Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO · Stand: März 2026

SHA256 avv-flowhoster-2026-03-v1

✓ Dieser AVV wird beim Checkout verpflichtend akzeptiert und gilt ab dem Zeitpunkt der Zahlungsbestätigung. Er ist Bestandteil des Hauptvertrages zwischen FlowHoster und dem Auftraggeber.

Auftragsverarbeiter

FlowHoster

Yalcin Ak
Memelerstr.6
51145 Köln

Deutschland
support@flowhoster.de

Auftraggeber (Verantwortlicher)

Ihr Unternehmen

Wie beim Checkout angegeben.
Durch Abschluss des Vertrages stimmt der Auftraggeber diesem AVV zu.

§ 1

Gegenstand und Dauer der Verarbeitung

Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch FlowHoster im Auftrag des Auftraggebers im Rahmen der Bereitstellung und des Betriebs von Managed n8n-Instanzen als Software-as-a-Service (SaaS).

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

§ 2

Art und Zweck der Verarbeitung

FlowHoster verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung der vertraglich vereinbarten Leistungen:

Bereitstellung und Betrieb einer isolierten n8n-Instanz pro Kunde
Verwaltung von Zugangsdaten und Authentifizierung
Durchführung täglicher verschlüsselter Datensicherungen
Technischer Support und Kommunikation per E-Mail
Abrechnung über den Zahlungsdienstleister Stripe

Eine Verarbeitung zu anderen als den genannten Zwecken findet nicht statt.

§ 3

Art der personenbezogenen Daten und betroffene Personen

Datenkategorie	Betroffene Personen	Zweck
E-Mail-Adresse, Name	Kontaktperson des Auftraggebers	Vertragsabwicklung, Kommunikation
Zugangsdaten (n8n)	Nutzer der n8n-Instanz	Authentifizierung
Workflow-Daten	Vom Auftraggeber bestimmt	Betrieb der n8n-Instanz
Zahlungsdaten	Kontaktperson des Auftraggebers	Abrechnung (via Stripe)
Protokolldaten (Logs)	Nutzer der n8n-Instanz	Fehlerbehebung, Sicherheit

Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Verarbeitung der in seiner n8n-Instanz gespeicherten Daten.

§ 4

Pflichten des Auftragsverarbeiters

FlowHoster verpflichtet sich:

Personenbezogene Daten ausschließlich auf Weisung des Auftraggebers zu verarbeiten
Zur Vertraulichkeit verpflichtete Personen einzusetzen und diese zu verpflichten
Alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu treffen
Den Auftraggeber unverzüglich zu informieren, wenn eine erteilte Weisung gegen geltendes Datenschutzrecht verstößt
Den Auftraggeber bei der Erfüllung von Betroffenenanfragen und Meldepflichten zu unterstützen
Nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen

§ 5

Technische und organisatorische Maßnahmen (TOM)

Maßnahme	Umsetzung
Zutrittskontrolle	Server-Hosting bei Strato AG, Berlin, Deutschland; Zugang ausschließlich über SSH-Key
Zugangskontrolle	SSH-Key-basierter Serverzugang, keine Passwort-Authentifizierung
Zugriffskontrolle	Vollständige Isolation pro Kunde (eigener Container, eigene Datenbank)
Trennungskontrolle	Docker-Container-Isolation, separate PostgreSQL-Datenbank pro Mandant
Verschlüsselung	HTTPS/TLS (Let's Encrypt), Backup-Verschlüsselung via age
Verfügbarkeitskontrolle	Tägliche Backups, automatischer Container-Neustart, Uptime-Monitoring
Eingabekontrolle	Protokollierung von Systemzugriffen; Audit-Logs
Transportverschlüsselung	TLS 1.2/1.3 für alle Verbindungen

§ 6

Unterauftragsverarbeiter

FlowHoster setzt folgende Unterauftragsverarbeiter ein:

Anbieter	Sitz	Zweck
Strato AG	Deutschland (Berlin)	Server-Hosting, Rechenzentrum
Stripe Payments Europe Ltd.	Irland (Dublin)	Zahlungsabwicklung

FlowHoster wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern informieren. Der Auftraggeber hat das Recht, gegen solche Änderungen Widerspruch einzulegen.

§ 7

Rechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages und der datenschutzrechtlichen Verpflichtungen durch Audits oder Inspektionen zu überprüfen. Anfragen sind schriftlich an support@flowhoster.de zu richten.

FlowHoster stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 8

Datenpannen und Meldepflichten

FlowHoster verpflichtet sich, den Auftraggeber unverzüglich — in der Regel innerhalb von 24 Stunden — über Verletzungen des Schutzes personenbezogener Daten zu informieren, die FlowHoster bekannt werden.

Die Meldung erfolgt per E-Mail an die beim Checkout angegebene E-Mail-Adresse des Auftraggebers.

§ 9

Löschung und Rückgabe von Daten

Nach Beendigung des Hauptvertrages löscht FlowHoster alle personenbezogenen Daten des Auftraggebers vollständig und unwiderruflich, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Löschung erfolgt spätestens 30 Tage nach Vertragsende.

Auf Anfrage stellt FlowHoster dem Auftraggeber vor der Löschung einen Export der n8n-Workflow-Daten zur Verfügung.

§ 10

Schlussbestimmungen

Dieser AVV unterliegt dem Recht der Bundesrepublik Deutschland. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gelten die Bestimmungen dieses AVV vorrangig, soweit sie den Datenschutz betreffen.

Durch die Akzeptanz beim Checkout tritt dieser AVV in Kraft und ist rechtlich bindend.

Unterzeichnung

Vertragsschluss

Dieser AVV wird durch die Akzeptanz beim Checkout elektronisch unterzeichnet. Datum und Zeitstempel der Akzeptanz werden serverseitig protokolliert.

Auftragsverarbeiter

FlowHoster · Yalcin Ak

Auftraggeber (elektronisch beim Checkout)

Ihr Unternehmen · Bevollmächtigte Person