Data Processing Agreement (DPA) / Auftragsverarbeitungsvertrag (AVV) SFP-Flow

English version first, followed by German version. This agreement is intended to meet the requirements of Art. 28 GDPR / Art. 28 DSGVO.

Processor / Auftragsverarbeiter: SFP-Media GmbH, Brunngasse 65, 2540 Bad Vöslau (Gainfarn), Austria · Company Register No.: 568687f · Email: [email protected]

DATA PROCESSING AGREEMENT (DPA) English

according to Art. 28 GDPR

1. Parties

This Data Processing Agreement (“Agreement”) is concluded between:

Controller (Customer):
The natural or legal person, public authority, agency or other body that determines the purposes and means of the processing of personal data when using the SFP-Flow platform.

Processor:
SFP-Media GmbH
Brunngasse 65, 2540 Bad Vöslau (Gainfarn), Austria
Company Register No.: 568687f
Represented by: Aleksandar Savic
Email: [email protected]

2. Subject Matter and Duration

2.1 This Agreement governs the processing of personal data by the Processor on behalf of the Controller in connection with the use of the SFP-Flow platform, a white-label CRM, funnel, automation, communication and marketing system based on GoHighLevel technology.

2.2 The processing shall be carried out for the duration of the contractual relationship between the Controller and the Processor and ends upon termination of the main service agreement, unless statutory retention obligations apply.

3. Nature and Purpose of Processing

The Processor processes personal data exclusively for the following purposes:

  • Provision of CRM, funnel and automation infrastructure
  • Lead and customer management
  • Email, SMS, WhatsApp and communication services
  • Appointment scheduling and calendar services
  • Marketing and campaign execution
  • Technical support and system maintenance
  • Analytics and performance tracking

4. Types of Personal Data and Data Subjects

4.1 Data Subjects

  • Website visitors
  • Leads and prospects
  • Customers of the Controller
  • Newsletter subscribers
  • Employees and contractors of the Controller

4.2 Types of Data

  • Identification data (name, company, job title)
  • Contact data (email, phone number, address)
  • Communication data (emails, SMS, WhatsApp, call logs, chat messages)
  • Contract and billing data
  • Technical data (IP addresses, device information, tracking data, log files)
  • Payment-related metadata (via integrated third-party providers such as Stripe or PayPal)

5. Roles and Responsibilities

5.1 The Controller is the data controller within the meaning of Art. 4(7) GDPR.
5.2 The Processor acts solely as a data processor within the meaning of Art. 4(8) GDPR and processes personal data only on documented instructions from the Controller.

6. Processor Obligations

The Processor shall:

  • Process personal data only in accordance with documented instructions from the Controller
  • Ensure that persons authorized to process personal data are bound by confidentiality
  • Implement appropriate technical and organizational measures (TOMs) in accordance with Art. 32 GDPR
  • Assist the Controller in fulfilling data subject rights under Chapter III GDPR
  • Assist with compliance obligations under Art. 32–36 GDPR
  • Notify the Controller without undue delay of any personal data breach
  • Delete or return all personal data after termination of services unless legally required to retain it

7. Technical and Organizational Measures (TOMs)

The Processor implements in particular:

  • Access control systems (role-based access, authentication, MFA where applicable)
  • Data encryption in transit (TLS/SSL)
  • Logical separation of customer data
  • Regular backups and recovery systems
  • Monitoring and logging of system access
  • Incident response and breach notification procedures
  • Physical security of hosting facilities (via infrastructure providers)

A detailed TOM overview may be provided upon request.

8. Sub-Processors

8.1 The Controller grants general authorization to engage sub-processors.

8.2 The Processor currently uses the following categories of sub-processors:

Service Purpose
GoHighLevel Inc. Platform infrastructure, CRM, automation system
Twilio SMS, telephony and messaging services
Stripe Payment processing
PayPal Payment processing
Meta Platforms Marketing and advertising services
Google Analytics, security services, tracking and infrastructure

8.3 The Processor shall inform the Controller of any intended changes concerning the addition or replacement of sub-processors. The Controller may object for legitimate reasons related to data protection.

9. International Data Transfers

9.1 Data processing primarily takes place within the European Union.
9.2 Where data is transferred to third countries (in particular the United States), such transfers shall be based on:

  • The EU-U.S. Data Privacy Framework (DPF), and/or
  • Standard Contractual Clauses (SCCs) pursuant to Art. 46 GDPR

10. Assistance with Data Subject Rights

The Processor shall support the Controller in fulfilling requests regarding:

  • Right of access (Art. 15 GDPR)
  • Right to rectification (Art. 16 GDPR)
  • Right to erasure (Art. 17 GDPR)
  • Right to restriction (Art. 18 GDPR)
  • Right to data portability (Art. 20 GDPR)
  • Right to object (Art. 21 GDPR)

11. Audits and Inspections

The Controller may conduct audits, including inspections, upon reasonable notice and during normal business hours, provided such audits do not unreasonably disrupt the Processor’s business operations.

12. Liability

The parties shall be liable in accordance with Art. 82 GDPR. Each party shall be responsible for damages caused by processing operations for which it is responsible under GDPR.

13. Termination and Data Deletion

Upon termination of this Agreement, the Processor shall, at the choice of the Controller, delete or return all personal data, unless legal obligations require continued storage.

14. Acceptance and Form

This Agreement is concluded electronically. Acceptance by the Controller is valid by actively checking a consent checkbox during onboarding or purchase within the SFP-Flow platform.

15. Governing Law and Jurisdiction

This Agreement shall be governed by the laws of the Republic of Austria. Place of jurisdiction is the registered office of SFP-Media GmbH, unless mandatory legal provisions provide otherwise.

AUFTRAGSVERARBEITUNGSVERTRAG (AVV) Deutsch

gemäß Art. 28 DSGVO

1. Vertragsparteien

Dieser Auftragsverarbeitungsvertrag („AVV“) wird geschlossen zwischen:

Verantwortlicher (Kunde):
Die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei Nutzung der SFP-Flow Plattform entscheidet.

Auftragsverarbeiter:
SFP-Media GmbH
Brunngasse 65, 2540 Bad Vöslau (Gainfarn), Österreich
Firmenbuchnummer: 568687f
Vertreten durch: Aleksandar Savic
E-Mail: [email protected]

2. Gegenstand und Dauer

2.1 Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der Nutzung der SFP-Flow Plattform, einer CRM-, Funnel-, Automatisierungs- und Kommunikationsplattform auf Basis von GoHighLevel.

2.2 Die Verarbeitung erfolgt für die Dauer des Hauptvertragsverhältnisses und endet mit dessen Beendigung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

  • Bereitstellung von CRM-, Funnel- und Automationssystemen
  • Lead- und Kundenverwaltung
  • E-Mail-, SMS-, WhatsApp- und Kommunikationsdienste
  • Termin- und Kalenderverwaltung
  • Marketing- und Kampagnensteuerung
  • Technischer Support und Systemwartung
  • Analyse und Performance-Tracking

4. Kategorien betroffener Personen und Daten

4.1 Betroffene Personen

  • Website-Besucher
  • Interessenten und Leads
  • Kunden des Verantwortlichen
  • Newsletter-Abonnenten
  • Mitarbeiter und Beauftragte des Verantwortlichen

4.2 Datenarten

  • Stammdaten (Name, Unternehmen, Position)
  • Kontaktdaten (E-Mail, Telefonnummer, Adresse)
  • Kommunikationsdaten (E-Mails, SMS, WhatsApp, Anrufprotokolle, Chatverläufe)
  • Vertrags- und Abrechnungsdaten
  • Technische Daten (IP-Adressen, Trackingdaten, Logfiles)
  • Zahlungsbezogene Metadaten (über Drittanbieter wie Stripe oder PayPal)

5. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch gesetzliche Vorschriften zu einer anderen Verarbeitung verpflichtet ist.

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • zur Wahrung der Vertraulichkeit
  • zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO
  • zur Unterstützung bei der Wahrnehmung von Betroffenenrechten
  • zur Meldung von Datenschutzverletzungen ohne schuldhaftes Zögern
  • zur Löschung oder Rückgabe der Daten nach Vertragsende

7. Technische und organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter setzt insbesondere ein:

  • Zugriffskontrollen (Rollen- und Rechtesysteme, Authentifizierung, ggf. MFA)
  • Verschlüsselung bei der Übertragung (TLS/SSL)
  • Mandantentrennung
  • Backup- und Wiederherstellungssysteme
  • Protokollierung und Monitoring
  • Sicherheits- und Incident-Response-Prozesse
  • Physische Sicherheitsmaßnahmen über Hosting-Provider

Eine detaillierte TOM-Übersicht kann auf Anfrage bereitgestellt werden.

8. Unterauftragsverarbeiter

Der Verantwortliche erteilt eine generelle Genehmigung für den Einsatz von Unterauftragsverarbeitern.

Aktuell eingesetzte Dienstleister:

Dienstleister Zweck
GoHighLevel Inc. Plattform-Infrastruktur, CRM, Automationssystem
Twilio SMS-, Telefonie- und Messaging-Dienste
Stripe Zahlungsabwicklung
PayPal Zahlungsabwicklung
Meta Platforms Marketing- und Werbedienste
Google Analyse-, Sicherheits-, Tracking- und Infrastruktur-Dienste

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann aus berechtigten datenschutzrechtlichen Gründen widersprechen.

9. Drittlandübermittlung

Die Verarbeitung erfolgt primär innerhalb der EU. Eine Übermittlung in Drittländer (insbesondere USA) erfolgt auf Grundlage:

  • des EU-U.S. Data Privacy Framework, und/oder
  • der EU-Standardvertragsklauseln gemäß Art. 46 DSGVO

10. Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei Anfragen zu:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

11. Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses Vertrages im angemessenen Umfang zu überprüfen (z. B. Audit), sofern dies die Geschäftsabläufe des Auftragsverarbeiters nicht unzumutbar beeinträchtigt.

12. Haftung

Die Haftung richtet sich nach Art. 82 DSGVO.

13. Vertragsende und Datenlöschung

Nach Beendigung dieses Vertrages löscht oder gibt der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle personenbezogenen Daten zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

14. Vertragsform

Dieser Vertrag wird elektronisch abgeschlossen. Die Zustimmung erfolgt durch aktives Setzen einer Checkbox im Bestell- oder Onboarding-Prozess der SFP-Flow Plattform.

15. Recht und Gerichtsstand

Es gilt das Recht der Republik Österreich. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz der SFP-Media GmbH.

Note: This template is a strong operational DPA/AVV for onboarding. For maximum legal certainty, have your legal counsel review it in context of your full terms, privacy policy, sub-processor lists, and the actual data flows in your implementation.

Email Address

[email protected]

Telephone Number

tel: +43 676 6354665

Policy Last Updated

27. November 2025