Consent by KaaTai

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO – Consent by KaaTai.

Dieser Auftragsverarbeitungsvertrag (AVV) ergänzt die Allgemeinen Geschäftsbedingungen zwischen dem Kunden (nachfolgend "Verantwortlicher") und

Kahraman Atalay
Deisterstr. 54, 31785 Hameln
(nachfolgend "Auftragsverarbeiter")

und regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.

1. Gegenstand und Dauer

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen des Dienstes "Consent by KaaTai".
  2. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des Hauptvertrags (AGB).

2. Art und Zweck der Verarbeitung

Die Verarbeitung dient folgenden Zwecken:

  • Erfassung und Speicherung von Cookie-Consent-Entscheidungen der Websitebesucher des Verantwortlichen
  • Führung von Consent-Protokollen zum Nachweis der DSGVO-Konformität
  • Bereitstellung von Statistiken über Consent-Aktionen
  • Speicherung und Auslieferung von Rechtstexten (Impressum, Datenschutzerklärung)

3. Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Gehashte Visitor-IDs (pseudonymisiert, kein Rückschluss auf natürliche Person)
  • Consent-Entscheidungen (Kategorien: essenziell, funktional, statistik, marketing)
  • Gehashte IP-Adressen (SHA-256, gekürzt auf 16 Zeichen)
  • User-Agent-Strings (Browsertyp, Betriebssystem)
  • Gerätetyp (Desktop, Mobil, Tablet)
  • GPC-Signal (Global Privacy Control)
  • Zeitstempel der Consent-Entscheidung
  • Domain-Zuordnung

4. Kategorien betroffener Personen

  • Besucher der Websites des Verantwortlichen

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Verarbeitung verpflichtet.
  2. Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben (Art. 28 Abs. 3 lit. b DSGVO).
  3. Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen (siehe Abschnitt 7).
  4. Die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten (siehe Abschnitt 8).
  5. Den Verantwortlichen durch geeignete Maßnahmen bei der Erfüllung von Betroffenenrechten zu unterstützen (Art. 28 Abs. 3 lit. e DSGVO).
  6. Den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32-36 DSGVO zu unterstützen.
  7. Nach Beendigung der Verarbeitung alle personenbezogenen Daten zu löschen oder zurückzugeben (siehe Abschnitt 9).
  8. Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).

6. Pflichten des Verantwortlichen

Der Verantwortliche ist verantwortlich für:

  1. Die Rechtmäßigkeit der Datenverarbeitung gemäß DSGVO.
  2. Die Information der betroffenen Personen über die Verarbeitung (Art. 13, 14 DSGVO).
  3. Die Beantwortung von Anfragen betroffener Personen, sofern diese sich direkt an den Verantwortlichen wenden.
  4. Die Sicherstellung, dass die Weisung an den Auftragsverarbeiter mit den datenschutzrechtlichen Vorgaben im Einklang steht.

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

Vertraulichkeit

  • Zugangsschutz durch Multi-Faktor-Authentifizierung für Administratoren
  • Rollenbasierte Zugriffskontrolle
  • Verschlüsselung der Datenbank-Verbindungen (SSL/TLS)
  • Verschlüsselung der Kommunikation (HTTPS/TLS für alle Verbindungen)

Integrität

  • Automatische Backups der Datenbank
  • Versionierte Konfigurationen (Git)
  • Input-Validierung und Parameterisierte Datenbankabfragen

Verfügbarkeit

  • Hosting in deutschen Rechenzentren (netcup, Karlsruhe)
  • Automatische Neustarts bei Systemausfällen (Docker)
  • Redis-Caching mit Datenbank-Fallback

Pseudonymisierung

  • IP-Adressen werden vor Speicherung per SHA-256 gehasht und auf 16 Zeichen gekürzt
  • Visitor-IDs werden als Hash aus IP und User-Agent gebildet (kein Rückschluss auf Person)

Belastbarkeit

  • Lastverteilung durch Redis-basiertes Caching
  • Datenbank-Fallback bei Redis-Ausfall

8. Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Unterauftragsverarbeiter zu:

UnterauftragsverarbeiterZweckStandort
netcup GmbHServer-Hosting, Datenbank, AuthentifizierungKarlsruhe, Deutschland
Stripe Inc.ZahlungsabwicklungUSA/Irland (EU-US DPF zertifiziert)

Der Auftragsverarbeiter informiert den Verantwortlichen vorab über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann innerhalb von 14 Tagen Einspruch erheben.

Bei berechtigtem Einspruch bemüht sich der Auftragsverarbeiter um eine alternative Lösung. Ist eine solche nicht möglich, hat der Verantwortliche ein Sonderkündigungsrecht.

9. Löschung und Rückgabe

  1. Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter alle personenbezogenen Daten innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  2. Der Verantwortliche kann vor Vertragsende einen Export seiner Daten anfordern.
  3. Die Löschung wird dem Verantwortlichen auf Verlangen schriftlich bestätigt.

10. Kontrollrechte

  1. Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen, auch durch Inspektionen (Art. 28 Abs. 3 lit. h DSGVO).
  2. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle erforderlichen Informationen zur Verfügung.
  3. Inspektionen sind mit einer Vorlaufzeit von 14 Tagen anzukündigen und dürfen den Geschäftsbetrieb nicht unangemessen stören.

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über Verletzungen des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung enthält mindestens:

  • Art der Verletzung
  • Betroffene Datenkategorien und ungefähre Anzahl betroffener Personen
  • Wahrscheinliche Folgen
  • Ergriffene oder vorgeschlagene Maßnahmen

12. Haftung

Die Haftung richtet sich nach Art. 82 DSGVO. Jede Partei haftet für den Schaden, der durch eine nicht DSGVO-konforme Verarbeitung verursacht wird, für die sie verantwortlich ist.

13. Schlussbestimmungen

  1. Änderungen und Ergänzungen dieses AVV bedürfen der Schriftform.
  2. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
  3. Es gilt das Recht der Bundesrepublik Deutschland.

Stand: Februar 2026