gemäß Art. 28 DSGVO zwischen ProofShare (Auftragsverarbeiter) und dem registrierten Fotografen (Verantwortlicher)
(1) Diese Auftragsverarbeitungsvereinbarung („AVV") regelt die Verarbeitung personenbezogener Daten durch ProofShare („Auftragsverarbeiter", Betreiber von ProofShare) im Auftrag des registrierten Fotografen („Verantwortlicher") im Rahmen des ProofShare-Plattformdienstes.
(2) Die AVV tritt mit der Registrierung des Verantwortlichen auf der ProofShare-Plattform und der Annahme dieser Vereinbarung in Kraft. Sie gilt für die Dauer des Abonnements und endet automatisch mit der Löschung des Nutzerkontos des Verantwortlichen.
(3) Die Allgemeinen Geschäftsbedingungen bleiben unberührt. Im Konfliktfall zwischen dieser AVV und den AGB hat die AVV in datenschutzrechtlichen Angelegenheiten Vorrang.
(1) Der Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten zu folgenden Zwecken:
(2) Die Verarbeitung erfolgt ausschließlich innerhalb des Europäischen Wirtschaftsraums, soweit nicht Daten an in § 8 genannte Unterauftragsverarbeiter übermittelt werden.
(3) Eine detaillierte Beschreibung der Verarbeitungstätigkeiten, Datenkategorien und betroffenen Personen ist in Anlage 1 zu dieser AVV enthalten.
(1) Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO) zu verarbeiten, es sei denn, er ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.
(2) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
(3) Der Auftragsverarbeiter ergreift alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen (vgl. § 7 und Anlage 2 dieser AVV).
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen.
(5) Der Auftragsverarbeiter löscht nach Abschluss der Erbringung der Verarbeitungsleistungen nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.
(6) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei (Art. 28 Abs. 3 lit. h DSGVO).
(1) Der Verantwortliche ist allein verantwortlich für die Beurteilung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten seiner Kunden und dafür, dass die Verarbeitung nach geltendem Datenschutzrecht zulässig ist.
(2) Der Verantwortliche erteilt dem Auftragsverarbeiter dokumentierte Weisungen bezüglich der Verarbeitung personenbezogener Daten. Weisungen, die vom vereinbarten Leistungsumfang dieser AVV abweichen, sind zu dokumentieren und vom Auftragsverarbeiter zu bestätigen.
(3) Der Verantwortliche informiert seine Kunden über die Einbindung von ProofShare als Auftragsverarbeiter und nimmt die erforderlichen Angaben in seine eigene Datenschutzerklärung auf.
(4) Der Verantwortliche teilt dem Auftragsverarbeiter unverzüglich mit, wenn er bei der Überprüfung der Arbeitsergebnisse des Auftragsverarbeiters Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen feststellt.
(1) Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter während der Laufzeit dieser AVV jederzeit bindende Weisungen zur Verarbeitung der personenbezogenen Daten zu erteilen.
(2) Weisungen sind in Textform zu erteilen (z. B. per E-Mail). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung des Verantwortlichen gegen die DSGVO oder sonstige anwendbare Datenschutzvorschriften verstößt, informiert er den Verantwortlichen unverzüglich hierüber. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
(1) Der Auftragsverarbeiter behandelt alle ihm vom Verantwortlichen zur Verfügung gestellten personenbezogenen Daten und Informationen streng vertraulich und gibt sie nicht unbefugt an Dritte weiter.
(2) Der Zugang zu personenbezogenen Daten ist auf diejenigen Mitarbeiter des Auftragsverarbeiters beschränkt, die ihn zur Erfüllung der vertraglichen Verpflichtungen benötigen (Need-to-know-Prinzip).
(3) Die Vertraulichkeitspflicht besteht über das Ende des Vertragsverhältnisses hinaus fort.
(1) Der Auftragsverarbeiter trifft und pflegt geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau gemäß Art. 32 DSGVO zu gewährleisten.
(2) Die konkreten Maßnahmen sind in Anlage 2 (Technische und organisatorische Maßnahmen) zu dieser AVV beschrieben, die unter tom.php eingesehen werden kann.
(3) Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen im Laufe der Zeit anzupassen, solange das Schutzniveau nicht unter den vertraglich vereinbarten Standard sinkt. Wesentliche Änderungen werden dem Verantwortlichen in Textform mit angemessener Vorlaufzeit mitgeteilt.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung zur Beauftragung der in Anlage 1 genannten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder den Ersatz von Unterauftragsverarbeitern und gibt dem Verantwortlichen dadurch die Möglichkeit, gegen derartige Änderungen innerhalb von 14 Tagen nach der Information Einspruch zu erheben.
(2) Der Auftragsverarbeiter verpflichtet seine Unterauftragsverarbeiter vertraglich zu denselben Datenschutzpflichten wie in dieser AVV vereinbart.
(3) Derzeit werden folgende Unterauftragsverarbeiter eingesetzt:
| Anbieter | Sitz | Zweck | Übermittlungsgrundlage |
|---|---|---|---|
| Cloudflare, Inc. (R2 Storage) | 101 Townsend St, San Francisco, CA 94107, USA | Speicherung von Fotos, Thumbnails, Logos | EU-US Data Privacy Framework (DPF) |
| Stripe Payments Europe, Ltd. | 1 Grand Canal Street Lower, Dublin, Irland | Zahlungsabwicklung und Rechnungsstellung | EU-ansässig (kein Drittlandstransfer) |
| Sendinblue SAS (Brevo) | 7 rue de Madrid, 75008 Paris, Frankreich | Transaktionaler E-Mail-Versand | EU-ansässig (kein Drittlandstransfer) |
(4) Verstößt ein Unterauftragsverarbeiter gegen seine Datenschutzpflichten, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Unterauftragsverarbeiters (Art. 28 Abs. 4 DSGVO).
(1) Der Auftragsverarbeiter informiert den Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten unverzüglich und spätestens innerhalb von 36 Stunden nach Bekanntwerden. Die Mitteilung erfolgt per E-Mail an die beim Verantwortlichen hinterlegte E-Mail-Adresse sowie, soweit verfügbar, über das systeminterne Benachrichtigungssystem.
(2) Die Meldung enthält zumindest (soweit die Informationen zum Zeitpunkt der Meldung verfügbar sind):
(3) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, können sie ohne unangemessene weitere Verzögerung schrittweise bereitgestellt werden.
(4) Der Auftragsverarbeiter dokumentiert jede Verletzung des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen (Art. 33 Abs. 5 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen innerhalb von 30 Tagen nach Eindämmung des Vorfalls einen schriftlichen Abschlussbericht zur Verfügung.
(5) Der Auftragsverarbeiter teilt dem Verantwortlichen ferner unverzüglich erhebliche technische Störungen und begründete Verdachtsfälle auf Datenschutzverstöße mit, die personenbezogene Daten im Rahmen dieser AVV betreffen könnten.
(6) Betrifft ein Sicherheitsvorfall potenziell mehrere Verantwortliche (z. B. durch lateralen Zugriff auf mehrere Kundenkonten), informiert der Auftragsverarbeiter jeden möglicherweise betroffenen Verantwortlichen individuell, auch wenn der vollständige Umfang des Zugriffs noch nicht feststeht.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte gemäß Art. 15 bis 22 DSGVO, soweit dies angesichts der Art der Verarbeitung möglich ist und begrenzt auf die im ProofShare-System vorhandenen Informationen.
(2) Wendet sich eine betroffene Person unmittelbar an den Auftragsverarbeiter, um Rechte geltend zu machen, leitet der Auftragsverarbeiter den Antrag unverzüglich an den Verantwortlichen weiter und antwortet der betroffenen Person nicht selbstständig, sofern er nicht ausdrücklich vom Verantwortlichen dazu angewiesen wurde.
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO, insbesondere bei:
Die Unterstützung ist auf die im ProofShare-System dem Auftragsverarbeiter zur Verfügung stehenden Informationen beschränkt.
(1) Nach Beendigung des Vertragsverhältnisses und Löschung des Nutzerkontos löscht der Auftragsverarbeiter alle personenbezogenen Daten des Verantwortlichen und dessen Kunden innerhalb einer angemessenen Frist (in der Regel innerhalb von 30 Tagen) aus allen Systemen, sofern keine gesetzlichen Aufbewahrungspflichten eine längere Speicherung erfordern.
(2) Der Verantwortliche ist für den Export seiner Daten vor der Kontolöschung verantwortlich. Der Auftragsverarbeiter stellt hierfür Download- und Exportfunktionen bereit.
(3) Auf Anfrage bestätigt der Auftragsverarbeiter schriftlich, dass alle Daten gelöscht wurden.
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage und innerhalb einer angemessenen Frist alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO erforderlich sind.
(2) Der Verantwortliche ist berechtigt, Prüfungen selbst durchzuführen oder einen unabhängigen Prüfer damit zu beauftragen. Prüfungen sind mit angemessener Vorlaufzeit anzukündigen (mindestens 14 Tage), während der üblichen Geschäftszeiten durchzuführen und dürfen den Betrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.
(3) Die Kosten der Prüfung trägt der Verantwortliche, es sei denn, die Prüfung ergibt einen wesentlichen Verstoß des Auftragsverarbeiters.
(1) Die Verarbeitung personenbezogener Daten in Drittländern außerhalb des Europäischen Wirtschaftsraums erfolgt nur mit Genehmigung des Verantwortlichen (die durch Annahme dieser AVV für die in § 8 genannten Unterauftragsverarbeiter erteilt wird) und nur, sofern die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(2) Cloudflare, Inc. hat sich dem EU-US Data Privacy Framework (DPF) angeschlossen. Der Auftragsverarbeiter überwacht Änderungen des DPF-Status seiner Unterauftragsverarbeiter und informiert den Verantwortlichen unverzüglich über etwaige relevante Änderungen.
(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO und den Allgemeinen Geschäftsbedingungen. Der Auftragsverarbeiter haftet dem Verantwortlichen für nachweisbar entstandene Schäden, die durch eine dieser AVV oder der DSGVO nicht entsprechende Verarbeitung verursacht wurden.
(2) Der Auftragsverarbeiter wird gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(1) Diese AVV und ihre Anlagen unterliegen dem Recht der Bundesrepublik Deutschland.
(2) Sollten einzelne Bestimmungen dieser AVV unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.
(3) Der Verantwortliche nimmt diese AVV bei der Registrierung auf der ProofShare-Plattform durch Ankreuzen der entsprechenden Checkbox an. Der Zeitstempel der Annahme wird zu Dokumentationszwecken gespeichert.
| Kategorie | Angaben |
|---|---|
| Gegenstand | Hosting und Betrieb von Fotogalerie- und Client-Proofing-Diensten |
| Dauer | Dauer des Abonnements; Löschung innerhalb von 30 Tagen nach Kündigung |
| Art der Verarbeitung | Erheben, Speichern, Abrufen, Verwenden, Offenlegen, Löschen |
| Zweck | Bereitstellung der ProofShare-SaaS-Plattform gemäß Vertrag |
| Datenkategorien | Kontaktdaten (Name, E-Mail), Zugangscodes, Bildinhalte, Annotationen, Freigabeentscheidungen, Moodboard-Daten, Callsheet-Daten |
| Betroffene Personen | Kunden des Verantwortlichen (Endkunden des Fotografen): volljährige und minderjährige Personen |
| Besondere Kategorien | Werden vereinbarungsgemäß nicht verarbeitet (Verantwortliche dürfen keine Daten gem. Art. 9 DSGVO ohne gesonderte Vereinbarung hochladen) |
Anlage 2 – Technische und organisatorische Maßnahmen: TOM-Dokument ansehen
Stand: June 2026