Wir betreiben die SaaS-Plattform kursflow zur Kurs- und Buchungsverwaltung. Der Auftraggeber nutzt diese Plattform zur Verwaltung seiner Kurse, Buchungen und Teilnehmerdaten.
Die Verarbeitung beginnt mit der Einrichtung des Mandanten-Kontos und endet mit der vollständigen Löschung aller Daten nach Vertragsende (siehe § 8).
Die Akzeptanz dieses AVV erfolgt elektronisch im Rahmen der Registrierung gemäß Art. 28 Abs. 9 DSGVO — die Akzeptanz wird mit Datum, Uhrzeit, IP-Adresse, Doc-Version und Content-Hash audit-fähig dokumentiert.
Technische Daten: IP-Adresse, Session-Token (nur zur Authentifizierung)
4. Kategorien betroffener Personen
Kursteilnehmer / Endkunden des Auftraggebers
Trainer / Mitarbeiter des Auftraggebers (sofern als Nutzer angelegt)
5. Pflichten des Auftragnehmers
Wir verpflichten uns:
die Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten;
sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind;
geeignete technische und organisatorische Maßnahmen zu ergreifen — siehe Anlage 1: TOM-Anlage;
den Auftraggeber bei der Einhaltung der Betroffenenrechte verbindlich innerhalb der DSGVO-Fristen zu unterstützen (Eingangsbestätigung binnen 3 Werktagen, Bearbeitung binnen einem Monat);
bei einer Datenpanne den Auftraggeber unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, zu informieren;
nach Beendigung des Vertrags die Daten gemäß § 8 zu löschen oder zurückzugeben.
6. Subprocessoren (Unterauftragnehmer)
Die jeweils aktuelle Liste unserer Subprocessoren ist unter /legal/subprocessors abrufbar und wird laufend gepflegt.
Wir verpflichten uns, Änderungen unserer Subprocessor-Liste mindestens 30 Tage vor Wirksamkeit per E-Mail anzukündigen. Sie haben in dieser Frist ein Sonderkündigungsrecht, falls Sie dem neuen Subprocessor nicht zustimmen.
Mit Akzeptanz dieses AVV stimmen Sie den zum Akzeptanz-Zeitpunkt gelisteten Subprocessoren zu.
7. Drittland-Transfer
Soweit Subprocessoren in Drittländern (insbesondere USA) eingesetzt werden, erfolgt der Transfer ausschließlich auf folgender Rechtsgrundlage:
EU-US Data Privacy Framework (DPF) für DPF-zertifizierte Anbieter (aktuell: Stripe, Anthropic, Cloudflare)
Ergänzend EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO in der Fassung des Durchführungsbeschlusses (EU) 2021/914
Wir verpflichten uns, bei Wegfall des DPF auf SCCs zurückzufallen und den Auftraggeber unverzüglich zu informieren.
8. Datenlöschung und -rückgabe
Wir verpflichten uns:
Bei Account-Löschung durch einzelne Endkunden: Personenbezogene Daten werden anonymisiert (Name, E-Mail durch Platzhalter ersetzt). Buchungsdaten bleiben für Abrechnungszwecke gemäß gesetzlicher Aufbewahrungsfristen erhalten.
Bei Vertragsende mit Auftraggeber: Wir halten sämtliche Mandanten-Daten für 30 Tage zum Export bereit und liefern diese auf Anforderung als JSON oder CSV. Nach Ablauf der Frist erfolgt die endgültige Löschung der Mandanten-Datenbank.
Aufbewahrungsfristen: Rechnungsdaten werden 10 Jahre gemäß § 147 AO aufbewahrt, danach automatisch gelöscht.
Eine darüber hinausgehende Haftung für nicht fristgerecht abgerufene Daten ist ausgeschlossen.
8a. Datenpannen
kursflow informiert den Auftraggeber unverzüglich nach Kenntniserlangung über Verletzungen des Schutzes personenbezogener Daten. Soweit möglich, erfolgt die Erstinformation innerhalb von 24 Stunden nach Kenntniserlangung. Die Information enthält die nach Art. 33 DSGVO erforderlichen Angaben, soweit diese zu diesem Zeitpunkt vorliegen.
9. Betroffenenrechte
Wir unterstützen den Auftraggeber bei:
Auskunft (Art. 15): Daten-Export als JSON über /mein-konto/profil/export
Berichtigung (Art. 16): Profildaten bearbeitbar über /mein-konto/profil
Löschung (Art. 17): Account-Löschung über /mein-konto/profil/loeschen
Die Eingangsbestätigung erfolgt binnen 3 Werktagen, die Bearbeitung binnen einem Monat (DSGVO-Frist).
10. Audit-Recht
Der Auftraggeber kann die Einhaltung dieser Vereinbarung prüfen. Wir stellen alle erforderlichen Informationen zur Verfügung. Vor-Ort-Audits sind nach vorheriger Anmeldung mit angemessener Frist (mindestens 4 Wochen) und unter Wahrung des Geschäftsbetriebs möglich. Audit-Berichte anerkannter Dritter (z. B. ISO 27001) gelten als Nachweis.
11. Haftung
Es gelten die gesetzlichen Bestimmungen der DSGVO sowie die Haftungsregelung gemäß § 10 unserer AGB. Service-Credits oder monetäre Entschädigungen für Verfügbarkeitsausfälle sind ausgeschlossen.
12. Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland.
Änderungen dieses AVV kündigen wir mindestens 30 Tage vor Wirksamkeit per E-Mail an. Sie haben in dieser Frist ein Sonderkündigungsrecht.
Alle Versionen bleiben unter versionierten URLs (/legal/avv/v<X.Y>) abrufbar. Die Versionshistorie ist im CHANGELOG dokumentiert.
Akzeptanz-Audit-Trail: Die Akzeptanz dieses AVV wird mit Zeitstempel, IP-Adresse, User-Agent, Doc-Version 1.0 und Content-Hash in der Plattform-Datenbank erfasst (gem. Art. 28 Abs. 9 DSGVO).
Dieser AVV wurde durch Rechtsanwalt Cihan Kati (JustitAI, Hannover) geprüft. Stand der Prüfung: 11.05.2026.
Anlage 1: TOM-Anlage | Anlage 2: Subprocessoren