Auftragsverarbeitungsvertrag (AVV)

1. Vertragsparteien

Auftragsverarbeiter:
Agape GbR
Mirko Cavar, Simone Cavar
Grüner Weg 52
59379 Selm
E-Mail: [email protected]

Verantwortlicher: Der bei Exposea registrierte Nutzer (Fotograf), identifiziert über die hinterlegte E-Mail-Adresse und Stammdaten im Konto.

2. Gegenstand und Dauer

Gegenstand der Auftragsverarbeitung ist die Bereitstellung der SaaS-Plattform Exposea zur Verwaltung und Auslieferung von Fotogalerien an Endkunden des Verantwortlichen. Die Verarbeitung erfolgt für die Dauer des aktiven Nutzungsverhältnisses gemäß AGB und endet mit Kontolöschung.

3. Art und Zweck der Verarbeitung

• Speicherung und Auslieferung von Bilddateien
• Verwaltung von Galerie-Zugängen (Passwort, E-Mail-Gate)
• Aktivitäts-Logging (Downloads, Favoriten, Kommentare)
• Versand transaktionaler E-Mails (Galerie-Benachrichtigungen, Erinnerungen)
• Bereitstellung von Statistik- und Aktivitätsdaten an den Verantwortlichen

4. Art der personenbezogenen Daten

• Bildmaterial der Endkunden des Verantwortlichen (ggf. mit Personenbezug)
• E-Mail-Adressen und Namen von Galeriebesuchern (E-Mail-Gate, Kommentare)
• IP-Adressen und Zeitstempel von Galerie-Zugriffen
• Sitzungs-IDs und technische Metadaten

5. Kategorien betroffener Personen

• Endkunden des Verantwortlichen (z. B. Hochzeitspaare, Porträtkunden, Eventbesucher)
• Auf den Fotos abgebildete Dritte
• Galeriebesucher mit E-Mail-Gate-Registrierung

6. Pflichten des Auftragsverarbeiters

Exposea verpflichtet sich:

• Personenbezogene Daten ausschließlich im Rahmen dokumentierter Weisungen zu verarbeiten (Art. 28 Abs. 3 lit. a DSGVO)
• Mit der Verarbeitung befasste Personen zur Vertraulichkeit zu verpflichten (lit. b)
• Die in Abschnitt 9 genannten technischen und organisatorischen Maßnahmen einzuhalten (lit. c)
• Den Verantwortlichen bei Wahrnehmung von Betroffenenrechten zu unterstützen (lit. e)
• Bei Datenschutzverletzungen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis, zu informieren (lit. f)
• Daten nach Vertragsende auf Wunsch zu löschen oder zurückzugeben (lit. g)
• Auf Anforderung die zur Erfüllung dieser Pflichten erforderlichen Informationen zur Verfügung zu stellen (lit. h)

7. Pflichten des Verantwortlichen

• Rechtmäßigkeit der Datenerhebung und -bereitstellung sicherstellen (Einwilligungen der abgebildeten Personen, etc.)
• Erforderliche Informations- und Auskunftspflichten gegenüber Betroffenen erfüllen
• Zugangsdaten zum Konto vertraulich behandeln und Mitarbeiter entsprechend schulen
• Galerie-Passwörter sicher an Endkunden übermitteln

8. Genehmigte Subunternehmer (Subprocessoren)

Der Verantwortliche genehmigt mit Annahme dieses AVV den Einsatz folgender Subprocessoren gemäß Art. 28 Abs. 2 DSGVO:

• Cloudflare, Inc. (USA) — Hosting, D1-Datenbank, R2-Speicher, Workers, KV — DPF-zertifiziert
• Resend, Inc. (USA) — Transaktions-E-Mail-Versand — DPF-zertifiziert
• Stripe Payments Europe Ltd. (Irland) / Stripe, Inc. (USA) — Zahlungsabwicklung — DPF-zertifiziert

Die jeweils aktuelle Liste ist unter /subprocessors einsehbar. Exposea informiert den Verantwortlichen mindestens 30 Tage vor Aufnahme oder Wechsel eines Subprocessors per E-Mail. Der Verantwortliche kann der Änderung widersprechen; in diesem Fall steht ihm ein Sonderkündigungsrecht zu.

9. Technische und organisatorische Maßnahmen (TOMs)

Exposea trifft folgende Maßnahmen gemäß Art. 32 DSGVO:

• Vertraulichkeit: Verschlüsselte Übertragung (TLS 1.3), Passwort-Hashing (PBKDF2), Galerie-Passwörter gehasht, HttpOnly-Session-Cookies, Mandantentrennung auf Datenbankebene
• Integrität: Eingabe-Validierung, Rate-Limiting auf Authentifizierungs-Endpoints, Stripe-Webhook-Signaturprüfung
• Verfügbarkeit: Cloudflare Edge-Replikation, tägliches D1-Backup nach R2 (90 Tage Aufbewahrung), 30-Tage Time-Travel-Restore
• Belastbarkeit: Ausfallsichere Cloudflare-Workers-Architektur, Auto-Scaling am Edge
• Wiederherstellung: Quartalsweiser Restore-Drill, dokumentiert im Operations-Runbook
• Verfahren zur Überprüfung: Automatisierte Tenant-Isolation-Tests in CI, regelmäßige Code-Reviews
• Auftragskontrolle: Verarbeitung ausschließlich nach Weisung, dokumentierte Subprocessoren mit DPA

10. Datenübermittlung in Drittländer

Datenübermittlungen in die USA erfolgen ausschließlich auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Alle eingesetzten Subprocessoren sind DPF-zertifiziert. Standardvertragsklauseln werden zusätzlich zur Absicherung verwendet, soweit erforderlich.

11. Kontroll- und Auskunftsrechte

Der Verantwortliche kann jederzeit per E-Mail an [email protected] Auskunft über die Verarbeitung verlangen. Auf Anfrage stellt Exposea Berichte über die getroffenen TOMs zur Verfügung. Vor-Ort-Kontrollen erfolgen nach Voranmeldung mit angemessener Frist; Kosten trägt der Verantwortliche, sofern nicht ein konkreter Verdachtsfall besteht.

12. Löschung und Rückgabe

Nach Beendigung der Auftragsverarbeitung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten stehen entgegen. Auf Wunsch des Verantwortlichen erfolgt vor Löschung ein Datenexport (JSON-Format, vollständig).

13. Schlussbestimmungen

Es gilt deutsches Recht. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Änderungen dieses AVV werden mit einer Vorankündigung von mindestens 30 Tagen per E-Mail mitgeteilt; bei Widerspruch besteht ein Sonderkündigungsrecht.