Rechtliches

Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO
Zuletzt aktualisiert: 11. März 2026

1. Parteien

Dieser Auftragsverarbeitungsvertrag gilt zwischen:

  • Der Verantwortliche ("Kunde"): die natürliche oder juristische Person, die ein Konto bei Consentr hat und das Einwilligungs-Widget auf ihrer/seinen Website(s) implementiert.
  • Der Auftragsverarbeiter ("Consentr"): Network-IT, handelnd unter dem Namen Consentr, mit Sitz in Adegemstraat 88, 2800 Mechelen, Belgien (KBO: BE0553.500.113).

Dieser Vertrag ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen von Consentr und gilt, sobald der Kunde die Dienste nutzt.

2. Gegenstand und Dauer

  1. Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch Consentr im Auftrag des Kunden im Rahmen der Bereitstellung der Consent-Management-Plattform.
  2. Der Vertrag gilt für die Dauer der Nutzung der Dienste durch den Kunden und endet mit Beendigung des Hauptvertrags.

3. Art und Zweck der Verarbeitung

Consentr verarbeitet personenbezogene Daten ausschließlich zum Zweck von:

  • Erfassung und Speicherung von Einwilligungsdatensätzen (Einwilligungsnachweise) von Website-Besuchern des Kunden
  • Anzeige des Einwilligungs-Widgets auf der/den Website(s) des Kunden
  • Erstellung von Analysen und Berichten über Einwilligungen
  • Scannen von Cookies auf der/den Website(s) des Kunden
  • Erstellung von Datenschutz- und Cookie-Richtlinien im Auftrag des Kunden

4. Arten personenbezogener Daten

Folgende Kategorien personenbezogener Daten werden verarbeitet:

KategorieDatenBetroffene
EinwilligungsdatensätzeAnonymisierte Besucher-ID, gehashte IP-Adressen, User Agent, Zeitpunkt der Einwilligung, gewählte Präferenzen, EinwilligungsmodellWebsite-Besucher des Kunden
Cookie-Scan-ErgebnisseGefundene Cookies auf der/den Website(s) des Kunden (keine personenbezogenen Daten der Besucher)Entf.
RichtliniendokumenteUnternehmensdaten des Kunden, die in generierte Richtlinientexte aufgenommen werdenKunde (Kontaktperson)

5. Pflichten des Auftragsverarbeiters

Consentr verpflichtet sich:

  1. Personenbezogene Daten ausschließlich auf Grundlage schriftlicher Weisungen des Kunden zu verarbeiten, es sei denn, eine rechtliche Verpflichtung erfordert etwas anderes. In diesem Fall informiert Consentr den Kunden vor der Verarbeitung, sofern dies nicht gesetzlich verboten ist.
  2. Sicherzustellen, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, der Vertraulichkeit verpflichtet sind.
  3. Alle geeigneten technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO), darunter:
    • Verschlüsselung der Daten bei der Übertragung (TLS) und im Ruhezustand
    • Hashing von IP-Adressen und Besucher-IDs
    • Rollenbasierte Zugriffskontrolle
    • Regelmäßige Backups
    • Überwachung und Protokollierung von Systemzugriffen
  4. Keine Unterauftragsverarbeiter ohne vorherige schriftliche Zustimmung des Kunden einzusetzen. Der Kunde erteilt hiermit eine allgemeine Zustimmung mit dem Recht, innerhalb von 30 Tagen nach Mitteilung eines neuen Unterauftragsverarbeiters Widerspruch einzulegen.
  5. Den Kunden bei der Erfüllung der Pflichten bezüglich der Rechte betroffener Personen (Art. 15-22 DSGVO) zu unterstützen.
  6. Den Kunden bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) und vorheriger Konsultation zu unterstützen, soweit zutreffend.
  7. Nach Beendigung der Dienstleistung alle personenbezogenen Daten nach Wahl des Kunden zu löschen oder zurückzugeben und bestehende Kopien zu löschen, es sei denn, die Speicherung ist gesetzlich vorgeschrieben.
  8. Dem Kunden alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind, und Audits zu ermöglichen.

6. Unterauftragsverarbeiter

Consentr nutzt die folgenden Unterauftragsverarbeiter:

UnterauftragsverarbeiterZweckStandort
Hosting-Anbieter (EU)Hosting der Plattform und Speicherung von DatenEuropäische Union
Stripe, Inc.ZahlungsabwicklungUSA (EU-US Data Privacy Framework)

Änderungen bei Unterauftragsverarbeitern werden mindestens 30 Tage im Voraus kommuniziert. Der Kunde kann innerhalb dieser Frist schriftlich Widerspruch einlegen.

7. Internationale Datenübermittlung

Personenbezogene Daten werden primär innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet. Sofern eine Übermittlung in ein Land außerhalb des EWR erforderlich ist, werden geeignete Garantien getroffen:

  • Angemessenheitsbeschluss der Europäischen Kommission
  • Standardvertragsklauseln (SCCs)
  • EU-US Data Privacy Framework (soweit zutreffend)

8. Meldung von Datenschutzverletzungen

  1. Consentr informiert den Kunden unverzüglich, in jedem Fall innerhalb von 48 Stunden, nachdem Consentr von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat.
  2. Die Meldung enthält mindestens:
    • Die Art der Verletzung
    • Die Kategorien und die geschätzte Anzahl betroffener Personen und personenbezogener Datensätze
    • Die wahrscheinlichen Folgen
    • Die ergriffenen oder vorgeschlagenen Maßnahmen
  3. Consentr gewährt dem Kunden volle Unterstützung bei der Erfüllung seiner Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und der möglichen Benachrichtigung betroffener Personen (Art. 34 DSGVO).

9. Rechte betroffener Personen

Consentr unterstützt den Kunden bei der Bearbeitung von Anfragen betroffener Personen, einschließlich Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Consentr leitet Anfragen, die direkt von betroffenen Personen eingehen, an den Kunden weiter.

10. Audits

  1. Der Kunde hat das Recht, Audits durchzuführen oder durchführen zu lassen, um die Einhaltung dieses Vertrags zu überprüfen.
  2. Audits werden nach angemessener Vorankündigung (mindestens 30 Tage) während der Geschäftszeiten durchgeführt und so, dass der Geschäftsbetrieb von Consentr möglichst wenig beeinträchtigt wird.
  3. Die Kosten des Audits trägt der Kunde, es sei denn, das Audit bringt einen wesentlichen Mangel zutage.

11. Beendigung und Datenlöschung

  1. Bei Beendigung des Hauptvertrags löscht Consentr alle personenbezogenen Daten innerhalb von 30 Tagen, es sei denn:
    • Der Kunde fordert die Rückgabe der Daten an (Export)
    • Gesetzliche Aufbewahrungsfristen erfordern eine längere Speicherung
  2. Der Kunde kann jederzeit einen Export der Einwilligungsdatensätze über die Plattform oder per support@consentr.io.

12. Haftung

Die Haftung der Parteien unter diesem Auftragsverarbeitungsvertrag unterliegt den Beschränkungen der Allgemeinen Geschäftsbedingungen. Beide Parteien sind für die Einhaltung der anwendbaren Datenschutzgesetzgebung selbst verantwortlich.

13. Anwendbares Recht

Auf diesen Auftragsverarbeitungsvertrag ist belgisches Recht anwendbar. Streitigkeiten werden dem zuständigen Gericht in Antwerpen, Abteilung Mechelen vorgelegt.

14. Kontakt

Für Fragen zu diesem Auftragsverarbeitungsvertrag können Sie uns kontaktieren:

Consentr by Network-IT
Adegemstraat 88, 2800 Mechelen, België
E-mail: support@consentr.io
KBO: BE0553.500.113