Auftragsverarbeitungsvertrag
gemäß Art. 28 DSGVO – Gültig ab: 20. Februar 2026
§ 1 Gegenstand und Dauer der Verarbeitung
Dieser Auftragsverarbeitungsvertrag (nachfolgend “AVV”) regelt die Verarbeitung personenbezogener Daten durch Luis Ens – Flowent, Am Neugraben 9, 79112 Freiburg (nachfolgend “Auftragsverarbeiter”) im Auftrag des Kunden (nachfolgend “Verantwortlicher”) im Rahmen der Nutzung der Flowent AI-Plattform.
Art der verarbeiteten Daten:
- Konversationsdaten (Eingaben an KI-Agenten und generierte Outputs)
- Nutzerprofildaten (Name, E-Mail-Adresse, Firmenname)
- Workflow-Konfigurationen und Pipeline-Definitionen
- Metadaten (Zeitstempel, Token-Counts, Modell-Auswahl, Session-IDs)
Kategorien betroffener Personen: Mitarbeiter, Beauftragte und sonstige Vertreter des Verantwortlichen, die die Plattform im Rahmen ihrer beruflichen Tätigkeit nutzen.
Zweck der Verarbeitung: Bereitstellung der KI-Agenten-Services, Ausführung automatisierter Workflows (Pipelines), Speicherung von Konversationshistorien sowie die damit verbundene technische Infrastruktur.
Dauer: Die Verarbeitung erfolgt für die Dauer des Hauptvertrages (Allgemeine Geschäftsbedingungen). Nach Beendigung des Vertrages werden die Daten gemäß § 2 Abs. 6 dieses AVV gelöscht oder zurückgegeben.
§ 2 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich zu folgenden Maßnahmen:
- Weisungsgebundenheit: Die Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen. Sofern der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen unverzüglich.
- Vertraulichkeit: Alle Personen, die Zugang zu personenbezogenen Daten haben, sind zur Vertraulichkeit verpflichtet und wurden über die datenschutzrechtlichen Anforderungen belehrt.
- Betroffenenrechte (Art. 15–22 DSGVO): Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch). Anfragen werden unverzüglich an den Verantwortlichen weitergeleitet.
- Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden, an den Verantwortlichen. Die Meldung enthält alle nach Art. 33 Abs. 3 DSGVO erforderlichen Informationen.
- Löschung und Rückgabe: Nach Beendigung des Vertrages löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten innerhalb von 30 Tagen, sofern nicht gesetzliche Aufbewahrungspflichten entgegenstehen. Auf Wunsch des Verantwortlichen erfolgt stattdessen eine Rückgabe in einem maschinenlesbaren Format (JSON/CSV).
- Audits und Inspektionen: Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen. Audits sind mit einer Vorlauffrist von mindestens 14 Tagen anzukündigen.
§ 3 Unterauftragsverarbeiter
Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche hat das Recht, innerhalb von 14 Tagen nach Mitteilung Einspruch zu erheben.
Aktuelle Unterauftragsverarbeiter:
| Dienstleister | Zweck | Standort |
|---|---|---|
| OpenAI, Inc. | KI-Modell-Inference (GPT) | USA (DPA + SCCs) |
| Vercel, Inc. | Hosting & Edge Functions | USA/EU (SCCs) |
| Supabase, Inc. | PostgreSQL-Datenbank | EU (Frankfurt) |
| Stripe, Inc. | Zahlungsabwicklung | USA/EU (SCCs) |
Der Auftragsverarbeiter stellt vertraglich sicher, dass die Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen einhalten, die in diesem AVV festgelegt sind. Für Drittlandtransfers (USA) sind Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 abgeschlossen. Ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung) werden gemäß den Empfehlungen des EDSA umgesetzt.
§ 4 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft gemäß Art. 32 DSGVO folgende technische und organisatorische Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten:
Zutrittskontrolle
Die gesamte Infrastruktur wird über Cloud-Dienste betrieben. Es existieren keine physischen Server. Der Zugang zu Cloud-Management-Konsolen ist durch MFA und IP-Allowlisting gesichert.
Zugangskontrolle
Passwörter müssen mindestens 8 Zeichen umfassen und Großbuchstaben, Ziffern sowie Sonderzeichen enthalten. Multi-Faktor-Authentifizierung (MFA) ist verfügbar. Sessions werden über JWT-Tokens mit begrenzter Laufzeit (7 Tage) verwaltet. Session-Cookies sind httpOnly und Secure.
Zugriffskontrolle
Der Zugriff auf Daten erfolgt rollenbasiert (RBAC). Sämtliche API-Zugriffe werden protokolliert (Audit-Log). API-Keys und Zugangsdaten zu Drittdiensten werden mit AES-256 verschlüsselt gespeichert.
Weitergabekontrolle
Sämtliche Datenübertragungen erfolgen ausschließlich über TLS 1.3. API-Keys werden at-rest verschlüsselt. Die Kommunikation mit Unterauftragsverarbeitern (OpenAI, Supabase, Stripe) erfolgt ausschließlich über verschlüsselte Kanäle.
Eingabekontrolle
Vollständiges Audit-Logging mit Erfassung von Benutzer-ID, Aktion, Zeitstempel und betroffener Ressource. Konversationshistorien werden pro Nutzer und Agent getrennt gespeichert und sind nachvollziehbar.
Verfügbarkeitskontrolle
Tägliche automatisierte Backups der PostgreSQL-Datenbank über Supabase mit Point-in-Time Recovery. Angestrebte Verfügbarkeit von 99,5 % im Jahresmittel (gemäß AGB § 6). Disaster-Recovery-Prozeduren sind dokumentiert.
Trennungskontrolle
Strikte Mandantentrennung über User-IDs auf Datenbankebene. Konversationsdaten, Workflows und Konfigurationen sind pro Nutzer isoliert. Cross-Tenant-Zugriffe sind technisch ausgeschlossen. API-Endpunkte validieren die Nutzer-Zugehörigkeit bei jedem Zugriff.
Dieser Auftragsverarbeitungsvertrag wird durch Akzeptanz der Allgemeinen Geschäftsbedingungen bei der Registrierung auf der Flowent AI-Plattform rechtswirksam geschlossen. Er ist integraler Bestandteil der AGB (§ 11).