Vertrag zur Auftragsverarbeitung
gemäß Art. 28 DSGVO · Version 1 · Juni 2026 · Berlin
Der AVV nach Art. 28 DSGVO ist mit der Registrierung wirksam abgeschlossen. Hier könnt ihr ihn lesen und als PDF mit euren Angaben herunterladen – als zusätzliches Dokument für eure Unterlagen!
Für ein personalisiertes, ausgefülltes PDF bitte einloggen. Den Vertragstext könnt ihr hier jederzeit lesen.
Auftragsverarbeiter
Mandria Labs GbR, Lachenmeyrstr. 16, 81827 München, Deutschland, vertreten durch die Gesellschafter Martin Dietrich und Daniel Seitz. Kontakt: datenschutz@flowpresent.org.
Präambel
Der Auftragsverarbeiter stellt mit Flow Present (flowpresent.org) eine cloudbasierte Software zur Planung und Durchführung von Workshops und Seminaren bereit (Briefing, Sessionplanung, Folien-Editor, Live-Modus, Nachbereitung). Im Rahmen dieser Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung der Verantwortlichen – insbesondere Daten von Workshop-Teilnehmenden, die die Verantwortliche über den Dienst erhebt.
Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die in Anhang 1 beschriebene Verarbeitung. Er gilt für alle Tarife (einschließlich des kostenfreien Tarifs), sobald über den Dienst personenbezogene Daten Dritter im Auftrag der Verantwortlichen verarbeitet werden.
Abgrenzung der Verantwortlichkeit: Für die Stammdaten des Nutzungskontos der Kund*in (z. B. Anmelde-E-Mail, Profil, Abrechnungsdaten) ist Flow Present eigenständig Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO; insoweit gilt die Datenschutzerklärung unter flowpresent.org/datenschutz und nicht dieser AVV. Dieser AVV regelt ausschließlich die Verarbeitung im Auftrag (Art. 28 DSGVO).
§ 1 Gegenstand, Art und Zweck der Verarbeitung
- Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für die Verantwortliche im Rahmen der Bereitstellung und des Betriebs von Flow Present.
- Art, Umfang, Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich abschließend aus Anhang 1.
- Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt, soweit in Anhang 3 nicht ausdrücklich etwas anderes geregelt ist.
§ 2 Dauer des Auftrags
Der Vertrag beginnt mit der Registrierung bzw. der ersten Nutzung des Dienstes durch die Verantwortliche und läuft auf unbestimmte Zeit. Er endet automatisch mit der Beendigung des Nutzungsverhältnisses (Löschung des Kontos bzw. der Organisation). Die Bestimmungen zu Löschung und Rückgabe (§ 9) bleiben über das Vertragsende hinaus wirksam.
§ 3 Weisungsrecht der Verantwortlichen
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Verantwortlichen, einschließlich in Bezug auf die Übermittlung in Drittländer, es sei denn, er ist nach dem Recht der EU oder eines Mitgliedstaats zur Verarbeitung verpflichtet.
- Die Nutzung des Dienstes gemäß der Dokumentation und der getroffenen Konfigurationseinstellungen gilt als dokumentierte Weisung. Einzelweisungen erfolgen in Textform an datenschutz@flowpresent.org.
- Der Auftragsverarbeiter informiert die Verantwortliche unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung auszusetzen.
§ 4 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich insbesondere:
- die Verarbeitung ausschließlich im Rahmen dieses Vertrages und der Weisungen der Verantwortlichen vorzunehmen;
- die zur Verarbeitung befugten Personen zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b, Art. 29, Art. 32 Abs. 4 DSGVO);
- die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO gemäß Anhang 2 umzusetzen und einzuhalten;
- die Verantwortliche bei der Erfüllung ihrer Pflichten nach Art. 32–36 DSGVO im Rahmen seiner Möglichkeiten zu unterstützen (§ 6);
- einen Datenschutzkontakt für Datenschutzanfragen bereitzustellen (datenschutz@flowpresent.org); eine gesetzliche Pflicht zur Benennung einer/eines Datenschutzbeauftragten besteht derzeit nicht;
- ein Verzeichnis aller Kategorien von im Auftrag durchgeführten Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO zu führen;
- die Verantwortliche unverzüglich zu informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragsverarbeiter tätig wird, soweit dies die Auftragsverarbeitung betrifft.
§ 5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
- Der Auftragsverarbeiter trifft die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten und hält diese während der Vertragslaufzeit aufrecht.
- Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragsverarbeiter ist berechtigt, sie weiterzuentwickeln, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.
§ 6 Unterstützungspflichten
- Der Auftragsverarbeiter unterstützt die Verantwortliche durch geeignete technische und organisatorische Maßnahmen dabei, Anträge betroffener Personen auf Wahrnehmung ihrer Rechte (Art. 12–23 DSGVO) zu beantworten. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an die Verantwortliche weiter.
- Der Auftragsverarbeiter unterstützt die Verantwortliche bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung, vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
§ 7 Meldung von Verletzungen des Schutzes personenbezogener Daten
Der Auftragsverarbeiter meldet der Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die im Auftrag verarbeitet werden, unverzüglich – in der Regel innerhalb von 48 Stunden nach Kenntnis. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit verfügbar. Die Meldung nach Art. 33 DSGVO an die Aufsichtsbehörde sowie ggf. die Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO obliegen der Verantwortlichen.
§ 8 Unterauftragsverarbeitung
- Die Verantwortliche stimmt dem Einsatz der in Anhang 3 aufgeführten Unterauftragsverarbeiter zu (allgemeine schriftliche Genehmigung nach Art. 28 Abs. 2 DSGVO).
- Der Auftragsverarbeiter informiert die Verantwortliche über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern vorab in Textform (z. B. per E-Mail oder über eine veröffentlichte Liste unter flowpresent.org). Die Verantwortliche kann einer Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichen Grund widersprechen; im Widerspruchsfall sind die Parteien zur einvernehmlichen Lösung verpflichtet, andernfalls steht der Verantwortlichen ein Kündigungsrecht zu.
- Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich auf datenschutzrechtliche Pflichten, die denen dieses Vertrages entsprechen (Art. 28 Abs. 4 DSGVO). Verletzt ein Unterauftragsverarbeiter seine Datenschutzpflichten, haftet der Auftragsverarbeiter gegenüber der Verantwortlichen wie für eigenes Handeln.
- Nicht als Unterauftragsverarbeitung im Sinne dieses Vertrages gelten Nebenleistungen (Telekommunikations-, Wartungs- oder vergleichbare Dienste) sowie optionale Drittdienste, die erst durch eine eigene Handlung der Verantwortlichen oder der Teilnehmenden ausgelöst werden (siehe Anhang 3, Abschnitt B).
§ 9 Löschung und Rückgabe nach Vertragsende
- Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl der Verantwortlichen zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.
- Die Verantwortliche kann ihre Daten während der Vertragslaufzeit jederzeit selbst exportieren. Mit der Löschung des Kontos bzw. der Organisation über die Einstellungen werden die zugehörigen Inhalte und hochgeladenen Dateien unmittelbar entfernt.
- Gesetzliche Aufbewahrungspflichten (insbesondere für Abrechnungsdaten) bleiben unberührt; entsprechende Daten werden für die Dauer der gesetzlichen Fristen gesperrt und anschließend gelöscht.
§ 10 Kontroll- und Nachweisrechte
- Der Auftragsverarbeiter stellt der Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen – durch die Verantwortliche oder eine von ihr beauftragte Prüfperson.
- Der Nachweis kann auch durch geeignete Zertifizierungen, aktuelle Prüfberichte oder Berichte unabhängiger Stellen (z. B. ISO 27001 der eingesetzten Infrastruktur-Anbieter) sowie durch eine dokumentierte Selbstauskunft erfolgen.
- Vor-Ort-Kontrollen sind mit angemessener Vorlauffrist, während der üblichen Geschäftszeiten und ohne Beeinträchtigung des Betriebsablaufs durchzuführen.
§ 11 Schlussbestimmungen
- Änderungen und Ergänzungen dieses Vertrages bedürfen der Textform. Dies gilt auch für die Änderung dieser Klausel.
- Bei Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen der Parteien gehen die Regelungen dieses Vertrages in datenschutzrechtlichen Fragen vor.
- Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien ersetzen die unwirksame Bestimmung durch eine wirksame, die dem wirtschaftlichen Zweck möglichst nahekommt.
- Es gilt das Recht der Bundesrepublik Deutschland.
Anhang 1 · Gegenstand und Einzelheiten der Verarbeitung
Kategorien betroffener Personen
- Workshop-Teilnehmende (mit und ohne Login);
- Mitglieder der Organisation der Verantwortlichen (Trainer*innen, Moderator*innen, Mitarbeitende);
- von der Verantwortlichen in Inhalte eingegebene Dritte (z. B. namentlich genannte Personen in Briefings, Folien oder Freitexten).
Art der personenbezogenen Daten
| Datenkategorie | Beispiele |
|---|---|
| Identifikations- / Kontaktdaten | Anzeigenamen, Teilnehmenden-Namen (z. B. für Gruppenauslosung), optionale Profilbilder |
| Workshop-Inhalte | Briefings, Sessionpläne, Folieninhalte (Texte, Bilder, Videos, Notizen) – soweit personenbezogene Angaben enthalten |
| Beitrags- / Interaktionsdaten | Antworten auf Umfragen, Skala-Fragen, Freitexte, Wortwolken (pseudonym über gerätegebundenen Zufallsschlüssel), Team-Chat-Nachrichten |
| Hochgeladene Dateien | Von Team-Mitgliedern oder Teilnehmenden im Live-Betrieb hochgeladene Dateien |
| Technische Nutzungsdaten | Zugriffslogs der Infrastruktur (IP-Adresse, User-Agent, Zeitstempel; befristet) |
Anhang 2 · Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
1. Vertraulichkeit
- Zutrittskontrolle: Betrieb in ISO-27001-zertifizierten Rechenzentren der eingesetzten Infrastruktur-Anbieter (AWS-Region eu-central-1, Frankfurt); kein eigener physischer Serverbetrieb.
- Zugangskontrolle: passwortlose Authentifizierung per Magic Link (keine Passwortspeicherung); Session-Cookies httpOnly und Secure.
- Zugriffskontrolle: rollen- und organisationsbezogene Zugriffsbeschränkung; Daten ausschließlich dem jeweiligen Team zugänglich; Trennung auf Datenbankebene.
- Trennungskontrolle: mandantenfähige Datenhaltung, logische Trennung der Daten je Organisation.
- Pseudonymisierung: Teilnehmenden-Antworten werden über einen zufälligen, gerätegebundenen Schlüssel ohne Verknüpfung zu einem Nutzungskonto gespeichert.
2. Integrität
- Weitergabekontrolle: Transportverschlüsselung (TLS) für alle Datenübertragungen; Verschlüsselung ruhender Daten auf Infrastrukturebene.
- Eingabekontrolle: nachvollziehbare Bearbeitung kollaborativer Dokumente; Protokollierung relevanter System- und Zugriffsereignisse.
3. Verfügbarkeit und Belastbarkeit
- Regelmäßige Datensicherung durch die eingesetzten Infrastruktur-Dienstleister.
- Monitoring von Stabilität und Sicherheit; Fehler- und Ausfallerkennung.
- Redundante, skalierbare Cloud-Infrastruktur.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO): Datenminimierung, keine Werbe-Tracker, keine Nutzungsprofile zu Werbezwecken.
- Auftragskontrolle: vertragliche Bindung aller Unterauftragsverarbeiter; Prüfung der getroffenen Schutzmaßnahmen.
- Incident-Management-Prozess für den Umgang mit Sicherheitsvorfällen.
Flow Present ist Open Source und kann selbst gehostet werden. Beim Self-Hosting verantwortet die betreibende Organisation die technischen und organisatorischen Maßnahmen eigenständig; dieser AVV bezieht sich auf die vom Auftragsverarbeiter betriebene Cloud-Version.
Anhang 3 · Genehmigte Unterauftragsverarbeiter
| Anbieter | Leistung | Ort | Grundlage |
|---|---|---|---|
| Supabase Inc., San Francisco (USA) | Datenbank, Authentifizierung, Datei-Speicher, Echtzeit-Funktionen | EU – Frankfurt (AWS eu-central-1), ISO 27001 | AVV nach Art. 28 abgeschlossen; SCC / Data Privacy Framework für etwaige US-Zugriffe |
| Vercel Inc., San Francisco (USA) | Anwendungs-Hosting; Zugriffslogs (IP, User-Agent, Zeitstempel, max. 30 Tage) | EU-Region-Routing | AVV / DPA; SCC / Data Privacy Framework |
| Functional Software Inc. (Sentry), USA | Fehler- und Stabilitäts-Monitoring (technische Diagnosedaten) | EU-Region (Frankfurt / Deutschland) | AVV / DPA; SCC / Data Privacy Framework; IP-Übermittlung deaktiviert |
Optionale Drittdienste (nutzerausgelöst)
| Dienst | Funktion | Hinweis |
|---|---|---|
| Stripe (Irland / USA) | Zahlungsabwicklung kostenpflichtiger Tarife | Betrifft Kontoinhaber*in (Flow Present als Verantwortlicher), nicht Teilnehmenden-Daten |
| Unsplash (USA) | Optionale Bildsuche | Bei Nutzung Übermittlung der Anfrage / IP |
| LibreTranslate (eigener EU-Server) | Optionale Live-Übersetzung der Folieninhalte | Läuft auf eigenem Server in Deutschland (EU); keine Übermittlung an einen externen Übersetzungsdienst. Bei Self-Hosting vollständig in eigener Infrastruktur |
| Open-Meteo (Schweiz) | Optionale Wetter-Variable in Folien | Keine personenbezogenen Daten |