Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO
Verantwortlicher (Auftraggeber): der registrierte Nutzer gemäß seinen Kontodaten – nachfolgend „Verantwortlicher".
Auftragsverarbeiter (Auftragnehmer): Bülent Konur, Betreiber von „ForeverPics" (foreverpics.events), Anschrift gemäß Impressum (foreverpics.events/impressum) – nachfolgend „Auftragsverarbeiter".
Präambel
Der Auftragsverarbeiter stellt eine Plattform zur Bereitstellung von Event-Fotogalerien bereit (Gäste laden Fotos zu einem Event des Verantwortlichen hoch). Soweit dabei personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet werden – insbesondere die hochgeladenen Fotos und die darauf abgebildeten Personen –, gilt dieser Vertrag nach Art. 28 DSGVO. Für die Verarbeitung eigener Konto-, Vertrags- und Plattformdaten ist der Auftragsverarbeiter selbst Verantwortlicher (siehe Datenschutzerklärung).
§ 1 Gegenstand, Art, Zweck und Dauer
(1) Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1.
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags bzw. der jeweiligen Speicherdauer des Pakets.
(3) Die Verarbeitung erfolgt innerhalb der EU/des EWR, soweit nicht in Anlage 3 anders geregelt und durch geeignete Garantien abgesichert.
§ 2 Weisungsrecht des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Die Nutzung der Plattform gemäß ihrer Funktionen gilt als Weisung; ergänzende Einzelweisungen sind in Textform an kontakt@foreverpics.events zu richten.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er eine Weisung für rechtswidrig hält.
§ 3 Pflichten des Auftragsverarbeiters
a) Verarbeitung nur auf dokumentierte Weisung; b) Verpflichtung der befugten Personen zur Vertraulichkeit; c) Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 2); d) Einsatz von Unterauftragsverarbeitern nur nach § 4; e) Unterstützung bei Betroffenenrechten (Art. 12–23); f) Unterstützung bei Art. 32–36 (Sicherheit, Meldungen, DSFA); g) Löschung oder Rückgabe nach Abschluss (§ 6); h) Bereitstellung der erforderlichen Nachweise und Ermöglichung von Überprüfungen (§ 5).
§ 4 Unterauftragsverarbeiter
(1) Der Verantwortliche genehmigt allgemein den Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter. (2) Über beabsichtigte Änderungen wird informiert; der Verantwortliche kann innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. (3) Den Unterauftragsverarbeitern werden dieselben Datenschutzpflichten auferlegt (Art. 28 Abs. 4 DSGVO); bei Drittlandübermittlung sind geeignete Garantien sicherzustellen.
§ 5 Kontrollrechte / Nachweise
(1) Die Einhaltung wird auf Anfrage durch geeignete Nachweise belegt (TOM-Beschreibung, Verfahrensdokumentation, ggf. Berichte der Unterauftragsverarbeiter). (2) Vor-Ort-Kontrollen sind mit angemessener Vorankündigung, während der üblichen Geschäftszeiten und ohne Störung des Betriebsablaufs möglich.
§ 6 Löschung und Rückgabe
Nach Beendigung werden die personenbezogenen Daten nach Wahl des Verantwortlichen gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Die automatische Löschung nach Ablauf der Paket-Speicherdauer bzw. nach Event-Deaktivierung gilt als vereinbart.
§ 7 Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter meldet bekannt gewordene Verletzungen unverzüglich (Art. 33 Abs. 2 DSGVO) und unterstützt bei den Melde- und Benachrichtigungspflichten (Art. 33/34 DSGVO).
§ 8 Haftung
Es gilt Art. 82 DSGVO. Im Innenverhältnis trägt jede Partei die Verantwortung entsprechend ihrem Verursachungs-/Verschuldensanteil.
§ 9 Laufzeit, Kündigung
Der Vertrag besteht für die Dauer des Hauptvertrags. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
§ 10 Schlussbestimmungen
Änderungen bedürfen der Textform. Unwirksame Bestimmungen berühren die Wirksamkeit der übrigen nicht. Es gilt deutsches Recht. Maßgeblich ist die deutsche Vertragsfassung.
Anlage 1 – Beschreibung der Verarbeitung
Gegenstand: Bereitstellung/Speicherung/Anzeige von Event-Fotogalerien im Auftrag. Art: Erheben, Speichern, Anzeigen/Bereitstellen, Download/ZIP, automatische Bildoptimierung (Thumbnails; keine biometrische Identifikation), Löschen. Zweck: Durchführung des vom Verantwortlichen veranstalteten Events. Datenarten: Foto-/Bilddaten (ggf. mit abgebildeten Personen), Anzeigename, technische Metadaten (GPS wird entfernt), pseudonyme Gast-Kennung. Betroffene: Event-Gäste (Uploader) und abgebildete Personen. Dauer: gemäß Paket-Speicherfristen; Events nach Deaktivierung.
Anlage 2 – Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
TLS/HTTPS (HSTS); Backups AES-256-verschlüsselt mit separat verwahrtem Schlüssel; Zugangskontrolle per IP-Whitelist + Authentifizierung; Foto-Auslieferung nur über signierte, befristete URLs (privater Objektspeicher); GPS-Entfernung beim Upload; IP-Anonymisierung; CSRF-Schutz, Sitzungs-Härtung, Rate-Limiting; tägliche verschlüsselte Backups mit Off-Site-Kopie; Speicherort Deutschland/EU; automatisierte Löschung nach Fristablauf.
Anlage 3 – Genehmigte Unterauftragsverarbeiter
| Dienstleister | Zweck | Standort | Transfer-Mechanismus |
|---|---|---|---|
| Contabo GmbH | Hosting + Objektspeicher (Fotos) | Deutschland / EU | EU (kein Drittland) |
| Resend Inc. | E-Mail-Versand | USA | EU-US Data Privacy Framework + SCC |
| ImprovMX | E-Mail-Empfang/Weiterleitung | USA | Standardvertragsklauseln (SCC) |