Impressum / AGB

Copyright © 2019. Alle Rechte vorbehalten. TIM WEST, Münsterstraße 20, 40477 Düsseldorf. Tel.: 0049 211 1744 4684. USt-IdNR.: DE286218157, Tim Broscheid

 

 

Vertrag über die Auftragsverarbeitung personenbezogener Daten (DSGVO) zwischen den Benutzer der Webseite und dem Anbieter (Fotograf).

Auftragnehmer (Fotograf)                       Auftraggeber (Benutzer)
                                           

 


Unterschrift     Auftragnehmer                         Einwilligung durch Verwendung der Webseite gilt als Unterschrift des Auftraggebers (Benutzer).


Düsseldorf, 10.08.19

Fotograf
(Tim Wit, Geb.Name: Tim Broscheid)                  Unterschrift, Ort,: Es zählt das Datum und die Uhrzeit des Webseitenaufrufs

                               

 


1.     Einleitung, Geltungsbereich, Definitionen
1.1.    Warum dieser Vertrag?
a)    Dieser Vertrag zur Auftragsverarbeitung stellt sicher, dass die Tätigkeiten des Fotografen und die Bereitstellung der Fotos über die Fotografien des Auftraggebers unter den geltenden Richtlinien der EU Datenschutz-Grundverordnung (DSGVO) abläuft.
b)    Der Schutz der personenbezogenen Daten des Auftraggebers, vor allem ihrer Bilder, sind von höchster Wichtigkeit. 
c)    Diese Vereinbarung wurde in Zusammenarbeit mit der activeMind AG, München, einem der führenden Beratungsunternehmen für Datenschutz und Datensicherheit in Deutschland und fotograf.de erstellt.
Bei Fragen hierzu können Sie sich gerne an uns wenden: TIM WIT PHOTO, Münsterstaße 20, 40477 Düsseldorf. Tel.: 0211-17444684. www.timwit.de

1.2.    Was sind die Vorteile dieses Vertrags?
a)    Mit diesem Vertrag stellen Sie sicher, dass die Fotografien des Auftraggebers und die Bereitstellung der Fotos unter den Richtlinien der DSGVO ablaufen.
b)    Sie haben die Kontrolle über den gesamten Bereich der Aufnahme der Bilder bis hin zur Bereitstellung der Fotos.
Was ist ausgeschlossen von diesem Vertrag?
c)    Ausgeschlossen von diesem Vertrag ist die Beauftragung zur Produktion und der Versand von Bildprodukten.
1.4    Geltungsbereich und Definitionen
d)    Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Fotograf, Mitarbeiter des Fotografen oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
e)    In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2.    Gegenstand und Dauer der Verarbeitung
2.1.    Gegenstand
Die Verarbeitung beruht auf der Beauftragung des Fotografen durch den Auftraggeber zur Fotografie von ihnen selbst / der Kinder.
Die Beauftragung bezieht sich lediglich auf die Aufnahme der Bilder und die Bereitstellung über das Internet. Alle Schritte des Verkaufes werden wie in 1.3 a) beschrieben zwischen dem Fotografen und dem Auftraggeber geregelt.  
2.2.    Dauer
Die Verarbeitung beginnt mit der ersten Übergabe von personenbezogenen Daten an den Fotografen und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder Kündigung der Beauftragung des Fotografen durch den Auftraggeber. Auf Anfrage des Auftraggebers werden die unter diesem Vertrag erhobenen Daten gelöscht. Daten die bis zur Vertragskündigung an Subdienstleister übertragen wurden, unterliegen nicht weiter der Verantwortung des Auftragnehmers und müssen vom Auftraggeber eingeholt werden.  
Zur Klarstellung: Sofern dem Auftraggeber eine gesonderte Zustimmung gegenüber dem Fotografen zur Verarbeitung der Daten ihrer selbst oder des jeweiligen Kindes auch über die Beendigung dieses Vertrages hinaus oder der Beauftragung des Fotografen hinaus genehmigt haben, dürfen die jeweiligen Daten auch nach der Beendigung dieses Vertrages noch verarbeitet werden. Diese Verarbeitung unterliegt nicht mehr den Vorgaben dieses Vertrages. 
2.3.    Art und Zweck der Verarbeitung
Verarbeitung von personenbezogenen Daten zum Zweck der Durchführung und Abwicklung der Fotografie, sowie der Prozess der Bearbeitung und Bereitstellung der Fotos zum Verkauf.
Hierzu gehört 
a)    die Erfassung,
b)    die Speicherung,
c)    die Löschung,
d)    die Erhebung von personenbezogenen Daten im Zuge der Fotografie,
e)    die Anpassung und Veränderung im Zuge der Bildbearbeitung,
f)    die Übermittlung an etwaige Servicedienstleister, Subdienstleister.
g)    die Bereitstellung der aufgenommenen Fotos über das Internet, Clouddienst, Onlineshop.
h)    die Widerherstellung bei Datenverlust.
2.4.    Art der Daten
Es werden folgende Daten verarbeitet:
a)    Einzel- und Gruppenfotos des Auftraggebers.
b)    Name, Anschrift, Emailadresse, Telefonnummern, Kontaktdaten des Auftraggebers.
2.5.    Kategorien der betroffenen Personen
Von der Verarbeitung betroffen sind:
Der Auftraggebers/ Der Benutzer

3.    Pflichten des Fotografen
3.1.    Der Fotograf verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggebers gesondert angewiesen, es sei denn, der Fotograf ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Fotograf diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. 
3.2.    Der Fotograf bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. 
3.3.    Der Fotograf sichert zu, dass sowohl er als auch seine Mitarbeiter sich zur Vertraulichkeit verpflichtet haben. 
3.4.    Im Zusammenhang mit der beauftragten Verarbeitung hat der Fotograf den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen, bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten zu unterstützen. 
3.5.    Machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Fotograf gegenüber dem Auftraggeber, angesichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung von Anträgen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
3.6.    Auskünfte an Dritte oder den Betroffenen darf der Fotograf nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
3.7.    Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der EU oder des EWR. 

4.    Technische und organisatorische Maßnahmen
4.1.    Der Fotograf ergreift die nach Art. 32 DSGVO erforderlichen Maßnahmen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Fotograf geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
4.2.    Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das von dem Fotografen geschuldete Minimum.
4.3.    Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Änderungen sind dem Auftraggeber unverzüglich per E-Mail mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
4.4.    Der Fotograf sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die logische Trennung der Daten ist ausreichend. 
4.5.    Zugehörige Datenträger, die von dem Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. 

5.    Regelungen zur Berichtigung, Löschung und Sperrung von Daten
5.1.    Im Rahmen des Auftrags verarbeitete Daten wird der Fotograf nur entsprechend der getroffenen Vereinbarung oder nach Weisung des Auftraggebers, löschen oder sperren. 
5.2.    Entsprechenden Weisungen des Auftraggebers wird der Fotograf jederzeit leisten.

6.    Unterauftragsverhältnisse
6.1.    Zurzeit sind die in Anhang 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Fotografen gegenüber Subunternehmern bleiben unberührt.
6.2.    Der Auftraggeber stimmt zu, dass der Fotograf Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung des Subunternehmers informiert der Fotograf den Auftraggeber per Mail.
6.3.    Der Auftraggeber hat das Recht, innerhalb von zwei Wochen ab Kenntnis der Information über den Subunternehmer, aus wichtigem Grund schriftlich beim Fotografen Einspruch gegen den Einsatz des Subunternehmers einzulegen. Erfolgt kein Einspruch innerhalb der genannten Frist, gilt dies als Zustimmung des Auftraggebers zum Einsatz dieses Subunternehmers.
6.4.    Der Fotograf hat dafür Sorge zu tragen, die Pflichten dieses Vertrages auf den Subunternehmer zu übertragen und deren Einhaltung regelmäßig zu überprüfen.
6.5.    Subunternehmern sind vertraglich mindestens dieselben Datenschutzpflichten aufzuerlegen, die in diesem Vertrag vereinbarten sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen dem Fotografen und dem Subunternehmer.
6.6.    Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss dem Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
6.7.    Der Fotograf wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
6.8.    Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Fotograf davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt.
6.9.    Es werden nur Subunternehmen innerhalb der EU oder des EWR beauftragt.
6.10.    Kommt der Subunternehmer seinen Datenschutzverpflichtungen nicht nach, so haftet hierfür der Fotograf gegenüber dem Auftraggeber nicht.

7.    Rechte und Pflichten des Auftraggebers
7.1.    Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
7.2.    Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen und dokumentiert diese mindestens in Form einer E-Mail. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird das der Auftraggeber unverzüglich dokumentiert bestätigen.
7.3.    Der Auftraggeber sichert zu, die Einverständniserklärung der auf dem Foto anwesenden Personen zur Verarbeitung von personenbezogenen Daten, für die in diesem Vertrag festgelegten Zwecke, eingeholt zu haben oder einzuholen.  
7.4.    Der Auftraggeber sichert zu, die Einverständniserklärung der Erziehungsberechtigten Personen zur Verarbeitung von personenbezogenen Daten eines Minderjährigen, für die in diesem Vertrag festgelegten Zwecke, eingeholt zu haben oder einzuholen. 
7.5.    Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Fotografen in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Fotografen, soweit erforderlich, Zutritt und Einblick zu ermöglichen. Der Fotograf ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. 
7.6.    Kontrollen beim Fotografen haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Fotografen, sowie nicht häufiger als alle 12 Monate statt. Soweit der Fotograf den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

8.    Mitteilungspflichten
8.1.    Der Fotograf teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat mindestens die Angaben nach Art. 33 Abs. 3 DSGVO zu enthalten. 
8.2.    Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Fotografen oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
8.3.    Der Fotograf informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.  
8.4.    Der Fotograf sichert zu, das der Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.

9.    Weisungen
9.1.    Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.
9.2.    Der Auftraggeber und der Fotograf benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anhang 3. 
9.3.    Der Fotograf wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Fotograf ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
9.4.    Der Fotograf hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

10.    Beendigung des Auftrags
10.1.    Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Fotograf die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber  zu übergeben und sodann zu vernichten. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. 
10.2.    Der Fotograf ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
10.3.    Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Fotografen den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

Sonderkündigungsrecht
10.4.    Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Fotografen gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Fotograf eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Fotograf Kontrollrechte des Auftraggebersvertrags widrig verweigert.
10.5.    Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Fotograf die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen, in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
10.6.    Bei unerheblichen Verstößen setzt der Auftraggeber dem Fotografen eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist dem Auftraggeber zur außerordentlichen Kündigung, wie in diesem Abschnitt beschrieben, berechtigt.
10.7.    Der Fotograf ist zur außerordentlichen Kündigung berechtigt, sofern der Auftraggeber der Beauftragung eines Subunternehmers gem. Kapitel 6 dieses Vertrages widerspricht und keine Einigung erreicht werden kann.

11.    Haftung
11.1.    Für die Haftung der Vertragsparteien gelten die Vorgaben des Art. 82 DSGVO.

12.    Sonstiges
12.1.    Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln. Beide Parteien sind berechtigt, Informationen aus diesem Vertrag für die Zwecke der Wahrnehmung der Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DSGVO zu nutzen und Dritten gegenüber offenzulegen.
12.2.    Für Nebenabreden ist die Schriftform erforderlich.
12.3.    Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
12.4.    Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anhang 1 – Technische und organisatorische Maßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Fotograf mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
1.    Organisation der Informationssicherheit
•    Es besteht ein Web-Link zu den Fotos, der mit einem persönlichen Passwort geschützt ist.
•    Serverstandorte befinden sich alle innerhalb der europäischen Union/ USA.
•    Die Sicherheit der Server ist durch Sicherheitskonzepte, welche dem Standard ISO 27001 entspricht gewährleistet.

2.    Zugangssteuerung
•    Zugriff auf das System zum Onlinedownload  erstellt der Fotograf. Die Rechte zum Ansehen, Organisieren und Downloaden der Fotos teilt der Fotograf mit dem Auftraggeber. Der Auftraggeber kann die Zugriffsrechte mit dritten teilen. Unterauftragnehmer können lediglich mittels ausdrücklicher Zustimmung des Fotografen zeitlich begrenzt auf das System zugreifen.
•    Innerhalb der Verarbeitung durch Unterauftragsnehmer gibt es ein entsprechendes Rechtemanagement, welches regelt wer auf personenbezogene Daten zugreifen darf.

3.    Kommunikationssicherheit
•    Die Weitergabe der Daten an die Unterauftragnehmer erfolgt über einen per SSL verschlüsselten Upload Client.

4.    Anschaffung, Entwicklung und Instandhaltung von Systemen
•    Durch monatliche Tests wird die Performance des Online-Systems auf folgende Kriterien hin geprüft:
o    Sicherheit des Systems
o    Stabilität des Systems

5.    Lieferantenbeziehungen
•    Die Räumlichkeiten der Unterauftragnehmer sind entsprechend durch Schließanlagen gesichert
•    Unterauftragnehmer wurden auf die Sicherheit ihrer Standorte hin geprüft und die Gefährdung der personenbezogenen Daten dafür minimiert
•    Die Unterauftragnehmer haben, sofern notwendig, einen Datenschutzbeauftragten bestellt
•    Der Unterauftragnehmer versendet personenbezogene Daten sofern notwendig verschlüsselt
•    Mit den Unterauftragnehmern wurden entsprechende Auftragsdatenverarbeitungsverträge (ADVs) geschlossen
Anhang 2 – Zugelassene Subdienstleister


Fotograf.de

Das Shopsystem für Fotografen. Die Organisation von Fotos zum Onlinedownload und Verkauf. https://www.fotograf.de/

Adobe

Unterstützende Tätigkeiten zur Abwicklung der Fotografie (bspw. Produktion und Bildbearbeitung). https://www.adobe.com/de/

Ontrack

Ontrack rettet Daten von allen Medien und Betriebssystemen, für Unternehmen und Privatkunden. https://www.ontrack.com/de  Grafenberger Allee 293, 40237 Düsseldorf.

 

 

 

Anlage 3 – Weisungsberechtige Personen
Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt.
Fotograf: Tim Broscheid (Künstlername: Tim Wit)

Fotoquellen u.a. wix.com, Tim Wit, unbekannt.

Kontakt: TIM WIT PHOTO, Münsterstraße 20, 40477 Düsseldorf, Germany. Telefon: 0211-17444684. office@timwit.de