Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
Stand: 17.04.2026 · Mustervorlage für die Nutzung von Caneflow
Hinweis: Rechtlich bindend ist die konkrete Rollenverteilung zwischen Ihrer Organisation (typischerweise Verantwortliche für Endkundendaten) und dem Plattformbetreiber (Auftragsverarbeiter für die im Auftrag verarbeiteten Daten). Bitte juristisch prüfen lassen.
1. Gegenstand und Dauer
(1) Dieser Vertrag regelt die Auftragsverarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der Software-as-a-Service-Lösung „Caneflow“.
(2) Verantwortliche ist die Organisation des Kunden (Mandant), die die Plattform nutzt. Auftragsverarbeiter ist Damian Goeres, Diesenbach 3, 83362 Surberg, Deutschland (nachfolgend „Auftragsverarbeiter“).
(3) Die Dauer entspricht der Laufzeit des Nutzungsvertrags (AGB) einschließlich der gesetzlichen Aufbewahrungs- und Nachweisfristen.
2. Art und Zweck der Verarbeitung
Verarbeitet werden insbesondere Stammdaten von Organisationsnutzern (z. B. Namen, E-Mail-Adressen, Rollen), Buchungs- und Termindaten, ggf. Zahlungsstatus und technische Protokolle, soweit für den Betrieb der Plattform erforderlich. Zweck ist die Bereitstellung, der Betrieb und der Support der Plattform gemäß den vereinbarten Funktionen.
3. Kategorien betroffener Personen
z. B. Mitarbeitende und Administratoren der Organisation, Trainerinnen und Trainer, Endkundinnen und Endkunden der Organisation sowie ggf. weitere von der Organisation in die Plattform aufgenommene Personen.
4. Art der personenbezogenen Daten
Identifikations- und Kontaktdaten, Vertrags- und Nutzungsdaten, Inhaltsdaten, die im Rahmen der Nutzung eingegeben werden, sowie technische Daten (z. B. Logdaten, Cookies, soweit technisch notwendig).
5. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung der Verantwortlichen, es sei denn, eine Verarbeitung ist durch Unionsrecht oder das Recht der Mitgliedstaaten vorgeschrieben.
Der Auftragsverarbeiter stellt sicher, dass Personen, die mit der Verarbeitung beauftragt sind, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe auch TOMs).
Der Auftragsverarbeiter unterstützt die Verantwortliche — im Rahmen des Zumutbaren — bei der Erfüllung von Anfragen betroffener Personen sowie bei Datenschutz-Folgenabschätzungen und Vorfallsmeldungen.
6. Unterauftragsverarbeiter
Der Auftragsverarbeiter kann weitere Auftragsverarbeiter (Unterauftragsverarbeiter) einsetzen. Eine aktuelle Übersicht mit Zweck und Sitz finden Sie unter Unterauftragsverarbeiter. Änderungen werden der Verantwortlichen mitgeteilt; der Verantwortliche kann widersprechen, wenn ein wichtiger Grund vorliegt.
7. Drittlandübermittlungen
Soweit Dienstleister außerhalb der EU/des EWR eingesetzt werden, erfolgt dies nur unter den Voraussetzungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln, zusätzliche Maßnahmen).
8. Löschung und Rückgabe
Nach Ende der Hauptverarbeitung löscht oder gibt der Auftragsverarbeiter die Daten gemäß der Weisung der Verantwortlichen zurück, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
9. Kontrolle
Der Auftragsverarbeiter ermöglicht der Verantwortlichen — im Rahmen des Erforderlichen und unter Wahrung der Sicherheit anderer Kunden — Prüfungen, sofern diese vereinbart wurden oder gesetzlich vorgesehen sind.