Rechtliches

Vertrag über die Auftragsverarbeitung (AVV)

nach Artikel 28 der Datenschutz-Grundverordnung (DSGVO)

Dieser AVV ist Bestandteil der AGB und kommt mit der elektronischen Zustimmung beim Anlegen eines Events zustande (siehe § 12). Er regelt die Verarbeitung personenbezogener Daten, die FeierLinse im Auftrag des Kunden (Veranstalters) verarbeitet.

Zwischen den Parteien

Verantwortlicher (Auftraggeber — bestimmt Zweck und Mittel der Verarbeitung):
der bei der Registrierung angegebene Kunde (Veranstalter des jeweiligen Events).

– nachfolgend „Verantwortlicher" –

Auftragsverarbeiter (verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen):
Marin Wolpert
Leinkamp 5
31171 Nordstemmen
E-Mail: webdesign@mfwolpert.de

– nachfolgend „Auftragsverarbeiter" –

§ 1 Gegenstand und Dauer

Gegenstand ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Nutzung des Dienstes FeierLinse (Bereitstellung und Hosting von Event-Foto- und Video-Galerien). Der Auftrag beginnt mit dem Anlegen des Events und läuft, solange das zugehörige Event besteht, längstens bis zu dessen Löschung.

§ 2 Art, Umfang und Zweck; Datenarten; Betroffene

Art, Umfang und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1. Die Verarbeitung findet innerhalb der EU/des EWR (Deutschland) statt. Eine Übermittlung in Drittländer findet nicht statt; sollte sie künftig erfolgen, geschieht dies ausschließlich unter Beachtung der Art. 44 ff. DSGVO.

§ 3 Weisungsbindung

Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Die Nutzung der Funktionen des Dienstes durch den Verantwortlichen gilt als seine Weisung. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich.

§ 4 Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter (Art. 28 Abs. 3 lit. a–h DSGVO):

  1. verarbeitet die Daten nur auf dokumentierte Weisung (§ 3);
  2. verpflichtet die mit der Verarbeitung befassten Personen zur Vertraulichkeit;
  3. trifft die erforderlichen technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO (Anlage 2);
  4. nimmt weitere Unterauftragsverarbeiter nur nach Maßgabe von § 6 in Anspruch;
  5. unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (§ 7);
  6. unterstützt den Verantwortlichen bei Datensicherheit und der Meldung von Datenschutzverletzungen (Art. 32–36 DSGVO);
  7. löscht oder gibt nach Ende des Auftrags alle Daten nach Wahl des Verantwortlichen zurück (§ 9);
  8. stellt die zum Nachweis erforderlichen Informationen bereit und ermöglicht Überprüfungen (§ 10).

§ 5 Technisch-organisatorische Maßnahmen (TOM)

Die getroffenen Maßnahmen sind in Anlage 2 beschrieben. Sie können an den Stand der Technik angepasst werden, dürfen das Schutzniveau aber nicht unterschreiten.

§ 6 Unterauftragsverarbeiter

Der Verantwortliche stimmt dem Einsatz der in Anlage 3 genannten Unterauftragsverarbeiter zu. Über beabsichtigte Änderungen (Hinzufügung/Ersetzung) wird der Verantwortliche informiert; er kann der Änderung innerhalb von 14 Tagen nach Mitteilung aus wichtigem datenschutzrechtlichem Grund widersprechen. Mit jedem Unterauftragsverarbeiter werden dieselben Datenschutzpflichten vereinbart wie in diesem Vertrag.

§ 7 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen dabei, Anträgen betroffener Personen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) nachzukommen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter. Datenschutzanfragen können an webdesign@mfwolpert.de gerichtet werden.

§ 8 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter meldet dem Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Bekanntwerden, damit dieser seinen Pflichten nach Art. 33/34 DSGVO nachkommen kann.

§ 9 Löschung und Rückgabe nach Auftragsende

Nach Abschluss der Verarbeitung löscht der Auftragsverarbeiter die Daten oder gibt sie zurück — nach Wahl des Verantwortlichen –, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Standardmäßig erfolgt die Löschung 3 Monate nach Erstellung des Events; vor Ablauf wird der Verantwortliche per E-Mail erinnert.

Es werden keine gesonderten Sicherungskopien personenbezogener Daten vorgehalten; mit der Löschung aus dem Produktivsystem sind die Daten vollständig entfernt.

§ 10 Nachweise und Überprüfungen

Der Auftragsverarbeiter weist die Einhaltung der Pflichten auf Anfrage in geeigneter Weise nach (z. B. durch Auskünfte oder Dokumentation der TOM). Überprüfungen sind mit angemessener Vorankündigung und ohne unverhältnismäßige Betriebsstörung möglich; die Kosten einer vom Verantwortlichen veranlassten Vor-Ort-Prüfung trägt grundsätzlich der Verantwortliche.

§ 11 Haftung

Es gelten die gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO, sowie die Haftungsregelungen der AGB.

§ 12 Zustandekommen des Vertrags (elektronisch)

Der Vertrag kommt durch elektronische Zustimmung des Verantwortlichen beim Anlegen eines Events zustande. Die Zustimmung wird mit Zeitstempel protokolliert. Eine handschriftliche Unterzeichnung ist nicht erforderlich.

§ 13 Schlussbestimmungen

Änderungen bedürfen der Textform. Sollte eine Bestimmung unwirksam sein, bleibt der übrige Vertrag wirksam. Es gilt deutsches Recht.

Anlage 1 — Datenarten, Zweck und Betroffene

Zweck der VerarbeitungBereitstellung und Hosting einer Event-Foto- und Video-Galerie: Upload durch geladene Gäste, Anzeige und Download durch Berechtigte.
Art der Daten
  • von Gästen hochgeladene Fotos und Videos (ggf. mit abgebildeten Personen)
  • Anzeigename/Spitzname der hochladenden Gäste (sofern angegeben)
  • Veranstaltungsname, Event-/Galerie-Kennung, Upload-Zeitpunkt
  • anonymisierte IP-Adresse zur cookiefreien Reichweitenmessung
  • Konto-/Zugangsdaten des Veranstalters (Name, E-Mail-Adresse, Login)
Kategorien BetroffenerGäste der Veranstaltung, abgebildete Personen sowie der Veranstalter (Kunde) selbst.
Dauer3 Monate ab Erstellung (siehe AGB § 6 und § 9 dieses Vertrags).

Anlage 2 — Technisch-organisatorische Maßnahmen (TOM)

Zugangskontrolle

  • Veranstalter- und Betreiber-Bereich nur nach Anmeldung (Benutzername + Passwort)
  • Passwörter werden ausschließlich als kryptografischer Hash gespeichert, nie im Klartext
  • Schutz gegen automatisiertes Ausprobieren (Sperre nach mehreren Fehlversuchen)
  • Galerien können zusätzlich mit einem Passwort geschützt werden

Zugriffskontrolle / Trennung

  • Jeder Veranstalter hat ausschließlich Zugriff auf sein eigenes Event (Mandantentrennung)
  • zufällige, nicht erratbare Event- und Zugangskennungen
  • getrennte Rollen für Gäste, Veranstalter und Betreiber

Weitergabekontrolle

  • verschlüsselte Übertragung per TLS/HTTPS
  • Sicherheits-Header (u. a. Content-Security-Policy); keine Tracking-/Werbe-Cookies
  • keine Weitergabe an Dritte außer den in Anlage 3 genannten Unterauftragsverarbeitern

Löschkonzept

  • Speicherfrist 3 Monate ab Erstellung; Erinnerung per E-Mail rechtzeitig vor Ablauf
  • nach Ablauf werden Galerie und Inhalte gelöscht
  • keine gesonderten Sicherungskopien — mit der Löschung sind die Daten vollständig entfernt

Anlage 3 — Genehmigte Unterauftragsverarbeiter

UnterauftragsverarbeiterZweckSitz
Malte Wolpert (privat betriebener Server)Betrieb des Servers (Hosting/Speicherung)31171 Nordstemmen, Deutschland
E-Mail-Versand: derzeit kein externer Dienst im EinsatzE-Mail-Versand

Stand: 06/2026. Wird ein externer Mailversand-Dienst eingesetzt oder ändert sich der Serverbetrieb, wird Anlage 3 entsprechend aktualisiert.