EasyAccess

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO für das EasyAccess Barrierefreiheits-Widget

Wichtiger Hinweis

Dieser Auftragsverarbeitungsvertrag (AVV) ist für B2B-Kunden vorgesehen, die das EasyAccess Widget auf ihrer Website einbinden und dabei personenbezogene Daten der Endnutzer verarbeiten. Der Vertrag tritt automatisch mit der Nutzung des Widgets in Kraft.

Präambel

Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Vertragsparteien bei der Verarbeitung personenbezogener Daten im Rahmen der Nutzung des EasyAccess Barrierefreiheits-Widgets gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

§ 1 Vertragsparteien

1.1 Verantwortlicher (Auftraggeber)

Der Kunde, der das EasyAccess Widget auf seiner Website einbindet und dessen Kontaktdaten bei der Registrierung hinterlegt wurden.

1.2 Auftragsverarbeiter (Auftragnehmer)

coolblack GmbH i.Gr.
Südfeldwiese 14
32107 Bad Salzuflen
Deutschland
E-Mail: info@coolblack.gmbh

§ 2 Gegenstand und Dauer der Auftragsverarbeitung

2.1 Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers ausschließlich zum Zweck der Bereitstellung des EasyAccess Barrierefreiheits-Widgets. Dies umfasst:

  • Bereitstellung von Barrierefreiheits-Funktionen (Textvergrößerung, Kontrast, Vorlesefunktion, etc.)
  • KI-gestützte Alternativtext-Generierung für Bilder (bei Nutzung der AI-Funktionen)
  • Speicherung von Nutzereinstellungen im Browser (LocalStorage)
  • Technische Analyse zur Funktionssicherung des Widgets

2.2 Art der personenbezogenen Daten

Folgende Arten von personenbezogenen Daten werden verarbeitet:

  • Technische Daten: IP-Adresse (anonymisiert), Browser-Typ, Betriebssystem, Bildschirmauflösung
  • Nutzungsdaten: Gewählte Barrierefreiheits-Einstellungen, Zeitstempel der Widget-Nutzung
  • Bilddaten: URLs von Bildern (bei Nutzung der AI-Alternativtext-Funktion)
  • Session-Daten: Temporäre Sitzungs-IDs zur Widget-Funktionalität

2.3 Kategorien betroffener Personen

Besucher der Website des Auftraggebers, die das EasyAccess Widget nutzen.

2.4 Dauer der Verarbeitung

Die Auftragsverarbeitung beginnt mit der Aktivierung des Widgets und endet mit Beendigung des Nutzungsvertrags oder auf Weisung des Auftraggebers.

§ 3 Pflichten des Auftragnehmers

3.1 Verarbeitung nach Weisung

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers, wie sie sich aus diesem AVV und den AGB ergeben. Weisungen können nur von autorisierten Personen des Auftraggebers erteilt werden.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere datenschutzrechtliche Bestimmungen verstößt.

3.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass sich alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.3 Technische und organisatorische Maßnahmen

Der Auftragnehmer hat angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen. Die konkreten Maßnahmen sind im Anhang „Technische und organisatorische Maßnahmen (TOM)" aufgeführt.

§ 4 Unterauftragsverarbeiter

4.1 Genehmigung von Unterauftragsverarbeitern

Der Auftraggeber erteilt dem Auftragnehmer seine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern.

4.2 Aktuelle Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden derzeit eingesetzt:

1. Hosting & Infrastruktur

Anbieter: Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland
Zweck: Hosting der Widget-Infrastruktur, Datenbanken, Backups
Serverstandort: Deutschland (EU)
AVV: Vorhanden gemäß Art. 28 DSGVO

2. KI-Dienste (bei Nutzung der AI-Funktionen)

Anbieter: Anthropic PBC, 548 Market St, PMB 62840, San Francisco, CA 94104, USA
Zweck: KI-gestützte Alternativtext-Generierung, Textanalyse
Drittlandtransfer: USA - Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO
Datenschutz: https://www.anthropic.com/privacy
Hinweis: Datenübermittlung erfolgt nur bei aktiver Nutzung der AI-Funktionen durch den Endnutzer

4.3 Widerspruchsrecht

Der Auftraggeber hat das Recht, innerhalb von 30 Tagen nach Mitteilung über neue Unterauftragsverarbeiter Widerspruch einzulegen, wenn berechtigte datenschutzrechtliche Bedenken bestehen.

§ 5 Rechte des Auftraggebers

5.1 Auskunfts- und Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung von Betroffenenrechten (Art. 15-22 DSGVO) und bei der Erfüllung der Pflichten gemäß Art. 32-36 DSGVO.

5.2 Kontrollrechte

Der Auftraggeber ist berechtigt, die Einhaltung der Pflichten des Auftragnehmers zu kontrollieren. Dies umfasst Inspektionen und Audits, die nach vorheriger Ankündigung durchgeführt werden.

5.3 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung. Die Meldung erfolgt per E-Mail an die bei der Registrierung hinterlegte Adresse.

§ 6 Löschung und Rückgabe von Daten

Nach Beendigung des Nutzungsvertrags löscht der Auftragnehmer alle personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung verarbeitet wurden, oder gibt diese auf Weisung des Auftraggebers zurück.

Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Wichtig: Nutzereinstellungen, die im LocalStorage des Browsers gespeichert werden, liegen außerhalb der Kontrolle des Auftragnehmers und werden nicht zentral gespeichert.

§ 7 Schlussbestimmungen

7.1 Inkrafttreten

Dieser AVV tritt automatisch mit der Registrierung und Nutzung des EasyAccess Widgets in Kraft und gilt für die Dauer des Nutzungsvertrags.

7.2 Änderungen

Änderungen dieses AVV werden dem Auftraggeber rechtzeitig mitgeteilt und bedürfen der Zustimmung. Die Zustimmung gilt als erteilt, wenn der Auftraggeber nicht innerhalb von 30 Tagen widerspricht.

7.3 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, bleibt die Gültigkeit der übrigen Bestimmungen davon unberührt.

Anhang: Technische und organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle: Serverstandort mit physischer Zugangskontrolle (Rechenzentrum Strato AG)
  • Zugangskontrolle: Authentifizierung per E-Mail/Passwort, optionale 2FA
  • Zugriffskontrolle: Rollenbasierte Berechtigungen, Least-Privilege-Prinzip
  • Weitergabekontrolle: SSL/TLS-Verschlüsselung für alle Datenübertragungen (TLS 1.2+)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Eingabekontrolle: Logging von Änderungen an Konfigurationen
  • Transportkontrolle: HTTPS-Only, HSTS-Header aktiviert

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Tägliche automatische Backups mit verschlüsselter Speicherung
  • Monitoring und Alarmierung bei Systemausfällen
  • Angestrebte Verfügbarkeit: 99% im Jahresmittel

4. Verfahren zur Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

  • Regelmäßige Sicherheitsupdates aller Systeme
  • Incident Response Plan für Datenpannen
  • Dokumentation aller Verarbeitungstätigkeiten

5. Datensparsamkeit und Privacy by Design

  • IP-Adressen werden anonymisiert gespeichert
  • Nutzereinstellungen werden lokal im Browser gespeichert (LocalStorage)
  • Keine Tracking-Cookies von Drittanbietern
  • AI-Funktionen nur auf explizite Nutzeranfrage

Stand dieses Auftragsverarbeitungsvertrags: Dezember 2024

Dieser AVV tritt mit der Nutzung des EasyAccess Widgets automatisch in Kraft. Eine Kopie dieses AVV steht Ihnen jederzeit unter dieser URL zur Verfügung.

Datenschutzerklärung