Zuletzt aktualisiert: 3. März 2026
Dieser Auftragsverarbeitungsvertrag ("AVV") ist Bestandteil der Nutzungsbedingungen zwischen RetroTagr ("Auftragsverarbeiter", "wir", "uns") und dem Kunden ("Verantwortlicher", "Sie") für die Bereitstellung von Foto-Geotagging-Diensten. Dieser AVV gilt dort und nur insoweit, als RetroTagr personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Erbringung der Dienste verarbeitet.
1. Begriffsbestimmungen
Die folgenden Begriffsbestimmungen gelten für diesen AVV:
- "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in Artikel 4 der DSGVO definiert
- "Verarbeitung" bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten
- "Betroffene Person" bezeichnet die natürliche Person, deren personenbezogene Daten verarbeitet werden
- "Unterauftragsverarbeiter" bezeichnet jeden Dritten, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten
- "DSGVO" bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679
- "Dienste" bezeichnet die von RetroTagr bereitgestellten Foto-Geotagging-Dienste
2. Anwendungsbereich und Rollen
2.1 Verantwortlichkeiten des Verantwortlichen
Als Verantwortlicher bestimmen Sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Sie sind verantwortlich für:
- Sicherstellung der Rechtsgrundlage für die Verarbeitung (z.B. Einwilligung von Personen auf Fotos)
- Beantwortung von Betroffenenanfragen (Auskunft, Löschung, Datenübertragbarkeit)
- Benachrichtigung betroffener Personen über Datenschutzverletzungen bei Bedarf
- Sicherstellung, dass hochgeladene Inhalte den geltenden Gesetzen entsprechen
2.2 Verantwortlichkeiten des Auftragsverarbeiters
Als Auftragsverarbeiter verarbeitet RetroTagr personenbezogene Daten nur auf Ihre dokumentierten Weisungen. Wir sind verantwortlich für:
- Verarbeitung der Daten nur gemäß den Weisungen des Verantwortlichen
- Implementierung angemessener technischer und organisatorischer Sicherheitsmaßnahmen
- Unterstützung des Verantwortlichen bei der Beantwortung von Betroffenenanfragen
- Unverzügliche Benachrichtigung des Verantwortlichen über Datenschutzverletzungen
- Sicherstellung, dass mit der Datenverarbeitung betrautes Personal zur Vertraulichkeit verpflichtet ist
3. Verarbeitete personenbezogene Daten
3.1 Datenkategorien
Folgende Kategorien personenbezogener Daten können verarbeitet werden:
- Kontodaten: E-Mail-Adresse, Name, Profilbild
- Fotodateien mit abgebildeten Personen (Gesichter, identifizierende Merkmale)
- Foto-Metadaten: GPS-Koordinaten, Zeitstempel, Bildunterschriften
- Nutzungsdaten: IP-Adressen, Geräteinformationen, Zugriffsprotokolle
3.2 Betroffene Personen
Betroffene Personen können umfassen:
- Kontoinhaber (Mitarbeiter des Verantwortlichen oder Einzelpersonen)
- Auf hochgeladenen Fotos abgebildete Personen
- Jede Person, deren Informationen in Foto-Metadaten enthalten sind
3.3 Dauer der Verarbeitung
Die Verarbeitung erfolgt für die Dauer der Dienstleistungsvereinbarung. Nach Beendigung werden die Daten innerhalb von 30 Tagen gelöscht, sofern keine längere Aufbewahrung gesetzlich vorgeschrieben ist.
4. Unterauftragsverarbeiter
Der Verantwortliche genehmigt den Einsatz folgender Unterauftragsverarbeiter:
| Anbieter | Zweck | Standort |
|---|
| Supabase Inc. | Datenbank-Hosting und Dateispeicherung | Vereinigte Staaten (AWS-Infrastruktur) |
| Stripe, Inc. | Zahlungsabwicklung und Abonnementverwaltung | Vereinigte Staaten |
| Google LLC | OAuth-Authentifizierung | Vereinigte Staaten |
| Mapbox, Inc. | Interaktive Kartendienste zur Standortauswahl | Vereinigte Staaten |
| Anthropic PBC | KI-gestützte Standortvorschläge (optionale Funktion) | Vereinigte Staaten |
| Vercel Inc. | Anwendungs-Hosting und Content-Delivery | Vereinigte Staaten (globales Edge-Netzwerk) |
| Resend Inc. | Transaktionaler E-Mail-Versand | Vereinigte Staaten |
Wir werden Sie über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren und Ihnen die Möglichkeit geben, innerhalb von 30 Tagen Widerspruch einzulegen.
5. Sicherheitsmaßnahmen
RetroTagr implementiert folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten:
5.1 Technische Maßnahmen
- TLS 1.3-Verschlüsselung für alle Daten während der Übertragung
- AES-256-Verschlüsselung für gespeicherte Daten
- Sichere Authentifizierung über OAuth 2.0 und Session-Tokens
- Regelmäßige Sicherheitsupdates und Schwachstellen-Patches
- Automatisierte Backup-Systeme mit Verschlüsselung
- Ratenbegrenzung und DDoS-Schutz
5.2 Organisatorische Maßnahmen
- Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe
- Vertraulichkeitsvereinbarungen mit allen Mitarbeitern
- Regelmäßige Sicherheitsschulungen für Mitarbeiter
- Verfahren zur Reaktion auf Vorfälle
- Regelmäßige Überprüfung der Sicherheitsrichtlinien
6. Meldung von Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten wird RetroTagr:
- Den Verantwortlichen unverzüglich (möglichst innerhalb von 72 Stunden) nach Bekanntwerden der Verletzung benachrichtigen
- Einzelheiten der Verletzung mitteilen, einschließlich: Art der Verletzung, betroffene Datenkategorien und ungefähre Anzahl betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen
- Bei der Untersuchung und Eindämmung der Verletzung mit dem Verantwortlichen zusammenarbeiten
- Alle Verletzungen einschließlich Fakten, Auswirkungen und Abhilfemaßnahmen dokumentieren
7. Betroffenenrechte
RetroTagr unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenanfragen. Wenn wir eine Anfrage direkt von einer betroffenen Person erhalten, leiten wir diese umgehend an den Verantwortlichen weiter, sofern wir nicht gesetzlich zur direkten Beantwortung verpflichtet sind.
Rechte umfassen: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.
8. Prüfungen und Inspektionen
Auf angemessene Anfrage und unter Wahrung der Vertraulichkeit wird RetroTagr:
- Informationen bereitstellen, die zum Nachweis der Einhaltung dieses AVV erforderlich sind
- Prüfungen, einschließlich Inspektionen, durch den Verantwortlichen oder einen von ihm beauftragten Prüfer ermöglichen und dazu beitragen
- Audit-Fragebögen und Sicherheitszertifizierungen auf Anfrage bereitstellen
9. Internationale Datenübermittlungen
Personenbezogene Daten können in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Für solche Übermittlungen stellt RetroTagr angemessene Garantien sicher:
- Standardvertragsklauseln (SVK) gemäß Genehmigung der Europäischen Kommission
- Übermittlungsfolgenabschätzungen bei Bedarf
- Zusätzliche technische Maßnahmen wo erforderlich
- Datenverarbeitungszusätze mit Unterauftragsverarbeitern
Auf Anfrage schließt RetroTagr mit dem Verantwortlichen die EU-Standardvertragsklauseln für Übermittlungen personenbezogener Daten in Drittländer ab.
10. Beendigung und Datenrückgabe
Bei Beendigung der Dienste:
- Werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht
- Auf Anfrage vor der Löschung stellen wir eine Kopie Ihrer Daten in einem gängigen Format bereit
- Wir bestätigen die Löschung auf Anfrage schriftlich
- Gesetzlich aufzubewahrende Daten werden sicher gespeichert und isoliert
11. Haftung und Freistellung
Jede Partei haftet für Schäden, die durch eine gegen die DSGVO verstoßende Verarbeitung entstehen. Der Auftragsverarbeiter haftet nur für Schäden, die durch eine Verarbeitung entstehen, bei der er die speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO nicht eingehalten hat oder außerhalb der rechtmäßigen Weisungen des Verantwortlichen oder diesen zuwider gehandelt hat.
12. Kontaktinformationen
Bei Fragen zu diesem AVV oder zur Ausübung von Rechten wenden Sie sich bitte an:
Für Unternehmenskunden, die einen dedizierten Datenschutzbeauftragten-Kontakt benötigen, wenden Sie sich bitte an legal@retrotagr.com.