1. Rechtliche Zielsetzung und Governance

Sie ist nicht Teil der Vertragsdokumente, enthält keine eigenständige Leistungszusage und keine Garantie; maßgeblich bleiben die vertraglich einbezogenen Dokumente (insbesondere AGB, Seller-Bedingungen, Verification Policy und Refund & Dispute Policy).

2. Technisch aktive Verarbeiterklassen (Stand 16.02.2026)

• Google Cloud / Firebase (Firestore, Authentication, Cloud Functions, Cloud Storage, Cloud KMS, Secret Manager, Cloud Logging, Cloud Monitoring): Kernplattform für Nutzerprofile, Authentifizierung, serverseitige Logik, Datenspeicherung, Schlüsselverwaltung und Betriebsprotokollierung. Primärregion: europe-west3 (Frankfurt). Secret-Manager-Replikation: europe-west4 (Niederlande). Datenkategorien: Identitätsdaten, Profildaten, Löschworkflow-Status, Betriebsprotokolle
• Stripe: Zahlungs- und abrechnungsbezogene Verarbeitung. Stripe Connect-Kontoverknüpfung, Abrechnungssubkollektionen. Datenkategorien: Kontoverknüpfungs-IDs, Zahlungsmetadaten. Drittlandübermittlung möglich (abhängig von Stripe-Konfiguration). Gesetzliche Aufbewahrungsausnahmen für Buchhaltungsunterlagen
• Mailchimp (The Rocket Science Group LLC): Newsletter-Verarbeitung (Opt-in, Opt-out, Zustellstatus). Datenkategorien: E-Mail-Adresse, Abonnement-Metadaten. Serverstandort: konfigurationsabhängig. Drittlandübermittlung möglich (US-basierter Dienst). Löschung: Subscriber-Entfernung per MD5-Hash der E-Mail-Adresse im Erasure-Workflow
• Typesense (selbstgehostet auf GCE): Suchindex für Marketplace-Listings. Datenkategorien: Listing-Dokument-Daten, die dem Nutzer zuzuordnen sind. Region: europe-west3 (selbstgehostet auf Shielded VM mit TLS via Caddy). Löschung: Entfernung nutzereigener Listing-Dokumente im Erasure-Workflow
• Bugsnag (SmartBear Software): Monitoring und Fehlertelemetrie. Datenkategorien: Fehlerstapeldaten, Sitzungsmetadaten, potenziell nutzerkorrelierende Kontextdaten. Drittlandübermittlung möglich. Interner Validierungshinweis (ohne vertragliche Zusage): Datenkategorien und Übermittlungsumfang werden intern bestätigt und ggf. eingeschränkt.
• Amazon Web Services / SES: Transaktionaler E-Mail-Versand (Kontolösch-OTP). Region: eu-central-1 (konfiguriert). Datenkategorien: E-Mail-Adresse, OTP-Code. Kurzlebige Verarbeitung, keine dauerhafte Speicherung beabsichtigt
• Vercel Inc.: Frontend-Hosting (Next.js). Serverless-Region: fra1 (Frankfurt). Datenkategorien: Edge-Anfragemetadaten, Funktionsausführungslogs. Client-seitige Analytics (Vercel Analytics integriert). USA-basiertes Unternehmen; EU-Serverless-Region konfiguriert. Interner Validierungshinweis (ohne vertragliche Zusage): Umfang der Vercel-seitigen Datenverarbeitung und Drittlandübermittlung wird intern bestätigt.
• Google Tag Manager: Client-seitiges Tag-Management. Datenkategorien: Browser-Ereignisdaten gemäß Tag-Konfiguration. Interner Validierungshinweis (ohne vertragliche Zusage): implementierte Tags und deren Datenkategorien werden intern dokumentiert.

3. Mindestfelder je Registereintrag

• Anbieter/Service-Identität und Funktionskontext innerhalb der Plattform
• Verarbeitungszweck und betroffene Datenkategorien
• Rechtsgrundlage bzw. Zweckbindungskontext für die Verarbeitung
• Verarbeitungsregion(en) und Transferkontext (EU/EWR, Drittland, Angemessenheitsbeschluss)
• SCC/TIA-Referenz, sofern anwendbar (Modul, Version, Bewertungsdatum)
• DPA-Status (unterzeichnet/ausstehend/nicht anwendbar) mit Vertragsdatum
• TOM-Status (dokumentiert/ausstehend) mit letztem Prüfdatum
• Verantwortliches Team/Rolle (Owner), letzte Prüfung, nächster geplanter Review
• Evidenzreferenz: Verweis auf konkreten Ablageort im internen Vertrags- und Prüfarchiv

4. Kontrollpflichten bei Änderungen (Change Control)

• Aufnahme eines neuen Verarbeiters: Vollständiges Evidenzpaket vor Produktivnahme erforderlich
• Änderung der Region, des Zwecks, der Datenkategorien oder der Subunternehmer-Kette: Pflicht-Reassessment und Aktualisierung des Registereintrags
• Privacy Policy, interne Dokumentation, Support-Texte und diese Legal-Seite werden versionssynchron aktualisiert
• Unvollständige Nachweislage führt zu Rollout-Block und Compliance-Eskalation
• Entfernung eines Verarbeiters: Dokumentation des Entfernungsdatums, Bestätigung der Datenlöschung/-rückgabe, Archivierung des Registereintrags

5. Löschung und Aufbewahrungspflichten je Verarbeiterklasse

• Google Cloud / Firebase: Primäre Identitätsdaten werden direkt im Erasure-Job gelöscht/anonymisiert (Profil-Felder, Auth-Identität, Speicherobjekte). Backups: keine Einzeldatenlöschung; Entfernung über Backup-Rotation (14 Wochen konfiguriert). Cloud Logging: Retention gemäß Log-Senken-Einstellung
• Stripe: Kontoverknüpfung wird anonymisiert; Metadaten werden auf Mindestmaß reduziert. Gesetzlich erforderliche Buchhaltungsunterlagen können mit pseudonymisiertem Schlüssel aufbewahrt werden
• Mailchimp: Subscriber-Entfernung per API-Aufruf (MD5-Hash der E-Mail). Kampagnen-Protokolle der Provider-seitigen Retention unterliegend
• Typesense: Alle nutzereigenen Listing-Dokumente werden aus dem Suchindex entfernt. Snapshot-Retention: 14 Tage (konfiguriert)
• Bugsnag: Keine direkte Per-User-Löschung implementiert. Datenminimierung und Provider-seitige Retention/Rotation. Interner Validierungshinweis (ohne vertragliche Zusage): Löschmechanismus oder Datenbeschränkung wird intern bestätigt.
• AWS SES / Vercel / GTM: Kurzlebige oder client-seitige Verarbeitung; keine dauerhafte nutzerbezogene Speicherung beabsichtigt. Provider-seitige Retention-Einstellungen gelten

6. Kundeninformation und Aktualisierungspflicht

Die aktuellen kontextuellen Verarbeiterangaben stellen den technischen Stand der Deployment-Konfiguration dar und ersetzen nicht die rechtsverbindlichen Verträge zwischen den Parteien; ergänzend gilt der Transferrahmen in DPA / SCC / TIA.