ausgewiesen.

    A3Anlage 3 — Weisungsberechtigte Personen

    Weisungserteilung (Auftraggeber): Die im Kundenkonto des Auftraggebers hinterlegten vertretungsberechtigten Personen (Kontoinhaber) sowie von diesen ausdrücklich benannte Vertreter.

    Weisungsentgegennahme (Auftragnehmer): Patrick Wilke (Inhaber), E-Mail: info@rep-solution.de, sowie der Support-Kanal der Plattform (Ticketsystem im Kundenkonto).

    Version 1.0 · Stand: 3. Juli 2026 · Der Abschluss erfolgt im elektronischen Verfahren bei der Registrierung (Ziffer 15.6); der Zeitpunkt der Zustimmung wird protokolliert und ist im Kundenkonto einsehbar.
    REPMOD

    Lieferanten-Daten zu Shop-Imports. CSV / XML / BMECat → JTL-Ameise, Shopware, WooCommerce, Plenty.

    Produkt

    • Funktionen
    • REPMOD für JTL
    • So funktioniert's
    • Preise
    • FAQ

    Konvertieren

    • BMECat → CSV
    • BMECat → JTL-Ameise
    • Lieferantendaten konvertieren
    • BMECat → Shopware
    • BMECat → WooCommerce
    • BMECat → Plentymarkets

    Unternehmen

    • Kontakt
    • Impressum

    Rechtliches

    • Datenschutz
    • AGB
    • AVV
    © 2026 REP Solution. Alle Rechte vorbehalten. Server in Amsterdam · DSGVO-konform