Verantwortlicher (Auftraggeber):
Das Unternehmen, das ein Flowdas-Produkt (Timera, Stammspot, KI-Beratung, ERP/CRM/DMS)
nutzt.
Auftragsverarbeiter:
Mawaldi, Abdulrahman und Mhjazi, Moaz und Saranek, Eyad GbR —
Geschäftsbezeichnung Flowdas
Nora-Platiel-Straße 10, 110, 34127 Kassel —
support@flowdas.de
Im Rahmen der Bereitstellung von Flowdas-Produkten verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftraggebers. Dieser AVV gilt produkt-übergreifend und wird durch Anlage B (produktspezifische Konkretisierung) je tatsächlich genutztem Produkt ergänzt.
| Gegenstand | Bereitstellung und Betrieb des/der vereinbarten Flowdas-Produkts/-Produkte |
| Art der Verarbeitung | Erhebung, Speicherung, Verarbeitung, Auswertung, Übermittlung an autorisierte Nutzer, Löschung |
| Zweck | Erbringung der vertraglich geschuldeten Leistung gemäß Hauptvertrag und Produkt-Anlage 2x |
| Dauer | Laufzeit des Hauptvertrages; Pflichten aus Art. 10 (Löschung) bleiben bestehen |
Die konkret verarbeiteten Datenkategorien ergeben sich aus der jeweils zutreffenden Anlage B-Konkretisierung:
Besondere Kategorien (Art. 9 DSGVO): werden nicht verarbeitet, sofern in der Anlage B nicht ausdrücklich anders angegeben.
| Produkt | Betroffene |
|---|---|
| Timera | Beschäftigte des Auftraggebers |
| Stammspot | Endkunden des Auftraggebers, Mitarbeiter des Auftraggebers |
| KI-Beratung | Vom Projekt umfasste Personen gemäß Statement of Work |
| ERP/CRM/DMS | Kunden, Lieferanten, Beschäftigte, Geschäftspartner des Auftraggebers |
(1) Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers. Bei abweichender gesetzlicher Verpflichtung informiert Flowdas vor der Verarbeitung, soweit zulässig.
(2) Weisungen erfolgen über Produktkonfiguration (Admin-Dashboard) oder in Textform per E-Mail (support@flowdas.de).
(3) Flowdas weist den Auftraggeber unverzüglich darauf hin, wenn eine Weisung gegen Datenschutzrecht verstößt.
(4) Hauptvertrag, Produkt-Anlage und Nutzung gemäß Leistungsbeschreibung gelten als dokumentierte Weisung.
(1) Sämtliche zur Verarbeitung befugten Personen unterliegen einer Vertraulichkeitsverpflichtung oder einer angemessenen gesetzlichen Verschwiegenheitspflicht.
(2) Zugriff erfolgt nach dem Need-to-know-Prinzip.
(3) Vertraulichkeitspflicht besteht über Beendigung des Beschäftigungsverhältnisses hinaus.
Flowdas trifft folgende Maßnahmen unternehmensweit; produktspezifische Ergänzungen in Anlage A:
| Maßnahme | Umsetzung |
|---|---|
| Transportverschlüsselung | TLS 1.2/1.3 mit HSTS |
| Verschlüsselung ruhender sensibler Daten | bcrypt für Passwörter; SHA-256 + Salt für IP-Pseudonymisierung |
| Zugangskontrolle | Tokenbasierte Auth, HttpOnly/Secure/SameSite-Cookies |
| Mandantentrennung | Logisch isoliert je Produkt (Schema, Row-Level-Security oder Tenant-Spalte) |
| Netzwerksicherheit | Datenbanken nicht öffentlich, Reverse-Proxy, Rate-Limiting |
| Maßnahme | Umsetzung |
|---|---|
| Audit-Trail | Datenänderungen produktspezifisch protokolliert |
| Hash-Integrität | Wo gesetzlich gefordert (GoBD, Timera): SHA-256-Archive |
| Maßnahme | Umsetzung |
|---|---|
| Backups | Tägliche automatisierte Sicherung, getestete Wiederherstellung |
| Monitoring | Health-Checks |
| Verfügbarkeitsziel | 99,9 % im Jahresmittel |
| Maßnahme | Umsetzung |
|---|---|
| Datenminimierung | Keine Erhebung biometrischer Daten; kein externes Analytics; keine GPS-Erhebung außerhalb produktspezifisch dokumentierter Features |
| Automatische Löschung | Login-Logs 90 Tage; Audit-Logs 3 Jahre; produktspezifische Fristen siehe Anlage B |
| Anonymisierung | Automatisch bei Kontolöschung |
(1) Allgemeine Genehmigung für die in Anlage B (produktspezifisch) aufgeführten Sub-Auftragsverarbeiter.
(2) Für Sub-Auftragsverarbeiter in Drittländern werden EU-SCC (Beschluss 2021/914/EU) oder das EU-US Data Privacy Framework als Transfermechanismus angewandt; eine Transfer Impact Assessment (TIA) ist je betroffenem Subprozessor in Anlage B dokumentiert.
(3) Änderungen: Flowdas informiert den Auftraggeber unverzüglich, spätestens jedoch 14 Tage vor Inkrafttreten über Hinzufügung oder Austausch von Sub-AVs. Bei berechtigtem Einspruch besteht ein außerordentliches Kündigungsrecht.
(4) Sub-AVs werden vertraglich zu denselben Datenschutzpflichten verpflichtet. Die Verantwortung gegenüber dem Auftraggeber verbleibt vollständig bei Flowdas.
| Recht | Technische Unterstützung |
|---|---|
| Auskunft (Art. 15) | Produktspezifischer Export im Admin-Dashboard; ggf. Self-Service für Endnutzer |
| Berichtigung (Art. 16) | Korrekturfunktionen im Admin-Dashboard |
| Löschung (Art. 17) | Konto-Anonymisierung/Löschung über Admin; Mandanten-Vollöschung nach Vertragsende |
| Einschränkung (Art. 18) | Konto-Deaktivierung |
| Datenübertragbarkeit (Art. 20) | Maschinenlesbarer Export (JSON/CSV) |
| Widerspruch (Art. 21) | Verarbeitung auf Basis berechtigter Interessen kann unterbunden werden |
Anfragen, die direkt an Flowdas gerichtet werden, leitet Flowdas unverzüglich an den Auftraggeber weiter.
(1) Datenpannen-Meldung: Benachrichtigung des Auftraggebers unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden mit Art, Datenkategorien, ungefährer Anzahl Betroffener, Folgen und Maßnahmen.
(2) DSFA-Hinweise je Produkt:
Flowdas unterstützt den Auftraggeber bei Bedarf bei der DSFA gemäß Art. 35 DSGVO.
(1) Nach Vertragsende löscht Flowdas alle mandantenspezifischen personenbezogenen Daten innerhalb von 30 Kalendertagen, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen.
(2) Der Auftraggeber kann vor Löschung einen vollständigen Datenexport anfordern.
(3) Aufbewahrungsfristen: § 257 HGB (10 Jahre), § 147 AO (10 Jahre), § 16 Abs. 2 ArbZG (2 Jahre, Timera).
(4) Schriftliche Löschbestätigung auf Anforderung.
(1) Flowdas stellt alle erforderlichen Nachweise zur Verfügung.
(2) Audits mit 4 Wochen Vorlauf, max. 1×/Jahr, sofern kein begründeter Verdacht.
(3) Kosten trägt der Auftraggeber, sofern kein schwerwiegender Verstoß festgestellt wird.
(4) Vorlage aktueller Nachweise (ISO-Zertifikate, Datenschutztestate) als gleichwertige Erfüllung möglich.
(1) Für Schäden aufgrund DSGVO-widriger Verarbeitung haftet primär der Auftraggeber als Verantwortlicher (Art. 82 DSGVO).
(2) Innenverhältnis: Flowdas haftet nach den Haftungsregeln der AGB § 11.
(3) Soweit der Auftraggeber für Schäden in Anspruch genommen wird, die Flowdas zu vertreten hat, stellt Flowdas frei (Art. 82 Abs. 3 DSGVO).
Dieser AVV tritt mit dem Hauptvertrag in Kraft und endet automatisch mit dessen Beendigung. Pflichten aus Art. 10 bleiben bestehen.
Recht der Bundesrepublik Deutschland. Gerichtsstand: Kassel.
Master-TOMs siehe Art. 6. Produktspezifische Ergänzungen:
Vollständige TOM-Dokumentation auf Anfrage.
| Anbieter | Dienst | Standort | AVV-Nachweis | Drittland |
|---|---|---|---|---|
| Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen | VPS-Hosting, Object Storage, ggf. SMTP-Versand | Deutschland (EU) | AVV v1.2 vom 16.02.2026, Kundennr. K0390570026, unterzeichnet 24.05.2026 | EU — Hetzner-Sub-Unternehmen in USA/Singapur ohne Zugriff auf EU-Daten (Hetzner AVV Anlage 3) |
Je nach gebuchtem Flowdas-Produkt können weitere Sub-Auftragsverarbeiter hinzukommen. Stand Mai 2026:
| Produkt | Zusätzliche Sub-Auftragsverarbeiter | Hinweis |
|---|---|---|
| Timera | — | Ausschließlich Hetzner (B.1) |
| Stammspot | Supabase Inc. (Datenbank/Auth, EU-Region), Stripe Payments Europe Ltd (Payment), OpenRouter / OpenAI L.L.C. (KI-Texterstellung), Google LLC (Wallet-Pass) | Jeweils mit AVV/DPA; für US-Anbieter: EU-US Data Privacy Framework + ergänzende TIA dokumentiert |
| KI-Beratung & Agentic Workflows | Projektabhängig (LLM-Anbieter, Vector Stores) — werden im konkreten Statement of Work benannt | Pro Projekt eigene TIA bei Drittlandtransfer |
| ERP/CRM/DMS | Regelmäßig keine zusätzlichen Sub-AVs (dedizierte Installation) | Bei abweichender Konstellation gesondert vereinbart |
Eine Aktualisierung der Sub-Auftragsverarbeiter-Liste wird dem Auftraggeber gemäß Art. 7 Abs. 3 mit Vorlauf von 14 Tagen mitgeteilt.
Mit Bestätigung der AGB-/AVV-Checkbox im Checkout oder Unterzeichnung des Hauptvertrages stimmt der Auftraggeber diesem AVV einschließlich der zutreffenden produktspezifischen Anlagen B zu.