1. Parteien
Verantwortlicher
Sie, der Kunde (die Stelle, die die Zwecke und Mittel der Verarbeitung bestimmt)
Auftragsverarbeiter
ClientFlow (verarbeitet personenbezogene Daten in Ihrem Auftrag)
1.1 Umfang der Verarbeitung
Dieser AVV gilt für die Verarbeitung personenbezogener Daten, bei der:
- ClientFlow personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Dienstleistungserbringung verarbeitet
- Die Verarbeitung sich auf die Verwaltung der Kundenbeziehungen des Verantwortlichen bezieht
- Die betroffenen Personen die Kunden und Geschäftskontakte des Verantwortlichen sind
Verarbeitungstätigkeiten
- Speicherung und Organisation von Kundenkontaktinformationen
- Aufzeichnung und Verfolgung von Zahlungstransaktionen
- Versand autorisierter Mitteilungen (Erinnerungen, Benachrichtigungen)
- Erstellung von Analysen und Berichten auf Basis aggregierter Daten
2. Datenkategorien
| Kategorie | Beispiele | Zweck |
|---|---|---|
| Kontodaten | E-Mail, Name, Profilbild | Dienstzugang |
| Kundendaten | Kundennamen, Telefonnummern, E-Mails | CRM-Funktionalität |
| Zahlungsaufzeichnungen | Beträge, Daten, Status | Zahlungsverfolgung |
| Nutzungsdaten | Anmeldezeiten, Funktionsnutzung | Sicherheit, Verbesserung |
3. Pflichten des Auftragsverarbeiters
Wir werden:
- Daten nur gemäß Ihren dokumentierten Anweisungen verarbeiten
- Sicherstellen, dass Mitarbeiter zur Vertraulichkeit verpflichtet sind
- Angemessene Sicherheitsmaßnahmen umsetzen
- Bei Anfragen betroffener Personen unterstützen
- Sie innerhalb von 72 Stunden über Datenschutzverletzungen benachrichtigen
- Daten nach Beendigung löschen (nach Aufbewahrungsfrist)
4. Sicherheitsmaßnahmen
Technisch
- TLS 1.3 (Übertragung)
- AES-256 (Speicherung)
- OAuth 2.0 Authentifizierung
- Rollenbasierte Zugriffskontrolle
- Echtzeitüberwachung
Organisatorisch
- Sicherheitsrichtlinien
- Vorfallreaktionsplan
- Regelmäßige Audits
- Lieferantensicherheitsprüfungen
- Mitarbeiterschulungen
5. Unterauftragsverarbeiter
Wir nutzen folgende autorisierte Unterauftragsverarbeiter:
| Anbieter | Dienst | Ort | DPF |
|---|---|---|---|
| Google Cloud | Authentifizierung | USA | Ja |
| iyzico | Zahlungen | Türkei | SCCs |
| Meta (WhatsApp) | Messaging | USA | Ja |
| Erneut senden | USA | SCCs | |
| Hetzner | Hosting & Datenbank | Deutschland (EU) | SCCs |
| Cloudflare | CDN & Speicher | EU | Ja |
DPF = EU-US Data Privacy Framework zertifiziert
Änderungen bei Unterauftragsverarbeitern
Wir werden Sie über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren:
- Mindestens 14 Tage Vorankündigung vor Hinzufügung oder Ersetzung von Unterauftragsverarbeitern
- Benachrichtigung per E-Mail an Ihre registrierte Konto-E-Mail-Adresse
- Sie können innerhalb von 14 Tagen Einspruch erheben, indem Sie uns kontaktieren
- Falls Ihr Einspruch nicht gelöst werden kann, können Sie die betroffenen Dienste kündigen
5.1 Prüfungsrechte
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen:
- Anforderung relevanter Dokumentationen und Zertifizierungen
- Durchführung von Audits mit mindestens 30 Tagen schriftlicher Vorankündigung
- Audits sind während der normalen Geschäftszeiten durchzuführen
- Prüfer muss eine Vertraulichkeitsvereinbarung unterzeichnen
Prüfungsumfang
- Sicherheitsmaßnahmen und technische Schutzvorrichtungen
- Compliance der Unterauftragsverarbeiter
- Datenverarbeitungsverfahren
- Vorfallreaktionsfähigkeiten
Die Kosten für Audits trägt der Verantwortliche, es sei denn, das Audit deckt wesentliche Nichteinhaltung auf.
6. Datenaufbewahrung & Löschung
Ihre Daten werden für Kontowiederherstellung und regulatorische Compliance aufbewahrt.
| Zeitleiste | Aktion |
|---|---|
| Sofort | Konto deaktiviert |
| Unbegrenzt | Daten aufbewahrt (archiviert) |
| Jederzeit | Konto kann reaktiviert werden |
7. CCPA-Bestimmungen
Gemäß CCPA handeln wir als "Dienstleister" und:
- Verarbeiten Daten nur für bestimmte Geschäftszwecke
- Verkaufen keine personenbezogenen Informationen
- Unterstützen bei Anfragen zu Verbraucherrechten
- Implementieren angemessene Sicherheitsmaßnahmen
8. Datenschutzverletzungsmeldung
Im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichten wir uns zu Folgendem:
Benachrichtigungszeitplan
- Benachrichtigung innerhalb von 72 Stunden nach Kenntniserlangung einer Verletzung
- Bereitstellung einer ersten Bewertung von Umfang und Auswirkungen der Verletzung
- Zustellung einer detaillierten schriftlichen Benachrichtigung innerhalb von 5 Werktagen
Inhalt der Benachrichtigung
- Art der Verletzung einschließlich Kategorien und ungefähre Anzahl der betroffenen Personen
- Name und Kontaktdaten unseres Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung
- Maßnahmen zur Minderung möglicher negativer Auswirkungen
Wir werden bei Ihrer Untersuchung und allen behördlichen Anfragen vollständig kooperieren und bei Verletzungsmeldungen an Aufsichtsbehörden und betroffene Personen gemäß geltendem Recht unterstützen.
9. Internationale Datenübermittlungen
Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, stellen wir angemessene Schutzmaßnahmen sicher:
Übermittlungsmechanismen
EU-Angemessenheitsbeschlüsse
Übermittlungen in Länder, die von der Europäischen Kommission als angemessen eingestuft wurden
EU-US Data Privacy Framework
Für US-basierte Verarbeiter, die nach dem DPF zertifiziert sind
Standardvertragsklauseln (SCCs)
Von der EU-Kommission genehmigte Klauseln (Version 2021) für andere Übermittlungen
Wir führen Übermittlungsfolgenabschätzungen durch, wo erforderlich, und implementieren ergänzende Maßnahmen (technisch, organisatorisch und vertraglich), wenn nötig, um ein im Wesentlichen gleichwertiges Schutzniveau sicherzustellen.
Sie können auf Anfrage Kopien der relevanten Übermittlungsmechanismen anfordern.
10. Haftung und Schadloshaltung
Haftung des Auftragsverarbeiters
ClientFlow haftet für Schäden, die durch eine Verarbeitung verursacht werden, die nicht diesem AVV entspricht oder bei der wir außerhalb oder entgegen rechtmäßiger Anweisungen des Verantwortlichen gehandelt haben.
Haftung des Verantwortlichen
Der Verantwortliche haftet für Schäden, die durch eine Verarbeitung verursacht werden, die gegen geltendes Datenschutzrecht verstößt oder nicht den Verpflichtungen des Verantwortlichen gemäß diesem AVV entspricht.
Einschränkungen
- Keine Partei haftet für indirekte, zufällige oder Folgeschäden
- Die gesamte Haftung gemäß diesem AVV ist auf die in den 12 Monaten vor dem Anspruch gezahlten Gebühren begrenzt
- Diese Einschränkungen gelten nicht bei Verletzungen der Vertraulichkeit, vorsätzlichem Fehlverhalten oder grober Fahrlässigkeit
Jede Partei verpflichtet sich, die andere Partei gegen Ansprüche Dritter freizustellen, die aus der Verletzung dieses AVV oder geltender Datenschutzgesetze durch die freistellende Partei entstehen.
11. Beendigung und Datenrückgabe
Laufzeit
Dieser AVV bleibt für die Dauer des Dienstleistungsvertrags und so lange gültig, wie wir personenbezogene Daten in Ihrem Auftrag verarbeiten.
Bei Beendigung
- Nach Ihrer Wahl werden wir alle personenbezogenen Daten innerhalb von 30 Tagen zurückgeben oder löschen
- Sie können einen Datenexport in einem gängigen maschinenlesbaren Format anfordern
- Wir werden die Löschung auf Anfrage bestätigen
- Daten können aufbewahrt werden, soweit dies nach geltendem Recht erforderlich ist
Abschnitte zu Vertraulichkeit, Haftung und Datenschutzrechten bleiben nach Beendigung dieses AVV bestehen.