Auftragsverarbeitungsvertrag (AVV)

Stand: 26.02.2026; English

Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Vereinbarung zwischen SkyFlow9 Digital UG (haftungsbeschränkt) („Auftragsverarbeiter“, „wir“) und dem Kunden („Verantwortlicher“, „du“) über die Verarbeitung personenbezogener Daten nach der DSGVO.

1. Gegenstand und Dauer

Gegenstand ist die Bereitstellung des Services (automationhub.cloud) inkl. Workflow-Automationen, Integrationen, Logging und Usage-Tracking. Die Verarbeitung erfolgt für die Laufzeit des Vertrags sowie darüber hinaus, soweit gesetzliche Aufbewahrung oder technische Backup-Zyklen dies erfordern.

2. Art und Zweck der Verarbeitung

  • Bereitstellung und Betrieb des Services und Ausführung konfigurierter Automationen.
  • Kontoverwaltung und Authentifizierung.
  • Usage-Messung (Tasks), abrechnungsbezogene Nachweise und Run-Historie.
  • Fehleranalyse, Troubleshooting, Sicherheitsmonitoring und Weiterentwicklung.
  • Supportkommunikation, sofern von dir angestoßen.

3. Kategorien betroffener Personen und Daten

Betroffene Personen: Nutzer, Mitarbeitende, Dienstleister, Kunden, Abonnenten sowie weitere Personen, deren Daten du über den Service verarbeitest.

Kategorien personenbezogener Daten:

  • Kontodaten: Name, E-Mail, Login-IDs, Rechnungsadresse.
  • Technische/Usage-Daten: Logs, Webhook-Payloads, Zeitstempel, Run-Historie, Fehlermeldungen, IDs zu angebundenen Diensten.
  • Konfigurationsdaten: Einstellungen zur Ausführung der Automationen.
  • Supportdaten: Inhalte aus Supportformularen/E-Mails.

Besondere Kategorien (Art. 9 DSGVO): Nicht vorgesehen. Du solltest keine besonderen Kategorien über den Service verarbeiten, außer dies ist zwingend erforderlich und rechtlich abgesichert.

4. Pflichten des Verantwortlichen

  • Du bestimmst Zwecke/Mittel der Verarbeitung und stellst eine Rechtsgrundlage sicher.
  • Du stellst sicher, dass du Rechte/Berechtigungen zur Anbindung und Verarbeitung aus Drittdiensten hast.
  • Du konfigurierst Automationen und entscheidest, welche Daten verarbeitet werden (Datenminimierung beachten).
  • Backups der Daten in Drittdiensten (Trello/Google/YouTube/Kit etc.) liegen in deiner Verantwortung.

5. Pflichten des Auftragsverarbeiters

  • Wir verarbeiten personenbezogene Daten nur nach deinen dokumentierten Weisungen, soweit zur Leistungserbringung erforderlich.
  • Wir verpflichten berechtigte Personen auf Vertraulichkeit.
  • Wir setzen geeignete technische und organisatorische Maßnahmen („TOMs“) nach Art. 32 DSGVO um.
  • Wir informieren dich, soweit zulässig, wenn Weisungen gegen Datenschutzrecht verstoßen.

6. TOMs

Wir setzen risikoadäquate TOMs um, u. a. (soweit anwendbar):

  • Zugriffskontrolle (Least Privilege), Authentifizierung, Trennung interner Admin-Konten.
  • Transportverschlüsselung (TLS) und sicheres Secrets-Handling für Integrationen.
  • Logging/Monitoring zur Sicherheit und Fehleranalyse.
  • Patch- und Vulnerability-Management.
  • Backups der Plattform-Infrastruktur-Daten zur Betriebsfähigkeit.

Ein detaillierter TOM-Anhang kann auf Anfrage bereitgestellt werden.

7. Unterauftragsverarbeiter

Du erteilst die Genehmigung zum Einsatz von Unterauftragsverarbeitern zur Bereitstellung des Services. Wir verpflichten Unterauftragsverarbeiter vertraglich auf mindestens gleichwertige Datenschutzpflichten. Eine aktuelle Liste kann auf Anfrage und/oder über eine dedizierte Seite im Service bereitgestellt werden.

Aktuelle Liste: Unterauftragsverarbeiter

Änderungen an Unterauftragsverarbeitern: Wir können Unterauftragsverarbeiter im Zuge der Weiterentwicklung des Services ändern. Änderungen veröffentlichen wir auf der Seite Unterauftragsverarbeiter. Wesentliche Änderungen kündigen wir nach Möglichkeit vorab per E-Mail an. Wenn du aus Datenschutzgründen berechtigt widersprichst, kannst du die betroffenen kostenpflichtigen Leistungen vor Wirksamwerden der Änderung beenden.

8. Drittlandtransfer

Einige Anbieter können Daten außerhalb des EWR verarbeiten (z. B. USA). Soweit erforderlich werden geeignete Garantien genutzt (z. B. EU-Standardvertragsklauseln) und ggf. zusätzliche Maßnahmen umgesetzt.

9. Unterstützung bei Betroffenenrechten

Wir unterstützen dich bei der Erfüllung von Betroffenenanfragen (Auskunft, Löschung, Berichtigung etc.), soweit dies nicht direkt über den Service möglich ist.

10. Meldung von Datenschutzvorfällen

Wir informieren dich ohne unangemessene Verzögerung nach Bekanntwerden eines Datenschutzvorfalls, der Daten unter diesem AVV betrifft, und stellen die für deine Meldepflichten erforderlichen Informationen bereit.

11. Löschung und Rückgabe

Nach Vertragsende löschen oder geben wir personenbezogene Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht oder eine Aufbewahrung aus Sicherheits-/Backup-/Streitbeilegungsgründen erforderlich ist. Usage-/Log-Historie wird typischerweise bis zu 12 Monate gespeichert, sofern du keine frühere Löschung anfragst (soweit technisch möglich) oder längere Aufbewahrung gesetzlich erforderlich ist.

12. Nachweise und Audit

Wir stellen Informationen zur Verfügung, die zur Nachweisführung der Einhaltung dieses AVV erforderlich sind. Audits erfolgen nach angemessener Vorankündigung, während der Geschäftszeiten und unter Wahrung von Vertraulichkeit und Sicherheit. Alternativ können geeignete Prüfberichte/Zertifikate genutzt werden, sofern verfügbar.

13. Haftung

Die Haftung richtet sich nach den Haftungsregelungen in den AGB, soweit zwingendes Recht nichts anderes bestimmt.

14. Kontakt

Datenschutzbezogene Anfragen zu diesem AVV bitte über das Supportformular (Login erforderlich) oder die Kontaktdaten im Impressum/Legal Notice.

Akzeptanz: Mit Nutzung des Services und Annahme der AGB akzeptierst du auch diesen AVV.

Verknüpfte Dokumente