BOOK A DEMO

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO – pxos als Auftragsverarbeiter

Präambel

Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die datenschutzrechtlichen Pflichten zwischen dem Verantwortlichen (der Brand, nachfolgend „Auftraggeber") und dem Auftragsverarbeiter (pxos, betrieben von Johannes Kröger, nachfolgend „Auftragnehmer") im Rahmen der Nutzung der pxos-Plattform.

Der AVV wird Bestandteil des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der pxos-Plattform und gilt für alle Tätigkeiten, bei denen der Auftragnehmer im Auftrag des Auftraggebers personenbezogene Daten verarbeitet.

§ 1 Vertragsparteien

Dieser AVV gilt für alle Unternehmen und Einzelpersonen (nachfolgend „Auftraggeber"), die sich auf der pxos-Plattform registrieren und die Dienste von pxos nutzen. Mit der Registrierung und Akzeptanz der Nutzungsbedingungen kommt dieser AVV automatisch zwischen dem Auftraggeber und dem nachfolgenden Auftragnehmer zustande.

Auftraggeber (Verantwortlicher)
Jedes Unternehmen bzw. jede natürliche Person, das/die sich auf pxos registriert und die Plattform nutzt. Die maßgeblichen Kontaktdaten ergeben sich aus den bei der Registrierung hinterlegten Angaben.
Auftragnehmer (Auftragsverarbeiter)
Johannes Kröger
Rosenhagen 7
19348 Perleberg OT Rosenhagen
Deutschland
johannes@twynk.io

§ 2 Gegenstand und Dauer der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten zum Zweck der Bereitstellung der pxos-Plattform, insbesondere:

  • Erstellung und Ausspielung dynamischer Post-Purchase-Seiten via QR-Code
  • Anbindung an die Shopify-API des Auftraggebers zur Personalisierung von Inhalten
  • Technische Verarbeitung von SMS-Opt-in-Daten (sofern vom Auftraggeber aktiviert)
  • Erfassung anonymer Nutzungsdaten (Scan-Events, Session-Daten)

Die Verarbeitung beginnt mit Vertragsabschluss und endet mit Kündigung des Hauptvertrags oder auf schriftliche Weisung des Auftraggebers.

§ 3 Art der Daten und Kategorien betroffener Personen

Kategorien betroffener Personen

  • Endkunden des Auftraggebers (Käufer/innen der Brand)
  • Mitarbeitende des Auftraggebers (soweit als pxos-Nutzer registriert)

Kategorien personenbezogener Daten

  • Bestelldaten aus Shopify (Name, Adresse, Bestellnummer, Produktinformationen)
  • Mobilfunknummern (sofern SMS-Opt-in aktiviert, auf Basis ausdrücklicher Einwilligung)
  • Technische Nutzungsdaten (IP-Adresse, Gerätekategorie, Zeitstempel – anonymisiert)
  • Zugangsdaten der pxos-Nutzerkonten (E-Mail, verschlüsseltes Passwort)
Keine besonderen Kategorien gemäß Art. 9 DSGVO

§ 4 Weisungsrecht des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Der Auftraggeber erteilt Weisungen in Textform (E-Mail genügt).

Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung bis zur Klärung auszusetzen.

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich insbesondere zu:

  • Verarbeitung personenbezogener Daten ausschließlich im Rahmen dieses AVV und der erteilten Weisungen
  • Sicherstellung der Vertraulichkeit durch Verpflichtung aller mit der Datenverarbeitung betrauten Personen
  • Umsetzung und Aufrechterhaltung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe Anlage 1)
  • Unverzügliche Meldung von Datenschutzverletzungen an den Auftraggeber, spätestens binnen 24 Stunden nach Bekanntwerden
  • Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung)
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsende gemäß Weisung des Auftraggebers
  • Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV

§ 6 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen implementiert:

Zugangs- und Zugriffskontrolle

  • Authentifizierung aller Nutzer via Supabase Auth (gehashte Passwörter, optionale 2FA)
  • Row-Level Security (RLS) in der Datenbank – Datentrennung zwischen Workspaces auf Datenbankebene
  • Zugriff auf Produktionssysteme ausschließlich für autorisierte Personen

Übertragungssicherheit

  • Alle Datenübertragungen verschlüsselt via HTTPS/TLS (TLS 1.2 mindestens)
  • Hosting über Vercel Edge Network mit automatischer HTTPS-Erzwingung

Verfügbarkeit und Integrität

  • Datenbankinfrastruktur auf AWS EU-Region Frankfurt (eu-central-1) via Supabase
  • Regelmäßige automatisierte Datenbank-Backups
  • Monitoring und Fehler-Logging

Datentrennung

  • Strikte Mandantentrennung – jede Brand (Workspace) sieht ausschließlich eigene Daten

§ 7 Einsatz von Subauftragsverarbeitern

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zum Einsatz der folgenden Subauftragsverarbeiter:

Vercel Inc.
440 N Barranca Ave #4133, Covina, CA 91723, USA
Zweck: Hosting, Edge-Netzwerk, CDN
Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCC)
Supabase Inc.
USA (Datenhaltung in AWS EU-Region Frankfurt, eu-central-1)
Zweck: Datenbankinfrastruktur, Authentifizierung, Dateispeicher
Shopify International Ltd.
Victoria Avenue, Pembroke HM 08, Bermuda
Zweck: API-Anbindung zur Abfrage von Bestelldaten (auf Weisung des Auftraggebers)

Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Subauftragsverarbeitern. Der Auftraggeber hat das Recht, gegen solche Änderungen Einspruch zu erheben.

§ 8 Betroffenenrechte

Soweit der Auftraggeber zur Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit) die Mitwirkung des Auftragnehmers benötigt, unterstützt der Auftragnehmer den Auftraggeber im zumutbaren Rahmen. Anfragen sind zu richten an: johannes@twynk.io.

§ 9 Datenpannen und Meldepflichten

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch binnen 24 Stunden nach Bekanntwerden. Die Meldung enthält mindestens:

  • Art der Datenpanne und betroffene Datenkategorien
  • Ungefähre Anzahl betroffener Personen und Datensätze
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene oder vorgeschlagene Maßnahmen

Die Meldepflicht des Auftraggebers gegenüber der Aufsichtsbehörde (Art. 33 DSGVO, 72-Stunden-Frist) bleibt unberührt.

§ 10 Vertragsende und Datenlöschung

Nach Beendigung des Hauptvertrags löscht oder gibt der Auftragnehmer alle personenbezogenen Daten zurück, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Auftraggeber wählt zwischen Rückgabe und Löschung und teilt dies dem Auftragnehmer in Textform mit. Die Löschung wird auf Anfrage schriftlich bestätigt.

§ 11 Haftung

Für Schäden, die durch eine nicht den Weisungen des Auftraggebers entsprechende Verarbeitung entstehen, haftet der Auftragnehmer nach Maßgabe von Art. 82 DSGVO. Im Übrigen gilt die Haftungsregelung des Hauptvertrags.

§ 12 Sonstiges

Änderungen und Ergänzungen dieses AVV bedürfen der Textform. Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Es gilt deutsches Recht. Gerichtsstand ist, soweit rechtlich zulässig, der Sitz des Auftragnehmers.

§ 13 Unterzeichnung

Mit Abschluss des Hauptvertrags (z. B. durch Registrierung und Akzeptanz der Nutzungsbedingungen auf pxos) gilt dieser AVV als abgeschlossen und verbindlich unterzeichnet.

Für individuelle schriftliche AVV-Vereinbarungen (z. B. auf Anfrage größerer Brands) wenden Sie sich bitte an: johannes@twynk.io
Stand: Mai 2025  |  pxos – Johannes Kröger  |  johannes@twynk.io

Future-Proof Growth: Scale with Regulation

The Problem: The Volume Trap

 Compliance is manageable with 50 products, but it becomes a nightmare with 5,000. As your brand grows, the administrative burden of tracking supply chains and managing certificates usually grows exponentially. Hiring more people to manage more spreadsheets is a costly strategy that kills agility and increases the risk of human error.

The Solution: API-First Automation

We designed our platform for high-volume complexity. Our „DPP Engine“ allows you to generate and manage thousands of product identities simultaneously. Using a headless architecture, our system integrates directly with your existing tools (ERP, PIM, Shopify) to pull data and push compliant passports automatically. The system works for your catalog, not the other way around.

How It Works: The „Mass-Action“ Workflow

  1. Connect Your Stack: Link your existing data sources (Shopify, Akeneo, or Excel) via our APIs or pre-built connectors.

  2. Batch Generation: Select an entire collection or season. The system applies the correct compliance template and generates unique, serialized DPPs for every item in seconds.

  3. Future-Proofing: When regulations change, you don’t need to rebuild. We update the data model centrally, allowing you to apply new requirements to your entire live catalog with one bulk update.

The Result: Unlimited Scalability

Double your SKU count without doubling your compliance team. Stay agile and ready to enter new markets or categories without technical friction or increased overhead.

From Claims to Proof: Trust by Transparency

The Problem: The „Greenwashing“ Crisis

Modern consumers are skeptical of vague terms like „eco-friendly.“ This erosion of trust is a business risk: shoppers increasingly ignore claims they cannot verify. Furthermore, the EU Green Claims Directive will soon make unsubstantiated marketing promises illegal. If you claim a product is „fairly made,“ you must prove it with data—or face significant fines.

The Solution: A Verified Claims Layer

We transform the Digital Product Passport into an active Trust Layer. Instead of hiding certifications in your website’s footer, our platform attaches verifiable evidence directly to the specific product unit. You don’t just ask customers to „trust you“; you show them the valid GOTS certificate linked to that exact production batch.

How It Works: The Evidence Pipeline

  1. Central Asset Management: Upload certifications, lab reports, and audits (e.g., Oeko-Tex, Fairtrade) into your central database once.

  2. Smart Allocation: The system automatically links these documents to the relevant materials and batches. If a certificate expires, you are flagged immediately.

  3. Consumer-Facing Proof: On the public DPP page, claims like „Recycled Polyester“ are highlighted as „Verified.“ Users can click to see the source authority, creating unmatched transparency.

The Result: Unshakable Brand Trust

 Immunize your brand against greenwashing accusations and win over high-value customers who prioritize honesty. In a crowded market, transparency becomes your strongest competitive advantage.

Peace of Mind: Compliance by Design

The Problem: The Regulatory Maze

New EU laws like the ESPR are turning product data into a legal mandate. You must document how a product was made, its durability, and its recyclability. These regulations are evolving and differ by category. Trying to manually track every new „Delegated Act“ while updating spreadsheets is a full-time job that distracts you from building your brand.

The Solution: Always-On Compliance

Our platform „knows“ the law. Instead of empty text boxes, we provide intelligent DPP Templates pre-configured with the exact mandatory fields required for your specific product category. We translate complex legal texts into structured data requirements. If the EU updates a rule, we update the template and alert you to the changes.

How It Works: The „Guardrails“ Approach

  1. Select Category: Tell the system what you are selling (e.g., „Apparel / T-Shirt“).

  2. Smart Template: The system loads the relevant compliance profile based on current ESPR standards and CIRPASS recommendations, highlighting mandatory vs. optional data.

  3. Validation: Before publishing, our „Compliance Check“ scans your data for missing fields or invalid formats, ensuring you never release a non-compliant passport.

The Result: Zero Liability Risk

Launch your Digital Product Passports with confidence. You meet current legal standards and avoid greenwashing accusations, while our platform handles the regulatory complexity in the background.

Data-Backed Credibility: Automated Product Footprint Analysis

The Problem: The „Impact Calculation“ Bottleneck

Under the Green Claims Directive, vague sustainability claims are a thing of the past. You now need hard data: exact CO2 equivalents, water usage, and energy metrics for every SKU. Traditionally, Life Cycle Assessments (LCAs) are slow, expensive, and trapped in outdated spreadsheets that break the moment a supplier changes a process.

The Solution: Automated Environmental Intelligence

We treat environmental impact as a dynamic attribute, not a static report. By integrating with leading LCA engines (like Carbonfact or Higg MSI), our platform automates the complex math behind the scenes. Your Digital Product Passports display verified, granular impact data that stands up to regulatory scrutiny – without you needing a PhD in climate science.

How It Works: From BOM to Badge

  1. Ingest & Map: The system analyzes your Bill of Materials (BOM), such as „80% Organic Cotton, 20% Recycled Polyester.“

  2. API Calculation: This data, along with your mapped supply chain steps, is sent to our LCA partners via API.

  3. Live Updates: Precise values (e.g., „4.5 kg CO2“) are returned and pushed to the DPP instantly. If you change a material, the footprint updates automatically.

The Result: Audit-Proof Transparency

Deliver credible, data-backed claims that build customer trust while remaining 100% compliant with EU regulations. Your team stays focused on design, while our system handles the math.

Beyond the Label

The Problem: The Tier 1 „Black Box“

Most brands know who stitches their clothes, but have little visibility into who spun the yarn or grew the cotton. With upcoming regulations like the ESPR (Ecodesign for Sustainable Products Regulation), ignorance is no longer an option. Gathering deep-tier data via endless email chains and spreadsheets is slow, error-prone, and impossible to scale.

The Solution: A Digital Chain of Custody

 Our platform transforms your supply chain into a connected network of Nodes (facilities) and Steps (processes). Instead of simple text labels, we create verified links to specific factory profiles. Whether you import data from traceability partners or map it manually, you build an audit-proof record of every hand that touched your product.

How It Works: Journey Mapping

  1. Define Your Actors: Create profiles for suppliers and specific facilities, storing certifications (like GOTS or Oeko-Tex) directly on their profile.

  2. Map the Sequence: Define the production flow for each model—from fiber extraction and spinning to dyeing and assembly.

  3. Link the Batch: When a new batch is produced, the system automatically pulls the relevant location data and certificates for that specific production window.

The Result: Transparency That Sells

 Achieve full compliance with EU transparency laws while gaining a powerful marketing asset. By displaying a verified „Product Journey“ map to your customers, you prove your sustainability claims and differentiate your brand from the noise of greenwashing.

One Change. Everywhere.

The Problem: The Maintenance Trap

In fashion and e-commerce, a single change – like a renewed GOTS certificate or an updated CO₂ value – can trigger a logistical nightmare. Manually updating every SKU and spreadsheet is not only slow; it’s a major compliance risk. One missed file, and your Digital Product Passport (DPP) is no longer compliant.

The Solution: A Single Source of Truth

Our platform is built on a relational data model, not a flat list. We treat suppliers, raw materials, and certificates as independent „assets“ in a central database. Your products don’t just copy this data; they maintain a live link to it. Your DPPs act as dynamic windows into your central data hub.

How It Works: The Update Cascade

  1. Central Update: You update a data point once in your dashboard (e.g., a new supplier certificate).

  2. Intelligent Mapping: Our system automatically identifies every product, batch, and individual item linked to that asset.

  3. Instant Propagation: The change is pushed to all linked DPPs in real-time. Whether you have 50 or 50,000 active passports, they are all updated instantly.

The Result: Maximum Scalability

Achieve 100% compliance across your entire catalog with a single click. Free your team from the burden of data entry and focus on what matters: your product and your brand.