revoke-button.com
EN

Auftragsverarbeitungsvertrag

nach Art. 28 DSGVO

Hinweis: Mit der Nutzung von EU Revoke Button schließt der Kunde („Verantwortlicher" im Sinne der DSGVO) den nachfolgenden Auftragsverarbeitungsvertrag mit uns („Auftragsverarbeiter") ab. Der Vertrag gilt automatisch ab dem Zeitpunkt, zu dem der Kunde einen Shop registriert oder Widerrufsdaten verarbeitet werden.

Präambel

Dieser Vertrag konkretisiert die Verpflichtungen der Parteien zum Datenschutz, die sich aus der Auftragsverarbeitung der im Rahmen des Hauptvertrags („Allgemeine Geschäftsbedingungen") vereinbarten Leistungen ergeben. Er findet Anwendung auf alle Tätigkeiten, bei denen Beschäftigte des Auftragsverarbeiters oder durch ihn Beauftragte personenbezogene Daten des Verantwortlichen verarbeiten.

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand der Verarbeitung ist die Bereitstellung einer elektronischen Widerrufs-Funktion gemäß § 356a BGB für den Onlineshop des Verantwortlichen. Im Einzelnen umfasst dies:

  • Erfassung von Widerrufserklärungen über ein Webformular
  • Speicherung der Widerrufsdaten in einer Datenbank
  • Versand einer Eingangsbestätigung per E-Mail an den jeweiligen Verbraucher
  • Bereitstellung der Widerrufsdaten im Dashboard des Verantwortlichen

(2) Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags.

§ 2 Konkretisierung des Auftrags

(1) Art und Zweck der Verarbeitung: Erhebung, Speicherung, Anzeige, Versand per E-Mail, Anonymisierung nach Ablauf konfigurierter Aufbewahrungsfristen.

(2) Art der Daten:

  • Name (Vor- und Nachname)
  • E-Mail-Adresse
  • Bestellnummer und ggf. Bestelldatum
  • Optionale Anmerkungen des Verbrauchers
  • Verkehrsdaten (IP-Adresse, User-Agent) zum Zeitpunkt der Widerrufseinreichung

(3) Kategorien betroffener Personen: Kund:innen des Verantwortlichen, die einen Widerruf einreichen.

§ 3 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen, soweit er nicht zu einer abweichenden Verarbeitung durch das Recht der Union oder das Recht der Mitgliedstaaten, dem er unterliegt, verpflichtet ist. Er informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt.

(2) Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen, der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO und bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO.

(4) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(5) Datenschutzverletzungen meldet der Auftragsverarbeiter dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden.

§ 4 Pflichten des Verantwortlichen

Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.

§ 5 Subunternehmer

(1) Der Verantwortliche stimmt der Beauftragung der in Anlage 2 aufgeführten Subunternehmer zu.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter mindestens 30 Tage vorher per E-Mail an die im Account hinterlegte Adresse. Der Verantwortliche kann gegen Änderungen widersprechen. Im Falle eines Widerspruchs ist der Auftragsverarbeiter berechtigt, den Vertrag mit einer Frist von 30 Tagen außerordentlich zu kündigen.

§ 6 Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragsverarbeiter zu kontrollieren. In der Regel werden Kontrollen durch die Vorlage aktueller Zertifikate, Berichte oder Berichtsauszüge unabhängiger Instanzen erfüllt. Vor-Ort-Kontrollen sind nach Voranmeldung mit angemessener Frist und in einem für den Geschäftsbetrieb des Auftragsverarbeiters zumutbaren Umfang möglich.

§ 7 Beendigung

Nach Beendigung des Hauptvertrags hat der Auftragsverarbeiter alle in seinen Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Vor der Beendigung kann der Verantwortliche jederzeit über die im Dashboard verfügbare Export-Funktion seine Daten als CSV exportieren.

§ 8 Schlussbestimmungen

Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragsverarbeiters.

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Server werden in zertifizierten Rechenzentren der Subunternehmer betrieben (ISO 27001), kein eigenes Rechenzentrum
  • Zugangskontrolle: passwortlose Anmeldung per Magic-Link, JWT-basierte Sessions, automatische Sperrung nach Inaktivität
  • Zugriffskontrolle: Row-Level Security auf Datenbankebene; jeder Händler sieht ausschließlich Daten seines eigenen Shops
  • Trennungsgebot: mandantenfähige Architektur, logische Trennung der Daten verschiedener Verantwortlicher
  • Pseudonymisierung / Anonymisierung: automatische Anonymisierung personenbezogener Daten nach Ablauf der vom Verantwortlichen konfigurierten Aufbewahrungsfrist

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: ausschließlich TLS-verschlüsselte Übertragung (HTTPS)
  • Eingabekontrolle: Audit-Trail mit IP-Adresse, User-Agent und Zeitstempel jeder Widerrufseinreichung

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle: automatische tägliche Backups, Point-in-Time-Recovery für 7 Tage, geo-redundantes Hosting
  • Schutz vor Missbrauch: IP-basiertes Rate-Limiting auf öffentlichen Endpunkten, Honeypot-Felder gegen Bots

Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Versionskontrollierter Quellcode mit Code-Reviews vor jeder Produktiv-Bereitstellung
  • Kontinuierliche Sicherheitsüberprüfung der Abhängigkeiten (Dependabot, npm audit)
  • Protokollierung sicherheitsrelevanter Ereignisse, Aufbewahrung 30 Tage

Anlage 2: Genehmigte Subunternehmer

Der Auftragsverarbeiter setzt folgende Subunternehmer mit Zustimmung des Verantwortlichen ein:

Vercel Inc.
Hosting der Web-Anwendung (Next.js)
Sitz: Irland (EU) / USA · Datenschutz · AVV
Supabase Inc.
Datenbank-Hosting (PostgreSQL) und Authentifizierung
Sitz: Frankfurt am Main (EU) · Datenschutz · AVV
Emailit
Versand transaktionaler E-Mails (Eingangsbestätigungen)
Sitz: EU · Datenschutz · AVV
Upstash Inc.
Rate-Limiting (Redis), zur Spam-Abwehr
Sitz: EU (Irland) · Datenschutz · AVV

Stand: 11. Mai 2026

Vertragspartner: P² Ventures UG (haftungsbeschränkt), Krokusstr. 33, 73663 Berglen