Auftragsverarbeitungsvertrag (AVV)
Data Processing Agreement — CartFlux
Letzte Aktualisierung: Mai 2026 · Version: 1.0
Parteien
Auftragsverarbeiter (Processor):
NOVA CRAFT STUDIO SRL („CartFlux“) CUI: 54452722 Handelsregisternummer: J2026023506000 Sitz: București, Sector 1, Strada Pitar Moș Nr. 27
E-Mail: contact@cartflux.eu
Verantwortlicher (Controller): Der auf der CartFlux-Plattform registrierte Händler, dessen Identifikationsdaten im Konto hinterlegt sind.
1. Kontext und Zweck
Dieser Auftragsverarbeitungsvertrag („AVV“) regelt die Bedingungen, unter denen CartFlux als Auftragsverarbeiter personenbezogene Daten im Namen des Händlers als Verantwortlichem im Rahmen der Bereitstellung der CartFlux-Plattformdienste verarbeitet.
Dieser AVV ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen CartFlux und gilt gemäß Art. 28 der Verordnung (EU) 2016/679 (DSGVO).
2. Verarbeitete Daten
2.1 Kategorien von Daten
CartFlux verarbeitet im Namen des Händlers folgende Kategorien personenbezogener Daten der Endkunden des Shops:
- Vor- und Nachname
- E-Mail-Adresse
- Lieferadresse (Straße, Stadt, Region, Postleitzahl, Land)
- Telefonnummer (wenn angegeben)
- Bestellhistorie (Produkte, Mengen, Preise, Status)
- Sitzungsdaten des Kundenkontos (wenn der Endkunde ein Konto im Shop erstellt)
2.2 Kategorien betroffener Personen
Endkunden, die Bestellungen aufgeben oder Konten in den vom Händler auf der CartFlux-Plattform betriebenen Shops erstellen.
2.3 Zweck der Verarbeitung
Die Verarbeitung erfolgt ausschließlich für:
- Bearbeitung und Verwaltung der Bestellungen im Shop des Händlers
- Bereitstellung der Plattformfunktionen (Bestell-Dashboard, Kunden, Statistiken)
- Versand transaktionsbezogener E-Mails im Zusammenhang mit Bestellungen
- Rechnungsstellung über SmartBill (wenn vom Händler aktiviert)
3. Pflichten von CartFlux (Auftragsverarbeiter)
CartFlux verpflichtet sich:
3.1 Dokumentierte Weisungen
Personenbezogene Daten ausschließlich auf Grundlage der dokumentierten Weisungen des Händlers zu verarbeiten, es sei denn, EU- oder rumänisches Recht schreibt etwas anderes vor.
3.2 Vertraulichkeit
Sicherzustellen, dass zur Verarbeitung befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.
3.3 Sicherheit
Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen, einschließlich:
- Verschlüsselung bei der Übertragung (HTTPS/TLS)
- Verschlüsselung ruhender sensibler Daten
- Rollenbasierte Zugriffskontrolle (RLS)
- Überwachung und Erkennung von Vorfällen (Sentry)
- Regelmäßige Datensicherung
3.4 Unterauftragsverarbeiter
Keine weiteren Unterauftragsverarbeiter ohne vorherige Information des Händlers einzusetzen. Die aktuelle Liste der Unterauftragsverarbeiter ist in der Datenschutzerklärung CartFlux verfügbar. Der Händler stimmt der Nutzung der gelisteten Unterauftragsverarbeiter durch Annahme dieses AVV zu.
3.5 Rechte betroffener Personen
Den Händler bei der Erfüllung der Pflicht zur Beantwortung von Anfragen zur Ausübung der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit usw.) zu unterstützen, im Rahmen der in der Plattform verfügbaren Daten.
3.6 Unterstützung bei DSGVO-Pflichten
Den Händler bei der Einhaltung der Pflichten in Bezug auf:
- Sicherheit der Verarbeitung (Art. 32 DSGVO)
- Meldung von Datenschutzverletzungen (Art. 33–34 DSGVO)
- Datenschutz-Folgenabschätzungen (DSFA), wenn erforderlich (Art. 35 DSGVO)
3.7 Meldung von Vorfällen
Den Händler unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.
3.8 Löschung von Daten
Bei Beendigung der Dienste alle personenbezogenen Daten gemäß den Weisungen des Händlers zu löschen oder zurückzugeben, es sei denn, das Recht schreibt deren Aufbewahrung vor.
3.9 Audit
Dem Händler alle Informationen zur Verfügung zu stellen, die zur Nachweis der Einhaltung der in Art. 28 DSGVO genannten Pflichten erforderlich sind.
4. Pflichten des Händlers (Verantwortlicher)
Der Händler verpflichtet sich als Verantwortlicher:
- Sicherzustellen, dass die Verarbeitung über CartFlux eine rechtmäßige Grundlage gemäß DSGVO hat
- Endkunden über die Datenverarbeitung zu informieren (eigene Datenschutzerklärung im Shop)
- Erforderliche Einwilligungen von Endkunden einzuholen, wo anwendbar
- CartFlux unverzüglich zu benachrichtigen, wenn eine Datenschutzverletzung festgestellt wird
- CartFlux keine besonderen Kategorien von Daten (Art. 9 DSGVO) ohne vorherige ausdrückliche Zustimmung zu übermitteln
5. Unterauftragsverarbeiter (Sub-processors)
CartFlux nutzt folgende Unterauftragsverarbeiter zur Erbringung der Dienste:
| Unterauftragsverarbeiter | Rolle | Standort | AVV/Garantien |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | EU (AWS Frankfurt) | AVV verfügbar |
| Vercel Inc. | Anwendungshosting | EU/US | AVV verfügbar |
| Stripe Inc. | Zahlungsabwicklung | EU/US | AVV verfügbar |
| Resend Inc. | Transaktions-E-Mails | EU/US | AVV verfügbar |
| Functional Software (Sentry) | Fehlerüberwachung | EU/US | AVV verfügbar |
| SmartBill SRL | Elektronische Rechnungsstellung | Rumänien | AVV verfügbar |
CartFlux informiert den Händler über geplante Änderungen bei Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Händler die Möglichkeit, Einwände zu erheben.
6. Internationale Übermittlungen
Einige Unterauftragsverarbeiter können Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten. CartFlux stellt sicher, dass solche Übermittlungen mit angemessenen Garantien gemäß Kapitel V DSGVO erfolgen (Standardvertragsklauseln, Angemessenheitsbeschlüsse der Europäischen Kommission).
7. Laufzeit und Beendigung
Dieser AVV gilt für die Dauer des CartFlux-Dienstvertrags. Bei Vertragsbeendigung löscht CartFlux die Daten der Endkunden des Händlers innerhalb von 30 Tagen, mit Ausnahme von Daten, deren Aufbewahrung gesetzlich vorgeschrieben ist.
8. Haftung
Die Haftung jeder Partei gegenüber der anderen auf Grundlage dieses AVV ist gemäß den Bestimmungen der Allgemeinen Geschäftsbedingungen CartFlux beschränkt. Jede Partei haftet gegenüber Aufsichtsbehörden und betroffenen Personen entsprechend ihrer Rolle (Verantwortlicher / Auftragsverarbeiter) gemäß DSGVO.
9. Anwendbares Recht
Dieser AVV unterliegt rumänischem Recht und der Verordnung (EU) 2016/679 (DSGVO). Streitigkeiten werden gemäß den Bestimmungen der Allgemeinen Geschäftsbedingungen CartFlux beigelegt.
10. Kontakt für Datenschutzfragen
NOVA CRAFT STUDIO SRL Datenschutzverantwortlicher: Doiciu Irinel
E-Mail: contact@cartflux.eu Adresse: București, Sector 1, Strada Pitar Moș Nr. 27
Durch Annahme der Allgemeinen Geschäftsbedingungen CartFlux akzeptiert der Händler auch diesen Auftragsverarbeitungsvertrag, der integraler Bestandteil des Vertragsverhältnisses zwischen den Parteien wird.