Auftragsverarbeitungsvertrag
Gemäß Artikel 28 der Datenschutz-Grundverordnung (GDPR)
1. Parteien
Der Auftragsverarbeiter: SynqLayer, handelnd unter dem Namen SynqFlow, eingetragen bei der Handelskammer unter der Nummer 42041391, mit Sitz in Waddinxveen, Niederlande. Nachfolgend “Auftragsverarbeiter”.
Der Verantwortliche: Die natürliche oder juristische Person, die SynqFlow-Dienste nutzt und personenbezogene Daten durch den Auftragsverarbeiter verarbeiten lässt. Nachfolgend “Verantwortlicher”.
2. Gegenstand und Dauer
Diese Vereinbarung regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der SynqFlow-Dienste.
Art der Verarbeitung: Erhebung, Speicherung, Analyse und Berichterstattung transportbezogener Daten, darunter:
- Fahrtenerfassung (Startpunkt, Ziel, Entfernung, Datum)
- Fahrzeugdaten (Kennzeichen, Kraftstoffart, CO₂-Klasse)
- Standortdaten (GPS-Koordinaten, Abfahrts- und Ankunftsorte)
- Finanzielle Belegdaten (Fotos von Tankbelegen, Beträge, Liter)
Dauer: Diese Vereinbarung gilt für die Dauer des aktiven SynqFlow-Abonnements des Verantwortlichen. Nach Beendigung werden personenbezogene Daten höchstens 30 Tage aufbewahrt und danach endgültig gelöscht.
3. Kategorien personenbezogener Daten
Die folgenden Kategorien personenbezogener Daten können verarbeitet werden:
- Standortdaten: GPS-Koordinaten sowie Abfahrts- und Ankunftsadressen von Transportfahrten
- Fahrzeugdaten: Kennzeichen, Fahrzeugtypen, Kraftstoffarten, Emissionsklassen
- Finanzielle Belegdaten: Tankbelege und gescannte Metadaten wie Beträge, Liter, Datum und Standort
- Kontodaten: Name, E-Mail-Adresse und Firmenname des Verantwortlichen
4. Unterauftragsverarbeiter
Der Auftragsverarbeiter nutzt die folgenden Unterauftragsverarbeiter. Mit jeder Partei wurde eine Vereinbarung gemäß GDPR Artikel 28 geschlossen:
| Unterauftragsverarbeiter | Dienst | Rechenzentrum |
|---|---|---|
| Google Cloud (Vertex AI) | AI-Verarbeitung (Belegscan) | europe-west4 (Niederlande) |
| Supabase | Datenbank & Authentifizierung | eu-west-2 (London, UK) |
| Vercel | Hosting & Edge-Funktionen | Global Edge Network |
Durch Zustimmung zu dieser Vereinbarung erlaubt der Verantwortliche den Einsatz der genannten Unterauftragsverarbeiter. Änderungen werden mindestens 14 Tage im Voraus mitgeteilt.
5. Sicherheitsmaßnahmen
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Verlust, unrechtmäßiger Verarbeitung und unbefugtem Zugriff:
- Verschlüsselung von Daten während der Übertragung (TLS 1.3) und im Ruhezustand (AES-256)
- Least-Privilege-Zugriffskontrolle: nur autorisiertes Personal mit ausdrücklichen Zugriffsrechten
- Multi-Faktor-Authentifizierung auf allen administrativen Systemen
- Row Level Security (RLS) auf Datenbankebene pro Benutzer
- Protokollierung und Überwachung des Zugriffs auf personenbezogene Daten
- Regelmäßige Sicherheitsaudits und Penetrationstests
6. Rechte betroffener Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Rechte betroffener Personen nach GDPR, darunter:
- Auskunftsrecht (Art. 15 GDPR)
- Recht auf Berichtigung (Art. 16 GDPR)
- Recht auf Löschung (Art. 17 GDPR)
- Recht auf Einschränkung der Verarbeitung (Art. 18 GDPR)
- Recht auf Datenübertragbarkeit (Art. 20 GDPR)
Anfragen zur Ausübung dieser Rechte können über den SynqFlow-Supportkanal eingereicht werden. Der Auftragsverarbeiter antwortet innerhalb von 30 Tagen.
7. Kontakt
Bei Fragen zu diesem Auftragsverarbeitungsvertrag oder zur Verarbeitung personenbezogener Daten kontaktieren Sie uns über:
E-Mail: contact@synqflow.nl
KvK: 42041391
VAT: NL005450830B62
8. Schlussbestimmungen
Diese Vereinbarung unterliegt niederländischem Recht. Streitigkeiten werden dem zuständigen Gericht in Den Haag vorgelegt.
Dieser Auftragsverarbeitungsvertrag wurde zuletzt am 24. April 2026 aktualisiert und tritt mit Beginn der Dienstleistungen unmittelbar in Kraft.