Auftragsverarbeitungsvereinbarung
Zuletzt aktualisiert: 9. Juli 2026
Diese Auftragsverarbeitungsvereinbarung ("AVV") ist Bestandteil der Glassline-Nutzungsbedingungen zwischen der Bissekkou Karim-Julian & Weber Raphael GbR, handelnd unter Cueing Ventures, Drachenseestr. 10, 81373 München, Deutschland ("Glassline"), und dem Kunden, der die Nutzungsbedingungen akzeptiert ("Kunde"). Sie gilt, soweit Glassline Kundendaten im Auftrag des Kunden verarbeitet, auf allen Tarifen.
1. Definitionen
Datenschutzgesetze meint DSGVO, UK GDPR und Data Protection Act 2018, Schweizer DSG, ePrivacy-Regeln und Nachfolgegesetze, soweit anwendbar. Verantwortlicher, Auftragsverarbeiter, betroffene Person, Verarbeitung, Verletzung des Schutzes personenbezogener Daten und Aufsichtsbehörde haben die Bedeutungen der DSGVO.
Kundendaten meint personenbezogene Daten in Galerien und kundenseitig verwalteten Inhalten, die Glassline im Auftrag des Kunden verarbeitet, einschließlich Kundenkontaktdaten, Galerie-Zugriffsdaten, Fotos identifizierbarer Personen, Bildmetadaten, Kommentare, Favoriten, Download-/Bestellaktivitäten und Supportkommunikation zu Kundeninhalten. Glasslines eigene Verarbeitung für Kontoverwaltung, Abrechnung, rechtliche Pflichten und Sicherheit ist in der Datenschutzerklärung beschrieben.
2. Rollen und Umfang
Der Kunde ist Verantwortlicher für Kundendaten. Glassline ist Auftragsverarbeiter. Wenn der Kunde Daten im Auftrag eines Dritten verarbeitet, handelt Glassline als Unterauftragsverarbeiter. Der Kunde ist verantwortlich für eine gültige Rechtsgrundlage, erforderliche Hinweise und erforderliche Einwilligungen, auch für identifizierbare Personen auf Fotos.
Glassline verarbeitet Kundendaten nur nach dokumentierten Weisungen des Kunden, einschließlich Produktkonfiguration, Supportanfragen, Nutzungsbedingungen, dieser AVV und anwendbarem Recht. Wenn Glassline der Ansicht ist, dass eine Weisung gegen Datenschutzgesetze verstößt, informiert Glassline den Kunden, soweit dies rechtlich zulässig ist.
3. Vertraulichkeit
Glassline stellt sicher, dass zur Verarbeitung von Kundendaten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und nur Zugriff erhalten, soweit dies für Bereitstellung und Sicherheit des Dienstes erforderlich ist.
4. Sicherheit
Glassline setzt dem Risiko angemessene technische und organisatorische Maßnahmen um, einschließlich der Maßnahmen in Anlage II. Der Kunde bleibt verantwortlich für die Sicherung seiner Zugangsdaten, geeignete Galerie-Datenschutzeinstellungen und Freigabekonfiguration.
5. Verletzung des Schutzes Personenbezogener Daten
Glassline informiert den Kunden unverzüglich und, soweit möglich, innerhalb von 48 Stunden nach Kenntnis einer Verletzung des Schutzes von Kundendaten. Die Meldung enthält verfügbare Informationen zu Art der Verletzung, betroffenen Kategorien und ungefähren Zahlen, wahrscheinlichen Folgen und Gegenmaßnahmen. Informationen können schrittweise bereitgestellt werden.
Glassline untersucht, begrenzt und mindert den Vorfall und unterstützt den Kunden angemessen bei eigenen Meldepflichten.
6. Unterauftragsverarbeiter
Der Kunde erteilt Glassline eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, die für die Bereitstellung des Dienstes erforderlich sind. Die aktuelle Liste steht in Anlage III und unter Unterauftragsverarbeiter. Glassline gibt Datenschutzpflichten per schriftlichem Vertrag an Unterauftragsverarbeiter weiter und bleibt für deren Leistung verantwortlich.
Glassline informiert mindestens 30 Tage im Voraus über beabsichtigte neue oder ersetzte Unterauftragsverarbeiter. Der Kunde kann aus angemessenen Datenschutzgründen widersprechen. Wenn die Parteien den Widerspruch nicht lösen können, kann der Kunde den betroffenen Dienst als einziges Rechtsmittel für diesen Widerspruch kündigen.
7. Internationale Übermittlungen
Glassline nutzt vorrangig Hosting und Verarbeitung im EWR. Für Übermittlungen in Länder ohne Angemessenheitsbeschluss gelten die EU-Standardvertragsklauseln per Verweis, einschließlich Modul 2 für Verantwortlicher-an-Auftragsverarbeiter-Übermittlungen und Modul 3 für Auftragsverarbeiter-an-Auftragsverarbeiter-Weiterübermittlungen. Für UK-Daten gilt der UK-Zusatz, soweit erforderlich. Für Schweizer Daten werden die SCC mit Schweizer Anpassungen ausgelegt, soweit erforderlich.
Glassline führt Übermittlungsprüfungen, soweit erforderlich, und nutzt ergänzende Maßnahmen wie Verschlüsselung, Zugriffskontrollen sowie Anfechtungs- und Transparenzprozesse bei behördlichen Zugriffen, soweit verfügbar.
8. Betroffenenanfragen und Unterstützung
Glassline informiert den Kunden über Betroffenenanfragen zu Kundendaten, soweit angemessen, und beantwortet sie nur auf Weisung des Kunden oder soweit gesetzlich erforderlich. Unter Berücksichtigung der Art der Verarbeitung unterstützt Glassline den Kunden angemessen bei Betroffenenanfragen und Pflichten nach Art. 32 bis 36 DSGVO.
9. Prüfungen
Glassline stellt Informationen bereit, die angemessen erforderlich sind, um die Einhaltung dieser AVV nachzuweisen, und ermöglicht Audits, wie Art. 28 DSGVO es verlangt. Umfang und Zeitpunkt sind vorab abzustimmen; Audits erfolgen während Geschäftszeiten mit angemessener Vorankündigung und höchstens einmal jährlich, außer nach einer Verletzung oder auf Verlangen einer Aufsichtsbehörde. Der Kunde trägt eigene Kosten und angemessene Kosten von Glassline.
10. Löschung und Rückgabe
Nach Beendigung löscht oder gibt Glassline Kundendaten nach Wahl des Kunden, soweit technisch möglich, zurück und löscht Kopien binnen 30 Tagen, sofern kein Unionsrecht oder mitgliedstaatliches Recht eine Speicherung verlangt. Backups werden nur zu Sicherheits-, Kontinuitäts- und Notfallwiederherstellungszwecken aufbewahrt, nicht für die reguläre Serviceverarbeitung genutzt und im routinemäßigen Backup-Aufbewahrungszyklus überschrieben oder gelöscht.
11. Haftung und Sonstiges
Diese AVV gilt nur, soweit Kundendaten Datenschutzgesetzen unterliegen. Die Haftung richtet sich nach den Nutzungsbedingungen. Diese AVV hat bei Datenschutzthemen Vorrang vor den Nutzungsbedingungen. Die SCC haben Vorrang, soweit sie dieser AVV widersprechen. Diese AVV unterliegt deutschem Recht, vorbehaltlich zwingenden Rechts.
Glassline kann diese AVV aufgrund rechtlicher, technischer oder dienstbezogener Änderungen aktualisieren. Wesentliche Änderungen werden im Voraus mitgeteilt.
Anlage I - Einzelheiten der Verarbeitung
| Gegenstand | Bereitstellung der Glassline Fotogalerie-Plattform. |
|---|---|
| Dauer | Laufzeit der Nutzungsbedingungen plus Lösch-, Export-, Backup- und gesetzliche Aufbewahrungsfristen. |
| Art und Zweck | Hosting, Speicherung, Organisation, Anzeige, Freigabe, Auslieferung, Backups, Sicherheit, Support und Galeriezugriff. |
| Betroffene Personen | Kontonutzer und Mitarbeiter des Kunden, Kunden des Kunden, Galeriebesucher und auf Fotos abgebildete Personen. |
| Personenbezogene Daten | Kundenkontaktdaten, Zugriffsdaten, Fotos identifizierbarer Personen, Bildmetadaten, Kommentare, Favoriten, Download-/Bestellaktivitäten und Supportkommunikation zu Kundeninhalten. |
| Besondere Kategorien | Von Glassline nicht beabsichtigt verarbeitet; Fotos können besondere Kategorien unbeabsichtigt offenbaren. Der Kunde ist für erforderliche Rechtsgrundlage oder Einwilligung verantwortlich. |
| Häufigkeit | Kontinuierlich für die Dauer des Dienstes. |
Anlage II - Technische und Organisatorische Maßnahmen
- Verschlüsselung bei Übertragung per TLS und Foto-Verschlüsselung im Ruhezustand.
- Rollenbasierte Least-Privilege-Zugriffskontrollen.
- Sichere Authentifizierung und Umgang mit Zugangsdaten.
- Netzwerk- und Anwendungssicherheitskontrollen.
- Datenminimierung und Pseudonymisierung, soweit angemessen.
- Backups, Resilienz, Protokollierung und Monitoring.
- Sicherheitsprüfung von Anbietern.
- Vertraulichkeit und Schulung von Personal.
- Dokumentierte Vorfallreaktion.
Anlage III - Unterauftragsverarbeiter
Übermittlungen außerhalb des EWR sind durch die jeweilige Anbieter-AVV, EU-Standardvertragsklauseln, UK-Zusatz oder Schweizer Anpassungen soweit anwendbar sowie ergänzende Maßnahmen abgesichert.
| Unterauftragsverarbeiter | Zweck | Standort | Übermittlungsmechanismus |
|---|---|---|---|
| Supabase | Authentifizierung und Datenbankdienste | Ausgewählte EU-Projektregion | Unterzeichneter Supabase-AVV und SCC für Nicht-EWR-Verarbeitung |
| Amazon Web Services | Foto- und Dateispeicherung | EU-Region | AWS-AVV und SCC für Nicht-EWR-Verarbeitung |
| Amazon CloudFront | Globale Bildauslieferung | Globales Edge-Netzwerk | AWS-AVV, SCC und ergänzende Maßnahmen |
| Vercel | Website- und App-Hosting | Vereinigte Staaten/global | Vercel-AVV und SCC, soweit anwendbar |
| PostHog | Analyse, Feedback, Fehlerdiagnostik, Performance-Monitoring | EU-Rechenzentrum | PostHog-AVV und SCC soweit anwendbar |
| Resend | Transaktions- und Service-E-Mails | Vereinigte Staaten | Resend-AVV, SCC und ergänzende Maßnahmen |