FloTax
LoginKostenlos testen

Amazon Selling Partner API Integration

GoBD-konforme Rechnungen und automatisierter Versand für deutsche Amazon-Seller.

For Amazon Selling Partner Network reviewers

FloTax is a German SaaS middleware operated by David Oczachowski (Frankfurt am Main, Germany). It provides multichannel order management, accounting and shipping automation for small and medium sized e-commerce sellers in Germany, Austria and Switzerland. FloTax is registered as a Public Solution Provider and requests the following Amazon Selling Partner API restricted roles:

  • Direct-To-Consumer Shipping — to retrieve buyer name, shipping address and contact details for the sole purpose of generating shipping labels via DHL, DPD, GLS, UPS and Hermes, and to push the resulting tracking numbers back to Amazon.
  • Tax Invoicing — to generate GoBD-compliant German tax invoices (§ 14 UStG) including ZUGFeRD/XRechnung electronic-invoice formats, margin scheme invoices (§ 25a UStG), reverse charge for Amazon Services Europe S.à r.l. fees (§ 13b UStG) and One-Stop-Shop reporting (§ 18j UStG).

Personally identifiable information retrieved via SP-API is stored encrypted at rest (Fernet, AES-128-CBC + HMAC-SHA256) on servers in Germany (Hetzner Online GmbH). PII not required for statutory tax retention is deleted 30 days after order completion. Tax-relevant data is retained for the legally required 10 years (§ 147 AO, § 14b UStG, § 257 HGB) and then deleted or anonymised. Full data-handling details are described in our Privacy Policy (German), Section 12.

Über FloTax

FloTax ist eine deutsche SaaS-Middleware für Multichannel- E-Commerce-Händler. Sie verbindet Amazon Seller Central, eBay, Shopify, Etsy, WooCommerce und Mirakl mit der deutschen Buchhaltung (DATEV, Lexoffice) und mit Versand-Carriern (DHL, DPD, GLS, UPS, Hermes). Betrieben wird FloTax in Deutschland; alle Daten werden ausschließlich in einem Rechenzentrum der Hetzner Online GmbH in Deutschland verarbeitet.

Beantragte SP-API Restricted Roles

1. Direct-To-Consumer Shipping

Zweck: Erstellung von Versandetiketten und Rückmeldung der Tracking-Nummer an Amazon.

Beschreibung des Versandprozesses:

  • Sobald eine Amazon-Bestellung in den Status Unshipped / Pending Shipment wechselt, ruft FloTax die Bestelldaten via SP-API ab (Order, Order Items, Shipping Address, Buyer Info).
  • Der Händler wählt in FloTax den gewünschten Carrier (DHL, DPD, GLS, UPS, Hermes) und das Versandprodukt. Wir generieren das Versandetikett über die jeweilige Carrier-API mit den Empfänger-Daten aus der Amazon-Bestellung. Die Tracking-Nummer wird zurück an Amazon gemeldet (Feed-API, POST_ORDER_FULFILLMENT_DATA), so dass der Käufer und Amazon den Sendungsstatus sehen.
  • Die Empfänger-Daten werden ausschließlich für die Etikettenerzeugung an die Carrier-API übermittelt. Eine Verwendung für Marketing, Profilbildung, Analyse oder Weitergabe an Dritte findet nicht statt.
  • E-Mail-Adresse und Telefonnummer der Endkunden werden 30 Tage nach Bestellabschluss gelöscht, sofern keine offene Reklamation besteht. Steuerlich relevante Adress- und Bestelldaten verbleiben 10 Jahre im System (§ 147 AO).

2. Tax Invoicing

Zweck: Erstellung deutscher GoBD-konformer Rechnungen für Amazon-Bestellungen.

Warum Seller-Central-Bordmittel nicht ausreichen: Amazons interne Rechnungsfunktion (VCS / Manage Your VAT) deckt die deutschen Anforderungen aus Sicht der Händler nicht vollständig ab. Insbesondere fehlen oder sind nur eingeschränkt möglich:

  • Differenzbesteuerung nach § 25a UStG für gebrauchte oder wiederaufbereitete Waren (Pflicht- Rechnungstextbaustein, getrenntes Steuerkonto, kein Vorsteuerausweis)
  • Reverse Charge nach § 13b UStG für die Eingangsrechnungen der Amazon Services Europe S.à r.l. (Luxemburg) — Werbung, FBA-Gebühren, Verkaufsgebühren — inkl. korrekter Steuerschlüssel-Ausweisung in der UStVA
  • One-Stop-Shop (§ 18j UStG) für Verkäufe in andere EU-Mitgliedstaaten unterhalb der Lieferschwellen-Aggregation inkl. quartalsweiser BZSt-Meldung mit länderspezifischen Steuersätzen
  • ZUGFeRD- / XRechnung-Format (PDF/A-3 mit eingebettetem XML) für B2B-Rechnungen — ab 2025 für Eingangsrechnungen, ab 2027/2028 für Ausgangsrechnungen verpflichtend
  • GoBD-konforme fortlaufende Rechnungsnummernkreise mit nicht-änderbarer Festschreibung und Audit-Trail (§ 146 AO, § 14 UStG)
  • DATEV- / Lexoffice-Schnittstellen für die Übertragung der Buchungssätze an den Steuerberater

Regionale steuerliche Anforderungen: FloTax bedient Händler, die deutscher Umsatzsteuer (UStG), GoBD-Pflichten (§§ 145–147 AO) und Mitwirkungspflichten gegenüber dem Bundeszentralamt für Steuern (BZSt) im Rahmen der OSS-Meldung unterliegen. Die Rechnungsdaten werden 10 Jahre nach Ablauf des Kalenderjahrs aufbewahrt, in dem die Rechnung erstellt wurde (§ 14b UStG, § 147 AO, § 257 HGB).

Datenfluss & Sicherheit

  • Speicherort: ausschließlich Hetzner Online GmbH, Deutschland. Keine Datenverarbeitung außerhalb der EU.
  • Verschlüsselung at Rest: Sensible Felder (OAuth-Tokens, API-Keys, 2FA-Geheimnisse) werden mit Fernet (AES-128-CBC + HMAC-SHA256) verschlüsselt. Schlüsselmaterial liegt außerhalb des Repositorys in einer geschützten Server-Konfigurationsdatei.
  • Verschlüsselung in Transit: Alle externen API-Aufrufe ausschließlich über TLS 1.2+. HTTP Strict Transport Security ist aktiv.
  • Zugriffskontrolle: Multi-Tenancy auf Row-Level-Basis (tenant_id auf jeder Datenzeile); kein API-Endpoint liefert Daten über Tenant-Grenzen hinweg. Optionale Zwei-Faktor-Authentifizierung (TOTP) für Nutzer-Accounts.
  • Audit-Logging: Login-Versuche und Admin-Impersonation-Sessions werden in dedizierten Audit-Logs mit IP-Adresse, User-Agent und Zeitstempel protokolliert.
  • Backups: Verschlüsselte tägliche Datenbank-Dumps, geografisch getrennt aufbewahrt. Hetzner- VM-Snapshots ergänzen den Schutz auf Infrastrukturebene.
  • Schwachstellenmanagement: Quartalsweise Dependency-Audits via pip-audit, ereignisbasiert sofortiges Patching bei CVSS ≥ 7.0 in genutzten Komponenten.

Endkunden-Löschverlangen

Wenn ein Amazon-Endkunde gegenüber Amazon ein Löschverlangen nach DSGVO Art. 17 stellt, wird FloTax über den Amazon Account-Deletion-Webhook benachrichtigt und löscht die nicht steuerlich relevanten Felder (E-Mail-Adresse, Telefonnummer) der betroffenen Bestellungen unverzüglich. Steuerlich aufbewahrungspflichtige Felder (Name, Adresse) werden mit einem Lösch-Vormerk-Flag versehen und nach Ablauf der gesetzlichen Frist (10 Jahre, § 147 AO) automatisiert anonymisiert.

Compliance

  • DSGVO / GDPR (Art. 28 Auftragsverarbeitung, Art. 32 TOM)
  • Bundesdatenschutzgesetz (BDSG)
  • GoBD — Grundsätze ordnungsmäßiger Buchführung in elektronischer Form
  • §§ 145–147 AO (Aufbewahrung, Unveränderbarkeit)
  • § 14 UStG (Rechnungspflichten), § 14b UStG (Aufbewahrung)
  • § 18j UStG (OSS-Meldung)
  • Amazon Acceptable Use Policy & Data Protection Policy

Kontakt

David Oczachowski
Speicherstr. 20
60327 Frankfurt am Main
Deutschland
E-Mail: info@flotax.io
Telefon: +49 170 88 55 808

Vollständiges Impressum: /impressum. Datenschutzerklärung: /datenschutz.