Auftragsverarbeitungsvertrag (AVV)

Vertragsparteien

Auftraggeber (Verantwortlicher):
Kunde (z.B. Bildungseinrichtung, Unternehmen, Pflegebetrieb, selbstständige Lehrende oder Privatpersonen)

Auftragnehmer (Auftragsverarbeiter):
Semantic Flow
Inhaber: Manfred Eppe
Schopbachweg 10c
22527 Hamburg
Deutschland
E-Mail: info@semanticflow.de
Telefon: +49 176 21532311

1. Gegenstand und Dauer

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch SemanticFlow zur Bereitstellung des Dienstes EduraFlow und verwandter Dienstleistungen.

Dauer: Der Vertrag gilt für die Dauer des Hauptvertrags zwischen Auftraggeber und Auftragnehmer. Nach Vertragsende erfolgt die Löschung oder Rückgabe der Daten gemäß Ziffer 7.

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Rahmen folgender Tätigkeiten:

• Erhebung: Upload von Lehrmaterialien und Dokumenten durch den Auftraggeber
• Speicherung: Ablage der hochgeladenen Inhalte auf Servern des Hosting-Anbieters
• Übermittlung: Weiterleitung an KI-Dienste (OpenAI) zur Verarbeitung
• Löschung: Automatische Löschung nach 24 Monaten oder auf Antrag

Zweck: KI-gestützte Erstellung und Bearbeitung von Lehrmaterialien, einschließlich Quiz, Präsentationsfolien und strukturierten Dossiers.

3. Kategorien betroffener Personen

Zulässige Inhalte: Anonymisierte Lehrinhalte, Fachliteratur, allgemeine Bildungsmaterialien ohne Personenbezug.

Verantwortlichkeit: Sollte der Auftraggeber dennoch personenbezogene Daten hochladen, geschieht dies in seiner alleinigen Verantwortung. Der Auftraggeber versichert, dass er:

• über die erforderlichen Rechtsgrundlagen verfügt (z.B. Einwilligung der Betroffenen nach Art. 6 Abs. 1 a DSGVO)
• alle erforderlichen Informationspflichten nach Art. 13/14 DSGVO erfüllt hat
• ggf. eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt hat
• SemanticFlow von jeglichen Ansprüchen Dritter freistellt, die aus dem unberechtigten Upload personenbezogener Daten resultieren

4. Kategorien personenbezogener Daten

Personenbezogene Daten des Auftraggebers selbst:

• Account-Daten: Name, E-Mail-Adresse, Rechnungsadresse des Auftraggebers
• Nutzungsdaten: IP-Adresse (verkürzt/anonymisiert), Browser-Informationen, Zeitstempel
• Zahlungsdaten: Verarbeitet über Stripe (nicht durch SemanticFlow gespeichert)

Inhaltsdaten (vom Auftraggeber hochgeladen):

• Texte, Dokumente, Bilder in hochgeladenen Lehrmaterialien
• Hinweis: Sollten KEINE personenbezogenen Daten enthalten (siehe Ziffer 3)

5. Pflichten des Auftragnehmers

5.1 Weisungsgebundenheit

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Die Weisung erfolgt durch die Nutzung der Plattform und die dort vorgesehenen Funktionen.

5.2 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind und entsprechend geschult wurden.

5.3 Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende Sicherheitsmaßnahmen implementiert:

• Zugangskontrolle: Passwortgeschützte Benutzerkonten, rollenbasierte Berechtigungen
• Verschlüsselung: TLS-Verschlüsselung für Datenübertragung (HTTPS)
• Protokollierung: Logging von Zugriffen und Änderungen (7-30 Tage)
• Updates: Regelmäßige Sicherheitsupdates der verwendeten Software
• Datentrennung: Logische Trennung der Kundendaten auf Plattformebene

5.4 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung etc.) mit geeigneten technischen und organisatorischen Maßnahmen.

Kontakt für Betroffenenanfragen: info@semanticflow.de

5.5 Meldung von Sicherheitsvorfällen

Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden, an den Auftraggeber.

6. Unterauftragsverarbeiter

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zur Beauftragung folgender Unterauftragsverarbeiter:

6.1 Clever Cloud SAS (Hosting)

• Standort: 3 rue de l'Allier, 44000 Nantes, Frankreich (EU)
• Leistung: Hosting der Plattform und Speicherung von Daten
• Absicherung: Auftragsverarbeitungsvertrag (AVV) vorhanden

6.2 OpenAI, L.L.C. (KI-Verarbeitung)

• Standort: 3180 18th Street, San Francisco, CA 94110, USA (mit EU-Rechenzentren)
• Leistung: KI-gestützte Verarbeitung und Generierung von Inhalten
• Absicherung: Data Processing Agreement (DPA) abgeschlossen, Datenübermittlung auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO) und Standardvertragsklauseln (SCCs)

6.3 Stripe, Inc. (Zahlungsabwicklung)

• Standort: Irland (EU) und USA
• Leistung: Verarbeitung von Zahlungsdaten
• Absicherung: Eigene Datenschutzerklärung und DPA, PCI-DSS zertifiziert

Änderungen: Der Auftragnehmer informiert den Auftraggeber über geplante Änderungen bei Unterauftragsverarbeitern. Der Auftraggeber kann innerhalb von 14 Tagen Widerspruch einlegen.

7. Internationale Datenübermittlung

Die Übermittlung personenbezogener Daten an OpenAI in den USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO), das einen angemessenen Datenschutz gewährleistet. Zusätzlich sind Standardvertragsklauseln (SCCs) vereinbart.

OpenAI betreibt auch Rechenzentren in der EU, die bevorzugt genutzt werden können.

8. Löschung und Rückgabe von Daten

8.1 Regelfall

Hochgeladene Lehrmaterialien und generierte Ergebnisse werden 24 Monate nach Upload automatisch gelöscht, sofern der Auftraggeber keine Verlängerung beantragt.

8.2 Nach Vertragsende

Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers oder gibt sie auf Wunsch zurück. Die Löschung erfolgt innerhalb von 30 Tagen.

8.3 Auf Anfrage

Der Auftraggeber kann jederzeit die sofortige Löschung seiner Daten beantragen unter: info@semanticflow.de

8.4 Gesetzliche Aufbewahrungspflichten

Daten, die aufgrund gesetzlicher Aufbewahrungspflichten (z.B. Rechnungsdaten) gespeichert werden müssen, werden entsprechend den gesetzlichen Fristen (6-10 Jahre) aufbewahrt.

9. Kontroll- und Prüfrechte

Der Auftraggeber hat das Recht, die Einhaltung dieses AVV durch den Auftragnehmer zu überprüfen. Dies kann erfolgen durch:

• Einholung von Auskünften beim Auftragnehmer
• Einsicht in relevante Unterlagen und Zertifizierungen
• Inspektionen (nach vorheriger Ankündigung, während der Geschäftszeiten)

Der Auftragnehmer stellt auf Anfrage Informationen zur Verfügung, die zur Überprüfung der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlich sind.

10. Haftung und Schadensersatz

Die Haftung richtet sich nach den Bestimmungen der DSGVO (Art. 82) und den Vereinbarungen im Hauptvertrag. Bei Verstößen gegen die DSGVO haftet der Auftragnehmer gegenüber dem Auftraggeber nach den gesetzlichen Bestimmungen.

11. Schlussbestimmungen

11.1 Anwendbares Recht

Es gilt das Recht der Bundesrepublik Deutschland.

11.2 Gerichtsstand

Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist Hamburg.

11.3 Änderungen

Änderungen dieses AVV bedürfen der Textform (E-Mail genügt). Der Auftragnehmer kann erforderliche Anpassungen (z.B. bei Gesetzesänderungen) mit einer Ankündigungsfrist von 30 Tagen vornehmen.

11.4 Salvatorische Klausel

Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen davon unberührt.

Kontakt für Fragen zum AVV

Bei Fragen oder zur Ausübung Ihrer Rechte als Auftraggeber wenden Sie sich bitte an:

Manfred Eppe
Semantic Flow
Schopbachweg 10c
22527 Hamburg
E-Mail: info@semanticflow.de
Telefon: +49 176 21532311

Stand: 18. Oktober 2025
Version: 1.0