UAuftragsverarbeitung / DSGVO
Vereinbarung über eine
Auftragsverarbeitung nach Art. 28 DSGVO

Wenn Sie sich entscheiden bei uns Aufnahmen machen zu lassen, so bitten wir jeden Kunden vorab einen Vertrag zur Auftragsverarbeitung lt. Datenschutzgesetz auszufüllen. Der Vertrag verweist inhaltlich auf folgende Punkte und stellt eine Aufklärung für den Auftraggeber dar, was mit den gesammelten Daten sowie digitalen Aufnahmen passiert. Des Weiteren sind die allgemeinen Geschäftsbedingungen des Auftragnehmers so wie eine Aufklärung zu den Bildrechten enthalten.

1.  Gegenstand der Vereinbarung
Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben:
Erstellung Fotografische Aufnahmen nach Angebot und Absprache mit dem Auftraggeber
Weiterverarbeitung und professionelle Bildbearbeitung
Aushändigung der erworbenen Aufnahmen nach Absprache
Folgende Datenkategorien werden verarbeitet:
Kundendaten (in Form von Kontaktdaten sowie spezifische Informationen zum Zweck dieser Auftragsverarbeitung)
Bildmaterial (Fotografische Aufnahmen)

2.  Dauer der Vereinbarung
Die Durchführung der Arbeiten erfolgt auf Basis einer einmaligen Durchführung, sofern nicht ausdrücklich anders vereinbart.

3.  Aufbewahrung der Daten
Das Kundendaten und das Bildmaterial werden vom Auftragnehmer in dessen Unterlagen und auf dessen Speichermedien sicher und ohne Zugang nicht beauftragter Dritter aufbewahrt.
Die gesammelten Daten werden für den Zweck der Nachbestellung von Fotos für mindestens fünf und längstens 30 Jahre lang gespeichert. Innerhalb dieses Zeitraumes obliegt es dem Auftragnehmer und dessen Ansicht ob die Daten früher oder später gelöscht werden.
Eine Ausnahme stellt das Widerrufsrecht des Auftraggebers dar, wenn dieser fordert das alle oder spezifische Daten einer Auftragsverarbeitung von Ihm gelöscht werden sollen. Diese Forderung ist lediglich schriftlich und unterzeichnet, gerichtet an den Auftragnehmer gültig. Der Auftragnehmer hat dieser Forderung ehestmöglich nachzukommen, sofern die Daten außerhalb der gesetzlichen Aufbewahrungsdauer gespeichert wurden und keine aktive Auftragsverarbeitung mit diesen Daten im Gange ist.

4.  Offenlegung der Daten
Der Auftragnehmer wird Kundendaten folgenden Organisationen soweit erforderlich offen legen:
Hauptverband der österreichischen Sozialversicherungsträger
Bundesministerium für Finanzen
Rechtsanwalt des Auftragnehmers
Steuerberater des Auftragnehmers
Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber einer unentgeltlichen Auskunftsplicht über dessen gespeicherten Daten.

5.  Übermittlung des Bildmaterials an Dienstleister
Der Auftragnehmer wird das Bildmaterial, sofern im Zusammenhang mit der Auftragsverarbeitung notwendig, an folgende Dienstleister weitergeben.
PicDrop GmbH, Scharnweberstraße 30, D-10247 Berlin (Online-Bildauswahl)
WORLD4YOU Internet Services GmbH, Hafenstraße 47-51, 4020 Linz (Webhoster Homepage, so wie künftige Webhoster der Homepage von JR Fotografie)
Diverse Online-Printdienstleister wie Cewe, Fotodarling, Pixartprinting, Vistaprint

6.  Bildrechte, Veröffentlichung und Verwendung
Jeder Auftragsverarbeitung liegt das Recht der privaten Nutzung des Bildmaterials zu Grunde, welches bei Übergabe des Bildmaterials an den Auftraggeber mit übergeben wird. Das Urheberrecht bleibt beim Auftragnehmer. Rechte für kommerzieller Nutzung werden, sofern vereinbart und erworben gesondert schriftlich übergeben.
Wird dem Fotograf gestattet das entstandene Bildmaterial für Eigenwerbung zu nutzen, bedarf es der schriftlichen Zustimmung des Auftraggebers. Wenn diese erfolgt darf der Auftragnehmer die entstandenen Bilder, in veränderter und unveränderter Form, in gedruckter und digitaler Form nutzen. Die Nutzungsrechte sind unwiderruflich und unterliegen keinerlei zeitlicher, örtlicher oder Medientyp-Einschränkung, das gilt auch für Eigenwerbung (Werbezwecke wie Homepage, Auftritt in sozialen Medien und Flyer).
Der Auftragnehmer ist verpflichtet, die Persönlichkeitsrechte des Kunden zu wahren. Eine Nutzung oder Veröffentlichung der Fotos in einer der Kunden herabwürdigenden oder ehrverletzenden Weise, oder zu pornographischen Zwecken ist nicht erlaubt.

7.  Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen des schriftlichen oder mündlichen Auftrages des Auftraggebers zu verarbeiten.
Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen, vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat, oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.
Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten im Punkt 9).
Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen.
Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen.

8.  Ort der Durchführung der Datenverarbeitung
Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw. des EWR durchgeführt.

9.  Technisch-Organisatorische Maßnahmen
Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen.
Zugangskontrolle: Schutz vor unbefugter Systembenutzung.
Klassifikationsschema für Daten: vertraulich
Integrität: Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten.
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung, bzw. Verlust mittels Backup-Erstellung
Datenschutzfreundliche Voreinstellungen
Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers mit eindeutiger Vertragsgestaltung und formalisiertes Auftragsmanagement