FlowSentric
Sign in Start Free Trial
ProductFeaturesUse casesServicesPricingFAQSign in Start Free Trial
Rechtliches · DSGVO Art. 28

Vertrag zur Auftragsverarbeitung

Unser AV-Vertrag (Data Processing Agreement) zum Ausfüllen, Unterzeichnen und Zurücksenden — bereit für jeden Geschäftskunden.

Sprache: Deutsch (verbindlich) English version
Unterzeichnete Kopie anfordern

So funktioniert es: Füllen Sie die markierten Felder (Auftraggeber) aus, drucken oder speichern Sie das Dokument als PDF, unterzeichnen Sie es und senden Sie es an hello@flowsentric.com. Wir gegenzeichnen und senden Ihnen die vollständige Fassung zurück. Eine englische Übersetzung ist auf Anfrage erhältlich.

zwischen
 Name / Firma des Auftraggebers 
 Straße, PLZ, Ort 
— nachfolgend „Auftraggeber" (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) —

und
FlowSentric, Reclamstr. 2, 22111 Hamburg, Deutschland
— nachfolgend „Auftragnehmer" (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO) —

Präambel

Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Rahmen der KI-Arbeitsplattform FlowSentric (das „Hauptvertragsverhältnis"). Bei der Erbringung dieser Leistungen verarbeitet der Auftragnehmer personenbezogene Daten im Auftrag des Auftraggebers. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO. Er geht bei Widersprüchen den Regelungen des Hauptvertragsverhältnisses in datenschutzrechtlichen Fragen vor.

§ 1 Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer zur Bereitstellung der FlowSentric-Plattform (u. a. Chat mit KI-Modellen, autonome Agenten, Workflow-Automatisierung, Wissensdatenbank/RAG, Datei-Verarbeitung, Bild-/Video-Erstellung, eingebettete Widgets). Die Dauer dieses Vertrags entspricht der Laufzeit des Hauptvertragsverhältnisses und endet mit dessen Beendigung.

§ 2 Art, Umfang und Zweck der Verarbeitung

(1) Art und Zweck

Die Verarbeitung erfolgt ausschließlich zum Zweck der vertragsgemäßen Bereitstellung der Plattform und gemäß den dokumentierten Weisungen des Auftraggebers. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers — insbesondere zum Training von KI-Modellen — findet nicht statt.

(2) Art der personenbezogenen Daten

  • Bestands- und Kontaktdaten (Name, E-Mail, ggf. Telefon, Unternehmen)
  • Nutzungs- und Inhaltsdaten (Konversationen, hochgeladene Dokumente/Dateien, Agenten- und Workflow-Konfigurationen)
  • Technische Daten (IP-Adresse, Zeitstempel, Browser/User-Agent)
  • Etwaige in den Inhalten enthaltene weitere Daten, die der Auftraggeber einbringt

Der Auftraggeber bestimmt eigenverantwortlich, welche Daten er in die Plattform einbringt. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nicht Standardgegenstand; bringt der Auftraggeber solche Daten ein, verantwortet er die hierfür erforderliche Rechtsgrundlage.

(3) Kategorien betroffener Personen

  • Beschäftigte und Nutzer des Auftraggebers
  • Kunden, Interessenten und Geschäftspartner des Auftraggebers
  • Endnutzer von durch den Auftraggeber eingebetteten Widgets/Agenten

§ 3 Pflichten des Auftragnehmers

  1. Weisungsbindung: Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO), es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Hält er eine Weisung für rechtswidrig, teilt er dies unverzüglich mit.
  2. Vertraulichkeit: Der Auftragnehmer verpflichtet die mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29, 32 Abs. 4 DSGVO).
  3. Datensicherheit: Er ergreift die erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe Anlage 1).
  4. Unterstützung: Er unterstützt den Auftraggeber im Rahmen des Möglichen bei der Erfüllung von Betroffenenrechten (§ 6) sowie der Pflichten aus Art. 32–36 DSGVO (Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).
  5. Datenschutzbeauftragter / Ansprechpartner: Kontakt für Datenschutzfragen: hello@flowsentric.com.

§ 4 Technische und organisatorische Maßnahmen (TOM)

Der Auftragnehmer gewährleistet die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die Maßnahmen können im Verlauf der Vertragsbeziehung an den Stand der Technik angepasst werden, dürfen das Schutzniveau jedoch nicht unterschreiten. Eine aktuelle Übersicht wird unter flowsentric.com/security veröffentlicht.

§ 5 Unterauftragsverarbeiter

Der Auftraggeber stimmt dem Einsatz der in Anlage 2 genannten Unterauftragsverarbeiter zu (allgemeine schriftliche Genehmigung, Art. 28 Abs. 2 DSGVO). Die jeweils aktuelle Liste wird unter flowsentric.com/subprocessors gepflegt. Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen mindestens 14 Tage im Voraus; der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen. Der Auftragnehmer verpflichtet jeden Unterauftragsverarbeiter auf gleichwertige Datenschutzpflichten.

§ 6 Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträgen betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–22 DSGVO) nachzukommen. Wendet sich eine betroffene Person direkt an den Auftragnehmer, leitet dieser den Antrag unverzüglich an den Auftraggeber weiter.

§ 7 Kontrollrechte des Auftraggebers

Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung und ermöglicht Überprüfungen (Art. 28 Abs. 3 lit. h DSGVO). Nachweise können durch aktuelle Testate, Zertifikate oder Berichte erbracht werden. Vor-Ort-Kontrollen sind mit angemessener Vorankündigung und ohne Störung des Betriebsablaufs möglich.

§ 8 Mitteilung bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden, in der Regel innerhalb von 48 Stunden, und unterstützt ihn bei dessen Pflichten nach Art. 33 und 34 DSGVO (Meldung an die Aufsichtsbehörde, Benachrichtigung betroffener Personen).

§ 9 Löschung und Rückgabe nach Beendigung

Nach Beendigung des Auftrags löscht der Auftragnehmer die im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO). Die Löschung erfolgt spätestens 30 Tage nach Beendigung bzw. nach entsprechender Aufforderung des Auftraggebers.

§ 10 Übermittlung in Drittländer

Eine Verarbeitung außerhalb der EU/des EWR findet nur statt, soweit der Auftraggeber entsprechende KI-Anbieter/Regionen auswählt. In diesem Fall stützen sich Übermittlungen auf einen Angemessenheitsbeschluss oder die EU-Standardvertragsklauseln nebst geeigneten zusätzlichen Garantien. Der Auftraggeber kann Anfragen auf EU-Regionen festlegen.

§ 11 Haftung

Die Haftung richtet sich nach Art. 82 DSGVO sowie den Regelungen des Hauptvertragsverhältnisses. Im Verhältnis der Parteien gilt die im Hauptvertrag vereinbarte Haftungsbegrenzung, soweit gesetzlich zulässig.

§ 12 Schlussbestimmungen

Änderungen und Ergänzungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt deutsches Recht; Gerichtsstand ist — soweit zulässig — Hamburg.

Auftraggeber · Ort, Datum, Unterschrift

Name:  

FlowSentric (Auftragnehmer) · Ort, Datum, Unterschrift

Hamburg, den  

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Vertraulichkeit

  • Mandantentrennung: strikte tenant-isolierte Datenhaltung; Zugriff stets auf eigene Organisation/Daten beschränkt (autorisierungspflichtig bei jedem Lese-/Schreibzugriff).
  • Zugriffskontrolle: rollenbasierte Berechtigungen, Authentifizierung über sichere Session-Cookies (http-only), Passwörter nur als Hash gespeichert.
  • Verschlüsselung: TLS 1.3 in Übertragung, AES-256 ruhend; Geheimnisse via Fernet verschlüsselt.
  • PII-Maskierung: optionale Entfernung sensibler Daten vor Übergabe an externe KI-Anbieter.

Integrität

  • Eingabe-/Übertragungskontrolle: Audit-Trail relevanter Aktionen; SSRF-Schutz bei ausgehenden Tool-/Datenbankverbindungen.
  • Schutz vor unbefugter Veränderung durch rollen- und mandantenbasierte Zugriffsprüfung.

Verfügbarkeit und Belastbarkeit

  • EU-Hosting, regelmäßige Datensicherungen, Wiederherstellbarkeit.
  • Überwachung/Logging zur Erkennung von Störungen.

Verfahren zur regelmäßigen Überprüfung

  • Regelmäßige Sicherheits-Audits und Überprüfung der Maßnahmen.
  • Auftragskontrolle gegenüber Unterauftragsverarbeitern.

Anlage 2 — Genehmigte Unterauftragsverarbeiter

Unterauftragsverarbeiter Zweck Ort der Verarbeitung
Infrastruktur-/Hosting-Anbieter Hosting von Anwendung und Datenbank EU
Stripe Zahlungsabwicklung (PCI-DSS-konform) EU / USA (SCC)
Microsoft 365 Versand von Transaktions- & Kontaktanfrage-E-Mails EU
KI-Anbieter (vom Kunden gewählt: OpenAI, Anthropic, Google u. a.) Verarbeitung der vom Kunden gesendeten Prompts/Inhalte EU / Drittland (SCC; auf EU-Region festlegbar)

Die jeweils aktuelle Liste finden Sie unter flowsentric.com/subprocessors.

Hinweis: Dieses Dokument ist eine Vorlage und ersetzt keine Rechtsberatung. Bitte vor Verwendung durch eine/n Rechtsanwält/in oder Datenschutzbeauftragte/n prüfen lassen.