Retainly.
Art. 28 DSGVO

Auftragsverarbeitungsvertrag (AVV)

Stand: 1. Mai 2026 · Gilt für alle Retainly-Pläne

Wie dieser AVV in Kraft tritt

Durch das Anlegen eines Retainly-Accounts und die Nutzung des Dienstes akzeptieren Sie diesen Auftragsverarbeitungsvertrag. Eine separate Unterzeichnung ist nicht erforderlich. Wenn Sie eine unterzeichnete Kopie für Ihre Compliance-Unterlagen benötigen, schreiben Sie uns an legal@getretainly.app.

§ 1 — Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag (nachfolgend "AVV") regelt die Verarbeitung personenbezogener Daten durch Retainly (nachfolgend "Auftragsverarbeiter") im Auftrag des Kunden (nachfolgend "Verantwortlicher") gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

Der AVV gilt für die Laufzeit des Hauptvertrags (Nutzungsbedingungen von Retainly). Er endet automatisch mit Beendigung des Hauptvertrags, soweit sich aus diesem AVV nichts anderes ergibt.

§ 2 — Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Erbringung des Retainly-Dienstes, insbesondere:

  • Identifikation von Kunden des Verantwortlichen, die eine Kündigung initiieren
  • Anzeige von Angeboten und Rückhalteflüssen (Cancel Flow SDK)
  • Verarbeitung von Zahlungsinformationen zur Wiederherstellung fehlgeschlagener Zahlungen via Stripe
  • Versand von Reaktivierungs-E-Mails (Win-back Campaigns)
  • Analyse und Reporting von Rückhalteraten für den Verantwortlichen

Kategorien betroffener Personen

  • Endkunden (Abonnenten) des Verantwortlichen

Kategorien personenbezogener Daten

  • E-Mail-Adressen
  • Stripe-Kunden-IDs und Abonnement-IDs
  • Abonnementbetrag und Währung
  • Zeitstempel von Kündigungsversuchen
  • Vom Endkunden angegebene Kündigungsgründe (frei oder strukturiert)
  • IP-Adressen (anonymisiert/gehashed für Sicherheitszwecke)

§ 3 — Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. Weisungsgebundenheit: Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, eine rechtliche Verpflichtung schreibt die Verarbeitung vor.
  2. Vertraulichkeit: Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Schweigepflicht unterliegen.
  3. Technische und organisatorische Maßnahmen: Gemäß Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen zu treffen (siehe § 7).
  4. Unterauftragsverarbeiter: Neue Unterauftragsverarbeiter nur nach vorheriger Benachrichtigung des Verantwortlichen einzusetzen (siehe § 5).
  5. Unterstützung: Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) zu unterstützen.
  6. Löschung: Alle personenbezogenen Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben, soweit nicht eine gesetzliche Aufbewahrungspflicht besteht. Auf Anfrage erhalten Kunden eine Bestätigung der Löschung.
  7. Audit: Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten gemäß Art. 28 DSGVO zur Verfügung zu stellen.

§ 4 — Pflichten des Verantwortlichen

Der Verantwortliche ist verpflichtet:

  • Retainly nur mit Verarbeitungen zu beauftragen, die mit dem anwendbaren Datenschutzrecht vereinbar sind
  • Endkunden über die Verarbeitung ihrer Daten durch Retainly in seiner Datenschutzerklärung zu informieren
  • Retainly unverzüglich zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Überprüfung der Verarbeitungsergebnisse festgestellt werden

§ 5 — Unterauftragsverarbeiter

Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen per E-Mail oder auf der Datenschutzseite mindestens 14 Tage vor deren Wirksamwerden.

Aktuelle Unterauftragsverarbeiter:

AnbieterSitzZweckDatenübermittlung
Supabase Inc.USA (SCC)Datenbankhosting, AuthentifizierungEU-Serverregion (Frankfurt)
Vercel Inc.USA (SCC)Applikationshosting, CDNEU-Serverregion
Stripe Inc.USA (SCC)Zahlungsabwicklung, Connect APIEU-Serverregion
Resend Inc.USA (SCC)E-Mail-Versand (transaktional)EU-Serverregion

SCC = Standardvertragsklauseln der EU-Kommission (Entscheidung 2021/914/EU)

§ 6 — Datenpannen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, nachdem er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt. Die Meldung erfolgt an die im Account hinterlegte E-Mail-Adresse sowie an security@getretainly.app.

§ 7 — Technische und organisatorische Maßnahmen (TOMs)

  • Verschlüsselung: TLS 1.2+ für alle Datenübertragungen; AES-256 für Daten im Ruhezustand (Supabase)
  • Zugriffskontrolle: Row-Level Security (RLS) auf alle Datenbanktabellen; SHA-256-gehashte API-Token
  • Pseudonymisierung: IP-Adressen werden vor Speicherung gehasht
  • Verfügbarkeit: Automatische Backups via Supabase (Point-in-Time Recovery); Status unter getretainly.app/status
  • Webhook-Integrität: HMAC-SHA256-Signaturprüfung auf alle eingehenden Stripe-Webhooks
  • Zugangsbeschränkung: Admin-Zugang nur via gesichertem Secret-Token; keine direkten Datenbankzugänge für Mitarbeiter ohne VPN
  • Löschkonzept: Personenbezogene Daten werden auf Anfrage innerhalb von 30 Tagen gelöscht; automatische Löschung von Inaktivdaten nach 2 Jahren

§ 8 — Kontakt

Bei Fragen zu diesem AVV oder zur Verarbeitung personenbezogener Daten wenden Sie sich an:

Retainly GmbH
Datenschutzbeauftragter (soweit bestellt)
E-Mail: legal@getretainly.app

Hinweis: Dieser AVV wurde sorgfältig auf Basis der DSGVO-Anforderungen erstellt. Er ersetzt keine individuelle Rechtsberatung. Wir empfehlen, ihn von Ihrem Datenschutzbeauftragten oder Rechtsanwalt prüfen zu lassen, bevor Sie ihn in Ihren eigenen Compliance-Dokumenten referenzieren.