Rechtliches

Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO für die Nutzung der Software „MW Timeflow"

Stand: 30. Mai 2026

Hinweis zum Vertragsschluss

Dieser Auftragsverarbeitungsvertrag wird im Rahmen der Registrierung Ihrer Organisation für die Software „MW Timeflow" durch Aktivierung des Hinweises „Ich akzeptiere die AGB und den Auftragsverarbeitungsvertrag" elektronisch wirksam (sog. Click-Wrap-Vereinbarung). Eine zusätzliche handschriftliche Unterschrift ist nicht erforderlich. Die Akzeptanz wird mit Zeitstempel im Kundenkonto dokumentiert.

Vertragsparteien

Diese Vereinbarung zur Auftragsverarbeitung („AVV") ist Bestandteil des SaaS-Nutzungsvertrags und wird geschlossen zwischen

Verantwortlicher

Die im Rahmen der Registrierung im Kundenkonto hinterlegte Organisation, vertreten durch die als Administrator/in hinterlegte Person. Die konkreten Angaben (Name der Praxis bzw. Firma, Anschrift und vertretungsberechtigte Person) ergeben sich aus den im Kundenkonto gespeicherten Stammdaten und können dort jederzeit eingesehen und geändert werden.

Auftragsverarbeiter

MW Timeflow
Inhaber: Fabian Martens (Einzelunternehmen)
Daumstraße 182, 13599 Berlin
E-Mail: kontakt@mw-timeflow.de

– gemeinsam „Vertragsparteien" –

Präambel

Die Vertragsparteien haben einen SaaS-Nutzungsvertrag über die Bereitstellung einer webbasierten Software zur digitalen Zeiterfassung geschlossen.

Im Rahmen dieses Vertrags verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.

Zur Konkretisierung der sich hieraus ergebenden Rechte und Pflichten gemäß der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) schließen die Vertragsparteien die nachfolgende Vereinbarung.

§ 1 Anwendungsbereich

1.1

Diese Vereinbarung findet Anwendung auf die Verarbeitung (Art. 4 Nr. 2 DSGVO) aller personenbezogenen Daten („Daten"), die Gegenstand des SaaS-Nutzungsvertrags sind oder im Rahmen von dessen Durchführung anfallen und auf Weisung des Verantwortlichen verarbeitet werden. Nicht unter den Anwendungsbereich fallen Daten von Mitarbeitern des Auftragsverarbeiters, soweit sie ausschließlich das Beschäftigungsverhältnis mit dem Auftragsverarbeiter betreffen.

1.2

Diese Vereinbarung gilt vorrangig vor anderen Vereinbarungen und Abreden zwischen Verantwortlichem und Auftragsverarbeiter, es sei denn, zwischen den Parteien wird ausdrücklich etwas anderes vereinbart.

§ 2 Konkretisierung des Auftragsinhalts

2.1

Gegenstand und Dauer der Auftragsverarbeitung. Gegenstand der Auftragsverarbeitung ist die Bereitstellung einer webbasierten Softwarelösung zur digitalen Zeiterfassung von Mitarbeitenden des Verantwortlichen. Die Verarbeitung erfolgt für die Dauer des SaaS-Nutzungsvertrags. Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht.

2.2

Arten personenbezogener Daten. Folgende Arten personenbezogener Daten sind Gegenstand der Verarbeitung durch den Auftragsverarbeiter:

Personenstammdaten (z. B. Vor- und Nachname, Geburtsdatum)
Kontaktdaten (z. B. E-Mail-Adresse)
Beschäftigungsdaten (z. B. Vertragsart, Wochenstunden, Urlaubsanspruch, Abteilung)
Authentifizierungsdaten (Passwörter und PIN-Codes werden ausschließlich als kryptografischer Hash mit bcrypt gespeichert, niemals im Klartext)
Arbeitszeitdaten (Beginn, Ende, Pausen, Dauer der Arbeitszeit)
Schichtdaten (geplante Schichten, Schichtwechsel)
Abwesenheitsdaten (Urlaub, Krankmeldung, sonstige Abwesenheiten)
Technische Protokolldaten (z. B. IP-Adresse, Zeitstempel)

2.3

Kategorien betroffener Personen. Der Kreis der betroffenen Personen umfasst:

Mitarbeitende des Verantwortlichen
Administratoren und Leader-Rollen des Verantwortlichen
vertretungsberechtigte Personen des Verantwortlichen

2.4

Besondere Kategorien personenbezogener Daten. Im Rahmen der Auftragsverarbeitung sind keine besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO vorgesehen. Soweit der Verantwortliche Abwesenheitsgründe (z. B. Krankheit) erfasst, beschränkt sich die Verarbeitung auf die Kategorisierung als „Abwesenheit"; konkrete gesundheitsbezogene Inhalte (z. B. Diagnosen, Atteste) werden durch die Software nicht erfasst.

2.5

Schutzbedarf. Die verarbeiteten personenbezogenen Daten haben einen normalen Schutzbedarf.

§ 3 Verpflichtungen und Weisungsbefugnis

3.1

Die Vertragsparteien sind verpflichtet, die ihnen durch datenschutzrechtliche Vorschriften (insbesondere die DSGVO) auferlegten Pflichten einzuhalten. Der Verantwortliche kann im Rahmen der vertraglich vereinbarten Funktionalitäten die Herausgabe, Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten verlangen.

3.2

Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen.

3.3

Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

3.4

Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder des Mitgliedstaates, dem er unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Weisungen ergeben sich zunächst aus dem SaaS-Nutzungsvertrag; ergänzende oder abweichende Weisungen bedürfen der dokumentierten Form (z. B. E-Mail) und sind nur im Rahmen der vertraglich vereinbarten Leistungen zulässig.

3.5

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie vom Verantwortlichen bestätigt oder geändert wird. Die weisungsberechtigten Personen und der Kommunikationsweg sind im Anhang „Weisungsbefugnis" festgelegt.

3.6

Wesentliche Änderungen des Verarbeitungsgegenstandes werden den Vertragsparteien rechtzeitig mitgeteilt.

3.7

Auskünfte an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher oder dokumentierter elektronischer Zustimmung durch den Verantwortlichen erteilen, es sei denn er ist nach Unionsrecht oder dem Recht eines Mitgliedstaats zur Herausgabe verpflichtet.

3.8

Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben, es sei denn er ist gesetzlich zur Herausgabe verpflichtet. Kopien und Duplikate werden ohne Kenntnis des Verantwortlichen nicht erstellt; ausgenommen sind Sicherheitskopien (Backups), soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind.

3.9

Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter führt ein Verzeichnis gemäß Art. 30 Abs. 2 DSGVO und stellt dem Verantwortlichen auf Wunsch die zur Aufnahme in dessen Verzeichnis erforderlichen Informationen zur Verfügung.

3.10

Die persistente Speicherung der personenbezogenen Daten erfolgt ausschließlich in einem Rechenzentrum innerhalb der Europäischen Union (Frankfurt am Main). Soweit im Einzelfall eine Übermittlung an die US-Muttergesellschaften der eingesetzten Subunternehmer (siehe Anhang „Subunternehmen") nicht ausgeschlossen werden kann, erfolgt diese auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO, insbesondere des EU-US Data Privacy Framework (Angemessenheitsbeschluss 2023/1795 der EU-Kommission) sowie ergänzender Standardvertragsklauseln.

3.11

Der Auftragsverarbeiter gewährleistet, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten und auch bei mobiler Arbeit oder Verarbeitung außerhalb der Betriebsräume angemessene technische und organisatorische Maßnahmen einhalten.

§ 4 Beachtung zwingender gesetzlicher Pflichten

4.1

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

4.2

Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO).

4.3

Der Auftragsverarbeiter ist als Einzelunternehmen nicht zur Benennung eines Datenschutzbeauftragten nach § 38 BDSG verpflichtet. Ansprechpartner für Datenschutzfragen ist:
Fabian Martens, kontakt@mw-timeflow.de

4.4

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen, Maßnahmen oder Anfragen durch Aufsichtsbehörden, soweit sie das Verhältnis zum Verantwortlichen oder dessen Daten betreffen.

§ 5 Technisch-organisatorische Maßnahmen und deren Kontrolle

5.1

Die Vertragsparteien vereinbaren die im Anhang „Technisch-organisatorische Maßnahmen (TOM)" niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Der Anhang wird Gegenstand dieser Vereinbarung.

5.2

Ergibt eine Prüfung des Verantwortlichen unter Berücksichtigung der Anforderungen nach Art. 32 DSGVO einen Anpassungsbedarf der TOM, werden notwendige und angemessene Anpassungen zwischen den Vertragsparteien abgestimmt und vom Auftragsverarbeiter umgesetzt.

5.3

Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der im TOM-Anhang festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen werden dokumentiert.

5.4

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die zur Überprüfung erforderlichen Informationen zur Verfügung. Prüfungen erfolgen grundsätzlich auf Grundlage geeigneter Nachweise in Textform (z. B. Dokumentationen, Berichte oder Zertifikate). Vor-Ort-Inspektionen sind nur bei berechtigtem Anlass, nach vorheriger angemessener Ankündigung und unter Berücksichtigung der berechtigten Interessen des Auftragsverarbeiters zulässig.

5.5

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei einer ggf. erforderlichen Datenschutz-Folgenabschätzung im Sinne des Art. 35 DSGVO durch Bereitstellung der hierfür erforderlichen Informationen.

§ 6 Mitteilung bei Datenschutzverletzungen

6.1

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO bekannt geworden ist oder ein entsprechender Verdacht besteht. Dies gilt insbesondere im Hinblick auf die Meldepflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO.

6.2

Der Auftragsverarbeiter stellt dem Verantwortlichen alle ihm vorliegenden Informationen zur Verfügung, die zur Bewertung des Vorfalls sowie zur Erfüllung etwaiger Melde- und Benachrichtigungspflichten erforderlich sind.

6.3

Meldungen an Aufsichtsbehörden oder betroffene Personen nach Art. 33 oder Art. 34 DSGVO erfolgen durch den Auftragsverarbeiter ausschließlich auf dokumentierte Weisung des Verantwortlichen.

§ 7 Löschung und Rückgabe von Daten

7.1

Im System verarbeitete Daten verbleiben im Eigentum bzw. in der datenschutzrechtlichen Verantwortung des Verantwortlichen.

7.2

Nach Beendigung des SaaS-Nutzungsvertrags wird der Auftragsverarbeiter sämtliche im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder herausgeben oder datenschutzgerecht löschen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung erfolgt innerhalb von 30 Tagen nach Vertragsende.

7.3

Daten in Sicherungskopien (Backups) werden im Rahmen der üblichen Backup-Rotation der eingesetzten Datenbank- Infrastruktur (Point-in-Time-Recovery bis zu 30 Tage) gelöscht und sind bis dahin gesperrt.

7.4

Auf Anforderung stellt der Auftragsverarbeiter dem Verantwortlichen eine Bestätigung der Löschung zur Verfügung.

7.5

Dokumentationen, die dem Nachweis einer auftrags- und ordnungsgemäßen Datenverarbeitung dienen, dürfen vom Auftragsverarbeiter entsprechend den gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden. Für diese Daten gelten während der Aufbewahrungsdauer weiterhin die Pflichten aus dieser Vereinbarung.

§ 8 Subunternehmen

8.1

Der Auftragsverarbeiter erhält die allgemeine Genehmigung des Verantwortlichen für die Beauftragung der Subunternehmen, die in der jeweils aktuellen Liste im Anhang „Subunternehmen" aufgeführt sind. Der Auftragsverarbeiter informiert den Verantwortlichen mindestens vier Wochen im Voraus in Textform über beabsichtigte Änderungen dieser Liste und räumt dem Verantwortlichen die Möglichkeit ein, innerhalb dieser Frist aus wichtigem datenschutzrechtlichem Grund Widerspruch zu erheben.

8.2

Nicht als Subunternehmen im Sinne dieser Vereinbarung gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als reine Nebenleistungen in Anspruch nimmt (z. B. Telekommunikations- oder Wartungsdienstleistungen), sofern hierbei kein Zugriff auf personenbezogene Daten erfolgt.

8.3

Sofern Subunternehmen eingeschaltet werden, stellt der Auftragsverarbeiter sicher, dass die vertraglichen Vereinbarungen mit dem jeweiligen Subunternehmen so ausgestaltet sind, dass das Datenschutzniveau mindestens dem dieser Vereinbarung entspricht.

8.4

Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen im Rahmen der gesetzlichen Vorschriften für die Einhaltung der Pflichten des Subunternehmens.

§ 9 Datenschutzkontrolle

9.1

Der Auftragsverarbeiter unterstützt den Verantwortlichen sowie dessen Datenschutzbeauftragten im Rahmen der gesetzlichen Vorgaben bei der Erfüllung ihrer Aufgaben im Zusammenhang mit diesem Auftrag.

9.2

Eine Datenschutzkontrolle erfolgt nach Maßgabe der Regelungen in § 5 dieser Vereinbarung. Ein unmittelbares Zugangs- oder Betretungsrecht zu den Betriebsstätten des Auftragsverarbeiters wird hierdurch nicht begründet. Die berechtigten Interessen des Auftragsverarbeiters, insbesondere der Schutz von Geschäftsgeheimnissen sowie die Vertraulichkeit gegenüber anderen Kunden, sind zu berücksichtigen.

§ 10 Haftung und Schadenersatz

10.1

Die Haftung der Vertragsparteien richtet sich nach den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO.

§ 11 Schlussbestimmungen

11.1

Änderungen und Ergänzungen dieser Vereinbarung sowie ihrer Bestandteile bedürfen der Textform (z. B. E-Mail) und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung oder Ergänzung dieser Vereinbarung handelt. Dies gilt auch für die Aufhebung dieses Formerfordernisses.

11.2

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen Regelung tritt eine wirksame Regelung, deren wirtschaftlicher Zweck dem der unwirksamen Regelung möglichst nahekommt.

Anhang „Weisungsbefugnis" zu § 3

Die zur Erteilung und Entgegennahme von Weisungen berechtigten Personen sowie die Kommunikationswege werden wie folgt festgelegt:

Verantwortlicher (weisungsberechtigt)

Weisungsberechtigt ist die im Kundenkonto als Administrator/in hinterlegte Hauptansprechperson des Verantwortlichen. Änderungen oder die Benennung weiterer weisungsberechtigter Personen erfolgen formlos in Textform an kontakt@mw-timeflow.de.

Auftragsverarbeiter (Empfang von Weisungen)

Name: Fabian Martens
E-Mail: kontakt@mw-timeflow.de

Kommunikationsweg für Weisungen: Weisungen erfolgen in Textform (z. B. per E-Mail). Sie werden vom Auftragsverarbeiter dokumentiert.

Anhang „Technisch-organisatorische Maßnahmen (TOM)"

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Maßnahme	Umsetzung
Pseudonymisierung und Verschlüsselung	Sämtliche Verbindungen werden ausschließlich verschlüsselt übertragen (TLS). Passwörter und PIN-Codes werden ausschließlich als kryptografischer Hash (bcrypt) gespeichert, niemals im Klartext.
Vertraulichkeit (Zugriffskontrolle)	Zugriff nur für berechtigte Nutzer über Login-System; rollen- und kontextbasierte Zugriffskontrolle; Zugriff auf Datenbanken nur über sichere, authentifizierte Verbindungen.
Integrität	Schutz vor unbefugter Veränderung durch Zugriffsbeschränkungen, Validierung von Eingaben und Protokollierung relevanter Systemereignisse.
Verfügbarkeit	Bereitstellung über das europäische Edge-Netzwerk eines etablierten Hosting-Anbieters; Schutz vor Ausfällen durch redundante Infrastruktur.
Wiederherstellbarkeit	Automatische Backups der Datenbank-Infrastruktur (Point-in-Time-Recovery bis zu 30 Tage); dokumentierte Wiederherstellungsverfahren.
Authentifizierung	Login mit Benutzername und Passwort; optionaler PIN für Terminal-Stempeln; sichere Hashing-Verfahren (bcrypt).
Weitergabekontrolle	Datenübertragung ausschließlich verschlüsselt (TLS); keine Weitergabe an Dritte ohne Berechtigung.
Speicherkontrolle	Datenbanken sind nicht öffentlich zugänglich; Zugriff ausschließlich über gesicherte, authentifizierte Verbindungen.
Physische Sicherheit	Persistente Datenspeicherung in einem Rechenzentrum in Frankfurt am Main (Deutschland). Auslieferung erfolgt über das europäische Edge-Netzwerk des Hosting-Anbieters.
Protokollierung	Logging sicherheitsrelevanter Zugriffe und Systemereignisse zur Nachvollziehbarkeit; Speicherdauer maximal 30 Tage.
Systemkonfiguration	Sichere Standardkonfigurationen; regelmäßige Sicherheits-Updates der eingesetzten Software-Komponenten.
IT-Organisation	Zugriff auf produktive Systeme nur für berechtigte Personen; dokumentierte interne Zugriffsbeschränkungen.
Datenminimierung	Erhebung und Speicherung nur derjenigen personenbezogenen Daten, die für die Zeiterfassung tatsächlich erforderlich sind.
Datenqualität	Validierung und Plausibilitätsprüfung von Eingaben innerhalb der Anwendung.
Löschkonzept	Löschung der Auftragsdaten nach Vertragsende gemäß § 7 dieser Vereinbarung; Umsetzung von Löschanforderungen im Rahmen der Funktionen der Anwendung.
Rechenschaftspflicht	Dokumentation der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO sowie der eingesetzten Schutzmaßnahmen.
Datenübertragbarkeit	Export der Daten in maschinenlesbaren Formaten (z. B. PDF, CSV) über Funktionen innerhalb der Anwendung möglich.
Unterstützung des Verantwortlichen	Unterstützung bei Betroffenenrechten (Art. 15 – 21 DSGVO) sowie bei Datenschutzvorfällen im Rahmen des § 6 dieser Vereinbarung.

Anhang „Subunternehmen" zu § 8

Der Auftragsverarbeiter setzt zur Bereitstellung der Software folgende Subunternehmen ein:

Vercel, Inc.

440 N Barranca Ave #4133, Covina, CA 91723, USA

Leistungsgegenstand

Hosting und Auslieferung der Anwendung (europäisches Edge-Netzwerk, primär Frankfurt am Main)

Standort der Datenverarbeitung

Datenverarbeitung primär in der EU (Edge-Netzwerk Frankfurt am Main). Eine Übermittlung an die US-Muttergesellschaft kann im Einzelfall nicht ausgeschlossen werden; sie erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln).

Neon, Inc.

USA (Hauptsitz)

Leistungsgegenstand

Verwaltete PostgreSQL-Datenbank-Infrastruktur

Standort der Datenverarbeitung

Persistente Datenspeicherung ausschließlich im Rechenzentrum Frankfurt am Main (Deutschland). Eine Übermittlung an die US-Muttergesellschaft kann im Einzelfall nicht ausgeschlossen werden; sie erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln).

Stripe Payments Europe, Limited / Stripe, Inc.

1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (operativer Vertragspartner für den EWR) / Hauptsitz USA

Leistungsgegenstand

Abwicklung kostenpflichtiger Abonnements (Checkout, Subscription-Management, Rechnungsstellung)

Standort der Datenverarbeitung

Verarbeitung primär durch Stripe Payments Europe, Limited (Irland, EWR). Eine Übermittlung an die US-Muttergesellschaft Stripe, Inc. kann im Einzelfall nicht ausgeschlossen werden; sie erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln).

Resend, Inc.

USA

Leistungsgegenstand

Versand transaktionaler E-Mails (z. B. Onboarding-Mails, Benachrichtigungen)

Standort der Datenverarbeitung

Übermittlung von Zustelldaten (E-Mail-Adresse, Name, Nachrichteninhalt) in die USA. Die Übermittlung erfolgt auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (Standardvertragsklauseln sowie — soweit aktiv zertifiziert — EU-US Data Privacy Framework).