Auftragsverarbeitungsvertrag (AVV)

vlowr.ai · Datenschutz

⚠ Dieser Text befindet sich in rechtlicher Prüfung und stellt keinen rechtsverbindlichen Vertrag dar. Die finale Fassung wird nach anwaltlicher Prüfung veröffentlicht.
Fragen: hello@vlowr.ai

Stand: Mai 2026 · Version 1.0-Entwurf · Gemäß Art. 28 DSGVO

Parteien

Verantwortlicher (Kunde): die im Order Form benannte juristische oder natürliche Person.

Auftragsverarbeiter: vlowr.ai (Oliver Tesch), c/o Online-Impressum #7955, Europaring 90, 53757 St. Augustin, Deutschland.

§ 1 Gegenstand und Dauer des Auftrags

(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der SaaS-Plattform vlowr.ai gemäß dem zugrundeliegenden Hauptvertrag.
(2) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags.

§ 2 Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der vertraglich vereinbarten Leistungen: Speicherung, Strukturierung, KI-gestützte Analyse und Bereitstellung von Prozessdokumentation sowie zugehörigen Compliance-Nachweisen. Details siehe Anlage 1.

§ 3 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

Daten ausschließlich im Rahmen dieses Vertrags und auf dokumentierte Weisung des Verantwortlichen zu verarbeiten;
die zur Verarbeitung berechtigten Mitarbeitenden zur Vertraulichkeit zu verpflichten (Art. 28 Abs. 3 lit. b DSGVO);
die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO umzusetzen und aufrechtzuerhalten;
den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO (Datensicherheit, Meldung von Datenpannen, Datenschutz-Folgenabschätzung) zu unterstützen;
den Verantwortlichen bei Anfragen betroffener Personen (Art. 12–22 DSGVO) zu unterstützen;
Datenpannen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntnis, zu melden;
nach Vertragsende sämtliche personenbezogenen Daten nach Wahl des Verantwortlichen zurückzugeben oder zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen;
dem Verantwortlichen alle zum Nachweis der Einhaltung der Pflichten dieses AVV erforderlichen Informationen zur Verfügung zu stellen.

§ 4 Unterauftragsverarbeiter

(1) Der Verantwortliche stimmt dem Einsatz der in Anlage 3 aufgeführten Unterauftragsverarbeiter zu.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen mindestens 30 Tage vor Hinzunahme oder Austausch eines Unterauftragsverarbeiters. Der Verantwortliche hat ein Widerspruchsrecht aus wichtigem Grund.
(3) Mit allen Unterauftragsverarbeitern bestehen schriftliche Vereinbarungen, die ein vergleichbares Datenschutzniveau gewährleisten.

§ 5 Drittlandtransfer

Eine Übermittlung an Empfänger außerhalb der EU/des EWR findet nur statt, soweit dies in Anlage 3 ausgewiesen ist. Die Übermittlung erfolgt ausschließlich auf Grundlage der EU-Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914) sowie ergänzender Schutzmaßnahmen.

§ 6 Kontrollrechte

Der Verantwortliche ist berechtigt, die Einhaltung dieses AVV einmal jährlich nach angemessener Vorankündigung zu überprüfen — entweder durch Einsichtnahme in vorhandene Audit-Berichte (z. B. ISO 27001, SOC 2) oder durch eigene Prüfung.

§ 7 Haftung

Es gelten die Haftungsregelungen des Hauptvertrags sowie Art. 82 DSGVO.

§ 8 Schlussbestimmungen

(1) Änderungen dieses AVV bedürfen der Schriftform.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
(3) Es gilt deutsches Recht. Gerichtsstand ist St. Augustin, soweit zulässig.

Anlage 1 — Art, Umfang und Zweck der Verarbeitung

Art der Verarbeitung: Erheben, Speichern, Strukturieren, Analysieren, Anzeigen, Exportieren, Löschen.
Zweck: Prozessdokumentation, KI-gestützte Analyse, Compliance-Mapping, Audit-Trail.
Kategorien betroffener Personen: Nutzer:innen des Verantwortlichen sowie in Prozessbeschreibungen genannte Mitarbeitende und ggf. Dritte.
Kategorien personenbezogener Daten: Stammdaten (Name, E-Mail, Organisation, Rolle), Nutzungsdaten (Login-Zeiten, IP-Adressen, Aktionsprotokolle), Inhaltsdaten (Prozessbeschreibungen, Dokumente, Spracheingaben).

Anlage 2 — Technische und organisatorische Maßnahmen

Siehe gesondertes TOM-Dokument unter vlowr.ai/tom (Bestandteil dieses AVV).

Anlage 3 — Unterauftragsverarbeiter

Unterauftragsverarbeiter	Zweck	Land	Rechtsgrundlage
Anthropic PBC	KI-Analyse (transient)	USA	SCCs Art. 46 DSGVO
OpenAI (Whisper API)	Spracheingabe-Transkription	USA	SCCs Art. 46 DSGVO
Supabase Inc.	Datenbankhosting	DE (Frankfurt)	EU — kein Transfer
Brevo SAS	E-Mail-Versand (transaktional)	EU (Frankreich)	EU — kein Transfer
Netlify Inc.	Frontend-Hosting	USA (CDN)	SCCs Art. 46 DSGVO

Hinweis: Anthropic und OpenAI verarbeiten Daten ausschließlich zur Erbringung des API-Diensts. Keine dauerhafte Speicherung von Kundendaten bei diesen Anbietern.

vlowr.ai · AVV v1.0 · Mai 2026 · Entwurf – Rechtsanwalt vor Unterzeichnung