Auftragsverarbeitungsvertrag (AVV)
Gemäß Art. 28 DSGVO
Stand: März 2026
Diese Seite bietet eine Übersicht über den Auftragsverarbeitungsvertrag zwischen WiderrufButton (Auftragsverarbeiter) und dem Shopbetreiber (Verantwortlicher). Der vollständige, rechtsverbindliche AVV kann nach Registrierung im Dashboard heruntergeladen werden.
1. Gegenstand der Verarbeitung
WiderrufButton verarbeitet als Auftragsverarbeiter im Auftrag des Shopbetreibers (Verantwortlicher) personenbezogene Daten, die von Endkunden (Verbrauchern) im Rahmen der Widerrufserklärung übermittelt werden.
Zweck der Verarbeitung: Entgegennahme, Speicherung und Weiterleitung von Widerrufserklärungen gemäß § 356a BGB sowie die Versendung einer Eingangsbestätigung per E-Mail an den Verbraucher.
2. Art der personenbezogenen Daten
Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:
| Datenkategorie | Pflicht | Zweck |
|---|---|---|
| Name des Verbrauchers | Ja | Identifikation der widerrufenden Person |
| Kontaktmittel (E-Mail/Telefon) | Ja | Eingangsbestätigung, Rückkontakt |
| Bestellreferenz | Nein | Zuordnung zum Vertrag |
| Freitext-Nachricht | Nein | Ergänzende Informationen |
| IP-Adresse (gehasht) | – | Missbrauchsschutz (Rate Limiting) |
3. Betroffene Personen
Betroffene Personen sind die Endkunden (Verbraucher) des Shopbetreibers, die über das WiderrufButton-Widget eine Widerrufserklärung abgeben.
4. Dauer der Verarbeitung
Die Auftragsverarbeitung beginnt mit dem Vertragsschluss und endet mit der Beendigung des Nutzungsverhältnisses (Kündigung des WiderrufButton-Abonnements).
Nach Vertragsende werden die Widerrufsdaten gemäß den gesetzlichen Aufbewahrungspflichten gespeichert und anschließend gelöscht, sofern der Verantwortliche keine frühere Löschung verlangt.
5. Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter setzt folgende Maßnahmen zum Schutz der personenbezogenen Daten um:
Verschlüsselung
TLS/SSL-Verschlüsselung aller Datenübertragungen. Datenbankverschlüsselung at rest. IP-Adressen werden vor der Speicherung gehasht (SHA-256).
Zugriffskontrolle
Authentifizierung per Magic Link (passwortlos). Rollentrennung: Shopbetreiber sehen nur ihre eigenen Daten. Administrativer Zugriff nur für autorisiertes Personal.
Hosting in Deutschland
Alle Daten werden auf Servern der Hetzner Online GmbH in deutschen Rechenzentren verarbeitet und gespeichert. Kein Transfer in Drittländer durch das Hosting.
Datensicherung
Tägliche automatisierte Backups der Datenbank (pg_dump). Backups werden verschlüsselt auf einer separaten Hetzner Storage Box gespeichert.
6. Subunternehmer
Folgende Subunternehmer werden zur Erfüllung des Auftrags eingesetzt:
| Unternehmen | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank | Deutschland |
| [SMTP-PROVIDER EINFÜGEN] | E-Mail-Versand (transaktional) | [STANDORT EINFÜGEN] |
Über Änderungen bei den Subunternehmern wird der Verantwortliche vorab informiert und erhält die Möglichkeit zum Widerspruch.
7. Pflichten des Auftragsverarbeiters
- Verarbeitung der Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
- Gewährleistung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
- Umsetzung aller gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen.
- Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO).
- Unterstützung bei Meldepflichten (Art. 33, 34 DSGVO).
- Löschung oder Rückgabe aller Daten nach Ende der Verarbeitung.
- Ermöglichung von Audits und Inspektionen durch den Verantwortlichen.
8. Rechte des Verantwortlichen
- Recht auf Auskunft über die verarbeiteten Daten.
- Recht auf Überprüfung der technischen und organisatorischen Maßnahmen.
- Weisungsrecht gegenüber dem Auftragsverarbeiter.
- Recht auf Löschung oder Rückgabe der Daten bei Vertragsende.
- Widerspruchsrecht bei Änderungen der Subunternehmer.
9. Vollständiger AVV
Den vollständigen, rechtsverbindlichen AVV können Sie nach Registrierung in Ihrem Dashboard herunterladen.
Zum DashboardHinweis: Diese Übersicht ist ein Entwurf und ersetzt nicht den vollständigen AVV. Der rechtsverbindliche AVV muss vor Produktivbetrieb von einem Rechtsanwalt erstellt und geprüft werden.