FMFlow

Auftragsverarbeitungsvertrag (AVV)

zwischen dem Kunden (nachfolgend „Verantwortlicher") und Matthias Schröder, Klein Feldchen 26, 52538 Gangelt (nachfolgend „Auftragsverarbeiter") gemäß Art. 28 DSGVO.

§ 1 Gegenstand & Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung des Dienstes FMFlow. Die Dauer entspricht der Laufzeit des Hauptvertrags (Nutzungsvertrag/AGB).

§ 2 Art, Zweck, Datenarten, Betroffene

  • Zweck/Art: Speicherung und Verarbeitung der vom Verantwortlichen eingegebenen Daten zur Verwaltung von Betreiberpflichten, Verträgen, Fristen und Dokumenten.
  • Datenarten: Kontaktdaten von Firmen und Ansprechpartnern (Name, E-Mail, Telefon), Benutzerdaten der Mitarbeitenden (Name, E-Mail), Inhalte hochgeladener Dokumente.
  • Betroffene Personen: Mitarbeitende und Ansprechpartner des Verantwortlichen sowie beauftragter Firmen/Dienstleister.

§ 3 Weisungsrecht

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern keine gesetzliche Pflicht zu einer anderen Verarbeitung besteht.

§ 4 Pflichten des Auftragsverarbeiters

  • Vertraulichkeit: Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit.
  • Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen (Anlage 1).
  • Unterstützung des Verantwortlichen bei Betroffenenrechten und Meldepflichten (Art. 32–36).
  • unverzügliche Information bei Verdacht auf Datenschutzverletzungen.

§ 5 Technische & organisatorische Maßnahmen (TOMs)

Es gelten die in Anlage 1 beschriebenen Maßnahmen nach Art. 32 DSGVO.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu. Weitere Unterauftragnehmer werden vorab mitgeteilt; der Verantwortliche kann begründet widersprechen.

§ 7 Unterstützung & Betroffenenrechte

Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Erfüllung von Auskunfts-, Berichtigungs-, Löschungs- und sonstigen Betroffenenrechten.

§ 8 Löschung & Rückgabe

Nach Beendigung des Vertrags werden die Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Der Kunde erhält zuvor angemessen Gelegenheit zum Export.

§ 9 Nachweise & Kontrollen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen.

Anlage 1 – Technische & organisatorische Maßnahmen (Art. 32 DSGVO)

  • Vertraulichkeit / Zugangskontrolle: Anmeldung mit individuellen Zugangsdaten, Passwörter nur als sicherer Hash (bcrypt) gespeichert; geschützte Sitzungen (HttpOnly-, Secure-, SameSite-Cookies); Schutz vor Cross-Site-Request-Forgery bei allen schreibenden Aktionen.
  • Zugriffskontrolle: Rollenkonzept (Leser, Erfasser, Administrator); strikte Mandantentrennung – jeder Kunde sieht ausschließlich seine eigenen Daten (Trennung auf Datenbankebene). Dokumente liegen außerhalb des Web-Roots, Download nur authentifiziert und mandantengeprüft.
  • Trennungskontrolle: Mehrmandantenfähigkeit mit datensatzweiser Mandantenkennung; keine mandantenübergreifenden Zugriffe.
  • Weitergabe-/Transportkontrolle: Übertragung ausschließlich verschlüsselt über TLS/HTTPS.
  • Integrität / Eingabekontrolle: SHA-256-Prüfsumme je hochgeladenem Dokument; Erfassungsnachweis (wer/wann) je Durchführung und Dokument.
  • Verfügbarkeit: Datensicherungen beim Hoster; Wiederherstellbarkeit.
  • Datenbankzugriff: ausschließlich über parametrisierte Abfragen (Prepared Statements).

Hinweis: Hochgeladene Dateien werden nicht zusätzlich „at rest" verschlüsselt; der Schutz erfolgt über Zugriffskontrolle, Ablage außerhalb des Web-Roots und TLS bei der Übertragung.

Anlage 2 – Unterauftragsverarbeiter

  • ALL-INKL.COM – Neue Medien Münnich, Inhaber René Münnich, Hauptstraße 68, 02742 Friedersdorf – Hosting/Rechenzentrum (Deutschland).

Stand: 02.06.2026