Rechtliches

Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

zwischen SynthScript, Inhaber: Christoph Kretschmer, Hornisgrindestraße 9, 77855 Achern, Deutschland — nachfolgend der „Anbieter" oder „Auftragsverarbeiter" — und dem registrierten Nutzer der Plattform PxlShare.com (https://www.pxlshare.com) — nachfolgend der „Kunde" oder „Verantwortliche". (Anbieter und Kunde gemeinsam: die Parteien.)

§ 1 Gegenstand des Vertrags

  1. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag des Kunden im Zusammenhang mit der Nutzung der Online-Plattform PxlShare.com durch den Kunden. Die Plattform bietet im Wesentlichen Foto-Galerie-Dienste an.
  2. Grundlage der Verarbeitung ist das durch die Registrierung unter https://www.pxlshare.com und die Annahme der jeweils geltenden AGB des Anbieters begründete Nutzungsverhältnis zwischen den Parteien.
  3. Der Anbieter stellt technische Systeme und Funktionalitäten bereit und verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden und zu den festgelegten Zwecken.

§ 2 Umfang, Art und Zweck der Verarbeitung; betroffene Personen

  1. Arten der Verarbeitung können insbesondere umfassen:
    • Hosting und Speicherung von Bildern und Metadaten,
    • Betrieb von Datenbanken mit Kunden-, Bestell- und Rechnungsdaten,
    • Verarbeitung von Zahlungsinformationen (z. B. zur Rechnungsstellung),
    • technische Analyse, Protokollierung, Support und Fehlerbehebung,
    • Protokollierung von Gastzugriffen auf geteilte Galerien (Zugriffsprotokoll) zu Sicherheits-, Missbrauchspräventions- und Nachweiszwecken.
  2. Zwecke der Verarbeitung: Betrieb, Bereitstellung, Verwaltung und Nutzung von Online-Fotogalerien und damit verbundener Dienste durch den Verantwortlichen für dessen Endkunden sowie die für den Betrieb erforderliche System- und Sicherheitsverwaltung.
  3. Datenkategorien (je nach Nutzung und Funktionsumfang):
    • Bilddateien, die identifizierbare Personen zeigen,
    • Stamm-, Kontakt- und Lieferdaten (z. B. Name, E-Mail, Anschrift),
    • Zahlungs- und Rechnungsdaten,
    • Nutzungs- und Protokolldaten (z. B. IP-Adressen, Nutzer-IDs, Interaktionen),
    • Gastzugriff-Protokolldaten, die erfasst werden, wenn Besucher eine geteilte Galerie über einen Zugangslink öffnen: der vom Besucher angegebene Vorname (und optional Nachname und E-Mail-Adresse), IP-Adresse, Browserkennung (User-Agent), Zeitpunkt des Zugriffs sowie Zeitpunkt der Zustimmung zu den Nutzungsbedingungen,
    • sonstige vom Verantwortlichen bereitgestellte Inhalte.
  4. Kategorien betroffener Personen können insbesondere umfassen:
    • Endkunden des Verantwortlichen (z. B. Käufer, Galeriebesucher),
    • Beschäftigte des Verantwortlichen, soweit interne Funktionen genutzt werden.

§ 3 Technische und organisatorische Maßnahmen (TOM)

  1. Die zum Zeitpunkt des Abschlusses dieses Vertrags gemäß Art. 32 DSGVO umgesetzten Maßnahmen sind in der Anlage „Technische und organisatorische Maßnahmen" aufgeführt. Der Anbieter überprüft diese regelmäßig, passt sie bei Bedarf an und legt auf Anfrage geeignete Nachweise vor.
  2. Ändern sich Art, Umfang, Zweck oder die Kategorien betroffener Personen, kann der Verantwortliche eine Anpassung angemessener TOM verlangen.
  3. Der Anbieter kann die Anlage jederzeit aktualisieren, soweit neue Risiken, rechtliche Entwicklungen oder anerkannte Best Practices dies erfordern. Das vereinbarte Sicherheitsniveau darf dabei nicht unterschritten werden. Über relevante Änderungen wird der Verantwortliche informiert.

§ 4 Berichtigung, Einschränkung und Löschung

Über Anträge betroffener Personen auf Berichtigung, Einschränkung und Löschung entscheidet der Verantwortliche. Der Anbieter nimmt solche Anträge entgegen, prüft sie nicht inhaltlich und leitet sie unverzüglich zur Entscheidung an den Verantwortlichen weiter; die Umsetzung erfolgt nach Weisung des Verantwortlichen.

§ 5 Datenschutzpflichten des Anbieters

  1. Die Verarbeitung erfolgt ausschließlich innerhalb der für den Betrieb von PxlShare.com erforderlichen Systeme. Ein Zugriff auf Fotoalben und personenbezogene Daten erfolgt nur, soweit dies zur Störungsbeseitigung oder zur Erfüllung vertraglicher Pflichten zwingend erforderlich ist.
  2. Der Anbieter verpflichtet alle Beschäftigten schriftlich zur Vertraulichkeit und dokumentiert dies.
  3. Der Anbieter ist derzeit aufgrund der Unternehmensgröße und der Art der Verarbeitung nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Sollte sich dies ändern, wird der Verantwortliche unverzüglich informiert und die Kontaktdaten werden mitgeteilt.

§ 6 Unterauftragsverhältnisse

  1. Die Einschaltung von Unterauftragsverarbeitern bedarf der vorherigen allgemeinen oder gesonderten Genehmigung des Verantwortlichen. Der Anbieter stellt sicher, dass mit Unterauftragsverarbeitern Verträge gemäß Art. 28 DSGVO geschlossen werden.
  2. Zum Zeitpunkt des Vertragsschlusses bestehen die folgenden genehmigten Unterauftragsverhältnisse (Datenverarbeitung ausschließlich im Auftrag des Anbieters):
    • Ionos SE (Plattform-Hosting),
    • AnyAPI (USt-IdNr.-Prüfung, soweit genutzt),
    • Mollie (Zahlungsabwicklung),
    • LexOffice (Rechnungsstellung).
  3. Andere Dienste – insbesondere Zahlungsdienste (PayPal) und Analyse-/Tracking-Tools (z. B. Google Analytics, Meta-Pixel) – handeln in der Regel als eigenständig Verantwortliche oder auf eigener Rechtsgrundlage. Einzelheiten enthält die Datenschutzerklärung. Der Anbieter führt eine aktuelle Liste.

§ 7 Kontroll- und Überprüfungsrechte des Verantwortlichen

  1. Der Verantwortliche kann mit angemessener Vorankündigung im erforderlichen Umfang Kontrollen und Überprüfungen durchführen oder durch unabhängige Prüfer durchführen lassen, unter Berücksichtigung der Betriebsabläufe und der Vertraulichkeit anderer Kunden.
  2. Der Anbieter stellt auf Anfrage alle Informationen, Nachweise und Unterlagen zur Verfügung, die zur Überprüfung der Einhaltung von Art. 28 DSGVO erforderlich sind.
  3. Vor-Ort-Kontrollen erfolgen in der Regel nach vorheriger Terminvereinbarung und höchstens einmal jährlich, sofern kein besonderer Anlass besteht. Eine kürzere Vorankündigung ist möglich, wenn ein begründeter Verdacht eines Datenschutzvorfalls besteht.

§ 8 Meldung von Datenschutzvorfällen

  1. Erlangt der Anbieter Kenntnis von einem Sicherheitsvorfall oder konkreten Anhaltspunkten dafür, die die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigen könnten, informiert er den Verantwortlichen unverzüglich. Dies gilt insbesondere bei unrechtmäßiger Offenlegung, unbefugtem Zugriff oder Verlust.
  2. Da auch besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO (biometrische Daten) betroffen sein können, unterstützt der Anbieter den Verantwortlichen – im Rahmen der gesetzlichen Grenzen – bei der Erfüllung der Melde- und Benachrichtigungspflichten (Art. 33, 34 DSGVO).
  3. Der Anbieter ergreift unverzüglich geeignete Gegenmaßnahmen, dokumentiert den Vorfall, die Ursachen, die Sofort- und Folgemaßnahmen und schlägt etwaige erforderliche Anpassungen der TOM vor.

§ 9 Weisungen des Verantwortlichen

  1. Der Anbieter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, soweit diese rechtmäßig und vom Leistungsumfang umfasst sind.
  2. Der Verantwortliche benennt weisungsbefugte Personen in Textform; Änderungen sind unverzüglich mitzuteilen.
  3. Der Anbieter gibt Informationen nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen an Dritte weiter, es sei denn, die Weitergabe ist gesetzlich vorgeschrieben. In diesem Fall informiert der Anbieter den Verantwortlichen vorab, soweit rechtlich zulässig.
  4. Die Erstellung und Übermittlung von Kopien, Exporten und Zusammenstellungen erfolgt ausschließlich auf Weisung. Sicherungskopien (Backups) erstellt der Anbieter gemäß der Anlage und den gesetzlichen Vorgaben.
  5. Erstellt der Anbieter Kopien zur Erfüllung eigener gesetzlicher Aufbewahrungspflichten, informiert er den Verantwortlichen über Art, Umfang und Dauer der Aufbewahrung. Das Anfertigen von Screenshots im Rahmen von Supportfällen ist nur in Ausnahmefällen oder auf ausdrückliche Weisung zulässig.

§ 10 Rückgabe und Löschung von Daten

  1. Nach Beendigung des Vertrags und auf Weisung des Verantwortlichen löscht der Anbieter alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten DSGVO-konform oder gibt sie, falls vereinbart, in einem gängigen und sicheren Format zurück. Zugangsdaten werden gesondert übermittelt. Die Löschung wird dokumentiert.
  2. Protokolleinträge über Gastzugriffe auf geteilte Galerien (Zugriffsprotokolle einschließlich der IP-Adresse) werden automatisch nach drei (3) Monaten gelöscht. Die Löschung erfolgt ohne weitere Weisung als Teil des regulären Systembetriebs.
  3. Soweit gesetzliche Aufbewahrungspflichten oder berechtigte Interessen (z. B. Beweissicherung) einer Löschung entgegenstehen, werden die Daten stattdessen in der Verarbeitung eingeschränkt. Die Löschung erfolgt nach Ablauf der Aufbewahrungsfrist.
  4. Der Anbieter bewahrt Verarbeitungs- und Compliance-Dokumentationen innerhalb der gesetzlichen Fristen auf. Einsicht wird auf Anfrage gewährt, soweit ein berechtigtes Interesse besteht.

§ 11 Laufzeit

  1. Dieser Vertrag wird wirksam, sobald der Verantwortliche die Datenverarbeitung bei der Registrierung unter https://www.pxlshare.com aktiv bestätigt (z. B. per Checkbox).
  2. Seine Gültigkeit erstreckt sich auf die Dauer des Nutzungsverhältnisses der Parteien für die Plattform PxlShare.com.
  3. Mit Beendigung des Nutzungsverhältnisses endet auch dieser Vertrag, vorbehaltlich fortbestehender Aufbewahrungs- oder Rechenschaftspflichten. § 10 findet Anwendung.

§ 12 Außerordentliche Kündigung

  1. Der Verantwortliche kann diesen Vertrag aus wichtigem Grund fristlos kündigen. Ein wichtiger Grund liegt insbesondere bei schwerwiegenden oder wiederholten Verstößen des Anbieters gegen Datenschutzpflichten oder gegen diesen Vertrag vor.
  2. Vor einer Kündigung ist dem Anbieter in der Regel eine angemessene Frist zur Abhilfe einzuräumen, soweit dies möglich ist.
  3. Beruht die außerordentliche Kündigung auf vorsätzlichem oder grob fahrlässigem Verhalten des Anbieters, kann der Verantwortliche Erstattung nachgewiesener Mehrkosten verlangen; gesetzliche Ansprüche bleiben unberührt.
  4. Nach der Kündigung übergibt der Anbieter auf Anfrage alle personenbezogenen Daten, relevante Dokumentationen und Zugangsdaten und löscht verbleibende Daten gemäß § 10, sofern keine gesetzlichen Pflichten entgegenstehen.

§ 13 Haftung und Verantwortlichkeit

  1. Der Anbieter haftet gegenüber dem Verantwortlichen für Schäden aus schuldhaften Verstößen gegen die in diesem Vertrag und im anwendbaren Datenschutzrecht festgelegten Pflichten. Der Anbieter haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit; bei einfacher Fahrlässigkeit nur für die Verletzung wesentlicher Vertragspflichten (Kardinalpflichten) und begrenzt auf den typischen, vorhersehbaren Schaden.
  2. Im Verhältnis der Parteien ist jede Partei für die von ihr verursachten Datenschutzverstöße gemäß Art. 82 DSGVO verantwortlich. Wird eine Partei von Dritten in Anspruch genommen, stellt die andere Partei sie in dem Umfang frei, in dem sie für den Verstoß verantwortlich ist. Die Parteien wirken bei der Aufklärung des Sachverhalts zusammen.

§ 14 Schlussbestimmungen

  1. Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien verpflichten sich, eine wirksame Bestimmung zu vereinbaren, die dem wirtschaftlichen Zweck und den Anforderungen des Art. 28 DSGVO am nächsten kommt.
  2. Im Falle eines Widerspruchs zwischen diesem Vertrag und sonstigen Vereinbarungen der Parteien (insbesondere dem Hauptvertrag) gehen die Bestimmungen dieses Auftragsverarbeitungsvertrags vor.

Anlage: Technische und organisatorische Maßnahmen (TOM)

Teil A – Grundsätze nach Art. 5 DSGVO

  1. Transparenz: Erfüllung der Informationspflichten in klarer, verständlicher Sprache; Dokumentation von Datenflüssen und Empfängern; Unterstützung des Verantwortlichen bei der Erfüllung seiner Informationspflichten.
  2. Zweckbindung: Erhebung und Verarbeitung nur zu festgelegten, legitimen Zwecken; Trennung der Daten nach Zweck (Trennungsgebot, siehe Teil B).
  3. Datenminimierung: Erhebung beschränkt auf das Erforderliche; Privacy by Design/Default bei Neuimplementierungen; regelmäßige Löschroutinen; rollenbasierte Berechtigungen.
  4. Richtigkeit: Sicherstellung der sachlichen Richtigkeit; zeitnahe Berichtigung nach Hinweis; Nachweis der Datenherkunft.
  5. Vertraulichkeit: Schutz vor unbefugter Verarbeitung und unbefugtem Zugriff; Verpflichtung der Beschäftigten; Nutzer- und Rechteverwaltung; physische und logische Zugangssicherungen.
  6. Integrität: Schutz vor versehentlicher Zerstörung, Verlust und Veränderung; sichere Übertragungsprotokolle (z. B. TLS, VPN); kontrollierte Updates; Änderungs- und Zugriffskontrollen.
  7. Verfügbarkeit & Belastbarkeit: Redundante Systeme, getestete Backups, Notfall- und Wiederherstellungspläne, Monitoring und Frühwarnsysteme.
  8. Rechenschaftspflicht: Dokumentation der TOM, regelmäßige Überprüfungen, AVV mit Dienstleistern, Bestellung eines DSB soweit erforderlich, Schulungen.

Teil B – Maßnahmen nach Art. 32 DSGVO

  1. Zutrittskontrolle: Betrieb ausschließlich in professionellen Rechenzentren; strenge Zutrittsregeln der Betreiber (z. B. IONOS SE); Besuchermanagement; gesicherte Büroarbeitsplätze; Geräteverschlüsselung.
  2. Zugangskontrolle: personalisierte Konten, starke Passwortrichtlinien, verpflichtende 2FA für administrative Zugänge; rollenbasierte Berechtigungen; VPN mit restriktiven Regeln, soweit erforderlich; Trennung von Gast- und Produktionsnetzen.
  3. Zugriffskontrolle: Need-to-know-Prinzip; Protokollierung sensibler Zugriffe; Verarbeitung ausschließlich in verschlüsselten Cloud-Systemen; Schutz sensibler Funktionen (z. B. Bildfilter).
  4. Weitergabekontrolle: rollenbasierte Beschränkung von Exportfunktionen; verschlüsselte Übertragung; vertragliche Bindung von Unterauftragsverarbeitern; regelmäßige Überprüfungen.
  5. Auftragskontrolle: Abschluss und Pflege von AVV; vorherige Prüfung technischer und organisatorischer Standards; interne Unterauftragsverarbeiter-Listen.
  6. Verfügbarkeitskontrolle: tägliche verschlüsselte Backups; regelmäßige Wiederherstellungstests; USV und Notstrom in den Rechenzentren; Klimatisierung und Brandschutz; Uptime-Monitoring.
  7. Trennungsgebot: logische Trennung der Datenkategorien (Endkunden/Beschäftigte); differenzierte Berechtigungskonzepte; zweckgebundene Nutzung; Mandantentrennung, soweit anwendbar.
  8. Organisation & Datenschutzmanagement: Schulungen (Onboarding/Auffrischungen); externer Datenschutzbeauftragter, soweit anwendbar; Verzeichnis von Verarbeitungstätigkeiten; Datenschutz-Folgenabschätzungen bei hohem Risiko; regelmäßige TOM-Überprüfungen im internen Kontrollsystem.

Unterschriften

Ort/Datum: __________________________

Verantwortlicher (Kunde)
Name/Unterschrift: ______________________

 

Auftragsverarbeiter (SynthScript, Inhaber: Christoph Kretschmer)
Name/Unterschrift: ______________________