Amazon-Datenschutz (SP-API)

Datenschutz & Datenverarbeitung für Amazon-Daten (SP-API, PII)
Version: 1.0 • Stand: 31.10.2025

Verantwortlicher:
RAGHandel24 – Inhaber: Rahim Gasnjani
Vinckestraße 8, 44623 Herne, Deutschland
E-Mail für Datenschutzanfragen: Amazon@RAG-Handel24.de

1. Zweck, Geltungsbereich & Rechtsgrundlagen

Wir verarbeiten Amazon-Daten ausschließlich zur Auftragsabwicklung, Rechnungsstellung und gesetzlichen Archivierung. Rechtsgrundlagen nach DSGVO: Art. 6(1)(b) (Vertrag), Art. 6(1)(c) (rechtliche Pflicht, z. B. AO/GoBD) und Art. 6(1)(f) (berechtigte Interessen: IT-Sicherheit/Betrugsprävention). Keine Nutzung von Amazon-PII zu Marketing-/Profiling-Zwecken.

2. Datenerhebung (Quelle) & Datenminimierung

  • Quelle: Amazon Selling Partner API (SP-API) über Restricted Data Token (RDT) nur für erforderliche Endpunkte:
    GET /orders/v0/orders/{orderId}/address, GET /orders/v0/orders/{orderId}/buyerInfo (optional: Orders-Liste mit dataElements=["buyerInfo","shippingAddress"]).
  • Datenarten (PII): Käufername, Liefer-/Rechnungsadresse. Keine Zahlungsdaten. E-Mail/Telefon nur, wenn zwingend für Zustellung/Support erforderlich (standardmäßig nicht angefordert).
  • Minimierung: Abruf ausschließlich der minimal notwendigen Felder für Versand/Invoice.

3. Verarbeitung & Zwecke

  • Erzeugung von Rechnungen/Lieferscheinen, Versandabwicklung, Klärung von Zustellproblemen, Erfüllung gesetzlicher Aufbewahrungspflichten (AO/GoBD).
  • Analysen erfolgen ohne PII oder pseudonymisiert.

4. Speicherung, Speicherorte & Systeme

  • Speicherorte: EU/EWR-Rechenzentren und/oder vollverschlüsselte lokale Geräte.
  • Systeme:
    • easybill (EU) für Rechnungs­erstellung und gesetzliche Archivierung,
    • STRATO (EU) für Hosting/Backups der Website/Dokumente.
  • Trennung: Roh-PII aus SP-API wird getrennt von Auswertungen gespeichert; kein Export in Analyse-Tools.

5. Zugriffe & Rollen

  • Least-Privilege / Need-to-Know, personenbezogene Accounts; keine geteilten Admin-Konten.
  • MFA-Pflicht für Seller Central/Developer Console, E-Mail, Cloud/Admin-Zugänge.
  • Rechte-Reviews mindestens halbjährlich.

6. Technische & organisatorische Maßnahmen (TOMs)

  • Verschlüsselung:
    • Transport: TLS 1.2+
    • Ruhezustand: AES-256 (Voll-/Volume-Verschlüsselung; verschlüsselte Backups)
  • Endpunkte: Windows 11 Pro mit BitLocker (o. ä.), Auto-Sperre ≤ 10 Min., aktuelle Patches, Endpoint-Protection.
  • Netzwerk: Firewall; sichere Remote-Zugänge (VPN + MFA).
  • Geheimnisse/Passwörter: keine Klartext-Speicherung; Passwort-Manager mit MFA; Rotation regelmäßig und anlassbezogen.
  • BYOD/Wechseldatenträger: kein BYOD für Amazon-Daten; USB-Massenspeicher gesperrt; keine Synchronisation in private Clouds/Mobile.

7. Aufbewahrung & Löschung

  • Operatives Roh-PII (Address/BuyerInfo-Antworten): max. 30 Tage nach Auftragsabschluss; danach automatischer Löschjob (täglich).
  • Support-Artefakte (Tickets/E-Mails): ≤ 6 Monate, sofern keine Rechtsansprüche bestehen.
  • Gesetzliche Archive (Rechnungen): Speicherung gemäß AO/GoBD (i. d. R. bis zu 10 Jahre) in easybill mit Zugriffsbeschränkung; anschließende unwiderrufliche Löschung.
  • Backups: verschlüsselt; PII wird nicht gesondert extrahiert; überschreibt sich nach Plan; nach Wiederherstellung werden unzulässige PII-Bestände unverzüglich gelöscht.

Aufbewahrungsmatrix (Kurzfassung):

DatenkategorieZweckSpeicherortFristLöschmethode
Roh-PII (Adresse/Name)Fulfillment/Invoicelokal/gesichert (EU)≤ 30 Tageautomatischer Hard-Delete + Löschlog (≥ 90 Tage)
Support-ArtefakteService-KlärungTicket/E-Mail≤ 6 Monateplanmäßige Löschung
RechnungsarchivRechtspflicht (AO/GoBD)easybill (EU)gesetzlichAblauf-Löschung (Hard-Delete)

8. Protokollierung & Monitoring

  • Protokolliert werden u. a. An-/Abmeldungen, fehlgeschlagene Logins, Rechteänderungen, Token-/API-Aufrufe.
  • Aufbewahrung Logs: ≥ 90 Tage; keine PII-Inhalte.
  • Alarme bei Auffälligkeiten (z. B. viele Fehl-Logins, ungewöhnliche IP-Bereiche).

9. Incident Response (Sicherheitsvorfälle)

  • Sofortmaßnahmen: Zugänge sperren, Credentials/Keys rotieren, betroffene Systeme isolieren, Beweise/Logs sichern.
  • Behebung: Root-Cause-Analyse, Patches/Fixes, Passwort-Resets, Härtung.
  • Benachrichtigung: Amazon über Seller Central/Developer Support innerhalb von 24 Stunden nach Bestätigung eines PII-relevanten Vorfalls; behördliche/Betroffenen-Meldungen gem. DSGVO Art. 33/34.
  • Nachbereitung: vollständige Dokumentation & Lessons Learned.

10. Weitergabe an Dritte (Auftragsverarbeiter)

  • Weitergabe ausschließlich an notwendige Auftragsverarbeiter mit Auftragsverarbeitungsverträgen (DPA):
    • STRATO AG (EU): Hosting/Backups (Website/Dokumente)
    • easybill GmbH (EU): Rechnungen/Archivierung
  • Kein Verkauf oder Marketing-Sharing von Amazon-PII. Drittlandtransfer ist nicht vorgesehen; falls notwendig, nur mit geeigneten Garantien (z. B. SCC) inkl. Transfer-Impact-Assessment.

11. Betroffenenrechte

Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit per E-Mail an datenschutz@autosicherheit24.de. Identitätsprüfung erfolgt; Antwort innerhalb von 30 Tagen.

12. Governance, Verantwortlichkeit & Review

Gesamtverantwortung: Inhaber. Diese Policy wird mindestens jährlich oder anlassbezogen (Systemwechsel, neue Risiken) geprüft, versioniert und angepasst.

13. Hoch-ebener Datenfluss (Transparenz)

SP-API (RDT) → Abruf buyerInfo/shippingAddress → Erstellung von Rechnung/Lieferschein (easybill, EU) → operative Roh-PII ≤ 30 Tage zur Klärung von Fulfillment-Themen → automatischer Löschjob → gesetzliches Rechnungsarchiv (easybill) mit Zugriffsbeschränkung → Logs/Audits ≥ 90 Tage.

Nach oben scrollen