Phosel

Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 Abs. 3 DSGVO

Stand: Mai 2026

1. Gegenstand und Dauer

Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag.

Auftraggeber (Verantwortlicher): Der registrierte Fotograf/Nutzer von phosel.de

Auftragnehmer (Auftragsverarbeiter): Julian Radins, Smaragdweg 5, 06120 Halle (Saale), Deutschland

Die Laufzeit richtet sich nach der Nutzung des Dienstes phosel.de. Der AVV endet automatisch mit Beendigung des Nutzungsverhältnisses.

2. Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten ausschließlich zum Zweck der Bereitstellung der SaaS-Plattform phosel.de, insbesondere:

  • Speicherung und Auslieferung von Bildern und Videos
  • Verwaltung von Kunden-Sessions (Name, E-Mail)
  • Erfassung von Kundenauswahlen, Bewertungen und Kommentaren
  • Versand von E-Mail-Benachrichtigungen
  • Erstellung von Rechnungen
  • Vermittlung von Print-Bestellungen über angebundene Druckpartner (Print-Shop)
  • Optionale Gesichtserkennung zur Cluster-Bildung pro Galerie und zur Selbst-Filterung durch Endkunden via Selfie-Suche (siehe Abschnitt 3)
  • Übermittlung optionaler Fehler-Telemetrie zur Stabilitäts- und Sicherheitsanalyse der Plattform (technische Stack-Traces, ohne personenbezogene Daten)

3. Art der personenbezogenen Daten

Allgemeine personenbezogene Daten (Art. 6 DSGVO):

  • Kontaktdaten der Kunden des Auftraggebers (Name, E-Mail-Adresse)
  • Nutzungsdaten (IP-Adressen, Zugriffszeiten, Geräteinformationen)
  • Bilddaten und Metadaten (EXIF-Daten, Dateinamen)
  • Kommunikationsinhalte (Kommentare, Pin-Annotationen)
  • Auswahldaten (Bewertungen, Status)
  • Bestelldaten im Print-Shop (Lieferadresse, Bestell-Inhalt) - werden parallel an den Druckpartner weitergegeben

Besondere Kategorien (Art. 9 DSGVO) - nur soweit der Auftraggeber die Funktion aktiviert:

  • Biometrische Daten in Form mathematischer Repräsentationen erkannter Gesichter (sogenannte "Embeddings"), die zur Bildgruppierung pro Person verwendet werden. Embeddings sind nicht in das Ursprungs-Bild zurückrechenbar.

Die Verarbeitung biometrischer Daten setzt voraus, dass der Auftraggeber gegenüber den abgebildeten Personen eine geeignete Rechtsgrundlage (insbesondere Modell-Release oder Fotografie-Vertrag mit ausdrücklicher Einwilligung) hat. Bei der Selfie-Suche durch Endkunden holt die Plattform zusätzlich eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO direkt vom Endkunden ein.

4. Kategorien betroffener Personen

  • Kunden des Auftraggebers (Galerie-Besucher)
  • Der Auftraggeber selbst (Fotograf/Nutzer)

5. Pflichten des Auftragsverarbeiters

Der Auftragnehmer verpflichtet sich:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers zu verarbeiten
  • Alle Personen, die Zugang zu den Daten haben, zur Vertraulichkeit zu verpflichten
  • Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen
  • Unterauftragsverarbeiter nur mit vorheriger Zustimmung einzusetzen
  • Den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber Betroffenen zu unterstützen
  • Nach Beendigung der Auftragsverarbeitung alle Daten zu löschen oder zurückzugeben
  • Dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung zu stellen

6. Technische und organisatorische Maßnahmen

  • Verschlüsselung in Transit: TLS 1.2/1.3 für alle Verbindungen (HTTPS-Zwang, HSTS aktiv)
  • Verschlüsselung at Rest: Object-Storage mit serverseitiger Verschlüsselung, Passwörter ausschließlich als bcrypt-Hash gespeichert
  • Zugangskontrolle: Authentifizierung per Session-Cookie (HttpOnly, Secure, SameSite) bzw. API-Keys, rollenbasierte Zugriffsrechte, Rate-Limiting auf sensiblen Endpunkten
  • Datenminimierung: Nur für den Dienst notwendige Daten werden erhoben; Fehler-Telemetrie strippt PII (IP, E-Mail, Cookies, Auth-Header) vor dem Versand
  • Pseudonymisierung: CDN-Logs mit gekürzten IP-Adressen (letztes Oktett entfernt); Session-Aufzeichnungen sind systemweit deaktiviert
  • Verfügbarkeit: Hosting bei Hetzner Online GmbH (Deutschland), stündliche Backups auf separates Object-Storage (Bucket-isoliert, Backups verschlüsselt, Aufbewahrung 24h hourly + 7 Tage daily)
  • Speicherort: Alle Daten werden auf Servern in Deutschland (Hetzner, Nürnberg/Falkenstein) gespeichert. CDN-Edges ausschließlich innerhalb der EU. Es findet kein Drittland-Transfer statt.
  • Löschung: Automatische Löschung nach Ablauf der vom Auftraggeber eingestellten Aufbewahrungsfrist; Account-Löschung kaskadiert auf alle abhängigen Daten und entfernt zugehörige S3-Objekte
  • Trennungsgebot: Mandantentrennung durch photographer-scoped Queries und separate S3-Prefixe pro Auftraggeber
  • Auditierbarkeit: Activity-Logs pro Galerie, Audit-Trail für sicherheitsrelevante Aktionen, externe Fehler-Protokollierung (Sentry, EU-Region) zur Stabilitätsanalyse
  • Eingabe-Validierung: Magic-Byte-Prüfung bei Datei-Uploads, Pixel-Limit zum Schutz vor Decompression-Bombs, parametrisierte Datenbank-Queries (kein SQL-Interpolation)
  • Wiederherstellbarkeit: Vor jeder Schema-Änderung automatisches Backup; Cron-basierte Stundenbackups dauerhaft auf separater Storage-Region

7. Unterauftragsverarbeiter

Folgende Unterauftragsverarbeiter werden eingesetzt. Mit allen besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO:

  • Hetzner Online GmbH - Server-Hosting, Object Storage - Nürnberg/Falkenstein, Deutschland
  • BunnyWay d.o.o. (Bunny CDN) - Auslieferung von Bildern über das Content Delivery Network, ausschließlich EU-Edges, IP-Anonymisierung aktiv (letztes Oktett gekürzt) - Ljubljana, Slowenien (EU)
  • Sentry GmbH - Fehlerprotokollierung mit aktivem PII-Stripping, EU-Region Frankfurt am Main - Deutschland
  • Brevo (Sendinblue GmbH) - E-Mail-Versand - Berlin, Deutschland
  • Stripe Payments Europe Ltd. - Zahlungsabwicklung (inkl. Stripe Connect für Print-Shop-Auszahlungen an Fotografen) - Dublin, Irland
  • PayPal (Europe) S.à r.l. - Zahlungsabwicklung - Luxemburg
  • Haufe-Lexware GmbH (lexoffice) - Rechnungserstellung - Freiburg, Deutschland
  • Gelato AG - Print-Fulfillment (nur soweit der Auftraggeber Gelato-Produkte aktiviert) - Zürich, Schweiz (Schweiz: Angemessenheitsbeschluss der EU)
  • Prodigi Ltd. - Print-Fulfillment (nur soweit der Auftraggeber Prodigi-Produkte aktiviert) - Hampshire, Vereinigtes Königreich (UK: Angemessenheitsbeschluss der EU)

Bei Erweiterung dieses Verzeichnisses um neue Unterauftragsverarbeiter wird der Auftraggeber vorab informiert und hat ein Widerspruchsrecht nach Art. 28 Abs. 2 DSGVO.

8. Rechte des Auftraggebers

Der Auftraggeber hat das Recht:

  • Weisungen zur Datenverarbeitung zu erteilen
  • Die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen
  • Die Löschung oder Rückgabe der Daten nach Vertragsende zu verlangen
  • Über Datenschutzverletzungen unverzüglich informiert zu werden

9. Meldung von Datenschutzverletzungen

Der Auftragnehmer informiert den Auftraggeber unverzüglich, spätestens jedoch innerhalb von 48 Stunden, über jede Verletzung des Schutzes personenbezogener Daten.

10. Haftung

Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO.

Dieser AVV tritt mit der Registrierung bei phosel.de in Kraft und gilt für die gesamte Dauer der Nutzung. Er kann unter hallo@phosel.de angefordert oder widerrufen werden.

Kontakt Auftragsverarbeiter: Julian Radins, Smaragdweg 5, 06120 Halle (Saale), hallo@phosel.de