Vereinbarung über die Auftragsverarbeitung
gemäß Art. 28 Abs. 3 DSGVO
zwischen
com.plex GmbH Friedrich-Ebert-Allee 65, 53113 Bonn
vertreten durch die Geschäftsführerin Maria Christina Bienek
– nachfolgend „Auftragsverarbeiter“ genannt –
und
dem Nutzer der SaaS-Lösung Flow360.io
– nachfolgend „Verantwortlicher“ genannt –
§ 1 Gegenstand und Dauer der Vereinbarung
1. Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Lösung Flow360.io zur Verfügung (Erfassung, Verwaltung und Automatisierung von Workflows).
2. Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.
§ 2 Art und Zweck der Verarbeitung
1. 2. Art: Erheben, Speichern, Hosten, Auslesen und Löschen von Daten auf Cloud-Systemen.
Zweck: Bereitstellung einer Plattform zur Erfassung von Benutzerinteraktionen und Prozessautomatisierung. Die Daten werden durch manuelle Eingabe oder Import durch den Verantwortlichen bereitgestellt.
§ 3 Kategorien betroffener Personen und Datenarten
1. 2. Personen: Mitarbeiter, Kunden, Freelancer und Lieferanten des Verantwortlichen.
Datenarten: Stammdaten (Name, E-Mail), Nutzungsdaten (IP-Adressen, Logs), Inhaltsdaten (Texteingaben, Screenshots, Logins, Dokumente, URLs).
§ 4 Pflichten des Auftragsverarbeiters
1. 2. Die Verarbeitung erfolgt nur nach dokumentierter Weisung des Verantwortlichen.
Der Auftragsverarbeiter gewährleistet, dass alle zugriffsberechtigten Personen zur Vertraulichkeit verpflichtet wurden.3. Die com.plex GmbH hat eine zuständige Ansprechperson für Datenschutz bestimmt (erreichbar unter: datenschutz@flow360.io).
§ 5 Unterauftragsverhältnisse
Der Verantwortliche genehmigt den Einsatz folgender Subunternehmer:
| Subunternehmer | Leistung | Standort |
| Hetzner Online GmbH | Cloud-Hosting | Deutschland (Nürnberg) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (ggf. USA*) |
| Brevo (Sendinblue GmbH) | CRM & E-Mail-Versand | Deutschland / EU |
| Scaleway SAS 8 | E-Mail Versand & AI-Funktionen (Mistral) | Frankreich / EU |
* Bei Datentransfer in Drittstaaten werden EU-Standardvertragsklauseln (SCCs) zugrunde gelegt.
§ 6 Technische und Organisatorische Maßnahmen (TOM)
1. Der Auftragsverarbeiter setzt die in Anlage 1 detailliert beschriebenen Maßnahmen um.
2. Kernmaßnahmen sind insbesondere:
o Vertraulichkeit: Mandantentrennung in der Software,
Passwortrichtlinien, gesicherte Geschäftsräume in Bonn.
o Integrität: Verschlüsselung der Internet-Verbindungen (SSL/HTTPS).
o Verfügbarkeit: Regelmäßige Backups, USV-gesicherte Server bei Hetzner, Notfallhandbuch für Sicherheitsvorfälle.
o Eingabekontrolle: Automatisierte Protokollierung von Zugriffen und Änderungen.
§ 7 Kontrollrechte
Der Verantwortliche darf die Einhaltung dieser Vereinbarung nach angemessener Vorankündigung prüfen oder durch qualifizierte Dritte prüfen lassen.
§ 8 Löschung und Rückgabe
Nach Ende der Dienstleistung löscht der Auftragsverarbeiter die Daten oder gibt sie auf Verlangen zurück, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.