Version 1 · Stand 14. Juli 2026
Auftragsverarbeitungsvertrag (AVV)
Vereinbarung gemäß Art. 28 DSGVO · AVV-Version: Version 1
Zwischen [Verantwortlicher]
— nachfolgend der „Verantwortliche“ —
und Trust Center
— nachfolgend der „Auftragsverarbeiter“ —
Maschinelle Übersetzung – nicht rechtsverbindlich. Maßgeblich sind die Fassungen EN/FR. In Vorbereitung, juristische Prüfung ausstehend.
Auftragsverarbeitungsvertrag
Dieser Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der Vereinbarung zwischen dem Kunden („Verantwortlicher“) und der Fotosoft SA, einer in Belgien gegründeten Gesellschaft (Unternehmensnr. BE 0721.709.989), die die Plattform fotostudio.io betreibt („Auftragsverarbeiter“), und regelt die Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
1. Rollen und Gegenstand
Der Kunde (ein professioneller Fotograf oder ein Studio) ist der Verantwortliche für die personenbezogenen Daten, die er in die Plattform hochlädt oder dort erzeugt. Fotosoft handelt ausschließlich als Auftragsverarbeiter und verarbeitet diese Daten auf dokumentierte Weisung des Verantwortlichen, um den Dienst bereitzustellen (CRM, Buchungen, Galerien, Verträge, Rechnungsstellung, E-Mail).
2. Art, Zweck und Dauer
Fotosoft verpflichtet sich, die Daten nur im Rahmen dieser Zwecke zu verarbeiten („Fotosoft verarbeitet die Daten ausschließlich zum Betrieb des Dienstes“). Die Verarbeitung dauert für die Laufzeit des Abonnements des Verantwortlichen an.
3. Datenkategorien und betroffene Personen
- Betroffene Personen: die Kunden und Kontakte des Verantwortlichen sowie dessen Personal.
- Kategorien: Identifikations- und Kontaktdaten, Buchungs- und Vertragsdaten, Abrechnungsdaten sowie hochgeladenes Bildmaterial.
4. Pflichten des Auftragsverarbeiters
Fotosoft wird: Daten nur auf dokumentierte Weisung verarbeiten; sicherstellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind; die Maßnahmen gemäß Anlage 1 (TOM) umsetzen; den Verantwortlichen bei Anfragen betroffener Personen und bei seinen Pflichten gemäß Art. 32–36 DSGVO unterstützen; und die Daten am Ende des Auftragsverhältnisses löschen oder zurückgeben (siehe §8).
5. Unterauftragsverarbeiter
5.1 Allgemeine Genehmigung. Der Verantwortliche erteilt Fotosoft eine allgemeine schriftliche Genehmigung im Sinne von Art. 28 Abs. 2 Satz 2 DSGVO zur Beauftragung weiterer Auftragsverarbeiter („Unterauftragsverarbeiter"). Die zum Zeitpunkt des Abschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.
5.2 Dynamische Liste. Die jeweils aktuelle Liste aller eingesetzten Unterauftragsverarbeiter — einschließlich Name, Zweck, Standort und Datenkategorien — wird von Fotosoft fortlaufend und versioniert im Trust Center im Bereich „Unterauftragsverarbeiter" geführt. Diese dynamische Liste ist maßgeblich und Bestandteil dieses AVV; Anlage 2 gibt ihren Stand zum Zeitpunkt des Abschlusses wieder.
5.3 Vorabinformation. Beabsichtigt Fotosoft, einen Unterauftragsverarbeiter hinzuzufügen oder auszutauschen, informiert Fotosoft den Verantwortlichen hierüber mit angemessenem Vorlauf vor dem geplanten Wirksamwerden. Die Information erfolgt aktiv per E-Mail an die im abgeschlossenen AVV hinterlegte Adresse des Verantwortlichen; zusätzlich kann der Verantwortliche Änderungsbenachrichtigungen im Trust Center abonnieren. Der Verantwortliche hat eine gültige und aktuelle Kontakt-E-Mail-Adresse vorzuhalten.
5.4 Widerspruchsrecht. Der Verantwortliche kann einer beabsichtigten Änderung aus einem berechtigten, datenschutzbezogenen Grund bis zum angekündigten Wirksamwerden widersprechen. Erfolgt bis dahin kein Widerspruch, gilt die Änderung als genehmigt und wird zum angekündigten Zeitpunkt wirksam.
5.5 Folgen des Widerspruchs. Im Fall eines Widerspruchs suchen die Parteien nach billigem Ermessen eine einvernehmliche Lösung. Kann eine solche nicht innerhalb angemessener Frist gefunden werden, ist der Verantwortliche berechtigt, den betroffenen Teil des Dienstes, für den der Unterauftragsverarbeiter erforderlich ist, außerordentlich zu kündigen. Die Entfernung eines Unterauftragsverarbeiters ohne Ersatz stellt keine zustimmungspflichtige Änderung dar und bedarf keiner Vorabgenehmigung.
5.6 Weitergabe der Pflichten. Fotosoft erlegt jedem Unterauftragsverarbeiter durch Vertrag im Wesentlichen dieselben Datenschutzpflichten auf, wie sie in diesem AVV vereinbart sind, und bleibt gegenüber dem Verantwortlichen für deren Einhaltung verantwortlich.
6. Technische und organisatorische Maßnahmen (TOM)
6.1 Maßnahmen. Fotosoft trifft und unterhält die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Die zum Zeitpunkt des Abschlusses geltenden Maßnahmen sind in Anlage 1 aufgeführt.
6.2 Dynamisches Dokument. Die jeweils aktuelle Fassung der TOM — einschließlich ihres Umfangs und Inhalts — wird von Fotosoft fortlaufend und versioniert im Trust Center geführt. Diese Fassung ist maßgeblich und Bestandteil dieses AVV; Anlage 1 gibt ihren Stand zum Zeitpunkt des Abschlusses wieder.
6.3 Fortschreibung. Fotosoft darf die TOM im Zuge der technischen und organisatorischen Entwicklung anpassen, sofern das vereinbarte Schutzniveau dadurch nicht wesentlich unterschritten wird. Anders als bei Unterauftragsverarbeitern (§5) besteht insoweit kein Zustimmungs- oder Widerspruchsrecht.
6.4 Information. Änderungen der TOM werden im Trust Center versioniert nachvollziehbar gemacht; dort kann der Verantwortliche Änderungsbenachrichtigungen abonnieren. Eine aktive Einzelbenachrichtigung per E-Mail ist hierfür nicht erforderlich.
7. Internationale Übermittlungen
Fotosoft übermittelt keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums, sofern dies nicht durch einen Angemessenheitsbeschluss oder geeignete Garantien wie die EU-Standardvertragsklauseln abgedeckt ist. Alle Daten werden ausschließlich in Europa gehostet.
Review note (EN): some sub-processors (Heroku/Salesforce, AWS, Stripe, PayPal, SMTP2GO) have US parent companies. Confirm transfer mechanisms with counsel even though storage is in the EU.
8. Löschung
Bei Beendigung werden alle personenbezogenen Daten innerhalb von 30 Tagen dauerhaft von den Servern gelöscht; Backups werden nach Ablauf ihrer Aufbewahrungsfrist gelöscht.
9. Sicherheitsvorfälle
Fotosoft benachrichtigt den Verantwortlichen unverzüglich und innerhalb von 72 Stunden, sofern die Verletzung personenbezogene Daten betrifft.
10. Audits
Fotosoft stellt die Informationen zur Verfügung, die zum Nachweis der Einhaltung von Art. 28 DSGVO erforderlich sind.
11. Anwendbares Recht
Dieser AVV unterliegt belgischem Recht; zuständig sind die Gerichte von Lüttich.
Anlage 1 — Technische und organisatorische Maßnahmen
Gibt den Stand des TOM-Dokuments zum Zeitpunkt des Abschlusses wieder. Die jeweils aktuelle Fassung wird versioniert im Trust Center geführt (§6.2).
Anlage 2 — Genehmigte Unterauftragsverarbeiter
Siehe die separate Liste der Unterauftragsverarbeiter, die maßgeblich ist und den aktuellen Stand wiedergibt (§5.2). Anlage 2 gibt ihren Stand zum Zeitpunkt des Abschlusses wieder.