Data Processing Addendum (DPA) — Boniforce für HubSpot

Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO zwischen Boniforce GmbH („Auftragsverarbeiter“) und dem HubSpot-Portal-Inhaber, der die App installiert („Verantwortlicher“). Ergänzt unseren allgemeinen AVV-Hauptvertrag.

Version 1.0 — Stand: 13.05.2026

Inhalt

  1. Gegenstand
  2. Umfang personenbezogener Daten
  3. Sub-Auftragsverarbeiter
  4. Datenresidenz
  5. Verschlüsselung
  6. Zugriffskontrollen
  7. Audit-Log
  8. Right to Erasure
  9. Vorfallsmeldung
  10. Laufzeit
  11. English

1. Gegenstand

Der Auftragsverarbeiter handelt im Auftrag des Verantwortlichen für:

  1. Auflösung von HubSpot-Company-Datensätzen zu deutschen Rechtspersönlichkeiten über die Boniforce-API.
  2. Erzeugung von Boniforce-Bonitätsberichten (Boniscore) auf nutzerinitiierte Anfrage.
  3. Persistierung des resultierenden Scores, Risikoklasse, Registerkennungen, Score-Verlauf und Audit-Log pro HubSpot-Portal.

2. Umfang personenbezogener Daten

Die App verarbeitet ausschließlich B2B-Rechtspersönlichkeitsdaten (Firmennamen, Registerkennungen, Finanzindikatoren) und HubSpot OAuth-Tokens / Nutzer-IDs, die den auslösenden Nutzer identifizieren.

Die App verarbeitet keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), keine Kinder-Daten und keine Verbraucherkredit-Daten.

3. Sub-Auftragsverarbeiter

Sub-AuftragsverarbeiterRolleRegion
Boniforce GmbH (DE)Quelle der KreditdatenDeutschland
Amazon Web Services EMEA SARLHosting (RDS Postgres, ElastiCache Redis, KMS, Fargate, CloudWatch)eu-central-1 (Frankfurt)
HubSpot, Inc.CRM-Plattform, die die Install-Oberfläche bereitstelltKundenseitig gewählt

4. Datenresidenz (Verfassungsprinzip II)

Alle App-eigenen Daten — HubSpot-OAuth-Access/Refresh-Tokens, Boniforce-API-Credentials, Anreicherungsdaten, Score-Verlauf, Audit-Logs, abgeleitete Caches und Backups — werden ausschließlich in EU-Regionen gespeichert und verarbeitet (Standard: AWS eu-central-1 / Frankfurt). Eine regionsübergreifende Replikation, Verarbeitung oder Sicherung außerhalb der EU ist nicht konfiguriert.

5. Verschlüsselung

  • Boniforce-API-Credentials, HubSpot OAuth-Access/Refresh-Tokens und jedes äquivalente Geheimnis werden mit Envelope-Verschlüsselung gespeichert: pro Secret ein AES-256-GCM-Datenschlüssel, eingewickelt mit einem AWS-KMS-Customer-Master-Key in eu-central-1. Plaintext wird nie persistiert und nach Verwendung im Speicher genullt.
  • Postgres-Storage und CloudWatch-Logs sind at rest mit demselben KMS-CMK verschlüsselt.
  • Aller Transport ist TLS 1.2+ (TLS 1.3 bevorzugt).

6. Zugriffskontrollen

  • HubSpot-OAuth-Scopes sind auf die in app-hsmeta.json deklarierten und im Marketplace-Listing genannten beschränkt.
  • Innerhalb eines Portals sind App-Aktionen an die HubSpot-CRM-Rechte des Nutzers gekoppelt:
    • Admin: Boniforce verbinden/trennen, Freshness-Fenster konfigurieren, Bulk-Anreicherung ausführen, Audit-Log einsehen, GDPR-Erasure.
    • CRM-Nutzer mit Company-Write: On-Demand-Boniscore anfordern, Refresh, Breeze-AI-Boniforce-Aktionen aufrufen.
    • CRM-Nutzer ohne Company-Write: nur-lesender Blick auf gespeicherte Boniforce-Daten.

7. Audit-Log

Jede Boniforce-relevante Aktion (Verbinden/Trennen, Auflösen, Bericht generieren, Refresh, Bulk-Start, Bulk-Item verarbeitet, Anzeigen, GDPR-Erasure) wird in einem append-only Audit-Log protokolliert, pro Portal scoped, mit:

  • HubSpot-Nutzer-ID, die die Aktion ausgelöst hat
  • Aktionsname und Ergebnis
  • Surface (Datensatz-Karte / Workflow / AI-Aktion / Settings / Bulk-Runner)
  • Zeitstempel
  • Nicht-PII-Metadaten

Das Audit-Log ist das System-of-Record für Abrechnungsabstimmung und Compliance-Nachweis.

8. Right to Erasure (Art. 17 DSGVO)

Der Verantwortliche kann eine Liste von HubSpot-Company-IDs über die App-Settings-Seite (Admin only) einreichen. Der Housekeeping-Worker des Auftragsverarbeiters löscht alle Boniforce-abgeleiteten Daten (legal_entity_resolutions, credit_reports, score_history, branch_benchmarks) für diese Firmen. Audit-Log-Einträge bleiben als Compliance-Nachweis erhalten; ein Audit-Eintrag action=gdpr_erasure wird pro verarbeiteter Firma angehängt.

App-Deinstallation löscht Boniforce-Credentials sofort; Portal-Daten werden auf Anfrage des Verantwortlichen nach demselben Verfahren gelöscht.

Keine Hintergrund-Bezahlanrufe. Die App führt keine Hintergrund-, geplanten oder automatisierten Boniforce-Berichts-Generierungen durch. Jeder kostenpflichtige Boniforce-Aufruf ist im Audit-Log zu einer expliziten Nutzeraktion mit nicht-NULL-Nutzer-ID rückverfolgbar.

9. Vorfallsmeldung

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen schriftlich innerhalb von 72 Stunden nach Kenntnisnahme eines personenbezogenen Datenpannenvorfalls, der die Daten des Verantwortlichen betrifft, mit verfügbaren Fakten und Abhilfemaßnahmen.

10. Laufzeit und Kündigung

Diese DPA ist für die Dauer der App-Installation wirksam und besteht nach Kündigung soweit zur Aufbewahrung von Compliance-Nachweisen erforderlich fort (Audit-Log).

Boniforce GmbH — Vertrieb & Betrieb
team@boniforce.de
Impressum

English version

This DPA supplements the Terms of Service for the Boniforce HubSpot App published on the HubSpot App Marketplace. It is binding on Boniforce GmbH („Processor“) and the HubSpot account holder installing the App („Controller“). The Processor processes B2B legal-entity data only — no special categories, consumer data, or children’s data. All App-owned data resides exclusively in EU regions (default: AWS eu-central-1 / Frankfurt). Encryption is envelope (AES-256-GCM data keys wrapped by AWS KMS CMK). Sub-processors: Boniforce GmbH (DE), AWS EMEA SARL (eu-central-1), HubSpot, Inc.

Right to Erasure: admin submits HubSpot Company IDs, App purges Boniforce-derived data. Audit log retained as compliance evidence. Incident notification within 72 hours. No SOC 2 / ISO 27001 certifications claimed at launch. Contact team@boniforce.de.