// Art. 28 DSGVO · Auftragsverarbeitung

Auftragsverarbeitungsvertrag (AVV).

Wenn ich für dich personenbezogene Daten verarbeite — und das passiert in fast jedem FloW-Produkt — brauchst du nach Art. 28 DSGVO einen AVV von mir. Hier sind die Eckdaten, den vollständigen Vertragstext als PDF schicke ich dir auf eine Mail hin zu.

Auftragnehmer

FloW Software · Florian Weise (siehe Impressum)

Verarbeitungsort

Frankfurt am Main, Deutschland (Hostinger VPS · Vertragspartner: Hostinger International Ltd., EU)

Datenkategorien

Produktabhängig — siehe Annex der jeweiligen AVV. In der Regel: Stammdaten, Doku-Inhalte, Audit-Logs.

Zweck

Ausschließlich Vertragserfüllung (Bereitstellung der Software). Kein Pooling über Auftraggeber hinweg, kein KI-Training auf deinen Daten.

Löschung

Nach Vertragsende auf schriftliche Aufforderung. Standard: vollständige Löschung innerhalb von 30 Tagen.

Audit-Recht

Du darfst jederzeit die Einhaltung der TOMs (Technische und organisatorische Maßnahmen) prüfen — nach vorheriger Anmeldung.

AVV per Mail anfordern

Schreib mir kurz, für welches FloW-Produkt du den AVV brauchst — ich schicke dir das fertige PDF zur Gegenzeichnung (Word oder PDF, wie du willst).

AVV anfragen →

Sub-Auftragsverarbeiter

Folgende Drittanbieter werden bei Bedarf eingesetzt. Mit allen liegt ein AVV bzw. ein gleichwertiges Vertragswerk vor; bei US-Anbietern zusätzlich Standardvertragsklauseln (SCC).

Anbieter	Zweck	Standort	DPA / Beleg
Hostinger International Ltd. 61 Lordou Vironos str., 6023 Larnaca, Cyprus · Betrieb über Hostinger DE (Vilnius, LT)	VPS-Hosting der FloW-Server und Datenbanken. Eigene Sub-Prozessoren u.a.: AWS EMEA, Google Cloud EMEA, Cloudflare, MailChannels, Proofpoint, Anthropic Ireland, spectra tech UAB.	Frankfurt am Main, DE (im Account-Panel verankert)	DPA (Stand 15.04.2026, SCC Modul 2+3, gilt durch ToS-Akzeptanz)	EU
Mistral AI SAS 15 rue des Halles, 75001 Paris, FR	KI-Verarbeitung (Doku-Generierung, Klassifizierung) via La Plateforme API. Kein Training auf API-Daten (Default bei bezahltem Tier).	Infrastruktur in der EU/EWR (Microsoft Azure Schweden/Norwegen, CoreWeave EWR)	DPA (Stand 12.03.2026, gilt durch ToS-Annahme) · Sub-Sub-Prozessoren	EU
Twilio Inc. 645 Harrison St., San Francisco, US · Streit-Gerichtsstand Irland	Telefonie (KI-Telefonagent: Anruf-Annahme, TTS, Recording). Twilio darf Service-Abuse-Daten zur internen Tool-/Modell-Verbesserung nutzen (kein vollständiges Trainings-Verbot).	USA (Default). Optional „Regional Twilio" Irland für Customer-Daten — Aktivierung in der Console nötig.	DPA (Stand 09.04.2026) · EU-US DPF + SCC Modul 1–3 + BCRs · Sub-Sub-Prozessoren	US + SCC
Meta Platforms Ireland Ltd. Dublin, IE · Mutter: US	Instagram Graph API (nur SocialBot)	EU + US (mit SCC)	Business Tools Terms	US + SCC
seven communications GmbH & Co. KG Willestr. 4-6, 24103 Kiel, DE	SMS-Versand (nur Kalendrix-Buchungserinnerungen). „Pure EU Routing".	Server: Hetzner Online GmbH, Deutschland (ISO 27001)	AVV v2.1 (Mai 2026) am 26.05.2026 elektronisch akzeptiert · Sub-Sub-Prozessoren	EU
Stripe Payments Europe Ltd. Dublin, IE	Zahlungsabwicklung (nur bei Kalendrix-Buchungen und FloW-Rechnungen)	Irland, EU	DPA	EU

Technisch-organisatorische Maßnahmen (TOMs) — Kurzfassung

Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256). Zugriff auf Produktionssysteme nur über SSH mit 2FA. Tägliche verschlüsselte Backups, 30 Tage Aufbewahrung. Pseudonymisierung wo technisch möglich. Logging aller administrativen Zugriffe. Vollständige TOM-Dokumentation Bestandteil des AVV-PDFs.

Status: Eckdaten-Vorschau. Der vollständige AVV liegt als unterschriebenes PDF bereit und wird auf Anfrage zugesendet. Vor anwaltlicher Endabnahme ist die Erstfassung als Standard- AVV mit Branchenüblichen Konditionen formuliert.