Auftragsverarbeitungsvertrag (AVV)

1. Gegenstand und Dauer

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag.

Auftraggeber (Verantwortlicher): Der registrierte Fotograf/Nutzer von phosel.de

Auftragnehmer (Auftragsverarbeiter): Julian Radins, Smaragdweg 5, 06120 Halle (Saale), Deutschland

Die Laufzeit richtet sich nach der Nutzung des Dienstes phosel.de. Der AVV endet automatisch mit Beendigung des Nutzungsverhältnisses.

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der SaaS-Plattform phosel.de, insbesondere:

• Speicherung und Auslieferung von Bildern und Videos
• Verwaltung von Kunden-Sessions (Name, E-Mail)
• Erfassung von Kundenauswahlen, Bewertungen und Kommentaren
• Versand von E-Mail-Benachrichtigungen
• Erstellung von Rechnungen

3. Art der personenbezogenen Daten

• Kontaktdaten der Kunden des Auftraggebers (Name, E-Mail-Adresse)
• Nutzungsdaten (IP-Adressen, Zugriffszeiten, Geräteinformationen)
• Bilddaten und Metadaten (EXIF-Daten, Dateinamen)
• Kommunikationsinhalte (Kommentare, Pin-Annotationen)
• Auswahldaten (Bewertungen, Status)

4. Kategorien betroffener Personen

• Kunden des Auftraggebers (Galerie-Besucher)
• Der Auftraggeber selbst (Fotograf/Nutzer)

5. Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

• Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
• Alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit zu verpflichten
• Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen
• Unterauftragsverarbeiter nur mit vorheriger Zustimmung einzusetzen
• Den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber Betroffenen zu unterstützen
• Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben
• Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen

6. Technische und organisatorische Maßnahmen

• Verschlüsselung: TLS 1.3 für alle Datenübertragungen, verschlüsselte Passwörter (bcrypt)
• Zugangskontolle: Authentifizierung per JWT, rollenbasierte Zugriffsrechte
• Datenminimierung: Nur für den Dienst notwendige Daten werden erhoben
• Verfügbarkeit: Hosting bei Hetzner (Deutschland), regelmäßige Backups
• Speicherort: Alle Daten werden auf Servern in Deutschland (Hetzner, Nürnberg) gespeichert
• Löschung: Automatische Löschung nach Ablauf der eingestellten Aufbewahrungsfrist
• Trennungsgebot: Mandantentrennung durch separate Datenbankeinträge pro Fotograf

7. Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt:

8. Rechte des Auftraggebers

Der Auftraggeber hat das Recht:

• Weisungen zur Datenverarbeitung zu erteilen
• Die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen
• Die Löschung oder Rückgabe der Daten nach Vertragsende zu verlangen
• Über Datenschutzverletzungen unverzüglich informiert zu werden

9. Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten.

10. Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.