gemäß Art. 28 DSGVO

zwischen

dem jeweiligen Kunden („Verantwortlicher“)

und

VisionAI („Auftragsverarbeiter“)

1. Gegenstand und Geltungsbereich

(1) Der Auftragsverarbeiter erbringt IT-Dienstleistungen im Bereich E-Commerce-Suche,

Ranking-Optimierung, Produktpriorisierung, Performance-Analyse und Automatisierung.

(2) Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten im Sinne von Art. 4

Nr. 1 DSGVO, soweit eine solche im Rahmen der Leistungserbringung erfolgt.

(3) Die Vereinbarung gilt für sämtliche Kunden des Auftragsverarbeiters unabhängig vom

eingesetzten Shopsystem.

(4) Eine Verarbeitung personenbezogener Daten ist regelmäßig nur relevant, wenn die vom

Verantwortlichen eingesetzte Plattform dem Auftragsverarbeiter technisch Zugriff auf solche

Daten ermöglicht (insbesondere bei Shopify-Integrationen).

(5) Die Laufzeit entspricht der Dauer des Hauptvertrages.

2. Art, Umfang und Kategorien der Daten

2.1 Grundsätzliche Verarbeitung (alle Kunden)

Die vertragliche Leistung erfordert primär die Verarbeitung nicht personenbezogener Daten:– Produktdaten (Titel, Beschreibung, Bilder, Varianten, Kategorien)

– Preis- und Lagerdaten

– Aggregierte Umsatz- und Performancekennzahlen

– Such- und Interaktionsdaten ohne Personenbezug

2.2 Möglicher Personenbezug bei Plattform-Integrationen (insb. Shopify)

(1) Bei Integration in Plattformen mit API-Berechtigungen (z. B. Shopify) kann technisch Zugriff auf personenbezogene Daten bestehen.

(2) Shopify verwendet „Access Scopes“, die vom Verantwortlichen bei Installation freigegeben

werden.

(3) Abhängig von den freigegebenen Scopes können technisch abrufbar sein:

Bei „read orders“:

– Bestellnummer

– Warenkorbinhalte

– Zahlungsstatus

– Liefer- und Rechnungsadresse

– Name

– E-Mail-Adresse

Bei „read customers“:

– Kunden-ID

– Vor- und Nachname

– E-Mail-Adresse

– Telefonnummer

– Adressdaten

(4) Shopify unterscheidet „Protected Customer Data“. Zugriff erfolgt ausschließlich, wenn der Verantwortliche entsprechende Berechtigungen erteilt.

(5) Der Verantwortliche entscheidet eigenständig über Umfang und Freigabe der API-Scopes.

3. Zweckbindung und Nutzungseinschränkung

(1) Personenbezogene Daten werden ausschließlich verarbeitet zur:

– Bereitstellung und Optimierung der Such- und Ranking-Engine

– Sortierung von Produkten nach Umsatz- und Performancekennzahlen– automatisiertem Boosting performanter Produkte

– Berechnung aggregierter Kennzahlen

– Erstellung von Transparenz- und ROI-Reports im Dashboard

– Sicherstellung von Systemstabilität und Fehleranalyse

(2) Eine individuelle Analyse oder Profilbildung natürlicher Personen findet nicht statt.

(3) Personenbezogene Daten werden:

– nicht zu Marketingzwecken verwendet

– nicht verkauft oder weitergegeben

– nicht eigenständig wirtschaftlich verwertet

– nicht für KI-Training mit Personenbezug genutzt

(4) Für die Weiterentwicklung von Algorithmen werden ausschließlich nicht personenbezogene

Produktdaten oder aggregierte, nicht rückführbare Kennzahlen verwendet.

(5) Personenbezogene Daten werden nicht dauerhaft außerhalb der technisch erforderlichen

Systemkommunikation gespeichert.

4. Weisungsrecht

(1) Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.

(2) Hält der Auftragsverarbeiter eine Weisung für datenschutzrechtlich unzulässig, informiert er

den Verantwortlichen unverzüglich.

5. Vertraulichkeit

(1) Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung betrauten Personen auf

Vertraulichkeit verpflichtet sind.

(2) Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort.

6. Technisch-organisatorische Maßnahmen (Art. 32

DSGVO)

Der Auftragsverarbeiter gewährleistet ein angemessenes Schutzniveau durch:– TLS-verschlüsselte Datenübertragung

– Rollen- und Berechtigungskonzepte

– Zugriffsbeschränkung auf autorisierte Mitarbeiter

– Protokollierung sicherheitsrelevanter Zugriffe

– Hosting innerhalb der EU

– Firewalls und Sicherheitsmonitoring

– regelmäßige Backups

– Pseudonymisierung, soweit möglich

Die Maßnahmen werden fortlaufend weiterentwickelt.

7. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei:

– Auskunftsersuchen betroffener Personen

– Berichtigung oder Löschung

– Einschränkung der Verarbeitung

– Datenübertragbarkeit

– Durchführung von Datenschutz-Folgenabschätzungen

– Konsultationen mit Aufsichtsbehörden

– Erfüllung der Meldepflichten nach Art. 33, 34 DSGVO

Unterstützungsleistungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen,

können angemessen vergütet werden.

8. Datenschutzverletzungen

(1) Datenschutzverletzungen werden unverzüglich gemeldet.

(2) Der Auftragsverarbeiter stellt alle zur Bewertung erforderlichen Informationen bereit.

9. Unterauftragsverarbeiter

Zugelassener Unterauftragsverarbeiter:

Amazon Web Services EMEA SARL

Hosting innerhalb der EUWeitere Unterauftragsverarbeiter dürfen nur mit Zustimmung des Verantwortlichen beauftragt

werden.

10. Kontrollrechte

(1) Der Verantwortliche ist berechtigt, die Einhaltung dieser Vereinbarung angemessen zu

kontrollieren.

(2) Der Nachweis kann erfolgen durch:

– geeignete Zertifizierungen

– Auditberichte

– schriftliche Dokumentationen

(3) Vor-Ort-Prüfungen sind mit angemessener Vorankündigung durchzuführen und dürfen den

Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

(4) Entstehender Aufwand kann angemessen vergütet werden.

11. Löschung und Rückgabe

(1) Nach Vertragsende werden personenbezogene Daten innerhalb von 30 Tagen gelöscht,

sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

(2) Backup-Systeme unterliegen regulären Löschzyklen.

(3) Nicht personenbezogene Produktdaten dürfen zur Systemverbesserung weiterverwendet

werden.

12. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO sowie den vertraglichen

Haftungsregelungen des Hauptvertrages.

13. SchlussbestimmungenÄnderungen bedürfen der Textform.

Sollten einzelne Bestimmungen unwirksam sein, bleibt die Vereinbarung im Übrigen wirksam.

pursuant to Article 28 GDPR

between

the respective customer (“Controller”)

and

VisionAI (“Processor”)

1. Subject Matter and Scope

1.1 The Processor provides IT services in the field of e-commerce search technology, product

ranking, performance optimization, analytics, and automation systems.

1.2 This Agreement governs the processing of personal data within the meaning of Article 4(1)

GDPR to the extent such processing occurs in connection with the provision of services.

1.3 This Agreement applies to all customers of the Processor, regardless of the e-commerce

platform used.

1.4 Processing of personal data is generally not required for the core service and becomes

relevant only where the Controller’s chosen platform technically enables access to such data (in

particular, Shopify integrations).

1.5 The duration of this Agreement corresponds to the duration of the underlying service

agreement.

2. Nature and Categories of Data

2.1 Primary Data Processing (All Customers)

The services primarily require processing of non-personal data, including:

– Product data (titles, descriptions, images, variants, categories)

– Pricing and inventory data

– Aggregated revenue and performance metrics

– Search and interaction data without personal referenceThese data sets form the basis of VisionAI’s search, ranking, and analytics systems.

2.2 Potential Personal Data in Platform Integrations (Especially Shopify)

2.2.1 Where the Controller integrates VisionAI into platforms that provide API-based access to data (e.g., Shopify), technical access to personal data may be possible.

2.2.2 Shopify operates a permission-based system (“Access Scopes”) that is granted by the Controller during app installation.

2.2.3 Depending on the approved scopes, the following categories of personal data may be technically accessible:

If “read orders” or similar scopes are granted:

– Order number

– Cart contents

– Payment status

– Shipping and billing address

– Customer name

– Email address

If “read customers” or similar scopes are granted:

– Customer ID

– First and last name

– Email address

– Telephone number

– Address details

2.2.4 Shopify distinguishes “Protected Customer Data,” which is only accessible if explicitly approved by the Controller.

2.2.5 The Controller independently determines which API scopes are granted.

3. Purpose Limitation and Use Restrictions

3.1 Personal data, where technically accessible, shall be processed solely for the proper provision of the contracted services.

3.2 Processing serves exclusively the following purposes:– Operation and optimization of the search and ranking engine

– Sorting and prioritization of products based on revenue and performance metrics

– Automated boosting of high-performing products

– Calculation of aggregated business performance indicators

– Generation of transparency and ROI reports within the dashboard

– System integrity, monitoring, and error diagnostics

3.3 No individual analysis or profiling of natural persons is conducted.

3.4 Personal data shall not be:

– used for marketing purposes

– sold or disclosed for independent commercial exploitation

– used for customer profiling

– used for training AI models involving personal data

3.5 Further algorithmic improvements are based exclusively on non-personal product data or

aggregated, non-identifiable metrics.

3.6 Personal data shall not be persistently stored outside technically necessary system

communication processes.

4. Instructions

4.1 The Processor processes personal data solely on documented instructions from the

Controller.

4.2 If the Processor considers an instruction to infringe data protection law, it shall inform the

Controller without undue delay.

5. Confidentiality

5.1 The Processor ensures that all persons authorized to process personal data are bound by

confidentiality obligations.

5.2 Such confidentiality obligations continue beyond termination of employment or engagement.

6. Technical and Organisational Measures (Art. 32 GDPR)The Processor implements appropriate technical and organisational measures to ensure a level

of security appropriate to the risk, including:

– TLS-encrypted data transmission

– Role-based access controls

– Restricted access to authorized personnel

– Logging of security-relevant access

– Hosting within the European Union

– Firewall and security monitoring systems

– Regular backups

– Pseudonymisation where technically feasible

Measures are subject to continuous review and improvement.

7. Assistance Obligations

The Processor shall reasonably assist the Controller in fulfilling obligations under the GDPR,

including:

– Responding to data subject access requests

– Rectification or erasure

– Restriction of processing

– Data portability

– Data protection impact assessments

– Consultation with supervisory authorities

– Breach notification compliance

Assistance exceeding the agreed service scope may be subject to reasonable compensation.

8. Personal Data Breaches

8.1 The Processor shall notify the Controller without undue delay after becoming aware of a

personal data breach.

8.2 The Processor shall provide all relevant information required for compliance with Articles 33

and 34 GDPR.

9. SubprocessorsThe Controller authorizes the following subprocessor:

Amazon Web Services EMEA SARL

Hosting within the European Union

Further subprocessors may only be engaged with prior authorization by the Controller.

All subprocessors are bound by agreements in accordance with Article 28(2)–(4) GDPR.

10. Audit and Inspection Rights

10.1 The Controller may verify compliance with this Agreement in an appropriate manner.

10.2 Verification may be satisfied through:

– Certifications

– Independent audit reports

– Written documentation of technical and organisational measures

10.3 On-site inspections require reasonable advance notice and must not disproportionately

disrupt business operations.

10.4 Costs arising from audits may be reasonably reimbursed.

11. Deletion and Return of Data

11.1 Upon termination of the Agreement, personal data shall be deleted within 30 days unless

statutory retention obligations apply.

11.2 Backup systems are subject to regular deletion cycles.

11.3 Non-personal product data may be retained for system improvement unless otherwise

contractually restricted.

12. Liability

Liability shall be governed by Article 82 GDPR and the liability provisions of the underlying

service agreement.

13. Final Provisions

Amendments must be made in text form.

If any provision is invalid, the remainder shall remain unaffected.