Rechtliches

Auftragsverarbeitungsvereinbarung

Zuletzt aktualisiert: 9. Juli 2026

Diese Auftragsverarbeitungsvereinbarung ("AVV") ist Bestandteil der Glassline-Nutzungsbedingungen zwischen der Bissekkou Karim-Julian & Weber Raphael GbR, handelnd unter Cueing Ventures, Drachenseestr. 10, 81373 München, Deutschland ("Glassline"), und dem Kunden, der die Nutzungsbedingungen akzeptiert ("Kunde"). Sie gilt, soweit Glassline Kundendaten im Auftrag des Kunden verarbeitet, auf allen Tarifen.

1. Definitionen

Datenschutzgesetze meint DSGVO, UK GDPR und Data Protection Act 2018, Schweizer DSG, ePrivacy-Regeln und Nachfolgegesetze, soweit anwendbar. Verantwortlicher, Auftragsverarbeiter, betroffene Person, Verarbeitung, Verletzung des Schutzes personenbezogener Daten und Aufsichtsbehörde haben die Bedeutungen der DSGVO.

Kundendaten meint personenbezogene Daten in Galerien und kundenseitig verwalteten Inhalten, die Glassline im Auftrag des Kunden verarbeitet, einschließlich Kundenkontaktdaten, Galerie-Zugriffsdaten, Fotos identifizierbarer Personen, Bildmetadaten, Kommentare, Favoriten, Download-/Bestellaktivitäten und Supportkommunikation zu Kundeninhalten. Glasslines eigene Verarbeitung für Kontoverwaltung, Abrechnung, rechtliche Pflichten und Sicherheit ist in der Datenschutzerklärung beschrieben.

2. Rollen und Umfang

Der Kunde ist Verantwortlicher für Kundendaten. Glassline ist Auftragsverarbeiter. Wenn der Kunde Daten im Auftrag eines Dritten verarbeitet, handelt Glassline als Unterauftragsverarbeiter. Der Kunde ist verantwortlich für eine gültige Rechtsgrundlage, erforderliche Hinweise und erforderliche Einwilligungen, auch für identifizierbare Personen auf Fotos.

Glassline verarbeitet Kundendaten nur nach dokumentierten Weisungen des Kunden, einschließlich Produktkonfiguration, Supportanfragen, Nutzungsbedingungen, dieser AVV und anwendbarem Recht. Wenn Glassline der Ansicht ist, dass eine Weisung gegen Datenschutzgesetze verstößt, informiert Glassline den Kunden, soweit dies rechtlich zulässig ist.

3. Vertraulichkeit

Glassline stellt sicher, dass zur Verarbeitung von Kundendaten befugte Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und nur Zugriff erhalten, soweit dies für Bereitstellung und Sicherheit des Dienstes erforderlich ist.

4. Sicherheit

Glassline setzt dem Risiko angemessene technische und organisatorische Maßnahmen um, einschließlich der Maßnahmen in Anlage II. Der Kunde bleibt verantwortlich für die Sicherung seiner Zugangsdaten, geeignete Galerie-Datenschutzeinstellungen und Freigabekonfiguration.

5. Verletzung des Schutzes Personenbezogener Daten

Glassline informiert den Kunden unverzüglich und, soweit möglich, innerhalb von 48 Stunden nach Kenntnis einer Verletzung des Schutzes von Kundendaten. Die Meldung enthält verfügbare Informationen zu Art der Verletzung, betroffenen Kategorien und ungefähren Zahlen, wahrscheinlichen Folgen und Gegenmaßnahmen. Informationen können schrittweise bereitgestellt werden.

Glassline untersucht, begrenzt und mindert den Vorfall und unterstützt den Kunden angemessen bei eigenen Meldepflichten.

6. Unterauftragsverarbeiter

Der Kunde erteilt Glassline eine allgemeine Genehmigung zum Einsatz von Unterauftragsverarbeitern, die für die Bereitstellung des Dienstes erforderlich sind. Die aktuelle Liste steht in Anlage III und unter Unterauftragsverarbeiter. Glassline gibt Datenschutzpflichten per schriftlichem Vertrag an Unterauftragsverarbeiter weiter und bleibt für deren Leistung verantwortlich.

Glassline informiert mindestens 30 Tage im Voraus über beabsichtigte neue oder ersetzte Unterauftragsverarbeiter. Der Kunde kann aus angemessenen Datenschutzgründen widersprechen. Wenn die Parteien den Widerspruch nicht lösen können, kann der Kunde den betroffenen Dienst als einziges Rechtsmittel für diesen Widerspruch kündigen.

7. Internationale Übermittlungen

Glassline nutzt vorrangig Hosting und Verarbeitung im EWR. Für Übermittlungen in Länder ohne Angemessenheitsbeschluss gelten die EU-Standardvertragsklauseln per Verweis, einschließlich Modul 2 für Verantwortlicher-an-Auftragsverarbeiter-Übermittlungen und Modul 3 für Auftragsverarbeiter-an-Auftragsverarbeiter-Weiterübermittlungen. Für UK-Daten gilt der UK-Zusatz, soweit erforderlich. Für Schweizer Daten werden die SCC mit Schweizer Anpassungen ausgelegt, soweit erforderlich.

Glassline führt Übermittlungsprüfungen, soweit erforderlich, und nutzt ergänzende Maßnahmen wie Verschlüsselung, Zugriffskontrollen sowie Anfechtungs- und Transparenzprozesse bei behördlichen Zugriffen, soweit verfügbar.

8. Betroffenenanfragen und Unterstützung

Glassline informiert den Kunden über Betroffenenanfragen zu Kundendaten, soweit angemessen, und beantwortet sie nur auf Weisung des Kunden oder soweit gesetzlich erforderlich. Unter Berücksichtigung der Art der Verarbeitung unterstützt Glassline den Kunden angemessen bei Betroffenenanfragen und Pflichten nach Art. 32 bis 36 DSGVO.

9. Prüfungen

Glassline stellt Informationen bereit, die angemessen erforderlich sind, um die Einhaltung dieser AVV nachzuweisen, und ermöglicht Audits, wie Art. 28 DSGVO es verlangt. Umfang und Zeitpunkt sind vorab abzustimmen; Audits erfolgen während Geschäftszeiten mit angemessener Vorankündigung und höchstens einmal jährlich, außer nach einer Verletzung oder auf Verlangen einer Aufsichtsbehörde. Der Kunde trägt eigene Kosten und angemessene Kosten von Glassline.

10. Löschung und Rückgabe

Nach Beendigung löscht oder gibt Glassline Kundendaten nach Wahl des Kunden, soweit technisch möglich, zurück und löscht Kopien binnen 30 Tagen, sofern kein Unionsrecht oder mitgliedstaatliches Recht eine Speicherung verlangt. Backups werden nur zu Sicherheits-, Kontinuitäts- und Notfallwiederherstellungszwecken aufbewahrt, nicht für die reguläre Serviceverarbeitung genutzt und im routinemäßigen Backup-Aufbewahrungszyklus überschrieben oder gelöscht.

11. Haftung und Sonstiges

Diese AVV gilt nur, soweit Kundendaten Datenschutzgesetzen unterliegen. Die Haftung richtet sich nach den Nutzungsbedingungen. Diese AVV hat bei Datenschutzthemen Vorrang vor den Nutzungsbedingungen. Die SCC haben Vorrang, soweit sie dieser AVV widersprechen. Diese AVV unterliegt deutschem Recht, vorbehaltlich zwingenden Rechts.

Glassline kann diese AVV aufgrund rechtlicher, technischer oder dienstbezogener Änderungen aktualisieren. Wesentliche Änderungen werden im Voraus mitgeteilt.

Anlage I - Einzelheiten der Verarbeitung

GegenstandBereitstellung der Glassline Fotogalerie-Plattform.
DauerLaufzeit der Nutzungsbedingungen plus Lösch-, Export-, Backup- und gesetzliche Aufbewahrungsfristen.
Art und ZweckHosting, Speicherung, Organisation, Anzeige, Freigabe, Auslieferung, Backups, Sicherheit, Support und Galeriezugriff.
Betroffene PersonenKontonutzer und Mitarbeiter des Kunden, Kunden des Kunden, Galeriebesucher und auf Fotos abgebildete Personen.
Personenbezogene DatenKundenkontaktdaten, Zugriffsdaten, Fotos identifizierbarer Personen, Bildmetadaten, Kommentare, Favoriten, Download-/Bestellaktivitäten und Supportkommunikation zu Kundeninhalten.
Besondere KategorienVon Glassline nicht beabsichtigt verarbeitet; Fotos können besondere Kategorien unbeabsichtigt offenbaren. Der Kunde ist für erforderliche Rechtsgrundlage oder Einwilligung verantwortlich.
HäufigkeitKontinuierlich für die Dauer des Dienstes.

Anlage II - Technische und Organisatorische Maßnahmen

  • Verschlüsselung bei Übertragung per TLS und Foto-Verschlüsselung im Ruhezustand.
  • Rollenbasierte Least-Privilege-Zugriffskontrollen.
  • Sichere Authentifizierung und Umgang mit Zugangsdaten.
  • Netzwerk- und Anwendungssicherheitskontrollen.
  • Datenminimierung und Pseudonymisierung, soweit angemessen.
  • Backups, Resilienz, Protokollierung und Monitoring.
  • Sicherheitsprüfung von Anbietern.
  • Vertraulichkeit und Schulung von Personal.
  • Dokumentierte Vorfallreaktion.

Anlage III - Unterauftragsverarbeiter

Übermittlungen außerhalb des EWR sind durch die jeweilige Anbieter-AVV, EU-Standardvertragsklauseln, UK-Zusatz oder Schweizer Anpassungen soweit anwendbar sowie ergänzende Maßnahmen abgesichert.

UnterauftragsverarbeiterZweckStandortÜbermittlungsmechanismus
SupabaseAuthentifizierung und DatenbankdiensteAusgewählte EU-ProjektregionUnterzeichneter Supabase-AVV und SCC für Nicht-EWR-Verarbeitung
Amazon Web ServicesFoto- und DateispeicherungEU-RegionAWS-AVV und SCC für Nicht-EWR-Verarbeitung
Amazon CloudFrontGlobale BildauslieferungGlobales Edge-NetzwerkAWS-AVV, SCC und ergänzende Maßnahmen
VercelWebsite- und App-HostingVereinigte Staaten/globalVercel-AVV und SCC, soweit anwendbar
PostHogAnalyse, Feedback, Fehlerdiagnostik, Performance-MonitoringEU-RechenzentrumPostHog-AVV und SCC soweit anwendbar
ResendTransaktions- und Service-E-MailsVereinigte StaatenResend-AVV, SCC und ergänzende Maßnahmen