Rechtliche Informationen

Stand: 02.2026

§ 1 Geltungsbereich und Vertragsgegenstand

1. Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB") gelten für die Nutzung der Software-as-a-Service-Plattform FeedSync Pro (nachfolgend „Dienst"), betrieben von FeedSync Pro, Inh. Napolitano (nachfolgend „Anbieter").
2. Der Dienst ermöglicht den Import, Export, das Mapping, die Transformation und die automatisierte Synchronisation von Produktdaten mit Shopify-Shops.
3. Der Dienst richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB. Mit der Registrierung versichert der Kunde, in Ausübung seiner gewerblichen oder selbstständigen beruflichen Tätigkeit zu handeln.
4. Bei Widersprüchen gilt folgende Rangfolge: (1) individuelle Vereinbarungen, (2) diese AGB, (3) SLA & Service Credits (Abschnitt 3), (4) AVV (Abschnitt 4), (5) AUP (Abschnitt 6), (6) Datenschutzerklärung (Abschnitt 2).
5. Entgegenstehende oder abweichende Geschäftsbedingungen des Kunden finden keine Anwendung, es sei denn, der Anbieter stimmt ihrer Geltung ausdrücklich in Textform zu.
6. Maßgebliche Vertragssprache ist Deutsch.

§ 2 Vertragsschluss und Registrierung

1. Der Vertrag kommt durch die Registrierung des Kunden auf der Plattform und die Aktivierung eines Tarifs zustande. Die Registrierung stellt ein Vertragsangebot des Kunden dar; die Freischaltung des Kontos durch den Anbieter die Annahme.
2. Der Anbieter behält sich das Recht vor, Registrierungen ohne Angabe von Gründen abzulehnen.
3. Der Kunde ist verpflichtet, bei der Registrierung wahrheitsgemäße und vollständige Angaben zu machen und diese während der gesamten Vertragslaufzeit aktuell zu halten.
4. Der Kunde muss mindestens 18 Jahre alt und unbeschränkt geschäftsfähig sein.
5. Pro natürliche oder juristische Person ist grundsätzlich nur ein Konto zulässig. Mehrfachkonten bedürfen der vorherigen Genehmigung des Anbieters.

§ 3 Leistungsbeschreibung

1. Der Anbieter stellt dem Kunden eine cloud-basierte SaaS-Plattform zur Verfügung. Ein Eigentumsübergang oder die Überlassung von Quellcode findet nicht statt.
2. Kernfunktionen des Dienstes umfassen:
   • Import von Produktdaten aus Dateien (CSV, JSON, XML, XLS, XLSX) und URL-Quellen
   • Export und Synchronisation von Produktdaten zu Shopify-Shops über die Shopify-API
   • Konfigurierbare Feld-Mappings, Bedingungen und Transformationsregeln
   • Zeitplanbasierte Automatisierung der Synchronisation
   • Änderungsprotokolle (Change-Logs) je Feed-Lauf
   • Verwaltung mehrerer Shops pro Konto
3. Der konkrete Leistungsumfang (Anzahl Feeds, Varianten, Dateigröße, Zeitplan-Intervalle, manuelle Läufe, Support-Level) richtet sich nach dem jeweils gewählten Tarif.
4. Der Anbieter schuldet die Bereitstellung und den Betrieb der Plattform, nicht jedoch einen konkreten geschäftlichen Erfolg des Kunden.
5. Technische Voraussetzungen auf Kundenseite: aktueller Webbrowser mit aktiviertem JavaScript und Cookies sowie eine stabile Internetverbindung. Die Herstellung und Aufrechterhaltung dieser Voraussetzungen obliegt dem Kunden.

§ 4 Tarife, Preise und Abrechnung

1. Die verfügbaren Tarife einschließlich ihrer Leistungsmerkmale und Preise sind auf der Plattform einsehbar.
2. Alle Preise verstehen sich in Euro (EUR) zuzüglich der gesetzlichen Umsatzsteuer in der jeweils geltenden Höhe (derzeit 19 %).
3. Die Abrechnung kostenpflichtiger Tarife erfolgt monatlich im Voraus über PayPal Subscriptions. Die Zahlung wird mit Beginn der jeweiligen Abrechnungsperiode fällig.
4. Tarifwechsel:
   • Upgrade (kostenlos → kostenpflichtig oder niedrigerer → höherer Tarif): Die Aktivierung erfolgt in der Regel sofort; die Abrechnung beginnt ab dem Wechselzeitpunkt.
   • Downgrade (kostenpflichtig → kostenlos oder höherer → niedrigerer Tarif): Der Wechsel wird zum Ende der laufenden Abrechnungsperiode wirksam (Vormerkung). Der Kunde kann die Vormerkung bis zum Periodenende widerrufen.
5. Die automatische Verlängerung (Auto-Renewal) ist über den jeweiligen Zahlungsdienst steuerbar.
6. Preisänderungen: Der Anbieter kann die Preise mit einer Vorankündigung von mindestens 30 Tagen per E-Mail ändern. Der Kunde hat ein Sonderkündigungsrecht, das er binnen 14 Tagen nach Zugang der Änderungsmitteilung zum Wirksamwerden der Preisänderung ausüben kann.
7. Zahlungsverzug: Befindet sich der Kunde mit einer Zahlung im Verzug (§ 286 Abs. 3 BGB), fallen Verzugszinsen in Höhe von 9 Prozentpunkten über dem Basiszinssatz an (§ 288 Abs. 2 BGB). Der Anbieter ist nach erfolgloser Mahnung mit angemessener Nachfrist (mindestens 14 Tage) berechtigt, den Zugang zum Dienst zu sperren.

§ 5 Kostenloser Tarif (Free Plan)

1. Der Anbieter kann einen dauerhaft kostenfreien Tarif mit eingeschränktem Funktionsumfang anbieten (reduzierte Limits für Feeds, Varianten, Dateigröße, manuelle Läufe pro Tag).
2. Es besteht kein Rechtsanspruch auf die dauerhafte Bereitstellung des kostenlosen Tarifs.
3. Der Anbieter kann den kostenlosen Tarif jederzeit mit einer Vorankündigung von 30 Tagen einstellen oder dessen Umfang ändern.
4. Für den kostenlosen Tarif gelten keine SLA-Ansprüche gemäß Abschnitt 3. Der Anbieter bemüht sich dennoch um eine angemessene Verfügbarkeit, ohne hierfür eine Garantie zu übernehmen.
5. Der Anbieter kann den Zugang zum kostenlosen Tarif bei offensichtlichem Missbrauch oder Inaktivität (kein Login über mehr als 6 Monate) einschränken oder das Konto deaktivieren, nach vorheriger Benachrichtigung per E-Mail.

§ 6 Nutzungsrechte und geistiges Eigentum

1. Der Anbieter räumt dem Kunden für die Dauer des Vertragsverhältnisses ein einfaches (nicht-ausschließliches), nicht übertragbares, nicht unterlizenzierbares Recht zur Nutzung des Dienstes im Rahmen des gewählten Tarifs ein.
2. Sämtliche Rechte an der Software, den Marken, dem Design und der Dokumentation des Dienstes verbleiben ausschließlich beim Anbieter. Die Nutzung begründet kein Eigentum oder sonstige Rechte des Kunden an der Software.
3. Dem Kunden ist untersagt:
   • den Dienst zu dekompilieren, zu disassemblieren oder auf andere Weise zurückzuentwickeln (Reverse Engineering), es sei denn, dies ist nach § 69e UrhG zwingend gestattet;
   • technische Schutzmaßnahmen zu umgehen;
   • den Dienst mittels Scraping, automatisierter Bots oder auf anderen Wegen außerhalb der bereitgestellten Benutzeroberfläche und API-Schnittstellen zu nutzen;
   • den Dienst Dritten zugänglich zu machen, zu vermieten, zu verleihen oder auf sonstige Weise zu überlassen.
4. Der Anbieter ist berechtigt, Rate-Limits, Captchas, Anomalieerkennung und automatische Sperrmechanismen einzusetzen, um die Integrität und Sicherheit des Dienstes zu gewährleisten.
5. Der Kunde behält sämtliche Rechte an den von ihm eingestellten Daten (Feed-Daten, Produktdaten, Konfigurationen). Der Anbieter erwirbt hieran keine über die Vertragserfüllung hinausgehenden Rechte.

§ 7 Pflichten des Kunden

1. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Vollständigkeit und Rechtmäßigkeit aller von ihm eingestellten Inhalte, Daten, Mappings, Regeln, Filter und Zeitpläne.
2. Sicherungspflicht: Der Kunde ist verpflichtet, vor produktiven Synchronisationen angemessene Sicherungen (Backups) seiner Quell- und Zieldaten in den jeweiligen Quell- und Zielsystemen anzulegen. Der Anbieter empfiehlt dringend, Konfigurationen zunächst in Staging-/Sandbox-Umgebungen mit repräsentativen Daten zu testen.
3. Destruktive Aktionen: Bei Konfigurationen, die zu Preis-/Bestandsänderungen auf 0, Massenlöschungen oder anderen weitreichenden Datenänderungen führen können, ist der Kunde allein verantwortlich. Der Anbieter empfiehlt die Einrichtung eines 4-Augen-Prinzips und eines aktiven Monitorings (z. B. über die Änderungsprotokolle des Dienstes).
4. Kontosicherheit: Der Kunde ist verpflichtet, sichere Passwörter zu verwenden, seine Zugangsdaten vertraulich zu behandeln und den Anbieter bei Verdacht auf unbefugten Zugriff unverzüglich zu benachrichtigen. Für alle Handlungen, die über das Konto des Kunden vorgenommen werden, ist dieser verantwortlich.
5. API-Token-Management: Der Kunde verwaltet Shopify-API-Zugriffstoken nach dem Grundsatz der geringsten Berechtigung (Principle of Least Privilege). Ungenutzte Token sind unverzüglich zu widerrufen.
6. Rechtskonforme Nutzung: Der Kunde verpflichtet sich zur Einhaltung aller anwendbaren Gesetze und Vorschriften, insbesondere des Urheber- und Markenrechts, des Datenschutzrechts, des Wettbewerbsrechts sowie des Sanktions- und Exportkontrollrechts. Einzelheiten regelt die Nutzungs- und Inhaltsrichtlinie (Abschnitt 6).
7. Drittanbieter-Änderungen: Der Kunde ist eigenverantwortlich für die Überwachung von API- und Schema-Änderungen bei Drittanbietern (insbesondere Shopify) und die entsprechende Anpassung seiner Konfigurationen.
8. Mitwirkungspflichten: Bei Supportanfragen stellt der Kunde eine nachvollziehbare Fehlerbeschreibung, relevante Protokolle und Reproduktionsschritte zur Verfügung, soweit zumutbar.

§ 8 Drittanbieter-Abhängigkeiten

1. Der Dienst nutzt zur Leistungserbringung Dienste und APIs von Drittanbietern, insbesondere: Shopify, PayPal, Hetzner, Sentry, Apple. Die vollständige Liste der Unterauftragnehmer ist in der Datenschutzerklärung (Abschnitt 2.8) aufgeführt.
2. Diese Drittanbieter unterliegen ihren eigenen allgemeinen Geschäftsbedingungen, Nutzungsbedingungen und Servicevereinbarungen.
3. Der Anbieter haftet nicht für die Verfügbarkeit, Leistungsfähigkeit, API-Änderungen, Preisänderungen, Einschränkungen oder Ausfälle von Drittanbietern.
4. Funktionseinschränkungen des Dienstes, die auf Änderungen, Einschränkungen oder Ausfälle bei Drittanbietern zurückzuführen sind, begründen keinen Mangel des Dienstes und keinen Anspruch auf Schadensersatz oder Minderung.
5. Ausfälle und Einschränkungen von Drittanbietern werden bei der Berechnung der Verfügbarkeit gemäß dem SLA (Abschnitt 3) nicht berücksichtigt.

§ 9 Verfügbarkeit, Wartung und Änderungen

1. Der Anbieter strebt eine monatliche Verfügbarkeit gemäß dem SLA (Abschnitt 3) an: 99,5 %.
2. Geplante Wartungen: Der Anbieter kündigt geplante Wartungsarbeiten mit angemessener Vorankündigung (in der Regel 48 Stunden) per E-Mail oder In-App-Benachrichtigung an und führt diese nach Möglichkeit außerhalb der Kernarbeitszeiten (MEZ/MESZ) durch.
3. Notfallwartungen: Bei Sicherheitsvorfällen, kritischen Fehlern oder Datenschutzvorfällen ist der Anbieter berechtigt, jederzeit ohne Vorankündigung Wartungsarbeiten durchzuführen.
4. Funktionsänderungen: Der Anbieter ist berechtigt, den Dienst weiterzuentwickeln und Funktionen hinzuzufügen, zu ändern oder zu entfernen, sofern der Kernfunktionsumfang des vom Kunden gebuchten Tarifs nicht wesentlich eingeschränkt wird.
5. Führen Änderungen zu einer wesentlichen Einschränkung des gebuchten Tarifs, kündigt der Anbieter dies mindestens 30 Tage im Voraus an. Dem Kunden steht in diesem Fall ein Sonderkündigungsrecht zum Zeitpunkt des Wirksamwerdens der Änderung zu.

§ 10 Beta- und Labs-Funktionen

1. Der Anbieter kann einzelne Funktionen als „Beta", „Labs", „Experimentell" oder „Preview" kennzeichnen.
2. Diese Funktionen werden ohne jegliche Gewährleistung („as is") bereitgestellt. Sie sind ausdrücklich nicht für den produktiven Einsatz empfohlen; es besteht ein erhöhtes Risiko von Fehlern, Datenverlust und unerwarteten Verhaltensänderungen.
3. Der Anbieter kann Beta-Funktionen jederzeit und ohne Vorankündigung ändern, einschränken oder einstellen.
4. Die Haftung des Anbieters für Beta-Funktionen ist auf Vorsatz und grobe Fahrlässigkeit beschränkt.

§ 11 Laufzeit und Kündigung

1. Der Vertrag wird auf unbestimmte Zeit geschlossen.
2. Ordentliche Kündigung:
   • Kostenpflichtige Tarife: Der Kunde kann zum Ende der laufenden Abrechnungsperiode kündigen. Die Kündigung kann über die Kontolöschung im Kundenkonto, per E-Mail an support@feedsync.pro oder in Textform erfolgen.
   • Kostenloser Tarif: Der Kunde kann jederzeit mit sofortiger Wirkung kündigen.
3. Außerordentliche Kündigung: Beide Parteien sind berechtigt, den Vertrag aus wichtigem Grund fristlos zu kündigen. Ein wichtiger Grund liegt insbesondere vor bei:
   • einem wesentlichen Vertragsverstoß, der trotz schriftlicher Abmahnung mit einer Nachfrist von 14 Tagen nicht abgestellt wird;
   • einem schwerwiegenden Verstoß gegen die Nutzungsrichtlinie (AUP) – in diesem Fall ist eine Abmahnung entbehrlich;
   • Insolvenz, Zahlungsunfähigkeit oder Stellung eines Insolvenzantrags;
   • anhaltendem Zahlungsverzug von mehr als 30 Tagen.
4. Folgen der Vertragsbeendigung:
   • Der Zugang zum Dienst wird zum Ende der Kündigungsfrist deaktiviert (bei fristloser Kündigung: sofort).
   • Der Kunde ist eigenverantwortlich dafür, benötigte Daten (Feed-Konfigurationen, Änderungsprotokolle, hochgeladene Dateien) vor Vertragsende zu exportieren oder zu sichern.
   • Kundendaten werden nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht oder anonymisiert. Abrechnungsdaten werden gemäß § 147 AO und § 257 HGB für 10 Jahre aufbewahrt.
   • Bereits gezahlte Entgelte für die laufende Abrechnungsperiode werden bei ordentlicher Kündigung nicht erstattet, es sei denn, die Kündigung erfolgt aufgrund eines Sonderkündigungsrechts des Kunden.
5. Nachvertragliche Pflichten: Die Regelungen zur Haftung (§ 13), Freistellung (§ 14), Vertraulichkeit (§ 16), Datenschutz (§ 17) und Exportkontrolle (§ 18) gelten über das Vertragsende hinaus fort.

§ 12 Gewährleistung und Mängelansprüche

1. Der Anbieter erbringt seine Leistungen mit wirtschaftlich angemessener Sorgfalt und nach dem allgemein anerkannten Stand der Technik.
2. Der Anbieter übernimmt keine Zusicherung für:
   • absolute Fehlerfreiheit der Software;
   • ununterbrochene Verfügbarkeit des Dienstes;
   • Kompatibilität mit sämtlichen Hard- und Softwareumgebungen;
   • die Eignung des Dienstes für einen bestimmten Zweck des Kunden,
   es sei denn, dies wurde ausdrücklich in einer gesonderten schriftlichen Vereinbarung zugesagt.
3. Mängelanzeige: Der Kunde zeigt Mängel unverzüglich nach Entdeckung in Textform unter Beifügung einer nachvollziehbaren Beschreibung (Fehlerbild, Reproduktionsschritte, betroffene Funktionen) an.
4. Nacherfüllung: Der Anbieter wählt die Art der Mängelbeseitigung (Nachbesserung durch Bugfix oder Workaround, Neulieferung durch Update). Dem Anbieter ist eine angemessene Frist zur Nacherfüllung einzuräumen (in der Regel 30 Tage; bei kritischen Fehlern, die den produktiven Betrieb wesentlich beeinträchtigen, kürzer).
5. Unerhebliche Mängel, die die Nutzung des Dienstes nicht wesentlich beeinträchtigen, berechtigen weder zur Minderung noch zur Kündigung.
6. Mängelansprüche verjähren innerhalb von 12 Monaten ab Bereitstellung der mangelhaften Leistung, soweit gesetzlich zulässig (§ 634a Abs. 1 Nr. 3 BGB analog).

§ 13 Haftungsbeschränkung

1. Unbeschränkte Haftung: Der Anbieter haftet unbeschränkt für Schäden aus der Verletzung von Leben, Körper oder Gesundheit, bei Vorsatz, grober Fahrlässigkeit, nach dem Produkthaftungsgesetz sowie bei Übernahme einer ausdrücklichen Garantie.
2. Einfache Fahrlässigkeit: Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) haftet der Anbieter beschränkt auf den vorhersehbaren, vertragstypischen Schaden. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.
3. Haftungshöchstsumme: Die Gesamthaftung des Anbieters pro Vertragsjahr (außer in den Fällen unbeschränkter Haftung nach Abs. 1) ist der Höhe nach begrenzt auf die Summe der in den letzten 12 Monaten vor dem schädigenden Ereignis tatsächlich vom Kunden gezahlten Nettoentgelte; bei kostenlosen Tarifen auf einen Betrag von höchstens 100,00 EUR.
4. Ausgeschlossene Schadensarten (soweit gesetzlich zulässig): Entgangener Gewinn, mittelbare Schäden und Folgeschäden, Schäden Dritter, Vertragsstrafen Dritter, Reputationsschäden und Betriebsunterbrechungsschäden sind von der Haftung ausgeschlossen, es sei denn, sie beruhen auf Vorsatz oder grober Fahrlässigkeit des Anbieters.
5. Spezielle Risiken – Haftungsausschluss (außer bei Vorsatz oder grober Fahrlässigkeit): Der Anbieter haftet insbesondere nicht für Schäden, die entstehen durch:
   • irrtümliche Preis- oder Bestandsänderungen (z. B. auf 0) infolge fehlerhafter Mappings oder Konfigurationen des Kunden;
   • Massen- oder Fehländerungen aufgrund fehlerhafter Konfigurationen des Kunden;
   • versehentliche Löschung oder Überschreibung von Produkten, Medien oder Zuordnungen im Zielsystem;
   • Datenverlust mangels kundenseitiger Backups;
   • Offenlegung von Daten durch zu weit gefasste Shopify-Scopes oder Berechtigungseinstellungen des Kunden;
   • fehlerhafte Daten infolge von API-Änderungen, Schema-Mutationen oder Ausfällen bei Drittanbietern.
6. Drittanbieter-Ausfälle: Ausfälle und Einschränkungen bei Drittanbietern (§ 8) werden haftungsrechtlich wie Fälle höherer Gewalt (§ 19) behandelt.
7. SLA-Credits als alleiniger Rechtsbehelf: Bei Verfügbarkeitsabweichungen gemäß Abschnitt 3 (SLA) sind die dort geregelten Service Credits der ausschließliche Rechtsbehelf des Kunden. Eine Kumulation von Service Credits und Schadensersatzansprüchen für denselben Zeitraum ist ausgeschlossen.
8. Die vorstehenden Haftungsregelungen gelten auch zugunsten der Erfüllungsgehilfen und gesetzlichen Vertreter des Anbieters.

§ 14 Freistellung

1. Der Kunde stellt den Anbieter von sämtlichen Ansprüchen Dritter frei, die infolge einer Verletzung der Pflichten des Kunden aus diesem Vertrag geltend gemacht werden, insbesondere Ansprüche aus:
   • rechtswidrigen Inhalten oder Daten, die der Kunde über den Dienst verarbeitet;
   • Verstößen gegen die Nutzungsrichtlinie (AUP);
   • Verstößen gegen Sanktions- oder Exportkontrollrecht;
   • fehlerhaften Betriebsanweisungen, Mappings oder Zeitplänen des Kunden;
   • fehlenden Lizenzen oder Rechten an den verarbeiteten Daten;
   • Verletzung von Urheber-, Marken- oder Persönlichkeitsrechten Dritter.
2. Die Freistellung umfasst die angemessenen Kosten der Rechtsverteidigung (Rechtsanwaltsgebühren nach dem RVG).
3. Voraussetzung der Freistellung: Der Anbieter informiert den Kunden unverzüglich über geltend gemachte Ansprüche; der Kunde erhält Gelegenheit zur Stellungnahme; der Anbieter trifft keine nachteiligen Anerkenntnisse oder Vergleiche ohne vorherige Zustimmung des Kunden, es sei denn, Verzug droht Rechtsnachteile.

§ 15 Suspension und Sperrung

1. Der Anbieter ist berechtigt, den Zugang des Kunden ganz oder teilweise zu sperren, wenn:
   • ein konkretes Sicherheitsrisiko für die Plattform oder andere Nutzer besteht;
   • ein Verstoß gegen diese AGB oder die AUP vorliegt oder ein begründeter Verdacht besteht;
   • der Kunde sich trotz Mahnung mit der Zahlung im Verzug befindet (§ 4 Abs. 7);
   • eine außergewöhnliche Last oder ein Missbrauchsverdacht vorliegt;
   • eine behördliche oder gerichtliche Anordnung vorliegt.
2. Der Anbieter informiert den Kunden nach Möglichkeit vor der Sperrung. Bei Gefahr im Verzug (insbesondere bei Sicherheitsvorfällen) ist eine sofortige Sperrung ohne Vorankündigung zulässig.
3. Notfallmaßnahmen wie der Abbruch laufender Synchronisations-Jobs oder der Widerruf von API-Token sind in dringenden Fällen zulässig.
4. Eine Sperrung entbindet den Kunden nicht von der Zahlungspflicht für die laufende Abrechnungsperiode, sofern die Sperrung auf einem Verhalten des Kunden beruht.
5. Dauert eine Sperrung ununterbrochen länger als 30 Tage, ist jede Partei berechtigt, den Vertrag außerordentlich zu kündigen.

§ 16 Vertraulichkeit

1. Beide Parteien verpflichten sich, alle im Rahmen der Vertragsbeziehung erlangten vertraulichen Informationen der jeweils anderen Partei geheim zu halten und nur für die Zwecke der Vertragserfüllung zu verwenden.
2. Vertrauliche Informationen sind sämtliche nicht-öffentlichen technischen, geschäftlichen und betrieblichen Informationen, die als vertraulich gekennzeichnet sind oder nach den Umständen als vertraulich zu betrachten sind.
3. Die Vertraulichkeitspflicht gilt nicht für Informationen, die:
   • zum Zeitpunkt der Mitteilung bereits öffentlich bekannt sind oder ohne Verschulden der empfangenden Partei öffentlich werden;
   • der empfangenden Partei bereits rechtmäßig bekannt waren;
   • von einem Dritten ohne Geheimhaltungspflicht rechtmäßig erlangt wurden;
   • von der empfangenden Partei unabhängig und ohne Rückgriff auf vertrauliche Informationen entwickelt wurden;
   • aufgrund gesetzlicher oder behördlicher Anordnung offengelegt werden müssen (nach vorheriger Benachrichtigung der offenlegenden Partei, soweit rechtlich zulässig).
4. Die Vertraulichkeitspflicht gilt während der Vertragslaufzeit und für einen Zeitraum von 2 Jahren nach Vertragsbeendigung fort.

§ 17 Datenschutz und Auftragsverarbeitung

1. Die Verarbeitung personenbezogener Daten durch den Anbieter richtet sich nach der Datenschutzerklärung (Abschnitt 2).
2. Für die Verarbeitung von Kontodaten und technischen Nutzungsdaten ist der Anbieter Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
3. Für die Verarbeitung von Shop- und Produktdaten des Kunden handelt der Anbieter als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Es gelten die Regelungen des Auftragsverarbeitungsvertrags (Abschnitt 4).
4. Der Kunde ist als Verantwortlicher für die Rechtmäßigkeit der von ihm über den Dienst verarbeiteten personenbezogenen Daten verantwortlich. Er stellt sicher, dass alle erforderlichen Einwilligungen vorliegen oder andere Rechtsgrundlagen gegeben sind.

§ 18 Exportkontrolle und Sanktionen

1. Die Nutzung des Dienstes in oder zugunsten von sanktionierten Ländern, Personen oder Organisationen gemäß den einschlägigen Sanktionslisten der EU, der USA (OFAC) und der Vereinten Nationen ist untersagt.
2. Der Kunde versichert, dass er nicht auf einer Sanktionsliste geführt wird und den Dienst nicht für sanktionierte Endverwendungen nutzen wird.
3. Der Anbieter ist bei begründetem Sanktionsverdacht berechtigt, die Leistung zu verweigern, einzuschränken oder mit sofortiger Wirkung zu unterbrechen, ohne dass dem Kunden hieraus Ansprüche gegen den Anbieter entstehen.
4. Der Kunde stellt den Anbieter von sämtlichen Ansprüchen, Bußgeldern und Schäden frei, die aus einem Verstoß des Kunden gegen Sanktions- oder Exportkontrollvorschriften resultieren.

§ 19 Höhere Gewalt (Force Majeure)

1. Keine Partei haftet für die Nichterfüllung oder verspätete Erfüllung ihrer Vertragspflichten, soweit dies auf Umständen beruht, die außerhalb ihrer zumutbaren Kontrolle liegen (höhere Gewalt).
2. Ereignisse höherer Gewalt umfassen insbesondere: Naturkatastrophen, Pandemien, Epidemien, Krieg, Terrorismus, Aufruhr, Streik, Aussperrung, Energieversorgungsausfälle, Ausfall wesentlicher Infrastruktur-Dienstleister, behördliche Maßnahmen und Anordnungen sowie Cyberangriffe (DDoS, Ransomware), die trotz angemessener Schutzmaßnahmen nicht abgewehrt werden konnten.
3. Die betroffene Partei informiert die andere Partei unverzüglich über den Eintritt und die voraussichtliche Dauer des Ereignisses und unternimmt angemessene Anstrengungen zur Schadensbegrenzung.
4. Dauert ein Ereignis höherer Gewalt ununterbrochen länger als 90 Tage, ist jede Partei berechtigt, den Vertrag außerordentlich mit sofortiger Wirkung zu kündigen.

§ 20 Änderungen dieser AGB

1. Der Anbieter ist berechtigt, diese AGB aus sachlich gerechtfertigtem Grund zu ändern, insbesondere bei Rechtsänderungen, neuen Funktionen, veränderten Sicherheitsanforderungen oder Änderungen in der Geschäftstätigkeit.
2. Änderungen werden dem Kunden mindestens 6 Wochen vor ihrem Inkrafttreten per E-Mail an die hinterlegte E-Mail-Adresse mitgeteilt. Die Mitteilung enthält den Wortlaut der Änderungen sowie einen ausdrücklichen Hinweis auf das Widerspruchsrecht und dessen Rechtsfolgen.
3. Der Kunde kann den Änderungen binnen 6 Wochen nach Zugang der Mitteilung in Textform widersprechen. Bei Widerspruch steht dem Kunden ein Sonderkündigungsrecht zum Zeitpunkt des Inkrafttretens der Änderung zu. In diesem Fall gelten bis zur Vertragsbeendigung die bisherigen AGB fort.
4. Widerspricht der Kunde nicht fristgerecht, gelten die geänderten AGB als genehmigt. Auf diese Rechtsfolge wird in der Änderungsmitteilung ausdrücklich hingewiesen.
5. Wesentliche Verschlechterungen zulasten des Kunden, die über eine Anpassung an veränderte Umstände hinausgehen, bedürfen der ausdrücklichen Zustimmung des Kunden in Textform.

§ 21 Schlussbestimmungen

1. Anwendbares Recht: Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG) und der Verweisungsnormen des internationalen Privatrechts.
2. Gerichtsstand: Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Hagen, soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder keinen allgemeinen Gerichtsstand im Inland hat.
3. Salvatorische Klausel: Sollten einzelne Bestimmungen dieser AGB ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die unwirksame Bestimmung wird durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
4. Textform: Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform (§ 126b BGB). Dies gilt auch für die Aufhebung dieses Textformerfordernisses. Mündliche Nebenabreden bestehen nicht.
5. Abtretung: Die Abtretung von Rechten und Pflichten aus diesem Vertrag bedarf der vorherigen Zustimmung der anderen Partei in Textform. Ausgenommen hiervon sind Abtretungen im Rahmen von Unternehmensveräußerungen oder -umstrukturierungen.
6. Subunternehmer: Der Einsatz von Subunternehmern durch den Anbieter ist zulässig. Die aktuelle Subprozessorenliste ist in der Datenschutzerklärung (Abschnitt 2.8) einsehbar. Änderungen werden per E-Mail angekündigt; dem Kunden steht bei berechtigten Bedenken ein Widerspruchsrecht zu.
7. Streitbeilegung: Der Anbieter ist weder bereit noch verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen. Da der Dienst sich ausschließlich an Unternehmer richtet (§ 1 Abs. 3), ist die OS-Plattform der EU (ec.europa.eu/consumers/odr) nicht einschlägig.

2.1 Datenschutz auf einen Blick

Die nachfolgende Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir im Rahmen des Betriebs von FeedSync Pro erheben, zu welchen Zwecken wir sie verarbeiten und welche Rechte Ihnen zustehen. Unser Dienst richtet sich primär an Unternehmer im Sinne des § 14 BGB (B2B). Diese Datenschutzerklärung gilt gleichwohl auch für natürliche Personen, die unseren Dienst nutzen.

Stand: 02.2026

2.2 Verantwortlicher (Art. 4 Nr. 7 DSGVO)

FeedSync Pro, Inh. Napolitano (Einzelunternehmen)
Vogelsanger Str. 39c, 58135 Hagen, Deutschland
USt-ID: DE360307907
E-Mail: privacy@feedsync.pro
Telefon: +49 1567 8398020

Die Benennung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).

2.3 Übersicht der Verarbeitungstätigkeiten

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

1. Bereitstellung und Betrieb der SaaS-Plattform
2. Benutzerkontoverwaltung (Registrierung, Authentifizierung, Zugriffskontrolle)
3. Shopify-Shop-Anbindung und Produktdaten-Synchronisation
4. Abonnement- und Zahlungsabwicklung über PayPal
5. Transaktionale E-Mail-Kommunikation
6. Fehlererkennung und Leistungsüberwachung (Sentry)
7. Sicherheit und Missbrauchsprävention

2.4 Rechtsgrundlagen der Verarbeitung

Rechtsgrundlage	Anwendungsfall
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)	Kontoverwaltung, Shop-Anbindung, Feed-Synchronisation, Abonnementverwaltung, transaktionale E-Mails
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)	Login-Rate-Limiting (IP-Verarbeitung), Sicherheitsprotokollierung, Fehlerüberwachung (Sentry), SSRF-Schutz bei URL-Abruf
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung)	Aufbewahrung von Abrechnungsdaten gemäß steuerrechtlicher Pflichten (§ 147 AO, § 257 HGB)
§ 25 Abs. 2 Nr. 2 TTDSG	Technisch notwendige Cookies (Session, CSRF) – keine Einwilligung erforderlich

Eine Verarbeitung auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) findet derzeit nicht statt.

2.5 Erhobene Datenkategorien im Detail

2.5.1 Bestandsdaten (Kontodaten)

• Daten: E-Mail-Adresse (eindeutig, auf Kleinbuchstaben normalisiert), Benutzername, Passwort (kryptographisch gehasht, niemals im Klartext gespeichert)
• Erhebung: Bei der Registrierung durch den Nutzer
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.5.2 Shop-Verbindungsdaten

• Daten: Shopify-Domain (myshopify.com), Shopify-Zugriffstoken (Fernet-verschlüsselt gespeichert), Shop-Name, Erstellungs- und Aktualisierungszeitstempel
• Erhebung: Beim Verbinden eines Shopify-Shops durch den Nutzer
• Besonderer Schutz: Das Zugriffstoken wird vor der Speicherung symmetrisch verschlüsselt (Fernet/AES-128-CBC). Der Verschlüsselungsschlüssel wird getrennt von der Datenbank aufbewahrt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.5.3 Feed- und Produktdaten

• Daten: Feed-Konfiguration (Mapping-Regeln, Bedingungen, Transformationen), hochgeladene Dateien (CSV, JSON, XLS/XLSX), URL-Quellen, Feed-Läufe (Status, Zeitpunkte, Zeilenanzahl), Änderungsprotokolle (SKU, Feldname, alter Wert, neuer Wert, Zeitstempel)
• Erhebung: Durch den Nutzer beim Erstellen und Konfigurieren von Feeds; automatisch bei der Synchronisation
• Hinweis: Produktdaten enthalten in der Regel keine personenbezogenen Daten. Sofern der Kunde personenbezogene Daten seiner Endkunden über unsere Plattform verarbeitet (z. B. in Produktbeschreibungen), bleibt der Kunde Verantwortlicher im Sinne der DSGVO. In diesem Fall handeln wir als Auftragsverarbeiter; der AVV (Abschnitt 4) gilt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.5.4 Zahlungs- und Abonnementdaten

• Daten: Gewählter Tarif, Abonnementstatus, Laufzeitdaten, verbrauchte Credits, PayPal-Subscription-ID, Zahlungsanbieter-Kennung
• Nicht gespeichert: Kreditkarten- oder Bankverbindungsdaten. Sämtliche Zahlungsdaten werden ausschließlich von PayPal verarbeitet und niemals auf unseren Servern gespeichert.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.5.5 Technische Nutzungsdaten

• Daten: IP-Adresse (ausschließlich im Rahmen des Login-Rate-Limitings, automatische Löschung nach 15 Minuten), Session-ID, CSRF-Token
• Erhebung: Automatisch beim Zugriff auf die Plattform
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform); § 25 Abs. 2 Nr. 2 TTDSG für Cookies

2.6 Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies. Es werden keine Analytics-, Marketing- oder Tracking-Cookies eingesetzt. Ein Cookie-Consent-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG).

Cookie	Zweck	Laufzeit	Attribute	Rechtsgrundlage
sessionid	Session-Verwaltung (Anmeldestatus)	2 Wochen	HttpOnly, Secure, SameSite=Lax	§ 25 Abs. 2 Nr. 2 TTDSG
csrftoken	Schutz vor Cross-Site-Request-Forgery	Sitzungsdauer	HttpOnly, Secure, SameSite=Lax	§ 25 Abs. 2 Nr. 2 TTDSG

2.7 E-Mail-Kommunikation

Wir versenden ausschließlich transaktionale E-Mails, die für die Erbringung unseres Dienstes erforderlich sind:

1. Willkommensmail – bei Erstellung eines neuen Shops
2. Benachrichtigung bei Shop-Löschung – Bestätigung der Löschung
3. Täglicher Digest – zusammengefasste Feed-Synchronisationsstatistiken des Vortages

Es werden keine Tracking-Pixel und keine Öffnungsraten-Erfassung eingesetzt. Der E-Mail-Versand erfolgt über iCloud Mail (Apple Inc.) als SMTP-Relay – siehe Abschnitt 2.8.5 zur Drittlandsübermittlung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.8 Empfänger und Drittlandsübermittlungen

Im Rahmen unseres Dienstes setzen wir die folgenden Dienstleister ein. Sofern eine Übermittlung in Drittländer (außerhalb des EWR) stattfindet, stellen wir durch geeignete Garantien sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist (Art. 44 ff. DSGVO).

2.8.1 Hetzner Online GmbH – Hosting

• Zweck: Server-Infrastruktur (Webserver, Datenbank, Cache)
• Standort: Helsinki, Finnland (EU)
• Rolle: Auftragsverarbeiter (Art. 28 DSGVO)
• Verarbeitete Daten: Alle auf der Plattform gespeicherten Daten
• Drittlandsübermittlung: Nein (EU-Standort)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b, f DSGVO

2.8.2 Shopify Inc. – API-Integration

• Zweck: Produktdaten-Synchronisation mit dem Shopify-Shop des Kunden
• Standort: Ottawa, Kanada
• Rolle: Der Kunde unterhält eine eigenständige vertragliche Beziehung mit Shopify. Wir greifen auf die Shopify-API ausschließlich im Auftrag und auf Weisung des Kunden zu (manuell oder per konfiguriertem Zeitplan).
• Verarbeitete Daten: Produktdaten (Titel, Preise, Bestände, SKUs, Beschreibungen), Shop-Domain
• Drittlandsübermittlung: Kanada – Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.8.3 PayPal (Europe) S.à r.l. et Cie, S.C.A. – Zahlungsabwicklung

• Zweck: Abonnement-Abrechnung und Zahlungsverarbeitung
• Standort: 22-24 Boulevard Royal, L-2449 Luxemburg (EU)
• Rolle: Eigenständiger Verantwortlicher. PayPal verarbeitet Zahlungsdaten in eigener Verantwortung gemäß der PayPal-Datenschutzerklärung.
• Verarbeitete Daten: PayPal-Subscription-ID, Abrechnungszeitraum, Zahlungsstatus. Kreditkarten- oder Kontodaten werden ausschließlich von PayPal verarbeitet und niemals auf unseren Servern gespeichert.
• Drittlandsübermittlung: PayPal kann als Teil der PayPal-Gruppe Daten in die USA übermitteln und stützt sich dabei auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzende Maßnahmen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.8.4 Functional Software, Inc. / Sentry – Fehlerüberwachung

• Zweck: Fehler- und Performance-Monitoring zur Sicherstellung der Plattformstabilität
• Standort: San Francisco, Kalifornien, USA
• Rolle: Auftragsverarbeiter (Art. 28 DSGVO, Sentry DPA)
• Verarbeitete Daten: Benutzer-ID, E-Mail-Adresse, IP-Adresse, Request-Metadaten (User-Agent, URL), Fehlerkontext (Stack-Traces), Performance-Daten
• Drittlandsübermittlung: USA – Sentry ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, C(2023) 4745). Ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als zusätzliche Absicherung.
• Speicherdauer: 90 Tage (Sentry-Standard-Retention)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Identifizierung und Behebung von Fehlern, die den Betrieb der Plattform beeinträchtigen können)

2.8.5 Apple Inc. / iCloud Mail – E-Mail-Versand

• Zweck: SMTP-Relay für den Versand transaktionaler E-Mails
• Standort: Cupertino, Kalifornien, USA
• Verarbeitete Daten: E-Mail-Adressen (Absender und Empfänger), E-Mail-Inhalte während des Transits
• Drittlandsübermittlung: USA – Apple ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails sind für die Vertragserfüllung erforderlich)

2.8.6 KI-gestützte Funktionen (lokal)

• Zweck: Optionale KI-Unterstützung bei Feld-Mapping, Beschreibungsgenerierung, SEO-Optimierung, Übersetzung und Datenqualitätsanalyse
• Verarbeitung: Ausschließlich lokal auf dem Server des Anbieters (Hetzner Helsinki, Finnland / EU). Es findet keine Übermittlung an externe KI-Dienste (z. B. OpenAI, Google, etc.) statt.
• Technologie: Lokales Sprachmodell (Ollama), das vollständig auf der eigenen Infrastruktur betrieben wird
• Verarbeitete Daten: Produktdaten (Titel, Beschreibungen, Tags, Preise, Kategorien) im Rahmen der Feed-Konfiguration. Es werden keine personenbezogenen Daten der Endkunden des Nutzers durch die KI verarbeitet, sofern der Nutzer keine personenbezogenen Daten in Produktfeldern hinterlegt.
• Drittlandsübermittlung: Nein (vollständig lokal auf EU-Servern)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die KI-Funktionen sind Bestandteil des Dienstes)
• Hinweis: KI-Vorschläge werden dem Nutzer stets zur Überprüfung vorgelegt und erst nach ausdrücklicher Bestätigung angewendet. Es findet keine automatisierte Übernahme ohne Nutzerinteraktion statt.

2.9 Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Datenkategorie	Speicherdauer	Grundlage
Kontodaten (E-Mail, Benutzername)	Bis zur Kontolöschung durch den Nutzer	Art. 17 DSGVO
Shop-Verbindungsdaten	Bis zur Shop-Löschung (kaskadierende Löschung aller zugehörigen Feeds, Läufe, Protokolle und Abonnements)	Art. 6 Abs. 1 lit. b DSGVO
Feed-Konfigurationen & Dateien	Bis zur Feed- oder Shop-Löschung	Art. 6 Abs. 1 lit. b DSGVO
Änderungsprotokolle (FeedChangeLog)	Bis zur Shop-Löschung	Art. 6 Abs. 1 lit. f DSGVO
Abrechnungsdaten	10 Jahre nach Vertragsende	§ 147 AO, § 257 HGB
Login-Rate-Limiting (IP-Adresse)	15 Minuten (automatische Löschung)	Art. 6 Abs. 1 lit. f DSGVO
Webhook-Deduplizierung	24 Stunden (automatische Löschung)	Art. 6 Abs. 1 lit. f DSGVO
Sentry-Fehlerdaten	90 Tage	Art. 6 Abs. 1 lit. f DSGVO
Session-Cookie	2 Wochen	§ 25 Abs. 2 Nr. 2 TTDSG

Nach Ablauf der jeweiligen Speicherdauer oder bei Löschung des Kontos/Shops werden die Daten unwiderruflich gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

2.10 Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Eine detaillierte Aufstellung finden Sie in Abschnitt 5. Technisch-organisatorische Maßnahmen (TOM). Zusammenfassung:

• Transportverschlüsselung: TLS 1.2+ mit HSTS (365 Tage, inkl. Subdomains, Preload)
• Verschlüsselung at rest: Fernet-Verschlüsselung (AES-128-CBC) für Shopify-Zugriffstokens
• Cookie-Sicherheit: HttpOnly, Secure, SameSite=Lax für alle Cookies
• CSRF-Schutz: Django CSRF-Middleware mit Token-Validierung
• SSRF-Schutz: IP-Adress-Validierung bei URL-Abruf (Blockierung privater/interner Adressbereiche)
• Login-Rate-Limiting: Max. 5 Fehlversuche, 15 Minuten Sperrzeit
• Clickjacking-Schutz: X-Frame-Options DENY
• Content-Type-Sniffing-Schutz: X-Content-Type-Options nosniff

2.11 Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte nach der DSGVO zu:

1. Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns zu Ihrer Person gespeicherten Daten zu verlangen.
2. Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
3. Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
6. Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer Daten, die auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht, Widerspruch einzulegen. Dies betrifft insbesondere: Login-Rate-Limiting (IP-Verarbeitung), Sicherheitsprotokollierung, Fehlerüberwachung durch Sentry. Legen Sie Widerspruch ein, werden wir die betroffenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
7. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern eine Einwilligung erteilt wurde, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Derzeit findet keine einwilligungsbasierte Verarbeitung statt.

Kontakt für alle Anfragen: privacy@feedsync.pro
Antwortfrist: Wir beantworten Ihre Anfrage ohne unangemessene Verzögerung, spätestens innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO).
Identitätsprüfung: Wir behalten uns vor, die Identität der anfragenden Person angemessen zu überprüfen, um den Schutz Ihrer Daten sicherzustellen (Art. 12 Abs. 6 DSGVO).

2.12 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de

Sie können sich alternativ auch an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder Arbeitsplatzes wenden.

2.13 Auftragsverarbeitung und Rollenverteilung

Je nach Art der verarbeiteten Daten nehmen wir unterschiedliche datenschutzrechtliche Rollen ein:

• Verantwortlicher (Art. 4 Nr. 7 DSGVO): Für die Verarbeitung Ihrer Kontodaten, technischen Nutzungsdaten und Abonnementdaten sind wir Verantwortlicher.
• Auftragsverarbeiter (Art. 4 Nr. 8, Art. 28 DSGVO): Für Shop- und Produktdaten, die Sie über unsere Plattform verarbeiten, handeln wir als Auftragsverarbeiter. In diesem Fall sind Sie als Kunde Verantwortlicher. Der Auftragsverarbeitungsvertrag (AVV) gemäß Abschnitt 4 gilt.

Hinweis: Falls Sie als Kunde personenbezogene Daten Ihrer Endkunden über unsere Plattform verarbeiten (z. B. in Produktbeschreibungen, Feed-Daten), sind Sie als Verantwortlicher für die Rechtmäßigkeit dieser Verarbeitung zuständig. Wir empfehlen Ihnen, keine personenbezogenen Endkundendaten in Feed-Feldern zu verarbeiten, sofern dies nicht zwingend erforderlich ist.

2.14 Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die Feed-Synchronisation erfolgt regelbasiert auf Grundlage der von Ihnen konfigurierten Mappings, Bedingungen und Transformationen. Es handelt sich nicht um Profiling natürlicher Personen. Auch die optionalen KI-Funktionen (siehe Abschnitt 2.8.6) stellen keine automatisierte Entscheidungsfindung dar, da sämtliche KI-Vorschläge dem Nutzer zur manuellen Überprüfung und Bestätigung vorgelegt werden, bevor sie angewendet werden.

2.15 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, neue Technologien oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung ist stets unter /legal/#privacy abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte als betroffene Person betreffen, werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren.

Stand: 02.2026

3.1 Geltungsbereich

1. Dieses Service Level Agreement (nachfolgend "SLA") gilt ausschließlich für kostenpflichtige Tarife. Kunden im kostenlosen Tarif (Free Plan) haben keinen Anspruch auf die in diesem Abschnitt geregelten Verfügbarkeitsziele oder Service Credits.
2. Das SLA ergänzt die AGB (Abschnitt 1) und ist Bestandteil des Vertrages. Bei Widersprüchen zwischen SLA und AGB gehen die AGB vor (§ 1 Abs. 4 AGB).
3. Individuelle SLA-Vereinbarungen in Textform gehen diesem Standard-SLA vor.

3.2 Definitionen

1. "Verfügbarkeit" bezeichnet die Erreichbarkeit der wesentlichen Kernfunktionen des Dienstes (Login, Feed-Verwaltung, manuelle und geplante Synchronisation) über die Weboberfläche. Die Verfügbarkeit wird als prozentualer Anteil der Gesamtminuten eines Kalendermonats berechnet, in denen der Dienst nutzbar war.
2. "Ausfallzeit" (Downtime) bezeichnet einen zusammenhängenden Zeitraum von mindestens 5 Minuten, in dem die Kernfunktionen für den Kunden nicht erreichbar oder nicht nutzbar sind. Vereinzelte Timeouts, vorübergehende Latenzschwankungen oder Fehler bei einzelnen API-Aufrufen begründen keine Ausfallzeit.
3. "Monatliche Verfügbarkeit" wird wie folgt berechnet:
   Verfügbarkeit (%) = ((Gesamtminuten des Monats − Ausfallminuten) / Gesamtminuten des Monats) × 100
4. "Service Credit" bezeichnet eine nicht auszahlbare Gutschrift, die mit zukünftigen Entgelten des Kunden verrechnet wird.

3.3 Verfügbarkeitsziel

1. Der Anbieter strebt eine monatliche Verfügbarkeit von 99,5 % an (nachfolgend "Verfügbarkeitsziel").
2. Das Verfügbarkeitsziel stellt eine Zielvereinbarung dar, keine Garantie. Ein Unterschreiten des Verfügbarkeitsziels begründet ausschließlich einen Anspruch auf Service Credits gemäß Abschnitt 3.5 und keinen darüber hinausgehenden Anspruch auf Schadensersatz (vgl. § 13 Abs. 7 AGB).

3.4 Ausschlüsse von der Verfügbarkeitsberechnung

Folgende Zeiträume werden bei der Berechnung der monatlichen Verfügbarkeit nicht als Ausfallzeit gewertet:

1. Geplante Wartung: Wartungsarbeiten, die mindestens 48 Stunden im Voraus per E-Mail oder In-App-Benachrichtigung angekündigt wurden.
2. Notfallwartung: Dringende, nicht aufschiebbare Maßnahmen zur Abwehr von Sicherheitsbedrohungen, zur Behebung kritischer Fehler oder zur Einhaltung gesetzlicher Pflichten (z. B. Datenschutzvorfälle).
3. Höhere Gewalt (Force Majeure): Ereignisse gemäß § 19 AGB.
4. Drittanbieter-Ausfälle: Nichtverfügbarkeit oder Einschränkungen von Drittanbieter-Diensten (Shopify-API, PayPal, Hetzner-Infrastruktur, Sentry, iCloud Mail), soweit der Anbieter diese nicht zu vertreten hat.
5. Kundenseitige Ursachen: Fehler in der Konfiguration des Kunden, Überschreitung von Tariflimits, unzureichende Internetverbindung oder Browserinkompatibilität auf Kundenseite.
6. Beta/Labs-Funktionen: Funktionen, die als "Beta", "Labs", "Experimentell" oder "Preview" gekennzeichnet sind (§ 10 AGB).
7. Suspension/Sperrung: Einschränkungen, die aufgrund eines Verstoßes des Kunden gegen die AGB oder AUP erfolgen (§ 15 AGB).
8. Behördliche Anordnungen: Maßnahmen aufgrund behördlicher oder gerichtlicher Verfügungen.
9. DNS- und Netzwerkprobleme: Störungen im öffentlichen Internet, bei DNS-Providern oder bei Internetdienstanbietern des Kunden, die außerhalb der Kontrolle des Anbieters liegen.

3.5 Service Credits

1. Unterschreitet die monatliche Verfügbarkeit das Verfügbarkeitsziel, hat der Kunde Anspruch auf Service Credits gemäß folgender Staffelung:

Monatliche Verfügbarkeit	Service Credit (% des Monatsentgelts)
≥ 99,0 % und < 99,5 %	5 %
≥ 98,0 % und < 99,0 %	10 %
≥ 95,0 % und < 98,0 %	15 %
< 95,0 %	20 %

2. Bezugsgröße: Die Berechnung des Service Credits erfolgt auf Basis des tatsächlich vom Kunden für den betroffenen Monat gezahlten Nettoentgelts (ohne Umsatzsteuer).
3. Deckelung: Service Credits für einen einzelnen Kalendermonat sind auf maximal 20 % des monatlichen Nettoentgelts begrenzt, unabhängig von der Anzahl der Ausfälle in dem Monat.
4. Keine Auszahlung: Service Credits werden ausschließlich mit zukünftigen Rechnungen verrechnet. Eine Barauszahlung, Rückerstattung oder Übertragung auf Dritte ist ausgeschlossen.
5. Keine Kumulation: Service Credits können nicht mit Schadensersatzansprüchen für denselben Zeitraum kumuliert werden. Die Gewährung von Service Credits schließt weitergehende Ansprüche wegen derselben Verfügbarkeitsstörung aus (vgl. § 13 Abs. 7 AGB).
6. Verfall: Nicht beantragte oder nicht verrechnete Service Credits verfallen 6 Monate nach dem betroffenen Kalendermonat.

3.6 Meldung und Beantragung von Service Credits

1. Der Kunde meldet Ausfälle unverzüglich per E-Mail an support@feedsync.pro unter Angabe des Zeitpunkts, der Dauer und einer Beschreibung der Nichtverfügbarkeit.
2. Service Credits müssen innerhalb von 30 Tagen nach Ende des betroffenen Kalendermonats schriftlich oder per E-Mail beantragt werden. Verspätete Anträge werden nicht berücksichtigt.
3. Der Anbieter prüft den Antrag anhand seiner eigenen Monitoring-Daten. Die Monitoring-Daten des Anbieters sind für die Berechnung der Verfügbarkeit maßgeblich, sofern der Kunde keine abweichenden, nachprüfbaren Nachweise vorlegt.
4. Der Anbieter teilt dem Kunden das Ergebnis der Prüfung innerhalb von 14 Werktagen nach Eingang des vollständigen Antrags mit.

3.7 Wartung

1. Geplante Wartung: Der Anbieter kündigt geplante Wartungsarbeiten mindestens 48 Stunden im Voraus per E-Mail oder In-App-Benachrichtigung an. Geplante Wartungen finden nach Möglichkeit außerhalb der Kernarbeitszeiten (werktags 9:00–18:00 Uhr MEZ/MESZ) statt.
2. Notfallwartung: Bei akuten Sicherheitsbedrohungen, kritischen Fehlern, die den Dienst wesentlich beeinträchtigen, oder Datenschutzvorfällen ist der Anbieter berechtigt, jederzeit und ohne Vorankündigung Wartungsarbeiten durchzuführen. Der Anbieter informiert den Kunden schnellstmöglich über Art, Grund und voraussichtliche Dauer der Maßnahme.
3. Wartungsfenster: Der Anbieter bemüht sich, die Gesamtdauer geplanter Wartungen auf ein Minimum zu beschränken. Geplante Wartungen zählen nicht zur Ausfallzeit (Abschnitt 3.4 Abs. 1).

3.8 Störungsmeldung und Eskalation

1. Störungen sind per E-Mail an support@feedsync.pro zu melden.
2. Der Anbieter bestätigt den Eingang der Störungsmeldung und bemüht sich um eine zeitnahe Bearbeitung. Verbindliche Reaktions- oder Lösungszeiten bestehen nur, sofern im jeweiligen Tarif ausdrücklich zugesagt.
3. Bei anhaltenden oder wiederkehrenden Störungen kann der Kunde eine Eskalation an die Geschäftsleitung beantragen. Kontakt: info@feedsync.pro.

3.9 Ausschließlicher Rechtsbehelf

1. Die in diesem Abschnitt geregelten Service Credits stellen den einzigen und ausschließlichen Rechtsbehelf des Kunden bei Nichterreichung des Verfügbarkeitsziels dar.
2. Weitergehende Ansprüche des Kunden wegen Nichtverfügbarkeit des Dienstes – insbesondere auf Schadensersatz, Minderung oder außerordentliche Kündigung allein aufgrund einer Verfügbarkeitsstörung – sind ausgeschlossen, soweit die gesetzlich zwingende Haftung (Vorsatz, grobe Fahrlässigkeit, Verletzung von Leben, Körper oder Gesundheit) nicht berührt wird.
3. Die allgemeinen Haftungsregelungen gemäß § 13 AGB bleiben im Übrigen unberührt.

Dieser Abschnitt stellt eine verbindliche Kurzfassung des Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO dar. Ein Volltext-AVV als PDF-Dokument ist auf Anfrage per E-Mail an privacy@feedsync.pro erhältlich. Im Falle von Widersprüchen zwischen dieser Kurzfassung und dem Volltext-AVV geht der Volltext vor.

4.1 Gegenstand und Dauer der Verarbeitung

1. Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten durch den Anbieter (Auftragsverarbeiter) im Auftrag des Kunden (Verantwortlicher) im Rahmen der Nutzung von FeedSync Pro.
2. Die Verarbeitung beginnt mit der Verbindung des ersten Shopify-Shops durch den Kunden und endet mit der vollständigen Löschung aller personenbezogenen Daten nach Vertragsbeendigung, spätestens nach Ablauf der gesetzlichen Aufbewahrungsfristen.
3. Dieser AVV gilt für die gesamte Dauer des Hauptvertrags (AGB, Abschnitt 1) und darüber hinaus, soweit der Auftragsverarbeiter noch personenbezogene Daten des Verantwortlichen verarbeitet.

4.2 Art und Zweck der Verarbeitung

1. Die Verarbeitung dient der Erbringung der vertraglich vereinbarten SaaS-Leistungen und umfasst:
   • Import und Speicherung von Produktdaten aus kundenseitig bereitgestellten Quellen (Dateien, URLs)
   • Mapping, Transformation und Filterung von Datenfeldern gemäß kundenseitiger Konfiguration
   • Export und Synchronisation von Produktdaten zur Shopify-API des Kunden
   • Automatisierte, zeitplangesteuerte Wiederholung der Synchronisation
   • Protokollierung von Datenänderungen (Change-Logs)
   • Monitoring der Feed-Läufe und Fehlerüberwachung
   • Technischer Support bei Anfragen des Kunden
2. Eine darüber hinausgehende Verarbeitung findet nicht statt, es sei denn, der Verantwortliche erteilt eine entsprechende dokumentierte Weisung.

4.3 Kategorien betroffener Personen und Daten

1. Betroffene Personen:
   • Mitarbeiter und Kontaktpersonen des Kunden (Kontoinhaber, Shop-Administratoren)
   • Gegebenenfalls Endkunden des Kunden, soweit deren personenbezogene Daten in Produktdaten oder Feed-Feldern enthalten sind (z. B. Personalisierungen, Widmungen in Produktbeschreibungen)
2. Datenkategorien:
   • Shop-Verbindungsdaten (Shopify-Domain, verschlüsseltes Zugriffstoken, Shop-Name)
   • Feed-Konfigurationen (Mapping-Regeln, Bedingungen, Transformationen)
   • Produktdaten (Titel, Beschreibungen, Preise, Bestände, SKUs, Bilder-URLs, Metafelder)
   • Änderungsprotokolle (SKU, Feldname, alter/neuer Wert, Zeitstempel)
   • Hochgeladene Quelldateien (CSV, JSON, XML, XLS, XLSX)
   • Technische Protokolldaten (Feed-Laufstatus, Fehlermeldungen, Zeitstempel)
3. Besondere Kategorien (Art. 9 DSGVO): Eine Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht beabsichtigt und soll vom Kunden nicht über die Plattform vorgenommen werden. Sollte der Kunde dennoch solche Daten einstellen, liegt dies in seiner alleinigen Verantwortung.

4.4 Weisungsbindung

1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Plattformfunktionen durch den Kunden (Feed-Konfiguration, Mapping-Regeln, Zeitpläne, manuelle Synchronisation) gilt als dokumentierte Weisung.
2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung einer solchen Weisung bis zur Klärung auszusetzen.
3. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Änderungswunsch behandelt und können zusätzliche Kosten verursachen.

4.5 Vertraulichkeit und Mitarbeiterverpflichtung

1. Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugang zu personenbezogenen Daten des Verantwortlichen haben, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
2. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Beschäftigungsverhältnisses oder der Auftragsbeziehung fort.

4.6 Technisch-organisatorische Maßnahmen (TOM)

1. Der Auftragsverarbeiter trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Maßnahmen sind in Abschnitt 5 (TOM) dokumentiert.
2. Der Auftragsverarbeiter überprüft die Wirksamkeit der TOM regelmäßig und passt sie bei Bedarf an den Stand der Technik an.
3. Die TOM dürfen weiterentwickelt werden, solange das vereinbarte Schutzniveau nicht unterschritten wird.

4.7 Einsatz von Unterauftragsverarbeitern (Subprozessoren)

1. Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern im Sinne des Art. 28 Abs. 2 DSGVO.
2. Aktuelle Subprozessoren:

Subprozessor	Zweck	Standort	Garantie bei Drittlandtransfer
Hetzner Online GmbH	Server-Infrastruktur (Hosting, Datenbank, Cache)	Helsinki, Finnland (EU)	– (kein Drittland)
Functional Software, Inc. (Sentry)	Fehler- und Performance-Monitoring	San Francisco, USA	EU-US Data Privacy Framework + SCCs
Apple Inc. (iCloud Mail)	SMTP-Relay für transaktionale E-Mails	Cupertino, USA	EU-US Data Privacy Framework + SCCs

3. Änderungen: Der Auftragsverarbeiter informiert den Verantwortlichen per E-Mail an die hinterlegte E-Mail-Adresse über beabsichtigte Änderungen bei der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage vor der geplanten Änderung.
4. Widerspruchsrecht: Der Verantwortliche kann der Änderung aus berechtigten datenschutzrechtlichen Gründen innerhalb von 14 Tagen nach Mitteilung in Textform widersprechen. Können sich die Parteien nicht innerhalb von 30 Tagen nach Widerspruch auf eine Lösung einigen, steht dem Verantwortlichen ein Sonderkündigungsrecht zum Zeitpunkt der geplanten Änderung zu.
5. Der Auftragsverarbeiter stellt vertraglich sicher, dass jedem Unterauftragsverarbeiter mindestens dieselben Datenschutzpflichten auferlegt werden, die in diesem AVV vereinbart sind (Art. 28 Abs. 4 DSGVO). Der Auftragsverarbeiter haftet dem Verantwortlichen für die Einhaltung dieser Pflichten durch seine Unterauftragsverarbeiter.

4.8 Unterstützung bei Betroffenenrechten

1. Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III DSGVO (Art. 28 Abs. 3 lit. e DSGVO).
2. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser die Anfrage unverzüglich an den Verantwortlichen weiter und ergreift ohne dessen Weisung keine eigenständigen Maßnahmen.
3. Funktionen zur Datenlöschung (Shop-Löschung, Feed-Löschung, Kontolöschung) stehen dem Kunden direkt über die Plattform zur Verfügung.

4.9 Meldung von Datenschutzverletzungen

1. Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung (Art. 33 Abs. 2 DSGVO).
2. Die Meldung enthält mindestens:
   • eine Beschreibung der Art der Verletzung einschließlich – soweit möglich – der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze;
   • den Namen und die Kontaktdaten der Ansprechperson;
   • eine Beschreibung der wahrscheinlichen Folgen der Verletzung;
   • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung.
3. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und bei der Benachrichtigung betroffener Personen (Art. 34 DSGVO).

4.10 Datenschutz-Folgenabschätzung (DSFA)

1. Sofern der Verantwortliche eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchführen muss, unterstützt der Auftragsverarbeiter ihn unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen (Art. 28 Abs. 3 lit. f DSGVO).
2. Gleiches gilt für eine etwaige vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO.

4.11 Löschung und Rückgabe nach Vertragsende

1. Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen, die im Rahmen der Auftragsverarbeitung gespeichert wurden, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen (z. B. § 147 AO, § 257 HGB für Abrechnungsdaten: 10 Jahre).
2. Der Kunde kann vor Vertragsende seine Daten eigenständig über die Plattformfunktionen exportieren (Feed-Konfigurationen, Änderungsprotokolle, hochgeladene Dateien). Der Auftragsverarbeiter stellt diese Exportfunktionen während der Vertragslaufzeit zur Verfügung.
3. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsbeendigung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Auftragsverarbeiter bestätigt die Löschung auf Anfrage in Textform.
4. Daten, die aufgrund gesetzlicher Aufbewahrungspflichten noch gespeichert werden, unterliegen einer Verarbeitungssperre und werden nach Ablauf der Frist gelöscht.

4.12 Nachweise und Audits

1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).
2. Der Auftragsverarbeiter ermöglicht und unterstützt Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, unter folgenden Bedingungen:
   • Schriftliche Ankündigung mindestens 30 Werktage im Voraus;
   • Durchführung während der üblichen Geschäftszeiten;
   • Der Prüfer unterliegt einer angemessenen Vertraulichkeitsverpflichtung;
   • Die Prüfung darf den laufenden Betrieb des Dienstes nicht unangemessen beeinträchtigen;
   • Maximal eine Prüfung pro Kalenderjahr, es sei denn, eine Aufsichtsbehörde ordnet eine zusätzliche Prüfung an oder es liegt ein konkreter Verdacht auf einen Datenschutzverstoß vor.
3. Der Auftragsverarbeiter kann die Kosten für die Mitwirkung an Audits dem Verantwortlichen in angemessenem Umfang in Rechnung stellen, sofern diese über eine einfache Auskunftserteilung hinausgehen.
4. Soweit der Auftragsverarbeiter anerkannte Zertifizierungen, Prüfberichte (z. B. SOC 2) oder gleichwertige Nachweise vorlegen kann, gelten diese als ausreichender Nachweis, sofern der Verantwortliche keine konkreten, begründeten Zweifel darlegt.

4.13 Haftung

1. Die Haftung der Parteien richtet sich nach den Regelungen der DSGVO (insbesondere Art. 82 DSGVO) sowie den Haftungsbestimmungen des Hauptvertrags (§ 13 AGB).
2. Im Innenverhältnis gilt: Jede Partei haftet für den Anteil des Schadens, der auf ihre eigene Verantwortlichkeit zurückzuführen ist. Im Falle einer gesamtschuldnerischen Haftung gegenüber betroffenen Personen (Art. 82 Abs. 4 DSGVO) hat die Partei, die den Gesamtschaden beglichen hat, gegen die andere Partei einen Regressanspruch in Höhe des auf diese entfallenden Anteils.
3. Die Haftungsbeschränkungen gemäß § 13 AGB gelten auch im Rahmen dieses AVV, soweit gesetzlich zulässig. Die zwingende Haftung nach Art. 82 DSGVO bleibt unberührt.

4.14 Schlussbestimmungen des AVV

1. Änderungen und Ergänzungen dieses AVV bedürfen der Textform (§ 126b BGB).
2. Im Falle von Widersprüchen zwischen diesem AVV und dem Hauptvertrag (AGB) gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
3. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
4. Es gilt deutsches Recht. Gerichtsstand ist Hagen.

Der Anbieter trifft die nachfolgend beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik angepasst. Eine Weiterentwicklung der Maßnahmen ist zulässig, solange das Schutzniveau insgesamt nicht unterschritten wird.

Hinweis: Die nachfolgenden Maßnahmen beschreiben Zielmaßnahmen und den angestrebten Schutzstandard. Einzelne Maßnahmen können je nach Entwicklungsstand der Plattform schrittweise umgesetzt oder durch gleichwertige Alternativen ersetzt werden. Der Anbieter übernimmt keine Garantie für die jederzeitige vollständige Umsetzung aller genannten Maßnahmen, sondern verpflichtet sich zu einem dem Risiko angemessenen Schutzniveau.

5.1 Zutrittskontrolle (physischer Zugang)

Maßnahmen zur Verhinderung des unbefugten physischen Zugangs zu Datenverarbeitungsanlagen:

• Die Server-Infrastruktur wird bei Hetzner Online GmbH in einem professionellen Rechenzentrum in Helsinki (Finnland, EU) betrieben.
• Das Rechenzentrum verfügt über branchenübliche physische Sicherheitsmaßnahmen (Zutrittskontrolle, Videoüberwachung, Sicherheitspersonal, Brandschutz, USV, Klimatisierung).
• Der Anbieter hat keinen physischen Zugang zu den Servern; die Administration erfolgt ausschließlich über verschlüsselte Remote-Verbindungen (SSH mit Key-Authentifizierung).

5.2 Zugangskontrolle (logischer Zugang zu Systemen)

Maßnahmen zur Verhinderung der unbefugten Nutzung von Datenverarbeitungssystemen:

• SSH-Zugang zu Servern ausschließlich per Public-Key-Authentifizierung (Passwort-Login deaktiviert)
• Administrativer Zugang beschränkt auf den Betreiber (Einzelunternehmen); kein Zugang durch Dritte außer autorisierte Unterauftragsverarbeiter im Rahmen ihrer Aufgaben
• Mehrstufige Authentifizierung (MFA) für Infrastruktur-Dienste und Hosting-Verwaltung, soweit vom jeweiligen Anbieter unterstützt
• Regelmäßige Rotation von Zugangsdaten und API-Schlüsseln (Secret-Rotation)
• Automatische Session-Invalidierung nach 2 Wochen Inaktivität

5.3 Zugriffskontrolle (Berechtigungen)

Maßnahmen zur Gewährleistung, dass nur berechtigte Personen auf die ihnen zugewiesenen Daten zugreifen:

• Rollenbasiertes Zugriffskonzept (RBAC): Kunden sehen ausschließlich ihre eigenen Shops, Feeds und Daten
• Prinzip der minimalen Berechtigung (Least Privilege) für alle Systemzugänge
• Shopify-API-Zugriff nur mit den für den Betrieb erforderlichen Scopes (read_products, write_products); Token vom Kunden jederzeit widerrufbar
• Shopify-Zugriffstokens werden vor der Speicherung symmetrisch verschlüsselt (Fernet/AES-128-CBC); der Verschlüsselungsschlüssel wird getrennt von der Datenbank aufbewahrt
• Keine gemeinsame Nutzung von Konten; jeder Nutzer hat ein eigenes Konto mit eigener E-Mail-Adresse

5.4 Weitergabekontrolle (Transportverschlüsselung)

Maßnahmen zur Gewährleistung, dass personenbezogene Daten bei der Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden:

• Transportverschlüsselung: TLS 1.2+ für alle Verbindungen (Weboberfläche, API-Aufrufe, Datenbankverbindungen)
• HTTP Strict Transport Security (HSTS) mit einer Gültigkeitsdauer von 365 Tagen, einschließlich Subdomains
• Perfect Forward Secrecy (PFS) für TLS-Verbindungen
• SSRF-Schutz: Bei URL-basiertem Datenabruf werden private und interne IP-Adressbereiche blockiert, um serverseitige Request-Forgery zu verhindern
• E-Mail-Versand über TLS-verschlüsselte SMTP-Verbindung (iCloud Mail / Apple)
• Shopify-API-Kommunikation ausschließlich über HTTPS

5.5 Eingabekontrolle (Nachvollziehbarkeit)

Maßnahmen zur Gewährleistung, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden:

• Änderungsprotokolle (FeedChangeLog): Jede durch den Dienst vorgenommene Produktdatenänderung wird mit SKU, Feldname, altem Wert, neuem Wert und Zeitstempel protokolliert
• Feed-Laufprotokolle: Status, Start-/Endzeitpunkt, verarbeitete/geänderte/fehlgeschlagene Zeilen werden je Synchronisationslauf gespeichert
• Serverseitige Protokollierung von Authentifizierungs- und Administrationsereignissen
• Fehlerüberwachung durch Sentry: Erfassung von Fehlerereignissen mit Kontext (Benutzer-ID, Request-Metadaten, Stack-Traces) zur Nachvollziehbarkeit; Retention: 90 Tage

5.6 Auftragskontrolle

Maßnahmen zur Gewährleistung, dass personenbezogene Daten nur gemäß den Weisungen des Verantwortlichen verarbeitet werden:

• Die Datenverarbeitung erfolgt ausschließlich auf Grundlage des Hauptvertrags (AGB), des AVV (Abschnitt 4) und der dokumentierten Weisungen des Kunden (Feed-Konfigurationen, Zeitpläne)
• Unterauftragsverarbeiter werden vertraglich auf die Einhaltung gleichwertiger Datenschutzpflichten verpflichtet (Abschnitt 4.7)
• Mitarbeiter und Auftragnehmer werden auf die Vertraulichkeit verpflichtet
• Sorgfältige Auswahl von Unterauftragsverarbeitern unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen

5.7 Verfügbarkeitskontrolle

Maßnahmen zur Gewährleistung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Tägliche automatisierte Backups der Datenbank und anwendungsrelevanter Daten
• Zielwerte: Recovery Point Objective (RPO) ≤ 24 Stunden, Recovery Time Objective (RTO) ≤ 12 Stunden
• Regelmäßige Restore-Tests zur Überprüfung der Wiederherstellbarkeit
• Monitoring und Alerting: Überwachung der Systemverfügbarkeit, Ressourcenauslastung und Fehlerraten; automatische Benachrichtigung bei Anomalien
• DDoS-Schutz durch den Infrastruktur-Anbieter (Hetzner)
• Redundante Speicherung der Daten auf dem Server-System des Hosting-Anbieters

5.8 Trennungsgebot

Maßnahmen zur Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden:

• Logische Mandantentrennung: Jeder Kunde sieht und verarbeitet ausschließlich seine eigenen Daten; datenbankenseitig durch Fremdschlüssel auf Shop-/User-Ebene sichergestellt
• Strikte Trennung von Produktions- und Entwicklungsumgebungen; keine Echtdaten in Test-/Staging-Umgebungen
• Getrennte Speicherung von Zugangsdaten (verschlüsselte Tokens) und Anwendungsdaten
• Trennung von Abrechnungsdaten und operativen Nutzungsdaten

5.9 Web-Applikationssicherheit

Zusätzliche Maßnahmen zum Schutz der Web-Applikation:

• Cross-Site Request Forgery (CSRF): Schutz durch Django CSRF-Middleware mit Token-Validierung bei allen zustandsändernden Anfragen
• Clickjacking-Schutz: X-Frame-Options: DENY
• Content-Type-Sniffing-Schutz: X-Content-Type-Options: nosniff
• Login-Rate-Limiting: Maximal 5 fehlgeschlagene Anmeldeversuche pro IP-Adresse innerhalb von 15 Minuten; danach temporäre Sperrung
• Session-Sicherheit: HttpOnly-, Secure- und SameSite=Lax-Attribute für alle Cookies
• Passwort-Sicherheit: Kryptographisches Hashing (Django-Standard: PBKDF2-SHA256); Mindestlänge 12 Zeichen; Validierung gegen gängige Passwortlisten und Ähnlichkeit mit Benutzerdaten
• Keine Speicherung sensibler Daten im Klartext (Shopify-Tokens: Fernet-verschlüsselt; Passwörter: gehasht)

5.10 Sichere Entwicklung und Deployment

• Versionskontrolle: Gesamter Quellcode in Git-Repositories verwaltet
• Code-Reviews vor der Übernahme in die Produktionsumgebung
• Abhängigkeitsprüfung: Regelmäßige Überprüfung von Drittanbieter-Bibliotheken auf bekannte Schwachstellen
• Secret-Scanning: Zugangsdaten und Schlüssel werden nicht im Quellcode gespeichert, sondern über Umgebungsvariablen bereitgestellt
• Containerisierte Deployments (Docker) mit minimalen Berechtigungen (Non-Root-User)
• Trennung von Produktions-, Staging- und Entwicklungsumgebungen

5.11 Incident Response und Wiederherstellung

• Definierter Prozess zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen
• Meldung von Datenschutzverletzungen an den Verantwortlichen gemäß Abschnitt 4.9 (unverzüglich, spätestens innerhalb von 48 Stunden)
• Root-Cause-Analyse (RCA) nach schwerwiegenden Vorfällen mit dokumentierten Verbesserungsmaßnahmen
• Wiederherstellung aus Backups gemäß den definierten Zielwerten (RPO/RTO)
• Benachrichtigung betroffener Kunden bei sicherheitsrelevanten Vorfällen, die ihre Daten betreffen

5.12 Regelmäßige Überprüfung und Anpassung

• Die Wirksamkeit der technisch-organisatorischen Maßnahmen wird regelmäßig überprüft und bei Bedarf an den aktuellen Stand der Technik sowie veränderte Risikolagen angepasst (Art. 32 Abs. 1 lit. d DSGVO).
• Änderungen an den TOM werden dokumentiert. Das Schutzniveau darf durch Änderungen nicht unterschritten werden.
• Der Anbieter berücksichtigt bei der Auswahl und Anpassung der Maßnahmen den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen (Art. 32 Abs. 1 DSGVO).

6.1 Geltungsbereich und Zweck

• Diese Nutzungs- und Inhaltsrichtlinie (Acceptable Use Policy, nachfolgend "AUP") ergaenzt die AGB (Abschnitt 1) und regelt die zulaessige Nutzung des Dienstes FeedSync Pro.
• Die AUP gilt fuer alle Nutzer, Konten und Daten, die ueber den Dienst verarbeitet, gespeichert, importiert, exportiert oder synchronisiert werden.
• Zweck: Schutz der Plattformintegritaet, der Rechte Dritter, der uebrigen Nutzer sowie Einhaltung gesetzlicher Vorgaben.
• Bei Widerspruechen zwischen AUP und AGB gilt die in den AGB festgelegte Rangfolge (siehe AGB § 1).
• Der Anbieter behaelt sich vor, diese AUP jederzeit mit angemessener Vorankuendigung (mindestens 30 Tage) anzupassen. Aenderungen werden per E-Mail oder In-App-Benachrichtigung mitgeteilt.

6.2 Grundsaetze der zulaessigen Nutzung

• Der Kunde nutzt den Dienst ausschliesslich fuer rechtmaessige geschaeftliche Zwecke im Zusammenhang mit der Verwaltung, dem Import, Export und der Synchronisation von Produktdaten mit Shopify-Shops.
• Der Kunde handelt in eigener Verantwortung und stellt sicher, dass seine Nutzung alle anwendbaren Gesetze, Verordnungen und behoerdlichen Vorschriften einhält (insbesondere BGB, HGB, UWG, UrhG, MarkenG, DSGVO, BDSG, TTDSG, TMG/DDG, Sanktionsrecht).
• Der Kunde stellt sicher, dass auch seine Mitarbeiter, Beauftragten und Dritte, denen er Zugang gewaehrt, diese AUP einhalten.
• Der Kunde traegt die alleinige Verantwortung fuer saemtliche ueber sein Konto vorgenommenen Handlungen und verarbeiteten Daten.

6.3 Verbotene Inhalte

Folgende Inhalte duerfen ueber den Dienst weder verarbeitet, gespeichert, importiert, exportiert noch synchronisiert werden:

• Strafbare Inhalte: Inhalte, die nach deutschem, EU- oder internationalem Recht strafbar sind, insbesondere Darstellungen des sexuellen Missbrauchs von Kindern (CSAM), Volksverhetzung, Anleitung zu Straftaten, Verbreitung terroristischer Inhalte (gem. VO (EU) 2021/784).
• Hassrede und Diskriminierung: Inhalte, die Personen oder Gruppen aufgrund von Rasse, Ethnie, Religion, Geschlecht, sexueller Orientierung, Behinderung oder anderer geschuetzter Merkmale herabwuerdigen, bedrohen oder zu Gewalt aufrufen.
• Gewaltverherrlichung: Inhalte, die Gewalt verherrlichen, verharmlosen oder zu Gewalt aufrufen.
• Urheberrechtsverletzende Inhalte: Inhalte, an denen der Kunde keine ausreichenden Nutzungsrechte besitzt (Bilder, Texte, Produktbeschreibungen, Marken Dritter ohne Lizenz).
• Markenrechtsverletzungen: Unbefugte Nutzung geschuetzter Marken, Kennzeichen, Logos oder Designs Dritter.
• Persoenlichkeitsrechtsverletzungen: Personenbezogene Daten Dritter ohne Rechtsgrundlage, nicht-einverstaendliche intime Aufnahmen, Doxing.
• Betruegerische Inhalte: Irrefuehrende Produktbeschreibungen, gefaelschte Bewertungen, Fake-Produktdaten, Taeuschung ueber Herkunft/Qualitaet/Beschaffenheit von Waren.
• Regulierte/verbotene Waren: Produktdaten fuer Waren, deren Verkauf im Zielmarkt verboten oder ohne Genehmigung unzulaessig ist (z. B. bestimmte Waffen, Betaeubungsmittel, verschreibungspflichtige Arzneimittel ohne Erlaubnis, sanktionierte Gueter).
• Malware und schaedlicher Code: Dateien, die Viren, Trojaner, Ransomware, Spyware, Adware oder sonstigen schaedlichen Code enthalten.
• Spam-Inhalte: Massenhaft generierte, inhaltslose oder rein SEO-manipulative Produktdaten ohne tatsaechliches Warenangebot.

Besonderer Hinweis zu CSAM: Bei Verdacht auf CSAM wird der Anbieter den Zugang unverzueglich sperren, die Inhalte sichern und unverzueglich die zustaendigen Strafverfolgungsbehoerden (insbesondere BKA-Meldestelle, NCMEC) benachrichtigen. Eine Vorabbenachrichtigung des Kunden erfolgt in diesem Fall nicht.

6.4 Verbotene Handlungen

Folgende Handlungen sind bei der Nutzung des Dienstes untersagt:

• Sicherheitsumgehung: Umgehung, Deaktivierung oder Manipulation technischer Schutzmassnahmen, Zugangskontrollen, Rate-Limits, Captchas oder Anomalieerkennung des Dienstes.
• Unautorisierter Zugriff: Zugriff auf Konten, Daten, Systeme oder Netzwerke, fuer die keine Berechtigung vorliegt; Versuche, sich unbefugten Zugang zu verschaffen.
• Reverse Engineering: Dekompilierung, Disassemblierung, Reverse Engineering oder sonstige Versuche, den Quellcode, Algorithmen oder die Architektur des Dienstes zu ermitteln.
• Scraping und automatisierter Zugriff: Automatisiertes Auslesen, Crawlen oder Scraping des Dienstes ausserhalb der bereitgestellten APIs und Schnittstellen.
• Ueberlastung: Absichtliche oder fahrlaessige Ueberlastung der Infrastruktur durch unangemessen hohe Anfragevolumina, DDoS-aehnliche Muster oder Ressourcenmissbrauch.
• Weiterverkauf: Wiederverkauf, Unterlizenzierung oder kommerzielle Weitergabe des Dienstes oder von Teilen davon an Dritte ohne schriftliche Genehmigung des Anbieters.
• Benchmark-Veroeffentlichung: Veroeffentlichung von Leistungstests, Benchmarks oder Vergleichsanalysen des Dienstes ohne vorherige schriftliche Zustimmung des Anbieters.
• Mehrfachkonten: Erstellung mehrerer Konten zur Umgehung von Tariflimits, Sperren oder sonstigen Beschraenkungen.
• Identitaetstaeusching: Falsche Angaben zur Identitaet, zum Unternehmen oder zur Vertretungsbefugnis bei der Registrierung oder Nutzung.
• Beihilfe: Unterstuetzung, Anstiftung oder Ermoeglichung von Verstoessen Dritter gegen diese AUP.

6.5 Plattformspezifische Nutzungsregeln

• API-Token-Sicherheit: Der Kunde behandelt API-Tokens (insbesondere Shopify Access Tokens) streng vertraulich, wendet das Principle of Least Privilege an (nur erforderliche Scopes) und widerruft ungenutzte Tokens unverzueglich.
• Feed-Konfiguration: Der Kunde testet Mappings, Transformationsregeln und Zeitplaene vor dem produktiven Einsatz in einer geeigneten Test-/Staging-Umgebung. Massenaenderungen (Preis auf 0, Bestand auf 0, Massenlöschungen) erfordern besondere Sorgfalt (siehe AGB § 7).
• Datenqualitaet: Der Kunde stellt sicher, dass importierte Daten valide, vollstaendig und im erwarteten Format vorliegen. Der Anbieter haftet nicht fuer Folgefehler aus fehlerhaften Quelldaten.
• Shopify-AGB: Der Kunde haelt zusaetzlich die Nutzungsbedingungen von Shopify (Shopify Terms of Service, Shopify Acceptable Use Policy) ein. Verstoesse gegen Shopify-Richtlinien, die zur Sperrung des Shopify-Shops fuehren, begruenden keinen Anspruch gegen den Anbieter.
• Rate-Limits: Der Kunde respektiert die vom Dienst und von Drittanbieter-APIs (insbesondere Shopify) vorgegebenen Rate-Limits. Wiederholte bewusste Ueberschreitungen gelten als AUP-Verstoss.
• Logging und Monitoring: Der Anbieter protokolliert Systemereignisse, API-Aufrufe und sicherheitsrelevante Vorgaenge zum Zweck der Fehleranalyse, Sicherheit und Missbrauchserkennung. Der Kunde wird hierueber in der Datenschutzerklaerung (Abschnitt 2) informiert.

6.6 Ueberwachung und Erkennung

• Der Anbieter ist berechtigt, jedoch nicht verpflichtet, die Nutzung des Dienstes auf Einhaltung dieser AUP zu ueberwachen.
• Der Anbieter setzt automatisierte und manuelle Mechanismen zur Erkennung von Missbrauch, Anomalien und AUP-Verstoessen ein (z. B. Rate-Limit-Monitoring, Anomalieerkennung, Log-Analyse).
• Der Anbieter ist nicht verpflichtet, Inhalte des Kunden proaktiv auf Rechtsverstaendlichkeit zu pruefen. Eine Ueberwachung erfolgt anlassbezogen oder stichprobenartig.
• Das Fehlen einer Beanstandung durch den Anbieter stellt keine Genehmigung oder Billigung der Inhalte oder Handlungen des Kunden dar.

6.7 Durchsetzung und Sanktionsstufen

Bei Verstoessen gegen diese AUP kann der Anbieter nach eigenem pflichtgemaessem Ermessen folgende Massnahmen ergreifen, einzeln oder kumulativ, unter Beruecksichtigung der Schwere, Haeufigkeit und Vorsaetzlichkeit des Verstosses:

Stufe 1 – Verwarnung:

• Schriftliche Verwarnung per E-Mail mit Beschreibung des Verstosses und Fristsetzung zur Abhilfe (in der Regel 7 Tage).
• Anwendung bei erstmaligen, geringfuegigen Verstoessen.

Stufe 2 – Einschraenkung:

• Teilweise Einschraenkung der Funktionen (z. B. Deaktivierung einzelner Feeds, Sync-Jobs, API-Zugriffe).
• Sperrung einzelner Inhalte oder Konfigurationen.
• Anwendung bei wiederholten oder mittelschweren Verstoessen.

Stufe 3 – Suspension:

• Vollstaendige temporaere Sperrung des Kontozugangs.
• Abbruch laufender Sync-Jobs und Zeitplaene.
• Widerruf aktiver API-Tokens.
• Anwendung bei schwerwiegenden oder fortgesetzten Verstoessen trotz Verwarnung.

Stufe 4 – Ausserordentliche Kuendigung:

• Fristlose Kuendigung des Vertrages gemaess AGB § 11.
• Endgueltige Kontolöschung nach Ablauf gesetzlicher Aufbewahrungsfristen.
• Anwendung bei gravierenden Verstoessen (insbesondere CSAM, Straftaten, Sanktionsverstoesse, wiederholte schwere Verstoesse).

Sofortmassnahmen (ohne vorherige Verwarnung):

• Bei Gefahr im Verzug, konkreter Gefaehrdung der Plattform, anderer Nutzer oder Dritter, behoerdlicher Anordnung oder bei Verdacht auf CSAM/Straftaten kann der Anbieter sofort und ohne vorherige Verwarnung Massnahmen der Stufen 2–4 ergreifen.
• Der Anbieter informiert den Kunden unverzueglich nach Ergreifung der Massnahme, soweit dem keine gesetzlichen oder behoerdlichen Gruende entgegenstehen.

6.8 Beweissicherung und Dokumentation

• Der Anbieter ist berechtigt, bei Verdacht auf AUP-Verstoesse relevante Daten, Logs, Konfigurationen und Inhalte zu sichern und zu dokumentieren (Beweissicherung).
• Die Beweissicherung erfolgt im erforderlichen Umfang und unter Beachtung der datenschutzrechtlichen Vorgaben (siehe Datenschutzerklaerung Abschnitt 2 und AVV Abschnitt 4).
• Gesicherte Daten werden ausschliesslich fuer die Aufklaerung des Verstosses, die Durchsetzung dieser AUP, die Verteidigung gegen Ansprueche Dritter oder die Weitergabe an Strafverfolgungsbehoerden verwendet.
• Der Anbieter behaelt sich vor, bei gravierenden Verstoessen die angemessenen Kosten der Untersuchung und Beweissicherung vom Kunden zu verlangen.

6.9 Notice-&-Takedown-Verfahren

Der Anbieter unterhält ein Verfahren zur Bearbeitung von Beschwerden ueber rechtswidrige Inhalte gemaess den Anforderungen des Digital Services Act (VO (EU) 2022/2065) und deutschem Recht:

Einreichung einer Meldung (Notice):

• Meldungen sind zu richten an: legal@feedsync.pro
• Eine Meldung muss enthalten:
  • (a) Eindeutige Identifikation des beanstandeten Inhalts (URL, Feed-ID, Produkt-ID oder sonstige Referenz)
  • (b) Begruendung, warum der Inhalt als rechtswidrig oder AUP-verstossend angesehen wird, unter Angabe der verletzten Rechtsvorschrift oder AUP-Bestimmung
  • (c) Nachweise zur Untermauerung der Beschwerde (z. B. Markenurkunde, Urheberrechtsnachweis, Screenshots)
  • (d) Vollstaendige Kontaktdaten des Beschwerdefuehrers (Name, Anschrift, E-Mail, ggf. Unternehmen)
  • (e) Erklaerung, dass die Angaben nach bestem Wissen und Gewissen wahrheitsgemäss erfolgen
  • (f) Bei Urheberrechtsbeschwerden: Erklaerung, dass der Beschwerdefuehrer Rechteinhaber ist oder im Auftrag des Rechteinhabers handelt
• Unvollstaendige Meldungen koennen vom Anbieter zurueckgewiesen oder mit der Bitte um Ergaenzung beantwortet werden.

Bearbeitung durch den Anbieter:

• Der Anbieter bestaetigt den Eingang der Meldung unverzueglich (in der Regel innerhalb von 2 Werktagen).
• Pruefung der Meldung erfolgt zeitnah und sorgfaeltig unter Beruecksichtigung aller vorgebrachten Gruende und Nachweise.
• Moegliche Massnahmen: Entfernung/Sperrung des gemeldeten Inhalts, Weiterleitung an den betroffenen Kunden, Ablehnung der Meldung mit Begruendung.
• Der Anbieter informiert den Beschwerdefuehrer ueber die getroffene Entscheidung und deren Begruendung.
• Bei offensichtlich rechtswidrigen Inhalten (insbesondere CSAM, Terrorpropaganda): sofortige Entfernung/Sperrung ohne vorherige Anhoerung des Kunden.

Benachrichtigung des betroffenen Kunden:

• Wird ein Inhalt entfernt oder gesperrt, wird der betroffene Kunde unverzueglich unter Angabe der Gruende informiert, soweit dem keine gesetzlichen oder behoerdlichen Gruende entgegenstehen.
• Der Kunde erhaelt Gelegenheit zur Stellungnahme (Gegenvorstellung) innerhalb von 14 Tagen ab Benachrichtigung.

Gegenvorstellung (Counter-Notice):

• Der betroffene Kunde kann innerhalb von 14 Tagen eine begruendete Gegenvorstellung einreichen an: legal@feedsync.pro
• Die Gegenvorstellung muss enthalten:
  • (a) Identifikation des gesperrten/entfernten Inhalts
  • (b) Begruendung, warum der Inhalt nicht rechtswidrig ist bzw. nicht gegen die AUP verstoesst
  • (c) Ggf. Nachweise (Lizenznachweise, Rechteerklaerungen)
  • (d) Kontaktdaten und Erklaerung der Richtigkeit der Angaben
• Der Anbieter prueft die Gegenvorstellung innerhalb von 14 Tagen und entscheidet ueber die Wiederherstellung oder Aufrechterhaltung der Massnahme.
• Die Entscheidung wird beiden Parteien mitgeteilt. Der ordentliche Rechtsweg bleibt hiervon unberuehrt.

6.10 Zusammenarbeit mit Behoerden

• Der Anbieter kooperiert im Rahmen der gesetzlichen Verpflichtungen mit Strafverfolgungsbehoerden, Aufsichtsbehoerden und Gerichten.
• Bei behoerdlicher Anordnung oder gesetzlicher Verpflichtung kann der Anbieter Kundendaten, Inhalte und Logs an zustaendige Behoerden herausgeben, ohne den Kunden vorab zu informieren, wenn eine solche Information die Ermittlungen gefaehrden wuerde oder gesetzlich untersagt ist.
• In allen anderen Faellen wird der Kunde vor einer Datenherausgabe informiert, soweit rechtlich zulaessig.
• Meldepflichten (insbesondere bei CSAM gemaess §§ 184b, 184d StGB; bei Terrorinhalten gemaess VO (EU) 2021/784) werden unverzueglich erfuellt.

6.11 Verantwortlichkeit fuer Kundeninhalte

• Der Kunde ist alleiniger Verantwortlicher fuer saemtliche Inhalte und Daten, die er ueber den Dienst verarbeitet, importiert, exportiert oder synchronisiert.
• Der Anbieter macht sich Kundeninhalte nicht zu eigen und uebernimmt keine inhaltliche Pruefungspflicht (Haftungsprivileg als Hosting-Diensteanbieter gemaess Art. 6 VO (EU) 2022/2065 / DSA).
• Der Anbieter haftet fuer Kundeninhalte erst ab Kenntnis der Rechtswidrigkeit und nur, wenn er nach Kenntniserlangung nicht unverzueglich taetig wird (Kenntnisnahme-Grundsatz).
• Die Freistellungspflicht des Kunden gemaess AGB § 14 gilt uneingeschraenkt fuer saemtliche Ansprueche Dritter, die aus Kundeninhalten resultieren.

6.12 Keine Pflicht zur inhaltlichen Pruefung

• Der Anbieter ist nicht verpflichtet, die ueber den Dienst verarbeiteten Daten und Inhalte des Kunden auf Vollstaendigkeit, Richtigkeit, Rechtmaessigkeit oder Qualitaet zu pruefen.
• Der Anbieter uebernimmt keine allgemeine Ueberwachungspflicht im Sinne von Art. 8 VO (EU) 2022/2065 (DSA).
• Die Bereitstellung des Dienstes stellt keine Billigung, Genehmigung oder Empfehlung der Kundeninhalte dar.

6.13 Kostenerstattung bei Verstoessen

• Bei gravierenden oder wiederholten AUP-Verstoessen, die einen erhoehten Untersuchungs-, Beweissicherungs- oder Bearbeitungsaufwand verursachen, ist der Anbieter berechtigt, die angemessenen und nachgewiesenen Kosten vom verursachenden Kunden zu verlangen.
• Dies umfasst insbesondere: Kosten fuer technische Forensik, Rechtsberatung, Behoerdenkorrespondenz und Wiederherstellungsmassnahmen.
• Der Anbieter wird den Kunden vorab ueber die voraussichtlichen Kosten informieren, soweit dies zulaessig und zumutbar ist.

6.14 Beschwerdemechanismus

• Gegen Entscheidungen des Anbieters im Rahmen dieser AUP (insbesondere Inhaltsentfernung, Kontosperrung, Kuendigung) kann der Kunde innerhalb von 14 Tagen Beschwerde einlegen an: legal@feedsync.pro
• Die Beschwerde muss begruendet sein und sachdienliche Nachweise enthalten.
• Der Anbieter prueft die Beschwerde innerhalb von 14 Tagen und teilt das Ergebnis mit.
• Der ordentliche Rechtsweg sowie die Moeglichkeit der ausserprozessualen Streitbeilegung bleiben hiervon unberuehrt.

6.15 Salvatorische Klausel und Fortgeltung

• Sollte eine Bestimmung dieser AUP unwirksam oder undurchfuehrbar sein, bleibt die Wirksamkeit der uebrigen Bestimmungen unberuehrt.
• Die Verpflichtungen aus Abschnitt 6.8 (Beweissicherung), 6.10 (Behoerdenkooperation), 6.11 (Verantwortlichkeit) und 6.13 (Kostenerstattung) gelten ueber das Vertragsende hinaus fort.
• Stand: 02.2026

7.1 Ausschluss des Verbraucher-Widerrufsrechts

• Der Dienst FeedSync Pro richtet sich ausschliesslich an Unternehmer im Sinne von § 14 BGB (B2B). Eine Nutzung durch Verbraucher (§ 13 BGB) ist nicht vorgesehen.
• Mit der Registrierung erklaert der Kunde, ausschliesslich zu gewerblichen, selbstaendigen beruflichen oder sonstigen unternehmerischen Zwecken zu handeln.
• Da es sich um einen reinen B2B-Dienst handelt, besteht kein Widerrufsrecht gemaess §§ 312g, 355 BGB. Die nachfolgende Belehrung erfolgt rein vorsorglich fuer den Fall, dass wider Erwarten ein Verbrauchervertrag vorliegen sollte.

7.2 Vorsorgliche Widerrufsbelehrung (nur bei Verbrauchereigenschaft)

Widerrufsrecht:

• Sofern Sie ausnahmsweise als Verbraucher (§ 13 BGB) einen Vertrag ueber den Dienst FeedSync Pro abschliessen, haben Sie das Recht, binnen vierzehn (14) Tagen ohne Angabe von Gruenden diesen Vertrag zu widerrufen.
• Die Widerrufsfrist betraegt vierzehn Tage ab dem Tag des Vertragsschlusses (Registrierung und Kontoaktivierung).
• Um Ihr Widerrufsrecht auszuueben, muessen Sie uns – FeedSync Pro, Inh. Napolitano, Vogelsanger Str. 39c, 58135 Hagen, Deutschland, E-Mail: legal@feedsync.pro – mittels einer eindeutigen Erklaerung (z. B. ein mit der Post versandter Brief oder eine E-Mail) ueber Ihren Entschluss, diesen Vertrag zu widerrufen, informieren.
• Zur Wahrung der Widerrufsfrist genuegt es, dass Sie die Mitteilung ueber die Ausuebung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

Folgen des Widerrufs:

• Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschliesslich der Lieferkosten (mit Ausnahme der zusaetzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, guenstigste Standardlieferung gewaehlt haben), unverzueglich und spaetestens binnen vierzehn Tagen ab dem Tag zurueckzuzahlen, an dem die Mitteilung ueber Ihren Widerruf dieses Vertrags bei uns eingegangen ist.
• Fuer diese Rueckzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der urspruenglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdruecklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rueckzahlung Entgelte berechnet.
• Haben Sie verlangt, dass die Dienstleistungen waehrend der Widerrufsfrist beginnen sollen, so haben Sie uns einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem Sie uns von der Ausuebung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichten, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.

7.3 Vorzeitiges Erloeschen des Widerrufsrechts

• Das Widerrufsrecht erlischt vorzeitig, wenn der Anbieter die Dienstleistung vollstaendig erbracht hat und mit der Ausfuehrung der Dienstleistung erst begonnen hat, nachdem der Verbraucher dazu seine ausdrueckliche Zustimmung gegeben und gleichzeitig seine Kenntnis davon bestaetigt hat, dass er sein Widerrufsrecht bei vollstaendiger Vertragserfuellung durch den Anbieter verliert (§ 356 Abs. 4 BGB).
• Bei einem Vertrag ueber die Bereitstellung digitaler Inhalte, die nicht auf einem koerperlichen Datentraeger geliefert werden, erlischt das Widerrufsrecht auch dann, wenn der Anbieter mit der Ausfuehrung des Vertrages begonnen hat, nachdem der Verbraucher ausdruecklich zugestimmt hat, dass der Anbieter mit der Ausfuehrung des Vertrages vor Ablauf der Widerrufsfrist beginnt, und der Verbraucher seine Kenntnis davon bestaetigt hat, dass er durch seine Zustimmung mit Beginn der Ausfuehrung des Vertrages sein Widerrufsrecht verliert (§ 356 Abs. 5 BGB).

7.4 Muster-Widerrufsformular

(Wenn Sie den Vertrag widerrufen wollen, füllen Sie bitte dieses Formular aus und senden Sie es zurueck.)

7.5 Hinweis

• Diese Widerrufsbelehrung dient ausschliesslich der vorsorglichen Information. Der Anbieter behaelt sich vor, die Verbrauchereigenschaft zu pruefen und bei Feststellung einer unternehmerischen Nutzung auf den Ausschluss des Widerrufsrechts gemaess Abschnitt 7.1 zu verweisen.
• Stand: 02.2026

8.1 Anbieter

• FeedSync Pro, Inh. Napolitano
• Einzelunternehmen
• Vogelsanger Str. 39c, 58135 Hagen, Deutschland

8.2 Vertretungsberechtigte Person

• Alessandro Napolitano (Inhaber)

8.3 Kontaktdaten

• E-Mail (allgemein): info@feedsync.pro
• E-Mail (Support): support@feedsync.pro
• E-Mail (Recht/Datenschutz): legal@feedsync.pro
• E-Mail (Datenschutz): privacy@feedsync.pro
• Telefon: +49 1567 8398020

Der Anbieter ist in der Regel per E-Mail erreichbar. Eine telefonische Erreichbarkeit kann nicht durchgehend gewaehrleistet werden.

8.4 Umsatzsteuer-Identifikationsnummer

• USt-IdNr. gemaess § 27a UStG: DE360307907

8.5 Registereintrag

• -

8.6 Zustaendige Aufsichtsbehoerde (Datenschutz)

• Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf

8.7 Streitbeilegung

• Die Europaeische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr
• Der Anbieter ist nicht verpflichtet und nicht bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG).
• Hintergrund: Der Dienst richtet sich ausschliesslich an Unternehmer (B2B). Eine Teilnahme an Verbraucherschlichtungsverfahren ist daher nicht vorgesehen.

8.8 Inhaltlich Verantwortlicher

• Verantwortlich fuer den Inhalt gemaess § 18 Abs. 2 MStV:
• Alessandro Napolitano
• Vogelsanger Str. 39c, 58135 Hagen, Deutschland

8.9 Haftungshinweis fuer externe Links

• Dieses Angebot enthaelt Links zu externen Websites Dritter, auf deren Inhalte der Anbieter keinen Einfluss hat. Fuer die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber verantwortlich.
• Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf moegliche Rechtsverstoesse ueberprueft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar.
• Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden derartige Links unverzueglich entfernt.

8.10 Urheberrecht

• Die durch den Anbieter erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfaeltigung, Bearbeitung, Verbreitung und jede Art der Verwertung ausserhalb der Grenzen des Urheberrechtes beduerfen der schriftlichen Zustimmung des Anbieters.
• Downloads und Kopien dieser Seite sind nur fuer den privaten, nicht kommerziellen Gebrauch gestattet, soweit nicht ausdruecklich anders angegeben.
• Soweit die Inhalte auf dieser Seite nicht vom Anbieter erstellt wurden, werden die Urheberrechte Dritter beachtet und als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis an legal@feedsync.pro.

Stand: 02.2026