Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

zwischen dem Nutzer des Dienstes BonusFlow (nachfolgend „Auftraggeber") und

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-Mail: datenschutz@bonusflow.de Telefon: 0201-89083160

(nachfolgend „Auftragnehmer")

§ 1 – Gegenstand und Dauer der Verarbeitung

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen der Nutzung des Dienstes BonusFlow (sprachgesteuerter persönlicher Assistent zur Verwaltung von Aufgaben, Erinnerungen, Kalendereinträgen, Lebensbereichen und persönlichem Wissen).

(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrages. Mit Löschung des Benutzerkontos endet die Verarbeitung. Personenbezogene Daten werden innerhalb von 30 Tagen nach Kontolöschung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

§ 2 – Art und Zweck der Verarbeitung

Die Verarbeitung umfasst folgende Tätigkeiten:

  • Speicherung von Todos, Erinnerungen, Kalendereinträgen, Lebensbereichen und persönlichen Fakten
  • KI-Verarbeitung zur Erkennung von Absichten aus transkribiertem Text (Intent Recognition)
  • KI-Verarbeitung zur Berechnung von Vektorrepräsentationen (Embeddings) für die semantische Suche
  • Kalender-Integration (ICS-Feed-Generierung, optionale Google-Kalender-Synchronisation)
  • Benutzerverwaltung (Kontoerstellung, Authentifizierung)
  • E-Mail-Versand (Kontobestätigung, Passwort-Reset, Benachrichtigungen)
  • Zahlungsabwicklung (Abonnement-Verwaltung und Rechnungsstellung)
  • Testphasen-Verwaltung (10-taegige kostenlose Testphase; nach Ablauf ohne Upgrade bleiben Daten lesbar, Sprachbefehle und neue Eintraege sind pausiert bis zum Planwechsel — kein automatisches Downgrade, keine automatische Loeschung)

§ 3 – Art der personenbezogenen Daten

Folgende Datenkategorien werden verarbeitet:

  • Name und E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Todos, Erinnerungen und Kalendereinträge (Titel, Beschreibung, Datum/Uhrzeit)
  • Lebensbereiche und zugehörige Einträge (Inhalte, Notizen, Dosierungshinweise)
  • Persönliche Fakten (Allergien, Kontakte, Vorlieben – nur bei aktiver Hinterlegung durch den Nutzer)
  • Kalenderdaten (ICS-Feed-Tokens, optional synchronisierte Google-Kalender-Ereignisse)
  • Vektorrepräsentationen (Embeddings) der oben genannten Textinhalte
  • Abonnement- und Testphasen-Daten (Plan, Start-/Enddatum der Testphase)
  • Zahlungsdaten (verarbeitet durch Stripe, nicht beim Auftragnehmer gespeichert)
  • Server-Log-Daten (IP-Adresse, Browser, Zeitstempel)

Hinweis zu besonderen Kategorien: Nutzer können freiwillig gesundheitsbezogene Fakten (Medikamente, Supplements, Allergien) hinterlegen. Diese können als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO gelten. Die Verarbeitung erfolgt auf Grundlage der ausdrücklichen Einwilligung des Nutzers (Art. 9 Abs. 2 lit. a DSGVO).

§ 4 – Kategorien betroffener Personen

  • Registrierte Nutzer des Dienstes

§ 5 – Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder dem Recht der Mitgliedstaaten zu einer Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben.

(3) Der Auftragnehmer ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselte Speicherung von Passwörtern (bcrypt)
  • Lokale Sprachausgabe (Text-to-Speech) – das Vorlesen erfolgt vollständig auf dem Gerät des Nutzers
  • Transkription und KI-Verarbeitung über Mistral AI mit Serverstandort Frankreich (EU)
  • Zugriffskontrolle und Berechtigungskonzept
  • Regelmäßige Sicherheitsupdates aller Systeme
  • Server für strukturierte Nutzerdaten ausschließlich in Deutschland

(4) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

(5) Nach Beendigung der Verarbeitung löscht der Auftragnehmer alle personenbezogenen Daten, einschließlich Vektordaten in der Qdrant-Datenbank, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht.

(6) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

§ 6 – Unterauftragnehmer (Subunternehmer)

(1) Der Auftraggeber stimmt dem Einsatz der nachfolgend genannten Unterauftragnehmer zu:

6.1 Hetzner Online GmbH

| | | |---|---| | Zweck | Server-Hosting (Applikation und Datenbank) | | Anschrift | Industriestr. 25, 91710 Gunzenhausen, Deutschland | | Serverstandort | Deutschland | | Verarbeitete Daten | Alle Nutzer- und Inhaltsdaten, Vektordaten (Qdrant) | | AVV | Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO vorhanden |

6.2 Mistral AI SAS

| | | |---|---| | Zweck | Transkription (Mistral Voxtral), Intent-Erkennung (Mistral Medium) und Embedding-Berechnung (Mistral Embed) | | Anschrift | 16 Passage Jouffroy, 75009 Paris, Frankreich | | Serverstandort | EU (Frankreich) vorrangig; in Ausnahmefällen Unterauftragsverarbeiter außerhalb der EU mit EU-Standardvertragsklauseln gemäß Art. 46 DSGVO | | Verarbeitete Daten | Audioaufnahmen (zur Transkription), transkribierter Text (zur Intent-Erkennung), Textinhalte von Einträgen (zur Embedding-Berechnung) | | Speicherdauer bei Mistral | Max. 30 Tage rollierend zur Missbrauchserkennung, danach automatische Löschung (Quelle: Mistral Privacy Policy, legal.mistral.ai/terms/privacy-policy) | | Training-Nutzung | Vertraglich ausgeschlossen (Zusicherung für zahlende API-Kunden) |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Zweck | E-Mail-Versand (Kontobestätigung, Passwort-Reset, Benachrichtigungen) | | Anschrift | Hauptstraße 68, 02742 Friedersdorf, Deutschland | | Serverstandort | Deutschland | | Verarbeitete Daten | E-Mail-Adresse, Name, E-Mail-Inhalte |

6.4 Stripe, Inc.

| | | |---|---| | Zweck | Zahlungsabwicklung (Kreditkarten, SEPA, Abonnement-Verwaltung) | | Anschrift | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Datenverarbeitung | EU (Stripe verarbeitet europäische Zahlungsdaten in der EU) | | Verarbeitete Daten | Zahlungsinformationen (Kreditkartendaten, SEPA-Daten). Diese werden ausschließlich von Stripe verarbeitet und nicht beim Auftragnehmer gespeichert. | | Garantien | EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) |

6.5 Google Ireland Limited (optional)

| | | |---|---| | Zweck | Authentifizierung (Google OAuth 2.0) und Kalender-Synchronisation (Google Calendar API) — nur wenn der Nutzer sich aktiv dafür entscheidet | | Anschrift | Gordon House, Barrow Street, Dublin 4, Irland | | Datenverarbeitung | EU (Irland) | | Verarbeitete Daten | Für Authentifizierung: Name und E-Mail-Adresse des Nutzers. Für Kalender-Sync: Kalendereinträge (Titel, Datum/Uhrzeit, Beschreibung) | | Hinweis | Sowohl Google OAuth als auch Google Kalender sind vollständig optional. Nutzer können sich jederzeit per E-Mail/Passwort oder Magic Link anmelden und den integrierten ICS-Feed anstelle der Google-Kalender-Synchronisation nutzen. Inhaltsdaten werden nur an Google übermittelt, wenn die Kalender-Synchronisation aktiv vom Nutzer aktiviert wird. | | Garantien | EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) |

(2) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragnehmern informieren. Der Auftraggeber kann gegen solche Änderungen Einspruch erheben.

§ 7 – Übermittlung in Drittländer

(1) Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) findet grundsätzlich nicht statt.

(2) Ausnahmen:

  • Stripe (Zahlungsabwicklung): Stripe, Inc. hat seinen Sitz in den USA, verarbeitet europäische Daten jedoch in der EU. Für den Datentransfer gelten das EU-US Data Privacy Framework und Standardvertragsklauseln.
  • Google (nur bei Google OAuth): Google Ireland Limited verarbeitet Daten in der EU. Nur bei aktiver Wahl der Google-Anmeldung durch den Nutzer.

(3) Die KI-Verarbeitung sowie die Speicherung aller Inhalts- und Nutzerdaten (einschließlich Vektordaten) erfolgt ausschließlich in Deutschland und der EU.

§ 8 – Rechte der betroffenen Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Rechte betroffener Personen gemäß Art. 12–22 DSGVO, insbesondere:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Nutzer können ihre Daten jederzeit über ihr Benutzerkonto einsehen und löschen.

§ 9 – Meldepflicht bei Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO.

§ 10 – Kontrollrechte

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrages in angemessener Weise zu überprüfen.

(2) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen einschließlich Inspektionen.

§ 11 – Laufzeit und Kündigung

Dieser Vertrag gilt für die Dauer der Nutzung des Dienstes BonusFlow. Er tritt mit der Registrierung in Kraft und endet mit der Löschung des Benutzerkontos.

§ 12 – Schlussbestimmungen

(1) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(2) Es gilt das Recht der Bundesrepublik Deutschland.

(3) Gerichtsstand ist Essen.

Stand: März 2026

Kontakt bei Fragen zum Datenschutz: datenschutz@bonusflow.de