Auftragsverarbeitungsvertrag (AVV)
gemäß Art. 28 DSGVO
Auftragsverarbeiter:
STHEOS UG (haftungsbeschränkt)
Leopoldstraße 2-8
32051 Herford
1. Gegenstand und Dauer des Auftrags
Der Auftragsverarbeiter stellt eine SaaS-Lösung zur Bereitstellung privater Eventgalerien bereit. Der Auftraggeber lädt Inhalte (Fotos/Videos) hoch, die für Endnutzer via QR-Code oder UUID-Link zugänglich gemacht werden. Die Dauer des Auftrags entspricht der Laufzeit des zwischen den Parteien geschlossenen Hauptvertrags über die Nutzung der SaaS-Lösung.
2. Art der Daten und betroffene Personen
- Art der Daten: Bild- und Videodaten (Inhalte der Eventgalerien), technische Logfiles (IP-Adressen, Zeitstempel, Browserinformationen).
- Betroffene Personen: Kunden des Auftraggebers (Event-Teilnehmer), die auf die Galerien zugreifen.
3. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Er stellt sicher, dass die mit der Verarbeitung befassten Personen zur Vertraulichkeit verpflichtet wurden und unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte.
4. Technische und organisatorische Maßnahmen (TOMs)
Die detaillierten technischen und organisatorischen Maßnahmen sind in der Anlage zu diesem Vertrag festgehalten, die integraler Bestandteil dieses AVVs ist.
5. Unterauftragsverhältnisse
Der Auftraggeber stimmt dem Einsatz der Hetzner Online GmbH (Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen) als Infrastrukturanbieter für das Hosting der Eventgalerien zu. Für den Versand transaktionaler E-Mails setzt der Auftragsverarbeiter Fastmail Ltd. (PO Box 1733, North Melbourne, VIC 3051, Australia) ein. Zur Abwicklung von Zahlungsvorgängen setzt der Auftragsverarbeiter zudem Stripe, Inc. (Stripe Payments Europe, Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2, Ireland) ein. Der Auftragsverarbeiter stellt sicher, dass mit allen Unterauftragnehmern Verträge geschlossen wurden, die den Anforderungen des Art. 28 Abs. 4 DSGVO entsprechen.
6. Löschung und Rückgabe
Nach Abschluss der Dienstleistung oder auf Aufforderung des Auftraggebers löscht der Auftragsverarbeiter alle Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Kontrollrechte
Der Auftraggeber hat das Recht, die Einhaltung der Vorgaben gemäß Art. 28 DSGVO zu kontrollieren oder durch beauftragte Dritte kontrollieren zu lassen.
Stand: 15. Juli 2026
Anlage: Technische und Organisatorische Maßnahmen (TOM)
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Zugangskontrolle: Ausschließlich autorisierte Administratoren haben Zugriff auf die Server-Infrastruktur. Der Zugriff erfolgt mittels SSH-Key-Authentifizierung (keine Passwörter).
- Zugangsschutz der Daten: Die Eventgalerien sind nicht öffentlich gelistet. Der Zugriff erfolgt exklusiv über nicht vorhersehbare, kryptographisch sichere UUIDs (Version 4). Optional kann der Nutzer jede Galerie zusätzlich mit einem individuellen Passwort schützen, um den Zugriff weiter einzuschränken.
- Verschlüsselung: Alle Datenübertragungen zwischen dem Client (Browser des Nutzers) und dem Server sind via TLS 1.2/1.3 (Abhängig vom Endgerät der nutzenden Person) verschlüsselt.
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
- Eingabekontrolle: Es werden keine personenbezogenen Daten der hochladenden Personen erhoben. Das System verarbeitet ausschließlich Bild-/Videodaten und notwendige, systemimmanente Logfiles.
- Server-Sicherheit: Betrieb der Infrastruktur in zertifizierten Rechenzentren (Hetzner Online GmbH, ISO 27001 zertifiziert). Regelmäßige Sicherheitsupdates der Server-Software und Betriebssysteme.
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)
- Verfügbarkeit: Die Infrastruktur ist auf Hochverfügbarkeit ausgelegt.
- Backup-Konzept: Täglich automatisierte Backups der Datenbanken und Dateisysteme. Die Backups werden verschlüsselt am Standort Finnland (innerhalb des EWR) auf Servern der Hetzner Online GmbH gesichert.
- Netzwerksicherheit: Einsatz von Firewalls zur Abwehr unbefugter Zugriffe auf die API und Datenbank-Schnittstellen.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Monitoring: Kontinuierliche Überwachung der Server-Logs zur frühzeitigen Erkennung von Sicherheitsanomalien.
- Datensparsamkeit: Das System ist so konzipiert, dass keine Cookies zur Sitzungsverfolgung genutzt werden. Die Nutzung des Services hinterlässt keine Tracking-Spuren.
Stand: 15. Juli 2026