Auftragsverarbeitungsvertrag (AVV)

gemäß Art. 28 DSGVO

Auftragsverarbeiter:

STHEOS UG (haftungsbeschränkt)
Leopoldstraße 2-8
32051 Herford

1. Gegenstand und Dauer des Auftrags

Der Auftragsverarbeiter stellt eine SaaS-Lösung zur Bereitstellung privater Eventgalerien bereit. Der Auftraggeber lädt Inhalte (Fotos/Videos) hoch, die für Endnutzer via QR-Code oder UUID-Link zugänglich gemacht werden. Die Dauer des Auftrags entspricht der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der SaaS-Lösung.

2. Art der Daten und betroffene Personen

3. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Er stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet wurden und unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte.

4. Technische und organisatorische Maßnahmen (TOMs)

Die detaillierten technischen und organisatorischen Maßnahmen sind in der Anlage zu diesem Vertrag festgehalten, die integraler Bestandteil dieses AVVs ist.

5. Unterauftragsverhältnisse

Der Auftraggeber stimmt dem Einsatz der Hetzner Online GmbH (Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen) als Infrastrukturanbieter für das Hosting der Eventgalerien zu. Für den Versand transaktionaler E-Mails setzt der Auftragsverarbeiter Fastmail Ltd. (PO Box 1733, North Melbourne, VIC 3051, Australia) ein. Zur Abwicklung von Zahlungsvorgängen setzt der Auftragsverarbeiter zudem Stripe, Inc. (Stripe Payments Europe, Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland) ein. Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragnehmern Verträge geschlossen wurden, die den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechen.

6. Löschung und Rückgabe

Nach Abschluss der Dienstleistung oder auf Aufforderung des Auftraggebers löscht der Auftragsverarbeiter alle Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Kontrollrechte

Der Auftraggeber hat das Recht, die Einhaltung der Vorgaben gemäß Art. 28 DSGVO zu kontrollieren oder durch beauftragte Dritte kontrollieren zu lassen.

Stand: 15. Juli 2026


Anlage: Technische und Organisatorische Maßnahmen (TOM)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Stand: 15. Juli 2026