← Zurück zur Startseite

Datenschutzerklärung

Stand: 5. Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website:

AMZ BRO
Inh. Marvin Conrad
Berswordtstraße 3B
44139 Dortmund
Deutschland
E-Mail: service@amzbro.com

2. Übersicht der Verarbeitungen

Diese Datenschutzerklärung umfasst alle Verarbeitungen, die im Rahmen unseres Dienstes stattfinden:

  • Bereitstellung der Website und des Kunden-Dashboards
  • Vertragsabwicklung und Zahlungsabwicklung
  • Erbringung unserer KI-gestützten Analyse-Leistungen für Amazon-Listings
  • Akquise von Geschäftskunden (Cold-Email-Outreach)
  • Reichweitenmessung und Produktverbesserung (nur mit Einwilligung)
  • Kommunikation, Support und Terminbuchung

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a (Einwilligung), b (Vertragserfüllung), c (rechtliche Verpflichtung), f (berechtigtes Interesse) DSGVO.

3. Hosting & Server-Infrastruktur

Vercel Inc. (Hosting)

340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel betreibt globale Edge-Server. Anfragen aus Europa werden über das Frankfurt-Rechenzentrum (Region fra1) ausgeliefert. Mit Vercel besteht ein AVV nach Art. 28 DSGVO. Datenübermittlung in die USA auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie des EU-US Data Privacy Frameworks.

Supabase Inc. (Datenbank & Authentifizierung)

970 Toa Payoh North #07-04, Singapur. Datenverarbeitung erfolgt ausschließlich in der EU (Frankfurt-Rechenzentrum, AWS eu-central-1). Hier liegen alle Kunden- und Produktdaten verschlüsselt at-rest und in-transit. Mit Supabase besteht ein AVV.

4. Welche Daten wir erheben

4.1 Server-Logfiles

Beim Aufruf der Website erfasst Vercel automatisch: anonymisierte IP-Adresse, User-Agent, Referrer-URL, abgerufene Seite, Zeitpunkt. Speicherdauer maximal 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).

4.2 Registrierung & Kundenkonto

Bei Registrierung: Name, E-Mail, Marke, optional Telefon. Bei Abo-Abschluss zusätzlich: Rechnungsadresse + Steuer-ID (für USt-konforme Rechnung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

4.3 Lead-Daten (Cold-Email-Outreach)

Wir recherchieren öffentlich verfügbare B2B-Kontakte (Marken-Webseiten, Impressum, öffentliche Profile) und kontaktieren diese per E-Mail mit einer personalisierten Listing-Analyse. Verarbeitete Daten: E-Mail, Vorname, Nachname, Marke, ASIN, Telefon, Webseite, Instagram. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Direktansprache von Geschäftskunden, § 7 Abs. 2 Nr. 2 UWG bei B2B mit Branchen-Bezug).

Empfänger können sich jederzeit per Klick aus jeder E-Mail austragen. Abmeldungen führen zur sofortigen Sperrung der Adresse in unserer Datenbank (Email-Blocklist).

4.4 Amazon-Listing-Daten

Wir verarbeiten öffentlich zugängliche Amazon-Daten (ASIN, Titel, Bilder, Bewertungen, Verkaufsrang, Preise). Erhebung erfolgt über öffentliche Web-Scraping-Dienste (siehe Abschnitt 6) und ggf. die offizielle Amazon SP-API (mit deiner Freigabe). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.5 Terminbuchungen

Bei Terminbuchungen erheben wir: Name, E-Mail, optional Telefon, gewünschtes Datum/Uhrzeit, Gesprächsanlass. Verarbeitung über unsere Pipeline (Supabase) und Synchronisation in Google Calendar (siehe Abschnitt 6).

4.6 Push-Benachrichtigungen (Admin)

Admin-Mitarbeiter können Push-Benachrichtigungen zur Pipeline-Status-Überwachung im Browser aktivieren. Hierfür wird der Web-Push-Standard (VAPID) genutzt. Subscribed wird ausschließlich durch Admin-Mitarbeiter, nicht durch Kunden oder Besucher.

5. Cookies & Consent-Banner

5.1 Technisch notwendige Cookies (kein Consent erforderlich)

Diese Cookies sind für die Funktion der Website unverzichtbar (§ 25 Abs. 2 TTDSG):

  • sb-* (Supabase Auth): Login-Session, Speicherdauer Session bzw. 30 Tage bei "angemeldet bleiben"
  • amzbro_cookie_consent_v1 (LocalStorage): speichert deine Cookie-Entscheidung, kein Personenbezug, ein Jahr
  • Stripe Session-Cookies während des Checkout-Prozesses (notwendig für Zahlungsabwicklung)

5.2 Analyse-Cookies (nur mit Consent)

Beim ersten Besuch zeigen wir einen Cookie-Consent-Banner. Klickst du "Akzeptieren", aktivieren wir folgende Verarbeitungen über PostHog (siehe 6.5):

  • Pageviews mit URL und Verweildauer
  • Klick-Events (Buttons, Links)
  • Custom Events: Registrierung, Checkout, Plan-Auswahl etc.
  • Pseudonyme Distinct-ID (PostHog-Cookie)
  • Heatmaps (aggregierte Mauspositionen)
  • Web Vitals (Performance-Metriken)

Klickst du "Ablehnen", werden diese Verarbeitungen vollständig deaktiviert (Opt-Out-Modus von PostHog). Du kannst deine Entscheidung jederzeit zurücksetzen, indem du den Browser-Storage löschst — dann erscheint der Banner erneut.

5.3 Vercel Analytics (cookieless)

Wir nutzen Vercel Analytics zur reinen Reichweitenmessung. Vercel Analytics setzt keine Cookies und erhebt keine personenbezogenen Daten — es werden ausschließlich anonyme Aggregat-Statistiken erfasst (Pageviews, Geräte-Typ-Aggregate). Da kein Personenbezug, keine Consent-Pflicht.

6. Eingesetzte Dienste & Drittanbieter

Mit allen unten aufgeführten Anbietern bestehen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO. Bei US-Anbietern erfolgt die Datenübermittlung auf Basis der EU-Standardvertragsklauseln (SCC) sowie — soweit verfügbar — des EU-US Data Privacy Frameworks.

Stripe — Zahlungsabwicklung

Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Datenverarbeitung in der EU + USA. Übertragene Daten: Name, Rechnungsadresse, E-Mail, Steuer-ID, Zahlungsdetails. Wir speichern keine Kreditkartendaten, nur die Stripe-Kunden-ID und Zahlungs-Status. Datenschutz: stripe.com/de/privacy

Resend — Transaktionale E-Mails

Resend Inc., 2261 Market Street, San Francisco, CA 94114, USA. Versand systemgenerierter E-Mails (Bestätigungen, Reports, Benachrichtigungen). Datenübermittlung in die USA auf Basis SCC.

Instantly.ai — B2B-Outreach

Bizstim Inc., 1209 Mountain Road PL NE STE H, Albuquerque, NM 87110, USA. Versand der Cold-Email-Sequenzen an recherchierte B2B-Kontakte. Daten: E-Mail, Name, Marke, ASIN, personalisierter Analyse-Snippet. Empfänger können jederzeit Unsubscribe nutzen — die Adresse wandert sofort in unsere Email-Blocklist.

Anthropic Claude — KI-Textanalyse

Anthropic PBC, San Francisco, USA. Modelle: Claude Sonnet 4, Claude Haiku 4.5. Übermittelte Daten: öffentliche Amazon-Listing-Inhalte, Review-Texte, Bild-URLs (Vision-Analyse), Konkurrent-Daten. Keine personenbezogenen Daten unserer Kunden. Anthropic nutzt eingehende Daten ausdrücklich nicht für Modell-Training (Zero-Data-Retention nach 30 Tagen, Standard für Business-Tier).

OpenAI — KI-Bildgenerierung

OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland. Verwendet für die KI-gestützte Erstellung von Listing-Bildern (Modell gpt-image-2). Übermittelt werden Produkttitel, Markenname, Briefing-Texte und ggf. Referenz-Bilder. Datenverarbeitung primär EU + USA, mit Opt-Out für Trainingsnutzung.

ScrapingBee — Web-Scraping

ScrapingBee SAS, 5 rue de Charonne, 75011 Paris, Frankreich. Auslesen öffentlicher Amazon-Produktseiten zur Analyse. Datenverarbeitung innerhalb der EU.

Rainforest API — Amazon-Bewertungen

Traject Data LLC (Rainforest API), USA. Strukturierter Zugriff auf öffentliche Amazon-Produktreviews zur Bewertungsanalyse. Übermittelt werden ausschließlich öffentliche Produkt-ASINs.

PostHog — Produkt-Analytics (nur mit Consent)

PostHog Inc. (Region EU), 2261 Market Street #4008, San Francisco, CA 94114, USA. Datenverarbeitung in der EU (Frankfurt). Wir nutzen PostHog für Pageview-Tracking, Conversion-Funnels und Produktverbesserung. Aktivierung nur nach deiner Einwilligung über den Cookie-Banner. Erfasste Daten: Pageviews, Klicks, Custom Events (z.B. Registrierung, Checkout), pseudonyme User-ID. Bis du einwilligst, läuft PostHog im Opt-Out-Modus und sendet keine Daten.

Vercel Analytics — anonyme Reichweitenmessung

Vercel Inc. (siehe Abschnitt 3). Cookieless Web-Analytics — keine Cookies, keine personenbezogenen Daten, nur aggregierte Pageviews und Geräte-Statistiken. Keine Consent-Pflicht.

Google Calendar — Termin-Sync

Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Termine die du buchst werden in unseren Google-Kalender synchronisiert (zum internen Kalendermanagement). Datenverarbeitung: EU.

Calendly — Terminbuchungs-Plattform

Calendly LLC, 271 17th Street NW, Atlanta, GA 30363, USA. Wenn du einen Termin über unser Calendly-Widget buchst, werden Name, E-Mail und gewünschter Slot an Calendly übermittelt. Datenübermittlung in die USA auf Basis SCC.

Amazon SP-API — Verkäufer-Daten (mit deiner Freigabe)

Amazon EU S.à r.l., 38 Avenue John F. Kennedy, L-1855 Luxemburg. Wenn du dein Amazon Seller Central mit AMZ BRO autorisierst (OAuth), lesen wir über die offizielle SP-API deine Listing-, PPC- und Bewertungsdaten. Du kannst die Verbindung jederzeit in deinem Seller Central widerrufen.

Slack — Interne Admin-Benachrichtigungen

Slack Technologies LLC, 500 Howard Street, San Francisco, CA 94105, USA. Wir nutzen Slack ausschließlich intern, um operative Benachrichtigungen über die Pipeline (z.B. neuer Kunde, Lead-Probleme) zu erhalten. An Slack werden keine personenbezogenen Kundendaten gesendet, lediglich Marken-Namen und ASINs zur internen Koordination.

7. Einsatz von KI-Systemen

Zur Erbringung unserer Kernleistung (Listing-Analyse, Bewertungsanalyse, Konkurrenz-Analyse, Bildgenerierung, Optimierungsempfehlungen) setzen wir KI-Modelle ein:

  • Claude (Anthropic): Textanalysen, Listing-Scoring, Bewertungs-Analyse, Konkurrent-Analyse, Rufus-Check, Vision-Analyse von Hauptbildern
  • gpt-image-2 (OpenAI): Generierung von Amazon-konformen Listing-Bildern

An die KI-Anbieter werden ausschließlich öffentliche Listing-Inhalte und Briefing-Daten übermittelt — keine personenbezogenen Daten unserer Kunden (keine Namen, E-Mails, Telefonnummern). Mit beiden Anbietern bestehen DPAs sowie Standardvertragsklauseln. KI-generierte Vorschläge werden vor der Weitergabe an dich systemseitig validiert (z.B. Markdown-Strip, Compliance-Checks, Plausibilitätsprüfungen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Speicherdauer

  • Server-Logs: 30 Tage
  • PostHog-Events (mit Consent): 12 Monate, dann automatisch gelöscht
  • Lead-Daten (Cold-Email): bis zur Konvertierung oder Unsubscribe; Blocklist-Einträge unbefristet (Werbe-Stop)
  • Kundendaten + Vertragsunterlagen: für die Dauer des Vertrags + gesetzliche Aufbewahrungsfristen (10 Jahre für Rechnungen nach § 147 AO)
  • Termin-Daten: 12 Monate nach Termin
  • Konkurrenten-Monitoring-Daten + Listing-Score-Historie: für die Vertragsdauer + 6 Monate
  • KI-Analyse-Ergebnisse: solange der Kunde sein Abo hat + 6 Monate
  • Gelöschte Konten: nach Kündigung Anonymisierung der personenbezogenen Daten innerhalb 30 Tagen, soweit keine Aufbewahrungspflicht besteht

9. Deine Rechte

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — für PostHog jederzeit möglich
  • Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung deiner Rechte: service@amzbro.com

10. Beschwerderecht bei der Aufsichtsbehörde

Zuständige Datenschutz-Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
www.ldi.nrw.de

11. SSL/TLS-Verschlüsselung

Diese Seite nutzt durchgehend TLS-Verschlüsselung (HTTPS). Daten zwischen deinem Browser und unseren Servern sind für Dritte nicht mitlesbar.

12. Datenflussdiagramm (vereinfacht)

Kunde
  ↓ Registrierung
Supabase (EU/Frankfurt) ← Auth + Daten
  ↓ Vertragsabschluss
Stripe (Irland/USA) ← Zahlungen
  ↓ Service-Erbringung
Anthropic Claude (USA, SCC) ← öff. Listing-Daten zur Analyse
OpenAI (Irland) ← Bild-Briefings zur Generierung
ScrapingBee (Frankreich) ← Amazon-Scraping
Rainforest (USA, SCC) ← Amazon-Reviews
  ↓ Versand
Resend (USA, SCC) ← Transaktionale E-Mails
Instantly (USA, SCC) ← Cold-Email an Leads
  ↓ Tracking (nur mit Consent)
PostHog EU (Frankfurt) ← Analytics

13. Aktualität dieser Datenschutzerklärung

Stand 5. Mai 2026. Bei Anpassungen unseres Dienstes (neue Tools, geänderte Verarbeitungen) aktualisieren wir diese Erklärung. Die jeweils aktuelle Version ist hier abrufbar.

← Zurück zur Startseite·Impressum·AGB