Abschluss: durch Zustimmung im Bezahlvorgang (Checkbox) oder auf Anfrage als unterschriebenes Dokument über den Support (support@planifyminds.com).
1. Gegenstand und Dauer
Der Verantwortliche (Kunde) nutzt die SaaS-Anwendung ProofFlow (https://proofflow.planifyminds.com) des Auftragsverarbeiters (Anbieter: PlanifyMinds). Dabei verarbeitet der Anbieter personenbezogene Daten im Auftrag des Kunden.
Die Dauer dieses AVV entspricht der Laufzeit des Hauptvertrags (AGB ProofFlow).
2. Art, Zweck und Umfang der Verarbeitung
Erhebung, Speicherung, Anzeige, Übermittlung an vom Kunden bestimmte Empfänger (z. B. PDF-Berichte, E-Mails, Freigabe-Links) und Löschung der vom Kunden in der Anwendung eingegebenen Daten zum Zweck der Nutzung des vertraglich vereinbarten Funktionsumfangs.
3. Kategorien betroffener Personen
- Kunden, Auftraggeber und Ansprechpartner des Kunden
- Mitarbeiter/Beteiligte des Kunden (Nutzerkonten, Vorgangs-/Aufgabendaten)
- Sonstige Personen, deren Daten der Kunde in die Anwendung einträgt
4. Kategorien personenbezogener Daten
Besondere Kategorien nach Art. 9 DSGVO sind nicht Vertragsgegenstand; der Kunde trägt dafür Sorge, solche Daten nicht einzugeben.
- Stammdaten (Name, Firma, Adresse), Kontaktdaten (E-Mail, Telefon)
- Vertrags-, Vorgangs- und Abrechnungsdaten (Vorgänge, Berichte, Protokolle)
- Nutzungs- und Protokolldaten der Nutzerkonten (z. B. Anmeldungen, Audit-Log)
- Vom Kunden hochgeladene Inhalte (z. B. Fotos, Dokumente, Unterschriften)
5. Weisungsrecht
Der Anbieter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Kunden; die Nutzung der Anwendung gemäß Hauptvertrag gilt als Weisung.
Der Anbieter informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.
6. Vertraulichkeit
Der Anbieter setzt nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7. Technische und organisatorische Maßnahmen (TOM)
Der Anbieter trifft angemessene Maßnahmen nach Art. 32 DSGVO, insbesondere:
- Hosting in einem deutschen Rechenzentrum (Hetzner Online GmbH, Standort Deutschland)
- Transportverschlüsselung (TLS/HTTPS) für sämtliche Verbindungen
- Zugriffskontrolle über Konten, Rollen-/Rechtekonzept (RBAC) und Passwort-Hashing
- Mandantentrennung auf Datenebene (organisationsbezogene Datenhaltung)
- Regelmäßige Backups und Wiederherstellungsverfahren
- Protokollierung sicherheitsrelevanter Ereignisse; Firewall-beschränkter Serverzugang
8. Unterauftragsverarbeiter
Der Kunde stimmt dem Einsatz folgender Unterauftragsverarbeiter zu. Der Anbieter informiert über beabsichtigte Änderungen in Textform; der Kunde kann aus wichtigem datenschutzrechtlichem Grund widersprechen.
| Unternehmen | Zweck | Ort der Verarbeitung |
|---|
| Hetzner Online GmbH | Hosting/Infrastruktur | Deutschland |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung/Abrechnung | EU (ggf. Drittlandübermittlung an Stripe Inc., USA — SCC/DPF) |
| Resend (Plus Five Five, Inc.) | Transaktionale E-Mails | USA (SCC/DPF) |
9. Unterstützung des Verantwortlichen
Der Anbieter unterstützt den Kunden im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO), bei der Sicherheit der Verarbeitung, bei Meldungen von Datenschutzverletzungen (Art. 33/34 DSGVO) und bei Datenschutz-Folgenabschätzungen. Verletzungen des Schutzes personenbezogener Daten meldet der Anbieter dem Kunden unverzüglich.
10. Löschung und Rückgabe
Nach Beendigung des Hauptvertrags löscht der Anbieter die im Auftrag verarbeiteten Daten nach Ablauf der Exportfrist (30 Tage), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Kunde kann seine Daten zuvor über die bereitgestellten Exportfunktionen sichern.
11. Nachweise und Kontrollen
Der Anbieter stellt dem Kunden auf Anfrage die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen zur Verfügung. Kontrollen vor Ort sind nach angemessener Vorankündigung während üblicher Geschäftszeiten möglich, sofern sie den Betrieb nicht unverhältnismäßig stören.
12. Haftung und Schlussbestimmungen
Für die Haftung gilt Art. 82 DSGVO sowie ergänzend die Haftungsregelung des Hauptvertrags.
Es gilt deutsches Recht. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag geht in datenschutzrechtlichen Fragen dieser AVV vor.