Auftragsverarbeitungsvertrag (AVV / DPA)
Stand: 30.5.2026 · Version 1
Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") gilt zwischen dir als Verantwortlichem ("Kunde") und Timo Grethe, Brühlstrasse 3b, 8956 Killwangen ("Anbieter"), wenn du als Unternehmen Northflow nutzt und dabei Personendaten Dritter bearbeitest. Er ergänzt unsere Nutzungsbedingungen (/agb) und unsere Datenschutzerklärung (/datenschutz).
1. Gegenstand, Art und Zweck der Verarbeitung
Bereitstellung der Northflow-SaaS-Plattform: Speicherung, Strukturierung und Analyse von durch den Kunden eingegebenen Finanz- und Kontaktdaten sowie Bereitstellung des KI-CFO-Assistenten (Google Gemini, pseudonymisiert).
2. Dauer
Laufzeit des Hauptvertrags (Abo); Beendigung mit Kündigung oder Kontolöschung. Nach Beendigung werden Personendaten innerhalb von 30 Tagen gelöscht, soweit keine gesetzliche Aufbewahrungspflicht besteht.
3. Art der Personendaten und Kategorien betroffener Personen
- Stammdaten: Name, E-Mail, Anschrift, ggf. UID/USt-IdNr.
- Finanzdaten: Transaktionen, Konten, Forecasts, Deals.
- Geschäftsbeziehungs-Daten: Kunden, Lieferanten, Mitarbeitende.
- Nutzungs- und Logdaten.
Betroffene: Mitarbeitende, Kunden, Lieferanten und Geschäftspartner des Kunden.
4. Pflichten des Anbieters
- Verarbeitung nur auf dokumentierte Weisung des Kunden (die Eingabe der Daten gilt als Weisung).
- Vertraulichkeit aller mit der Verarbeitung betrauten Personen.
- Geeignete technische und organisatorische Massnahmen (siehe Anhang TOM).
- Unterstützung des Kunden bei Anfragen Betroffener und bei DSFA/Meldungen.
- Unverzügliche Meldung von Datenschutzverletzungen an den Kunden (innerhalb 72h).
- Auf Wunsch Löschung oder Rückgabe aller Daten nach Vertragsende.
- Bereitstellung der zum Nachweis erforderlichen Informationen.
5. Subprozessoren
Der Kunde stimmt dem Einsatz folgender Subprozessoren zu. Änderungen werden vorab auf dieser Seite bekanntgegeben; der Kunde kann binnen 14 Tagen widersprechen.
| Subprozessor | Zweck | Sitz / Daten | Garantien |
|---|---|---|---|
| Lovable AB / Supabase Inc. | Hosting, DB, Auth | CH (Zürich, primär) / EU / US-Admin | EU-SCC, EU-US DPF |
| Google Ireland Ltd. | Gemini KI-API, OAuth | EU / US | EU-SCC, EU-US DPF, Pseudonymisierung |
| Paddle.com Market Ltd. | Zahlungsabwicklung (MoR, eigener Verantwortlicher) | UK | UK angemessenes Schutzniveau (EDÖB) |
| Resend Inc. | Transaktionale E-Mails | EU / US | EU-SCC |
6. Drittlandtransfer
Übermittlungen in Drittstaaten erfolgen ausschliesslich auf Basis von EU-Standardvertragsklauseln (SCC), EU-US Data Privacy Framework oder anderen anerkannten Garantien gemäss Art. 46 DSGVO bzw. Art. 16 revDSG.
7. Technische und organisatorische Massnahmen (TOM)
- TLS 1.2+ für sämtlichen Datentransfer.
- Verschlüsselung at-rest auf Datenbankebene.
- Row-Level-Security pro Workspace; FORCE RLS auf Finanztabellen.
- Trigger-basierte Audit-Logs für sensible Tabellen (append-only).
- Least-Privilege-Zugriff; Zwei-Faktor-Authentifizierung für Admin-Zugänge.
- Trennung Test- und Live-Umgebung.
- Tägliche Backups, Wiederherstellungstests.
- Pseudonymisierung von Klarnamen vor jedem KI-Provider-Call.
- Dokumentiertes Incident-Response-Verfahren (Meldung < 72h).
Eine ausführliche Darstellung findet sich unter /security.
8. Haftung & Schlussbestimmungen
Die Haftung richtet sich nach den Nutzungsbedingungen (/agb) und Art. 82 DSGVO. Es gilt Schweizer Recht; Gerichtsstand ist – soweit zulässig – Killwangen.
9. Abschluss dieses AVV
Dieser AVV gilt automatisch mit Buchung eines kostenpflichtigen Abonnements durch ein Unternehmen. Eine gegengezeichnete Version stellen wir auf formloses E-Mail-Verlangen an info@northflow.finance kostenfrei aus.