Springe zum Hauptinhalt

AVV (Auftragsverarbeitungsvertrag Flower AI)

Zwischen der

Dreambirds Productions GbR, Hintere Straße 13, 76756 Bellheim, Deutschland Auftragsverarbeiter

und

Kunden sowie Nutzern der Software „Flower AI“ Auftraggeber

Auftragsverarbeiter und Auftraggeber werden nachfolgend als „Vertragsparteien“ bezeichnet.Alle Begrifflichkeiten verstehen sich geschlechtsneutral.

Präambel und Anwendungsbereich

Die Dreambirds Productions GbR verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragsverarbeitungsvertrag konkretisiert die Auftragsverarbeitung im Hinblick auf ihren Gegenstand sowie die sich daraus ergebenden Ansprüche und Pflichten zwischen den Vertragsparteien.

Der Auftragsverarbeitungsvertrag findet keine Anwendung, wenn die DSGVO auf die Verarbeitung von personenbezogenen Daten durch den Auftraggeber nicht anwendbar ist (z. B. bei ausschließlich persönlichen oder familiären Tätigkeiten entsprechend Art. 2 Abs. 2 lit. c DSGVO) und die Dreambirds Productions GbR daher nicht als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO handelt.

1 Begrifflichkeiten und Definitionen

a. Auftragsverarbeitung – Im Einklang mit Art. 4 Nr. 8 DSGVO ist die im Auftrag des Verantwortlichen durch die Dreambirds Productions GbR entsprechend dem Gegenstand dieses Vertrages erfolgende Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO zu verstehen.

b. Hauptvertrag – Alle Arten laufender Geschäftsbeziehungen zwischen dem Auftraggeber und der Dreambirds Productions GbR, in deren Rahmen personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers verarbeitet werden.

c. Verantwortlicher – Wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

d. Personenbezogene Daten – Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

e. Betroffene Personen – Personen, die mittels personenbezogener Daten zumindest identifizierbar sind (Art. 4 Nr. 1 DSGVO).

f. Dritte – Natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen außer der betroffenen Person, dem Verantwortlichen und dem Auftragsverarbeiter (Art. 4 Nr. 10 DSGVO).

g. Unterauftragsverarbeitung – Wenn ein Auftragsverarbeiter nicht direkt vom Verantwortlichen, sondern von einem weiteren Auftragsverarbeiter beauftragt wurde.

h. Elektronisches Format – Erklärungen im elektronischen Format gemäß Art. 28 Abs. 9 DSGVO, insbesondere Textform, E-Mail, digitale Signierverfahren oder dedizierte Online-Funktionen.

2 Gegenstand der Auftragsverarbeitung

a. Die Auftragsverarbeitung erfolgt im Rahmen des folgenden Hauptvertrages: Vertrag über die Nutzung der Software „Flower AI“ auf Grundlage der Nutzungsbedingungen von Flower AI: ki.flowermoon.studio/nutzungsbedingungen. Flower AI setzt ein fest integriertes, lokal in Deutschland gehostetes KI-Modell ein. Eine Weitergabe von Nutzerdaten an externe KI-Anbieter findet nicht statt.

b. Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung richten sich nach den Vorgaben des Anhangs „Gegenstand der Auftragsverarbeitung“.

3 Art der Auftragsverarbeitung

Soweit der Auftraggeber als Verantwortlicher der Auftragsverarbeitung handelt, ist er für die Einhaltung der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung sowie für die Rechtmäßigkeit der Beauftragung der Dreambirds Productions GbR verantwortlich. Soweit der Auftraggeber selbst als Auftragsverarbeiter handelt, beauftragt er die Dreambirds Productions GbR als Unterauftragsverarbeiter.

4 Weisungsbefugnis

a. Die Dreambirds Productions GbR darf personenbezogene Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten.

b. Die Weisungen werden anfänglich durch den Hauptvertrag oder diesen Vertrag festgelegt und können danach durch Weisungen in schriftlicher Form oder elektronischem Format geändert, ergänzt oder ersetzt werden.

c. Mündliche Weisungen sind unverzüglich schriftlich oder in elektronischer Form zu bestätigen.

d. Ist die Dreambirds Productions GbR der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird sie den Auftraggeber unverzüglich darauf hinweisen und ist berechtigt, die Ausführung bis zur ausdrücklichen Bestätigung auszusetzen sowie offensichtlich rechtswidrige Weisungen abzulehnen.

e. Die Dreambirds Productions GbR kann durch Recht der Union oder der Mitgliedstaaten zur Durchführung von Verarbeitungen verpflichtet werden. In einem solchen Fall teilt sie dem Auftraggeber die rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.

f. Erteilte Weisungen und deren Umsetzung sind zu dokumentieren.

g. Die Dreambirds Productions GbR benennt die zum Empfang von Weisungen berechtigten Ansprechpartner und teilt Änderungen unverzüglich mit.

5 Wahrung des Berufsgeheimnisses

a. Die folgenden Verpflichtungen finden Anwendung, sofern die im Auftrag verarbeiteten Daten Berufsgeheimnisse im Sinne des § 203 StGB enthalten. Sie verpflichten die Dreambirds Productions GbR sowie die von ihr eingesetzten KI-Modell-Anbieter. Wählt der Nutzer im Rahmen von Flower AI ein KI-Modell aus, das mit dem Hinweis „Zusatzvereinbarung für Berufsgeheimnisträger aktiv“ kenntlich gemacht ist, kommt die jeweilige Zusatzvereinbarung des KI-Modell-Anbieters ergänzend zur Anwendung.

b. Die Verpflichtungen gelten auch nach Vertragsende zeitlich unbeschränkt fort.

c. Die Dreambirds Productions GbR darf sich nur insoweit Kenntnis von Berufsgeheimnissen verschaffen, als dies für die Durchführung des Hauptvertrages und dieses Vertrages erforderlich ist.

d. Der Auftraggeber belehrt die Dreambirds Productions GbR darüber, dass ein Verstoß gegen Vertraulichkeitsverpflichtungen gem. §§ 203 Abs. 1, Abs. 4 S. 1 StGB, § 204 StGB strafrechtlich sanktioniert werden kann.

e. Sofern die Dreambirds Productions GbR Dritte beauftragt, die Kenntnis von Berufsgeheimnissen erlangen können, verpflichtet sie diese entsprechend zumindest in Textform zur Verschwiegenheit.

6 Technische- und organisatorische Maßnahmen (TOMs)

a. Die Dreambirds Productions GbR trifft technische und organisatorische Maßnahmen (TOMs) zur angemessenen Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten des Auftraggebers unter Beachtung des Stands der Technik und der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.

b. Die bei Vertragsschluss mitgeteilten TOMs definieren das geschuldete Mindestsicherheitsniveau. Sie dürfen entsprechend dem technischen und rechtlichen Fortschritt weiterentwickelt werden, sofern das Sicherheitsniveau nicht unterschritten wird und wesentliche Änderungen dem Auftraggeber mitgeteilt werden.

c. Die Dreambirds Productions GbR gewährleistet, dass mit der Verarbeitung befasste Personen die personenbezogenen Daten nur weisungsgemäß verarbeiten und auf Vertraulichkeit verpflichtet sind.

d. Die Dreambirds Productions GbR sorgt dafür, dass eingesetzte Personen im Hinblick auf Datenschutz angemessen häufig geschult und sensibilisiert werden.

e. Verarbeitung außerhalb der Betriebsstätte (z. B. Homeoffice) ist zulässig, sofern die erforderlichen TOMs ergriffen und dokumentiert werden.

f. Die Verarbeitung auf Privatgeräten der Beschäftigten ist nicht zulässig.

g. Sofern gesetzlich vorgegeben, benennt die Dreambirds Productions GbR eine\*n Datenschutzbeauftragte\*n und teilt deren Kontaktdaten dem Auftraggeber mit.

h.–o. Weitere Einzelheiten zu den TOMs (Verzeichnis von Verarbeitungstätigkeiten, Datenverwaltung, Rückgabe- und Löschpflichten, Nachweis, Dateneigentum beim Auftraggeber) sind dem Anhang „Technisch-organisatorische Maßnahmen“ zu entnehmen.

7 Informationspflichten und Mitwirkungspflichten der Dreambirds Productions GbR

a. Auskünfte an Dritte oder Betroffene darf die Dreambirds Productions GbR nur nach vorheriger Zustimmung des Auftraggebers oder bei zwingenden gesetzlichen Pflichten erteilen. Anträge betroffener Personen werden unverzüglich an den Auftraggeber weitergeleitet.

b. Die Dreambirds Productions GbR informiert den Auftraggeber unverzüglich und vollständig über Fehler oder Unregelmäßigkeiten bei der Einhaltung der datenschutzrechtlichen Bestimmungen.

c. Die Dreambirds Productions GbR informiert den Auftraggeber unverzüglich, wenn eine Aufsichtsbehörde tätig wird und die für den Auftraggeber verarbeiteten Daten betreffen kann.

d. Sollte die Sicherheit der Daten durch Maßnahmen Dritter (Pfändung, Beschlagnahme, Insolvenzverfahren etc.) gefährdet sein, informiert die Dreambirds Productions GbR die Dritten unverzüglich darüber, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber liegen.

e. Die Dreambirds Productions GbR stellt dem Auftraggeber Informationen zur Verfügung, die für die Erfüllung gesetzlicher Pflichten (insbesondere Art. 32–36 DSGVO) notwendig sind, und unterstützt den Auftraggeber bei deren Einhaltung.

8 Maßnahmen bei Gefährdung oder Verletzung des Datenschutzes

a. Bei Feststellung einer (möglichen) Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO informiert die Dreambirds Productions GbR den Auftraggeber unverzüglich und vollständig, ergreift Schutzmaßnahmen und unterstützt bei der Erfüllung der Meldepflichten.

b. Die Information hat unverzüglich, grundsätzlich innerhalb von 24 Stunden ab Kenntniserlangung, zu erfolgen.

c. Die Meldung muss mindestens enthalten: Beschreibung der Art der Verletzung; Kontaktdaten des Datenschutzbeauftragten oder einer Anlaufstelle; Beschreibung der wahrscheinlichen Folgen; Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

d. Erhebliche Störungen bei der Auftragserledigung sowie Verstöße gegen datenschutzrechtliche Bestimmungen sind ebenfalls unverzüglich mitzuteilen.

9 Überprüfungen und Inspektionen

a. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses Vertrages jederzeit im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren.

b. Die Dreambirds Productions GbR unterstützt den Auftraggeber bei Kontrollen und Inspektionen im erforderlichen Rahmen.

c. Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten und sind mit einer angemessenen Frist (mindestens 14 Tage) anzumelden.

d. Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse sowie den Schutz personenbezogener Daten Dritter Rücksicht nehmen.

e. Zur Kontrolle sind nur fachkundige, legitimierte und auf Vertraulichkeit verpflichtete Personen zugelassen. Die Dreambirds Productions GbR hat gegen Prüfer in einem Wettbewerbsverhältnis ein Einspruchsrecht.

f. Statt Vor-Ort-Kontrollen kann die Dreambirds Productions GbR auf gleichwertige Kontrollen durch unabhängige Dritte, genehmigte Verhaltensregeln oder Datenschutzzertifizierungen verweisen.

g. Der Auftraggeber übt sein Kontrollrecht grundsätzlich nicht häufiger als alle 12 Monate aus, es sei denn, ein konkreter Anlass macht frühere Kontrollen erforderlich.

10 Unterauftragsverhältnisse

a. Der Auftraggeber erklärt sich damit einverstanden, dass die Dreambirds Productions GbR Unterauftragsverarbeiter einsetzen darf. Sie informiert den Auftraggeber mit einer Vorfrist von regelmäßig 14 Werktagen über neue Unterauftragsverarbeiter und gibt die Möglichkeit zum Einspruch.

b. Dem Unterauftragsverarbeiter werden dieselben Datenschutzpflichten auferlegt wie der Dreambirds Productions GbR in diesem Vertrag.

c. Die Auswahl der Unterauftragsverarbeiter erfolgt unter besonderer Berücksichtigung ihrer Eignung und Zuverlässigkeit sowie der getroffenen TOMs.

d.–k. Weitere Regelungen zu Unterauftragsverhältnissen (Weiterleitungsvoraussetzungen, Prüfpflichten, Haftung, Genehmigung bestehender Verhältnisse) sind dem Anhang „Unterauftragsverarbeiter“ zu entnehmen. Die bereits bestehenden Unterauftragsverhältnisse gelten als genehmigt.

11 Räumlicher Bereich der Auftragsverarbeitung

a. Sämtliche personenbezogenen Daten werden ausschließlich auf Servern in der Bundesrepublik Deutschland verarbeitet und gespeichert. Das eingesetzte KI-Modell wird lokal in Deutschland betrieben; eine Übermittlung von Daten an externe KI-Anbieter oder in Drittstaaten findet nicht statt.

b. Drittlandtransfers personenbezogener Daten gemäß Art. 44 ff. DSGVO sind im Rahmen dieser Auftragsverarbeitung nicht vorgesehen und nicht zulässig, es sei denn, der Auftraggeber erteilt hierfür ausdrücklich seine vorherige schriftliche Zustimmung.

c. Sollte die Dreambirds Productions GbR in Zukunft Unterauftragsverarbeiter einsetzen, die Daten außerhalb Deutschlands verarbeiten, wird der Auftraggeber hierüber mit einer Frist von mindestens 4 Wochen vorab informiert und hat das Recht, den Einsatz abzulehnen.

12 Pflichten des Auftraggebers

a. Der Auftraggeber informiert die Dreambirds Productions GbR unverzüglich und vollständig, wenn er Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

b. Der Auftraggeber benennt die zum Empfang von Weisungen berechtigten Ansprechpartner und teilt Änderungen unverzüglich mit.

c. Im Falle einer Inanspruchnahme der Dreambirds Productions GbR durch betroffene Personen, Dritte oder Behörden verpflichtet sich der Auftraggeber, die Dreambirds Productions GbR bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

13 Haftung

Es gelten die gesetzlichen Haftungsregelungen, insbesondere Art. 82 DSGVO sowie im Falle des Einsatzes eines Unterauftragsverarbeiters Art. 28 Abs. 4 S. 2 DSGVO.

14 Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung

a. Dieser Vertrag wird mit dessen Unterzeichnung bzw. Abschluss in einem elektronischen Format wirksam.

b. Laufzeit und Ende richten sich nach der Laufzeit und dem Ende des Hauptvertrages.

c. Das Recht zur außerordentlichen Kündigung bleibt vorbehalten, insbesondere bei schwerwiegendem Verstoß gegen die Pflichten dieses Vertrages oder das geltende Datenschutzrecht.

d. Der außerordentlichen Kündigung hat bei unerheblichen Pflichtverstößen eine Abmahnung vorauszugehen, sofern diese zumutbar ist.

e. Die Kündigung muss zumindest im elektronischen Format erfolgen.

f. Nach Abschluss der Erbringung der Verarbeitungsleistungen vernichtet oder gibt die Dreambirds Productions GbR nach Wahl des Auftraggebers alle personenbezogenen Daten zurück, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

g. Die sich aus diesem Vertrag ergebenden Schutzpflichten gelten auch nach dessen Ende fort, sofern die Dreambirds Productions GbR weiterhin die umfassten personenbezogenen Daten verarbeitet.

h. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch die Dreambirds Productions GbR mindestens drei Jahre auch über das Vertragsende hinaus aufzubewahren.

15 DORA-VO

Sofern der Auftraggeber finanzaufsichtsrechtlichen Anforderungen unterliegt, gelten die zusätzlichen Regelungen im Anhang „Zusatzvereinbarung betreffend einfache IKT-Dienstleistungen entsprechend DORA-VO“.

16 Schlussbestimmungen

a. Das anwendbare Recht bestimmt sich nach dem Hauptvertrag.

b. Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag.

c. Dieser Vertrag stellt die vollständige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht.

d. Mit Zustandekommen dieses Vertrages werden alle etwaigen früheren Verträge über die Verarbeitung personenbezogener Daten im Auftrag, die den gleichen Gegenstand betreffen, aufgehoben.

e. Änderungen sowie Ergänzungen dieses Vertrages müssen zumindest im elektronischen Format erfolgen.

f. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen des Hauptvertrages vor.

g. Sollten einzelne Bestimmungen unwirksam oder undurchführbar sein, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die unwirksamen Bestimmungen werden im Wege der ergänzenden Auslegung ersetzt.

Anhang: Gegenstand der Auftragsverarbeitung

Zwecke der Auftragsverarbeitung

Personenbezogene Daten des Auftraggebers werden zu folgendem Zweck verarbeitet: Zurverfügungstellung der Software „Flower AI“ sowie der damit verbundenen Applikationen, Webseiten und Funktionen im vertraglich vereinbarten Rahmen.

Arten und Kategorien von Daten

  • Bestandsdaten der Nutzer (Angaben zu Person, Unternehmen, Adresse)
  • Kontaktdaten der Nutzer (z. B. E-Mail-Adressen)
  • Inhaltliche Eingaben der Nutzer im Rahmen der Softwarenutzung (z. B. Prompts)
  • Protokolldaten (z. B. Logfiles betreffend Logins, Abruf von Daten oder Zugriffszeiten)
  • Meta- und Verbindungsdaten (IP-Adressen, system- und gerätebezogene Informationen)
  • Telemetriedaten (zur Überwachung und Aufrechterhaltung der Funktionsfähigkeit und Sicherheit)
  • Audiodaten (im Fall der Verarbeitung von Spracheingaben)
  • Bilddaten (im Fall der Verarbeitung von Bildeingaben)

Kategorien der betroffenen Personen

  • Kunden sowie Nutzer der Software bzw. Applikation
  • Personen, deren personenbezogene Daten im Rahmen der durch Kunden und Nutzer eingegebenen Inhalte verarbeitet werden

Quellen der verarbeiteten Daten

  • Erhebung bei betroffenen Personen
  • Eingaben bzw. Angaben des Auftraggebers
  • Eingaben bzw. Angaben der Dreambirds Productions GbR
  • Erhebung im Rahmen der Nutzung von Software, Applikationen, Webseiten und anderen Online-Diensten
  • Empfang im Wege der Übermittlung oder sonstiger Mitteilung durch oder im Auftrag des Auftraggebers

Anhang: Technisch-organisatorische Maßnahmen (TOMs)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko angemessenes Schutzniveau gewährleistet, insbesondere hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste.

Organisatorische Maßnahmen

  • Implementierung eines angemessenen Datenschutzmanagementsystems
  • Geeignete Organisationsstruktur für Datensicherheit; Informationssicherheit ist in unternehmensweite Prozesse integriert
  • Interne Sicherheitsrichtlinien; regelmäßige System- und Sicherheitstests (Code-Scan, Penetrationstests)
  • Konzept zur Wahrung der Betroffenenrechte sowie zur unverzüglichen Reaktion auf Datenschutzverletzungen
  • Dokumentiertes Lösch- und Entsorgungskonzept nach DIN 66399 und Stand der Technik
  • Privacy by Design und Privacy by Default bei der Entwicklung oder Auswahl von Hard- und Software
  • Aktuelle Software und Hardware; keine abgelaufenen Betriebssysteme; Updates ohne Verzug
  • Standardsoftware und Updates nur aus vertrauenswürdigen Quellen

Datenschutz auf Mitarbeiterebene

  • Verpflichtung auf Vertraulichkeit und Verschwiegenheit (Datenschutzgeheimnis)
  • Regelmäßige Schulungen und Sensibilisierungsmaßnahmen
  • Entzug von Zugängen und Berechtigungen bei Ausscheiden oder Zuständigkeitswechsel
  • Clean Desk Policy

Zutrittskontrolle

  • Personenkontrolle am Eingang; protokollierte Ausgabe und Rückgabe von Schlüsseln/Zugangskarten
  • Sperrung von Geräten bei Verlassen des Arbeitsplatzes
  • Sichere Aufbewahrung von Unterlagen und Datenträgern

Zugangskontrolle

  • Passwortkonzept mit Mindestlänge und -komplexität; keine Klartextspeicherung
  • Passwortgeschützte Datenverarbeitungsanlagen; Deaktivierung ausgeschiedener Benutzer
  • Intrusion Detection/Protection Systeme; aktualisierte Anti-Viren-Software; Hardware- und Software-Firewalls

Interne Zugriffskontrolle und Eingabekontrolle

  • Rechte- und Rollenkonzept nach Erforderlichkeitsgrundsatz; regelmäßige Evaluierung
  • Protokollierung von Anmeldungen und Administratortätigkeiten
  • Nachvollziehbarkeit von Datenzugriffen

Weitergabekontrolle

  • Verschlüsselte Übertragungstechnologien bei Fernzugriff (z. B. VPN)
  • Transportverschlüsselung für E-Mails; TLS-Verschlüsselung für Online-Angebote

Auftragskontrolle, Zweckbindung und Trennungskontrolle

  • Gesonderte Dokumentation der Verarbeitungsprozesse im Verzeichnis von Verarbeitungstätigkeiten
  • Sorgfältige Auswahl von Unterauftragsverarbeitern und Dienstleistern
  • Pseudonymisierung oder Anonymisierung bei Auswertungen wo möglich
  • Logische Trennung der Kundendaten von Daten anderer Verarbeitungsverfahren
  • Strikte Trennung von Produktiv- und Testsystemen

Sicherung der Integrität und Verfügbarkeit

  • Ausfallsichere, redundante Serversysteme; permanente Verfügbarkeitsüberwachung
  • Externe Hosting-Anbieter mit Stand-der-Technik-Sicherheit; regelmäßiges Patch-Management
  • Belastbarkeitstests, DoS-Schutz, unterbrechungsfreie Stromversorgung (USV)
  • Brandschutz, Feuchtigkeitsschutz, Videoüberwachung und Einbruchsmelder am Serverstandort
  • Backup-System an anderen Standorten; regelmäßige Wiederherstellungstests

Anhang: Unterauftragsverarbeiter

Flower AI setzt ein lokal in Deutschland gehostetes KI-Modell ein. Es werden keine externen KI-Anbieter für die Verarbeitung von Nutzeranfragen eingesetzt. Zur Bereitstellung zusätzlicher GPU-Rechenleistung für den Betrieb des KI-Modells sowie für den allgemeinen Infrastrukturbetrieb setzt die Dreambirds Productions GbR folgende Unterauftragsverarbeiter ein:

DienstanbieterLeistungSitzLand der VerarbeitungAVV
IONOS SEGPU-Rechenleistung via API für den Betrieb des lokalen KI-Modells bei erhöhtem RechenbedarfElgendorfer Str. 57, 56410 Montabaur, DeutschlandDeutschland / EU/EWRionos.de/terms-gtc/avv
Hoster:
HOSTINGER International Ltd.

Rechenzentrum:
Digital Realty Germany GmbH		Hosting und Betrieb der Server-Infrastruktur inkl. lokalem KI-ModellŠvitrigailos str. 34, Vilnius 03230 Lithuania

Hanauer Landstraße 298
60314 Frankfurt am Main		Deutschland / EUWird vom Dienstanbieter bereitgestellt
Brevo (Sendinblue GmbH)E-Mail-Versand- und Automatisierungsdienste (z. B. Transaktionsmails)Köpenicker Str. 126, 10179 Berlin, DeutschlandDeutschland / EUWird vom Dienstanbieter bereitgestellt

Datenschutzhinweis: Alle eingesetzten Unterauftragsverarbeiter sind in Deutschland bzw. der EU ansässig und verarbeiten Daten ausschließlich innerhalb der EU/EWR. Drittlandtransfers personenbezogener Daten finden nicht statt. Der IONOS-Dienst stellt lediglich Rechenkapazität (GPU-Ressourcen) bereit; die Kontrolle über das KI-Modell und die verarbeiteten Daten verbleibt zu jeder Zeit bei der Dreambirds Productions GbR. Sollten zukünftig weitere Unterauftragsverarbeiter eingesetzt werden, wird der Auftraggeber gemäß § 10 dieses Vertrages vorab informiert.

Anhang: Zusatzvereinbarung betreffend einfache IKT-Dienstleistungen entsprechend DORA-VO

Die Dreambirds Productions GbR erkennt an, dass der Auftraggeber als Finanzunternehmen spezielle aufsichtsrechtliche Anforderungen erfüllen muss, insbesondere aus der Verordnung (EU) 2022/2554 (DORA-VO). Diese Mindestinhalte werden mit Abschluss des Auftragsverarbeitungsvertrages Bestandteil des Hauptvertrags.

1. Gegenstand, Art und Qualität der IKT-Dienstleistung

1.1 Die Dreambirds Productions GbR stellt dem Auftraggeber die im Auftragsverarbeitungsvertrag spezifizierten IKT-Dienstleistungen zur Verfügung, wie im Anhang „Gegenstand der Auftragsverarbeitung“ beschrieben. Dies umfasst die Bereitstellung der Software „Flower AI“ sowie der dazugehörigen Applikationen, Webseiten und Funktionen. Der Rahmen wird durch die Nutzungsbedingungen von Flower AI (ki.flowermoon.studio/nutzungsbedingungen) bestimmt.

1.2 Die Dreambirds Productions GbR erbringt im Rahmen des Hauptvertrages ausschließlich einfache IKT-Dienstleistungen im Sinne des Art. 3 Nr. 22 DORA-VO, die nicht zur Unterstützung kritischer oder wichtiger Funktionen genutzt werden.

1.3 Die Dreambirds Productions GbR verpflichtet sich, die Dienstleistungen in der vertraglich vereinbarten Qualität zu erbringen und alle relevanten gesetzlichen Vorschriften sowie mitgeteilten internen Vorgaben des Auftraggebers zu beachten.

1.4 Änderungen oder Verbesserungen der Standards müssen von beiden Vertragsparteien einvernehmlich abgestimmt und schriftlich festgehalten werden.

1.5 Die Dreambirds Productions GbR sichert zu, alle notwendigen Genehmigungen und Registrierungen zur Erfüllung ihrer Verpflichtungen zu besitzen.

2. Standorte der Leistungserbringung

AN / UANLeistungsgegenstandRegionLand
Flower AI (AN)Erbringung der KI-basierten Dienstleistungen inkl. lokalem KI-ModellDeutschlandDE
IONOS SE (UAN)GPU-Rechenleistung via API für den Betrieb des KI-Modells bei erhöhtem RechenbedarfDeutschland / EU/EWRDE
Hoster:
HOSTINGER International Ltd.

Rechenzentrum:
Digital Realty Germany GmbH		Hosting / Speicherung von Kundendaten und Betrieb der KI-InfrastrukturDeutschlandDE
Brevo / Sendinblue GmbH (UAN)E-Mail-Versand- und AutomatisierungsdiensteEU/EWRDE, FR

Es werden keine externen KI-Anbieter eingesetzt. Alle Nutzerdaten verbleiben ausschließlich in Deutschland bzw. der EU/EWR. Der IONOS-Dienst stellt lediglich GPU-Rechenkapazität bereit; die Datenkontrolle verbleibt bei der Dreambirds Productions GbR.

Änderungen dieser Standorte werden dem Auftraggeber mit einer Frist von mindestens 8 Wochen im Voraus in Textform mitgeteilt.

3. Einhaltung von Gesetzen, Standards und Datenschutz

3.1 Die Dreambirds Productions GbR verpflichtet sich, bei der Erbringung der Dienstleistungen alle für den Auftraggeber geltenden gesetzlichen und sonstigen zwingenden Standards einzuhalten, insbesondere in Bezug auf Datenschutz und Bankgeheimnis.

3.2 Die Dreambirds Productions GbR verpflichtet sich, sämtliche einschlägigen Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen zum Schutz personenbezogener Daten zu beachten und dem Auftraggeber alle notwendigen Informationen offenzulegen.

© 2026 Dreambirds Productions GbR  ·  Hintere Straße 13, 76756 Bellheim  · Impressum  · 

Bereit für den Effizienz Boost im Alltag?

Flower AI

Copyright 2026 © Flower AI by Flowermoon Studio

Back to top
Schließen Sie das Menü.