Allgemeine Geschäftsbedingungen
Carlos Möllers · Online Marketing — Stand: Juni 2026
Anbieter
Carlos Möllers
Schapdettener Straße 7a
48301 Nottuln
E-Mail: c.moellers@easy-ads.net
§ 1 Geltungsbereich
1.1 Diese Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) gelten für sämtliche Verträge, Angebote und Leistungen zwischen Carlos Möllers (nachfolgend „Dienstleister“) und Unternehmern im Sinne des § 14 BGB, juristischen Personen des öffentlichen Rechts sowie öffentlich-rechtlichem Sondervermögen (nachfolgend „Kunde“).
1.2 Sämtliche Verträge und Dienstleistungen erfolgen ausschließlich auf Grundlage dieser AGB. Sie gelten auch für alle künftigen Geschäftsbeziehungen, ohne dass es einer erneuten ausdrücklichen Vereinbarung bedarf.
1.3 Abweichende oder ergänzende Geschäftsbedingungen des Kunden werden nicht Vertragsbestandteil, es sei denn, der Dienstleister stimmt ihrer Geltung ausdrücklich schriftlich zu.
1.4 Änderungen dieser AGB werden dem Kunden in Textform mitgeteilt. Widerspricht der Kunde den geänderten Bedingungen nicht innerhalb von sechs Wochen, gelten die Änderungen als akzeptiert. Der Kunde wird im Änderungsschreiben ausdrücklich auf sein Widerspruchsrecht hingewiesen.
1.5 Individuelle vertragliche Vereinbarungen haben stets Vorrang vor diesen AGB. Die AGB gelten ergänzend.
1.6 Sofern der Dienstleister im Rahmen seiner Leistungen das Server-Side-Tracking-Tool „EasyTracks“ einsetzt oder andere Tracking-Leistungen erbringt, bei denen personenbezogene Daten der Endkunden des Kunden verarbeitet werden, ist die in Anlage II geregelte Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO integraler Bestandteil dieser AGB.
§ 2 Vertragsgegenstand & Leistungsumfang
2.1 Hauptleistung: Online-Marketing. Der Dienstleister bietet professionelle Werbekampagnen-Steuerung und -Optimierung an, insbesondere:
- Google Ads (SEA) — Strategie, Keyword-Recherche, Kampagnen-Setup, laufende Optimierung, Bid-Management, Conversion-Tracking-Integration
- Meta Ads (Facebook + Instagram) — Kampagnen-Strategie, Audience-Targeting, Creative-Briefing, Optimierung, CAPI-Integration
- Pinterest Ads, TikTok Ads, Bing Ads auf Wunsch
- Creatives & UGC — Konzeption, Briefing und Beschaffung von Werbemitteln und User-Generated Content
2.2 Optionale Zusatzleistung: Tracking-Infrastruktur. Auf Wunsch und nach gesonderter Vereinbarung stellt der Dienstleister das selbst entwickelte Server-Side-Tracking-Tool „EasyTracks“ zur Verfügung.
2.3 Der konkrete Leistungsumfang ergibt sich aus dem jeweiligen Angebot oder Vertrag.
2.4 Ein bestimmter Erfolg (z. B. Klickzahlen, Conversion Rates, ROAS, Tracking-Quote oder Umsatzsteigerungen) wird nicht garantiert. Der Dienstleister erbringt seine Leistungen nach bestem Wissen und Stand der Technik.
2.5 Leistungen, die über den vereinbarten Umfang hinausgehen, werden als Mehraufwand gesondert berechnet. Der Stundensatz beträgt 120,00 € netto, sofern im Einzelfall nichts anderes vereinbart wird. Der Dienstleister informiert den Kunden vor Erbringung solcher Zusatzleistungen.
§ 3 Mitwirkungspflichten des Kunden
3.1 Der Kunde stellt alle für die Leistungserbringung erforderlichen Informationen, Inhalte und Zugangsdaten rechtzeitig zur Verfügung.
3.2 Der Kunde benennt einen festen Ansprechpartner. Bleibt eine Rückmeldung auf Anfragen des Dienstleisters länger als fünf Werktage aus, ist der Dienstleister berechtigt, betroffene Aufgaben zurückzustellen. Daraus entstehen keine Pflichtverletzungen des Dienstleisters.
3.3 Der Kunde trägt die Verantwortung für die Rechtmäßigkeit der bereitgestellten Inhalte sowie für die Einhaltung aller anwendbaren rechtlichen Bestimmungen, insbesondere Wettbewerbsrecht, Markenrecht und Datenschutzrecht.
3.4 Der Kunde gewährt dem Dienstleister Zugang zu allen für die Leistungserbringung erforderlichen Plattformen, insbesondere:
- Werbe-Accounts: Google Ads (Verwaltungs- oder Standardzugriff), Meta Business Manager, ggf. TikTok/Pinterest/Bing Ads Manager
- Shop-Analytics und ggf. Shop-Backend für Conversion-Tracking-Setup
- Bei Einsatz von EasyTracks: Shop-Theme-Editor, Webhook-Settings, DNS-Verwaltung der Shop-Domain
- Consent-Management-Tool des Shops
3.5 Wird der Zugang ohne wichtigen Grund entzogen oder eingeschränkt, ist der Dienstleister berechtigt, die betroffenen Leistungen bis zur Wiederherstellung auszusetzen. Die Vergütungspflicht des Kunden bleibt unberührt.
3.6 Stellt der Kunde seine Mitwirkung ohne wichtigen Grund dauerhaft ein, ist der Dienstleister berechtigt, den Vertrag außerordentlich zu kündigen und alle bis dahin erbrachten sowie vertraglich geschuldeten Vergütungen vollständig in Rechnung zu stellen.
§ 4 Vergütung & Zahlungsbedingungen
4.1 Die vereinbarte Vergütung ergibt sich aus dem jeweiligen Angebot oder Vertrag. Alle Preise verstehen sich zuzüglich der gesetzlichen Umsatzsteuer, sofern diese anfällt.
4.2 Die Vergütung für laufende Betreuungsleistungen wird monatlich abgerechnet. Rechnungen sind innerhalb von 7 Tagen ohne Abzug fällig, sofern im Angebot nichts anderes vereinbart wird.
4.3 Setup-Pauschalen. Einmalige Setup-Pauschalen werden mit Vertragsabschluss in voller Höhe fällig und sind mit Zahlung verdient. Setup-Pauschalen sind nicht erstattbar, auch nicht bei vorzeitiger Kündigung, Nichtinanspruchnahme oder verzögertem Abruf der Setup-Leistungen durch den Kunden.
4.4 Mediabudget. Die für Anzeigenschaltungen anfallenden Mediakosten werden vom Kunden direkt an die jeweilige Werbeplattform gezahlt. Der Dienstleister verauslagt keine Mediakosten und übernimmt keine Haftung für ausbleibende Zahlungen an die Werbeplattformen.
4.5 Vorauszahlung & Sicherheiten. Der Dienstleister ist berechtigt, bei Neukunden, bei Kunden ohne nachgewiesene Bonität sowie nach erstmaligem Zahlungsverzug eine Vorauszahlung von bis zu drei Monatsvergütungen oder eine Bankbürgschaft in entsprechender Höhe zu verlangen. Die Leistungserbringung kann von der Erbringung der Sicherheit abhängig gemacht werden.
4.6 Bei Zahlungsverzug ist der Dienstleister berechtigt, Verzugszinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz gemäß § 288 Abs. 2 BGB zu berechnen sowie eine Mahnpauschale von 40,00 € gemäß § 288 Abs. 5 BGB geltend zu machen.
4.7 Bei Zahlungsverzug von mehr als 14 Tagen ist der Dienstleister berechtigt, die Leistungserbringung — einschließlich Pausierung laufender Kampagnen und ggf. Aussetzung des EasyTracks-Datentransfers — bis zum vollständigen Ausgleich der offenen Forderungen auszusetzen. Die Vergütungspflicht bleibt hiervon unberührt.
Erfolgsbasierte Vergütung (Gewinnbeteiligung)
4.8 Sofern im Angebot eine erfolgsbasierte Vergütung vereinbart wird, gelten ergänzend die Punkte 4.9 bis 4.12.
4.9 Grundlage der Gewinnberechnung ist:
- Nettoumsatz (gesamt)
- − Einkaufskosten der verkauften Produkte
- − Versandkosten
- − Plattform-Werbekosten (Meta, Google, Pinterest, TikTok etc.)
- − UGC-/Creator-Kosten
- = Gewinn
Abweichende Definitionen können individuell im Angebot festgelegt werden.
4.10 Die Gewinnbeteiligung greift ausschließlich bei positivem Gewinn. Negative Monatsergebnisse werden nicht auf Folgemonate übertragen.
4.11 Der Kunde gewährt dem Dienstleister Lesezugang zu den für die Gewinnberechnung erforderlichen Daten. Der Dienstleister ermittelt die Gewinnbeteiligung eigenständig auf Basis dieser Daten. Bei fehlendem oder eingeschränktem Zugang ist der Dienstleister berechtigt, die Gewinnbeteiligung auf Basis des Vormonats zu schätzen. Der Kunde kann innerhalb von 14 Tagen nach Rechnungserhalt Nachweise einreichen und eine Korrektur verlangen.
4.12 Die Gewinnbeteiligung wird monatlich abgerechnet und ist bis zum 15. des Folgemonats fällig.
§ 5 Haftung
5.1 Der Dienstleister haftet uneingeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie für vorsätzlich oder grob fahrlässig verursachte Schäden.
5.2 Bei leichter Fahrlässigkeit haftet der Dienstleister nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht. In diesen Fällen ist die Haftung auf den typischerweise vorhersehbaren Schaden begrenzt. Im Übrigen ist die Haftung für leichte Fahrlässigkeit ausgeschlossen.
5.3 Ausschluss mittelbarer Schäden. Eine Haftung für entgangenen Gewinn, ausgebliebene Einsparungen, mittelbare Schäden, Folgeschäden, Datenverluste und Schäden aus unterbrochenem Geschäftsbetrieb ist ausgeschlossen, soweit gesetzlich zulässig. Dies gilt nicht für die in 5.1 genannten Fälle.
5.4 Der Dienstleister haftet nicht für wirtschaftliche Schäden des Kunden, die durch Werbemaßnahmen entstehen (z. B. Umsatzverluste, hohe Mediakosten, fehlerhafte Anzeigen, ausgelaufene Kampagnen), sofern diese nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.
5.5 Höhere Gewalt & Drittplattform-Risiken. Der Dienstleister haftet nicht für Leistungsausfälle oder -einschränkungen aufgrund höherer Gewalt, einschließlich (aber nicht beschränkt auf):
- Performance-Schwankungen, Algorithmus-Änderungen, Konto-Sperrungen, Account-Disapprovals oder Richtlinien-Verstöße auf Werbeplattformen (Google Ads, Meta, TikTok, Pinterest, Bing)
- Ausfälle, Wartungsarbeiten oder erhebliche Performance-Einschränkungen von Drittplattformen und Cloud-Diensten (Shop-Systeme, Hosting-Anbieter, Tracking-Dienstleister, Supabase, Railway, Vercel, Brevo)
- Browser-Updates oder Adblocker, die Tracking-Daten reduzieren
- API-Änderungen, API-Sperren oder API-Kontingent-Einschränkungen der angebundenen Plattformen
- Cyberangriffe auf Drittinfrastruktur, behördliche Anordnungen, Streiks, Pandemien
- vom Kunden bereitgestellte oder konfigurierte Infrastruktur (CMP, Theme, Drittanbieter-Apps)
In solchen Fällen verlängern sich Leistungsfristen um die Dauer der Behinderung zuzüglich einer angemessenen Anlaufzeit.
5.6 Eine Erfolgsgarantie wird ausdrücklich nicht übernommen. Insbesondere werden keine Zusicherungen zu Klickraten, Conversion-Werten, ROAS, Tracking-Quoten oder Umsatzsteigerungen gegeben. In Werbematerialien des Dienstleisters genannte typische Verbesserungswerte sind Erfahrungswerte, keine zugesicherten Eigenschaften.
5.7 Haftungsobergrenze. Die Haftung des Dienstleisters für Schäden ist je Schadensfall begrenzt auf die im jeweils vorangegangenen Vertragsjahr vom Kunden gezahlten Nettovergütungen (ohne Mediabudget), bei einer Vertragsdauer von weniger als 12 Monaten auf die letzten drei Monatsvergütungen, in jedem Fall jedoch maximal 10.000,00 €. Diese Begrenzung gilt nicht für die in 5.1 genannten Fälle.
§ 6 Urheberrecht, Nutzungsrechte & Eigentum an Auswertungen
6.1 Alle vom Dienstleister erstellten Werbemittel, Creatives, Texte, Kampagnen-Konzepte und sonstigen Arbeitsergebnisse („Werke“) sind urheberrechtlich geschützt. Das Urheberrecht verbleibt beim Dienstleister.
6.2 Mit vollständiger Übergabe und vollständiger Bezahlung der Werke räumt der Dienstleister dem Kunden ein einfaches, zeitlich und räumlich unbeschränktes Nutzungsrecht für den vereinbarten Verwendungszweck (Werbeschaltung) ein. Eine Weiterveräußerung oder Übertragung der Nutzungsrechte an Dritte bedarf der ausdrücklichen schriftlichen Zustimmung des Dienstleisters.
6.3 Das Tracking-Tool „EasyTracks“ (einschließlich Source-Code, Algorithmen, Datenbank-Schemata, Dashboard-UI) verbleibt im geistigen Eigentum des Dienstleisters. Bei Einsatz erhält der Kunde für die Vertragsdauer ein nicht-exklusives, nicht übertragbares Nutzungsrecht zur Verwendung im eigenen Shop. Eine Vervielfältigung, Dekompilierung oder Weitergabe an Dritte ist ausgeschlossen.
6.4 Eigentum an Auswertungen. Alle vom Dienstleister erstellten Auswertungen, Berichte, Dashboards, Attributions-Analysen und abgeleiteten Erkenntnisse aus den Tracking- und Kampagnendaten unterliegen dem geistigen Eigentum des Dienstleisters. Der Kunde erhält ein Nutzungsrecht für eigene Geschäftszwecke, jedoch kein Recht zur Weitergabe, Vervielfältigung oder Veröffentlichung. Methodische Erkenntnisse, Optimierungs-Frameworks und interne Best-Practice-Dokumente, die der Dienstleister im Rahmen der Zusammenarbeit entwickelt, verbleiben ausschließlich bei ihm.
6.5 Bei Zahlungsverzug ruht das Nutzungsrecht bis zum vollständigen Ausgleich der offenen Forderungen.
6.6 Vom Kunden bereitgestellte Inhalte (Produktfotos, Logos, Texte) verbleiben im Eigentum des Kunden. Der Kunde räumt dem Dienstleister das erforderliche Nutzungsrecht zur Erstellung und Schaltung der Werbemittel ein.
§ 7 Vertragslaufzeit & Kündigung
7.1 Der Vertrag wird für die im Angebot vereinbarte Mindestlaufzeit geschlossen. Sofern keine abweichende Regelung getroffen wurde, beträgt die Mindestlaufzeit 3 Monate. Nach Ablauf verlängert sich der Vertrag automatisch monatlich, sofern er nicht fristgerecht gekündigt wird.
7.2 Die Kündigungsfrist beträgt 30 Tage zum Monatsende, sofern im Angebot nicht abweichend vereinbart. Die Kündigung muss in Textform erfolgen.
7.3 Bereits erbrachte Leistungen sowie einmalige Setup-Pauschalen (§ 4.3) sind auch bei vorzeitiger Kündigung in voller Höhe zu vergüten.
7.4 Beide Parteien behalten das Recht zur außerordentlichen Kündigung aus wichtigem Grund. Ein wichtiger Grund liegt insbesondere vor bei:
- schwerem oder wiederholtem Vertragsbruch
- dauerhafter Zahlungsverweigerung oder zweimaligem Zahlungsverzug innerhalb von 12 Monaten
- dauerhaftem Entzug notwendiger Zugänge
- Insolvenz, drohender Insolvenz oder Stundungsersuchen einer Partei
- erheblicher Verletzung der Vertraulichkeitspflichten oder Konkurrenzklausel
- nachgewiesener Verletzung datenschutzrechtlicher Vorgaben
Die außerordentliche Kündigung bedarf der Textform.
7.5 Nach Vertragsende werden auf Anforderung des Kunden alle bei EasyTracks gespeicherten Daten gemäß den Regelungen in Anlage II (AVV) gelöscht oder herausgegeben. Ohne ausdrückliche Anforderung erfolgt die Löschung spätestens 90 Tage nach Vertragsende.
§ 8 Vertraulichkeit & Nutzung anonymisierter Daten
8.1 Beide Parteien verpflichten sich, alle ihnen im Rahmen der Zusammenarbeit bekannt gewordenen vertraulichen Informationen — insbesondere Geschäfts-, Betriebs- und Kundendaten — vertraulich zu behandeln und nicht an Dritte weiterzugeben.
8.2 Die Vertraulichkeitspflicht gilt für die Dauer des Vertrags und drei Jahre nach dessen Beendigung.
8.3 Ausgenommen sind Informationen, die zum Zeitpunkt der Offenlegung bereits öffentlich bekannt waren, der empfangenden Partei nachweislich bereits bekannt waren oder die aufgrund gesetzlicher Verpflichtung offengelegt werden müssen.
8.4 Anonymisierte Daten & Benchmarks. Der Dienstleister ist berechtigt, vollständig anonymisierte und aggregierte Performance-Daten (ohne Rückschluss auf den Kunden, ohne Identifikatoren wie Shop-Name, Domain oder Brand) für Marktforschung, Benchmarking, interne Weiterentwicklung sowie für Sales- und Marketing-Materialien zu verwenden. Diese Befugnis besteht über die Vertragsdauer hinaus.
§ 9 Konkurrenz- & Abwerbeverbot
9.1 Der Kunde verpflichtet sich, während der Vertragslaufzeit und für 12 Monate nach Vertragsende keine vom Dienstleister benannten oder im Rahmen des Vertrags eingesetzten Mitarbeiter, Freelancer oder Sub-Dienstleister abzuwerben, direkt zu beauftragen oder zu einem Wechsel zu veranlassen. Dies gilt unabhängig davon, ob die Initiative vom Kunden oder vom Mitarbeiter ausgeht.
9.2 Bei Verstoß gegen das Abwerbeverbot wird eine Vertragsstrafe in Höhe von 25.000,00 € je Einzelfall fällig. Die Geltendmachung weiterer Schäden bleibt unberührt.
9.3 Ausgenommen sind Mitarbeiter, die unabhängig von der Zusammenarbeit auf den Kunden zugehen und nachweislich nicht durch den Kunden oder mit ihm verbundene Personen abgeworben wurden.
§ 10 Referenznennung
10.1 Der Dienstleister ist berechtigt, den Kunden mit Firmenname, Logo und einer kurzen Beschreibung der erbrachten Leistung als Referenz auf seiner Website, in Sales-Materialien und in Pitches zu nennen, sofern der Kunde dem nicht innerhalb von 14 Tagen nach Vertragsabschluss in Textform widerspricht.
10.2 Der Kunde kann seine Referenz-Zustimmung jederzeit für die Zukunft widerrufen. Die Nennung in bereits ausgelieferten Materialien (gedruckt, archivierten Pitch-Decks) bleibt davon unberührt.
§ 11 Datenschutz
11.1 Der Dienstleister verarbeitet personenbezogene Daten des Kunden ausschließlich zur Erfüllung des Vertrags und im Einklang mit der DSGVO und dem BDSG.
11.2 Soweit der Dienstleister im Rahmen seiner Leistungen — insbesondere beim Einsatz des EasyTracks-Tools oder bei der Konfiguration von Conversion-Tracking auf Drittplattformen — personenbezogene Daten der Endkunden des Kunden verarbeitet, erfolgt dies als Auftragsverarbeiter gemäß Art. 28 DSGVO. Die ausführlichen Regelungen hierzu sind in Anlage II dieser AGB enthalten und integraler Bestandteil des Vertrags. Mit Vertragsabschluss erkennt der Kunde Anlage II als verbindlich an. Auf Wunsch wird die AVV zusätzlich als separates, unterzeichnetes Dokument übergeben.
§ 12 Eskalation vor gerichtlichen Schritten
12.1 Bei Meinungsverschiedenheiten, Mängelrügen oder Streitigkeiten aus diesem Vertrag verpflichten sich die Parteien, vor Einleitung gerichtlicher Schritte folgendes Eskalations-Verfahren einzuhalten:
- Stufe 1: Schriftliche Mängelrüge bzw. Beschwerde in Textform mit konkreter Darstellung des Sachverhalts und einer angemessenen Frist von mindestens 14 Tagen zur Stellungnahme bzw. Nachbesserung.
- Stufe 2: Falls Stufe 1 erfolglos: schriftlicher Versuch einer einvernehmlichen Einigung, ggf. durch Mediation oder Schlichtung, innerhalb weiterer 30 Tage.
- Stufe 3: Erst nach erfolglosem Durchlaufen der Stufen 1 und 2 sind gerichtliche Schritte zulässig.
12.2 Stufe 1 und 2 entfallen bei einstweiligem Rechtsschutz, bei unmittelbarer Gefahr in Verzug sowie bei zweifelsfrei feststellbaren Zahlungsansprüchen aus rechtskräftigen Rechnungen.
§ 13 Grenzüberschreitende Verträge
13.1 Bei Verträgen mit Kunden außerhalb Deutschlands wird die Vergütung in Euro fakturiert, sofern nicht ausdrücklich etwas anderes vereinbart wurde.
13.2 Bei Leistungen an Unternehmen im Ausland gilt der Leistungsort beim Empfänger gemäß § 3a UStG. Die Steuerschuldnerschaft geht auf den Kunden über (Reverse Charge). Der Kunde teilt seine gültige USt-IdNr. oder vergleichbare Unternehmenskennung vor Vertragsabschluss mit.
13.3 Als Gerichtsstand wird, soweit zulässig, der Sitz des Dienstleisters vereinbart. Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.
§ 14 Schlussbestimmungen
14.1 Auf die vertraglichen Beziehungen findet ausschließlich das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts Anwendung.
14.2 Sollten einzelne Bestimmungen dieser AGB unwirksam sein, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung gilt als durch eine wirksame Regelung ersetzt, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
14.3 Änderungen und Ergänzungen des Vertrags bedürfen der Textform. Auch die Aufhebung dieses Schriftformerfordernisses bedarf der Textform.
Anlage I · Sonderbedingungen für Google Ads (SEA)
I.1 Nutzerkonto & Mediakosten. Für die Zusammenarbeit wird ein Google Ads-Konto benötigt. Sofern noch kein Konto besteht, kann der Dienstleister im Auftrag des Kunden ein Konto erstellen. Google erhebt für die Anzeigenschaltung Mediakosten, die direkt vom Kunden an Google gezahlt werden. Der Dienstleister übernimmt hierfür keine Haftung. Bei ausbleibender Zahlung droht eine Kontosperrung durch Google; diese hat keinen Einfluss auf die vertraglichen Verpflichtungen des Kunden gegenüber dem Dienstleister.
I.2 Leistungsbeschreibung. Der Dienstleister übernimmt Strategie, Setup, laufende Optimierung und Verwaltung der Google Ads-Kampagnen. Ein bestimmter Erfolg wird nicht zugesichert. Der Kunde kann jederzeit Wünsche oder Anpassungen in Textform mitteilen. Bleibt ein Widerspruch zu vorgeschlagenen Änderungen innerhalb von 14 Tagen aus, gelten diese als genehmigt.
I.3 Eigenständige Änderungen. Damit die Kampagnenstrategie konsistent bleibt, sollten eigenständige Änderungen des Kunden an den betreuten Kampagnen vorab mit dem Dienstleister abgesprochen werden. Eigenmächtige Änderungen können Performance-Einbußen verursachen, für die der Dienstleister nicht haftet.
I.4 Verantwortlichkeit & Freistellung. Der Kunde trägt die Verantwortung für die Inhalte seiner Anzeigen sowie für die Auswahl der Keywords. Der Dienstleister führt keine rechtlichen Prüfungen zu Marken- oder Wettbewerbsfragen durch. Sollte es aufgrund der Nutzung bestimmter Keywords oder Inhalte zu rechtlichen Ansprüchen Dritter kommen, stellt der Kunde den Dienstleister von jeglicher Haftung frei.
Anlage II · Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO
Diese Anlage ist integraler Bestandteil des Vertrags zwischen dem Kunden („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO) und Carlos Möllers („Auftragsverarbeiter“ im Sinne des Art. 4 Nr. 8 DSGVO).
§ 1 Gegenstand und Dauer
1.1 Diese Anlage regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
1.2 Die Laufzeit entspricht der des Hauptvertrags.
1.3 Der Verantwortliche ist alleiniger Verantwortlicher. Er trägt die Verantwortung dafür, dass die Verarbeitung auf einer geeigneten Rechtsgrundlage beruht und dass seine Endkunden ordnungsgemäß informiert wurden.
§ 2 Art, Umfang und Zweck der Datenverarbeitung
2.1 Verarbeitete Datenkategorien:
- Technische Identifikationsmerkmale: Session-IDs, Visitor-IDs, Click-IDs (gclid, fbclid, ttclid, msclkid), Browser-User-Agent
- Gehashte personenbezogene Daten: E-Mail-Hash (SHA-256), Phone-Hash (SHA-256), IP-Hash (SHA-256 mit Shop-Pepper)
- Bestelldaten: Bestellwert, Bestell-ID, Produktinformationen, Versanddaten (PLZ, Ort, Land), Rabattcode
- Verhaltensbezogene Daten: Page Views, Add-to-Cart, Checkout-Funnel-Events, Conversion-Events
- Bei Influencer-Tracking: Klick-Zeitstempel, eingelöster Code, Attributions-Ergebnis
2.2 Zweck: ausschließlich die vertragsgemäße Erbringung der vereinbarten Leistungen — Conversion-Tracking, Werbeerfolgsmessung, Übermittlung an die vom Verantwortlichen konfigurierten Werbeplattformen, Influencer-/Affiliate-Attribution, Berechnung von Profitmetriken (POAS).
2.3 Es findet keine Profilbildung über mehrere Shops hinweg statt, kein Verkauf oder Weitergabe an Dritte (außer den vom Verantwortlichen konfigurierten Werbeplattformen).
2.4 Betroffenenkreise: Endkunden und Website-Besucher des Verantwortlichen.
§ 3 Weisungsgebundenheit
3.1 Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Mit Vertragsabschluss und Freigabe des Trackings erteilt der Verantwortliche die erforderliche Standard-Weisung.
3.2 Weicht der Verantwortliche von der Standard-Konfiguration ab, erfolgt dies durch Textform-Mitteilung.
3.3 Wird der Auftragsverarbeiter aufgrund gesetzlicher Verpflichtung tätig, informiert er den Verantwortlichen vorher, soweit das gesetzlich zulässig ist.
§ 4 Pflichten des Verantwortlichen
4.1 Der Verantwortliche stellt sicher, dass:
- auf seiner Website eine datenschutzkonforme Einwilligungslösung (Consent Management Platform) implementiert ist, bevor das Tracking aktiviert wird
- seine Datenschutzerklärung den Einsatz von Tracking-Diensten und der angeschlossenen Werbeplattformen ordnungsgemäß ausweist
- alle erforderlichen Einwilligungen der Endkunden eingeholt sind
4.2 Etwaige Bußgelder oder Schäden aus fehlender oder unzureichender Einwilligung gehen ausschließlich zu Lasten des Verantwortlichen. Der Verantwortliche stellt den Auftragsverarbeiter von derartigen Ansprüchen frei.
§ 5 Technische und organisatorische Maßnahmen (TOMs)
5.1 Verschlüsselung:
- TLS-Verschlüsselung für alle Datenübertragungen (HTTPS, mindestens TLS 1.2)
- SHA-256-Hashing aller IP-Adressen mit Shop-spezifischem Pepper vor Speicherung
- SHA-256-Hashing aller E-Mail-Adressen und Telefonnummern bereits browserseitig vor Übertragung
5.2 Zugangskontrolle:
- Magic-Link-basierter Login (kein Passwort)
- JWT-basierte API-Authentifizierung mit 90-Tage-Token-Lebensdauer
- Row-Level-Security (RLS) in der Datenbank: jeder Shop hat Zugriff ausschließlich auf eigene Daten
5.3 Hosting & Infrastruktur (alle EU/EWR oder unter EU-konformen Transfer-Mechanismen):
- Backend-Hosting: Railway Corp. — Server-Infrastruktur in Amsterdam (Niederlande)
- Datenbank: Supabase Inc. — Instanz in [REGION_VERIFIZIEREN]
- Frontend-Hosting: Vercel Inc. (USA) — EU-US Data Privacy Framework und Standardvertragsklauseln
- E-Mail-Versand: Brevo SAS (Frankreich) — EU-Server, EU-Recht
5.4 Logging & Monitoring: Audit-Logs aller Datenzugriffe durch den Auftragsverarbeiter, automatisierte Alerts bei ungewöhnlichen Zugriffsmustern.
5.5 Backup & Wiederherstellung: Automatisierte tägliche Backups der Datenbank, EU-Speicherung, Point-in-Time-Recovery bis 7 Tage rückwirkend.
5.6 Datentrennung: Mandantenfähige Architektur mit strikter shop-bezogener Datentrennung.
5.7 Mitarbeitenden-Verpflichtung: Sämtliche zur Datenverarbeitung berechtigte Personen sind zur Vertraulichkeit verpflichtet.
§ 6 Unterauftragsverarbeiter
6.1 Der Verantwortliche stimmt mit Vertragsabschluss dem Einsatz folgender Unterauftragsverarbeiter zu:
| Unternehmen | Sitz / Server-Standort | Zweck | Transfer-Mechanismus |
|---|---|---|---|
| Supabase Inc. | Singapur (Vertrag) / [REGION] (Server) | Datenbank-Hosting | SCC |
| Railway Corp. | USA (Vertrag) / Amsterdam (Server) | Backend-Hosting | SCC |
| Vercel Inc. | USA | Frontend-Hosting (kein PII-Speicher) | EU-US DPF, SCC |
| Brevo SAS | Frankreich | Transaktionale E-Mails | EU-intern |
| Google LLC | USA (über Google Ireland Ltd.) | Google Ads / Google Fonts | EU-US DPF, SCC |
| Meta Platforms Ireland Ltd. | Irland | Meta CAPI | EU-intern |
| TikTok Technology Ltd. | Irland | TikTok Events API | EU-intern |
| Microsoft Ireland Operations Ltd. | Irland | Bing CAPI | EU-intern |
| Pinterest Europe Ltd. | Irland | Pinterest Conversion API | EU-intern |
6.2 Der Auftragsverarbeiter kann den Kreis der Unterauftragsverarbeiter bei berechtigtem Interesse anpassen. Er informiert den Verantwortlichen in Textform mindestens 14 Tage vor der Änderung. Widerspricht der Verantwortliche nicht innerhalb von 14 Tagen, gilt die Änderung als genehmigt. Bei begründetem datenschutzrechtlichem Widerspruch ist der Verantwortliche zur außerordentlichen Kündigung berechtigt.
§ 7 Rechte der betroffenen Personen
7.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen im Rahmen des technisch und wirtschaftlich Zumutbaren.
7.2 Direkt an den Auftragsverarbeiter gerichtete Anfragen werden an den Verantwortlichen weitergeleitet.
§ 8 Meldepflichten
8.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich in Textform, sobald ihm eine Verletzung des Schutzes personenbezogener Daten, die nachweislich kundenbezogene Daten betrifft, tatsächlich bekannt geworden ist. Eine proaktive Pflicht zur lückenlosen Überwachung der Infrastruktur in Echtzeit besteht nicht; maßgeblich ist die tatsächliche Kenntniserlangung im Rahmen des regulären Geschäftsbetriebs.
8.2 „Unverzüglich“ bedeutet ohne schuldhaftes Zögern und unter Berücksichtigung der für eine fundierte erste Sachverhaltsprüfung erforderlichen Zeit. Eine vorzeitige Meldung ohne belastbare Faktengrundlage ist nicht geschuldet, da diese den Verantwortlichen bei seiner eigenen Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) eher behindern als unterstützen würde.
8.3 Die Meldung umfasst soweit zum Zeitpunkt der Erstmeldung verfügbar: Art der Verletzung, betroffene Datenkategorien, ungefähre Anzahl betroffener Personen, getroffene oder geplante Maßnahmen zur Eindämmung. Sofern zum Zeitpunkt der Erstmeldung nicht alle Informationen vorliegen, erfolgt die Übermittlung weiterer Erkenntnisse schrittweise und ohne weitere Verzögerung.
8.4 Die Pflicht zur Meldung gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO) obliegt ausschließlich dem Verantwortlichen. Der Auftragsverarbeiter unterstützt im Rahmen des wirtschaftlich und technisch Zumutbaren.
8.5 Der Verantwortliche ist verpflichtet, dem Auftragsverarbeiter eine geeignete Kontaktstelle (Name, E-Mail-Adresse) zu benennen, an die Meldungen erfolgen. Solange keine andere Adresse benannt wurde, gilt die im Hauptvertrag angegebene Kontaktadresse.
§ 9 Kontroll- und Auditrechte
9.1 Der Verantwortliche ist berechtigt, sich von der Einhaltung der vereinbarten Maßnahmen zu überzeugen — durch Vorlage einschlägiger Zertifizierungen, schriftliche Auskunftserteilung oder in begründeten Ausnahmefällen Vor-Ort-Audit nach Ankündigung von mindestens 14 Tagen während üblicher Geschäftszeiten.
9.2 Audits, die über die schriftliche Auskunft hinausgehen, erfolgen auf Kosten des Verantwortlichen, sofern nicht eine konkrete Datenschutzverletzung Anlass war.
§ 10 Löschung und Rückgabe
10.1 Nach Beendigung des Hauptvertrags löscht oder übergibt der Auftragsverarbeiter kundenbezogene personenbezogene Daten auf Anforderung des Verantwortlichen.
10.2 Ohne ausdrückliche Anforderung werden Daten spätestens 90 Tage nach Vertragsende routinemäßig gelöscht.
10.3 Gesetzliche Aufbewahrungspflichten bleiben unberührt.
§ 11 Haftung
11.1 Die Haftungsregelung des Hauptvertrags (§ 5 AGB) gilt entsprechend, soweit gesetzlich zulässig.
11.2 Im Außenverhältnis gegenüber den betroffenen Personen haften Verantwortlicher und Auftragsverarbeiter gemäß Art. 82 DSGVO.
11.3 Freistellung des Auftragsverarbeiters. Der Verantwortliche stellt den Auftragsverarbeiter im Innenverhältnis von sämtlichen Ansprüchen Dritter — einschließlich Bußgeldern, Schadensersatzforderungen, Anwalts- und Gerichtskosten — frei, die aus folgenden Sachverhalten resultieren:
- fehlende, unwirksame oder unzureichende Einwilligung der Endkunden des Verantwortlichen
- unzureichende, fehlerhafte oder fehlende Datenschutzerklärung des Verantwortlichen
- unzureichende oder fehlerhafte Implementierung der Consent Management Platform (CMP) durch den Verantwortlichen oder von ihm beauftragte Dritte
- Verstöße gegen Informationspflichten gegenüber Endkunden gemäß Art. 13, 14 DSGVO
- Weisungen des Verantwortlichen, deren Rechtswidrigkeit der Auftragsverarbeiter nicht erkennen konnte
- vom Verantwortlichen bereitgestellte oder konfigurierte Drittanbieter-Apps, Theme-Anpassungen oder Server-Konfigurationen
- sonstige Verstöße, die nicht nachweislich auf vorsätzlichem oder grob fahrlässigem Verhalten des Auftragsverarbeiters beruhen
Die Freistellung umfasst auch die Kosten angemessener Rechtsverteidigung des Auftragsverarbeiters einschließlich außergerichtlicher Anwaltskosten nach RVG.
11.4 Soweit gesetzlich zulässig, gilt für Ansprüche aus Datenschutzverletzungen im Innenverhältnis die Haftungsobergrenze aus § 5.7 dieser AGB (maximal 10.000,00 €) entsprechend.
11.5 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Ansprüche Dritter, die im Rahmen dieser Vereinbarung gegen ihn erhoben werden, und stimmt die Verteidigungsstrategie mit dem Verantwortlichen ab, sofern dies vor Fristablauf zumutbar ist.
§ 12 Vorrang
Sollten Bestimmungen dieser Anlage II den Bestimmungen des Hauptvertrags widersprechen, gelten in datenschutzrechtlichen Belangen vorrangig die Bestimmungen dieser Anlage.
Geltend ab: 15.06.2026