PlanifyMinds

Rechtliches

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO – ProofFlow

Stand: Juli 2026

Abschluss: durch Zustimmung im Bezahlvorgang (Checkbox) oder auf Anfrage als unterschriebenes Dokument über den Support (support@planifyminds.com).

1. Gegenstand und Dauer

Der Verantwortliche (Kunde) nutzt die SaaS-Anwendung ProofFlow (https://proofflow.planifyminds.com) des Auftragsverarbeiters (Anbieter: PlanifyMinds). Dabei verarbeitet der Anbieter personenbezogene Daten im Auftrag des Kunden.

Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB ProofFlow).

2. Art, Zweck und Umfang der Verarbeitung

Erhebung, Speicherung, Anzeige, Übermittlung an vom Kunden bestimmte Empfänger (z. B. PDF-Berichte, E-Mails, Freigabe-Links) und Löschung der vom Kunden in der Anwendung eingegebenen Daten zum Zweck der Nutzung des vertraglich vereinbarten Funktionsumfangs.

3. Kategorien betroffener Personen

  • Kunden, Auftraggeber und Ansprechpartner des Kunden
  • Mitarbeiter/Beteiligte des Kunden (Nutzerkonten, Vorgangs-/Aufgabendaten)
  • Sonstige Personen, deren Daten der Kunde in die Anwendung einträgt

4. Kategorien personenbezogener Daten

Besondere Kategorien nach Art. 9 DSGVO sind nicht Vertragsgegenstand; der Kunde trägt dafür Sorge, solche Daten nicht einzugeben.

  • Stammdaten (Name, Firma, Adresse), Kontaktdaten (E-Mail, Telefon)
  • Vertrags-, Vorgangs- und Abrechnungsdaten (Vorgänge, Berichte, Protokolle)
  • Nutzungs- und Protokolldaten der Nutzerkonten (z. B. Anmeldungen, Audit-Log)
  • Vom Kunden hochgeladene Inhalte (z. B. Fotos, Dokumente, Unterschriften)

5. Weisungsrecht

Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden; die Nutzung der Anwendung gemäß Hauptvertrag gilt als Weisung.

Der Anbieter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

6. Vertraulichkeit

Der Anbieter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7. Technische und organisatorische Maßnahmen (TOM)

Der Anbieter trifft angemessene Maßnahmen nach Art. 32 DSGVO, insbesondere:

  • Hosting in einem deutschen Rechenzentrum (Hetzner Online GmbH, Standort Deutschland)
  • Transportverschlüsselung (TLS/HTTPS) für sämtliche Verbindungen
  • Zugriffskontrolle über Konten, Rollen-/Rechtekonzept (RBAC) und Passwort-Hashing
  • Mandantentrennung auf Datenebene (organisationsbezogene Datenhaltung)
  • Regelmäßige Backups und Wiederherstellungsverfahren
  • Protokollierung sicherheitsrelevanter Ereignisse; Firewall-beschränkter Serverzugang

8. Unterauftragsverarbeiter

Der Kunde stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Der Anbieter informiert über beabsichtigte Änderungen in Textform; der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

UnternehmenZweckOrt der Verarbeitung
Hetzner Online GmbHHosting/InfrastrukturDeutschland
Stripe Payments Europe Ltd.Zahlungsabwicklung/AbrechnungEU (ggf. Drittlandübermittlung an Stripe Inc., USA — SCC/DPF)
Resend (Plus Five Five, Inc.)Transaktionale E-MailsUSA (SCC/DPF)

9. Unterstützung des Verantwortlichen

Der Anbieter unterstützt den Kunden im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO), bei der Sicherheit der Verarbeitung, bei Meldungen von Datenschutzverletzungen (Art. 33/34 DSGVO) und bei Datenschutz-Folgenabschätzungen. Verletzungen des Schutzes personenbezogener Daten meldet der Anbieter dem Kunden unverzüglich.

10. Löschung und Rückgabe

Nach Beendigung des Hauptvertrags löscht der Anbieter die im Auftrag verarbeiteten Daten nach Ablauf der Exportfrist (30 Tage), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Kunde kann seine Daten zuvor über die bereitgestellten Exportfunktionen sichern.

11. Nachweise und Kontrollen

Der Anbieter stellt dem Kunden auf Anfrage die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung. Kontrollen vor Ort sind nach angemessener Vorankündigung während üblicher Geschäftszeiten möglich, sofern sie den Betrieb nicht unverhältnismäßig stören.

12. Haftung und Schlussbestimmungen

Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelung des Hauptvertrags.

Es gilt deutsches Recht. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht in datenschutzrechtlichen Fragen dieser AVV vor.

Anbieterangaben: zentrales PlanifyMinds-Impressum · Datenschutzerklärung

Wir respektieren deine Privatsphäre

Wir nutzen optionale Cookies zur anonymen Reichweiten-/Nutzungsmessung (Google Analytics), um unser Angebot zu verbessern. Nur mit deiner Einwilligung – jederzeit widerrufbar. Datenschutz