Vertrag zur Auftragsverarbeitung

Stand: 16.05.2026

Dieser Vertrag gilt ergänzend, soweit ein Kunde FotoboxSuite zur Verarbeitung personenbezogener Daten im Auftrag nutzt, insbesondere bei Online Galerien, Event Library, Gästefotos, Geräteverwaltung oder portalgestützter Bereitstellung von Eventdaten.

1. Parteien

Auftragnehmer ist Patrick Loewe, Völkerhausen 16, 31860 Emmerthal. Auftraggeber ist der jeweilige Kunde, der FotoboxSuite nutzt und personenbezogene Daten im eigenen Verantwortungsbereich verarbeitet.

2. Gegenstand und Dauer

Gegenstand ist der technische Betrieb von FotoboxSuite, Kundenportal, Online Galerien, Event Library, Upload, Speicherung, Anzeige, Download und Löschung von Daten nach Maßgabe des Hauptvertrags. Die Dauer entspricht der Dauer des jeweiligen Nutzungsvertrags zuzüglich gesetzlicher oder technisch notwendiger Nachlaufzeiten.

3. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zur Bereitstellung der Software und Serverfunktionen, insbesondere zur Kontosynchronisation, Geräteverwaltung, Eventverwaltung, Online Galerie, Fotoauslieferung, Rechnungsbereitstellung, Support, Sicherheit und Fehleranalyse.

4. Kategorien personenbezogener Daten

Je nach Nutzung können verarbeitet werden: Kontaktdaten, Zugangsdaten, Vertragsdaten, Gerätekennungen, Appversionen, Eventnamen, Galeriekennungen, Teilen PINs, Druckkontingente, Foto und Bilddateien, Dateinamen, Zeitstempel, IP-Adressen, Protokolldaten und technische Diagnosedaten.

5. Kategorien betroffener Personen

Betroffen sein können Kunden, Mitarbeitende oder Beauftragte der Kunden, fotografierte Gäste, Veranstaltungsteilnehmer, Portalnutzer und sonstige Personen, deren Daten durch den Kunden in FotoboxSuite eingebracht werden.

6. Weisungen

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Weisungen ergeben sich aus dem Hauptvertrag, den Einstellungen im Portal, den App Einstellungen und einzelnen Weisungen in Textform.

7. Vertraulichkeit

Der Auftragnehmer verpflichtet eingesetzte Personen, die Zugang zu personenbezogenen Daten haben, auf Vertraulichkeit, soweit diese nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen. Dazu gehören insbesondere Zugriffskontrolle, Passwort Hashing, Transportverschlüsselung, rollenbezogene Berechtigungen, Protokollierung, Datensicherung im angemessenen Umfang, Trennung von Kundenbereichen und sichere Administration.

9. Unterauftragsverarbeiter

Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz erforderlicher Unterauftragsverarbeiter für Hosting, Serverbetrieb, E-Mail Versand, technische Wartung und Abrechnung. Änderungen werden in geeigneter Weise mitgeteilt. Der Auftraggeber kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

10. Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung von Betroffenenrechten, Datenschutzverletzungen, Nachweispflichten und Datenschutz Folgenabschätzungen, soweit dies nach Art, Umfang und Zweck der Verarbeitung erforderlich und dem Auftragnehmer möglich ist.

11. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft.

12. Löschung und Rückgabe

Nach Ende des Vertrags werden personenbezogene Daten nach Wahl des Auftraggebers gelöscht oder in einem geeigneten Format bereitgestellt, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Nachweisinteressen entgegenstehen. Galerien und Eventdaten werden nach den eingestellten Aufbewahrungsfristen gelöscht.

13. Kontrolle und Nachweise

Der Auftragnehmer stellt dem Auftraggeber erforderliche Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Prüfungen sind mit angemessener Frist anzukündigen und so durchzuführen, dass Betrieb, Sicherheit und Vertraulichkeit anderer Kunden nicht beeinträchtigt werden.

14. Vorrang

Bei Widersprüchen zwischen diesem Vertrag zur Auftragsverarbeitung und dem Hauptvertrag gehen datenschutzrechtlich zwingende Regelungen dieses Vertrags vor.