Auftragsverarbeitungsvertrag (AVV)

nach Art. 28 Abs. 3 DSGVO · Stand: 2026-05-07 · Version 1.0

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten zwischen dem Auftraggeber (Kunde der Prozessdeck-Plattform, im Folgenden „der Verantwortliche") und dem Auftragnehmer (Anbieter der Prozessdeck-Plattform, im Folgenden „der Auftragsverarbeiter") im Rahmen der Nutzung von Prozessdeck (prozessdeck.de).

Du kannst den AVV direkt unterschriftsreif erstellen: Trag deine Firmendaten in das Formular am Ende der Seite ein, speicher den ausgefüllten Vertrag als PDF und schick ihn unterzeichnet an hallo@prozessdeck.de. Wir gegenzeichnen und senden dir die finale Version per Mail zurück.

1. Vertragsparteien

1.1 Auftragsverarbeiter

Leo Tschapowski
c/o Block Services
Stuttgarter Str. 106
70736 Fellbach
Deutschland
E-Mail: hallo@prozessdeck.de

1.2 Verantwortlicher

Trag deine Firmendaten unten ins Formular ein — sie erscheinen automatisch hier in der finalen Vertragsversion.

2. Gegenstand und Dauer der Verarbeitung

Gegenstand der Verarbeitung ist die Bereitstellung der Prozessdeck-Plattform zur strukturierten Abbildung wiederkehrender Geschäftsprozesse als Software-as-a-Service. Der Auftragsverarbeiter stellt dem Verantwortlichen einen mandantenisolierten Container mit dedizierter Datenbank und eigenem Datenvolume zur Verfügung.

Die Vertragsdauer entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Software-as-a-Service-Abonnement). Der Vertrag endet automatisch mit Beendigung des Hauptvertrags. Eine separate Kündigung des AVV ist nicht vorgesehen.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erfüllung des zwischen den Parteien bestehenden Hauptvertrags. Konkret werden folgende Verarbeitungstätigkeiten durchgeführt:

Speicherung und Verwaltung von Prozess-Vorlagen (Decks), Prozess-Instanzen (Runs) und Schritt-Daten
Authentifizierung von Nutzern (Benutzername, Passwort-Hash, optional 2FA-Secret)
Speicherung von Datei-Anhängen und digitalen Signaturen
Versand von System- und Benachrichtigungs-E-Mails (sofern vom Verantwortlichen aktiviert)
Protokollierung sicherheitsrelevanter Aktionen im Audit-Log
Erstellung automatischer Backups

4. Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Datenkategorien verarbeitet werden:

Stammdaten: Name, E-Mail-Adresse, Benutzername, Rolle, Abteilungszugehörigkeit
Authentifizierungsdaten: Passwort-Hash (pbkdf2-sha256), 2FA-TOTP-Secret (verschlüsselt), Session-Tokens
Inhaltsdaten: Vom Verantwortlichen oder seinen Nutzern eingegebene Prozess-Inhalte (frei wählbar)
Datei-Anhänge: Vom Verantwortlichen oder seinen Nutzern hochgeladene Dokumente (frei wählbar)
Metadaten: Zeitstempel von Aktionen, IP-Adressen (Audit-Log), User-Agent-Strings

Der Auftragsverarbeiter verarbeitet keine Daten besonderer Kategorien (Art. 9 DSGVO), sofern der Verantwortliche solche nicht selbst über die Plattform erfasst. Die Plattform ist nicht für die Verarbeitung von Gesundheitsdaten oder anderen sensiblen Kategorien zertifiziert.

5. Kategorien betroffener Personen

Mitarbeiter und Führungskräfte des Verantwortlichen
Externe Dienstleister, die Zugriff auf einzelne Prozesse erhalten
Kunden und Partner des Verantwortlichen, sofern deren Daten Bestandteil eines abgebildeten Prozesses sind

6. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter verpflichtet sich zur Einhaltung angemessener technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO. Die vollständige Beschreibung der TOMs ist Anlage 1 zu diesem Vertrag und im technischen Whitepaper (Kapitel 5) detailliert dokumentiert. Die wichtigsten Punkte:

Vertraulichkeit: Mandantenisolation per Container mit dedizierter SQLite-Datenbank und eigenem Volume; HTTPS/TLS-Verschlüsselung; Fernet-Verschlüsselung sensibler Felder (AES-128-CBC + HMAC-SHA256)
Integrität: Lückenloses Audit-Log mit Hash-Chain-Verkettung; CSRF-Schutz mit timing-safer HMAC-Compare; Secure-Cookie-Hardening (Secure, HttpOnly, SameSite=Strict)
Verfügbarkeit: Tägliche automatische Backups; Uptime-Monitoring; Disk-Space-Alarme; Reverse-Proxy mit Auto-SSL-Renewal
Zugangskontrolle: Pflicht zu starken Passwörtern; optionale Zwei-Faktor-Authentifizierung (TOTP nach RFC-6238); Sliding-Window-Rate-Limiter mit getrennten Buckets pro Endpoint; Session-Versioning für sofortigen Logout-All
Pseudonymisierung und Verschlüsselung: Sensible Felder werden mit Fernet verschlüsselt im Klartextstand; Master-Key liegt in der Container-Umgebung außerhalb der Datenbank

7. Sub-Auftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz folgender Sub-Auftragsverarbeiter zu:

Subdienstleister	Sitz	Zweck
Hostinger International Ltd.	61 Lordou Vironos Street, 6023 Larnaca, Zypern	Server-Hosting (Rechenzentrum Frankfurt am Main, Deutschland)
Stripe Payments Europe Ltd.	1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland	Zahlungsabwicklung (nur Abrechnungsdaten — keine Inhaltsdaten)

Sub-Auftragsverarbeiter werden ausschließlich auf Grundlage eines AVV nach Art. 28 DSGVO tätig. Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb des Europäischen Wirtschaftsraums. Eine Übermittlung in Drittländer findet nicht statt.

Über die Hinzunahme oder den Wechsel von Sub-Auftragsverarbeitern wird der Verantwortliche mindestens 30 Tage im Voraus per E-Mail informiert. Der Verantwortliche hat das Recht, einem solchen Wechsel innerhalb von 14 Tagen zu widersprechen; in diesem Fall steht beiden Parteien ein außerordentliches Kündigungsrecht zu.

8. Pflichten des Auftragsverarbeiters

Verarbeitung der Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen
Sicherstellung der Vertraulichkeit der mit der Verarbeitung befassten Personen
Umsetzung und Aufrechterhaltung der TOMs nach Art. 32 DSGVO
Unterstützung des Verantwortlichen bei der Wahrnehmung der Rechte betroffener Personen (Art. 12–23 DSGVO)
Unterstützung bei Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und Meldepflichten
Unverzügliche Meldung von Datenschutzverletzungen — innerhalb von 24 Stunden nach Kenntniserlangung
Auf Anforderung Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung dieser Pflichten
Zulassung von Audits durch den Verantwortlichen oder einen von ihm beauftragten Prüfer (mit angemessener Vorankündigung)

9. Rechte und Pflichten des Verantwortlichen

Der Verantwortliche bleibt für die Einhaltung der DSGVO und sonstiger Datenschutzgesetze verantwortlich
Der Verantwortliche bestimmt allein über Zwecke und Mittel der Verarbeitung
Der Verantwortliche erteilt seine Weisungen schriftlich oder per E-Mail an hallo@prozessdeck.de
Der Verantwortliche stellt sicher, dass die rechtlichen Voraussetzungen für die Erhebung und Verarbeitung der Daten gegeben sind

10. Datenschutzverletzungen

Wird der Auftragsverarbeiter von einer Datenschutzverletzung Kenntnis erlangt, die personenbezogene Daten des Verantwortlichen betrifft, informiert er den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung. Die Mitteilung enthält alle nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben.

11. Datenlöschung am Vertragsende

Nach Beendigung des Hauptvertrags löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen. Das automatisierte Löschverfahren sieht vor:

Bei Trial-Ablauf: 30 Tage Aufbewahrungsfrist (Grace Period), dann automatische Hard-Löschung
Bei Kündigung eines aktiven Abos: 30 Tage Aufbewahrungsfrist nach Vertragsende, dann automatische Hard-Löschung
Auf ausdrückliche Anforderung des Verantwortlichen: sofortige Löschung innerhalb von 7 Werktagen

Vor Ablauf der Aufbewahrungsfrist kann der Verantwortliche jederzeit einen vollständigen Datenexport (CSV, JSON, PDF) anfordern und herunterladen.

12. Vergütung

Die Leistungen aus diesem AVV sind im Hauptvertrag bereits enthalten und werden nicht gesondert vergütet. Sonderaufwände (z. B. außerordentliche Audits, individuelle Datenexporte) werden auf Basis des aktuellen Stundensatzes nach gesonderter Vereinbarung berechnet.

13. Schlussbestimmungen

Sollte eine Bestimmung dieses Vertrags unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen und Ergänzungen bedürfen der Textform. Es gilt deutsches Recht. Gerichtsstand ist Stuttgart, soweit gesetzlich zulässig.

14. Unterzeichnung

Mit ihren Unterschriften erkennen die Vertragsparteien diesen Auftragsverarbeitungsvertrag in allen Punkten als verbindlich an.

Auftragsverarbeiter

Ort, Datum

Unterschrift

Leo Tschapowski
Inhaber Prozessdeck

Verantwortlicher

Ort, Datum

Unterschrift

[Firmenname]
[Vertretungsberechtigte Person]

In drei Schritten zum unterzeichneten AVV

Deine Firmendaten eintragen

Trag deine Daten ein — wir übernehmen sie automatisch in §1.2. Du speicherst die ausgefüllte Version als PDF und unterschreibst. Sobald du sie an hallo@prozessdeck.de zurückschickst, gegenzeichnen wir und senden dir die finale beidseitig unterschriebene Version per Mail zurück.