Vereinbarung über die Auftragsverarbeitung

gemäß Art. 28 Abs. 3 DSGVO

zwischen

com.plex GmbH Friedrich-Ebert-Allee 65, 53113 Bonn

vertreten durch die Geschäftsführerin Maria Christina Bienek

– nachfolgend „Auftragsverarbeiter“ genannt –

und

dem Nutzer der SaaS-Lösung Flow360.io

– nachfolgend „Verantwortlicher“ genannt –

§ 1 Gegenstand und Dauer der Vereinbarung

1. Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Lösung Flow360.io zur Verfügung (Erfassung, Verwaltung und Automatisierung von Workflows).

2. Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.

§ 2 Art und Zweck der Verarbeitung

1. 2. Art: Erheben, Speichern, Hosten, Auslesen und Löschen von Daten auf Cloud-Systemen.

Zweck: Bereitstellung einer Plattform zur Erfassung von Benutzerinteraktionen und Prozessautomatisierung. Die Daten werden durch manuelle Eingabe oder Import durch den Verantwortlichen bereitgestellt.

§ 3 Kategorien betroffener Personen und Datenarten

1. 2. Personen: Mitarbeiter, Kunden, Freelancer und Lieferanten des Verantwortlichen.

Datenarten: Stammdaten (Name, E-Mail), Nutzungsdaten (IP-Adressen, Logs), Inhaltsdaten (Texteingaben, Screenshots, Logins, Dokumente, URLs).

§ 4 Pflichten des Auftragsverarbeiters

1. 2. Die Verarbeitung erfolgt nur nach dokumentierter Weisung des Verantwortlichen.

Der Auftragsverarbeiter gewährleistet, dass alle zugriffsberechtigten Personen zur Vertraulichkeit verpflichtet wurden.3. Die com.plex GmbH hat eine zuständige Ansprechperson für Datenschutz bestimmt (erreichbar unter: datenschutz@flow360.io).

§ 5 Unterauftragsverhältnisse

Der Verantwortliche genehmigt den Einsatz folgender Subunternehmer:

SubunternehmerLeistungStandort
Hetzner Online GmbHCloud-HostingDeutschland
(Nürnberg)
Stripe Payments Europe
Ltd.
ZahlungsabwicklungIrland (ggf. USA*)
Brevo (Sendinblue
GmbH)
CRM & E-Mail-VersandDeutschland / EU
Scaleway SAS 8E-Mail Versand & AI-Funktionen
(Mistral)
Frankreich / EU

* Bei Datentransfer in Drittstaaten werden EU-Standardvertragsklauseln (SCCs) zugrunde gelegt.

§ 6 Technische und Organisatorische Maßnahmen (TOM)

1. Der Auftragsverarbeiter setzt die in Anlage 1 detailliert beschriebenen Maßnahmen um.

2. Kernmaßnahmen sind insbesondere:

Vertraulichkeit: Mandantentrennung in der Software,

Passwortrichtlinien, gesicherte Geschäftsräume in Bonn.

Integrität: Verschlüsselung der Internet-Verbindungen (SSL/HTTPS).

Verfügbarkeit: Regelmäßige Backups, USV-gesicherte Server bei Hetzner, Notfallhandbuch für Sicherheitsvorfälle.

Eingabekontrolle: Automatisierte Protokollierung von Zugriffen und Änderungen.

§ 7 Kontrollrechte

Der Verantwortliche darf die Einhaltung dieser Vereinbarung nach angemessener Vorankündigung prüfen oder durch qualifizierte Dritte prüfen lassen.

§ 8 Löschung und Rückgabe

Nach Ende der Dienstleistung löscht der Auftragsverarbeiter die Daten oder gibt sie auf Verlangen zurück, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Launch login modal Launch register modal