Meykt
Home Hilfe-Center Demo
Jetzt bewerben Login
Home Hilfe-Center Demo
Jetzt bewerben Login

Vertrag zur Auftragsverarbeitung (AVV)

Stand: 16. Juli 2026

Inhalt

  1. Parteien und Einbeziehung
  2. Gegenstand und Dauer
  3. Art und Zweck der Verarbeitung
  4. Kategorien personenbezogener Daten
  5. Kategorien betroffener Personen
  6. Weisungsbindung
  7. Fulfillment-Netzwerk
  8. Pflichten des Auftraggebers
  9. Vertraulichkeit
  10. Technische & organisatorische Maßnahmen
  11. Subprozessoren
  12. Drittlandübermittlungen
  13. Unterstützung des Auftraggebers
  14. Datenschutzverletzungen
  15. Löschung und Rückgabe
  16. Nachweise und Kontrollrechte
  17. Anlage 1: TOM
  18. Anlage 2: Unterauftragsverarbeiter

§ 1 Parteien und Einbeziehung

(1) Dieser Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO („AVV“) wird geschlossen zwischen dem Kunden, der die Meykt-Plattform für seine Organisation, Prozesse, Kunden-, Mitarbeiter-, Shop- und Produktionsdaten nutzt (nachfolgend „Auftraggeber“), und der

Firma
Dumanu GmbH
Anschrift
Beethovenstr. 120 C, 42655 Solingen, Deutschland
Vertreten durch
Geschäftsführer Dominik Hassel
Registergericht
Amtsgericht Wuppertal, HRB 32857
E-Mail
info@meykt.com

(nachfolgend „Auftragnehmer“).

(2) Dieser AVV wird mit Annahme der Nutzungsbedingungen Vertragsbestandteil des Hauptvertrags über die Nutzung der Meykt-Plattform. In datenschutzrechtlichen Fragen geht dieser AVV den Nutzungsbedingungen vor.

(3) Der Auftraggeber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten, die er über die Meykt-Plattform verarbeitet oder verarbeiten lässt. Der Auftragnehmer verarbeitet diese Daten als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.

§ 2 Gegenstand und Dauer

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers zur Bereitstellung, Wartung, Sicherung und Weiterentwicklung von Meykt Central, Meykt Agent und damit verbundenen SaaS-, Integrations-, Support- und Automationsfunktionen. Die Verarbeitung erfolgt ausschließlich im Rahmen dieses Vertrags und der Weisungen des Auftraggebers.

(2) Eine Verarbeitung personenbezogener Daten des Auftraggebers zu eigenen Zwecken des Auftragnehmers findet nicht statt. Der Auftragnehmer darf ausschließlich aggregierte, nicht personenbezogene Nutzungsstatistiken zu eigenen Zwecken auswerten; ein Personenbezug wird dabei nicht hergestellt.

(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags. Nach Vertragsende richtet sich der Umgang mit den Daten nach § 14.

§ 3 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst insbesondere:

  • Hosting und Betrieb der Plattform
  • Speicherung und Verarbeitung von Account-, Organisations-, Shop-, Kunden-, Produkt-, Auftrags-, Datei-, Produktions- und Workflowdaten
  • Authentifizierung und Berechtigungsprüfung
  • Shop- und Drittanbieter-Integrationen
  • Datei-Uploads und Dateiabrufe
  • Workflow- und Automationsausführung
  • Maschinenbefehle, Agent-Kommunikation und Statusmeldungen
  • E-Mail-Versand im Auftrag des Auftraggebers (z. B. Einladungen, Benachrichtigungen)
  • Zahlungs- und Abrechnungsprozesse, soweit im Auftrag verarbeitet
  • Support, Fehleranalyse, Sicherheit und Audit-Logging
  • KI-gestützte Funktionen, soweit der Auftraggeber sie aktiviert und vertraglich vorgesehen

§ 4 Kategorien personenbezogener Daten

Je nach Nutzung verarbeitet der Auftragnehmer folgende Datenkategorien:

  • Stammdaten: Name, Unternehmen, Rolle, Organisation, Kontaktinformationen
  • Kontodaten: E-Mail, Profil, Sprache, Zeitzone, Rollen, Berechtigungen
  • Mitarbeiterdaten: Name, Rolle, Station, Maschine, Arbeitskontext, Anwesenheits- oder Sitzungsdaten, soweit genutzt
  • Kundendaten des Auftraggebers: Name, E-Mail, Telefon, Adresse, Ansprechpartner, Bestell- und Kommunikationsdaten
  • Shopdaten: Bestellungen, Produktdaten, Versanddaten, Zahlungsstatus, externe IDs, API-Rohdaten
  • Produktionsdaten: Aufträge, Arbeitsschritte, Dateien, Prozessstatus, Protokolle, Maschinenzuordnungen
  • Dateidaten: hochgeladene Bilder, Produktionsdateien, Anhänge, Dateinamen, Metadaten
  • Integrationsdaten: Verbindungskonfigurationen, Tokens oder OAuth-Daten über Subprozessoren, technische Statusdaten
  • Kommunikationsdaten: E-Mail-Inhalte, Einladungen, Supportnachrichten, Benachrichtigungen
  • Sicherheits- und Logdaten: IP-Adressen, Login-Events, Systemevents, Fehlerdaten, Audit-Logs
  • KI-Funktionsdaten: Eingaben, Ausgaben, Kontextdaten und Dateien, soweit der Auftraggeber KI-Funktionen nutzt

§ 5 Kategorien betroffener Personen

Je nach Nutzung können betroffen sein:

  • Nutzer und Administratoren des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Kunden und Endkunden des Auftraggebers
  • Ansprechpartner bei Kunden, Lieferanten, Dienstleistern und Produktionspartnern
  • Dienstleister, externe Freigabeempfänger oder Portalnutzer
  • Shopkunden, deren Daten aus angebundenen Shops importiert werden

§ 6 Weisungsbindung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation —, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Die Weisungen ergeben sich insbesondere aus dem Hauptvertrag, der Produktkonfiguration sowie den vom Auftraggeber eingerichteten Workflows, Integrationen, Nutzerrechten, Agent-Freigaben und Supportanfragen.

(3) Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert er den Auftraggeber unverzüglich. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis der Auftraggeber sie bestätigt oder ändert.

§ 6a Datenübermittlung im Fulfillment-Netzwerk

(1) Die Freigabe von Auftragspositionen an einen anderen Meykt-Kunden zur Ausführung („Fulfiller“) ist eine Weisung des Auftraggebers. Für die Rechtsgrundlage der Übermittlung personenbezogener Daten (insbesondere Endkunden- und Versanddaten) an den Fulfiller bleibt der Auftraggeber allein verantwortlich. Dies gilt auch für mehrstufige Weitergaben innerhalb des Netzwerks.

(2) Der Auftragnehmer tritt gegenüber dem Fulfiller ebenfalls als Auftragsverarbeiter auf. Eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO wird nicht begründet.

(3) Der Auftraggeber informiert die betroffenen Personen nach Art. 13 Abs. 1 lit. e DSGVO über die Empfängerkategorie „Fulfillment-Dienstleister“.

§ 7 Pflichten des Auftraggebers

Der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO. Er ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Verarbeitung, einschließlich der Rechtsgrundlagen für die von ihm veranlassten Übermittlungen
  • die Erfüllung von Informationspflichten gegenüber betroffenen Personen
  • die Wahrung von Betroffenenrechten
  • die Vergabe und Prüfung von Rollen und Berechtigungen
  • die zulässige Konfiguration von Integrationen, Workflows und Maschinensteuerungen
  • die Einhaltung arbeitsrechtlicher, produktsicherheitsrechtlicher und datenschutzrechtlicher Anforderungen in der eigenen Produktionsumgebung
  • die Prüfung, ob besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet werden dürfen, bevor solche Daten in die Plattform eingebracht werden

§ 8 Vertraulichkeit

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung der jeweiligen Tätigkeit fort.

§ 9 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und hält sie während der Laufzeit dieses Vertrags aufrecht.

(2) Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragnehmer darf sie fortentwickeln und durch gleichwertige oder bessere Maßnahmen ersetzen; das in Anlage 1 vereinbarte Schutzniveau darf dabei nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

§ 10 Subprozessoren

(1) Der Auftraggeber erteilt mit Abschluss dieses Vertrags die allgemeine schriftliche Genehmigung nach Art. 28 Abs. 2 DSGVO zur Hinzuziehung der in Anlage 2 genannten Subprozessoren.

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Hinzuziehung oder Ersetzung eines Subprozessors mindestens vier Wochen vor deren Wirksamwerden in Textform (z. B. per E-Mail an die im Konto hinterlegte Administrator-Adresse).

(3) Der Auftraggeber kann der beabsichtigten Änderung binnen 14 Tagen nach Zugang der Information aus berechtigten datenschutzrechtlichen Gründen in Textform widersprechen. Im Fall eines berechtigten Widerspruchs bemühen sich die Parteien um eine zumutbare Lösung; kommt eine solche nicht zustande, kann jede Partei den betroffenen Leistungsteil und der Auftraggeber den Hauptvertrag außerordentlich kündigen (Sonderkündigungsrecht).

(4) Der Auftragnehmer erlegt jedem Subprozessor im Wege eines Vertrags dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind (Art. 28 Abs. 4 Satz 1 DSGVO).

(5) Kommt ein Subprozessor seinen Datenschutzpflichten nicht nach, haftet der Auftragnehmer gegenüber dem Auftraggeber für die Erfüllung von dessen Pflichten (Art. 28 Abs. 4 Satz 2 DSGVO).

§ 11 Drittlandübermittlungen

(1) Eine Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums erfolgt nur, wenn die Voraussetzungen des Kapitels V DSGVO erfüllt sind (Angemessenheitsbeschluss der Europäischen Kommission, geeignete Garantien nach Art. 46 DSGVO oder eine Ausnahme nach Art. 49 DSGVO) und nur im Rahmen der dokumentierten Weisungen des Auftraggebers.

(2) Die für die einzelnen Subprozessoren maßgeblichen Standorte und Übermittlungsmechanismen ergeben sich aus Anlage 2.

(3) Für die Funktion Bild-Vektorisierung gilt eine gesonderte Regelung: Die Übermittlung des jeweils ausgewählten Bildes an einen externen Dienstleister in den USA erfolgt nicht auf Grundlage dieses Vertrags, sondern ausschließlich nach Maßgabe der gesonderten Regelung in den Nutzungsbedingungen (§ 6a) und der Datenschutzerklärung; dort ist auch die vor jeder Übermittlung erforderliche ausdrückliche Zustimmung beschrieben. Dieser Dienstleister ist nicht Bestandteil der Anlage 2.

§ 12 Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen mit geeigneten technischen und organisatorischen Maßnahmen bei:

  • der Beantwortung von Anträgen betroffener Personen nach Kapitel III DSGVO
  • der Löschung, Berichtigung, Einschränkung oder dem Export von Daten
  • der Gewährleistung der Sicherheit der Verarbeitung nach Art. 32 DSGVO
  • der Meldung und Untersuchung von Verletzungen des Schutzes personenbezogener Daten (Art. 33, 34 DSGVO)
  • Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 35, 36 DSGVO), soweit erforderlich
  • dem Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO

§ 13 Datenschutzverletzungen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft.

(2) Die Mitteilung enthält, soweit verfügbar, Angaben zur Art des Vorfalls, zu den betroffenen Datenkategorien, den ungefähren Kategorien und der ungefähren Zahl der betroffenen Personen, den wahrscheinlichen Folgen sowie den ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung. Informationen können schrittweise nachgereicht werden, soweit sie nicht sofort vorliegen.

§ 14 Löschung und Rückgabe

(1) Nach Ende des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers oder gibt sie nach Wahl des Auftraggebers zurück. Der Auftraggeber teilt seine Wahl bis zum Ende der 30-tägigen Nachhaltefrist mit; trifft er keine Wahl, werden die Daten nach Ablauf der Frist gelöscht.

(2) Absatz 1 gilt nicht, soweit nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(3) Rückgabeformat: strukturierter Export als CSV/JSON je Datenbereich zuzüglich der im Storage abgelegten Dateien.

(4) In Sicherungskopien (Backups) enthaltene Daten werden nach dem jeweiligen Backup-Zyklus gelöscht oder überschrieben; bis dahin werden sie nicht weiterverarbeitet und bleiben gegen Zugriff geschützt.

(5) Eine Löschbestätigung erfolgt auf Anforderung in Textform.

§ 15 Nachweise und Kontrollrechte

(1) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(2) Der Auftragnehmer ermöglicht Überprüfungen — einschließlich Inspektionen —, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt dazu bei.

(3) Der Nachweis kann vorrangig durch aktuelle Zertifikate, Testate oder Prüfberichte anerkannter Stellen geführt werden. Genügen diese im Einzelfall nicht, bleibt das Recht auf eine Vor-Ort-Prüfung unberührt.

(4) Für Überprüfungen gilt, soweit kein konkreter Anlass (etwa eine Datenschutzverletzung oder eine Anordnung einer Aufsichtsbehörde) besteht: höchstens eine Überprüfung pro Kalenderjahr, Ankündigung mindestens 30 Tage im Voraus, Durchführung während der üblichen Geschäftszeiten und ohne unverhältnismäßige Störung des Betriebs, Abschluss einer angemessenen Vertraulichkeitsvereinbarung; als Prüfer darf kein direkter Wettbewerber des Auftragnehmers beauftragt werden. Die Kosten einer vom Auftraggeber veranlassten Überprüfung trägt der Auftraggeber.

Anlage 1: Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen die folgenden technischen und organisatorischen Maßnahmen (Art. 32 DSGVO):

1. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

  • Verschlüsselung bei Übertragung: sämtliche Verbindungen zur Plattform erfolgen verschlüsselt über HTTPS/TLS
  • Verschlüsselung bei Speicherung: ruhende Daten werden bei den eingesetzten Infrastruktur-Anbietern verschlüsselt gespeichert
  • Schutz von Zugangsdaten, Tokens und Secrets durch getrennte, zugriffsbeschränkte Verwaltung

2. Vertraulichkeit und Zugriffskontrolle (Art. 32 Abs. 1 lit. b DSGVO)

  • rollen- und berechtigungsbasierte Zugriffskontrollen innerhalb der Plattform
  • mandantengetrennte Datenverarbeitung: organisationsbezogene Datentrennung, technisch durchgesetzt auf Datenbankebene (Row-Level-Security)
  • Authentifizierung über sichere Sitzungsmechanismen
  • private Datei-Speicher; Dateizugriffe nur über zeitlich begrenzte, signierte Abruf-URLs
  • Zugriff von Beschäftigten des Auftragnehmers auf Produktionsdaten nur, soweit für Betrieb, Support oder Fehleranalyse erforderlich (Need-to-know-Prinzip)
  • physische Zutrittskontrolle durch die zertifizierten Rechenzentren der eingesetzten Infrastruktur-Anbieter; Datenbank und Datei-Storage in der Region Frankfurt am Main

3. Integrität und Nachvollziehbarkeit

  • Protokollierung sicherheitsrelevanter Ereignisse und Änderungen (Audit-Logs)
  • technische Validierung von Datei-Uploads (Inhaltsprüfung, Typ-Beschränkungen)
  • Content-Security-Policy und weitere Sicherheits-Header der Web-Anwendung

4. Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

  • regelmäßige Backups mit Wiederherstellungstests
  • Betrieb auf redundanter, gemanagter Infrastruktur mit Monitoring
  • dokumentiertes Verfahren zur raschen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten nach einem physischen oder technischen Zwischenfall

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

  • regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen und Anpassung an den Stand der Technik
  • sichere Entwicklungs- und Deploymentprozesse einschließlich Code-Reviews
  • Trennung von Entwicklungs-, Test- und Produktivumgebungen

6. Organisatorische Maßnahmen

  • Vertraulichkeitsverpflichtung aller zur Verarbeitung befugten Personen (§ 8)
  • Auftragskontrolle: vertragliche Bindung der Subprozessoren nach § 10; Weisungsbindung nach § 6
  • Pseudonymisierung, soweit sie nach Art und Zweck der jeweiligen Verarbeitung möglich und angemessen ist

7. Eigene Verarbeitungsstelle für Bildverarbeitung

  • bestimmte Bildverarbeitungs-Funktionen (z. B. Hintergrund-Entfernung) laufen, wie in der Datenschutzerklärung beschrieben, auf eigener Hardware des Auftragnehmers innerhalb der EU mit zugriffsgeschütztem Betrieb; Zwischen-Dateien werden automatisiert nach spätestens 14 Tagen gelöscht

Änderungsvorbehalt: Der Auftragnehmer darf die Maßnahmen dieser Anlage an den technischen Fortschritt anpassen und durch gleichwertige oder bessere Maßnahmen ersetzen. Das hier beschriebene Schutzniveau darf dabei nicht unterschritten werden.

Anlage 2: Unterauftragsverarbeiter

Der Auftragnehmer setzt zur Erbringung der Leistungen die folgenden Subprozessoren ein. Änderungen erfolgen nach dem Verfahren in § 10.

Anbieter Zweck Sitz / Region der Verarbeitung Garantie
Vercel Inc. Hosting und Auslieferung der Web-Anwendung USA; Verarbeitung in den USA möglich EU-Standardvertragsklauseln bzw. EU-U.S. Data Privacy Framework gemäß Anbieter-DPA
Supabase, Inc. Datenbank, Authentifizierung, Datei-Storage Projektregion Frankfurt am Main (Deutschland); Anbieter mit Sitz in den USA Anbieter-DPA; EU-Standardvertragsklauseln für etwaige Drittlandzugriffe
Nango OAuth-Verbindungsbroker für Shop-Integrationen USA / international; Drittlandbezug möglich EU-Standardvertragsklauseln gemäß Anbieter-DPA
Inngest Inc. Hintergrund-Jobs und Event-Verarbeitung USA; Drittlandbezug möglich EU-Standardvertragsklauseln gemäß Anbieter-DPA
Resend Inc. Transaktionaler E-Mail-Versand USA; Drittlandbezug möglich EU-Standardvertragsklauseln gemäß Anbieter-DPA
Stripe Payments Europe Ltd. Zahlungsabwicklung (nur bei Aktivierung kostenpflichtiger Tarife) Irland; Konzernverarbeitung in den USA möglich EU-Standardvertragsklauseln bzw. EU-U.S. Data Privacy Framework gemäß Anbieter-DPA
Google Ireland Ltd. Anmeldung mit Google (nur bei Nutzung des Google-Logins) Irland; Konzernverarbeitung in den USA möglich EU-Standardvertragsklauseln bzw. EU-U.S. Data Privacy Framework gemäß Anbieter-DPA

Der externe Dienstleister für die Funktion Bild-Vektorisierung ist nicht Bestandteil dieser Anlage; für ihn gilt ausschließlich die gesonderte, zustimmungsbasierte Regelung in den Nutzungsbedingungen (§ 6a) und der Datenschutzerklärung (siehe § 11 Abs. 3).

Stand dieser Anlage: 16. Juli 2026.

Fragen zu diesem Vertrag beantwortet die Dumanu GmbH unter info@meykt.com.

Meykt

Die universelle Middleware zwischen deinen Shops und deiner Produktion.

Meykt

Zur Startseite Jetzt bewerben

Hilfe

Hilfe-Center Feature Board Roadmap

Rechtliches

Impressum Datenschutz Nutzungsbedingungen AVV
© 2026 Meykt. Alle Rechte vorbehalten.
Made in Deutschland