Rechtliches

Datenschutz

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO

Deutsch | English ↓

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

LevCom GmbH
Wolfsgangstraße 22a
60322 Frankfurt am Main
Deutschland

Vertreten durch die Geschäftsführer: Julian Nicolas Fritz, Marcel Schonhoff
Registergericht: Amtsgericht Frankfurt am Main, HRB 127570

Telefon: +49 174 936 88 72
E-Mail: info@lev-com.de

2. Datenschutzbeauftragter

Die LevCom GmbH hat keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen einer Bestellpflicht nach § 38 BDSG nicht erfüllt sind. Anfragen zum Datenschutz richten Sie bitte schriftlich oder per E-Mail an den Verantwortlichen unter info@lev-com.de.

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer und Mandanten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist oder eine andere Rechtsgrundlage besteht. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig auf Grundlage einer der folgenden Bestimmungen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen

Personenbezogene Daten werden gelöscht oder anonymisiert, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten (insbesondere nach HGB und AO) entgegenstehen.

4. Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Folgende Daten werden hierbei erhoben:

  • IP-Adresse des anfragenden Geräts (gekürzt bzw. nur kurzfristig vollständig)
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL und HTTP-Statuscode
  • übertragene Datenmenge
  • Referrer-URL (zuvor besuchte Seite)
  • verwendeter Browser, Betriebssystem und Geräteinformationen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der technischen Bereitstellung, Stabilität und Sicherheit der Website sowie der Abwehr von Missbrauch. Die Daten werden spätestens nach 30 Tagen gelöscht, sofern keine sicherheitsrelevanten Ereignisse eine längere Speicherung erfordern.

5. Hosting (Vercel)

Unsere Website wird bei der Vercel Inc., 440 N Barrows Court, Emeryville, CA 94608, USA gehostet. Vercel verarbeitet in unserem Auftrag die unter Ziffer 4 genannten Server-Daten. Hierbei findet ein Drittlandtransfer in die USA statt.

Vercel Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission liegt vor (Art. 45 DSGVO). Ergänzend haben wir mit Vercel Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Rechtsgrundlage der Übermittlung ist Art. 6 Abs. 1 lit. f DSGVO i. V. m. Art. 45 / 46 DSGVO. Weitere Informationen finden Sie unter vercel.com/legal/privacy-policy.

6. Kontaktaufnahme per E-Mail oder Telefon

Bei einer Kontaktaufnahme per E-Mail oder Telefon werden die übermittelten Daten (insbesondere Name, E-Mail-Adresse, Telefonnummer, Inhalt der Anfrage) zur Bearbeitung Ihres Anliegens und für den Fall von Anschlussfragen gespeichert. Eine Weitergabe an Dritte erfolgt nicht.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen bzw. Art. 6 Abs. 1 lit. f DSGVO bei allgemeinen Anfragen. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Gesetzliche Aufbewahrungspflichten (z. B. § 257 HGB, § 147 AO) bleiben unberührt.

Bitte beachten Sie: Eine unverschlüsselte E-Mail-Übertragung kann von Dritten mitgelesen werden. Für vertrauliche Inhalte empfehlen wir verschlüsselte Kommunikation.

7. Verarbeitung eigener Amazon-Account-Daten

Im Rahmen unserer Geschäftstätigkeit als AI-First E-Commerce Company betreiben wir eigene Amazon-Seller-Central-Accounts. Aus diesen verarbeiten wir Geschäftsdaten zur internen Auswertung, Performance-Analyse und Optimierung unserer eigenen Amazon-Aktivitäten.

Verarbeitete Datenkategorien umfassen ausschließlich von uns selbst generierte Geschäftsdaten:

  • Verkaufs- und Umsatzdaten unserer eigenen Listings
  • Bestands- und Lagerdaten
  • Werbe- und Kampagnendaten (Amazon Advertising)
  • Performance-Kennzahlen und Account-Metadaten

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der wirtschaftlichen Optimierung und Steuerung unserer eigenen Geschäftstätigkeit. Diese Daten betreffen in der Regel keine identifizierbaren natürlichen Personen, sofern sie keine personenbezogenen Identifikatoren enthalten.

8. Verarbeitung von Amazon-Account-Daten unserer Mandanten (Auftragsverarbeitung)

Im Rahmen unserer Dienstleistungen für B2B-Mandanten erhalten wir – auf deren ausdrückliche Authorisierung – Zugriff auf deren Amazon-Seller-Central-Accounts. Diese Datenverarbeitung erfolgt im Auftrag und nach Weisung des jeweiligen Mandanten; der Mandant ist Verantwortlicher im Sinne der DSGVO, die LevCom GmbH ist Auftragsverarbeiter nach Art. 28 DSGVO.

Vertragliche Grundlage: Vor Aufnahme der Tätigkeit für einen Mandanten schließen wir mit diesem einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO ab. Dieser regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen, die Pflichten und Rechte des Verantwortlichen sowie die technisch-organisatorischen Maßnahmen (TOMs).

Zugriffsmodell: Der Zugriff erfolgt ausschließlich über die offiziellen Amazon-Schnittstellen – insbesondere die Selling Partner API (SP-API) und die Amazon Advertising API – mittels vom Mandanten authorisierter OAuth-Tokens oder API-Schlüssel. Passwörter werden zu keinem Zeitpunkt weitergegeben oder gespeichert.

Datenkategorien:

  • Verkaufs-, Umsatz- und Transaktionsdaten (aggregiert / pro Listing)
  • Bestands-, Lager- und Logistikdaten
  • Werbe- und Kampagnendaten (Amazon Advertising)
  • Produkt- und Listing-Daten
  • Performance-Kennzahlen, Reports und Account-Metadaten

Strikte Zweckbindung: Die Verarbeitung dieser Daten erfolgt ausschließlich zu Zwecken der Auswertung, Performance-Analyse und Optimierung der Amazon-Aktivitäten des jeweiligen Mandanten. Eine Verwendung für eigene Zwecke der LevCom GmbH, eine mandantenübergreifende Auswertung, eine Profilbildung oder eine Weitergabe an Dritte außerhalb der zur Leistungserbringung notwendigen Subprozessoren findet nicht statt.

Keine Verarbeitung von Endkundendaten: Wir verarbeiten ausdrücklich keine personenbezogenen Daten von Endkunden unserer Mandanten (z. B. Käufernamen, Liefer- oder Rechnungsadressen aus Bestellvorgängen). Soweit derartige Daten in Amazon-Reports enthalten sein können, werden entsprechende Datenfelder durch uns nicht abgerufen, gespeichert oder verarbeitet.

Mandantentrennung: Daten verschiedener Mandanten werden technisch und organisatorisch streng voneinander getrennt verarbeitet. Ein mandantenübergreifender Zugriff durch andere Mandanten ist ausgeschlossen.

Löschung: Mandantendaten werden nach Beendigung des Vertragsverhältnisses gelöscht oder nachweislich anonymisiert. Gesetzliche Aufbewahrungspflichten (z. B. nach HGB und AO) bleiben unberührt; während der Aufbewahrung werden die Daten in der Verarbeitung eingeschränkt.

9. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir treffen im Rahmen der gesetzlichen Vorgaben angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

  • Verschlüsselung der Datenübertragung mittels TLS (HTTPS)
  • Verschlüsselte Speicherung sensibler Daten (at rest) bei unseren Auftragsverarbeitern
  • Speicherung der Mandantendaten in einer EU-Region (Supabase EU)
  • Rollenbasierte Zugriffskontrolle nach dem Least-Privilege-Prinzip
  • Zwei-Faktor-Authentifizierung (MFA) für administrative und API-Zugänge
  • Audit- und Zugriffsprotokollierung
  • Regelmäßige Überprüfung der eingesetzten Systeme und Prozesse
  • Geheimhaltungsverpflichtung der Mitarbeitenden gemäß Art. 28 Abs. 3 lit. b DSGVO

10. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Auftragsverarbeiter ein, mit denen jeweils ein Vertrag nach Art. 28 DSGVO besteht:

  • Vercel Inc., 440 N Barrows Court, Emeryville, CA 94608, USA – Hosting der Website (DPF-zertifiziert, SCC).
  • Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992 – Datenbank- und Backend-Infrastruktur, Speicherung der Mandantendaten ausschließlich in EU-Region (Frankfurt). Mit Supabase besteht ein AVV einschließlich Standardvertragsklauseln.
  • Amazon Services Europe S.à r.l., 38 avenue John F. Kennedy, L-1855 Luxemburg – Datenherkunft bei Verarbeitung von Amazon-Account-Daten via SP-API / Advertising API.

Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, sofern wir nicht hierzu rechtlich verpflichtet sind.

11. Datenübermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums (EWR) findet im Rahmen der unter Ziffer 5 genannten Hosting-Dienstleistung durch Vercel Inc. (USA) statt. Rechtsgrundlage sind der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO) sowie ergänzend Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Die Mandantendaten selbst werden ausschließlich innerhalb der EU verarbeitet.

12. Ihre Rechte als betroffene Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an info@lev-com.de. Soweit die Verarbeitung Daten eines Amazon-Accounts unseres Mandanten betrifft, richten Sie Anfragen bitte primär an den jeweiligen Mandanten als Verantwortlichen; wir unterstützen diesen im Rahmen unserer Pflichten nach Art. 28 Abs. 3 lit. e DSGVO.

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Für die LevCom GmbH zuständig ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
datenschutz.hessen.de

14. Aktualisierung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen abzubilden. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Fassung.

Stand: 11. Mai 2026

This page in English ↓

1. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) and other national data protection laws of the EU member states is:

LevCom GmbH
Wolfsgangstraße 22a
60322 Frankfurt am Main
Germany

Represented by the Managing Directors: Julian Nicolas Fritz, Marcel Schonhoff
Registered at: Local Court of Frankfurt am Main, HRB 127570

Phone: +49 174 936 88 72
Email: info@lev-com.de

2. Data Protection Officer

LevCom GmbH has not appointed a Data Protection Officer, as the statutory thresholds requiring such an appointment under § 38 of the German Federal Data Protection Act (BDSG) are not met. Please direct any data protection inquiries to info@lev-com.de.

3. General Information on Data Processing

We process personal data of our users and clients only to the extent necessary to provide a functional website and our content and services, or where another legal basis applies. The processing of personal data is generally carried out on one of the following legal bases:

  • Art. 6 (1) (a) GDPR – consent
  • Art. 6 (1) (b) GDPR – performance of a contract or pre-contractual measures
  • Art. 6 (1) (c) GDPR – compliance with a legal obligation
  • Art. 6 (1) (f) GDPR – legitimate interests

Personal data is deleted or anonymized as soon as the purpose of storage ceases to apply, unless statutory retention obligations (in particular under the German Commercial Code and Fiscal Code) require continued storage.

4. Website Provision and Server Log Files

Each time our website is accessed, our system automatically collects data and information from the computer system of the accessing device. The following data is collected:

  • IP address of the requesting device (truncated or only temporarily stored in full)
  • date and time of access
  • URL requested and HTTP status code
  • volume of data transferred
  • referrer URL (previously visited page)
  • browser, operating system, and device information used

The legal basis is Art. 6 (1) (f) GDPR. Our legitimate interest lies in the technical provision, stability, and security of the website and in defending against misuse. Data is deleted within 30 days at the latest, unless security-relevant events require longer storage.

5. Hosting (Vercel)

Our website is hosted by Vercel Inc., 440 N Barrows Court, Emeryville, CA 94608, USA. Vercel processes the server data referred to in section 4 on our behalf. This involves a transfer of personal data to a third country (USA).

Vercel Inc. is certified under the EU-US Data Privacy Framework (DPF); a corresponding adequacy decision by the European Commission exists (Art. 45 GDPR). In addition, we have concluded Standard Contractual Clauses (SCC) with Vercel pursuant to Art. 46 (2) (c) GDPR. The legal basis for the transfer is Art. 6 (1) (f) GDPR in conjunction with Art. 45 / 46 GDPR. For more information, see vercel.com/legal/privacy-policy.

6. Contact via Email or Phone

When you contact us by email or phone, the data you transmit (in particular name, email address, phone number, content of the inquiry) is stored to process your request and in case of follow-up questions. This data is not passed on to third parties.

The legal basis is Art. 6 (1) (b) GDPR for pre-contractual inquiries and Art. 6 (1) (f) GDPR for general inquiries. Data is deleted as soon as it is no longer required for the purpose for which it was collected. Statutory retention obligations (e.g. § 257 HGB, § 147 AO) remain unaffected.

Please note: unencrypted email transmission may be read by third parties. For confidential content, we recommend encrypted communication.

7. Processing of Our Own Amazon Account Data

As part of our business activities as an AI-first e-commerce company, we operate our own Amazon Seller Central accounts. From these accounts, we process business data for internal evaluation, performance analysis, and optimization of our own Amazon activities.

The categories of data processed include exclusively business data generated by ourselves:

  • sales and revenue data from our own listings
  • inventory and stock data
  • advertising and campaign data (Amazon Advertising)
  • performance metrics and account metadata

The legal basis is Art. 6 (1) (f) GDPR. Our legitimate interest lies in the economic optimization and management of our own business activities. This data generally does not relate to identifiable natural persons unless it contains personal identifiers.

8. Processing of Clients' Amazon Account Data (Processing on Behalf)

As part of our services for B2B clients, we receive – upon their explicit authorization – access to their Amazon Seller Central accounts. This data processing is carried out on behalf of and on instruction from the respective client; the client is the data controller within the meaning of the GDPR, and LevCom GmbH acts as the data processor pursuant to Art. 28 GDPR.

Contractual basis: Before commencing work for a client, we enter into a Data Processing Agreement (DPA) pursuant to Art. 28 (3) GDPR. This agreement governs the subject matter, duration, nature, and purpose of the processing, the type of personal data, the categories of data subjects, the obligations and rights of the controller, and the technical and organizational measures (TOMs).

Access model: Access is carried out exclusively through official Amazon interfaces – in particular the Selling Partner API (SP-API) and the Amazon Advertising API – using OAuth tokens or API keys authorized by the client. Passwords are never disclosed or stored.

Categories of data:

  • sales, revenue, and transaction data (aggregated / per listing)
  • inventory, stock, and logistics data
  • advertising and campaign data (Amazon Advertising)
  • product and listing data
  • performance metrics, reports, and account metadata

Strict purpose limitation: The processing of this data is carried out exclusively for the purposes of evaluation, performance analysis, and optimization of the Amazon activities of the respective client. No use for LevCom GmbH's own purposes, no cross-client evaluation, no profiling, and no transfer to third parties outside the sub-processors necessary for service delivery takes place.

No processing of end-customer data: We expressly do not process personal data of our clients' end customers (e.g. buyer names, delivery or billing addresses from order transactions). Where such data may be contained in Amazon reports, the corresponding data fields are not retrieved, stored, or processed by us.

Client separation: Data of different clients is processed in strict technical and organizational separation. Cross-client access by other clients is excluded.

Deletion: Client data is deleted or verifiably anonymized after termination of the contractual relationship. Statutory retention obligations (e.g. under HGB and AO) remain unaffected; during retention, the processing of such data is restricted.

9. Technical and Organizational Measures (Art. 32 GDPR)

Within the framework of statutory requirements, we implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk. These include in particular:

  • encryption of data transmission via TLS (HTTPS)
  • encrypted storage of sensitive data (at rest) at our processors
  • storage of client data in an EU region (Supabase EU)
  • role-based access control following the principle of least privilege
  • two-factor authentication (MFA) for administrative and API access
  • audit and access logging
  • regular review of the systems and processes used
  • confidentiality obligation of employees pursuant to Art. 28 (3) (b) GDPR

10. Recipients and Processors

We use carefully selected processors with whom a contract pursuant to Art. 28 GDPR has been concluded:

  • Vercel Inc., 440 N Barrows Court, Emeryville, CA 94608, USA – website hosting (DPF-certified, SCC).
  • Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 – database and backend infrastructure, storage of client data exclusively in EU region (Frankfurt). A DPA including Standard Contractual Clauses has been concluded with Supabase.
  • Amazon Services Europe S.à r.l., 38 avenue John F. Kennedy, L-1855 Luxembourg – source of data when processing Amazon account data via SP-API / Advertising API.

Personal data is not transferred to other third parties unless we are legally obliged to do so.

11. Transfer of Data to Third Countries

Transfer of personal data to third countries outside the European Economic Area (EEA) takes place in the context of the hosting service provided by Vercel Inc. (USA) referred to in section 5. The legal basis is the adequacy decision of the EU Commission on the EU-US Data Privacy Framework (Art. 45 GDPR) and, additionally, Standard Contractual Clauses (Art. 46 (2) (c) GDPR). Client data itself is processed exclusively within the EU.

12. Your Rights as a Data Subject

You have the following rights against us with regard to the personal data concerning you:

  • right of access (Art. 15 GDPR)
  • right to rectification (Art. 16 GDPR)
  • right to erasure (Art. 17 GDPR)
  • right to restriction of processing (Art. 18 GDPR)
  • right to data portability (Art. 20 GDPR)
  • right to object to processing (Art. 21 GDPR)
  • right to withdraw a given consent with effect for the future (Art. 7 (3) GDPR)

To exercise your rights, please contact info@lev-com.de. Where processing concerns the data of an Amazon account of one of our clients, please direct your requests primarily to the respective client as data controller; we support the client within the scope of our obligations under Art. 28 (3) (e) GDPR.

13. Right to Lodge a Complaint with a Supervisory Authority

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR). The competent authority for LevCom GmbH is:

Hessian Commissioner for Data Protection and Freedom of Information
Gustav-Stresemann-Ring 1
65189 Wiesbaden, Germany
datenschutz.hessen.de

14. Updates to This Privacy Policy

We reserve the right to update this privacy policy from time to time to ensure that it always complies with current legal requirements or to reflect changes in our services. The current version will apply to your next visit.

As of: May 11, 2026

↑ Diese Seite auf Deutsch