Diese Vereinbarung gilt für alle Tätigkeiten, bei denen der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Sie ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB).
This Agreement applies to all activities in which the Processor processes personal data on behalf of the Controller. It forms an integral part of the Terms of Service (ToS).
Zweck: Bereitstellung einer Integration Platform as a Service (iPaaS) zur Automatisierung von Produktionsprozessen.
Purpose: Provision of an Integration Platform as a Service (iPaaS) for automating production processes.
Dauer: Entspricht der Laufzeit des Hauptvertrags.
Duration: Corresponds to the term of the Main Agreement.
Datenarten: Stammdaten (z.B. Namen, E-Mail), Protokolldaten (Logs, IP) sowie auftragsbezogene Produktionsdaten mit Personenbezug.
Data Types: Master data (e.g. names, email), log data (logs, IP), and job-related production data containing personal references.
Betroffene: Beschäftigte des Kunden, Kunden des Kunden, Lieferanten.
Data Subjects: Employees of the Customer, customers of the Customer, suppliers.
Ausschluss besonderer Kategorien: Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sind nicht Gegenstand der Verarbeitung, sofern nicht ausdrücklich schriftlich zwischen den Parteien vereinbart.
Exclusion of Special Categories: Special categories of personal data pursuant to Art. 9 GDPR are not processed unless explicitly agreed in writing between the parties.
Der Auftragsverarbeiter verarbeitet Daten nur auf dokumentierte Weisung des Verantwortlichen. Weisungen bedürfen der Textform.
The Processor processes data exclusively on documented instructions from the Controller. Instructions must be in text form.
Remonstrationsrecht: Hält der Auftragsverarbeiter eine Weisung für rechtswidrig (Verstoß gegen die DSGVO oder andere anwendbare Datenschutz- oder Aufbewahrungsvorschriften), informiert er den Verantwortlichen unverzüglich. Er darf die Ausführung aussetzen, bis die Weisung bestätigt oder geändert wurde.
Right to Remonstrate: If the Processor considers an instruction to be unlawful (violation of the GDPR or other applicable data protection or statutory retention regulations), he shall inform the Controller immediately. He may suspend execution until the instruction is confirmed or modified.
Der Verantwortliche genehmigt die in Anlage 2 gelisteten Sub-Dienstleister.
The Controller authorizes the sub-processors listed in Annex 2.
Änderungen: Der Auftragsverarbeiter informiert den Verantwortlichen mit angemessener Frist (in der Regel mindestens 14 Tage) vor der Beauftragung neuer Sub-Dienstleister. Bei Widerspruch aus wichtigem Grund und fehlender Einigung hat der Kunde ein Sonderkündigungsrecht.
Changes: The Processor shall inform the Controller within a reasonable period (usually at least 14 days) prior to engaging new sub-processors. In case of objection for good cause and lack of agreement, the Controller has a special right of termination.
Haftung: Der Auftragsverarbeiter haftet voll für seine Sub-Dienstleister (Art. 28 Abs. 4 DSGVO).
Liability: The Processor remains fully liable for its sub-processors (Art. 28 para 4 GDPR).
Nachweis: Der Auftragsverarbeiter stellt alle nötigen Informationen zum Nachweis der Einhaltung der Pflichten bereit.
Evidence: The Processor provides all information necessary to demonstrate compliance with obligations.
Audit: Kontrollen erfolgen primär über Zertifikate. Vor-Ort-Prüfungen sind nur bei begründetem Verdacht und nach vorheriger Abstimmung zulässig.
Audit: On-site inspections are permitted only in case of substantiated suspicion and following prior coordination.
Kosten: Soweit Audits über das gesetzlich Erforderliche hinausgehen, trägt der Verantwortliche die Kosten zu üblichen Stundensätzen.
Costs: Insofar as audits go beyond statutory requirements, the Controller shall bear the costs at standard hourly rates.
Drittländer: Transfer nur bei angemessenem Schutzniveau (z.B. EU-US DPF, SCCs). Unterstützung bei Transfer Impact Assessments (TIA) wird zugesichert.
Third Countries: Transfer only with adequate protection level (e.g., EU-US DPF, SCCs). Assistance with Transfer Impact Assessments (TIA) is assured.
Betroffenenrechte: Die Unterstützung erfolgt, soweit dies dem Auftragsverarbeiter technisch möglich und zumutbar ist.
Data Subject Rights: Assistance shall be provided insofar as this is technically feasible and reasonable for the Processor.
Vergütung: Für Unterstützungsleistungen, die nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann eine angemessene Vergütung verlangt werden.
Remuneration: Reasonable remuneration may be charged for assistance services that are not attributable to misconduct by the Processor.
Die Löschung erfolgt auf Weisung des Verantwortlichen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Deletion shall be carried out upon instruction of the Controller, unless statutory retention obligations apply.
Backups: Daten in Backups werden im regulären Zyklus überschrieben und bis dahin logisch gesperrt, nicht produktiv genutzt und ausschließlich zu Wiederherstellungszwecken vorgehalten.
Backups: Data contained in backups is overwritten in the regular cycle and, until then, logically restricted, not used productively, and retained solely for recovery purposes.
Maßgebliche Fassung: Im Falle von Abweichungen zwischen der deutschen und der englischen Sprachfassung ist die deutsche Fassung maßgeblich.
Prevailing Version: In case of discrepancies between the German and English versions, the German version shall prevail.
Rechtsnachfolge: Diese Vereinbarung gilt auch im Falle einer Umwandlung, Verschmelzung oder sonstigen Gesamtrechtsnachfolge des Auftragsverarbeiters fort.
Legal Succession: This Agreement shall continue to apply in the event of a transformation, merger, or other universal legal succession of the Processor.
Keine eigenen Rechenzentren (Nutzung zertifizierter Provider wie UpCloud). Kein öffentlicher Zutritt zu Home-Office Arbeitsplätzen. Starke Passwortrichtlinien, zwingende 2FA, Festplattenverschlüsselung.
No own data centers (Usage of certified providers like UpCloud). No public access to home offices. Strong password policies, mandatory 2FA, Full Disk Encryption.
Rollenkonzept (Need-to-know). Verschlüsselung (TLS 1.2+). Pseudonymisierung/Datenminimierung wo möglich. Verbot von Daten auf USB-Sticks.
Role-based access (Need-to-know). Encryption (TLS 1.2+). Pseudonymization/Minimization where feasible. Prohibition of data on USB drives.
Tägliche Backups (Off-Site/Getrennter Speicher), DDoS-Schutz. Dokumentierter Incident-Response-Prozess.
Daily Backups (Off-site/Separate storage), DDoS protection. Documented Incident Response Process.
Git-Versionskontrolle für Code, Audit-Logs. Logische Mandantentrennung (Multi-Tenancy). Trennung von Test/Prod.
Git version control, Audit logs. Logical tenant separation (Multi-Tenancy). Separation of Test/Prod.
Stand / As of: 07.01.2026
| Firma / Company | Dienstleistung / Service | Ort / Location |
|---|---|---|
| UpCloud Ltd. | Hosting & Infrastructure | EU, US, UK, SG, AU (Customer Choice) |
| Magic Labs Inc. | Identity & Login (Auth) | USA |
| HubSpot Inc. | CRM & Marketing | EU (Data Residency) |
| Google Ireland Ltd. (Workspace) |
Communication & Document Storage (Email, Drive) |
EU / Global |
| Freshworks Inc. | Customer Support System | USA / India (Global) |
| Stripe Payments Ltd. | Payment Processing (Controller & Processor) |
Ireland / USA |
| Google Ireland Ltd. (Analytics) |
Web Analytics (Usage optional) |
Ireland / USA |
| Haufe-Lexware (LexOffice) |
Accounting (No Production Data) |
Germany |
| [OpenAI / LLM Provider] | AI Processing (Controller-controlled, no training, no persistent storage beyond processing duration) |
USA / EU |