DSGVO Art. 28 · AVV · Version 1.0 · Gültig ab 2026-05-02
Auftragsverarbeitungs-Vereinbarung (AVV)
nach Art. 28 DSGVO zwischen dem Verantwortlichen (Customer-Tenant der NMS-Flow-Plattform) und dem Auftragsverarbeiter:
New Media Service GmbH Maggistr. 5, 78224 Singen, Deutschland Eingetragen im Handelsregister Amtsgericht Freiburg im Breisgau, HRB 731293 USt-IdNr: DE 281 555 447 Vertretungsberechtigte Geschäftsführer: Jan Emmerich, Daniel Penninger E-Mail: flow@nms.de · Telefon: +49 6201 26014 0
— im Folgenden "NMS" oder "Auftragsverarbeiter".
Stand: 2026-05-02 · Version 1.0
§ 1 Gegenstand und Dauer der Auftragsverarbeitung
(1) Gegenstand dieses Vertrages ist die im Hauptvertrag (Nutzungsbedingungen NMS Flow, abrufbar unter https://flow.nms.de/legal/terms) beschriebene Erbringung der SaaS-Plattform "NMS Flow" durch NMS für den Verantwortlichen.
(2) Die Verarbeitung erfolgt für die Dauer des Hauptvertrages. Bei dessen Beendigung gelten die Regelungen aus § 11 dieser AVV (Lösch- bzw. Rückgabepflicht).
(3) NMS verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
§ 2 Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen
(1) Art und Zweck der Verarbeitung:
- Email-Triage: automatisierte Klassifikation eingehender E-Mails (dringend/aktion/info/spam), Verschiebung in Ordner, Generierung KI-gestützter Antwort-Entwürfe
- Meeting-Briefings: Vorbereitung von Besprechungs-Notizen aus Kalender + Mailverlauf
- Lead-Discovery: Recherche-Dokumentation aus öffentlich verfügbaren Quellen
- Newsletter-/Content-Generation: KI-gestützte Texterstellung
- AI-Chatbot: DSGVO-konforme RAG-basierte Beantwortung von Customer-Anfragen über die konfigurierte Knowledge-Base
- weitere im Marketplace verfügbare Workflows entsprechend ihrer dokumentierten Funktion
(2) Art der personenbezogenen Daten:
- E-Mail-Inhalte (Absender, Empfänger, Betreff, Body, Anhänge-Metadaten)
- Kalender-Einträge (Teilnehmer, Termin-Daten)
- Kontakt-Stammdaten (Name, E-Mail-Adresse, Firma, Telefon, Notizen)
- Kommunikations-Stilmuster (Tonalität, Anrede-Präferenz)
- Authentifizierungs-Daten (Microsoft-OAuth-Tokens, OAuth-Refresh-Tokens — verschlüsselt mit AES-256-GCM und Tenant-Bind)
- IP-Adressen, Session-Daten, Audit-Log-Einträge
(3) Kategorien betroffener Personen:
- Mitarbeiter und Geschäftsführung des Verantwortlichen
- Kunden, Lieferanten und Kontakte des Verantwortlichen, deren Daten in den oben genannten Datenarten enthalten sind
- weitere natürliche Personen, mit denen der Verantwortliche per E-Mail oder Kalender kommuniziert
(4) Die Verarbeitung erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union (siehe § 8 und Anlage 1 — Sub-Prozessor-Liste).
§ 3 Pflichten und Weisungsrechte des Verantwortlichen
(1) Der Verantwortliche ist alleiniger "Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO. NMS verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser AVV und auf dokumentierte Weisung.
(2) Der Verantwortliche hat das Recht, Weisungen zu erteilen. Weisungen werden grundsätzlich in Textform erteilt (E-Mail an flow@nms.de oder über die Plattform-UI). Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
(3) Geht NMS eine Weisung als rechtswidrig erkennen oder verstößt sie gegen die DSGVO, wird NMS den Verantwortlichen unverzüglich darüber informieren und kann die Ausführung verweigern.
(4) Der Verantwortliche hat das Recht, jederzeit Auskunft über die Verarbeitung seiner Daten zu verlangen, sowie Berichtigung, Löschung, Einschränkung und Übertragung gemäß Art. 15-22 DSGVO. NMS unterstützt den Verantwortlichen bei der Erfüllung dieser Rechte (siehe § 7).
§ 4 Pflichten des Auftragsverarbeiters
(1) NMS verarbeitet personenbezogene Daten ausschließlich im Rahmen dieser AVV und auf dokumentierte Weisung des Verantwortlichen, sofern nicht eine ausnahmsweise Verpflichtung durch Unionsrecht oder das Recht eines Mitgliedstaats besteht (Art. 28 Abs. 3 lit. a DSGVO).
(2) NMS gewährleistet, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten autorisiert sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) NMS trifft alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, die in Anlage 2 dieser AVV im Detail beschrieben sind.
(4) NMS unterstützt den Verantwortlichen bei der Wahrnehmung seiner Pflichten aus Art. 32–36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
(5) NMS stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen durch den Verantwortlichen oder einen von ihm beauftragten Prüfer (Audit-Recht, siehe § 9).
§ 5 Technische und organisatorische Maßnahmen (TOM)
(1) Die TOM gemäß Art. 32 DSGVO sind in Anlage 2 dieser AVV ausführlich dokumentiert. Sie umfassen insbesondere:
- Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle)
- Integrität (Weitergabe-, Eingabekontrolle)
- Verfügbarkeit + Belastbarkeit (Verfügbarkeitskontrolle, schnelle Wiederherstellbarkeit)
- Verfahren zur regelmäßigen Überprüfung (Auditierung, Pseudonymisierung, Verschlüsselung)
(2) NMS überprüft die Wirksamkeit der TOM regelmäßig und passt sie dem Stand der Technik und sich ändernden Risikoszenarien an. Wesentliche Änderungen werden dem Verantwortlichen mit mindestens 15 Tagen Vorlauf mitgeteilt.
§ 6 Sub-Auftragsverarbeiter
(1) Eine Liste der zum Zeitpunkt des Vertragsschlusses eingesetzten Sub-Auftragsverarbeiter ist als Anlage 1 Bestandteil dieser AVV. Aktuelle Liste: https://flow.nms.de/legal/subprocessors
(2) NMS darf weitere Sub-Auftragsverarbeiter beauftragen oder bestehende ersetzen. Der Verantwortliche stimmt dieser allgemeinen schriftlichen Genehmigung zu (Art. 28 Abs. 2 DSGVO), behält sich jedoch ein Widerspruchsrecht binnen 15 Tagen nach Mitteilung der Änderung vor.
(3) Die Mitteilung von Änderungen erfolgt durch:
- E-Mail an den Tenant-Admin
- In-App-Banner über die Plattform mit 15 Tagen Vorlauf
(4) NMS verpflichtet seine Sub-Auftragsverarbeiter vertraglich zu Datenschutz-Auflagen, die mindestens den in dieser AVV festgelegten entsprechen (Art. 28 Abs. 4 DSGVO).
(5) Bei Widerspruch des Verantwortlichen kann NMS den betroffenen Service auf eigene Kosten umstellen oder, falls dies nicht möglich ist, das Vertragsverhältnis mit einer Frist von 30 Tagen kündigen.
§ 7 Unterstützung bei Betroffenenrechten
(1) NMS unterstützt den Verantwortlichen bei der Beantwortung von Anträgen Betroffener zur Wahrnehmung ihrer Rechte (Art. 15–22 DSGVO):
- Auskunft (Art. 15): Self-Service unter
/app/datazeigt alle gespeicherten Datenkategorien - Berichtigung (Art. 16): Self-Service in der Plattform oder per E-Mail
- Löschung (Art. 17): Self-Service-Erasure für Chatbot-Konversationen unter
/app/settings; Tenant-Komplett-Löschung per E-Mail an flow@nms.de - Einschränkung (Art. 18): Per E-Mail an flow@nms.de
- Datenübertragbarkeit (Art. 20): Self-Service-Datenexport unter
/app/settingsbzw./api/account/data-export; auf Anfrage zusätzlich per E-Mail binnen 30 Tagen - Widerspruch (Art. 21) / Widerruf Einwilligung (Art. 7 Abs. 3): über Account-Cancellation oder per E-Mail
(2) NMS leitet sich an Betroffene direkt richtende Anträge unverzüglich an den Verantwortlichen weiter.
§ 8 Übermittlung in Drittländer
(1) Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb EU/EWR) findet nicht statt. Sämtliche Verarbeitung erfolgt in Rechenzentren innerhalb der EU (Frankfurt am Main, Deutschland; bzw. AWS-Region eu-central-1).
(2) Sollte ausnahmsweise eine Drittlandübermittlung erforderlich werden, erfolgt diese ausschließlich auf Basis der EU-Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO. Der Verantwortliche wird hierüber rechtzeitig informiert.
§ 9 Audit-Recht
(1) Der Verantwortliche hat das Recht, sich von der Einhaltung der Datenschutz-Auflagen durch NMS zu überzeugen. NMS gewährt:
- Selbst-Audit: Zugriff auf Audit-Log unter
/app/admin/audit(für NMS-Admin-Rolle nach Pre-Authorization) - Externes Audit: Auf Anfrage und mit angemessenem Vorlauf (mindestens 15 Werktage) kann ein vom Verantwortlichen beauftragter, zur Verschwiegenheit verpflichteter Prüfer eine Vor-Ort-Prüfung durchführen
- Pen-Test-Bericht: auf Anfrage vor Vertragsschluss bei Enterprise-Customer-Onboarding
- TOM-Bestätigung: schriftliche Auskunft über aktuelle TOMs binnen 14 Tagen nach Anforderung
(2) Audits stören die ordnungsgemäße Geschäftstätigkeit von NMS so wenig wie möglich. Kosten externer Audits trägt der Verantwortliche, sofern keine Mängel festgestellt werden.
§ 10 Mitteilungspflichten bei Datenpannen
(1) NMS meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Kenntniserlangung. Die Meldung erfolgt per E-Mail an die im Tenant-Profil hinterlegte Admin-Adresse sowie als Audit-Log-Eintrag.
(2) Die Meldung enthält mindestens:
- Art der Verletzung, Kategorien und Anzahl betroffener Personen + Datensätze
- Wahrscheinliche Folgen der Verletzung
- Bereits ergriffene Maßnahmen und Maßnahmen-Vorschläge
(3) NMS unterstützt den Verantwortlichen bei der Erfüllung seiner Meldepflichten gegenüber Aufsichtsbehörden (Art. 33 DSGVO) und betroffenen Personen (Art. 34 DSGVO).
§ 11 Beendigung des Vertrages, Lösch- und Rückgabepflicht
(1) Bei Beendigung des Hauptvertrages gibt NMS die personenbezogenen Daten des Verantwortlichen nach dessen Wahl zurück oder löscht sie, sofern nicht eine Verpflichtung zur Speicherung nach Unionsrecht oder mitgliedstaatlichem Recht besteht.
(2) Die Standard-Frist für Datenexport oder Löschung beträgt 30 Tage ab Vertragsende. Innerhalb dieser Frist:
- Self-Service-Datenexport unter
/app/data - Bei manuellem Wunsch: E-Mail an flow@nms.de mit Betreff "Datenexport DSGVO Art. 20"
(3) Audit-Log-Einträge werden zur Erfüllung gesetzlicher Aufbewahrungspflichten bis zu 10 Jahre aufbewahrt (handelsrechtliche Aufbewahrungspflicht für Geschäftsvorfälle), nach Ende dieser Frist gelöscht.
(4) Die endgültige Löschung wird dem Verantwortlichen schriftlich bestätigt.
§ 12 Vertraulichkeit
(1) NMS ist zur Verschwiegenheit über alle ihm im Rahmen dieser AVV bekannt gewordenen vertraulichen Informationen verpflichtet — auch über die Vertragsbeendigung hinaus.
(2) NMS verpflichtet alle Mitarbeiter und eingesetzten Sub-Auftragsverarbeiter zur Vertraulichkeit nach gleichem Maßstab.
§ 13 Haftung
(1) Es gelten die Haftungsregelungen des Hauptvertrages (Allgemeine Geschäftsbedingungen NMS Flow).
(2) Im Verhältnis NMS ↔ Verantwortlicher gilt: Jede Partei haftet für Schäden, die sie durch Verstöße gegen diese AVV verursacht. Ansprüche Dritter werden im Innenverhältnis nach Verursachungsanteil aufgeteilt (Art. 82 Abs. 5 DSGVO).
§ 14 Schlussbestimmungen
(1) Änderungen dieser AVV bedürfen der Textform. Nebenabreden bestehen nicht.
(2) Bei wesentlichen Änderungen dieser AVV (Major-Version-Bumps z. B. wegen neuer Sub-Prozessoren mit anderer Datenkategorie) hat der Verantwortliche 14 Kalendertage Zeit, der neuen Version zuzustimmen. Erfolgt keine Zustimmung innerhalb dieser Frist, kann NMS das Vertragsverhältnis pausieren oder mit einer Frist von 30 Tagen kündigen.
(3) Sollten einzelne Bestimmungen dieser AVV unwirksam sein, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An die Stelle der unwirksamen Bestimmung tritt die gesetzliche Regelung.
(4) Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV ist — soweit gesetzlich zulässig — Singen (Hohentwiel) am Sitz des Auftragsverarbeiters.
(5) Anwendbares Recht ist deutsches Recht unter Ausschluss des UN-Kaufrechts.
Anlage 1 — Sub-Auftragsverarbeiter
Die jeweils aktuelle Liste mit Datenverarbeitungs-Standort und AVV-Status der Sub-Auftragsverarbeiter ist verfügbar unter:
https://flow.nms.de/legal/subprocessors
Die Liste umfasst (Stand 2026-05-02):
| Anbieter | Zweck | Region | DSGVO-Basis |
|---|---|---|---|
| Vercel Inc. | Hosting + Compute (EU-Region pinned fra1) | EU (Frankfurt) | DPA + EU-Region-Lock |
| Neon Inc. | Postgres-Datenbank | EU (eu-central-1, Frankfurt) | DPA + EU-DC-Lock |
| Mailgun (Sinch Email API) | Transactional E-Mails | EU (api.eu.mailgun.net) | DPA + EU-Region |
| Upstash Inc. | Rate-Limiting (Redis) | EU | DPA + EU-DC |
| Microsoft Corporation | M365-Mailbox-API (Microsoft Graph) | DE/EU (Customer-Tenant-Region) | Customer-DPA |
| Anthropic via AWS Bedrock | AI-Inference Claude | EU (eu-central-1, Frankfurt) | AWS-DPA + Zero-Retention |
| OpenAI Ireland Ltd. | AI-Inference GPT (eu.api.openai.com) | EU | EU-Enterprise-Contract, kein Training |
| Google Vertex AI | AI-Inference Gemini | EU-Region möglich | DPA + EU-DC |
| Sentry Software Inc. (Functional Software, Inc.) | Error-Tracking | EU (de.sentry.io) | DPA + EU-Region-Lock |
| n8n GmbH (n8n.cloud) | Workflow-Execution-Engine | EU | DPA |
Hart geblockte AI-Provider (DSGVO-Allowlist im Code erzwungen): Kimi/Moonshot, Qwen, Baidu, DeepSeek, Zhipu, Yi, 01-ai.
Anlage 2 — Technische und Organisatorische Maßnahmen (TOM)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
1.1 Zutrittskontrolle (physisch)
- Sämtliche Verarbeitung erfolgt in zertifizierten Rechenzentren der Sub-Auftragsverarbeiter (ISO 27001, SOC 2 Type II)
- NMS hält keine eigenen Server-Räume vor; physische Zutrittskontrollen werden von Vercel/Neon/AWS gewährleistet
1.2 Zugangskontrolle (logisch)
- Multi-Faktor-Authentifizierung (MFA) für alle NMS-Mitarbeiter-Zugänge zur Plattform
- Microsoft Entra ID (Single-Sign-On) für Customer-Logins mit OAuth 2.1 + PKCE + State + Nonce
- Magic-Link-Login als Alternative ohne SSO (24h-Token-Lifetime, kryptografisch signiert)
- Auto-Logoff nach 10 Minuten Inaktivität (Customer-konfigurierbar 0–1440 Minuten)
- Session-Token: NextAuth-JWT mit 30-Tage-Lifetime, täglicher Rotation (
updateAge: 24h) - Open-Redirect-Schutz: nur same-origin
callbackUrlzulässig
1.3 Zugriffskontrolle (Datenebene)
- Postgres Row-Level-Security mit
FORCE ROW LEVEL SECURITYauf allen Tenant-Tabellen - Zwei separate DB-Rollen:
nms_app(NOBYPASSRLS, Runtime) undneondb_owner(BYPASSRLS, nur Migrations) withTenantTx-Pattern: jede Tenant-scoped Query in Postgres-Transaction mitset_config('app.tenant_id', ...)- Cross-Tenant-Read und -Write technisch unmöglich, nicht nur per Konvention
- Statement-Timeout 10s pro Query gegen Pool-Blockade
- Verifiziert via
security-probe.tsmit 6 Tests (Stand 2026-05-02: 6/6 grün)
1.4 Trennungskontrolle (Mehrmandantenfähigkeit)
- Jeder Customer = eigener "Tenant" mit RLS-isolierter Datenbank-Sicht
- AES-256-GCM Encryption mit
tenantId|keyals Additional-Authenticated-Data (AAD) — selbst direkter DB-Zugriff erlaubt keine Cross-Tenant-Secret-Decryption (Auth-Tag-Mismatch)
1.5 Pseudonymisierung
- E-Mail-Adressen in Chatbot-Conversations werden mit SHA-256 gehasht (32-Zeichen-Prefix) statt im Klartext gespeichert
- Re-Identifikation nur bei aktivem User-Bezug zur Laufzeit, nicht in historischen Logs
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
2.1 Weitergabekontrolle
- TLS 1.3 für alle externen Verbindungen (User → Plattform, Plattform → Sub-Prozessoren)
- HSTS-Header mit
max-age=63072000; includeSubDomains; preload - Microsoft-OAuth-Tokens werden ausschließlich verschlüsselt in
tenant_secretsgespeichert (AES-256-GCM) - HMAC-SHA256-Signature-Verification für alle eingehenden Webhooks (n8n, Stripe) mit Timing-Safe-Compare und 5-Min-Timestamp-Window
2.2 Eingabekontrolle (Audit-Log)
- Jede Tenant-relevante Datenoperation (CRUD auf 7 Kerntabellen) erzeugt automatisch einen Audit-Log-Eintrag (Postgres-Trigger
audit_trigger_funcSECURITY DEFINER) - Zusätzliche App-Level-Audit-Einträge für Business-Events (Setup, Auth, Workflows)
- Audit-Log-Aufbewahrung: 10 Jahre (handelsrechtliche Pflicht)
3. Verfügbarkeit + Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
3.1 Verfügbarkeitskontrolle
- Vercel Pro-Plan mit Multi-Region-Failover-Möglichkeit (aktuell
fra1region-pinned für DSGVO) - Neon Postgres mit Point-In-Time-Recovery (7 Tage Hobby, 30 Tage Pro)
- Sentry-Cron-Monitoring: bei ausbleibenden Heartbeats Alert binnen 5–10 Minuten
- Health-Check-Endpoint
/api/healthfür Uptime-Monitoring
3.2 Schnelle Wiederherstellbarkeit
- Daily-Database-Snapshots (Neon-automatisch)
- Disaster-Recovery-Playbook dokumentiert in
docs/RUNBOOK.md - RTO (Recovery Time Objective): 4 Stunden bei Major-Outage
- RPO (Recovery Point Objective): max. 24 Stunden Datenverlust
3.3 Belastbarkeit
- Rate-Limiting via Upstash Redis Sliding-Window:
- Auth: 10/min/IP
- Chatbot: 30/min/IP
- Webhooks: 200/min
- Cron: 60/min
- Function-Timeouts: Cron 300s, AI-Streaming 60s, Webhooks 30s
- Skew-Protection:
__vdpl-Cookie pinnt User für 24h auf ein Deployment
4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)
4.1 Datenschutz-Management
- Verzeichnis Verarbeitungstätigkeiten (Art. 30) zentral im
audit_log - Sub-Prozessor-Liste öffentlich abrufbar unter
/legal/subprocessors - Datenschutz-Folgenabschätzung (DSFA) bei Major-Releases
- Quartals-Review der TOMs durch Geschäftsführung
4.2 Incident-Response
- Sentry-Alerts (5 konfigurierte Rules) per E-Mail an Operator-Team
- Telegram-Channel für kritische Incidents
- 72h-Frist-Tracking für Aufsichtsbehörden-Meldung (Art. 33)
4.3 Auftragskontrolle (gegen Sub-Prozessoren)
- Jährliches Review der Sub-Prozessor-DPAs
- Continuous Monitoring der Sub-Prozessor-Compliance über öffentliche Status-Seiten
- Bei Compliance-Verstoß: Notfall-Migration auf Alternative
5. Datenschutz-Defaults (Art. 25 DSGVO)
- Privacy by Design: alle neuen Features durchlaufen DSGVO-Review vor Release
- Privacy by Default: Strict-RAG-Mode beim Chatbot (keine Halluzinationen, nur aus konfigurierter KB), Standard-Retention 30 Tage für Konversationen, DSGVO-Consent-Banner vor erstem Chat
- Daten-Minimierung: Email-Hash statt Klartext in Chatbot-Logs
Akzeptanz
Mit dem Click-Wrap-Akzept im Setup-Wizard (Wizard-Step 5) bestätigt der Tenant-Admin im Namen des Verantwortlichen den Abschluss dieser AVV in der Version 1.0 (Stand 2026-05-02).
Die Akzeptanz wird mit User-ID, Tenant-ID, IP-Adresse, Timestamp, vollständigem Namen + Funktion sowie SHA-256-Hash des akzeptierten Texts in der Datenbank-Tabelle legal_acceptances revisionssicher gespeichert.
Bei Major-Version-Updates dieser AVV (z. B. Hinzunahme neuer Sub-Prozessor-Kategorien) hat der Verantwortliche 14 Kalendertage Zeit zur erneuten Akzeptanz. Andernfalls werden die produktiven Workflows pausiert (kein Datenverlust, nur Workflow-Stop) — zu Lasten der Plattform-Nutzbarkeit, ohne dass dies Schadensersatz-Ansprüche begründet.
Audit-Trail
Content-Hash (SHA-256): ef855bbac47b290bad5511889e37633736d24f96a0ec3c920c02daa9d4b0f799
Customer-Tenant-Admins können diese AVV im Setup-Wizard (Schritt 5) annehmen. Die Akzeptanz wird mit Hash, IP, Timestamp, vollständigem Namen und Funktion revisionssicher in der Datenbank gespeichert. Bei Major-Version-Bumps gilt eine 14-Tage-Frist zur Re-Acceptance.