Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO

1. Einleitung, Geltungsbereich, Definitionen

1.1. Was ist der Aufbau dieses Vertrages?

Dies ist ein Auftragsverarbeitungsvertrag (AVV), welcher zwei potenzielle Modi zur Umsetzung beim Auftragnehmer bzw. der Fotografen Online Service GmbH, Hausvogteiplatz 12, 10117 Berlin („FOS“) berücksichtigt.

Der Auftraggeber („Fotograf“) agiert entweder direkt als Verantwortlicher gegenüber der betroffenen Person. Der Begriff „Verantwortlicher“ ist innerhalb der DSGVO wie folgt definiert: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Sofern der Fotograf die Einwilligung der zur Verarbeitung von personenbezogenen Daten direkt bei der betroffenen Person einholt (oder im Falle von Minderjährigen in der Schul- und Kindergartenfotografie von deren Erziehungsberechtigten) oder die personenbezogenen Daten direkt auf Grundlage einer der übrigen Buchstaben des Art. 6 Abs. 1 DSGVO erhebt, agiert er als Verantwortlicher. FOS ist in diesem Fall als Auftragsverarbeiter des Fotografen zu qualifizieren. Dies ist in folgenden Beispielen der Fall:

Alternativ agiert der Fotograf als Auftragsverarbeiter. Der Begriff „Auftragsverarbeiter“ wird innerhalb der DSGVO wie folgt definiert: „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Sofern der Fotograf auf Grundlage eines mit einem Auftraggeber (beispielsweise einer Schule) geschlossenen Auftragsverarbeitungsvertrages verarbeitet, agiert der Auftraggeber als Verantwortlicher, der Fotograf als Auftragsverarbeiter und FOS als Unterauftragsverarbeiter.

1.2. Geltungsbereich und Definitionen

Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen FOS, Mitarbeiter von FOS oder durch FOS beauftragte Subunternehmer (Unterauftragsverarbeiter) personenbezogene Daten, welche FOS von dem Fotografen erhält, verarbeiten.

In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in Art. 4 der DSGVO zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

2.1. Gegenstand

Die Verarbeitung beruht auf der Beauftragung von FOS durch den Fotografen auf der Grundlage der Kontoerstellung auf den Websites von FOS (www.fotograf.de für Fotografen in Deutschland, www.gotphoto.at für Fotografen in Österreich bzw. www.gotphoto.ch für Fotografen in der Schweiz) und den damit akzeptierten AGB von FOS in aktuell gültigen Fassung.

Die Beauftragung bezieht sich auf alle durch den Fotografen und dessen Kunden in Anspruch genommenen Leistungen bei FOS gemäß dem Hauptvertrag (beispielsweise Abwicklung Fotoaufträgen oder Produktion von Fotoprodukten). FOS agiert zu jeder Zeit als (Unter-)Auftragsverarbeiter.

2.2. Dauer

Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.

3. Verarbeitungsdetails

Informationen zu Art und Zweck der Verarbeitung, den Arten personenbezogener Daten sowie den Kategorien betroffener Personen sind differenziert nach den unter Ziffer 1 dieser Vereinbarung dargestellten Modi in Annex 1 (Verarbeitungsdetails) beschrieben.

4. Pflichten von FOS

4.1 FOS verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie von dem Fotografen gesondert angewiesen, es sei denn, FOS ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für sie bestehen, teilt FOS diese dem Fotografen vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. 

4.2. FOS bestätigt, dass ihr die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. 

4.3. FOS sichert zu, dass sowohl sie als auch ihre Mitarbeiter sich zur Vertraulichkeit verpflichtet haben. 

4.4. Im Zusammenhang mit der beauftragten Verarbeitung hat FOS den Fotografen, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen, bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen. Eine unterstützende Tätigkeit durch FOS wird dabei jedoch nur durch Informationsweitergabe innerhalb der Kommunikationskanäle von FOS (z.B. Support, Website etc.) gewährleistet.

4.5. Machen betroffene Personen ihr gegenüber Rechte geltend, verpflichtet sich FOS gegenüber dem Fotografen, angesichts der Art der Verarbeitung den Fotografen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

4.6. Auskünfte an Dritte oder den Betroffenen darf FOS nur nach vorheriger Zustimmung durch den Fotografen erteilen. Direkt an FOS gerichtete Anfragen wird er unverzüglich an den Fotografen weiterleiten.

4.7. Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung durch den Fotografen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. 

4.8. Soweit der Fotograf als Auftragsverarbeiter agiert, sichert er mit Unterzeichnung des Vertrages zu, dass er die entsprechende Erlaubnis der Schule / des Kindergartens zur Einschaltung von Subunternehmen in Drittstaaten einholen wird. 

4.9. FOS ist verpflichtet, Modul 3 der neuen EU-Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter) mit allen Unterauftragsverarbeitern abzuschließen, wenn und soweit im Rahmen der Unterbeauftragung eine Datenübermittlung in ein Drittland erfolgt. FOS muss zudem etwaige Unterauftragsverarbeiter entsprechend verpflichten. Vor der Einschaltung von Unterauftragsverarbeitern in einem Drittland wird FOS den Fotografen in Textform informieren, so dass dem Fotografen bekannt ist, um welchen Unterauftragsverarbeiter es geht und welche Tätigkeiten dieser übernimmt.  

5. Technische und organisatorische Maßnahmen

5.1. FOS ergreift die nach Art. 32 DSGVO erforderlichen Maßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft FOS geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

5.2. Die unter https://www.fotograf.de/avv-anlagen beschriebenen Datensicherheitsmaßnahmen werden in der zum Zeitpunkt des Vertragsschlusses gültigen Version als verbindlich festgelegt. Sie definieren das von FOS geschuldete Minimum.

5.3. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Änderungen sind dem Fotografen unverzüglich per E-Mail oder innerhalb eines globalen Kommunikationsmediums innerhalb des FOS-Systems (bspw. Newsfeed) mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.

5.4. FOS sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die logische Trennung der Daten ist ausreichend. 

5.5. Dedizierte Datenträger, die von dem Fotografen oder seinen Kunden stammen bzw. für die den Fotografen genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. 

6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten

6.1. Im Rahmen des Auftrags verarbeitete Daten wird FOS nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Fotografen berichtigen, löschen oder sperren. 

6.2. Entsprechenden Weisungen des Fotografen wird FOS jederzeit Folge leisten, es sei denn diese verstoßen nach Auffassung von FOS gegen gesetzliche Bestimmungen (Bsp. Buchhaltungsvorschriften zur Aufbewahrung von Rechnungsdaten).

7. Unterauftragsverhältnisse

7.1. Die zum Zeitpunkt der Unterschrift unter https://www.fotograf.de/avv-anlagen mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragsverarbeiter werden mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Fotografen mit der Unterschrift dieses Vertrags genehmigt. Die hier niedergelegten sonstigen Pflichten von FOS gegenüber Unterauftragsverarbeitern bleiben unberührt.

7.2. Der Fotograf stimmt zu, dass FOS Unterauftragsverarbeiter hinzuzieht. Vor Hinzuziehung oder Ersetzung des Unterauftragsverarbeiters informiert FOS den Fotografen mittels eines globalen Kommunikationsmediums innerhalb des der Software von FOS  (bspw. Newsfeed).

7.3. Der Fotograf hat das Recht, innerhalb von zwei Wochen ab Kenntnis der Information über den Unterauftragsverarbeiter, aus wichtigem Grund schriftlich bei FOS Einspruch gegen den Einsatz des Unterauftragsverarbeiters einzulegen. Erfolgt kein Einspruch innerhalb der genannten Frist, gilt dies als Zustimmung des Fotografen zum Einsatz dieses Unterauftragsverarbeiters.

7.4. FOS hat dafür Sorge zu tragen, die Pflichten dieses Vertrages auf den Unterauftragsverarbeiter zu übertragen und deren Einhaltung regelmäßig zu überprüfen. Unterauftragsverarbeitern sind vertraglich mindestens dieselben Datenschutzpflichten aufzuerlegen, die in diesem Vertrag vereinbart sind. 

7.5. Die Rechte des Fotografen müssen auch gegenüber dem Unterauftragsverarbeiter wirksam ausgeübt werden können. Insbesondere muss der Fotograf berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragsverarbeitern durchzuführen oder durch Dritte durchführen zu lassen.

7.6. FOS wählt den Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung der vom Unterauftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

7.7. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Unterauftragsverarbeiter ist erst zulässig, wenn sich FOS davon überzeugt hat, dass der Unterauftragsverarbeiter seine Verpflichtungen vollständig erfüllt.

7.8. FOS darf auch Unterauftragsverarbeiter in Drittstaaten einsetzen. Es gelten die Vorgaben der Ziff. 3.7. 

7.9. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, so haftet hierfür FOS gegenüber dem Fotografen.

8. Rechte und Pflichten des Fotografen

8.1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Fotograf oder sein Auftraggeber verantwortlich.

8.2. Der Fotograf sichert zu, die Einverständniserklärung der Erziehungsberechtigten Personen zur Verarbeitung von personenbezogenen Daten eines Minderjährigen, für die in diesem Vertrag festgelegten Zwecke, eingeholt zu haben oder einzuholen, sofern diese innerhalb des Onlineshops und Bestellprozesses einzuholen sind. 

8.3. Der Fotograf ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen bei FOS in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Den mit der Kontrolle betrauten Personen ist von FOS, soweit erforderlich, Zutritt und Einblick zu ermöglichen. FOS ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Eine Prüfung kann nur in Absprache mit FOS und unter einer 2-wöchigen Anmeldefrist durchgeführt werden.

8.4. Kontrollen bei FOS haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus von dem Fotografen zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten von FOS, sowie nicht häufiger als alle 12 Monate statt. Soweit FOS den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten erbringt, ist eine Kontrolle nur mit einem vorher formulierten begründeten Verdacht möglich.

9. Mitteilungspflichten

9.1. FOS teilt dem Fotografen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat mindestens die Angaben nach Art. 33 Abs. 3 DSGVO zu enthalten. 

9.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße von FOS oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

9.3. FOS informiert den Fotografen unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.  

9.4. FOS sichert zu, den Fotografen bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen. Im erforderlichen Umfang bezieht sich dabei lediglich auf Prozesse und vorhandene Informationen innerhalb des FOS Systems sowie durch FOS im Auftrag des Fotografen ausgeführt Auftragsverarbeitungen.

10. Weisungen

10.1. Der Fotograf behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

10.2. Weisungen sind zu richten an datenschutz@fotograf.de. In Eilfällen können innerhalb des Telefon-Supports Weisungen mündlich erteilt werden. Solche Weisungen wird der Fotograf unverzüglich per E-Mail bestätigen.

10.3. FOS wird den Fotografen unverzüglich darauf aufmerksam machen, wenn eine von dem Fotografen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt oder unverhältnismäßig ist. FOS ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Fotografen bestätigt oder geändert wird.

10.4. FOS hat ihr erteilte Weisungen und deren Umsetzung zu dokumentieren.

11. Beendigung des Auftrags

11.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Fotografen hat FOS die im Auftrag verarbeiteten Daten der Kunden des Fotografen zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. 

11.2. FOS ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Unterauftragsverarbeitern herbeizuführen.

11.3. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch FOS den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. 

12. Sonderkündigungsrecht

12.1. Der Fotograf kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß durch FOS gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt oder FOS Kontrollrechte des Fotografen vertragswidrig verweigert.

12.2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn FOS die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt.

12.3. Bei unerheblichen Verstößen setzt der Fotograf FOS eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Fotograf zur außerordentlichen Kündigung, wie in diesem Abschnitt beschrieben, berechtigt.

12.4. FOS ist zur außerordentlichen Kündigung berechtigt, sofern der Fotograf der Beauftragung eines Unterauftragsverarbeiters gem. Kapitel 6 dieses Vertrages widerspricht und keine Einigung erreicht werden kann.

13. Haftung

13.1. Für die Haftung der Vertragsparteien gelten die Vorgaben des Art. 82 DSGVO.

14. Sonstiges

14.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln. Beide Parteien sind berechtigt, Informationen aus diesem Vertrag für die Zwecke der Wahrnehmung der Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO zu nutzen und Dritten gegenüber offenzulegen.

14.2. Für Nebenabreden ist die Schriftform erforderlich.

14.3. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

14.4. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Hinweis: Diese Auftragsverarbeitungsvereinbarung ist ohne Unterschrift durch Akzeptierung unserer AGB wirksam. Zum Zwecke des erleichterten Nachweises empfehlen wir jedoch dem Auftraggeber den Vertrag auszudrucken und den eigenen Unterlagen beizufügen.

Annex 1 zur Vereinbarung zur Auftragsverarbeitung (AVV)

Verarbeitungsdetails

1. Fotograf als Verantwortlicher

1.1. Art und Zweck der Verarbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch FOS ergeben sich aus dem Hauptvertrag. Dieser umfasst insbesondere folgende Tätigkeiten:

Diese Tätigkeiten dienen insbesondere folgenden Zwecken:

1.2. Art personenbezogener Daten

Es können folgende Daten verarbeitet werden:

Diese Daten werden durch den Fotografen innerhalb des FOS Systems oder durch die Kunden des Fotografen innerhalb des Onlineshops im Zuge des Abwicklungsprozesses bereitgestellt. 

1.3. Kategorien der betroffenen Personen

2. Fotograf als Auftragsverarbeiter

2.1. Art und Zweck der Verarbeitung

Art und Zweck der Verarbeitung personenbezogener Daten durch FOS ergeben sich aus dem Hauptvertrag. Dieser umfasst insbesondere folgende Tätigkeiten:

Die Zwecke dieser Verarbeitungen sind insbesondere:

2.2. Art der Daten

Es werden folgende Daten verarbeitet:

Diese Daten werden durch den Fotografen innerhalb des FOS-Systems bereitgestellt. 

2.3. Kategorien der betroffenen Personen