Vertrag zur Auftragsverarbeitung für FotoboxSuite

Stand: 08.06.2026

Diese Auftragsverarbeitungsvereinbarung gilt ergänzend, soweit ein Kunde FotoboxSuite zur Verarbeitung personenbezogener Daten im Auftrag nutzt, insbesondere bei Eventverwaltung, Online Galerien, Foto-Uploads, Geräteverwaltung oder Support.

1. Parteien

Auftragnehmer ist Patrick Loewe, Völkerhausen 16, 31860 Emmerthal. Auftraggeber ist der jeweilige Kunde, der FotoboxSuite nutzt und personenbezogene Daten im eigenen Verantwortungsbereich verarbeitet.

2. Gegenstand der Verarbeitung

Gegenstand ist der technische Betrieb von FotoboxSuite, Kundenportal, Windows App Synchronisation, Online Galerien, Upload, Speicherung, Anzeige, Download, Support und Löschung von Daten nach Maßgabe des Hauptvertrags oder der individuellen Vereinbarung.

3. Art und Zweck

Die Verarbeitung erfolgt zur Bereitstellung der Software und Serverfunktionen, insbesondere Kontosynchronisation, Geräteverwaltung, Eventverwaltung, Galerieauslieferung, Foto-Upload, QR-Code-Ausgabe, Rechnungsbereitstellung, Updatekanal, Support, Sicherheit und Fehleranalyse.

4. Kategorien personenbezogener Daten

Je nach Nutzung können verarbeitet werden: Kontaktdaten, Zugangsdaten, Vertragsdaten, Gerätekennungen, Appversionen, Eventnamen, Galeriekennungen, Teilen-PINs, Druckkontingente, Foto- und Bilddateien, Dateinamen, Zeitstempel, IP-Adressen, Protokolldaten, technische Diagnosedaten und Supportinformationen.

5. Kategorien betroffener Personen

Betroffen sein können Kunden, Mitarbeitende oder Beauftragte der Kunden, fotografierte Gäste, Veranstaltungsteilnehmer, Portalnutzer und sonstige Personen, deren Daten durch den Kunden in FotoboxSuite eingebracht werden.

6. Weisungen

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Weisungen ergeben sich aus Hauptvertrag, Einstellungen im Portal, App-Einstellungen und einzelnen Weisungen in Textform.

7. Vertraulichkeit

Personen mit Zugang zu personenbezogenen Daten werden auf Vertraulichkeit verpflichtet, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen. Dazu gehören Transportverschlüsselung, Passwort-Hashing, Zugriffsbeschränkung, rollenbezogene Berechtigungen, Trennung von Kundenbereichen, Protokollierung, Datensicherung im angemessenen Umfang, sichere Administration und regelmäßige technische Pflege.

9. Unterauftragsverarbeiter

Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz erforderlicher Unterauftragsverarbeiter für Hosting, Serverbetrieb, E-Mail Versand, technische Wartung, Support und Abrechnung. Konkrete Unterauftragsverarbeiter werden in einer separaten Anlage oder im Rahmen der individuellen Vereinbarung benannt, sobald sie final feststehen. Nicht final bestätigte Anbieter werden nicht als aktive Unterauftragsverarbeiter veröffentlicht.

10. Supportzugriffe

Supportzugriffe erfolgen nur anlassbezogen und soweit dies für Einrichtung, Fehleranalyse, Sicherheit oder Kundenunterstützung erforderlich ist. Der Zugriff wird auf das notwendige Maß beschränkt. Der Kunde bleibt für Weisungen und Zulässigkeit der Verarbeitung in seinem Verantwortungsbereich verantwortlich.

11. Unterstützung des Auftraggebers

Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei Betroffenenrechten, Datenschutzverletzungen, Nachweispflichten und Datenschutz-Folgenabschätzungen, soweit dies nach Art, Umfang und Zweck der Verarbeitung erforderlich und möglich ist.

12. Meldung von Datenschutzvorfällen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft.

13. Löschung und Rückgabe

Nach Ende des Vertrags werden personenbezogene Daten nach Wahl des Auftraggebers gelöscht oder in einem geeigneten Format bereitgestellt, soweit keine gesetzlichen Aufbewahrungspflichten, Sicherungsinteressen oder berechtigten Nachweisinteressen entgegenstehen. Galerien und Eventdaten werden nach den vereinbarten oder eingestellten Aufbewahrungsfristen gelöscht.

14. Kontrolle und Nachweise

Der Auftragnehmer stellt erforderliche Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Prüfungen sind mit angemessener Frist anzukündigen und so durchzuführen, dass Betrieb, Sicherheit und Vertraulichkeit anderer Kunden nicht beeinträchtigt werden.

15. Vorrang

Bei Widersprüchen zwischen dieser Auftragsverarbeitungsvereinbarung und dem Hauptvertrag gehen datenschutzrechtlich zwingende Regelungen dieser Vereinbarung vor.