Zurück zur Startseite
Gesetzesticker

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Stand: 28.10.2025

Wichtige Information

Dieser Auftragsverarbeitungsvertrag regelt die datenschutzrechtlichen Anforderungen gemäß Art. 28 DSGVO für die Nutzung des Gesetzestickers. Mit Ihrer Registrierung und Nutzung des Services akzeptieren Sie automatisch die Bedingungen dieses AVV.

Präambel

Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus dem Hauptvertrag (Nutzungsvertrag/AGB) ergeben. Der Auftragnehmer (YOURLEAF) verarbeitet im Auftrag des Auftraggebers (Kunde) personenbezogene Daten.

1. Vertragsparteien

Auftragnehmer (Verarbeiter)

YOURLEAF
Inh. Saskia von der Pütten
Zur Zugbrücke 2
26203 Wardenburg
Deutschland

E-Mail: info@yourleaf.de
Telefon: 04407 - 9136812
Steuernummer: 64/134/03547

Auftraggeber (Verantwortlicher)

Der jeweilige Kunde, der den Gesetzesticker-Service nutzt und dabei personenbezogene Daten verarbeitet.

Die Kontaktdaten des Auftraggebers ergeben sich aus der bei der Registrierung angegebenen Daten und können jederzeit im Nutzerkonto eingesehen werden.

2. Gegenstand und Dauer

2.1 Gegenstand der Auftragsverarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Bereitstellung des Gesetzesticker-Services. Die Verarbeitung erfolgt ausschließlich nach den dokumentierten Weisungen des Auftraggebers.

2.2 Dauer

Dieser Vertrag tritt mit Beginn der Nutzung des Gesetzesticker-Services in Kraft und endet automatisch mit Beendigung des Hauptvertrages. Eine ordentliche Kündigung dieses AVV ist nicht möglich, solange der Hauptvertrag besteht.

3. Art und Zweck der Datenverarbeitung

3.1 Art der Verarbeitung

  • Erhebung von personenbezogenen Daten bei der Registrierung
  • Speicherung von Nutzerdaten auf sicheren Servern in Deutschland
  • Verarbeitung von Mailinglisten und E-Mail-Adressen für Newsletter-Versand
  • Verwaltung von Nutzerkonten und Unterbenutzer-Accounts
  • Verarbeitung von Rechtskataster-Inhalten und benutzerdefinierten Kategorien
  • Verarbeitung von KI-Suchanfragen zur Bereitstellung der KI-Gesetzessuche
  • Erstellung und Verwaltung von Rechnungen
  • Protokollierung von System- und Sicherheitsereignissen
  • Übermittlung von Daten an Subunternehmer (siehe Anlage)

3.2 Zweck der Verarbeitung

  • Bereitstellung und Betrieb des Gesetzesticker-Services
  • Versand von personalisierten Newsletter zu Gesetzesänderungen
  • Verwaltung von Mailinglisten und Empfängerdaten
  • Ermöglichung der KI-gestützten Gesetzessuche
  • Verwaltung von Abonnements und Rechnungsstellung
  • Technischer Support und Kundenbetreuung
  • Gewährleistung der IT-Sicherheit

3.3 Kategorien betroffener Personen

  • Kunden und Interessenten des Auftraggebers
  • Mitarbeiter und Unterbenutzer des Auftraggebers
  • Newsletter-Empfänger in den Mailinglisten des Auftraggebers
  • Ansprechpartner bei Geschäftspartnern des Auftraggebers

3.4 Kategorien personenbezogener Daten

  • Stammdaten: Name, Vorname, Anrede, Firmenname
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer (optional)
  • Vertragsdaten: Paket-Informationen, Abonnement-Status, Rechnungsdaten
  • Nutzungsdaten: Login-Zeitpunkte, IP-Adressen (bei Anmeldung), Zugriffsprotokolle
  • Inhaltsdaten: Rechtskataster-Inhalte, Notizen, benutzerdefinierte Kategorien
  • Kommunikationsdaten: Newsletter-Präferenzen, Mailinglisten, E-Mail-Versandhistorie
  • KI-Suchdaten: Suchanfragen, Sucheinstellungen, Nutzungsstatistiken
  • Technische Daten: Browser-Informationen, Gerätetyp, Betriebssystem

4. Weisungen des Auftraggebers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Als dokumentierte Weisung gilt:

  • Dieser Auftragsverarbeitungsvertrag und seine Anlagen
  • Die Allgemeinen Geschäftsbedingungen (AGB)
  • Die Datenschutzerklärung
  • Die Nutzung der Funktionen des Gesetzesticker-Services durch den Auftraggeber
  • Schriftliche Einzelweisungen per E-Mail an info@yourleaf.de

Hinweispflicht bei rechtswidrigen Weisungen

Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn eine Weisung nach Ansicht des Auftragnehmers gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.

5. Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer hat umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

5.1 Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Hosting in zertifizierten Rechenzentren in Deutschland mit physischem Zugangschutz
  • Zugangskontrolle: Individuelle Benutzerkonten mit verschlüsselten Passwörtern (bcrypt)
  • Zugriffskontrolle: Rollenbasierte Zugriffskontrolle, Mehrfaktor-Authentifizierung für Administratoren
  • Trennungskontrolle: Strikte Datentrennung zwischen verschiedenen Mandanten (Kunden)
  • Pseudonymisierung: Wo möglich werden personenbezogene Daten pseudonymisiert

5.2 Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle: Verschlüsselte Datenübertragung (TLS 1.3, 256-Bit SSL)
  • Eingabekontrolle: Protokollierung von Datenänderungen mit Zeitstempel und Benutzer
  • Transportkontrolle: Verschlüsselte Übertragung bei allen externen Verbindungen
  • Firewall: Mehrschichtige Firewall-Systeme
  • Malware-Schutz: Regelmäßige Sicherheitsscans und Updates

5.3 Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Backup: Tägliche automatische Backups mit 30 Tagen Aufbewahrung
  • Redundanz: Redundante Systeme und Netzwerkverbindungen
  • Verfügbarkeit: Angestrebte Verfügbarkeit von 99,5% (ohne geplante Wartungen)
  • Monitoring: 24/7 Systemüberwachung mit automatischen Alarmen

5.4 Verfahren zur Wiederherstellung (Art. 32 Abs. 1 lit. c DSGVO)

  • Wiederherstellung: Dokumentiertes Disaster-Recovery-Verfahren
  • Notfallplan: Schriftlich dokumentierte Notfallpläne
  • Recovery-Zeit: Maximale Wiederherstellungszeit von 24 Stunden

5.5 Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Datenschutz-Management: Dokumentiertes Datenschutz-Managementsystem
  • Sicherheitsaudits: Regelmäßige interne und externe Sicherheitsüberprüfungen
  • Mitarbeiterschulung: Regelmäßige Schulungen zu Datenschutz und IT-Sicherheit
  • Incident Response: Dokumentiertes Verfahren zur Behandlung von Datenschutzverletzungen

5.6 Organisatorische Maßnahmen

  • Vertraulichkeitsverpflichtung: Alle Mitarbeiter sind auf Vertraulichkeit verpflichtet
  • Datenschutzbeauftragter: Benannter Datenschutz-Ansprechpartner
  • Prozessdokumentation: Vollständig dokumentierte Datenverarbeitungsprozesse
  • Rechtemanagement: Minimalprinzip bei Zugriffsrechten

Aktualisierung der TOM

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist berechtigt, alternative angemessene Maßnahmen umzusetzen, sofern das Schutzniveau nicht unterschritten wird.

6. Subunternehmer (Art. 28 Abs. 2 und 4 DSGVO)

Der Auftraggeber erteilt hiermit seine generelle Zustimmung zur Beauftragung von Subunternehmern. Der Auftragnehmer ist verpflichtet, den Auftraggeber über beabsichtigte Änderungen in Bezug auf Hinzufügung oder Ersetzung von Subunternehmern zu informieren und dem Auftraggeber die Möglichkeit zu geben, Einspruch zu erheben.

Aktuell eingesetzte Subunternehmer

Server-Hosting

Dienstleister: Deutscher Hosting-Provider
Standort: Deutschland (EU)
Zweck: Bereitstellung und Betrieb der Server-Infrastruktur
Datenkategorie: Alle im Service gespeicherten Daten

E-Mail-Versand

Dienstleister: SendGrid (Twilio Inc.)
Standort: USA (mit EU-Standardvertragsklauseln)
Zweck: Versand von Newslettern und Transaktions-E-Mails
Datenkategorie: E-Mail-Adressen, Namen, E-Mail-Inhalte

KI-Service (Anthropic Claude)

Dienstleister: Anthropic Inc.
Standort: USA (mit EU-Standardvertragsklauseln)
Zweck: KI-gestützte Gesetzessuche und -analyse
Datenkategorie: Suchanfragen, Sucheinstellungen
Besonderheit: Opt-in erforderlich bei Nutzung der KI-Gesetzessuche

Website-Analyse

Dienstleister: Google Analytics (Google LLC)
Standort: USA
Zweck: Website-Analyse und Optimierung
Datenkategorie: Anonymisierte Nutzungsdaten, IP-Adressen (anonymisiert)
Besonderheit: Opt-in erforderlich über Cookie-Banner

Widerspruchsrecht

Der Auftraggeber hat das Recht, innerhalb von 14 Tagen nach Bekanntgabe der Hinzufügung oder Ersetzung von Subunternehmern Einspruch zu erheben. Der Einspruch ist schriftlich per E-Mail an info@yourleaf.de zu richten und zu begründen.

7. Rechte betroffener Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12-22 DSGVO.

Unterstützung bei Betroffenenrechten

  • Auskunftsrecht (Art. 15 DSGVO): Bereitstellung der verarbeiteten Daten auf Anfrage
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Löschung personenbezogener Daten
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Export in maschinenlesbarem Format
  • Widerspruch (Art. 21 DSGVO): Einstellung der Verarbeitung

Anfragen betroffener Personen, die direkt an den Auftragnehmer gerichtet werden, leitet dieser unverzüglich an den Auftraggeber weiter. Die Bearbeitung erfolgt durch den Auftraggeber als Verantwortlichen.

8. Unterstützung des Auftraggebers

8.1 Datenschutz-Folgenabschätzung

Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durch Bereitstellung relevanter technischer und organisatorischer Informationen.

8.2 Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 24 Stunden, über jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

Die Meldung erfolgt per E-Mail an die im Nutzerkonto hinterlegte E-Mail-Adresse und enthält alle verfügbaren Informationen zur Art der Verletzung, den betroffenen Kategorien und ungefähren Zahlen betroffener Personen sowie den ergriffenen Maßnahmen.

9. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftragnehmer zu überprüfen.

9.1 Nachweis der Maßnahmen

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage folgende Nachweise zur Verfügung:

  • Dokumentation der technischen und organisatorischen Maßnahmen
  • Nachweis über eingesetzte Subunternehmer und deren Zertifizierungen
  • Relevante Auszüge aus Sicherheitsaudits (unter Wahrung der Vertraulichkeit)
  • Bestätigungen über Mitarbeiterschulungen

9.2 Inspektionen und Audits

Der Auftraggeber oder ein von ihm beauftragter Prüfer ist berechtigt, nach vorheriger Ankündigung (mindestens 14 Tage) und zu üblichen Geschäftszeiten Inspektionen durchzuführen oder durchführen zu lassen.

Hinweis: Inspektionen müssen die Geschäftsabläufe des Auftragnehmers sowie Rechte anderer Kunden berücksichtigen. Kosten der Inspektion trägt der Auftraggeber.

10. Löschung und Rückgabe von Daten

10.1 Nach Vertragsende

Nach Beendigung des Hauptvertrages löscht oder gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück, die im Zusammenhang mit dem Auftrag verarbeitet wurden.

  • Löschfrist: 30 Tage nach Vertragsende
  • Datenexport: Auf Wunsch Export der Daten vor Löschung (CSV, JSON)
  • Bestätigung: Schriftliche Löschbestätigung auf Anfrage
  • Backup-Löschung: Daten in Backups werden nach Ablauf der Aufbewahrungsfrist automatisch gelöscht

10.2 Ausnahmen von der Löschung

Von der Löschung ausgenommen sind Daten, für die eine gesetzliche Aufbewahrungspflicht besteht (z.B. Rechnungsdaten - 10 Jahre gemäß HGB/AO). Diese Daten werden gesperrt und nur noch zu Compliance-Zwecken aufbewahrt.

11. Haftung und Schadensersatz

Haftungsverteilung

Für Schäden, die aus der Verletzung datenschutzrechtlicher Bestimmungen resultieren, haftet der Auftragnehmer gemäß Art. 82 DSGVO nur, soweit er seinen spezifischen Pflichten als Auftragsverarbeiter nicht nachgekommen ist oder unter Verstoß gegen rechtmäßige Weisungen des Auftraggebers oder gegen die DSGVO gehandelt hat.

Die Haftung ist auf Vorsatz und grobe Fahrlässigkeit beschränkt, soweit gesetzlich zulässig. Bei leichter Fahrlässigkeit haftet der Auftragnehmer nur bei Verletzung wesentlicher Vertragspflichten, beschränkt auf den typischerweise vorhersehbaren Schaden.

12. Vertraulichkeit

Der Auftragnehmer verpflichtet sich, alle personenbezogenen Daten sowie sonstige vertrauliche Informationen des Auftraggebers streng vertraulich zu behandeln.

  • Alle Mitarbeiter des Auftragnehmers sind auf das Datengeheimnis verpflichtet
  • Zugriff auf personenbezogene Daten nur für berechtigte Mitarbeiter
  • Vertraulichkeitsverpflichtung besteht auch nach Vertragsende fort
  • Keine Weitergabe an Dritte ohne Zustimmung (außer Subunternehmer gemäß Ziffer 6)

13. Schlussbestimmungen

Vertragsänderungen

Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform (E-Mail ausreichend). Anpassungen aufgrund geänderter Rechtslage oder technischer Weiterentwicklungen kann der Auftragnehmer mit einer Frist von 30 Tagen ankündigen.

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anwendbares Recht und Gerichtsstand

Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Wardenburg, Deutschland.

14. Kontakt und Anfragen

Für Fragen zu diesem Auftragsverarbeitungsvertrag oder zur Datenverarbeitung wenden Sie sich bitte an:

YOURLEAF
Inh. Saskia von der Pütten
Zur Zugbrücke 2
26203 Wardenburg
Deutschland

E-Mail: info@yourleaf.de
Telefon: 04407 - 9136812
Betreff: "AVV" + Ihr Anliegen

Inkrafttreten

Dieser Auftragsverarbeitungsvertrag tritt mit Ihrer Registrierung und Nutzung des Gesetzesticker-Services automatisch in Kraft. Durch die Nutzung des Services akzeptieren Sie die Bedingungen dieses AVV.

← Zurück zur Startseite

Fragen zum AVV? Kontakt: info@yourleaf.de