Startseite | Mein Konto | Login
easyRechtssicher

Vertrag ueber die Verarbeitung personenbezogener Daten im Auftrag (AVV)

gemaess Art. 28 Abs. 3 DSGVO — Anlage zu den Allgemeinen Geschaeftsbedingungen (AGB) von easyRechtssicher

Version 2.0 · Stand: 27.06.2026

Praeambel

Der Verantwortliche (nachfolgend „Auftraggeber“) nutzt im Rahmen seines AGB-/Hauptvertrags mit dem Auftragsverarbeiter (nachfolgend „Anbieter“) die unter der Marke easyRechtssicher bereitgestellten Tools. Soweit der Anbieter dabei personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers auf seinen Systemen verarbeitet, liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Dieser Vertrag ist untrennbarer Bestandteil des Hauptvertrags (AGB). Bei Widerspruechen gehen fuer Fragen der Auftragsverarbeitung die Regelungen dieses AVV vor.

Dieser AVV gilt einheitlich fuer alle in Anhang C erfassten easyRechtssicher-Tools und loest die bisherige tool-spezifische Auftragsverarbeitungs-Vereinbarung zum Widerrufsbutton ab.

1. Parteien des Vertrags

Verantwortlicher (Auftraggeber): der Website-Betreiber / das Unternehmen, das die easyRechtssicher-Tools in sein eigenes Online-Angebot einbindet (Art. 4 Nr. 7 DSGVO). Die Identitaet ergibt sich aus den Registrierungs-/Vertragsdaten des Hauptvertrags.

Auftragsverarbeiter (Anbieter): Paragraf7 UG & Co. KG, Riensberger Str. 39, 28213 Bremen (Art. 4 Nr. 8 DSGVO).

2. Begriffsbestimmungen

Die verwendeten Begriffe entsprechen den Definitionen in Art. 4 DSGVO.

  • Verantwortlicher / Auftraggeber: der Auftraggeber gemaess Ziffer 1 (Art. 4 Nr. 7 DSGVO)
  • Auftragsverarbeiter / Anbieter: Paragraf7 UG & Co. KG (Art. 4 Nr. 8 DSGVO)
  • Tools: die unter der Marke easyRechtssicher auf Systemen des Anbieters betriebenen Funktionsmodule, die personenbezogene Daten im Auftrag verarbeiten (Cookie-Banner/Consent-Tool, Widerrufsbutton; siehe Anhang C)
  • Betroffene Personen: Besucher und Kunden der Website des Auftraggebers

3. Gegenstand, Art, Umfang, Zweck und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten zur Erbringung der in Anhang C beschriebenen Tool-Funktionen im Auftrag des Auftraggebers. Eine Verarbeitung zu eigenen Zwecken des Anbieters findet nicht statt. Die Verarbeitung umfasst je nach Tool das Erheben, Speichern, Auslesen, Uebermitteln (Eingangsbestaetigung/Benachrichtigung), Einschraenken, Pseudonymisieren und Loeschen der in Ziffer 4 genannten Daten.

Die Verantwortung fuer die Rechtsgrundlage traegt der Auftraggeber. Massgeblich sind insbesondere: Cookie-Banner — § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a, Art. 7 DSGVO; Widerrufsbutton — Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 356a BGB n.F. (ab 19.06.2026) sowie Art. 6 Abs. 1 lit. b DSGVO.

Der Vertrag beginnt mit Aktivierung des jeweiligen Tools bzw. Annahme dieses AVV und laeuft auf unbestimmte Zeit; er endet mit Beendigung des Hauptvertrags ueber das letzte aktive Tool.

4. Datenarten und Kategorien betroffener Personen

4.1 Cookie-Banner / Consent-Tool

Betroffene: Besucher der Website(s) des Auftraggebers.

  • pseudonymer Besucher-Identifier (visitor_hash)
  • gehashter IP-Wert (ip_hash, SHA-256 — keine Klartext-IP)
  • gekuerzte Browser-/Geraete-Kennung (user_agent)
  • Einwilligungs-Entscheidung je Kategorie (necessary / statistics / marketing)
  • Aktion (accept_all / reject_all / save_selection / dismissed)
  • aktive Richtlinien-Version (policy_version)
  • Zeitpunkt der Einwilligung (given_at) bzw. des Widerrufs (revoked_at)

4.2 Widerrufsbutton

Betroffene: Verbraucher i.S.d. § 13 BGB des Auftraggebers.

  • Name (name), Vertrags-/Bestellreferenz (contract_ref), E-Mail (email)
  • Umfang des Widerrufs (partial_items; leer = Vollwiderruf), optionaler Grund (reason)
  • Eingangszeitpunkt, Aufbewahrungs-Ende, Pseudonymisierungs-Zeitpunkt, Bearbeitungsstatus
  • Audit-Log (insert-only): gehashter IP-Wert (ip_hash, SHA-256+Salt), user_agent, Aktions-/Akteurskennung, Zeitstempel

5. Weisungsgebundenheit

Der Anbieter verarbeitet die Daten ausschliesslich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Standard-Weisung ist dieser Vertrag samt Anhaengen und die Tool-Konfiguration des Auftraggebers. Haelt der Anbieter eine Weisung fuer rechtswidrig, informiert er den Auftraggeber unverzueglich und kann die Durchfuehrung aussetzen (Art. 28 Abs. 3 Satz 2 DSGVO).

6. Pflichten des Anbieters

  • Vertraulichkeit: zur Verarbeitung befugte Personen sind zur Vertraulichkeit verpflichtet (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO), ueber das Vertragsende hinaus
  • Datensicherheit: TOM nach Art. 32 DSGVO (Anhang B)
  • Hosting / kein Drittland: Verarbeitung und Speicherung ausschliesslich auf Servern in der Bundesrepublik Deutschland. Keine Uebermittlung in bzw. kein Zugriff aus einem Drittland (Art. 44 ff. DSGVO). SCC / DPF daher nicht erforderlich
  • Meldung von Verletzungen unverzueglich, spaetestens binnen 48 Stunden; Unterstuetzung nach Art. 33, 34 DSGVO

7. Technische und organisatorische Massnahmen (Art. 32 DSGVO)

Die Massnahmen ergeben sich aus Anhang B. Eine Fortentwicklung ist zulaessig, sofern das vereinbarte Schutzniveau nicht unterschritten wird.

8. Unterauftragsverhaeltnisse

Der Auftraggeber genehmigt die in Anhang A aufgefuehrten Unterauftragsverarbeiter (Art. 28 Abs. 2 DSGVO). Aenderungen werden mit 30 Tagen Vorlauf in Textform mitgeteilt; Widerspruch aus wichtigem Grund binnen 14 Tagen. Der Anbieter erlegt jedem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf (Art. 28 Abs. 4 DSGVO) und haftet fuer deren Einhaltung.

9. Unterstuetzung des Auftraggebers

Der Anbieter unterstuetzt den Auftraggeber bei Antraegen betroffener Personen (Art. 12–23 DSGVO, Art. 28 Abs. 3 lit. e) sowie bei den Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung/Benachrichtigung, DSFA, vorherige Konsultation; Art. 28 Abs. 3 lit. f). Direkt an den Anbieter gerichtete Betroffenenanfragen werden unverzueglich an den Auftraggeber weitergeleitet.

10. Loeschung und Rueckgabe

Die konfigurierten Aufbewahrungsfristen (Widerrufsbutton 3/6/10 Jahre, danach Pseudonymisierung; Audit-IP/User-Agent 90 Tage) gelten als Weisung. Nach Vertragsende loescht der Anbieter nach Wahl des Auftraggebers alle Daten oder gibt sie zurueck und loescht Kopien innerhalb von 30 Tagen (Art. 28 Abs. 3 lit. g DSGVO), vorbehaltlich gesetzlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO).

11. Nachweise und Kontrollen (Audit)

Der Anbieter stellt die zum Nachweis der Art-28-Pflichten erforderlichen Informationen bereit (Art. 28 Abs. 3 lit. h DSGVO) und ermoeglicht Ueberpruefungen. Vor-Ort-Kontrollen mit mindestens 4 Wochen Vorankuendigung, in der Regel hoechstens einmal jaehrlich, anlassbezogen auch haeufiger. Der Nachweis kann vorrangig durch Dokumentation, Testate oder Berichte unabhaengiger Stellen erfolgen.

12. Haftung, Vertragsdauer, Schlussbestimmungen

  • Haftung: im Aussenverhaeltnis Art. 82 DSGVO; im Innenverhaeltnis nach Verursachungsanteil. Keine Haftungsbegrenzung fuer Vorsatz, grobe Fahrlaessigkeit und DSGVO-Bussgeld-Regress
  • Versicherung: Der Anbieter unterhaelt eine Cyber-/Betriebshaftpflichtversicherung mit einer Deckungssumme von mindestens 2 Mio. EUR
  • Aenderungen: Textform; gesetzlich/aufsichtsbehoerdlich bedingte Anpassungen mit 30 Tagen Vorlauf, Widerspruchsrecht
  • Salvatorische Klausel
  • Anwendbares Recht: Deutsches Recht; Gerichtsstand Sitz des Anbieters (Bremen)

Anhang A — Genehmigte Unterauftragsverarbeiter

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen — Hosting / Server-Infrastruktur / Storage — Deutschland
  • ALL-INKL.COM — Neue Medien Muennich, Inhaber Rene Muennich, Hauptstr. 68, 02742 Friedersdorf — E-Mail-Versand (KAS-Mailserver) — Deutschland

Anhang B — Technische und organisatorische Massnahmen (Art. 32 DSGVO)

  • Vertraulichkeit: Rechenzentrum DE mit Zutrittssicherung; MFA fuer Admin-Zugaenge; rollenbasiertes Berechtigungskonzept (Need-to-know), CSRF-Schutz; Mandantentrennung; Pseudonymisierung (IP nur als SHA-256+Salt, kein Klartext; Audit-IP/User-Agent nach 90 Tagen NULL)
  • Integritaet: TLS in Transit, Volume-Verschluesselung at-rest; unveraenderbares (insert-only) Audit-Log
  • Verfuegbarkeit: regelmaessige Backups, Wiederherstellung, Monitoring
  • Ueberpruefung: dokumentiertes Datenschutz-Management, regelmaessige TOM-Pruefung, Incident-Response

Anhang C — Erfasste Tools, Zwecke und Aufbewahrung

  • Cookie-Banner / Consent-Tool — Einholung + Nachweis der Cookie-Einwilligung; Aufbewahrung nach Nachweispflicht / Konfiguration
  • Widerrufsbutton — Entgegennahme + Dokumentation + Weiterleitung von Verbraucher-Widerrufen; Widerrufsdaten 3/6/10 Jahre (konfigurierbar) danach Pseudonymisierung, Audit-IP/User-Agent 90 Tage

Weitere easyRechtssicher-Tools werden durch Ergaenzung dieses Anhangs C in den Geltungsbereich einbezogen.