Vereinbarung über eine Auftragsverarbeitung nach Art. 28 DSGVO

Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:

·         Erstellung Fotografische Aufnahmen nach Angebot und Absprache mit dem Auftraggeber

·         Weiterverarbeitung und professionelle Bildbearbeitung

·         Aushändigung der erworbenen Aufnahmen nach Absprache  

Kundendaten (in Form von Kontaktdaten sowie spezifische Informationen zum Zweck dieser Auftragsverarbeitung)

Bildmaterial (Fotografische Aufnahmen)  

·      Gruppenbilder werden für alle Familien, derer Kinder die am Bild sind, zum Kauf angeboten

·      Bilder mit anderen Kindern als den eigenen, dürfen von den Eltern nicht veröffentlicht werden

·      Bestellte Bilder (digitale oder Ausdruck) können nicht zurückgegeben werden, außer es liegt bei Ausdrucken ein Druckfehler vor, dann werden die Bilder nach Rücksendung zum Fotografen neu gedruckt

·      Digitale Bilder enthalten keinen Ausdruck

·      Kindergartenbilder werden mind. 1 Jahr und maximal 20 Jahre gespeichert

·      Ein erneutes Hochladen der Bilder, weil nicht rechtzeitig bestellt wurde, kostet mindestens 20€  

Die Durchführung der Arbeiten erfolgt auf Basis einer einmaligen Durchführung, sofern nicht ausdrücklich anders vereinbart.  

Das Kundendaten und das Bildmaterial werden vom Auftragnehmer in dessen Unterlagen und auf dessen Speichermedien sicher und ohne Zugang nicht beauftragter Dritter aufbewahrt. Die gesammelten Daten werden für den Zweck der Nachbestellung von Fotos für mind. 1 Jahr und maximal 10 Jahre gespeichert. Innerhalb dieses Zeitraumes obliegt es dem Auftragnehmer und dessen Ansicht ob die Daten früher oder später gelöscht werden.

Eine Ausnahme stellt das Widerrufsrecht des Auftraggebers dar, wenn dieser fordert das alle oder spezifische Daten einer Auftragsverarbeitung von Ihm gelöscht werden sollen. Diese Forderung ist lediglich schriftlich, gerichtet an den Auftragnehmer gültig. Der Auftragnehmer hat dieser Forderung ehestmöglich nachzukommen, sofern die Daten außerhalb der gesetzlichen Aufbewahrungsdauer gespeichert wurden und keine aktive Auftragsverarbeitung mit diesen Daten im Gange ist.  

Der Auftragnehmer wird Kundendaten folgenden Organisationen soweit erforderlich offen legen:

- Hauptverband der österreichischen Sozialversicherungsträger

- Bundesministerium für Finanzen

- Rechtsanwalt des Auftragnehmers

- Steuerberater des Auftragnehmers  

Der Auftragnehmer wird das Bildmaterial, sofern im Zusammenhang mit der Auftragsverarbeitung notwendig, an folgende Dienstleister weitergeben.

·         Portraitbox (Bildbestellung)

·         PicDrop GmbH, Scharnweberstraße 30, D-10247 Berlin (Online-Bildauswahl)

·         WORLD4YOU Internet Services GmbH, Hafenstraße 47-51, 4020 Linz (Webhoster Homepage)

·         Pixelfotoexpress (Fotolabor)

·         Saal digital (Fotolabor)

·         Sevdesk (Steuerabrechnungsprogram)  

Jeder Auftragsverarbeitung liegt das Recht der privaten Nutzung des Bildmaterials zu Grunde, welches bei Übergabe des Bildmaterials an den Auftraggeber mit übergeben wird. Das Urheberrecht bleibt beim Auftragnehmer. Rechte für kommerzieller Nutzung werden, sofern vereinbart und erworben gesondert schriftlich übergeben.

Wird dem Fotograf gestattet das entstandene Bildmaterial für Eigenwerbung zu nutzen, bedarf es der Zustimmung des Auftraggebers. Wenn diese erfolgt darf der Auftragnehmer die entstandenen Bilder, in veränderter und unveränderter Form, in gedruckter und digitaler Form nutzen. Die Nutzungsrechte sind unwiderruflich und unterliegen keinerlei zeitlicher, örtlicher oder Medientyp-Einschränkung, das gilt auch für Eigenwerbung (Werbezwecke wie Homepage, Auftritt in sozialen Medien und Flyer).

Der Auftragnehmer ist verpflichtet, die Persönlichkeitsrechte des Kunden zu wahren. Eine Nutzung oder Veröffentlichung der Fotos in einer der Kunden herabwürdigenden oder ehrverletzenden Weise, oder zu pornographischen Zwecken ist nicht erlaubt.  

Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des schriftlichen oder mündlichen Auftrages des Auftraggebers zu verarbeiten. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen, vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat, oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten im Punkt 8).

Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen.

Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen.   

Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen.

Zugangskontrolle: Schutz vor unbefugter Systembenutzung.

Klassifikationsschema für Daten: vertraulich

Integrität: Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.

Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport

Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung, bzw. Verlust mittels Backup-Erstellung

Datenschutzfreundliche Voreinstellungen

Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers mit eindeutiger Vertragsgestaltung und formalisiertes Auftragsmanagement