Auftragsverarbeitungsvertrag (AVV)

Fleksa GmbH (Auftragsverarbeiter) und der Kunde (Verantwortlicher) gemäß Art. 28 DSGVO.

Gültig ab: Dezember 2024 Stand: neueste Fassung dieser Seite

Dieser AVV gilt zusätzlich zu den Allgemeinen Geschäftsbedingungen und konkretisiert die Verarbeitung personenbezogener Daten durch Fleksa im Auftrag des Kunden.

1. Vertragsparteien

• Auftragsverarbeiter: Fleksa GmbH, Friesstraße 20, 60388 Frankfurt am Main, HRB 125995, USt-IdNr. DE332785040
• Verantwortlicher: Der jeweilige Kunde gemäß Bestellformular / Vertragsschluss

2. Gegenstand und Dauer

Gegenstand der Verarbeitung ist die Bereitstellung der Fleksa-Plattform (POS, Online-Bestellung, Reservierungen, Loyalty, Website-Builder, KI-gestützte Funktionen). Dauer entspricht der Laufzeit des Hauptvertrags.

3. Art und Zweck der Verarbeitung

• Erfassung, Speicherung, Strukturierung, Anzeige, Übermittlung und Löschung personenbezogener Daten der vom Kunden eingespielten Datensätze
• Zweck: Vertragserfüllung gemäß Hauptvertrag

4. Art der Daten und Kategorien Betroffener

5. Pflichten des Auftragsverarbeiters

Fleksa verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Fleksa verpflichtet sich, geeignete TOMs nach Art. 32 DSGVO zu treffen (siehe Datenschutz), die Mitarbeiter zur Vertraulichkeit zu verpflichten und den Verantwortlichen bei Anfragen Betroffener sowie Meldepflichten zu unterstützen.

6. Technische und organisatorische Maßnahmen (TOMs)

Siehe Datenschutz §3 (Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Verfahren zur regelmäßigen Überprüfung).

7. Sub-Auftragsverarbeiter

Eine stets aktuelle Liste der Unter-Auftragsverarbeiter wird unter /de/legal/de/subprocessors geführt. Der Verantwortliche stimmt der Beauftragung der dort gelisteten Sub-Auftragsverarbeiter zu. Bei neuen Sub-Auftragsverarbeitern erfolgt eine Vorab-Information mit Widerspruchsrecht von 30 Tagen.

8. Drittlandtransfers

Übermittlungen in Drittländer erfolgen ausschließlich auf Grundlage von Angemessenheitsbeschlüssen (insb. EU-US Data Privacy Framework) oder den EU-Standardvertragsklauseln (Modul 2 oder 3). Eine Transfer Impact Assessment (TIA) liegt vor.

9. Mitwirkung bei Betroffenenrechten

Fleksa unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung von Auskunfts-, Berichtigungs-, Lösch-, Einschränkungs-, Datenübertragbarkeits- und Widerspruchsanfragen.

10. Meldung von Verletzungen

Fleksa meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, in der Regel innerhalb von 48 Stunden, einschließlich aller Angaben nach Art. 33 (3) DSGVO.

11. Kontrollrechte des Verantwortlichen

Der Verantwortliche hat das Recht, sich von der Einhaltung dieses AVV durch Fleksa zu überzeugen. Fleksa stellt hierzu Selbstauskünfte, einschlägige Zertifikate (SOC 2 / ISO 27001, sobald verfügbar) und auf Anfrage Dokumentation der TOMs bereit. Vor-Ort-Audits sind mit angemessener Vorankündigung (mind. 30 Tage) und unter Wahrung der Betriebsabläufe möglich.

12. Löschung / Rückgabe nach Vertragsende

Nach Beendigung des Hauptvertrags werden personenbezogene Daten innerhalb von 90 Tagen gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (§ 257 HGB, § 147 AO — bis zu 10 Jahre für steuerlich relevante Daten).

13. Haftung

Es gelten die Haftungsregelungen des Hauptvertrags (AGB) und Art. 82 DSGVO.

14. Schlussbestimmungen

Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts. Gerichtsstand: Frankfurt am Main. Änderungen bedürfen der Textform.

---

Annahme dieses AVV

Durch Abschluss eines Abonnement-Vertrags mit Fleksa gilt dieser AVV als zwischen den Parteien geschlossen. Eine separat unterzeichnete Version ist auf Anfrage erhältlich (datenschutz@fleksa.com).