WiderrufButton
So funktioniert'sProdukteIntegrationenPläneFAQBlog
LoginKostenlos einrichten

Auftragsverarbeitungsvertrag (AVV)

Gemäß Art. 28 DSGVO

Stand: März 2026

Inhalt

  1. Gegenstand der Verarbeitung
  2. Art der personenbezogenen Daten
  3. Betroffene Personen
  4. Dauer der Verarbeitung
  5. Technische und organisatorische Maßnahmen
  6. Subunternehmer · Agentur-Konstellation (6a)
  7. Pflichten des Auftragsverarbeiters
  8. Rechte des Verantwortlichen
  9. Vollständiger AVV

Dies ist der vollständige Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwischen WiderrufButton (Auftragsverarbeiter) und dem Shopbetreiber (Verantwortlicher). Sie können ihn hier vollständig einsehen und jederzeit als PDF speichern oder drucken. Mit Ihrer Registrierung gilt der AVV als zwischen Ihnen und WiderrufButton geschlossen.

1. Gegenstand der Verarbeitung

WiderrufButton verarbeitet als Auftragsverarbeiter im Auftrag des Shopbetreibers (Verantwortlicher) personenbezogene Daten, die von Endkunden (Verbrauchern) im Rahmen der Widerrufserklärung übermittelt werden.

Zweck der Verarbeitung: Entgegennahme, Speicherung und Weiterleitung von Widerrufserklärungen gemäß § 356a BGB sowie die Versendung einer Eingangsbestätigung per E-Mail an den Verbraucher.

2. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung werden folgende Kategorien personenbezogener Daten verarbeitet:

DatenkategoriePflichtZweck
Name des VerbrauchersJaIdentifikation der widerrufenden Person
Kontaktmittel (E-Mail/Telefon)JaEingangsbestätigung, Rückkontakt
BestellreferenzNeinZuordnung zum Vertrag
Freitext-NachrichtNeinErgänzende Informationen
IP-Adresse (gehasht)–Missbrauchsschutz (Rate Limiting)

3. Betroffene Personen

Betroffene Personen sind die Endkunden (Verbraucher) des Shopbetreibers, die über das WiderrufButton-Widget eine Widerrufserklärung abgeben.

4. Dauer der Verarbeitung

Die Auftragsverarbeitung beginnt mit dem Vertragsschluss und endet mit der Beendigung des Nutzungsverhältnisses (Kündigung des WiderrufButton-Abonnements).

Nach Vertragsende werden die Widerrufsdaten gemäß den gesetzlichen Aufbewahrungspflichten gespeichert und anschließend gelöscht, sofern der Verantwortliche keine frühere Löschung verlangt.

5. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter setzt folgende Maßnahmen zum Schutz der personenbezogenen Daten um:

Verschlüsselung

TLS/SSL-Verschlüsselung aller Datenübertragungen. Datenbankverschlüsselung at rest. IP-Adressen werden vor der Speicherung gehasht (SHA-256).

Zugriffskontrolle

Authentifizierung per Magic Link (passwortlos). Rollentrennung: Shopbetreiber sehen nur ihre eigenen Daten. Administrativer Zugriff nur für autorisiertes Personal.

Hosting in Deutschland

Alle Daten werden auf Servern der Hetzner Online GmbH in deutschen Rechenzentren verarbeitet und gespeichert. Kein Transfer in Drittländer durch das Hosting.

Datensicherung

Tägliche automatisierte Backups der Datenbank (pg_dump). Backups werden verschlüsselt auf einer separaten Hetzner Storage Box gespeichert.

6. Subunternehmer

Folgende Subunternehmer werden zur Erfüllung des Auftrags eingesetzt:

UnternehmenZweckStandort
Hetzner Online GmbHServer-Hosting, DatenbankDeutschland
IONOS SEE-Mail-Versand (transaktionale Eingangsbestätigungen)Deutschland

Über Änderungen bei den Subunternehmern wird der Verantwortliche vorab informiert und erhält die Möglichkeit zum Widerspruch.

6a. Agentur-/Unter-Auftragsverarbeitung

Nutzt der Auftraggeber WiderrufButton als Agentur zur Verwaltung von Shops Dritter (seiner Kunden), gilt ergänzend:

(1) Rollenkette. Der jeweilige Händler-Kunde der Agentur ist Verantwortlicher für die personenbezogenen Daten der Verbraucher seines Shops. Die Agentur ist insoweit dessen Auftragsverarbeiterin; WiderrufButton (Cambium Holding UG) ist Unter-Auftragsverarbeiter der Agentur.

(2) Eigene AVV der Agentur. Die Agentur sichert zu, mit jedem von ihr eingebundenen Händler-Kunden einen wirksamen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen zu haben, der die Einschaltung von WiderrufButton als Unter-Auftragsverarbeiter (samt dessen Sub-Auftragnehmern Hetzner und IONOS) gestattet, sowie ihre Kunden über die eingesetzten Sub-Auftragnehmer zu informieren und etwaige Widerspruchsrechte zu wahren.

(3) Weisungsgebundenheit. WiderrufButton verarbeitet die Verbraucherdaten ausschließlich auf dokumentierte Weisung der Agentur, die ihrerseits die Weisung des jeweiligen verantwortlichen Händler-Kunden umsetzt. Die in Sektion 5 beschriebenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) gelten für alle Kunden-Shops gleichermaßen.

(4) Rechenschaft (Art. 5 Abs. 2 DSGVO). WiderrufButton führt pro Shop ein Zugriffsprotokoll über jeden Export bzw. Abruf der Verbraucherdaten (wer, wann, welche Felder, wie viele Datensätze) und stellt es dem jeweils zugriffsberechtigten Verantwortlichen bzw. der Agentur bereit. Verbraucherdaten selbst werden im Protokoll nicht gespeichert.

(5) Verantwortlichkeit der Agentur. Die Agentur ist allein dafür verantwortlich, dass die Einbindung jedes Kunden-Shops auf einer gültigen Rechtsgrundlage beruht und die je Shop konfigurierten Angaben (insbesondere Markt und Rechtsgrundlage des Widerrufs) zutreffen.

7. Pflichten des Auftragsverarbeiters

  • Verarbeitung der Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
  • Gewährleistung, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.
  • Umsetzung aller gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen.
  • Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte (Art. 15–22 DSGVO).
  • Unterstützung bei Meldepflichten (Art. 33, 34 DSGVO).
  • Löschung oder Rückgabe aller Daten nach Ende der Verarbeitung.
  • Ermöglichung von Audits und Inspektionen durch den Verantwortlichen.

8. Rechte des Verantwortlichen

  • Recht auf Auskunft über die verarbeiteten Daten.
  • Recht auf Überprüfung der technischen und organisatorischen Maßnahmen.
  • Weisungsrecht gegenüber dem Auftragsverarbeiter.
  • Recht auf Löschung oder Rückgabe der Daten bei Vertragsende.
  • Widerspruchsrecht bei Änderungen der Subunternehmer.

9. Vollständiger AVV

Dieser AVV steht Ihnen hier vollständig zur Verfügung. Speichern Sie ihn als PDF oder drucken Sie ihn für Ihre Unterlagen. Mit Ihrer Registrierung gilt er als geschlossen.

Zur Registrierung

Dieser Auftragsverarbeitungsvertrag nach Art. 28 DSGVO steht hier vollständig bereit und kann als PDF gespeichert oder gedruckt werden. Mit der Registrierung gilt er als zwischen den Parteien geschlossen. Stand: Juni 2026.

WiderrufButtonEin Beleg, der vor Gericht hält

Der gesetzeskonforme Widerrufs- und Kündigungsbutton mit fälschungssicherem Nachweis.

Produkte

  • Widerrufsbutton
  • Dashboard
  • E-Mail-Bestätigungen
  • Preise
  • Button anpassen

Integrationen

  • WordPress
  • WooCommerce
  • Shopify
  • Shopware 6
  • Wix
  • Alle Integrationen

Verordnungen & Recht

  • EU-Richtlinie 2023/2673
  • § 356a BGB
  • § 13a FAGG (Österreich)
  • DSGVO
  • Widerrufsrecht (§ 355 BGB)
  • Pflicht-Check

Ressourcen

  • Einbau-Anleitung
  • Fälschungssicherer Nachweis
  • Vergleich
  • FAQ
  • Blog

Unternehmen

  • Für Agenturen
  • Kontakt
  • Impressum
  • Datenschutz
  • AGB
  • AVV
SpracheDeutschEnglishFrançaisItalianoEspañolNederlands
© 2026 Cambium Holding UG – Marke WiderrufButton
Entwickelt in Deutschland • Server in Frankfurt