Vereinbarung zur Auftragsbearbeitung 

1. Einleitung, Geltungsbereich, Definitionen

1.1. FOS als Auftragsbearbeiter oder Unterauftragsbearbeiter

Dies ist ein Auftragsbearbeitungsvertrag (ABV) zwischen dem Fotografen (nachfolgend „Fotograf“) und der Fotografen Online Service GmbH, Hausvogteiplatz 12, 10117 Berlin (nachfolgend „FOS“).

Der Fotograf agiert entweder direkt als Verantwortlicher gegenüber der betroffenen Person. Der Begriff „Verantwortlicher“ ist im Schweizer Bundesgesetz über den Datenschutz („DSG“) wie folgt definiert: „Verantwortlicher“ – private Person oder Bundesorgan, die oder das allein oder gemeinsam mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.

Sofern der Fotograf die Einwilligung zur Bearbeitung von Personendaten direkt bei der betroffenen Person einholt (oder im Falle von Minderjährigen in der Schul- und Kindergartenfotografie von deren Erziehungsberechtigten) oder die Personendaten anderweitig beschafft, agiert er als Verantwortlicher. FOS ist in diesem Fall als Auftragsbearbeiter des Fotografen zu qualifizieren. Dies ist zum Beispiel bei folgenden Sachverhalten der Fall, wobei die Fallbeispiele keinesfalls abschließend sind:

Alternativ agiert der Fotograf als Auftragsbearbeiter. Der Begriff „Auftragsbearbeiter“ wird im DSG wie folgt definiert: „Auftragsbearbeiter“ – private Person oder Bundesorgan, die oder das im Auftrag Personendaten bearbeitet.

Sofern der Fotograf Personendaten auf Grundlage eines mit einem Auftraggeber (beispielsweise einer Schule) geschlossenen Auftragsbearbeitungsvertrages bearbeitet, agiert der Auftraggeber als Verantwortlicher, der Fotograf als Auftragsbearbeiter und FOS als Unterauftragsbearbeiter.

1.2. Geltungsbereich und Definitionen

Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen FOS, Mitarbeiter von FOS oder durch FOS beauftragte Subunternehmer (Unterauftragsbearbeiter) Personendaten, welche FOS von dem Fotografen erhält, in dessen Auftrag bearbeiten.

In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in Art. 5 DSG zu verstehen.

2. Gegenstand und Dauer der Bearbeitung

2.1. Gegenstand

Die Bearbeitung beruht auf der Beauftragung von FOS durch den Fotografen während der Erstellung eines Nutzerkontos auf den Websites von FOS (www.gotphoto.ch für Fotografen in der Schweiz) und den dabei akzeptierten Allgemeinen Geschäftsbedingungen von FOS in der jeweils gültigen Fassung.

Die Beauftragung bezieht sich auf alle durch den Fotografen und dessen Kunden in Anspruch genommenen Leistungen bei FOS gemäß dem Hauptvertrag (beispielsweise Abwicklung von Fotoaufträgen oder Produktion von Fotoprodukten). FOS agiert zu jeder Zeit als (Unter-) Auftragsbearbeiter.

2.2. Dauer

Die Dauer dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages.

3. Bearbeitungsdetails

Art und Zweck der Bearbeitung, Arten von Personendaten und Kategorien betroffener Personen sind in Annex 1 (Bearbeitungsdetails) beschrieben.

4. Pflichten von FOS

4.1 FOS bearbeitet Personendaten ausschließlich wie vertraglich vereinbart oder wie von dem Fotografen gesondert angewiesen, es sei denn, FOS ist gesetzlich zu einer bestimmten Bearbeitung verpflichtet. Sofern solche Verpflichtungen für sie bestehen, teilt FOS diese dem Fotografen vor der Bearbeitung mit, es sei denn, die Mitteilung ist ihr gesetzlich verboten.

4.2. FOS bestätigt, dass ihr die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind.

4.3. FOS sichert zu, dass sowohl sie als auch ihre Mitarbeiter sich zur Vertraulichkeit verpflichtet haben. 

4.4. Im Zusammenhang mit der beauftragten Bearbeitung wird FOS den Fotografen, unter Berücksichtigung der Art der Bearbeitung und der ihr zur Verfügung stehenden Informationen, bei Erstellung und Fortschreibung des Verzeichnisses der Bearbeitungstätigkeiten nach Art. 12 DSG unterstützen. Eine unterstützende Tätigkeit durch FOS wird dabei jedoch nur durch Informationsweitergabe innerhalb der Kommunikationskanäle von FOS (z.B. Support, Website etc.) gewährleistet.

4.5. Machen betroffene Personen bestehende Rechte geltend, verpflichtet sich FOS gegenüber dem Fotografen, den Fotografen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen im erforderlichen Umfang zu unterstützen, soweit die Auftragsbearbeitung von Daten betroffen ist.

4.6. Auskünfte an Dritte oder den Betroffenen darf FOS nur nach vorheriger Zustimmung durch den Fotografen erteilen. Direkt an FOS gerichtete Anfragen wird FOS unverzüglich an den Fotografen weiterleiten.

4.7. Die Bearbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Eine Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 16 und 17 DSG erfüllt sind.

4.8. Soweit der Fotograf als Auftragsbearbeiter agiert, sichert er mit Unterzeichnung des Vertrages zu, dass er die entsprechende Erlaubnis des Auftraggebers (z.B. der Schule / des Kindergartens) zur Einschaltung von Subunternehmen in Drittstaaten einholen wird.

4.9. FOS ist verpflichtet, Modul 3 der neuen EU-Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter) mit allen Unterauftragsbearbeitern abzuschließen, wenn und soweit im Rahmen der Unterbeauftragung eine Datenübermittlung in ein Drittland erfolgt. FOS muss zudem etwaige Unterauftragsbearbeiter entsprechend verpflichten. Vor der Einschaltung von Unterauftragsbearbeitern in einem Drittland wird FOS den Fotografen in Textform informieren, so dass dem Fotografen bekannt ist, um welchen Unterauftragsbearbeiter es geht und welche Tätigkeiten dieser übernimmt. 

5. Technische und organisatorische Maßnahmen

5.1. FOS ergreift die nach Art. 7 DSG erforderlichen Maßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Bearbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft FOS geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

5.2. Die unter https://www.fotograf.de/avv-anlagen beschriebenen Datensicherheitsmaßnahmen werden in der zum Zeitpunkt des Vertragsschlusses gültigen Version als verbindlich festgelegt. Sie definieren das von FOS geschuldete Minimum.

5.3. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Änderungen sind dem Fotografen unverzüglich per E-Mail oder innerhalb eines globalen Kommunikationsmediums innerhalb des FOS-Systems (bspw. Newsfeed) mitzuteilen.

5.4. FOS sichert zu, dass die im Auftrag bearbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die logische Trennung der Daten ist ausreichend.

5.5. Dedizierte Datenträger, die von dem Fotografen oder seinen Kunden stammen bzw. die für den Fotografen genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein.

6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten

6.1. Im Rahmen des Auftrags bearbeitete Daten wird FOS nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Fotografen berichtigen, löschen oder sperren.

6.2. Entsprechenden Weisungen des Fotografen wird FOS jederzeit Folge leisten, es sei denn diese verstoßen nach Auffassung von FOS gegen gesetzliche Bestimmungen (Bsp. Buchhaltungsvorschriften zur Aufbewahrung von Rechnungsdaten).

7. Unterauftragsverhältnisse

7.1. Die zum Zeitpunkt des Vertragsschlusses unter https://www.fotograf.de/avv-anlagen mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragsbearbeiter werden mit der Bearbeitung von Personendaten in dem dort genannten Umfang beschäftigt und durch den Fotografen mit der Unterschrift dieses Vertrags genehmigt. Die hier niedergelegten sonstigen Pflichten von FOS gegenüber Unterauftragsbearbeitern bleiben unberührt.

7.2. Der Fotograf stimmt zu, dass FOS Unterauftragsbearbeiter hinzuzieht. Vor Hinzuziehung oder Ersetzung des Unterauftragsbearbeiters informiert FOS den Fotografen mittels eines globalen Kommunikationsmediums innerhalb der Software von FOS  (bspw. Newsfeed).

7.3. Der Fotograf hat das Recht, innerhalb von zwei Wochen ab Kenntnis der Information über den Unterauftragsbearbeiter, aus wichtigem Grund schriftlich bei FOS Einspruch gegen den Einsatz des Unterauftragsbearbeiters einzulegen. Erfolgt kein Einspruch innerhalb der genannten Frist, gilt dies als Zustimmung des Fotografen zum Einsatz dieses Unterauftragsbearbeiters.

7.4. FOS hat dafür Sorge zu tragen, die Pflichten dieses Vertrages auf den Unterauftragsbearbeiter zu übertragen und deren Einhaltung regelmäßig zu überprüfen. Unterauftragsbearbeitern sind vertraglich mindestens dieselben Datenschutzpflichten aufzuerlegen, die in diesem Vertrag vereinbart sind.

7.5. Die Rechte des Fotografen müssen auch gegenüber dem Unterauftragsbearbeiter wirksam ausgeübt werden können. Insbesondere muss der Fotograf berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragsbearbeitern durchzuführen oder durch Dritte durchführen zu lassen.

7.6. FOS wählt den Unterauftragsbearbeiter unter besonderer Berücksichtigung der Eignung der vom Unterauftragsbearbeiter getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

7.7. Die Weiterleitung von im Auftrag bearbeiteten Daten an den Unterauftragsbearbeiter ist erst zulässig, wenn sich FOS davon überzeugt hat, dass der Unterauftragsbearbeiter seine Verpflichtungen vollständig erfüllt.

7.8. FOS darf auch Unterauftragsbearbeiter in Drittstaaten einsetzen. Es gelten die Vorgaben der Ziff. 4.9.

7.9. Kommt der Unterauftragsbearbeiter seinen Datenschutzverpflichtungen nicht nach, so haftet hierfür FOS gegenüber dem Fotografen.

8. Rechte und Pflichten des Fotografen

8.1. Für die Beurteilung der Zulässigkeit der beauftragten Bearbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Fotograf oder sein Auftraggeber verantwortlich.

8.2. Der Fotograf sichert zu, die Einverständniserklärung der betroffenen Person und sofern die betroffene Person minderjährig ist, die Einverständniserklärung der erziehungsberechtigten Personen zur Bearbeitung von Personendaten, für die in diesem Vertrag festgelegten Zwecke, eingeholt zu haben oder einzuholen, sofern diese nach den einschlägigen gesetzlichen Bestimmungen einzuholen sind.

8.3. Der Fotograf ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen bei FOS in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenbearbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Den mit der Kontrolle betrauten Personen ist von FOS, soweit erforderlich, Zutritt und Einblick zu ermöglichen. FOS ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Eine Prüfung kann nur in Absprache mit FOS und mit einer 2-wöchigen Anmeldefrist durchgeführt werden.

8.4. Kontrollen bei FOS haben ohne vermeidbare Störungen ihres Geschäftsbetriebs zu erfolgen. Soweit nicht aus von dem Fotografen nachzuweisenden, dringlichen Gründen anders angezeigt, finden Kontrollen nur nach angemessener Vorankündigung und zu Geschäftszeiten von FOS, sowie nicht häufiger als alle 12 Monate statt. Soweit FOS den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten erbringt, ist eine Kontrolle nur mit einem vorher formulierten begründeten Verdacht möglich.

9. Mitteilungspflichten

9.1. FOS teilt dem Fotografen Verletzungen der Datensicherheit gemäß Art. 24(3) DSG unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen.

9.2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße von FOS oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

9.3. FOS informiert den Fotografen unverzüglich über Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsbearbeitung aufweisen.  

9.4. FOS sichert zu, den Fotografen bei dessen Pflichten nach Art. 24(1) und 24(4) DSG im erforderlichen Umfang zu unterstützen. Der erforderliche Umfang bezieht sich dabei lediglich auf Prozesse und vorhandene Informationen innerhalb des FOS Systems sowie durch FOS im Auftrag des Fotografen ausgeführte Auftragsbearbeitungen.

10. Weisungen

10.1. Der Fotograf behält sich hinsichtlich der Bearbeitung im Auftrag ein umfassendes Weisungsrecht vor.

10.2. Weisungen sind zu richten an datenschutz@fotograf.de. In Eilfällen können innerhalb des Telefon-Supports Weisungen mündlich erteilt werden. Solche Weisungen wird der Fotograf unverzüglich per E-Mail bestätigen.

10.3. FOS wird den Fotografen unverzüglich darauf aufmerksam machen, wenn eine von dem Fotografen erteilte Weisung ihrer Meinung nach gegen gesetzliche Vorschriften verstößt oder unverhältnismäßig ist. FOS ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Fotografen bestätigt oder geändert wird.

10.4. FOS hat ihr erteilte Weisungen und deren Umsetzung zu dokumentieren.

11. Beendigung des Auftrags

11.1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Fotografen hat FOS die im Auftrag bearbeiteten Daten der Kunden des Fotografen zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.

11.2. FOS ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Unterauftragsbearbeitern herbeizuführen.

11.3. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenbearbeitung dienen, sind durch FOS den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren.

12. Sonderkündigungsrecht

12.1. Der Fotograf kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß durch FOS gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt oder FOS Kontrollrechte des Fotografen vertragswidrig verweigert.

12.2. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn FOS die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt.

12.3. Bei unerheblichen Verstößen setzt der Fotograf FOS eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht fristgerecht, so ist der Fotograf zur außerordentlichen Kündigung, wie in diesem Abschnitt beschrieben, berechtigt.

12.4. FOS ist zur außerordentlichen Kündigung berechtigt, sofern der Fotograf der Beauftragung eines Unterauftragsbearbeiters gem. Kapitel 7 dieses Vertrages widerspricht und keine Einigung erzielt werden kann.

13. Haftung

13.1. Für die Haftung der Vertragsparteien gelten die Vorgaben der Art. 60ff. DSG.

14. Sonstiges

14.1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

14.2. Für Nebenabreden ist die Schriftform erforderlich.

14.3. Die Einrede des Zurückbehaltungsrechts wird hinsichtlich der im Auftrag bearbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

14.4. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Hinweis: Diese Auftragsbearbeitungsvereinbarung ist ohne Unterschrift durch Annahme unserer AGB wirksam. Zum Zwecke des erleichterten Nachweises empfehlen wir jedoch dem Fotografen, den Vertrag auszudrucken und den eigenen Unterlagen beizufügen.

Annex 1 zur Vereinbarung zur Auftragsbearbeitung (ABV)

Bearbeitungsdetails

1. Fotograf als Verantwortlicher

1.1. Art und Zweck der Bearbeitung

Art und Zweck der Bearbeitung von Personendaten durch FOS ergeben sich aus dem Hauptvertrag. Die Art der Bearbeitung umfasst insbesondere folgende Tätigkeiten:

Diese Tätigkeiten dienen insbesondere folgenden Zwecken:

1.2. Art von Personendaten

Es können folgende Daten bearbeitet werden:

Diese Daten werden durch den Fotografen innerhalb des FOS Systems oder durch die Kunden des Fotografen innerhalb des Onlineshops im Zuge des Abwicklungsprozesses bereitgestellt.

1.3. Kategorien der betroffenen Personen

2. Fotograf als Auftragsbearbeiter

2.1. Art und Zweck der Bearbeitung

Art und Zweck der Bearbeitung von Personendaten durch FOS ergeben sich aus dem Hauptvertrag. Die Art der Bearbeitung umfasst insbesondere folgende Tätigkeiten:

Die Zwecke dieser Bearbeitungen sind insbesondere:

2.2. Art der Daten

Es werden folgende Daten bearbeitet:

Diese Daten werden durch den Fotografen innerhalb des FOS-Systems bereitgestellt.

2.3. Kategorien der betroffenen Personen

AVV Herunterladen