Auftragsverarbeitungsvertrag (AVV)
Präambel / Parteien
Dieser Vertrag wird geschlossen zwischen dem Nutzer von konseo (Fotograf) als Verantwortlichem und Urs Michael Spiess, Ruckteschellweg 13, 22089 Hamburg (Betreiber von konseo) als Auftragsverarbeiter. Er konkretisiert die datenschutzrechtlichen Pflichten der Parteien bei der Verarbeitung personenbezogener Daten, die der Verantwortliche über konseo verarbeitet (insbesondere Model-Daten).
§ 1 Gegenstand und Dauer
(1) Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung von konseo (Erstellung, Speicherung und Bereitstellung digitaler Verträge zwischen Fotograf und Model).
(2) Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses (AGB). Endet dieses, gelten die Regelungen zu Löschung/Rückgabe (§ 8).
(2) Die Dauer entspricht der Laufzeit des Nutzungsverhältnisses (AGB). Endet dieses, gelten die Regelungen zu Löschung/Rückgabe (§ 8).
§ 2 Art, Zweck, Datenarten, Betroffene
(1) Zweck: Erstellung, Signatur, Speicherung und Bereitstellung von Model-Release-/TFP-Verträgen.
(2) Art der Daten: Stammdaten der Models (Name, Anschrift, ggf. Geburtsdatum, Kontaktdaten), Unterschrift, Vertragsinhalte und -PDFs.
(3) Kategorien Betroffener: Models (Vertragspartner der Fotografen).
(2) Art der Daten: Stammdaten der Models (Name, Anschrift, ggf. Geburtsdatum, Kontaktdaten), Unterschrift, Vertragsinhalte und -PDFs.
(3) Kategorien Betroffener: Models (Vertragspartner der Fotografen).
§ 3 Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen und im Rahmen der vertraglich vorgesehenen Funktionen von konseo.
(2) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
(2) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen.
§ 4 Pflichten des Auftragsverarbeiters
(1) Vertraulichkeit: Verpflichtung der mit der Verarbeitung befassten Personen auf Vertraulichkeit (Art. 28 Abs. 3 lit. b, Art. 29 DSGVO).
(2) Datensicherheit: geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Anlage 1).
(3) Unterstützung bei Betroffenenrechten (Art. 15–22) sowie bei Pflichten nach Art. 32–36 DSGVO, soweit möglich.
(4) Meldung von Verletzungen: unverzügliche Information des Verantwortlichen bei Verletzungen des Schutzes personenbezogener Daten.
(5) Nachweise: Bereitstellung der erforderlichen Informationen zum Nachweis der Einhaltung und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h).
(2) Datensicherheit: geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Anlage 1).
(3) Unterstützung bei Betroffenenrechten (Art. 15–22) sowie bei Pflichten nach Art. 32–36 DSGVO, soweit möglich.
(4) Meldung von Verletzungen: unverzügliche Information des Verantwortlichen bei Verletzungen des Schutzes personenbezogener Daten.
(5) Nachweise: Bereitstellung der erforderlichen Informationen zum Nachweis der Einhaltung und Ermöglichung von Überprüfungen (Art. 28 Abs. 3 lit. h).
§ 5 Unterauftragsverarbeiter
(1) Der Verantwortliche genehmigt allgemein den Einsatz folgender Unterauftragsverarbeiter: Contabo GmbH (Hosting, Deutschland), Hetzner Online GmbH (E-Mail-Versand, Deutschland), Stripe Payments Europe, Ltd. (Zahlungsabwicklung, Irland).
(2) Der Auftragsverarbeiter informiert über beabsichtigte Änderungen; der Verantwortliche kann widersprechen.
(3) Mit jedem Unterauftragsverarbeiter bestehen entsprechende Art.-28-Verträge.
(2) Der Auftragsverarbeiter informiert über beabsichtigte Änderungen; der Verantwortliche kann widersprechen.
(3) Mit jedem Unterauftragsverarbeiter bestehen entsprechende Art.-28-Verträge.
§ 6 Technische und organisatorische Maßnahmen (TOMs)
Siehe Anlage 1.
§ 7 Datenschutzverletzungen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
§ 8 Löschung und Rückgabe nach Vertragsende
(1) Nach Beendigung löscht der Auftragsverarbeiter die im Auftrag verarbeiteten Daten oder gibt sie zurück, nach Wahl des Verantwortlichen — vorbehaltlich gesetzlicher Aufbewahrungspflichten.
(2) Der Verantwortliche kann seine Daten jederzeit über die Export-Funktion herunterladen und sein Konto löschen. Bei Konto-Löschung werden alle Model- und Vertragsdaten unwiderruflich gelöscht; gesetzlich aufzubewahrende Rechnungen bleiben anonymisiert erhalten (§ 147 AO).
(2) Der Verantwortliche kann seine Daten jederzeit über die Export-Funktion herunterladen und sein Konto löschen. Bei Konto-Löschung werden alle Model- und Vertragsdaten unwiderruflich gelöscht; gesetzlich aufzubewahrende Rechnungen bleiben anonymisiert erhalten (§ 147 AO).
§ 9 Haftung und Schlussbestimmungen
(1) Es gilt deutsches Recht.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt der übrige Vertrag wirksam.
(2) Sollten einzelne Bestimmungen unwirksam sein, bleibt der übrige Vertrag wirksam.
Anlage 1 — Technische und organisatorische Maßnahmen (TOMs)
Verschlüsselung: TLS/SSL für alle Übertragungen; Passwörter gehasht.
Zugangskontrolle: Login mit Authentifizierung; minimal-privilegierter Datenbankbenutzer; Zugangsdaten nicht im Code.
Zugriffskontrolle: Nutzer sehen nur eigene Daten; token-basierter Vertragszugriff.
Verfügbarkeit: regelmäßige Backups.
Auftragskontrolle: Art.-28-Verträge mit allen Unterauftragsverarbeitern.
Zugangskontrolle: Login mit Authentifizierung; minimal-privilegierter Datenbankbenutzer; Zugangsdaten nicht im Code.
Zugriffskontrolle: Nutzer sehen nur eigene Daten; token-basierter Vertragszugriff.
Verfügbarkeit: regelmäßige Backups.
Auftragskontrolle: Art.-28-Verträge mit allen Unterauftragsverarbeitern.