Verantwortlich für die Datenverarbeitung auf dieser Website:
AMZ BRO
Inh. Marvin Conrad
Berswordtstraße 3B
44139 Dortmund
Deutschland
E-Mail: service@amzbro.com
Diese Datenschutzerklärung umfasst alle Verarbeitungen, die im Rahmen unseres Dienstes stattfinden:
Rechtsgrundlagen: Art. 6 Abs. 1 lit. a (Einwilligung), b (Vertragserfüllung), c (rechtliche Verpflichtung), f (berechtigtes Interesse) DSGVO.
Vercel Inc. (Hosting)
340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel betreibt globale Edge-Server. Anfragen aus Europa werden über das Frankfurt-Rechenzentrum (Region fra1) ausgeliefert. Mit Vercel besteht ein AVV nach Art. 28 DSGVO. Datenübermittlung in die USA auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie des EU-US Data Privacy Frameworks.
Supabase Inc. (Datenbank & Authentifizierung)
970 Toa Payoh North #07-04, Singapur. Datenverarbeitung erfolgt ausschließlich in der EU (Frankfurt-Rechenzentrum, AWS eu-central-1). Hier liegen alle Kunden- und Produktdaten verschlüsselt at-rest und in-transit. Mit Supabase besteht ein AVV.
Beim Aufruf der Website erfasst Vercel automatisch: anonymisierte IP-Adresse, User-Agent, Referrer-URL, abgerufene Seite, Zeitpunkt. Speicherdauer maximal 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb).
Bei Registrierung: Name, E-Mail, Marke, optional Telefon. Bei Abo-Abschluss zusätzlich: Rechnungsadresse + Steuer-ID (für USt-konforme Rechnung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Wir recherchieren öffentlich verfügbare B2B-Kontakte (Marken-Webseiten, Impressum, öffentliche Profile) und kontaktieren diese per E-Mail mit einer personalisierten Listing-Analyse. Verarbeitete Daten: E-Mail, Vorname, Nachname, Marke, ASIN, Telefon, Webseite, Instagram. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Direktansprache von Geschäftskunden, § 7 Abs. 2 Nr. 2 UWG bei B2B mit Branchen-Bezug).
Empfänger können sich jederzeit per Klick aus jeder E-Mail austragen. Abmeldungen führen zur sofortigen Sperrung der Adresse in unserer Datenbank (Email-Blocklist).
Wir verarbeiten öffentlich zugängliche Amazon-Daten (ASIN, Titel, Bilder, Bewertungen, Verkaufsrang, Preise). Erhebung erfolgt über öffentliche Web-Scraping-Dienste (siehe Abschnitt 6) und ggf. die offizielle Amazon SP-API (mit deiner Freigabe). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bei Terminbuchungen erheben wir: Name, E-Mail, optional Telefon, gewünschtes Datum/Uhrzeit, Gesprächsanlass. Verarbeitung über unsere Pipeline (Supabase) und Synchronisation in Google Calendar (siehe Abschnitt 6).
Admin-Mitarbeiter und Kunden können Push-Benachrichtigungen im Browser aktivieren (Status-Änderungen, neue Empfehlungen, Konkurrenz-Alerts, KI-Chat-Antworten). Hierfür wird der Web-Push-Standard (VAPID) genutzt. Push erfolgt nur nach expliziter Aktivierung pro Gerät; jederzeit über die Browser-Einstellungen widerrufbar.
Der eingebaute KI-Berater (siehe Abschnitt 7) speichert die Chat-Historie deines Accounts, damit Folge-Fragen Kontext haben. Inhalte: deine Nachrichten, vom System angereicherte Lead-Daten (deine eigenen Listings, Score, Empfehlungen), KI-Antworten. Optional hochgeladene Dateien (PDFs, Bilder, max. 5 MB) werden verschlüsselt in Supabase Storage abgelegt und ausschließlich für deine Anfrage verarbeitet. Bei komplexen Fällen kann der Chat automatisch oder manuell an unseren Support eskaliert werden (E-Mail an service@amzbro.com mit Transkript).
Für die von dir benannten Konkurrenz-ASINs überwachen wir öffentlich zugängliche Amazon-Daten: Titel, Bullets, Beschreibung, Bilder, Preis, Bewertungen, Sterne, BSR. Wir speichern Snapshots dieser Daten, um Veränderungen zu erkennen und dich zu informieren (z.B. Preis-Senkung, neue Bilder). Verarbeitete Daten sind ausschließlich öffentlich zugänglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Verbindest du dein Amazon Seller Central per OAuth, lesen wir über die offizielle Amazon Selling Partner API (SP-API): Listing-Inhalte, Backend-Keywords, Inventar- und Bestellinformationen (anonymisiert, nur Mengen/Zeitpunkte für Auto-Review-Requests), Performance-Metriken sowie ggf. Brand-Registry-Daten. Der zur Verbindung benötigte Refresh-Token wird mit AES-256-GCM verschlüsselt at-rest in unserer Datenbank gespeichert. Du kannst die Verbindung jederzeit in Amazon Seller Central widerrufen — wir reagieren auf das von Amazon gesendete APPLICATION_OAUTH-Notification-Event und löschen den Token unverzüglich.
Mit deiner Zustimmung im Dashboard versenden wir über die offizielle Amazon Solicitations-API automatisierte Bewertungs-Anfragen an deine Käufer — jeweils innerhalb des Amazon-erlaubten Zeitfensters (5–30 Tage nach Lieferung, max. 1 Anfrage pro Bestellung). Wir erhalten dabei keine personenbezogenen Daten der Käufer; Amazon übernimmt den Versand vollständig anhand verschlüsselter Order-IDs. Wir speichern nur die Order-ID und einen Status (gesendet/abgelehnt/Fehler) zur Reporting-Zwecken in deinem Dashboard.
Für Listing-Änderungen, Bestell-Status und MWS-Notifications nutzen wir die Amazon Simple Queue Service (SQS)-Anbindung der SP-API. Eingehende Events werden vom Amazon SQS-Endpunkt (Region eu-west-1) durch unser System gepollt und in deinen Account übersetzt. Datenverarbeitung: AWS-Frankfurt/Irland. Mit Amazon AWS besteht ein AVV.
Mit deiner Registrierung bzw. als Kunde willigst du ein, von uns einen Newsletter mit Produkt-Neuigkeiten, Tipps und Angeboten rund um AMZ BRO und die Amazon-Listing-Optimierung zu erhalten. Verarbeitet werden dafür deine E-Mail-Adresse sowie – soweit vorhanden – Vor-/Nachname und Markenname. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); bei bestehenden Kundenbeziehungen zusätzlich § 7 Abs. 3 UWG (Direktwerbung für eigene, ähnliche Produkte). Der Versand erfolgt über unseren Dienstleister Resend (siehe Abschnitt 6). Du kannst dich jederzeit über den Abmelde-Link am Ende jeder Newsletter-E-Mail abmelden bzw. deine Einwilligung mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO); danach werden deine Daten aus dem Newsletter-Verteiler entfernt. Die Abmeldung berührt nicht den Empfang systemnotwendiger Transaktions-E-Mails (z. B. Login, Reports, Rechnungen).
Diese Cookies sind für die Funktion der Website unverzichtbar (§ 25 Abs. 2 TTDSG):
sb-* (Supabase Auth): Login-Session, Speicherdauer Session bzw. 30 Tage bei "angemeldet bleiben"amzbro_cookie_consent_v1 (LocalStorage): speichert deine Cookie-Entscheidung, kein Personenbezug, ein JahrBeim ersten Besuch zeigen wir einen Cookie-Consent-Banner. Klickst du "Akzeptieren", aktivieren wir folgende Verarbeitungen über PostHog (siehe 6.5):
Klickst du "Ablehnen", werden diese Verarbeitungen vollständig deaktiviert (Opt-Out-Modus von PostHog). PostHog ist so konfiguriert, dass auch für anonyme Besucher pseudonyme Personen-Profile angelegt werden (Setting person_profiles=always), um Trichter-Analysen über mehrere Pageviews zu ermöglichen. Es findet kein Cross-Site-Tracking statt. Zur Verbesserung der UX nutzen wir optional Session-Replay (PostHog), das Maus-Bewegungen und Klicks innerhalb unserer Anwendung wiedergibt — sensible Eingaben (Passwortfelder, Zahlungsdaten) werden automatisch maskiert. Du kannst deine Entscheidung jederzeit zurücksetzen — der Banner erscheint dann erneut:
Wir nutzen Vercel Analytics zur reinen Reichweitenmessung. Vercel Analytics setzt keine Cookies und erhebt keine personenbezogenen Daten — es werden ausschließlich anonyme Aggregat-Statistiken erfasst (Pageviews, Geräte-Typ-Aggregate). Da kein Personenbezug, keine Consent-Pflicht.
Mit allen unten aufgeführten Anbietern bestehen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO. Bei US-Anbietern erfolgt die Datenübermittlung auf Basis der EU-Standardvertragsklauseln (SCC) sowie — soweit verfügbar — des EU-US Data Privacy Frameworks.
Stripe — Zahlungsabwicklung
Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Datenverarbeitung in der EU + USA. Übertragene Daten: Name, Rechnungsadresse, E-Mail, Steuer-ID, Zahlungsdetails. Wir speichern keine Kreditkartendaten, nur die Stripe-Kunden-ID und Zahlungs-Status. Datenschutz: stripe.com/de/privacy
Resend — Transaktionale E-Mails
Resend Inc., 2261 Market Street, San Francisco, CA 94114, USA. Versand systemgenerierter E-Mails (Bestätigungen, Reports, Benachrichtigungen) sowie unseres Newsletters (siehe Abschnitt 4.12). Datenübermittlung in die USA auf Basis SCC.
Instantly.ai — B2B-Outreach
Bizstim Inc., 1209 Mountain Road PL NE STE H, Albuquerque, NM 87110, USA. Versand der Cold-Email-Sequenzen an recherchierte B2B-Kontakte. Daten: E-Mail, Name, Marke, ASIN, personalisierter Analyse-Snippet. Empfänger können jederzeit Unsubscribe nutzen — die Adresse wandert sofort in unsere Email-Blocklist.
Anthropic Claude — KI-Textanalyse
Anthropic PBC, San Francisco, USA. Modelle: Claude Sonnet 4, Claude Haiku 4.5. Übermittelte Daten: öffentliche Amazon-Listing-Inhalte, Review-Texte, Bild-URLs (Vision-Analyse), Konkurrent-Daten. Keine personenbezogenen Daten unserer Kunden. Anthropic nutzt eingehende Daten ausdrücklich nicht für Modell-Training (Zero-Data-Retention nach 30 Tagen, Standard für Business-Tier).
OpenAI — KI-Bildgenerierung
OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Irland. Verwendet für die KI-gestützte Erstellung von Listing-Bildern (Modell gpt-image-2). Übermittelt werden Produkttitel, Markenname, Briefing-Texte und ggf. Referenz-Bilder. Datenverarbeitung primär EU + USA, mit Opt-Out für Trainingsnutzung.
ScrapingBee — Web-Scraping
ScrapingBee SAS, 5 rue de Charonne, 75011 Paris, Frankreich. Auslesen öffentlicher Amazon-Produktseiten zur Analyse. Datenverarbeitung innerhalb der EU.
Rainforest API — Amazon-Produktdaten
Traject Data LLC (Rainforest API), USA. Strukturierter Zugriff auf öffentliche Amazon-Produktdaten (Bilder, Bullets, Varianten) zur Analyse. Übermittelt werden ausschließlich öffentliche Produkt-ASINs.
PostHog — Produkt-Analytics (nur mit Consent)
PostHog Inc. (Region EU), 2261 Market Street #4008, San Francisco, CA 94114, USA. Datenverarbeitung in der EU (Frankfurt). Wir nutzen PostHog für Pageview-Tracking, Conversion-Funnels und Produktverbesserung. Aktivierung nur nach deiner Einwilligung über den Cookie-Banner. Erfasste Daten: Pageviews, Klicks, Custom Events (z.B. Registrierung, Checkout), pseudonyme User-ID. Bis du einwilligst, läuft PostHog im Opt-Out-Modus und sendet keine Daten.
Vercel Analytics — anonyme Reichweitenmessung
Vercel Inc. (siehe Abschnitt 3). Cookieless Web-Analytics — keine Cookies, keine personenbezogenen Daten, nur aggregierte Pageviews und Geräte-Statistiken. Keine Consent-Pflicht.
Google Calendar — Termin-Sync
Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Termine die du buchst werden in unseren Google-Kalender synchronisiert (zum internen Kalendermanagement). Datenverarbeitung: EU.
Calendly — Terminbuchungs-Plattform
Calendly LLC, 271 17th Street NW, Atlanta, GA 30363, USA. Wenn du einen Termin über unser Calendly-Widget buchst, werden Name, E-Mail und gewünschter Slot an Calendly übermittelt. Datenübermittlung in die USA auf Basis SCC.
Amazon SP-API — Verkäufer-Daten (mit deiner Freigabe)
Amazon EU S.à r.l., 38 Avenue John F. Kennedy, L-1855 Luxemburg. Wenn du dein Amazon Seller Central mit AMZ BRO autorisierst (OAuth via "Login with Amazon"), lesen wir über die offizielle Selling Partner API deine Listing-Inhalte, Backend-Keywords, Bestellungen (für Auto-Review-Requests, ohne Käufer-PII), Inventar- und Performance-Daten sowie Brand-Registry-Status. Wir nutzen die Roles Product Listing und Buyer Solicitation. Refresh-Tokens werden AES-256-GCM verschlüsselt at-rest gespeichert. Du kannst die Verbindung jederzeit in Amazon Seller Central widerrufen — wir reagieren auf das Notification-Event APPLICATION_OAUTH und löschen die Tokens unverzüglich. Datenverarbeitung primär EU (eu-west-1).
Amazon Web Services (SQS) — Echtzeit-Notifications
Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. SP-API sendet Listing-Änderungen, Bestell-Updates, Token-Widerrufe an unsere dedizierte SQS-Queue (Region eu-west-1, Irland). Wir lesen die Queue regelmäßig aus und übersetzen Events in dein Dashboard. Datenverarbeitung ausschließlich in der EU. Mit AWS besteht ein AVV.
Slack — Interne Admin-Benachrichtigungen
Slack Technologies LLC, 500 Howard Street, San Francisco, CA 94105, USA. Wir nutzen Slack ausschließlich intern, um operative Benachrichtigungen über die Pipeline (z.B. neuer Kunde, Lead-Probleme) zu erhalten. An Slack werden keine personenbezogenen Kundendaten gesendet, lediglich Marken-Namen und ASINs zur internen Koordination.
Zur Erbringung unserer Kernleistung (Listing-Analyse, Bewertungsanalyse, Konkurrenz-Analyse, Bildgenerierung, Optimierungsempfehlungen, KI-Berater-Chat) setzen wir KI-Modelle ein:
An die KI-Anbieter werden ausschließlich öffentliche Listing-Inhalte und Briefing-Daten übermittelt — keine personenbezogenen Daten unserer Kunden (keine Namen, E-Mails, Telefonnummern). Mit beiden Anbietern bestehen DPAs sowie Standardvertragsklauseln. KI-generierte Vorschläge werden vor der Weitergabe an dich systemseitig validiert (z.B. Markdown-Strip, Compliance-Checks, Plausibilitätsprüfungen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Zur Ausübung deiner Rechte: service@amzbro.com
Zuständige Datenschutz-Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4, 40213 Düsseldorf
www.ldi.nrw.de
Diese Seite nutzt durchgehend TLS-Verschlüsselung (HTTPS). Daten zwischen deinem Browser und unseren Servern sind für Dritte nicht mitlesbar.
Kunde ↓ Registrierung Supabase (EU/Frankfurt) ← Auth + Daten ↓ Vertragsabschluss Stripe (Irland/USA) ← Zahlungen ↓ Service-Erbringung Amazon SP-API (Luxemburg/EU) ← Listings, Orders, Brand Registry (mit OAuth-Freigabe) AWS SQS (Irland/EU) ← Echtzeit-Notifications (Listing-Changes, Orders) Anthropic Claude (USA, SCC) ← öff. Listing-Daten zur Analyse + KI-Chat OpenAI (Irland) ← Bild-Briefings zur Generierung ScrapingBee (Frankreich) ← Amazon-Scraping Rainforest (USA, SCC) ← Amazon-Reviews ↓ Versand Resend (USA, SCC) ← Transaktionale E-Mails Instantly (USA, SCC) ← Cold-Email an Leads Amazon Solicitations API ← Auto-Review-Anfragen (Amazon versendet, ohne PII-Übergabe) ↓ Tracking (nur mit Consent) PostHog EU (Frankfurt) ← Analytics + Session Replay (sensible Felder maskiert)
Stand 4. Juni 2026. Bei Anpassungen unseres Dienstes (neue Tools, geänderte Verarbeitungen) aktualisieren wir diese Erklärung. Die jeweils aktuelle Version ist hier abrufbar.