Version 1.0 · Art. 28 Abs. 3 DSGVO

Vertrag zur Auftragsverarbeitung (AVV)

Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Nutzung des über zrapp.group bereitgestellten Widerrufsbutton-Dienstes (nachfolgend „Dienst").

§ 1 Parteien

Verantwortlicher (Auftraggeber)

Der bei der Registrierung des Dienstes angegebene Shop-Betreiber (Name, Anschrift, E-Mail gemäß Registrierungsformular). Der Verantwortliche bestimmt über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Kundinnen und Kunden.

Auftragsverarbeiter (Auftragnehmer)

Artur Hoffmann (zrapp.group), Okenstraße 352b, 77652 Offenburg, Deutschland, E-Mail: support@zrapp.de (nachfolgend „Auftragnehmer").

Der AVV kommt mit der Bestätigung im Registrierungsprozess (Double-Opt-In) zustande und gilt für die Dauer der Nutzung des Dienstes.

§ 2 Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Verantwortlichen ausschließlich zum Zweck der Bereitstellung der elektronischen Widerrufsfunktion nach § 356a BGB. Dies umfasst die Entgegennahme einer über den Widerrufsbutton abgegebenen Widerrufserklärung, die Weiterleitung dieser Erklärung an den Verantwortlichen sowie den Versand der gesetzlich vorgeschriebenen Eingangsbestätigung an die betroffene Person.

Die Dauer dieses AVV entspricht der Laufzeit der Nutzung des Dienstes. Der Vertrag endet mit der Löschung des Nutzerkontos bzw. der Einstellung der Nutzung des Dienstes.

Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union statt. Eine Übermittlung personenbezogener Daten in ein Drittland findet nicht statt.

§ 3 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen

Art der Verarbeitung

Erheben, Erfassen, Übermitteln (Weiterleitung an den Verantwortlichen), kurzfristiges Verarbeiten zum Zweck des Versands der Eingangsbestätigung sowie anschließendes Löschen.

Zweck der Verarbeitung

Ermöglichung der gesetzlich vorgeschriebenen elektronischen Widerrufsfunktion (§ 356a BGB), Weiterleitung eingehender Widerrufe an den Verantwortlichen und Versand der gesetzlichen Eingangsbestätigung mit Datum und Uhrzeit an die betroffene Person auf einem dauerhaften Datenträger.

Art der personenbezogenen Daten

Name der betroffenen Person (Verbraucher:in)
Bestell- bzw. Vertragsnummer (Vertragsidentifikation)
E-Mail-Adresse der betroffenen Person (elektronisches Kommunikationsmittel)
ggf. von der betroffenen Person freiwillig gemachte Angaben zum widerrufenen Vertrag
Stammdaten des Verantwortlichen (Shop-Name, Domain, Benachrichtigungs-E-Mail)

Kategorien betroffener Personen

Kundinnen und Kunden (Verbraucherinnen und Verbraucher) des Verantwortlichen, die die Widerrufsfunktion nutzen.

§ 4 Weisungsbefugnis des Verantwortlichen

Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zu einer anderen Verarbeitung verpflichtet ist. Die Konfiguration und Nutzung des Dienstes durch den Verantwortlichen gilt als Weisung im Sinne dieses Vertrags.

Mündliche Weisungen bestätigt der Verantwortliche unverzüglich in Textform. Der Auftragnehmer informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

§ 5 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die konkreten Maßnahmen sind in Anlage 1 beschrieben und werden bei Bedarf an den Stand der Technik angepasst.

Wesentliche Änderungen der TOM, die das Schutzniveau verringern könnten, sind dem Verantwortlichen mitzuteilen.

§ 6 Inanspruchnahme weiterer Auftragsverarbeiter (Unterauftragnehmer)

Der Verantwortliche erteilt dem Auftragnehmer die allgemeine Genehmigung zur Inanspruchnahme der in Anlage 2 genannten Unterauftragnehmer.

Der Auftragnehmer informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern. Der Verantwortliche kann einer solchen Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen.

Der Auftragnehmer verpflichtet jeden Unterauftragnehmer vertraglich zu denselben Datenschutzpflichten, die in diesem AVV festgelegt sind (Art. 28 Abs. 4 DSGVO).

§ 7 Unterstützungspflichten des Auftragnehmers

Der Auftragnehmer unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen (Art. 12–23 DSGVO). Gehen Anträge betroffener Personen direkt beim Auftragnehmer ein, leitet er diese unverzüglich an den Verantwortlichen weiter.

Der Auftragnehmer unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 32 bis 36 DSGVO (Datensicherheit, Meldung von Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzung).

Wird dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt, informiert er den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis.

§ 8 Vertraulichkeit

Der Auftragnehmer setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).

§ 9 Löschung und Rückgabe von Daten

Die einzelnen über den Widerrufsbutton eingehenden Widerrufserklärungen werden vom Auftragnehmer nicht dauerhaft gespeichert. Sie werden ausschließlich an den Verantwortlichen weitergeleitet und zum Versand der Eingangsbestätigung verarbeitet; danach werden sie beim Auftragnehmer gelöscht.

Die Stammdaten des Verantwortlichen werden gespeichert, solange das Nutzerkonto besteht. Nach Beendigung des Auftrags löscht der Auftragnehmer die personenbezogenen Daten des Verantwortlichen nach dessen Wahl oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 28 Abs. 3 lit. g DSGVO).

§ 10 Nachweis- und Kontrollrechte

Der Auftragnehmer stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 lit. h DSGVO).

Der Verantwortliche ist berechtigt, sich von der Einhaltung der getroffenen Maßnahmen zu überzeugen. Kontrollen erfolgen mit angemessener Vorankündigung, zu üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs. Der Nachweis kann auch durch geeignete Zertifizierungen oder aktuelle Testate erbracht werden.

§ 11 Haftung

Für die Haftung gilt Art. 82 DSGVO. Im Übrigen haften die Parteien nach den gesetzlichen Bestimmungen. Der Dienst wird im Rahmen eines kostenlosen Open-Source-Angebots (MIT-Lizenz) bereitgestellt; eine Haftung des Auftragnehmers für leichte Fahrlässigkeit ist – soweit gesetzlich zulässig – auf vertragstypische, vorhersehbare Schäden begrenzt. Zwingende gesetzliche Haftung, insbesondere nach Art. 82 DSGVO sowie bei Verletzung von Leben, Körper und Gesundheit, bleibt unberührt.

§ 12 Schlussbestimmungen

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Es gilt das Recht der Bundesrepublik Deutschland. Bei Widersprüchen zwischen diesem AVV und sonstigen Vereinbarungen der Parteien gehen die Regelungen dieses AVV in Bezug auf den Datenschutz vor.

Dieser AVV wird elektronisch geschlossen (Art. 28 Abs. 9 DSGVO) und dem Verantwortlichen dauerhaft abrufbar zur Verfügung gestellt.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

1. Vertraulichkeit

Zugangskontrolle: Zugriff auf Systeme nur für berechtigte Personen, gesicherte Authentifizierung.
Zugriffskontrolle: rollenbasierte Berechtigungen, Beschränkung auf das für den Zweck Erforderliche.
Verschlüsselung: TLS-Verschlüsselung sämtlicher Datenübertragungen (HTTPS).

2. Integrität

Weitergabekontrolle: Übermittlung ausschließlich verschlüsselt; keine Drittlandübermittlung.
Eingabekontrolle: Protokollierung relevanter Verarbeitungsvorgänge im erforderlichen Umfang.

3. Verfügbarkeit und Belastbarkeit

Hosting bei der IONOS SE (Elgendorfer Straße 57, 56410 Montabaur, Deutschland), Verarbeitung in deutschen Rechenzentren innerhalb der EU.
Transportverschlüsselung sämtlicher Verbindungen über TLS/HTTPS; Datenbankzugriff nur über gesicherte, authentifizierte Verbindungen.
Maßnahmen zum Schutz vor Verlust und unbefugter Veränderung (u. a. regelmäßige Datensicherung).

4. Verfahren zur regelmäßigen Überprüfung

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): Es werden ausschließlich die für die Widerrufsfunktion erforderlichen Daten verarbeitet (Datensparsamkeit).
Einzelne Widerrufe werden nicht dauerhaft gespeichert (Grundsatz der Speicherbegrenzung).

⚠️ Vor Produktivnutzung final prüfen: weitere konkrete Verschlüsselungs-/Backup-Verfahren ergänzen, falls über die genannten Maßnahmen hinaus eingesetzt (z. B. Verschlüsselung sensibler Felder at-rest).

Anlage 2 — Verzeichnis der Unterauftragnehmer

Der Auftragnehmer setzt folgende Unterauftragnehmer ein:

1. Amazon SES (E-Mail-Versand)

Anbieter: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg
Zweck: Versand der Widerruf-Eingangsbestätigung an die betroffene Person sowie Benachrichtigung des Verantwortlichen
Verarbeitungsort: Region eu-central-1 (Frankfurt am Main, Deutschland) – Verarbeitung innerhalb der EU

2. IONOS SE (Hosting der Website & Anwendung)

Anbieter: IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland
Zweck: Betrieb von Website, Anwendung und Datenbank (Server-Hosting)
Verarbeitungsort: Deutschland – Verarbeitung innerhalb der EU