Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO · Stand: Februar 2026 · Version 1.0

Präambel

Dieser Auftragsverarbeitungsvertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers gemäß Art. 28 DSGVO.

§ 1 Vertragsparteien

1.1 Auftraggeber (Verantwortlicher)

Der Auftraggeber ist der bei Pixalo registrierte Tenant (Fotograf / Unternehmen), der die Plattform zur Verarbeitung personenbezogener Daten nutzt.

Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

1.2 Auftragnehmer (Auftragsverarbeiter)

Der Auftragnehmer ist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.

§ 2 Vertragsgegenstand und Dauer

2.1 Gegenstand

Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Rahmen der Bereitstellung der SaaS-Plattform Pixalo.

Pixalo ist eine technische Plattform zum Betrieb digitaler Fotografen-Shops. Pixalo ist weder Marktplatz noch Zahlungsdienstleister und tritt nicht als Vertragspartner zwischen Auftraggeber und dessen Endkunden auf.

2.2 Dauer

Dieser Vertrag gilt für die Dauer des Nutzungsverhältnisses. Er endet automatisch mit Beendigung des Hauptvertrags (Nutzungsbedingungen).

Gesetzliche Aufbewahrungspflichten bleiben von der Vertragsbeendigung unberührt.

§ 3 Art, Zweck und Umfang der Verarbeitung

3.1 Art der Verarbeitung

Die Verarbeitung umfasst:

• Erheben, Speichern, Organisieren
• Bereitstellen, Übermitteln
• Löschen, Archivieren

3.2 Zweck der Verarbeitung

• Betrieb der Plattform und der Fotografen-Onlineshops
• Bereitstellung von Vorschaubildern und Downloads
• Abwicklung von Bestellungen
• Gewährleistung von Sicherheit, Stabilität und Missbrauchsprävention

3.3 Kategorien betroffener Personen

• Endkunden des Auftraggebers (z. B. Eltern, Schüler, Kunden)
• Beschäftigte des Auftraggebers
• Sonstige vom Auftraggeber autorisierte Nutzer

3.4 Kategorien personenbezogener Daten

• Namen und Kontaktdaten
• Zuordnungsdaten (z. B. Klassen, Gruppen, Zugangscodes)
• Bestell- und Transaktionsdaten
• Vorschaubilder (wasserzeichenbehaftet)
• Gekaufte Bilddateien
• Technische Metadaten (z. B. Zugriffszeiten, IP-Adressen)

Eine detaillierte Beschreibung findet sich in Anlage 3.

§ 4 Pflichten des Auftraggebers

Der Auftraggeber ist verpflichtet:

• die Rechtmäßigkeit der Datenverarbeitung sicherzustellen
• gültige Rechtsgrundlagen für die Verarbeitung zu gewährleisten
• betroffene Personen ordnungsgemäß zu informieren
• erforderliche Einwilligungen einzuholen (insbesondere bei Minderjährigen)
• dem Auftragnehmer nur rechtmäßige Weisungen zu erteilen
• für die Richtigkeit der übermittelten Daten zu sorgen

Der Auftragnehmer ist nicht verpflichtet, die Rechtmäßigkeit der Inhalte, Rechtsgrundlagen oder Einwilligungen zu prüfen.

§ 5 Pflichten des Auftragnehmers

Der Auftragnehmer verpflichtet sich:

• personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
• geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen
• die Vertraulichkeit der Verarbeitung zu wahren
• zur Verschwiegenheit verpflichtetete Personen einzusetzen
• den Auftraggeber bei der Erfüllung von Betroffenenrechten zu unterstützen
• den Auftraggeber bei Datenschutz-Folgenabschätzungen zu unterstützen
• Datenschutzverletzungen unverzüglich zu melden
• nach Beendigung des Auftrags Daten zu löschen oder zurückzugeben

Der Auftragnehmer trifft angemessene Maßnahmen zur Sicherstellung der Systemverfügbarkeit im Rahmen des vertraglich Vereinbarten.

§ 6 Weisungsrecht

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Weisung des Auftraggebers. Die Nutzungsbedingungen und dieser AVV stellen die grundlegende dokumentierte Weisung dar.

Weisungen können in Textform (E-Mail) erteilt werden. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen geltendes Recht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

§ 7 Vertraulichkeit

Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung betrauten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort.

§ 8 Technische und organisatorische Maßnahmen

Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Maßnahmen sind in Anlage 1 (TOM) dokumentiert und gelten als verbindlicher Bestandteil dieses Vertrags.

Der Auftragnehmer ist berechtigt, die Maßnahmen weiterzuentwickeln, sofern das Schutzniveau nicht unterschritten wird.

§ 9 Unterauftragsverarbeiter

9.1 Allgemeine Genehmigung

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, Unterauftragsverarbeiter einzusetzen.

Die zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.

9.2 Änderungen

Der Auftragnehmer informiert den Auftraggeber über beabsichtigte Änderungen bezüglich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern.

Der Auftraggeber kann innerhalb von 14 Tagen nach Zugang der Information aus wichtigem Grund schriftlich widersprechen.

Die Information kann per E-Mail oder über den Kundenbereich erfolgen.

9.3 Vertragliche Bindung

Der Auftragnehmer stellt sicher, dass Unterauftragsverarbeiter vertraglich mindestens den gleichen Datenschutzpflichten unterliegen wie in diesem Vertrag.

§ 10 Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Drittländer erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44–49 DSGVO erfüllt sind.

Dies kann insbesondere gewährleistet werden durch:

• Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
• Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
• Zusätzliche technische und organisatorische Schutzmaßnahmen

§ 11 Unterstützung bei Betroffenenrechten

Der Auftragnehmer unterstützt den Auftraggeber im angemessenen Umfang bei der Erfüllung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO.

Anfragen, die direkt an den Auftragnehmer gerichtet werden, werden an den Auftraggeber weitergeleitet.

Der Auftragnehmer kann für Unterstützungsleistungen, die über das vertraglich Vereinbarte hinausgehen, eine angemessene Vergütung verlangen.

§ 12 Meldung von Datenschutzverletzungen

Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Kenntniserlangung.

Die Meldung enthält mindestens:

• Beschreibung der Art der Verletzung
• Kategorien und ungefähre Anzahl betroffener Personen und Datensätze
• Wahrscheinliche Folgen
• Ergriffene Abhilfemaßnahmen

Die Meldepflicht nach Art. 33 DSGVO gegenüber der Aufsichtsbehörde verbleibt beim Auftraggeber.

§ 13 Kontroll- und Auditrechte

Der Auftraggeber hat das Recht, die Einhaltung dieses Vertrags zu überprüfen.

Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung bereit. Dies kann insbesondere erfolgen durch:

• Selbstauskünfte und Dokumentation
• Zertifizierungen und Auditberichte
• Beantwortung von Fragebögen

Vor-Ort-Audits sind nur bei begründetem Anlass und nach vorheriger schriftlicher Abstimmung (mindestens 30 Tage Vorlauf) zulässig. Die Kosten trägt der Auftraggeber.

§ 14 Löschung und Rückgabe

Nach Beendigung des Auftrags:

• löscht der Auftragnehmer alle personenbezogenen Daten, sofern keine Aufbewahrungspflicht besteht
• gibt der Auftragnehmer auf Wunsch Daten in einem gängigen Format zurück
• archiviert der Auftragnehmer steuerlich relevante Bestell- und Rechnungsdaten gemäß § 147 AO, § 257 HGB (bis zu 10 Jahre)

Die Löschung wird auf Anfrage schriftlich bestätigt.

Snapshots und revisionssichere Archivdaten gelten nicht als operative personenbezogene Daten im Sinne der Löschpflicht.

§ 15 Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften, insbesondere Art. 82 DSGVO.

Der Auftragnehmer haftet nicht für Schäden, die auf fehlerhafte Weisungen, rechtswidrige Inhalte oder fehlende Einwilligungen des Auftraggebers zurückzuführen sind.

§ 16 Schlussbestimmungen

• Dieser AVV wird elektronisch bei Registrierung abgeschlossen.
• Er gilt mit Akzeptanz als rechtsverbindlich (Art. 28 Abs. 9 DSGVO).
• Änderungen bedürfen der Textform.
• Es gilt deutsches Recht.
• Gerichtsstand ist – soweit zulässig – der Sitz des Auftragnehmers.
• Sollten einzelne Bestimmungen unwirksam sein, bleibt der Vertrag im Übrigen wirksam.

Anlage 1 – Technische und organisatorische Maßnahmen (TOM)

Diese Anlage beschreibt die Maßnahmen gemäß Art. 32 DSGVO.

1. Zutrittskontrolle

Maßnahmen zur Verhinderung des unbefugten Zutritts zu Datenverarbeitungsanlagen.

• Nutzung zertifizierter Rechenzentren mit physischer Zutrittskontrolle
• Keine eigenen physischen Server außerhalb von Rechenzentren

2. Zugangskontrolle

Maßnahmen zur Verhinderung unbefugter Systemnutzung.

• Starke Authentifizierung (Passwortrichtlinien)
• Automatische Sperrung nach Fehlversuchen
• Verschlüsselte Übertragung (TLS)

3. Zugriffskontrolle

Maßnahmen zur Beschränkung auf autorisierte Zugriffe.

• Rollenbasierte Berechtigungssysteme (RBAC)
• Prinzip der minimalen Berechtigung (Least Privilege)
• Regelmäßige Überprüfung von Berechtigungen

4. Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung verschiedener Auftraggeber.

• Strikte logische Mandantentrennung (Multi-Tenant-Isolation)
• Tenant-ID-basierte Zugriffskontrolle auf Datenbankebene
• Keine Einsicht in fremde Mandantendaten

5. Weitergabekontrolle

Maßnahmen zur Sicherung bei Übertragung und Speicherung.

• Verschlüsselte Datenübertragung (TLS 1.2+)
• Signierte Download-Links mit Ablaufdatum
• Keine unverschlüsselte E-Mail-Übertragung sensibler Daten

6. Eingabekontrolle

Nachvollziehbarkeit von Dateneingaben und -änderungen.

• Protokollierung sicherheitsrelevanter Aktionen
• Revisionssichere Archivierung von Bestellvorgängen

7. Verfügbarkeitskontrolle

Schutz vor Verlust und Zerstörung.

• Regelmäßige Backups
• Redundante Infrastruktur
• Monitoring und Alerting
• DDoS-Schutz und Rate Limiting

8. Wiederherstellbarkeit

• Definierte Wiederherstellungsverfahren
• Regelmäßige Tests der Backup-Integrität

Anlage 2 – Unterauftragsverarbeiter

Der Auftragnehmer setzt folgende Kategorien von Unterauftragsverarbeitern ein:

* Bei Drittlandübermittlung nur mit Angemessenheitsbeschluss oder SCC + TOM.

Eine aktuelle namentliche Liste der Unterauftragsverarbeiter kann auf Anfrage an [email protected] angefordert werden.

Anlage 3 – Beschreibung der Verarbeitungstätigkeiten

Gegenstand der Verarbeitung

Technische Bereitstellung einer SaaS-Plattform zum Betrieb digitaler Fotografen-Shops einschließlich Speicherung, Bereitstellung und Auslieferung von Fotos sowie Abwicklung von Bestellungen.

Dauer der Verarbeitung

• Aktive Daten: Dauer des Nutzungsverhältnisses
• Download-Links: maximal 7 Tage
• Bestell-/Rechnungsdaten: bis zu 10 Jahre (gesetzliche Aufbewahrung)
• Sicherheitslogs: maximal 90 Tage

Zweck der Verarbeitung

• Bereitstellung der Plattformfunktionalität
• Speicherung und Auslieferung von Fotos
• Bestellabwicklung und Archivierung
• Gewährleistung von Sicherheit, Stabilität und Verfügbarkeit

Art der personenbezogenen Daten

• Stamm- und Kontaktdaten (Namen, E-Mail-Adressen)
• Zuordnungsdaten (Klassen, Gruppen, Zugangscodes)
• Bestelldaten (Produkte, Mengen, Preise)
• Bilddaten (Vorschau mit Wasserzeichen, gekaufte Originale)
• Technische Daten (IP-Adressen, Zugriffszeiten, User-Agent)

Kategorien betroffener Personen

• Endkunden des Auftraggebers (z. B. Eltern, Erziehungsberechtigte, Schüler)
• Beschäftigte und Beauftragte des Auftraggebers