Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Stand: März 2026
Präambel
Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
Der AVV wird geschlossen zwischen dem Kunden, der einen kostenpflichtigen Plan von Prompt Arena nutzt (nachfolgend „Verantwortlicher" oder „Auftraggeber"), und:
DATENMASSIV GmbH
Zeitblomstraße 31/2
89073 Ulm
Geschäftsführer: Tom Bichay, Toni Thomä, Martin Schubert
E-Mail: hello@datenmassiv.com
(nachfolgend „Auftragsverarbeiter" oder „Auftragnehmer")
Dieser AVV wird Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) von Prompt Arena. Mit der Nutzung des Dienstes akzeptiert der Verantwortliche diesen AVV in elektronischer Form gemäß Art. 28 Abs. 9 DSGVO.
§ 1 Gegenstand und Dauer
1.1 Gegenstand der Verarbeitung
Der Auftragsverarbeiter stellt dem Verantwortlichen die SaaS-Plattform „Prompt Arena" zur Durchführung interaktiver KI-Workshops bereit. Im Rahmen dieser Leistung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen.
1.2 Dauer
Der AVV gilt für die Dauer des Vertragsverhältnisses zwischen den Parteien. Er endet automatisch mit Beendigung des Hauptvertrags (Kündigung des Abonnements oder Löschung des Accounts).
§ 2 Art und Zweck der Verarbeitung
Die Verarbeitung dient der Bereitstellung der folgenden Funktionen:
- Erstellung und Verwaltung von KI-Workshops
- Durchführung von Live-Workshops mit Teilnehmer-Interaktion (Prompting, Abstimmungen, Quiz)
- Übermittlung von Teilnehmer-Prompts an KI-Dienstleister zur Generierung von Antworten und Bildern
- Erstellung von Teilnahmebescheinigungen (Zertifikate)
- Versand von Systembenachrichtigungen per E-Mail
- Erstellung von Workshop-Reports und Exporten
§ 3 Art der personenbezogenen Daten
| Datenkategorie | Beispiele |
|---|---|
| Kontaktdaten (Workshop-Leitung) | E-Mail-Adresse |
| Authentifizierungsdaten | Magic-Link-Tokens, Session-Cookies |
| Teilnehmerdaten | Frei gewählter Nickname (Pseudonym), Prompts, KI-generierte Ergebnisse, Quiz-Antworten und -Auswertungen (gewählte Option, Korrektheit), Abstimmungsergebnisse, Session-Token (JWT) |
| Zertifikatdaten | Vom Teilnehmer freiwillig eingegebener Name, Workshop-Titel, Datum, Lernziele, Quiz-Ergebnis |
| Abrechnungsdaten | E-Mail-Adresse, Rechnungsadresse, USt-ID (verarbeitet durch Stripe, nicht auf unseren Servern gespeichert) |
| Nutzungsdaten | Credit-Verbrauch, Workshop-Aktivität, Zeitstempel |
§ 4 Kategorien betroffener Personen
- Workshop-Leitungen (Hosts): Registrierte Nutzer, die Workshops erstellen und durchführen
- Workshop-Teilnehmer: Personen, die an Workshops teilnehmen (ohne eigenen Account, Beitritt per Join-Code/QR-Code)
- Team-Mitglieder: Weitere Hosts innerhalb einer Organisation (bei Team- und Enterprise-Plänen)
§ 5 Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich:
- Personenbezogene Daten ausschließlich gemäß den dokumentierten Weisungen des Verantwortlichen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO). Die Weisung ergibt sich aus diesem AVV und den AGB.
- Sicherzustellen, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
- Alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen (siehe § 7).
- Den Verantwortlichen unverzüglich zu informieren, wenn eine Weisung nach Auffassung des Auftragsverarbeiters gegen die DSGVO oder andere Datenschutzvorschriften verstößt.
- Den Verantwortlichen bei der Erfüllung seiner Pflichten nach Art. 32–36 DSGVO zu unterstützen (Sicherheit, Meldepflichten, Datenschutz-Folgenabschätzung).
- Den Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen nach Art. 15–22 DSGVO zu unterstützen.
- Nach Beendigung des Vertragsverhältnisses alle personenbezogenen Daten nach Wahl des Verantwortlichen zu löschen oder zurückzugeben (Art. 28 Abs. 3 lit. g DSGVO). Die Löschung erfolgt automatisch bei Kontolöschung (CASCADE-Löschung aller zugehörigen Daten).
- Dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen einschließlich Inspektionen zu ermöglichen (Art. 28 Abs. 3 lit. h DSGVO).
§ 6 Unterauftragsverarbeiter
Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern gemäß Art. 28 Abs. 2 DSGVO. Der Auftragsverarbeiter informiert den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
Zum Zeitpunkt des Abschlusses dieses AVV werden folgende Unterauftragsverarbeiter eingesetzt:
| Unterauftragsverarbeiter | Sitz | Zweck | Rechtsgrundlage Drittlandübermittlung |
|---|---|---|---|
| Vercel Inc. | USA | Webhosting, CDN, Serverless Functions (EU: Frankfurt), anonymisierte Web-Analyse (Vercel Analytics) | EU-US DPF + SCCs + DPA |
| Supabase Inc. | USA | Datenbank, Authentifizierung, Storage (EU: Frankfurt) | SCCs + DPA |
| Stripe, Inc. | USA | Zahlungsabwicklung | EU-US DPF + SCCs + DPA |
| Resend Inc. | USA | Transaktionaler E-Mail-Versand | SCCs + DPA |
| OpenAI, Inc. | USA | KI-Text- und Bildgenerierung | EU-US DPF + SCCs + DPA |
| Anthropic, Inc. | USA | KI-Textgenerierung | SCCs + DPA |
| Google LLC (Vertex AI) | USA | KI-Text- und Bildgenerierung | EU-US DPF + SCCs + DPA |
Der Auftragsverarbeiter stellt sicher, dass allen Unterauftragsverarbeitern die gleichen Datenschutzpflichten auferlegt werden wie in diesem AVV (Art. 28 Abs. 4 DSGVO).
§ 7 Technische und organisatorische Maßnahmen (TOMs)
Der Auftragsverarbeiter trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
Vertraulichkeit
- Verschlüsselung aller Daten bei Übertragung (TLS 1.2+) und in Ruhe (AES-256 auf Datenbankebene)
- Zugriffskontrolle über rollenbasiertes Berechtigungssystem (Row Level Security in der Datenbank)
- Authentifizierung über Magic Link (kein Passwort-Speicherung)
- Strikte Mandantentrennung (Multi-Tenant-Architektur mit tenant_id-basierter Isolation)
Integrität
- Input-Validierung aller Nutzereingaben (Zod-Schema-Validierung)
- Content Security Policy (CSP) und Security Headers zum Schutz vor XSS und Injection-Angriffen
- Audit-Trail für Credit-Transaktionen
Verfügbarkeit
- Automatische Skalierung über Cloud-Infrastruktur (Vercel Serverless)
- Datenbank-Backups durch Supabase (automatische tägliche Backups, Point-in-Time Recovery)
- CDN für globale Verfügbarkeit
Belastbarkeit
- Getrennte Produktions- und Entwicklungsumgebungen
- Automatisierte Deployments mit Rollback-Möglichkeit
Datentrennung
- Jeder Workspace (Tenant) ist logisch isoliert — Daten eines Tenants sind für andere Tenants nicht zugänglich
- Workshop-Teilnehmer haben keinen Zugriff auf Daten anderer Workshops
§ 8 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich (in der Regel innerhalb von 24 Stunden) nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 2 DSGVO). Die Meldung erfolgt an die im Account hinterlegte E-Mail-Adresse und enthält mindestens:
- Beschreibung der Art der Verletzung
- Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
§ 9 Löschung und Rückgabe
- Kontolöschung: Workshop-Leitungen können ihr Konto jederzeit selbst in den Account-Einstellungen löschen. Dabei werden alle zugehörigen Daten (Workshops, Aufgaben, Teilnehmer-Einreichungen, Zertifikate) unwiderruflich gelöscht (CASCADE-Löschung).
- Datenexport: Vor der Löschung können Workshop-Leitungen ihre Daten über die Export-Funktion in den Account-Einstellungen herunterladen (Art. 20 DSGVO).
- Teilnehmerdaten: Werden mit den zugehörigen Workshop-Daten gelöscht. Das Teilnehmer-Cookie verfällt automatisch nach 24 Stunden.
- Aufbewahrungsfristen: Abrechnungsdaten werden gemäß steuerrechtlicher Aufbewahrungsfristen (§ 147 AO: 10 Jahre) gespeichert, soweit gesetzlich erforderlich.
§ 10 Rechte des Verantwortlichen
- Der Verantwortliche hat das Recht, Überprüfungen der technischen und organisatorischen Maßnahmen durchzuführen oder durch einen qualifizierten, zur Verschwiegenheit verpflichteten Dritten durchführen zu lassen. Überprüfungen sind mit einer angemessenen Frist (mindestens 14 Tage) anzukündigen.
- Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Nachweise über die Einhaltung seiner Pflichten zur Verfügung (z.B. aktuelle TOMs, Sub-Processor-Liste).
§ 11 Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Der Auftragsverarbeiter haftet für Schäden, die durch eine nicht den Weisungen des Verantwortlichen entsprechende oder gegen die DSGVO verstoßende Verarbeitung verursacht werden. Im Übrigen gelten die Haftungsregelungen der AGB.
§ 12 Schlussbestimmungen
- Änderungen dieses AVV bedürfen der Textform (E-Mail genügt).
- Es gilt das Recht der Bundesrepublik Deutschland.
- Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
- Dieser AVV tritt mit Nutzung des Dienstes in Kraft und ersetzt alle früheren Vereinbarungen zum gleichen Gegenstand.
Kontakt
Bei Fragen zu diesem AVV oder zur Datenverarbeitung wenden Sie sich bitte an: hello@datenmassiv.com