Nutzungsbedingungen und Auftragsverarbeitungsvertrag (AVV) für die senze.ai Plattform

Stand: 12.08.2025 Version 1.2

Diese Nutzungsbedingungen, einschließlich des integrierten Auftragsverarbeitungsvertrags (AVV), regeln die Nutzung der von der senze.ai GmbH & Co. KG, Siebenbrunner Str. 22, 86179 Augsburg (nachfolgend „Anbieter" oder „wir") bereitgestellten Software-as-a-Service-Plattform (nachfolgend „Plattform").

Durch die Registrierung und Nutzung der Plattform stimmt der Kunde (nachfolgend „Kunde" oder „Sie") diesen Bedingungen zu.

Teil A: Allgemeine Nutzungsbedingungen (AGB)

§ 1 Geltungsbereich und Zielgruppe

  1. Diese Nutzungsbedingungen gelten für alle Verträge über die Nutzung der Plattform zwischen dem Anbieter und dem Kunden.

  2. Das Angebot des Anbieters richtet sich ausschließlich an Unternehmer im Sinne des § 14 BGB, juristische Personen des öffentlichen Rechts oder öffentlich-rechtliche Sondervermögen. Der Service umfasst insbesondere die automatisierte Pseudonymisierung und Paraphrasierung von Freitextantworten sowie deren Auswertung durch KI-Modelle in AWS EU-Regionen.

§ 2 Vertragsgegenstand

  1. Der Anbieter stellt dem Kunden die Plattform als Software-as-a-Service (SaaS) zur Verfügung.

  2. Die Plattform ermöglicht es dem Kunden, Umfragen zu erstellen, zu verwalten, durchzuführen und die resultierenden Daten, insbesondere Freitextantworten, mittels KI-gestützter Verfahren zu analysieren und visualisieren.

  3. Der genaue Funktionsumfang ergibt sich aus der jeweils aktuellen Leistungsbeschreibung auf der Plattform.

§ 3 Registrierung und Vertragsschluss

  1. Die Nutzung der Plattform erfordert eine Registrierung und die Erstellung eines Kundenkontos.

  2. Der Vertrag kommt durch die erfolgreiche Registrierung des Kunden und die Freischaltung des Kontos durch den Anbieter zustande.

  3. Der Kunde sichert zu, dass alle bei der Registrierung angegebenen Daten wahr und vollständig sind.

§ 4 Leistungsumfang und Verfügbarkeit

  1. Der Anbieter stellt die Plattform mit einer Verfügbarkeit von 95 % im Jahresmittel bereit.

  2. Ausgenommen von der garantierten Verfügbarkeit sind:

    • Geplante Wartungsfenster, die dem Kunden nach Möglichkeit vorab angekündigt werden.
    • Zeiten der Nichtverfügbarkeit aufgrund von Umständen, die außerhalb des Einflussbereichs des Anbieters liegen (höhere Gewalt, Verschulden Dritter etc.).

§ 4a Änderungen der Plattform und der Bedingungen

  1. Der Anbieter ist berechtigt, die Plattform kontinuierlich weiterzuentwickeln, soweit dies für den Kunden zumutbar ist und keine Hauptleistungspflichten entfallen.
  2. Der Anbieter kann diese Nutzungsbedingungen einschließlich des integrierten AVV ändern. Über Änderungen wird der Kunde mindestens 30 Tage vor Inkrafttreten per E-Mail informiert. Widerspricht der Kunde nicht binnen 30 Tagen, gelten die Änderungen als angenommen. Im Hinweis wird auf das Widerspruchsrecht und die Frist ausdrücklich hingewiesen.
  3. Lehnt der Kunde die Änderungen ab, ist jede Partei berechtigt, den Vertrag zum Änderungs­eintrittsdatum zu kündigen.

§ 5 Preise und Zahlungsbedingungen

  1. Die Erstellung von Umfragen ist grundsätzlich kostenlos.

  2. Für die Veröffentlichung einer Umfrage und die Durchführung der Analysen fallen Kosten an.

  3. Die Preise und Zahlungsmodalitäten werden zwischen dem Anbieter und dem Kunden individuell vereinbart. Die Rechnungsstellung erfolgt gemäß der getroffenen Vereinbarung.

§ 6 Pflichten des Kunden

  1. Der Kunde ist für die von ihm und den Umfrageteilnehmern auf der Plattform eingestellten Inhalte allein verantwortlich.

  2. Der Kunde stellt sicher, dass er über alle erforderlichen Rechte und Einwilligungen verfügt, um die Daten der Umfrageteilnehmer im Rahmen der Plattform zu erheben und zu verarbeiten.

  3. Der Kunde ist verpflichtet, die Zugangsdaten zu seinem Konto sicher aufzubewahren und vor dem Zugriff Dritter zu schützen.

  4. Nutzungsrechte: Für die Vertragsdauer erhält der Kunde ein einfaches, nicht übertragbares Nutzungsrecht an der Plattform.

  5. Nutzungsverbote: Es ist untersagt, rechtswidrige Inhalte oder ohne Einwilligung besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) einzugeben.

  6. Datensicherung: Möchte der Kunde zusätzliche Sicherungen, hat er regelmäßig die Exportfunktion zu nutzen.

§ 7 Haftung

  1. Der Anbieter haftet unbeschränkt bei Vorsatz, grober Fahrlässigkeit sowie bei Verletzung von Leben, Körper oder Gesundheit.

  2. Bei leicht fahrlässiger Verletzung wesentlicher Vertragspflichten ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt. Wesentliche Vertragspflichten sind solche, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertrauen darf.

  3. Im Übrigen ist die Haftung des Anbieters ausgeschlossen.

§ 8 Laufzeit und Kündigung

  1. Der Nutzungsvertrag wird auf unbestimmte Zeit geschlossen.

  2. Beide Parteien können den Vertrag mit einer Frist von 30 Tagen zum Ende eines Kalendermonats ordentlich kündigen.

  3. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

  4. Die Kündigung bedarf der Textform (z.B. E-Mail).

Teil B: Auftragsverarbeitungsvertrag (AVV)

Dieser Teil B regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO).

§ 9 Gegenstand, Dauer, Art und Zweck der Verarbeitung

  1. Gegenstand: Erbringung der SaaS-Dienstleistungen gemäß Teil A, insbesondere die Erhebung, Speicherung, Analyse und Visualisierung von Umfragedaten.

  2. Dauer: Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrages (Teil A).

  3. Art und Zweck: Zweck ist die Ermöglichung der im Hauptvertrag beschriebenen Umfrage- und Analysefunktionen für den Kunden. Die Verarbeitung umfasst insbesondere die Speicherung, Organisation, KI-gestützte Analyse (z.B. Anonymisierung, Paraphrasierung, Sentiment-Analyse, Themenextraktion) und Darstellung der Daten. Eine Nutzung der Daten zum Training, Fine-Tuning oder zur Evaluation von KI-Modellen findet nicht statt.

§ 9a Rechte und Pflichten des Verantwortlichen

Der Kunde trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung, die Erfüllung aller Informationspflichten gegenüber betroffenen Personen sowie die Dokumentation seiner Weisungen.

§ 10 Kategorien personenbezogener Daten und betroffener Personen

  1. Kategorien betroffener Personen: Teilnehmer an den vom Kunden erstellten Umfragen (z.B. Mitarbeiter, Kunden des Kunden).

  2. Kategorien personenbezogener Daten:

    • Antworten auf Umfragefragen (Multiple-Choice, Freitext etc.).
    • Je nach Gestaltung der Umfrage durch den Kunden können diese Daten auch besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO enthalten (z.B. politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten). Der Kunde ist dafür verantwortlich, für die Verarbeitung solcher Daten eine gültige Rechtsgrundlage zu haben.

§ 11 Rechte und Pflichten des Anbieters

  1. Der Anbieter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden.

  2. Der Anbieter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.

  3. Der Anbieter ergreift alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOMs).

  4. Hält der Anbieter eine Weisung des Kunden seiner Ansicht nach für datenschutzrechtlich unzulässig, informiert er den Kunden unverzüglich. Die Durchführung der Weisung wird bis zur Bestätigung bzw. Änderung durch den Kunden ausgesetzt.

§ 11a Meldung von Datenschutzverletzungen

Der Anbieter meldet jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens 24 Stunden nach Kenntnis, unter Angabe der in Art. 33 Abs. 3 DSGVO geforderten Informationen.

§ 11b Unterstützung des Kunden

Der Anbieter unterstützt den Kunden
a) bei der Bearbeitung von Betroffenenrechten,
b) bei Datenschutz-Folgenabschätzungen und
c) bei Konsultationen gem. Art. 36 DSGVO,
soweit sich die Unterstützungspflichten auf Verarbeitungen im Einflussbereich des Anbieters beziehen.

§ 11c Weisungen

Der Kunde kann jederzeit schriftlich oder elektronisch Weisungen zur Datenverarbeitung erteilen. Bei widersprüchlichen Weisungen informiert der Anbieter den Kunden unverzüglich.

§ 12 Technische und Organisatorische Maßnahmen (TOMs)

Der Anbieter hat folgende Maßnahmen zum Schutz der Daten implementiert:

  • Vertraulichkeit: Strenge Zugriffskontrollen durch PostgreSQL Row-Level-Security (RLS), die eine mandantenfähige Trennung der Kundendaten auf Datenbankebene sicherstellen.

  • Integrität: Schutz vor unbefugter Veränderung der Daten durch die implementierten Zugriffskontrollen.

  • Verfügbarkeit: Hosting in hochverfügbaren Rechenzentren mit automatisierten Backups.

  • Verschlüsselung: Alle Daten werden während der Übertragung (in-transit) mittels TLS 1.2+ und im Ruhezustand (at-rest) mittels AES-256 verschlüsselt.

  • Pseudonymisierung: Die Plattform bietet KI-gestützte Funktionen zur automatischen Anonymisierung und Paraphrasierung von Freitextantworten, um die Identifizierbarkeit von Personen zu minimieren.

  • Regionbindung: Sämtliche Verarbeitungen finden ausschließlich in AWS EU-Regionen statt.

§ 13 Sub-Unternehmer (Weitere Auftragsverarbeiter)

  1. Der Kunde erteilt die allgemeine Genehmigung, weitere Auftragsverarbeiter (Sub-Unternehmer) einzusetzen.

  2. Der Anbieter stellt sicher, dass mit allen Sub-Unternehmern Verträge gemäß Art. 28 DSGVO geschlossen werden und verpflichtet die Sub-Unternehmer vertraglich zu mindestens denselben Datenschutz-Pflichten, die in diesem AVV festgelegt sind.

  3. Folgende Sub-Unternehmer werden aktuell eingesetzt:

Sub-Unternehmer Dienstleistung Verarbeitungsstandort
Supabase, Inc. Datenbank, Authentifizierung, Backend Frankfurt am Main, Deutschland (EU)
Render Hosting der Anwendungscontainer Frankfurt am Main, Deutschland (EU)
Amazon Web Services EMEA SARL KI-Modell-Inferenz (via AWS Bedrock) EU
Stripe, Inc. Zahlungsabwicklung EU/Global (je nach Transaktion)
Resend, Inc. Versand von transaktionalen E-Mails USA (mit EU-Standardvertragsklauseln)¹
Functional Software, Inc. (Sentry) Fehlerüberwachung & Performance Monitoring USA (mit EU-Standardvertragsklauseln)¹

¹ Übertragung abgesichert durch aktuelle EU-SCC (2021/914).

  1. Der Anbieter informiert den Kunden über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Sub-Unternehmern und gibt dem Kunden die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.
  2. Der Kunde kann binnen 30 Tagen nach Mitteilung Einspruch erheben. Bei berechtigtem datenschutzrechtlichem Einwand räumt der Anbieter ein Sonderkündigungsrecht ein.

§ 14 Rechte der betroffenen Personen

Der Anbieter unterstützt den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten, auf Anträge auf Ausübung der Rechte der betroffenen Personen (z.B. Auskunft, Berichtigung, Löschung) zu reagieren.

§ 15 Löschung und Rückgabe von Daten

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Anbieter nach Wahl des Kunden alle personenbezogenen Daten oder gibt sie zurück, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

§ 16 Nachweise und Audits

Der Anbieter stellt alle erforderlichen Informationen zum Nachweis der Einhaltung dieses AVV bereit und ermöglicht Audits (max. 1× jährlich, 30 Tage Vorankündigung). Die Vorlage eines aktuellen ISO 27001- oder SOC 2 Type II-Berichts gilt als gleichwertig.

§ 17 Haftung im Rahmen der Auftragsverarbeitung

Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend Art. 82 DSGVO.

§ 18 Informationspflichten

Der Anbieter informiert den Kunden unverzüglich über Pfändungen, Beschlagnahmen oder andere Zugriffe Dritter auf die Daten.

Teil C: Schlussbestimmungen

  1. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

  2. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Augsburg.

  3. Sollten einzelne Bestimmungen dieser Bedingungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.