bungaflow
So funktioniert'sPreiseIntegrationen
AnmeldenJetzt starten

Auftragsverarbeitungsvertrag

Zuletzt aktualisiert: 25. März 2026

1. Vertragsparteien und Geltungsbereich

Dieser Auftragsverarbeitungsvertrag ("AVV") wird zwischen dem Kunden, der Bungaflow nutzt ("Verantwortlicher"), und Redor AS, Organisationsnummer [in Registrierung], Betreiber der Bungaflow-Plattform ("Auftragsverarbeiter"), geschlossen.

Dieser AVV regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß der Datenschutz-Grundverordnung (DSGVO), insbesondere Artikel 28. Der AVV ist integraler Bestandteil der Dienstleistungsvereinbarung zwischen den Parteien und ergänzt die Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.

2. Begriffsbestimmungen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Speicherung, Veränderung, Abfrage, Offenlegung oder Löschung.
  • Verantwortlicher: Die Partei, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (der Kunde — Einheitseigentümer oder Organisationsadministrator).
  • Auftragsverarbeiter: Die Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Redor AS / Bungaflow).
  • Unterauftragsverarbeiter: Ein Dritter, der vom Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragt wird.
  • Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • Aufsichtsbehörde: Die unabhängige öffentliche Stelle, die für die Überwachung der Anwendung des Datenschutzrechts zuständig ist (in Deutschland: die zuständige Landesdatenschutzbehörde).

3. Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zum Zweck der Bereitstellung der Bungaflow-Plattform, einschließlich, aber nicht beschränkt auf: Buchungsverwaltung, Kostenteilung, Aufgabenverwaltung, Nachrichtenversand, Wartungsprotokoll, Dokumentenspeicherung, Gästeportal, KI-Assistent und verwandte Funktionen.

Die Verarbeitung dauert so lange an, wie der Verantwortliche ein aktives Konto auf der Bungaflow-Plattform unterhält. Bei Kündigung oder Löschung des Kontos endet die Verarbeitung und die Daten werden gemäß Abschnitt 12 dieser Vereinbarung gelöscht.

4. Arten verarbeiteter personenbezogener Daten

Der Auftragsverarbeiter verarbeitet folgende Kategorien personenbezogener Daten im Auftrag des Verantwortlichen:

  • Namen und E-Mail-Adressen von Einheitsmitgliedern
  • Buchungsdaten (Daten, Typen, Mitgliederzuordnungen)
  • Ausgabendaten (Beträge, Beschreibungen, Quittungsbilder)
  • Nachrichten und Gästebucheinträge
  • Wartungsprotokolle
  • Aufgabenzuweisungen
  • Gästeportaldaten (Gästenamen, Check-in-Informationen)
  • WLAN-Passwörter (verschlüsselt mit AES-256-GCM)
  • KI-Chat-Konversationen
  • Push-Benachrichtigungs-Abonnements
  • Aktivitätsprotokolle

5. Kategorien betroffener Personen

Die Verarbeitung betrifft folgende Kategorien betroffener Personen:

  • Einheitsmitglieder (Administratoren und Lite-Mitglieder)
  • Gäste (über das Gästeportal)
  • Organisationsmitglieder

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen zu verarbeiten, es sei denn, eine Verarbeitung ist nach Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
  • Sicherzustellen, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  • Geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:
    • TLS-Verschlüsselung für alle Daten bei der Übertragung
    • AES-256-GCM-Verschlüsselung für sensible Felder (z. B. WLAN-Passwörter)
    • HSTS- und Content-Security-Policy-Header
    • Rollenbasierte Zugriffskontrolle (Admin- / Lite-Mitgliederrollen)
    • Automatisierte CI/CD-Pipeline mit Sicherheitsscanning
    • Sicherheit auf Datenbankebene mit Zeilensicherheit und Kaskadenlöschungsrichtlinien
  • Den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen zu unterstützen, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Einschränkung der Verarbeitung.
  • Den Verantwortlichen bei der Einhaltung der Artikel 32–36 DSGVO zu unterstützen (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen).
  • Nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Dienstleistung zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Speicherung erforderlich ist. Die Kontolöschung entfernt alle Einheitsdaten über Kaskadenlöschung.
  • Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in Artikel 28 DSGVO festgelegten Pflichten erforderlich sind.

7. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, folgende Unterauftragsverarbeiter einzusetzen:

UnterauftragsverarbeiterZweckStandortAVV
Supabase Inc.Datenbank und AuthentifizierungEU West (Irland)Standard-AVV
Stripe Inc.ZahlungsabwicklungEU (Irland)Standard-AVV
Vercel Inc.Hosting und CDNGlobales Edge, EU-UrsprungStandard-AVV
Resend Inc.E-Mail-ZustellungUSA (Virginia)Standard-AVV
OpenAI Inc.KI-AssistentUSAAPI-AVV, keine Datenspeicherung
Functional Software (Sentry)FehlerüberwachungEU (Frankfurt)Standard-AVV
Cookiebot (Cybot A/S)EinwilligungsverwaltungEU (Deutschland)Standard-AVV

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, innerhalb von 14 Tagen nach Benachrichtigung gegen solche Änderungen Einspruch zu erheben.

8. Internationale Datenübermittlungen

Bestimmte Unterauftragsverarbeiter (Resend, OpenAI, Vercel-Edge-Netzwerk) können personenbezogene Daten außerhalb der EU/des EWR verarbeiten. Solche Übermittlungen sind durch den EU-US-Datenschutzrahmen und/oder Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Kapitel V DSGVO abgesichert.

9. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 48 Stunden, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, gemäß Artikel 33 DSGVO. Die Meldung umfasst die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

10. Kontrollrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV und des geltenden Datenschutzrechts durch den Auftragsverarbeiter zu überprüfen oder von einem unabhängigen Dritten überprüfen zu lassen. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung bereit und wirkt bei solchen Überprüfungen mit.

11. Haftung

Jede Partei haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung verursacht werden, gemäß Artikel 82. Die Gesamthaftung des Auftragsverarbeiters im Rahmen dieses AVV ist auf die Gesamtgebühren beschränkt, die der Verantwortliche in den 12 Monaten vor dem haftungsbegründenden Ereignis an den Auftragsverarbeiter gezahlt hat.

12. Laufzeit und Kündigung

Dieser AVV tritt in Kraft, wenn der Verantwortliche ein Konto auf der Bungaflow-Plattform erstellt, und bleibt wirksam, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Bei Kündigung oder Löschung des Kontos des Verantwortlichen werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht. Die Löschung erfolgt über Kaskadenlöschung, die alle zugehörigen Einheitsdaten entfernt (Buchungen, Ausgaben, Mitglieder, Nachrichten, Aufgaben, Dokumente usw.).

13. Kontakt

Bei Fragen zu diesem Auftragsverarbeitungsvertrag oder zur Verarbeitung personenbezogener Daten kontaktieren Sie uns unter privacy@bungaflow.com.