Auftragsverarbeitungsvertrag

Gemäß Art. 28 DSGVO · Stand: April 2026

    Dieser Vertrag wird mit der Registrierung eines Nutzerkontos bei HandwerksFlow und der Zustimmung zu den AGB automatisch elektronisch abgeschlossen. Eine gesonderte Unterzeichnung ist nicht erforderlich.
  

Vertragsparteien

Auftragsverarbeiter:
HandwerksFlow · Nimblefox Solutions LLC
2201 Menaul Blvd NE, Ste A · 87107 Albuquerque, New Mexico, USA
E-Mail: info@handwerks-flow.de
Verantwortliche Person: Sarah Löwenstein
(im Folgenden „Anbieter")

Verantwortlicher:
Der jeweilige Nutzer, der ein Konto bei HandwerksFlow registriert und die Software in Ausübung seiner gewerblichen oder selbstständigen Tätigkeit nutzt.
(im Folgenden „Kunde")

§ 1 Gegenstand und Laufzeit

(1) Im Rahmen der Nutzung der Software HandwerksFlow verarbeitet der Anbieter personenbezogene Daten im Auftrag des Kunden. Dies umfasst die Bereitstellung der SaaS-Funktionen zur Angebotserstellung, Rechnungsstellung, Kundenverwaltung und KI-gestützten Dokumenterstellung.

(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit des Nutzungsvertrages. Er endet automatisch mit der Löschung des Nutzerkontos.

§ 2 Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erheben, Speichern, Verarbeiten, Übermitteln und Löschen personenbezogener Daten im Rahmen der Softwarenutzung, einschließlich KI-gestützter Verarbeitung zur Textgenerierung und Angebotserstellung.

(2) Zweck: Ausschließlich zur Erbringung der vertraglich vereinbarten Leistungen von HandwerksFlow. Eine darüber hinausgehende Nutzung der Daten durch den Anbieter findet nicht statt.

§ 3 Betroffene Daten und Personen

(1) Kategorien personenbezogener Daten:

Stamm- und Kontaktdaten der Endkunden des Kunden (Name, Anschrift, E-Mail, Telefon)
Projekt- und Auftragsdaten (Leistungsbeschreibungen, Notizen, Aufmaße)
Vertrags- und Rechnungsdaten
Sprachaufnahmen und daraus erzeugte Transkripte (bei Nutzung der Sprachfunktion)

(2) Betroffene Personengruppen:

Kunden und Interessenten des Handwerksbetriebs (des Kunden)
Mitarbeiter des Kunden (soweit im System erfasst)

§ 4 Pflichten des Anbieters

(1) Der Anbieter verarbeitet personenbezogene Daten ausschließlich nach Maßgabe dieses Vertrages und gemäß den Weisungen des Kunden. Die bestimmungsgemäße Nutzung der Software gilt als solche Weisung.

(2) Der Anbieter stellt sicher, dass alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit verpflichtet sind.

(3) Der Anbieter unterstützt den Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Datenportabilität) soweit dies technisch möglich ist.

(4) Der Anbieter verarbeitet keine übermittelten Kundendaten für eigene Zwecke, insbesondere nicht für das Training von KI-Modellen.

§ 5 Technische und organisatorische Maßnahmen (TOMs)

Der Anbieter hat geeignete technische und organisatorische Maßnahmen umgesetzt, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

Transportverschlüsselung: Alle Daten werden ausschließlich über TLS-verschlüsselte Verbindungen übertragen (HTTPS).
Zugangskontrolle: Mandantentrennung durch betrieb_id-basierte Datenisolierung. Kein Betrieb kann auf Daten eines anderen zugreifen.
Zugriffsbeschränkung: Administrativer Zugriff auf Produktionssysteme nur über SSH-Key-Authentifizierung, kein Passwort-Login.
Serverstandort: Die Daten werden auf Servern in der Europäischen Union gespeichert und verarbeitet (Hetzner, Deutschland).
Datensicherung: Regelmäßige Datensicherungen des Servers.

§ 6 Unterauftragsverarbeiter

(1) Der Kunde stimmt dem Einsatz der nachfolgend aufgeführten Unterauftragsverarbeiter zu. Änderungen werden dem Kunden mindestens 14 Tage im Voraus per E-Mail oder in der Anwendung angekündigt.

Anbieter	Zweck	Serverstandort
Hetzner Online GmbH	Server-Hosting und Datenspeicherung	Deutschland (EU)
Mistral AI	KI-gestützte Textgenerierung und Bildanalyse (Pixtral)	Frankreich (EU) — keine Nutzung der Daten für Modelltraining (API-Nutzungsbedingungen)
OpenAI, LLC	Sprachtranskription (Whisper API)	USA — Datentransfer auf Basis von EU-Standardvertragsklauseln (Art. 46 DSGVO); keine Nutzung für Modelltraining (API-Nutzungsbedingungen)
Brevo SA	Transaktionaler E-Mail-Versand	Frankreich (EU)

(2) Alle eingesetzten Unterauftragsverarbeiter sind vertraglich zur Einhaltung der DSGVO-Anforderungen verpflichtet. Für Anbieter außerhalb der EU bestehen geeignete Garantien (EU-Standardvertragsklauseln oder Angemessenheitsbeschluss).

§ 7 Löschung und Datenrückgabe

(1) Nach Kündigung oder Löschung des Nutzerkontos löscht der Anbieter sämtliche personenbezogenen Daten des Kunden innerhalb von 30 Tagen unwiederbringlich, sofern keine gesetzlichen Aufbewahrungspflichten (insbesondere nach HGB und AO) entgegenstehen.

(2) Der Kunde hat die Möglichkeit, seine Daten vor Kontolöschung über die in der Software vorhandenen Exportfunktionen selbstständig zu sichern. Der Anbieter weist auf diese Möglichkeit bei Kündigung hin.

§ 8 Meldung von Datenschutzverletzungen

(1) Der Anbieter informiert den Kunden unverzüglich — spätestens innerhalb von 24 Stunden nach Bekanntwerden — über Verletzungen des Schutzes personenbezogener Daten, damit der Kunde seine eigene Meldepflicht gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO (72-Stunden-Frist) wahrnehmen kann.

(2) Die Meldung enthält mindestens: Art und Umfang der Verletzung, betroffene Datenkategorien und Personengruppen, wahrscheinliche Folgen sowie eingeleitete oder geplante Gegenmaßnahmen.

§ 9 Weisungsrecht des Kunden

(1) Der Kunde ist berechtigt, dem Anbieter jederzeit Weisungen zur Verarbeitung personenbezogener Daten zu erteilen. Weisungen erfolgen in der Regel durch die bestimmungsgemäße Nutzung der Software; darüber hinausgehende Weisungen sind per E-Mail an info@handwerks-flow.de zu richten.

(2) Hält der Anbieter eine Weisung für rechtswidrig, teilt er dies dem Kunden unverzüglich mit. Die Ausführung der Weisung wird bis zur Klärung ausgesetzt.

§ 10 Kontakt und Aufsichtsbehörde

Bei Fragen zur Datenverarbeitung oder zur Ausübung von Betroffenenrechten:

info@handwerks-flow.de

Zuständige Datenschutz-Aufsichtsbehörde für Nutzer in Deutschland ist die jeweilige Landesbehörde am Sitz des Kunden. Eine Übersicht findet sich unter www.bfdi.bund.de.