Version 1.2 · Stand: 23.06.2026
Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen des zwischen ihnen geschlossenen SaaS-Nutzungsvertrags (Mietvertrag i.S.d. §§ 535 ff. BGB) und ergänzt die Allgemeinen Geschäftsbedingungen (AGB) von flowgeist in der jeweils gültigen Fassung (zum Stand 28.05.2026: Version 1.2). Bei Widersprüchen zwischen AVV und AGB geht der AVV gemäß AGB § 1 Abs. 6 vor; zwingende gesetzliche Vorgaben (insbesondere Art. 28 DSGVO) bleiben unberührt.
Dieser AVV wird geschlossen zwischen:
Auftragsverarbeiter:
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und ausschließlich im Rahmen der vertragsgemäßen Nutzung der flowgeist SaaS-Plattform. Die Verarbeitung umfasst namentlich folgende Module und Funktionen:
AI Act Compliance Modul:
Core Platform Funktionen:
Eine Verarbeitung außerhalb dieses Gegenstands erfolgt nicht; § 3 Abs. 8 (Weisungsbindung) bleibt unberührt.
Dieser AVV gilt für die Dauer der Nutzung der flowgeist-Plattform und endet mit Kündigung des Abonnementvertrags. Die Pflichten zur Löschung und Rückgabe personenbezogener Daten bestehen fort bis zur vollständigen Erfüllung.
| Datenkategorie | Beschreibung | Beispiel |
|---|---|---|
| Stammdaten | Name, Vorname, E-Mail-Adresse, Firma, Anschrift | Max Mustermann, max@company.de, Muster GmbH |
| Zugangsdaten | Benutzername, Passwort-Hash, MFA-Backup-Codes | Argon2id-Hash, TOTP-Secret |
| KI-System-Daten | KI-System-Name, Vendor, Risiko-Klassifizierung, Nutzungszweck | ChatGPT, OpenAI, Limited Risk, Kundenservice |
| Schulungs-Daten | Schulungs-Status, Zertifikate, Abschlusszeitpunkt | Art. 4 abgeschlossen, 2026-05-28 |
| Audit-Daten | Login-Zeiten, Aktionen, IP-Adressen, User-Agent | 2026-05-28T10:00:00Z, KI-System erstellt, 192.168.1.1 |
| Rechnungsdaten | Rechnungsadresse, Zahlungsdaten, Abonnement-Details | Stripe Customer ID, Rechnungsbetrag |
| Support-Daten | Ticket-Inhalte, Anhänge, Kommunikation | Anfrage zu KI-System, Screenshot |
Die Verarbeitung umfasst insbesondere folgende Vorgänge i.S.d. Art. 4 Nr. 2 DSGVO:
Der Auftragsverarbeiter verpflichtet sich, alle personenbezogenen Daten vertraulich zu behandeln und nur autorisierten Mitarbeitern Zugang zu gewähren. Alle Mitarbeiter werden vor Aufnahme ihrer Tätigkeit in Textform zur Verschwiegenheit verpflichtet; die Verpflichtungen wirken auch nach Beendigung des Beschäftigungsverhältnisses fort. Die Nachweise werden auf Anfrage des Verantwortlichen vorgelegt.
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein den Risiken angemessenes Schutzniveau zu gewährleisten:
Zutrittskontrolle:
Zugriffskontrolle:
Übertragungskontrolle:
Eingabekontrolle:
Auftragskontrolle:
Verfügbarkeitskontrolle:
Trennungskontrolle:
Verschlüsselung:
Pseudonymisierung:
Regelmäßige Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO):
Der Auftragsverarbeiter darf Unter-Auftragsverarbeiter nur mit allgemeiner Genehmigung des Verantwortlichen einsetzen. Bei Änderungen wird der Verantwortliche mit einer Frist von 30 Tagen vorab informiert und kann der Änderung aus berechtigten datenschutzrechtlichen Gründen widersprechen.
Liste der eingesetzten Unter-Auftragsverarbeiter (Stand: 23.06.2026):
| Anbieter | Dienstleistung | Standort | Rechtsgrundlage Drittstaaten-Übermittlung |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, PostgreSQL-Datenbank, Backup-Storage | Deutschland (Falkenstein) | Keine Drittstaaten-Übermittlung |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung, Subscription-Management, Webhooks | Sitz: Irland (EU); konzerninterne Übermittlung an Stripe, Inc., USA | EU-US Data Privacy Framework + Standardvertragsklauseln (SCC) |
| Postmark (ActiveCampaign LLC) | Transaktionale E-Mails (Login-Links, Password-Reset, Benachrichtigungen) | USA | EU-US Data Privacy Framework + Standardvertragsklauseln (SCC) |
| Mistral AI SAS | KI-Textgenerierung (KI-Befüllung von Compliance-Feldern) | Frankreich (Paris) | Keine Drittstaaten-Übermittlung (EU/EWR); Standard-DPA gemäß Art. 28 DSGVO |
| Lexware GmbH | Rechnungsstellung, Kontaktverwaltung, Angebotserstellung | Deutschland (Kiel) | Keine Drittstaaten-Übermittlung (EU/EWR) |
EU-US Data Privacy Framework (DPF):
Genehmigung: Der Verantwortliche stimmt der Nutzung der oben genannten Unter-Auftragsverarbeiter mit Vertragsschluss zu.
Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen Betroffener nach Art. 15–22 DSGVO, insbesondere:
Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen im erforderlichen Umfang zur Verfügung, soweit dies technisch möglich ist.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutzfolgenabschätzung (DPIA) gemäß Art. 35 DSGVO durch Bereitstellung relevanter Informationen über die Verarbeitungstätigkeiten und TOMs.
Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, um dem Verantwortlichen die Einhaltung seiner 72-Stunden-Meldefrist nach Art. 33 Abs. 1 DSGVO zu ermöglichen. Die Meldung enthält mindestens:
Nach Beendigung dieses AVV gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten einschließlich aller Kopien zurück oder löscht sie, es sei denn, gesetzliche Aufbewahrungspflichten stehen entgegen.
Die Wahl ist vom Verantwortlichen innerhalb von 30 Tagen nach Vertragsende in Textform mitzuteilen (Anforderungsfrist; vgl. AGB § 5 Abs. 4). Nach Ablauf weiterer 30 Tage (Karenzfrist) ist der Auftragsverarbeiter berechtigt und – soweit keine Aufbewahrungspflichten entgegenstehen – verpflichtet, die Daten DSGVO-konform und revisionssicher zu löschen. Erfolgt innerhalb der Anforderungsfrist keine Mitteilung, gilt die Löschung als gewählt.
Die Löschung wird dem Verantwortlichen auf Anfrage in Textform bestätigt.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
Aufbewahrungsfristen:
| Datenkategorie | Frist | Begründung |
|---|---|---|
| Aktive Vertragsdaten (Tenant, User, KI-Systeme, Compliance-Dokumente) | 30 Tage Anforderungsfrist + 30 Tage Karenz nach Kündigung, danach Löschung | Konsistenz mit AGB § 5 Abs. 4 |
| Audit-Logs (PII pseudonymisiert) | 3 Jahre nach Kündigung | ISO 27001 A.12.4 + Verjährung Schadensersatz (§ 195 BGB) |
| Stripe-Webhook-Logs – PII (E-Mail, Name) | 30 Tage, danach Pseudonymisierung (SHA-256-Hash) | DSGVO Art. 17 überwiegt |
| Stripe-Webhook-Logs – Event-IDs, Beträge, Zeitstempel (ohne PII) | 10 Jahre | § 147 AO (Steuer-Aufbewahrungspflicht) |
| Rechnungen | 10 Jahre | § 147 AO |
Der Verantwortliche gewährleistet, dass die Verarbeitung personenbezogener Daten rechtmäßig ist (Art. 6 und – soweit einschlägig – Art. 9 DSGVO) und dass alle erforderlichen Einwilligungen vorliegen. Die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO im Rahmen der Plattform ist nicht vorgesehen; eine Einbringung solcher Daten durch den Verantwortlichen erfolgt auf eigene Verantwortung.
Der Verantwortliche informiert die Betroffenen gemäß Art. 13 und 14 DSGVO über die Verarbeitung, einschließlich der Inanspruchnahme von Auftragsverarbeitern.
Der Verantwortliche führt bei Bedarf eine Datenschutzfolgenabschätzung durch (Art. 35 DSGVO) und zieht den Auftragsverarbeiter bei Bedarf hinzu.
Der Verantwortliche arbeitet mit der zuständigen Aufsichtsbehörde zusammen (Art. 31 DSGVO).
Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu prüfen, einschließlich Inspektionen. Im Einzelnen umfasst dies:
Die Kosten der Inspektion trägt der Verantwortliche, es sei denn, die Prüfung ergibt nicht nur unerhebliche Verstöße des Auftragsverarbeiters gegen diesen AVV oder gegen datenschutzrechtliche Vorschriften; in diesem Fall trägt sie der Auftragsverarbeiter. Beauftragt der Verantwortliche externe Prüfer, dürfen diese keine Wettbewerber des Auftragsverarbeiters sein und müssen zur Verschwiegenheit verpflichtet werden.
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen vorab über wesentliche Änderungen der TOMs oder der Unter-Auftragsverarbeiter mit einer Frist von 30 Tagen in Textform; das Widerspruchsrecht nach § 3 Abs. 3 bleibt unberührt.
Die Übermittlung personenbezogener Daten in Drittstaaten (außerhalb der EU/EWR) erfolgt nur unter Einhaltung der Art. 44 ff. DSGVO.
Aktuelle Drittstaaten-Übermittlungen:
Die primäre Verarbeitung (Hosting, Datenbank, Backup) erfolgt in Deutschland (Hetzner Falkenstein) – keine Drittstaaten-Übermittlung.
Transfer-Impact-Assessment (TIA): Für jede Drittstaaten-Übermittlung führt der Auftragsverarbeiter eine Transfer-Impact-Assessment gemäß EDPB-Empfehlung 01/2020 (in der jeweils aktuellen Fassung) durch und dokumentiert diese; sie wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt.
Bei Aufhebung des EU-US Data Privacy Framework (vgl. EuGH C-311/18 – Schrems II) greifen die Standardvertragsklauseln als sekundäre Rechtsgrundlage. Der Verantwortliche wird unverzüglich in Textform informiert; ein Widerspruchsrecht nach § 3 Abs. 3 bleibt unberührt.
Der Auftragsverarbeiter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für die Verletzung einer von ihm übernommenen Garantie sowie für Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Auftragsverarbeiters, seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen.
Bei leichter Fahrlässigkeit haftet der Auftragsverarbeiter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), und zwar begrenzt auf den bei Vertragsschluss typischerweise vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung dieses AVV überhaupt erst ermöglicht und auf deren Einhaltung der Verantwortliche regelmäßig vertrauen darf, insbesondere die Pflichten aus § 3 Abs. 2 (TOMs), Abs. 6 (Meldepflicht) und Abs. 7 (Löschung/Rückgabe).
Die Haftung nach Abs. 2 sowie die Haftung für Schäden aus grober Fahrlässigkeit einfacher Erfüllungsgehilfen ist je Schadensfall auf die im jeweils vorangegangenen Vertragsjahr tatsächlich vom Verantwortlichen gezahlte Subscription-Vergütung, höchstens jedoch auf 12.000 EUR begrenzt. Bei einer Vertragsdauer von weniger als zwölf Monaten gilt die seit Vertragsbeginn gezahlte Vergütung, hochgerechnet auf zwölf Monate. Diese Haftungshöchstgrenze gilt nicht für die in Abs. 1 genannten Fälle.
Die Haftung für Datenverlust ist auf den Aufwand begrenzt, der für die Wiederherstellung der Daten bei einer vom Verantwortlichen zumutbar durchgeführten regelmäßigen Datensicherung mittels der Export-Funktion (vgl. AGB § 5 Abs. 4) erforderlich gewesen wäre, höchstens jedoch auf den in Abs. 3 genannten Höchstbetrag. Die Haftungsbegrenzung gilt nicht für die in Abs. 1 genannten Fälle.
Die Haftung für indirekte Schäden, insbesondere Folgeschäden, entgangenen Gewinn und sonstige Vermögensschäden, ist außerhalb der Fälle des Abs. 1 sowie außerhalb der Verletzung von Kardinalpflichten gemäß Abs. 2 ausgeschlossen.
Die vorstehenden Haftungsbeschränkungen gelten ausschließlich im Innenverhältnis zwischen den Parteien. Die gesamtschuldnerische Außenhaftung gegenüber Betroffenen nach Art. 82 DSGVO bleibt unberührt. Im Innenverhältnis tragen die Parteien Schadensersatzleistungen nach Maßgabe ihres jeweiligen Verschuldensanteils (Art. 82 Abs. 5 DSGVO).
Der Verantwortliche haftet für die Rechtmäßigkeit der Verarbeitung und die Einhaltung der DSGVO im Hinblick auf die von ihm bereitgestellten Daten und erteilten Weisungen. Der Auftragsverarbeiter haftet nicht für die Rechtmäßigkeit der vom Verantwortlichen eingegebenen Daten.
Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen des Auftragsverarbeiters.
Änderungen dieses AVV bedürfen grundsätzlich der ausdrücklichen Zustimmung beider Parteien in Textform; eine Zustimmungsfiktion durch bloßes Schweigen ist ausgeschlossen.
Unwesentliche Änderungen, insbesondere technische und redaktionelle Anpassungen, Anpassungen aufgrund geänderter gesetzlicher oder regulatorischer Vorgaben sowie Sicherheitsupdates der TOMs, darf der Auftragsverarbeiter mit einer Frist von 6 Wochen vor Inkrafttreten in Textform anzeigen (analog AGB § 14 Abs. 1), sofern sie die Sicherheit der Verarbeitung nicht beeinträchtigen. Ist der Verantwortliche mit den unwesentlichen Änderungen nicht einverstanden, kann er den AVV (und das zugrundeliegende Hauptvertragsverhältnis nach AGB § 14 Abs. 2) mit einer Frist von einem Monat zum Zeitpunkt des Inkrafttretens der Änderungen kündigen.
Änderungen der Unter-Auftragsverarbeiter richten sich ausschließlich nach § 3 Abs. 3 dieses AVV; das dort vorgesehene Widerspruchsrecht des Verantwortlichen bleibt unberührt.
Sollte eine Bestimmung dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung treten die gesetzlichen Vorschriften.
Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem AVV ist Mettmann, soweit gesetzlich zulässig.
Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG).
Für Erklärungen nach diesem AVV genügt die Textform (§ 126b BGB, z.B. E-Mail), soweit nicht ausdrücklich Schriftform vereinbart ist. Die Vertragssprache ist deutsch.
flowgeist (Auftragsverarbeiter):
Inhaber: Ralf Carsjens
Eidamshauser Straße 13
40822 Mettmann
Deutschland
E-Mail: info@flowgeist.de
Datenschutz-Ansprechpartner: datenschutz@flowgeist.de
Name/Firma: ___________________________________________________
Adresse: _____________________________________________________
E-Mail: ______________________________________________________
Datenschutzbeauftragter (falls vorhanden): ______________________
Die detaillierte Dokumentation der TOMs ist in docs/legal/toms-subunternehmer.md enthalten und wird auf Anfrage als PDF zur Verfügung gestellt.
Stand der TOM-Dokumentation: 23.06.2026
| Version | Datum | Wesentliche Änderungen |
|---|---|---|
| 1.0 | 28.05.2026 | Erstfassung |
| 1.1 | 28.05.2026 | Fachanwaltliche Prüfung umgesetzt: Haftung Art. 82 DSGVO + AGB-Kompatibilität (§ 7), Meldefrist 24h (§ 3 Abs. 6), Wahlrecht Verantwortlicher bei Löschung/Rückgabe + Karenzfrist 60 Tage analog AGB § 5 Abs. 4 (§ 3 Abs. 7), Art. 32 Abs. 1 lit. d DSGVO Wirksamkeitsprüfung (§ 3 Abs. 2), Audit-Recht mit Vor-Ort-Inspektion (§ 5), TIA nach Schrems II (§ 6), Unterstützung bei Betroffenenrechten ohne "Zumutbarkeits"-Vorbehalt (§ 3 Abs. 4), Weisungsbindung Art. 28 Abs. 3 lit. a DSGVO (§ 3 Abs. 8), AVV-Änderungen 6 Wochen + ausdrückliche Zustimmung (§ 8 Abs. 1), Präambel mit AGB-Verweis und SaaS-Mietvertrag-Klarstellung, EU Data Act-Verweise, Grammatik- und Rechtschreibkorrekturen |
| 1.2 | 23.06.2026 | Lexware GmbH als Unter-Auftragsverarbeiter aufgenommen, Backup-Beschreibung korrigiert (Hetzner Cloud Backup, 7 Tage rollierend statt Storage Box 30 Tage), Risiko-Hinweis ergänzt |
Unterschriften
Ort, Datum Ort, Datum
Unterschrift Verantwortlicher Unterschrift Auftragsverarbeiter
© 2026 flowgeist - Alle Rechte vorbehalten