Geltungsbereich. Dieses Dokument beschreibt, wie 4EGrowth GmbH („wir“) Amazon-Informationen aus der Selling Partner API (SP-API) in der EU/EWR erhebt, verarbeitet, speichert, nutzt, weitergibt, aufbewahrt und löscht. Letzte Aktualisierung: 15. August 2025.

1. Begriffe und Umfang

Amazon-Informationen umfasst Kunden- und Bestelldaten sowie weitere Daten, die wir über SP-API unter durch den Verkäufer autorisierten Rollen beziehen. Diese Richtlinie gilt ausschließlich für SP-API-Daten und ergänzt unsere allgemeine Datenschutzinformation.

2. Erhebung

Wir beziehen Amazon-Informationen ausschließlich über die SP-API mittels OAuth-basierter Autorisierung und nur für die dafür erforderlichen Berechtigungen (z. B. Bestellimport, Fulfillment, Rechnungsstellung, Retourenabwicklung).

3. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bestellabwicklung, Versand, Retouren, Kundendienst.
  • Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Steuer-/Umsatzsteuer-Pflichten, Buchhaltung, behördliche Anfragen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Betriebssicherheit, Betrugsprävention, Servicequalität (Abwägung zugunsten der Betroffenenrechte).
    Wir nutzen Amazon-Informationen nicht für Marketing oder Profiling ohne ausdrückliche Einwilligung.

4. Datenminimierung

Wir erheben und speichern nur die für die genannten Zwecke erforderlichen Daten. Zugriffe werden auf das Need-to-Know beschränkt; nicht benötigte Felder werden weder angefordert noch gespeichert.

5. Speicherung und Sicherheit

  • Speicherung ausschließlich auf von uns verwalteten Systemen im EU/EWR-Raum.
  • Verschlüsselung in Transit (TLS 1.2+) und at Rest (z. B. AES-256).
  • Keine öffentliche Netzexponierung: Datenbanken/Dateiserver in privaten Subnetzen hinter Firewalls; administrativer Zugriff nur via VPN mit MFA oder gehärteten Bastion-Hosts.
  • Endpoint-Härtung: Festplattenverschlüsselung, Host-Firewalls, Anti-Malware, regelmäßige Patches.
  • Protokollierung von Zugriffen und administrativen Aktionen; Schutz der Logs vor Manipulation.

6. Zugriffskontrolle

  • Individuelle Benutzerkonten mit MFA; keine geteilten Zugangsdaten.
  • Rollenbasierte Zugriffskontrolle (RBAC) und Least-Privilege.
  • Regelmäßige Rezertifizierung von Rechten; sofortiger Entzug bei Rollenwechsel oder Austritt.

7. Weitergabe an Dritte

Weitergabe erfolgt nur, wenn für die Vertragserfüllung erforderlich oder gesetzlich vorgeschrieben, stets über verschlüsselte Übertragungswege und auf Basis DSGVO-konformer Verträge:

  • Transport-/Logistikdienstleister: Name, Lieferadresse, Telefon (nur wenn vom Carrier verlangt) zur Zustellung.
  • Finanzbehörden: Rechnungs-/Transaktionsdaten, soweit gesetzlich vorgeschrieben.
  • Steuerberater: Rechnungs-/Transaktionsdaten für Buchhaltung und Erklärungen.
    Andere Dritte erhalten keine Amazon-Informationen.

8. Internationale Übermittlungen

Standardmäßig verarbeiten und speichern wir innerhalb des EU/EWR. Falls eine Drittlandsübermittlung erforderlich wird (z. B. Subprozessor des Carriers), verwenden wir geeignete Garantien (z. B. EU-Standardvertragsklauseln) und führen erforderliche Transfer-Impact-Assessments durch.

9. Aufbewahrung und Löschung

Personenbezogene Bestell-PII wird nur so lange vorgehalten, wie es für Fulfillment und gesetzliche Pflichten nötig ist. Operative PII aus Bestellungen wird in der Regel innerhalb von 30 Tagen nach Versand entfernt, sofern nicht längere gesetzliche Aufbewahrungsfristen (z. B. Handels-/Steuerrecht) gelten. Nach Fristablauf löschen oder anonymisieren wir Daten irreversibel; Backups folgen demselben Lebenszyklus.

10. Überwachung und Incident Response

  • Laufende Überwachung auf unautorisierte Zugriffe und Datenabflüsse (Server/Endpoints).
  • Automatisierte Alarme bei Verdachtsfällen; Vorfälle werden gemäß definierten Prozessen eingegrenzt, analysiert und behoben.
  • Benachrichtigung von Amazon, Aufsichtsbehörden und Betroffenen erfolgt gemäß vertraglichen und gesetzlichen Vorgaben.

11. Betroffenenrechte

Betroffene können ihre DSGVO-Rechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) geltend machen. Anfragen werden verifiziert und fristgerecht beantwortet. Soweit wir als eigenständiger Verantwortlicher agieren, koordinieren wir erforderlichenfalls mit Amazon.

12. Verantwortlicher und Kontakt

Verantwortlicher: 4EGrowth GmbH, Sperberweg 28, 50829 Köln

Kontakt Datenschutz: 4egrowth@gmail.com 

(Optional) Datenschutzbeauftragter: Olaf Peters

13. Änderungen dieser Richtlinie

Wir können diese Richtlinie anpassen, wenn sich unsere Verarbeitung oder rechtliche Anforderungen ändern. Wesentliche Änderungen werden durch Aktualisierung des Datums kenntlich gemacht und, soweit angemessen, zusätzlich mitgeteilt.