Fassung v1
Dies ist der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, den flintery als Auftragsverarbeiter mit seinen Nutzern schließt. Diese Seite zeigt den Vertrag zur Ansicht.
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die Verarbeitung personenbezogener Daten, die der Verantwortliche im Rahmen der Nutzung der SaaS-Anwendung flintery in das System einträgt. Er ist Bestandteil und Anlage des zwischen den Parteien bestehenden Hauptvertrags (AGB / Abonnement) und geht diesem bei Widersprüchen in Datenschutzfragen vor.
Auftragsverarbeiter (nachfolgend „Auftragnehmer" / „flintery"):
Rafik Halabi (Einzelunternehmer)
Esmarchstraße 5, 40223 Düsseldorf, Deutschland
USt-IdNr. DE327134395
Kontakt Datenschutz: legal@flintery.com
Verantwortlicher (nachfolgend „Auftraggeber" / „Kunde"):
Der jeweilige flintery-Nutzer (Name / Firma / Anschrift gemäß Kontostammdaten bzw. dem Annahme-Datensatz).
Der Auftragnehmer hat seinen Sitz in Deutschland. Für die im Auftrag verarbeiteten Daten besteht damit auf Seiten des Auftragnehmers kein Drittlandbezug; ein Drittlandtransfer findet ausschließlich technisch bedingt über den in Anlage 2 benannten Sub-Prozessor (Cloudflare, reine Durchleitung) statt.
(1) Gegenstand der Verarbeitung ist die Bereitstellung der SaaS-Anwendung flintery (Finanz-, Projekt-, Kunden- und Faktura-Verwaltung für selbstständige Kreative) und die damit verbundene Verarbeitung der vom Auftraggeber eingegebenen Daten.
(2) Dauer: Der AVV gilt für die Laufzeit des Hauptvertrags (Abonnement/Testphase). Er endet automatisch mit dessen Beendigung; die Pflichten zu Löschung/Rückgabe (§ 9) und Vertraulichkeit (§ 4) bestehen darüber hinaus fort.
(1) Art und Zweck: Verarbeitung (Erheben, Speichern, Ordnen, Verändern, Abfragen, Übermitteln im Rahmen nutzer-initiierter Exporte, Löschen) der vom Auftraggeber eingegebenen Daten zum Zweck der Vertragserfüllung — d. h. zur Bereitstellung der flintery-Funktionen (Kalkulation, Kunden-/Projektverwaltung, Angebots-/Rechnungserstellung, Archivierung, optionale Exporte).
(2) Art der personenbezogenen Daten (Auftragsdaten):
(3) Kategorien betroffener Personen: Kunden, Kontakte, Auftraggeber und Geschäftspartner des Auftraggebers (= die Endkunden des Nutzers), inkl. der bei diesen benannten Ansprechpersonen.
(4) Eine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Gegenstand und wird vom Auftraggeber nicht vorausgesetzt.
(1) Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 S. 2 lit. a DSGVO), es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet.
(2) Die bestimmungsgemäße Nutzung der flintery-Funktionen durch den Auftraggeber gilt als dauerhafte Weisung. Einzelweisungen darüber hinaus bedürfen der Textform (E-Mail an legal@flintery.com genügt, § 126b BGB) und werden vom Auftragnehmer dokumentiert.
(3) Hält der Auftragnehmer eine Weisung für rechtswidrig, informiert er den Auftraggeber unverzüglich und ist berechtigt, ihre Ausführung bis zur Bestätigung/Änderung auszusetzen (Art. 28 Abs. 3 S. 3 DSGVO).
(1) Der Auftragnehmer wahrt über die Auftragsdaten Verschwiegenheit. Als Einzelunternehmer verpflichtet er sich selbst auf die Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO).
(2) Zur Verarbeitung eingesetzte Personen und Unterauftragnehmer werden entsprechend zur Vertraulichkeit verpflichtet. Die Verpflichtung besteht auch nach Beendigung des Auftrags fort.
Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und hält sie während der Vertragslaufzeit auf einem dem Stand der Technik und dem Schutzbedarf angemessenen Niveau. Anlage 1 ist Bestandteil dieses AVV.
(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine schriftliche Genehmigung (Pauschalgenehmigung, Art. 28 Abs. 2 S. 1 i. V. m. Abs. 4 DSGVO), die in Anlage 2 benannten Sub-Prozessoren einzusetzen.
(2) Der Auftragnehmer führt eine aktuelle, versionierte Liste der Sub-Prozessoren öffentlich unter https://www.flintery.com/subprocessors. Beim Hinzufügen oder Austausch eines Sub-Prozessors informiert der Auftragnehmer den Auftraggeber vorab mit einer Vorlauffrist von 30 Tagen. Der Auftraggeber kann der Änderung innerhalb von 14 Tagen ab Zugang der Information aus wichtigem datenschutzrechtlichem Grund widersprechen.
(3) Widerspricht der Auftraggeber begründet und lässt sich der Grund nicht in angemessener Zeit ausräumen, ist jede Partei berechtigt, den Hauptvertrag mit Wirkung zum geplanten Wirksamwerden der Änderung zu kündigen.
(4) Der Auftragnehmer verpflichtet jeden Sub-Prozessor vertraglich auf dieselben Datenschutzpflichten (Art. 28 Abs. 4 DSGVO).
(5) Keine Sub-Prozessoren im Sinne dieses Paragraphen sind: rein selbst-gehostete Komponenten innerhalb der Infrastruktur des Auftragnehmers (z. B. PDF-Rendering, E-Rechnungs-Validierung) sowie reine Datei-Erzeugung ohne Versand an Dritte. Nutzer-initiierte Exporte an buchhalterische Zielsysteme des Auftraggebers (sevDesk/lexoffice) erfolgen mit nutzer-eigenen Zugangsdaten an einen vom Auftraggeber selbst gewählten Empfänger und sind daher kein Sub-Prozessor des Auftragnehmers (siehe Anlage 2).
(1) Betroffenenrechte (Art. 12–23 DSGVO): Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenanfragen. Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet er sie unverzüglich an den Auftraggeber weiter. flintery stellt im Produkt Selbstbedienungs-Funktionen bereit (u. a. Datenauskunft/-export gemäß Art. 15 und Selbstlöschung gemäß Art. 17).
(2) Pflichten nach Art. 32–36 DSGVO: Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen, Benachrichtigung betroffener Personen sowie ggf. Datenschutz-Folgenabschätzung.
Der Auftragnehmer meldet dem Auftraggeber unverzüglich jede ihm bekannt gewordene Verletzung des Schutzes der in dessen Auftrag verarbeiteten personenbezogenen Daten (Art. 33 Abs. 2 DSGVO), einschließlich der nach Art. 33 Abs. 3 erforderlichen Angaben, soweit verfügbar. Meldekanal: legal@flintery.com.
(1) Nach Abschluss der Verarbeitungsleistungen löscht der Auftragnehmer die Auftragsdaten oder gibt sie zurück — nach Wahl des Auftraggebers (Art. 28 Abs. 3 lit. g DSGVO). Der Auftraggeber kann seine Daten jederzeit selbst über die Export-Funktion beziehen.
(2) Archivierung ist eine angebotene Leistung, keine Pflicht des Auftragnehmers: Die steuerlichen Aufbewahrungspflichten für Rechnungs-/Faktura-Dokumente (§ 147 AO / § 257 HGB, 8 bzw. 10 Jahre ab Ende des Kalenderjahres) treffen den Auftraggeber als Steuerpflichtigen — nicht den Auftragnehmer. Der Auftragnehmer bietet als Leistung an, finalisierte Dokumente über das Vertragsende hinaus revisionssicher vorzuhalten, damit der Auftraggeber diese Pflicht erfüllen kann. Der Auftraggeber kann seine Dokumente jederzeit exportieren und ist für die eigene Ablage verantwortlich.
(3) Löschung auf Verlangen: Der Auftraggeber kann jederzeit die vollständige Löschung seiner Daten verlangen — einschließlich der archivierten Rechnungs-/Faktura-Dokumente. Der Auftragnehmer weist in diesem Fall darauf hin, dass die steuerliche Aufbewahrungspflicht beim Auftraggeber verbleibt, und empfiehlt einen vorherigen Export. Von der Löschung ausgenommen bleiben ausschließlich Nachweis-Dokumentationen der ordnungsgemäßen Verarbeitung (Art. 5 Abs. 2 DSGVO) sowie Sicherungskopien bis zu ihrer turnusmäßigen Überschreibung.
(4) Die Löschung wird auf Verlangen in Textform bestätigt.
(1) Der Auftragnehmer weist die Einhaltung der Pflichten aus diesem AVV nach (Art. 28 Abs. 3 lit. h DSGVO), vorrangig durch geeignete Dokumentation (u. a. Anlage 1) und durch Zertifikate/Nachweise seiner Sub-Prozessoren (z. B. Hetzner ISO 27001).
(2) Der Auftraggeber ist berechtigt, sich von der Einhaltung zu überzeugen. Vor-Ort-Kontrollen erfolgen nach rechtzeitiger Ankündigung (angemessene Vorlaufzeit), zu üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs und unter Wahrung der Geheimhaltungs- und Datenschutzinteressen Dritter (anderer Kunden). Der Auftragnehmer kann eine Kontrolle vorrangig durch Auskunft und Vorlage der Nachweise erfüllen.
(1) Eine Verarbeitung der Auftragsdaten findet grundsätzlich in Deutschland statt (Hosting/Speicherung bei Hetzner, Nürnberg).
(2) Eine Übermittlung in ein Drittland erfolgt ausschließlich technisch bedingt über Cloudflare (Durchleitung des Datenverkehrs „in transit"). Hierfür bestehen geeignete Garantien: UK-Angemessenheitsbeschluss sowie für die US-Gesellschaft EU-US Data Privacy Framework (DPF) und Standardvertragsklauseln (SCCs). Einzelheiten in Anlage 2; deckungsgleich mit der Datenschutzerklärung (§ 12 Drittlandtabelle).
(1) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen in datenschutzrechtlichen Fragen die Regelungen dieses AVV vor.
(2) Änderungen und Ergänzungen bedürfen der Textform (§ 126b BGB).
(3) Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen unberührt.
(4) Es gilt deutsches Recht. Gerichtsstand ist — soweit zulässig — der Sitz des Auftragnehmers.
Anlagen: Anlage 1 (TOM) · Anlage 2 (Sub-Prozessoren).
Für die in Anlage 2 benannten Sub-Prozessoren liegen eigene Sicherheitsnachweise vor: Hetzner — ISO 27001; Cloudflare — anerkannte Sicherheits-/Compliance-Zertifizierungen. Garantien für den Drittlandbezug von Cloudflare: UK-Angemessenheit, US-DPF, SCCs.
Diese Anlage listet ausschließlich Dienste, die Auftragsdaten (vom Nutzer eingegebene Endkunden-/Projektdaten) verarbeiten. Dienste, die nur Nutzer-Stammdaten (Verantwortlichen-Sphäre: Account, Zahlung, Tracking) betreffen, werden aus Transparenzgründen gesondert ausgewiesen und sind nicht Teil dieser AVV-Anlage.
| Sub-Prozessor | Sitz | Zweck / verarbeitete Auftragsdaten | Datenort | Drittland | Garantien |
|---|---|---|---|---|---|
| Hetzner Online GmbH | Nürnberg, DE | Hosting der Anwendung, PostgreSQL-Datenbank, Redis, Backups, revisionssichere Archiv-PDFs | Nürnberg / Falkenstein (DE) | Nein | ISO 27001; AV-Verhältnis innerhalb DE |
| Cloudflare, Inc. (US) / Cloudflare London, LLC (UK) | US / UK | CDN, WAF, DDoS-Schutz, TLS-Terminierung, Reverse-Proxy — Durchleitung des gesamten Traffics „in transit" (Auftragsdaten passieren die Edge) | Edge (global), Verarbeitung „in transit" | Ja | UK-Angemessenheitsbeschluss; EU-US DPF (US-Gesellschaft); SCCs |
Selbst-gehostet, kein eigener Sub-Prozessor: Selbst-gehostete PDF-Erzeugung und E-Rechnungs-Validierung laufen innerhalb der eigenen Infrastruktur (Hetzner) → kein Dritter beteiligt.
Nutzer-initiierte Exporte (kein Sub-Prozessor): Exportiert ein Nutzer Faktura-Dokumente per API an sevDesk (Offenburg, DE) oder lexoffice (Freiburg, DE), fließen Endkundendaten an dessen eigenes Buchhaltungssystem — ausgelöst durch den Nutzer und mit nutzer-eigenen Zugangsdaten. Dies ist eine nutzer-initiierte Übermittlung an einen vom Nutzer selbst gewählten Empfänger, nicht ein Sub-Prozessor von flintery. Die reine Datei-Erzeugung für DATEV/CSV/Excel ohne Server-Versand ist ebenfalls kein Sub-Prozessor.