Gemäß Art. 28 DSGVO

Auftragsverarbeitungsvereinbarung (AVV)

Version 1.2 · Stand: 23.06.2026


Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Pflichten der Parteien im Rahmen des zwischen ihnen geschlossenen SaaS-Nutzungsvertrags (Mietvertrag i.S.d. §§ 535 ff. BGB) und ergänzt die Allgemeinen Geschäftsbedingungen (AGB) von flowgeist in der jeweils gültigen Fassung (zum Stand 28.05.2026: Version 1.2). Bei Widersprüchen zwischen AVV und AGB geht der AVV gemäß AGB § 1 Abs. 6 vor; zwingende gesetzliche Vorgaben (insbesondere Art. 28 DSGVO) bleiben unberührt.

Dieser AVV wird geschlossen zwischen:

  • Name/Firma: ___________________________________________________
  • Adresse: _____________________________________________________
  • E-Mail: ______________________________________________________
  • Vertretungsberechtigte Person: _________________________________

Auftragsverarbeiter:

  • flowgeist, Inhaber Ralf Carsjens
  • Eidamshauser Straße 13
  • 40822 Mettmann
  • Deutschland
  • E-Mail: info@flowgeist.de

§ 1 Gegenstand und Dauer der Auftragsverarbeitung

(1) Gegenstand

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und ausschließlich im Rahmen der vertragsgemäßen Nutzung der flowgeist SaaS-Plattform. Die Verarbeitung umfasst namentlich folgende Module und Funktionen:

AI Act Compliance Modul:

  • Fit-Check Wizard (Risikoklassifizierung von KI-Systemen gemäß EU AI Act)
  • KI-System-Verwaltung (team-basierte Verwaltung mit Rollenkonzept)
  • Schulungsmodul (Mitarbeiter-Schulung zu Art. 4 EU AI Act)
  • Compliance-Dokumentation (KI-Nutzungsrichtlinie, Transparenz-Banner, Compliance-Dossier)
  • Audit-Trail (ISO 27001 A.12.4 konforme Protokollierung)

Core Platform Funktionen:

  • User-Management (Authentifizierung, Autorisierung, Rollenverwaltung)
  • Team-Management (Multi-Tenant-Architektur)
  • Support-Ticket-System
  • Billing und Abrechnung (Integration mit Stripe)

Eine Verarbeitung außerhalb dieses Gegenstands erfolgt nicht; § 3 Abs. 8 (Weisungsbindung) bleibt unberührt.

(2) Dauer

Dieser AVV gilt für die Dauer der Nutzung der flowgeist-Plattform und endet mit Kündigung des Abonnementvertrags. Die Pflichten zur Löschung und Rückgabe personenbezogener Daten bestehen fort bis zur vollständigen Erfüllung.


§ 2 Art und Umfang der Verarbeitung

(1) Kategorien personenbezogener Daten

Datenkategorie Beschreibung Beispiel
Stammdaten Name, Vorname, E-Mail-Adresse, Firma, Anschrift Max Mustermann, max@company.de, Muster GmbH
Zugangsdaten Benutzername, Passwort-Hash, MFA-Backup-Codes Argon2id-Hash, TOTP-Secret
KI-System-Daten KI-System-Name, Vendor, Risiko-Klassifizierung, Nutzungszweck ChatGPT, OpenAI, Limited Risk, Kundenservice
Schulungs-Daten Schulungs-Status, Zertifikate, Abschlusszeitpunkt Art. 4 abgeschlossen, 2026-05-28
Audit-Daten Login-Zeiten, Aktionen, IP-Adressen, User-Agent 2026-05-28T10:00:00Z, KI-System erstellt, 192.168.1.1
Rechnungsdaten Rechnungsadresse, Zahlungsdaten, Abonnement-Details Stripe Customer ID, Rechnungsbetrag
Support-Daten Ticket-Inhalte, Anhänge, Kommunikation Anfrage zu KI-System, Screenshot

(2) Kategorien betroffener Personen

  • Mitarbeiter des Verantwortlichen
  • Administratoren und Risk Manager
  • Compliance-Beauftragte
  • Kontaktpersonen des Verantwortlichen

(3) Verarbeitungszwecke

  • Bereitstellung der flowgeist SaaS-Plattform
  • EU AI Act Compliance-Dokumentation
  • Art. 4 EU AI Act Schulungs-Nachweisführung
  • Audit-Trail für ISO 27001 Konformität
  • Support und Kundenkommunikation
  • Abrechnung und Zahlungsabwicklung
  • Betriebssicherheit und Fehlerbehebung

(4) Art der Verarbeitung

Die Verarbeitung umfasst insbesondere folgende Vorgänge i.S.d. Art. 4 Nr. 2 DSGVO:

  • Erheben, Erfassen, Organisation, Ordnen
  • Speicherung und Anpassung
  • Auslesen, Abfragen und Verwendung
  • Übermittlung (TLS 1.3 verschlüsselt)
  • Verknüpfung und Einschränkung
  • Löschung und Vernichtung
  • Pseudonymisierung (bei Audit-Logs nach Aufbewahrungsfrist)
  • Export (CSV/JSON gemäß Art. 20 DSGVO sowie Verordnung (EU) 2023/2854 – EU Data Act)

§ 3 Pflichten des Auftragsverarbeiters

(1) Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO)

Der Auftragsverarbeiter verpflichtet sich, alle personenbezogenen Daten vertraulich zu behandeln und nur autorisierten Mitarbeitern Zugang zu gewähren. Alle Mitarbeiter werden vor Aufnahme ihrer Tätigkeit in Textform zur Verschwiegenheit verpflichtet; die Verpflichtungen wirken auch nach Beendigung des Beschäftigungsverhältnisses fort. Die Nachweise werden auf Anfrage des Verantwortlichen vorgelegt.

(2) Technische und organisatorische Maßnahmen (Art. 28 Abs. 3 lit. c i.V.m. Art. 32 DSGVO)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um ein den Risiken angemessenes Schutzniveau zu gewährleisten:

Zutrittskontrolle:

  • Server-Standort: Hetzner Rechenzentrum Falkenstein (DE) mit Zutrittskontrolle
  • 24/7 Sicherheitspersonal
  • Besucher-Protokollierung

Zugriffskontrolle:

  • Multi-Faktor-Authentifizierung (MFA/TOTP) für Admins
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Prinzip der geringsten Privilegien (Least Privilege)
  • JWT-Token mit kurzer Gültigkeit (15 Minuten) und Rotation
  • Passwort-Hashing mit Argon2id (m=64MiB, t=3, p=4)

Übertragungskontrolle:

  • TLS 1.3 für alle externen Verbindungen
  • HSTS (HTTP Strict Transport Security)
  • Let's Encrypt Zertifikate mit automatischer Rotation

Eingabekontrolle:

  • Audit-Trail für alle Aktionen (ISO 27001 A.12.4)
  • Unveränderbare Logs (Write-Once-Read-Many)
  • Log-Inhalt: Timestamp, User-ID, Tenant-ID, Aktion, Ressource, IP-Adresse, User-Agent

Auftragskontrolle:

  • Verarbeitung ausschließlich im Rahmen dieses AVV
  • Keine Verarbeitung für andere Zwecke
  • Keine Weitergabe an Dritte ohne Genehmigung

Verfügbarkeitskontrolle:

  • Tägliche automatische Backups (03:00 UTC) via Hetzner Cloud Backup (Server-Snapshot)
  • Backup-Verschlüsselung: AES-256 at rest, TLS 1.3 in transit
  • Aufbewahrung: 7 Tage rollierend (Hetzner Cloud Backup Standard)
  • RTO (Recovery Time Objective): 8 Stunden
  • RPO (Recovery Point Objective): 24 Stunden
  • Risiko-Hinweis: Datenkorruption, die später als 7 Tage nach Entstehung erkannt wird, ist über Server-Snapshots nicht wiederherstellbar. Erweiterte Backup-Lösung auf Anfrage verfügbar.

Trennungskontrolle:

  • Multi-Tenant-Architektur mit Tenant-Isolation auf Datenbank-Ebene
  • Jede Query ist tenant-scoped via JWT-Claims
  • Kein Cross-Tenant-Zugriff möglich

Verschlüsselung:

  • AES-256 für Datenbank-Storage at rest
  • TLS 1.3 für alle Übertragungen in transit

Pseudonymisierung:

  • E-Mail-Adressen in Audit-Logs: SHA-256 Hash mit Salt
  • Namen: Entfernung oder Hash nach Aufbewahrungsfrist

Regelmäßige Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO):

  • Jährlicher interner TOM-Review mit Dokumentation der Ergebnisse
  • Penetrationstests durch qualifizierte externe Dienstleister mindestens alle 24 Monate
  • Vulnerability-Scans quartalsweise
  • ISO 27001-Zertifizierung angestrebt (unverbindliche Roadmap, keine Garantie)
  • Dokumentation der Ergebnisse im Compliance-Log; Einsichtnahme im Rahmen von § 5

(3) Unter-Auftragsverarbeiter (Art. 28 Abs. 2 DSGVO)

Der Auftragsverarbeiter darf Unter-Auftragsverarbeiter nur mit allgemeiner Genehmigung des Verantwortlichen einsetzen. Bei Änderungen wird der Verantwortliche mit einer Frist von 30 Tagen vorab informiert und kann der Änderung aus berechtigten datenschutzrechtlichen Gründen widersprechen.

Liste der eingesetzten Unter-Auftragsverarbeiter (Stand: 23.06.2026):

Anbieter Dienstleistung Standort Rechtsgrundlage Drittstaaten-Übermittlung
Hetzner Online GmbH Server-Hosting, PostgreSQL-Datenbank, Backup-Storage Deutschland (Falkenstein) Keine Drittstaaten-Übermittlung
Stripe Payments Europe, Ltd. Zahlungsabwicklung, Subscription-Management, Webhooks Sitz: Irland (EU); konzerninterne Übermittlung an Stripe, Inc., USA EU-US Data Privacy Framework + Standardvertragsklauseln (SCC)
Postmark (ActiveCampaign LLC) Transaktionale E-Mails (Login-Links, Password-Reset, Benachrichtigungen) USA EU-US Data Privacy Framework + Standardvertragsklauseln (SCC)
Mistral AI SAS KI-Textgenerierung (KI-Befüllung von Compliance-Feldern) Frankreich (Paris) Keine Drittstaaten-Übermittlung (EU/EWR); Standard-DPA gemäß Art. 28 DSGVO
Lexware GmbH Rechnungsstellung, Kontaktverwaltung, Angebotserstellung Deutschland (Kiel) Keine Drittstaaten-Übermittlung (EU/EWR)

EU-US Data Privacy Framework (DPF):

  • Status: Gültig seit Juli 2023 (Angemessenheitsbeschluss C(2023) 4745)
  • Zertifizierte Sub-Unternehmer: Stripe, Postmark/ActiveCampaign
  • Bei Aufhebung des DPF greifen die SCC als sekundäre Rechtsgrundlage

Genehmigung: Der Verantwortliche stimmt der Nutzung der oben genannten Unter-Auftragsverarbeiter mit Vertragsschluss zu.

(4) Unterstützung bei Betroffenenrechten (Art. 28 Abs. 3 lit. e DSGVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen Betroffener nach Art. 15–22 DSGVO, insbesondere:

  • Auskunftserteilung an Betroffene (Art. 15 DSGVO)
  • Berichtigung und Löschung (Art. 16, 17 DSGVO)
  • Widerspruch und Einschränkung (Art. 18, 21 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) sowie Datenzugang nach Verordnung (EU) 2023/2854 (EU Data Act)

Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen im erforderlichen Umfang zur Verfügung, soweit dies technisch möglich ist.

(5) Unterstützung bei Datenschutzfolgenabschätzung (Art. 28 Abs. 3 lit. f DSGVO)

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutzfolgenabschätzung (DPIA) gemäß Art. 35 DSGVO durch Bereitstellung relevanter Informationen über die Verarbeitungstätigkeiten und TOMs.

(6) Meldung von Datenschutzverletzungen (Art. 28 Abs. 3 lit. f i.V.m. Art. 33 DSGVO)

Der Auftragsverarbeiter meldet dem Verantwortlichen jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, um dem Verantwortlichen die Einhaltung seiner 72-Stunden-Meldefrist nach Art. 33 Abs. 1 DSGVO zu ermöglichen. Die Meldung enthält mindestens:

  • Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen sowie betroffenen Datensätze
  • Name und Kontaktdaten des Datenschutz-Ansprechpartners (Art. 33 Abs. 3 lit. b DSGVO)
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene und geplante Maßnahmen zur Behebung und Minderung möglicher nachteiliger Auswirkungen

(7) Löschung und Rückgabe (Art. 28 Abs. 3 lit. g DSGVO)

Nach Beendigung dieses AVV gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten einschließlich aller Kopien zurück oder löscht sie, es sei denn, gesetzliche Aufbewahrungspflichten stehen entgegen.

Die Wahl ist vom Verantwortlichen innerhalb von 30 Tagen nach Vertragsende in Textform mitzuteilen (Anforderungsfrist; vgl. AGB § 5 Abs. 4). Nach Ablauf weiterer 30 Tage (Karenzfrist) ist der Auftragsverarbeiter berechtigt und – soweit keine Aufbewahrungspflichten entgegenstehen – verpflichtet, die Daten DSGVO-konform und revisionssicher zu löschen. Erfolgt innerhalb der Anforderungsfrist keine Mitteilung, gilt die Löschung als gewählt.

Die Löschung wird dem Verantwortlichen auf Anfrage in Textform bestätigt.

(8) Weisungsbindung (Art. 28 Abs. 3 lit. a DSGVO)

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, hierzu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.

Aufbewahrungsfristen:

Datenkategorie Frist Begründung
Aktive Vertragsdaten (Tenant, User, KI-Systeme, Compliance-Dokumente) 30 Tage Anforderungsfrist + 30 Tage Karenz nach Kündigung, danach Löschung Konsistenz mit AGB § 5 Abs. 4
Audit-Logs (PII pseudonymisiert) 3 Jahre nach Kündigung ISO 27001 A.12.4 + Verjährung Schadensersatz (§ 195 BGB)
Stripe-Webhook-Logs – PII (E-Mail, Name) 30 Tage, danach Pseudonymisierung (SHA-256-Hash) DSGVO Art. 17 überwiegt
Stripe-Webhook-Logs – Event-IDs, Beträge, Zeitstempel (ohne PII) 10 Jahre § 147 AO (Steuer-Aufbewahrungspflicht)
Rechnungen 10 Jahre § 147 AO

§ 4 Pflichten des Verantwortlichen

(1) Rechtmäßigkeit der Verarbeitung

Der Verantwortliche gewährleistet, dass die Verarbeitung personenbezogener Daten rechtmäßig ist (Art. 6 und – soweit einschlägig – Art. 9 DSGVO) und dass alle erforderlichen Einwilligungen vorliegen. Die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO im Rahmen der Plattform ist nicht vorgesehen; eine Einbringung solcher Daten durch den Verantwortlichen erfolgt auf eigene Verantwortung.

(2) Informierung der Betroffenen

Der Verantwortliche informiert die Betroffenen gemäß Art. 13 und 14 DSGVO über die Verarbeitung, einschließlich der Inanspruchnahme von Auftragsverarbeitern.

(3) Datenschutzfolgenabschätzung

Der Verantwortliche führt bei Bedarf eine Datenschutzfolgenabschätzung durch (Art. 35 DSGVO) und zieht den Auftragsverarbeiter bei Bedarf hinzu.

(4) Zusammenarbeit mit Aufsichtsbehörde

Der Verantwortliche arbeitet mit der zuständigen Aufsichtsbehörde zusammen (Art. 31 DSGVO).


§ 5 Kontrollrechte des Verantwortlichen (Art. 28 Abs. 3 lit. h DSGVO)

(1) Audit-Recht

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch den Auftragsverarbeiter zu prüfen, einschließlich Inspektionen. Im Einzelnen umfasst dies:

  • Einsicht in Audit-Logs auf Anfrage in Textform
  • Überprüfung der dokumentierten TOMs
  • Vorlage anerkannter Zertifizierungen (z.B. ISO 27001 – angestrebt, jedoch ohne Garantieübernahme; SOC 2; BSI C5), soweit der Prüfungsumfang abgedeckt ist
  • Vor-Ort-Inspektionen nach angemessener Vorankündigung (mindestens 14 Werktage) während der üblichen Geschäftszeiten, höchstens einmal pro Kalenderjahr; bei konkretem Anlass (insbesondere Datenschutzverletzung) auch anlassbezogen

Die Kosten der Inspektion trägt der Verantwortliche, es sei denn, die Prüfung ergibt nicht nur unerhebliche Verstöße des Auftragsverarbeiters gegen diesen AVV oder gegen datenschutzrechtliche Vorschriften; in diesem Fall trägt sie der Auftragsverarbeiter. Beauftragt der Verantwortliche externe Prüfer, dürfen diese keine Wettbewerber des Auftragsverarbeiters sein und müssen zur Verschwiegenheit verpflichtet werden.

(2) Benachrichtigung bei Änderungen

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen vorab über wesentliche Änderungen der TOMs oder der Unter-Auftragsverarbeiter mit einer Frist von 30 Tagen in Textform; das Widerspruchsrecht nach § 3 Abs. 3 bleibt unberührt.


§ 6 Datenübermittlung in Drittstaaten

Die Übermittlung personenbezogener Daten in Drittstaaten (außerhalb der EU/EWR) erfolgt nur unter Einhaltung der Art. 44 ff. DSGVO.

Aktuelle Drittstaaten-Übermittlungen:

  • Stripe, Inc. (USA, konzerninterne Übermittlung): EU-US Data Privacy Framework + Standardvertragsklauseln (SCC)
  • Postmark / ActiveCampaign LLC (USA): EU-US Data Privacy Framework + Standardvertragsklauseln (SCC)

Die primäre Verarbeitung (Hosting, Datenbank, Backup) erfolgt in Deutschland (Hetzner Falkenstein) – keine Drittstaaten-Übermittlung.

Transfer-Impact-Assessment (TIA): Für jede Drittstaaten-Übermittlung führt der Auftragsverarbeiter eine Transfer-Impact-Assessment gemäß EDPB-Empfehlung 01/2020 (in der jeweils aktuellen Fassung) durch und dokumentiert diese; sie wird dem Verantwortlichen auf Anfrage zur Verfügung gestellt.

Bei Aufhebung des EU-US Data Privacy Framework (vgl. EuGH C-311/18 – Schrems II) greifen die Standardvertragsklauseln als sekundäre Rechtsgrundlage. Der Verantwortliche wird unverzüglich in Textform informiert; ein Widerspruchsrecht nach § 3 Abs. 3 bleibt unberührt.


§ 7 Haftung

(1) Unbeschränkte Haftung

Der Auftragsverarbeiter haftet unbeschränkt für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, für die Verletzung einer von ihm übernommenen Garantie sowie für Schäden, die auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Auftragsverarbeiters, seiner gesetzlichen Vertreter oder Erfüllungsgehilfen beruhen.

(2) Haftung bei einfacher Fahrlässigkeit

Bei leichter Fahrlässigkeit haftet der Auftragsverarbeiter nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht), und zwar begrenzt auf den bei Vertragsschluss typischerweise vorhersehbaren Schaden. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung dieses AVV überhaupt erst ermöglicht und auf deren Einhaltung der Verantwortliche regelmäßig vertrauen darf, insbesondere die Pflichten aus § 3 Abs. 2 (TOMs), Abs. 6 (Meldepflicht) und Abs. 7 (Löschung/Rückgabe).

(3) Haftungshöchstbetrag im Innenverhältnis

Die Haftung nach Abs. 2 sowie die Haftung für Schäden aus grober Fahrlässigkeit einfacher Erfüllungsgehilfen ist je Schadensfall auf die im jeweils vorangegangenen Vertragsjahr tatsächlich vom Verantwortlichen gezahlte Subscription-Vergütung, höchstens jedoch auf 12.000 EUR begrenzt. Bei einer Vertragsdauer von weniger als zwölf Monaten gilt die seit Vertragsbeginn gezahlte Vergütung, hochgerechnet auf zwölf Monate. Diese Haftungshöchstgrenze gilt nicht für die in Abs. 1 genannten Fälle.

(4) Datenverlust

Die Haftung für Datenverlust ist auf den Aufwand begrenzt, der für die Wiederherstellung der Daten bei einer vom Verantwortlichen zumutbar durchgeführten regelmäßigen Datensicherung mittels der Export-Funktion (vgl. AGB § 5 Abs. 4) erforderlich gewesen wäre, höchstens jedoch auf den in Abs. 3 genannten Höchstbetrag. Die Haftungsbegrenzung gilt nicht für die in Abs. 1 genannten Fälle.

(5) Indirekte Schäden

Die Haftung für indirekte Schäden, insbesondere Folgeschäden, entgangenen Gewinn und sonstige Vermögensschäden, ist außerhalb der Fälle des Abs. 1 sowie außerhalb der Verletzung von Kardinalpflichten gemäß Abs. 2 ausgeschlossen.

(6) Haftung gegenüber Betroffenen (Art. 82 DSGVO)

Die vorstehenden Haftungsbeschränkungen gelten ausschließlich im Innenverhältnis zwischen den Parteien. Die gesamtschuldnerische Außenhaftung gegenüber Betroffenen nach Art. 82 DSGVO bleibt unberührt. Im Innenverhältnis tragen die Parteien Schadensersatzleistungen nach Maßgabe ihres jeweiligen Verschuldensanteils (Art. 82 Abs. 5 DSGVO).

(7) Haftung des Verantwortlichen

Der Verantwortliche haftet für die Rechtmäßigkeit der Verarbeitung und die Einhaltung der DSGVO im Hinblick auf die von ihm bereitgestellten Daten und erteilten Weisungen. Der Auftragsverarbeiter haftet nicht für die Rechtmäßigkeit der vom Verantwortlichen eingegebenen Daten.

(8) Geltung zugunsten Dritter

Die vorstehenden Haftungsbeschränkungen gelten auch zugunsten der gesetzlichen Vertreter und Erfüllungsgehilfen des Auftragsverarbeiters.


§ 8 Schlussbestimmungen

(1) Änderungen dieses AVV

Änderungen dieses AVV bedürfen grundsätzlich der ausdrücklichen Zustimmung beider Parteien in Textform; eine Zustimmungsfiktion durch bloßes Schweigen ist ausgeschlossen.

Unwesentliche Änderungen, insbesondere technische und redaktionelle Anpassungen, Anpassungen aufgrund geänderter gesetzlicher oder regulatorischer Vorgaben sowie Sicherheitsupdates der TOMs, darf der Auftragsverarbeiter mit einer Frist von 6 Wochen vor Inkrafttreten in Textform anzeigen (analog AGB § 14 Abs. 1), sofern sie die Sicherheit der Verarbeitung nicht beeinträchtigen. Ist der Verantwortliche mit den unwesentlichen Änderungen nicht einverstanden, kann er den AVV (und das zugrundeliegende Hauptvertragsverhältnis nach AGB § 14 Abs. 2) mit einer Frist von einem Monat zum Zeitpunkt des Inkrafttretens der Änderungen kündigen.

Änderungen der Unter-Auftragsverarbeiter richten sich ausschließlich nach § 3 Abs. 3 dieses AVV; das dort vorgesehene Widerspruchsrecht des Verantwortlichen bleibt unberührt.

(2) Salvatorische Klausel

Sollte eine Bestimmung dieses AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung treten die gesetzlichen Vorschriften.

(3) Gerichtsstand

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem AVV ist Mettmann, soweit gesetzlich zulässig.

(4) Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf (CISG).

(5) Form

Für Erklärungen nach diesem AVV genügt die Textform (§ 126b BGB, z.B. E-Mail), soweit nicht ausdrücklich Schriftform vereinbart ist. Die Vertragssprache ist deutsch.


§ 9 Kontakt

flowgeist (Auftragsverarbeiter):

  • Inhaber: Ralf Carsjens

  • Eidamshauser Straße 13

  • 40822 Mettmann

  • Deutschland

  • E-Mail: info@flowgeist.de

  • Datenschutz-Ansprechpartner: datenschutz@flowgeist.de

  • Name/Firma: ___________________________________________________

  • Adresse: _____________________________________________________

  • E-Mail: ______________________________________________________

  • Datenschutzbeauftragter (falls vorhanden): ______________________


Anhang: Technische und organisatorische Maßnahmen (Detail)

Die detaillierte Dokumentation der TOMs ist in docs/legal/toms-subunternehmer.md enthalten und wird auf Anfrage als PDF zur Verfügung gestellt.

Stand der TOM-Dokumentation: 23.06.2026


Änderungshistorie

Version Datum Wesentliche Änderungen
1.0 28.05.2026 Erstfassung
1.1 28.05.2026 Fachanwaltliche Prüfung umgesetzt: Haftung Art. 82 DSGVO + AGB-Kompatibilität (§ 7), Meldefrist 24h (§ 3 Abs. 6), Wahlrecht Verantwortlicher bei Löschung/Rückgabe + Karenzfrist 60 Tage analog AGB § 5 Abs. 4 (§ 3 Abs. 7), Art. 32 Abs. 1 lit. d DSGVO Wirksamkeitsprüfung (§ 3 Abs. 2), Audit-Recht mit Vor-Ort-Inspektion (§ 5), TIA nach Schrems II (§ 6), Unterstützung bei Betroffenenrechten ohne "Zumutbarkeits"-Vorbehalt (§ 3 Abs. 4), Weisungsbindung Art. 28 Abs. 3 lit. a DSGVO (§ 3 Abs. 8), AVV-Änderungen 6 Wochen + ausdrückliche Zustimmung (§ 8 Abs. 1), Präambel mit AGB-Verweis und SaaS-Mietvertrag-Klarstellung, EU Data Act-Verweise, Grammatik- und Rechtschreibkorrekturen
1.2 23.06.2026 Lexware GmbH als Unter-Auftragsverarbeiter aufgenommen, Backup-Beschreibung korrigiert (Hetzner Cloud Backup, 7 Tage rollierend statt Storage Box 30 Tage), Risiko-Hinweis ergänzt

Unterschriften


Ort, Datum Ort, Datum


Unterschrift Verantwortlicher Unterschrift Auftragsverarbeiter

© 2026 flowgeist - Alle Rechte vorbehalten