Data Protection Policy

Amazon-Informationen — Datenverarbeitung und Datenschutz
Stand: April 2026 · Version 2.1

1. Verantwortliche Stelle

Betanai Brands
Butterbauernstieg 18
22339 Hamburg, Deutschland
E-Mail: contact@nevo-store.com

Incident Management Point of Contact (IMPOC): Nassrat Betanai, IMPOC@betanaibrands.com, +49 155 60466591, erreichbar 24/7, Reaktionszeit < 1 Stunde.

2. Geltungsbereich und Abgrenzung

Diese Policy bezieht sich ausschließlich auf Amazon-Informationen, die Betanai Brands über die Amazon Selling Partner API (SP-API) vom Amazon-Marktplatz (Amazon.de) empfängt: Bestelldaten, Käufer-PII (Name, Anschrift, Telefon, E-Mail), Listing- und Reporting-Daten.

Diese Amazon-Informationen werden vollständig isoliert auf eigener Hetzner-Infrastruktur (Deutschland) verarbeitet und NICHT mit den für den Shopify-Webshop nevo-store.com eingesetzten Systemen (Shopify, Klaviyo, Google Analytics, Meta Pixel) geteilt oder zusammengeführt. Es besteht keine technische oder logische Datenverbindung zwischen dem Amazon-Datenfluss und dem Shopify-Shop-Betrieb.

Für die Verarbeitung personenbezogener Daten von Besuchern und Kunden des Shopify-Webshops (nevo-store.com) gilt die separate Datenschutzerklärung.

3. Zweck und Rechtsgrundlage

Betanai Brands verarbeitet Amazon-Informationen ausschließlich zur Erfüllung interner Geschäftsprozesse im Zusammenhang mit dem Verkauf eigener Produkte auf Amazon.de:

  • Bestellverarbeitung und Versandabwicklung
  • Kundenservice und Käuferkommunikation
  • Bestandsmanagement und Nachbestellungsplanung
  • Buchhaltung und steuerliche Dokumentation (gesetzlich erforderlich)
  • Preis- und Wettbewerbsanalyse auf Basis aggregierter, nicht-personenbezogener Daten
  • Business Intelligence auf Basis aggregierter Leistungsdaten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insbesondere §147 AO, §257 HGB, UStG).

4. Datenkategorien

4.1 Personenbezogene Daten (PII): Name des Käufers, Lieferadresse, Telefonnummer, Käufer-E-Mail. Ausschließlich operative Auftragsabwicklung, strenge Aufbewahrungsfrist.

4.2 Nicht-personenbezogene Geschäfts- und Transaktionsdaten: ASIN, SKU, Bestellbeträge, Gebühren, Steuerbeträge, Bestellzeitpunkte, Lagerbewegungen, Marketplace-Kennzahlen.

5. Speicherung und Sicherheitsmaßnahmen

Alle Amazon-Informationen werden in der EU auf einem dedizierten Cloud-Server bei Hetzner Online GmbH (Rechenzentrum Nürnberg, Deutschland) gespeichert. Schutzmaßnahmen:

  • Full-Disk-Encryption LUKS (AES-256-XTS)
  • Datenbank-Level-Encryption für PII-Spalten (PostgreSQL 16 mit pgcrypto)
  • TLS 1.3 für alle externen Verbindungen
  • UFW-Firewall mit Default-Deny
  • SSH ausschließlich per Ed25519-Key-Authentifizierung, kein Passwort-Login
  • PostgreSQL gebunden an localhost, keine externe Erreichbarkeit
  • Multi-Factor-Authentifizierung für alle Adminkonten
  • Key-Management via HashiCorp Vault Transit Engine, Schlüsselrotation alle 365 Tage
  • Fail2ban, Intrusion Detection (Suricata + Wazuh HIDS) und zentrales SIEM

6. Weitergabe und Sub-Processors

Amazon-Informationen werden nicht an Dritte verkauft oder offengelegt. Keine externen Analytics-, Marketing-, KI- oder CRM-Dienste im Amazon-Datenfluss.

Einziger Sub-Processor für Amazon-Informationen: Hetzner Online GmbH (Gunzenhausen, DE) als IaaS-Anbieter. Hetzner hat aufgrund der Verschlüsselung keinen logischen Zugriff. AVV gemäß Art. 28 DSGVO. ISO 27001 zertifiziert. Jährliches Vendor-Risk-Assessment.

7. Aufbewahrungsfristen

Betanai Brands hält sich strikt an die Amazon Data Protection Policy und das deutsche Steuerrecht:

  • PII (Name, Anschrift, Telefon, Käufer-E-Mail) in operativen Systemen: maximal 30 Tage nach Lieferung. Anschließend automatisierte Löschung aus allen operativen Datenbanken, Caches und Logs.
  • Nicht-personenbezogene Geschäftsdaten: maximal 18 Monate.
  • Verschlüsselte Backups: 30 Tage, dann unwiderrufliche Löschung.
  • Steuer- und buchhaltungsrelevante Belege: 10 Jahre gemäß §147 AO, §257 HGB — ausschließlich in einem separaten, verschlüsselten Steuer-Archiv. Käufer-PII werden, sofern nicht gesetzlich zwingend erforderlich, pseudonymisiert oder gelöscht.
  • Sicherheits-Logs: mindestens 12 Monate.

Löschungen erfolgen nach NIST SP 800-88.

8. Sichere Löschung und Löschanfragen

Auf Anfrage werden personenbezogene Daten innerhalb von 30 Tagen vollständig und unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

9. Zugriffskontrolle

Zugriff auf Amazon-Informationen ist streng auf Approved Users beschränkt. Derzeit ausschließlich der Geschäftsführer (Nassrat Betanai). Eindeutige Benutzer-ID, Least-Privilege. Keine generischen/geteilten Accounts. Service-Accounts standardmäßig read-only. Quartalsprüfung dokumentiert. Zugriffsentzug bei Ausscheiden binnen 24 Stunden.

10. Incident Response

Formal dokumentierter Incident-Response-Plan nach NIST SP 800-61 (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned). Halbjährliche Überprüfung.

Meldung an security@amazon.com binnen 24 Stunden. DSGVO-Meldung nach Art. 33 binnen 72 Stunden. Kritische Vulnerabilities: Fix innerhalb 7 Tagen. Hochkritische: 30 Tage.

11. Rechte der betroffenen Personen

DSGVO-Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21). Anfragen an contact@nevo-store.com. Beschwerderecht beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.

12. Sicherheitsmaßnahmen im Überblick

  • Credential Management: 16-Zeichen-Passwörter, MFA, History-10, Max-Age 365 Tage, HashiCorp Vault
  • Encryption at Rest: AES-256
  • Encryption in Transit: TLS 1.3 mit HSTS
  • Access Management: Quartalsprüfung, Least Privilege
  • Logging & Monitoring: Wazuh SIEM, ≥12 Monate Retention
  • Vulnerability Management: monatliche Scans, jährliche Pentests, SAST in CI/CD
  • Backup: verschlüsselt, geografisch getrenntes EU-RZ, RTO 4h / RPO 24h
  • Anti-Malware: IDS/IPS
  • Change Management: formaler Prozess
  • Third-Party-Risk-Management: jährlich

13. Änderungen dieser Policy

Diese Policy wird mindestens jährlich überprüft.

14. Kontakt

Nassrat Betanai, Betanai Brands
E-Mail: contact@nevo-store.com
IMPOC: IMPOC@betanaibrands.com, +49 155 60466591