Vertrag zur Auftragsverarbeitung für FotoboxSuite
Stand: 08.06.2026
Diese Auftragsverarbeitungsvereinbarung gilt ergänzend, soweit ein Kunde FotoboxSuite zur Verarbeitung personenbezogener Daten im Auftrag nutzt, insbesondere bei Eventverwaltung, Online Galerien, Foto-Uploads, Geräteverwaltung oder Support.
1. Parteien
Auftragnehmer ist Patrick Loewe, Völkerhausen 16, 31860 Emmerthal. Auftraggeber ist der jeweilige Kunde, der FotoboxSuite nutzt und personenbezogene Daten im eigenen Verantwortungsbereich verarbeitet.
2. Gegenstand der Verarbeitung
Gegenstand ist der technische Betrieb von FotoboxSuite, Kundenportal, Windows App Synchronisation, Online Galerien, Upload, Speicherung, Anzeige, Download, Support und Löschung von Daten nach Maßgabe des Hauptvertrags oder der individuellen Vereinbarung.
3. Art und Zweck
Die Verarbeitung erfolgt zur Bereitstellung der Software und Serverfunktionen, insbesondere Kontosynchronisation, Geräteverwaltung, Eventverwaltung, Galerieauslieferung, Foto-Upload, QR-Code-Ausgabe, Rechnungsbereitstellung, Updatekanal, Support, Sicherheit und Fehleranalyse.
4. Kategorien personenbezogener Daten
Je nach Nutzung können verarbeitet werden: Kontaktdaten, Zugangsdaten, Vertragsdaten, Gerätekennungen, Appversionen, Eventnamen, Galeriekennungen, Teilen-PINs, Druckkontingente, Foto- und Bilddateien, Dateinamen, Zeitstempel, IP-Adressen, Protokolldaten, technische Diagnosedaten und Supportinformationen.
5. Kategorien betroffener Personen
Betroffen sein können Kunden, Mitarbeitende oder Beauftragte der Kunden, fotografierte Gäste, Veranstaltungsteilnehmer, Portalnutzer und sonstige Personen, deren Daten durch den Kunden in FotoboxSuite eingebracht werden.
6. Weisungen
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, soweit keine gesetzliche Pflicht zur Verarbeitung besteht. Weisungen ergeben sich aus Hauptvertrag, Einstellungen im Portal, App-Einstellungen und einzelnen Weisungen in Textform.
7. Vertraulichkeit
Personen mit Zugang zu personenbezogenen Daten werden auf Vertraulichkeit verpflichtet, soweit sie nicht bereits einer gesetzlichen Verschwiegenheitspflicht unterliegen.
8. Technische und organisatorische Maßnahmen
Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen. Dazu gehören Transportverschlüsselung, Passwort-Hashing, Zugriffsbeschränkung, rollenbezogene Berechtigungen, Trennung von Kundenbereichen, Protokollierung, Datensicherung im angemessenen Umfang, sichere Administration und regelmäßige technische Pflege.
9. Unterauftragsverarbeiter
Der Auftraggeber erteilt eine allgemeine Genehmigung zum Einsatz erforderlicher Unterauftragsverarbeiter für Hosting, Serverbetrieb, E-Mail Versand, technische Wartung, Support und Abrechnung. Konkrete Unterauftragsverarbeiter werden in einer separaten Anlage oder im Rahmen der individuellen Vereinbarung benannt, sobald sie final feststehen. Nicht final bestätigte Anbieter werden nicht als aktive Unterauftragsverarbeiter veröffentlicht.
10. Supportzugriffe
Supportzugriffe erfolgen nur anlassbezogen und soweit dies für Einrichtung, Fehleranalyse, Sicherheit oder Kundenunterstützung erforderlich ist. Der Zugriff wird auf das notwendige Maß beschränkt. Der Kunde bleibt für Weisungen und Zulässigkeit der Verarbeitung in seinem Verantwortungsbereich verantwortlich.
11. Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei Betroffenenrechten, Datenschutzverletzungen, Nachweispflichten und Datenschutz-Folgenabschätzungen, soweit dies nach Art, Umfang und Zweck der Verarbeitung erforderlich und möglich ist.
12. Meldung von Datenschutzvorfällen
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Auftraggebers betrifft.
13. Löschung und Rückgabe
Nach Ende des Vertrags werden personenbezogene Daten nach Wahl des Auftraggebers gelöscht oder in einem geeigneten Format bereitgestellt, soweit keine gesetzlichen Aufbewahrungspflichten, Sicherungsinteressen oder berechtigten Nachweisinteressen entgegenstehen. Galerien und Eventdaten werden nach den vereinbarten oder eingestellten Aufbewahrungsfristen gelöscht.
14. Kontrolle und Nachweise
Der Auftragnehmer stellt erforderliche Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung. Prüfungen sind mit angemessener Frist anzukündigen und so durchzuführen, dass Betrieb, Sicherheit und Vertraulichkeit anderer Kunden nicht beeinträchtigt werden.
15. Vorrang
Bei Widersprüchen zwischen dieser Auftragsverarbeitungsvereinbarung und dem Hauptvertrag gehen datenschutzrechtlich zwingende Regelungen dieser Vereinbarung vor.