Auftragsverarbeitungsvertrag (AVV)
Vereinbarung zur Verarbeitung personenbezogener Daten gemäß Art. 28 DSGVO.
Dieser AVV gilt nur bei Nutzung von TattooMate als gehostete SaaS-Lösung.
1. Gegenstand und Dauer
Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung von TattooMate als SaaS-Lösung. Die Dauer der Verarbeitung richtet sich nach der Laufzeit des zugrunde liegenden Vertrags.
2. Art und Zweck der Verarbeitung
Die Verarbeitung erfolgt zum Zweck der Bereitstellung und Nutzung der TattooMate-Software. Dies umfasst insbesondere die Speicherung, Organisation, Anzeige und Verarbeitung von Kundendaten, Einwilligungen, Gesundheitsangaben, Unterschriften, Bildern und Dokumenten, die vom Studio erfasst werden.
3. Kategorien betroffener Personen
Betroffene Personen sind insbesondere: - Kunden des Studios - Erziehungsberechtigte (bei U18-Vorgängen) - Mitarbeiter und Artists des Studios
4. Arten personenbezogener Daten
Verarbeitet werden insbesondere: - Stammdaten (z. B. Name, Geburtsdatum) - Kontaktdaten - Gesundheitsangaben - Einwilligungen und Unterschriften - Bild- und Dokumentendaten (z. B. Ausweise, Tattoo-/Nachstichbilder)
5. Verantwortlichkeit
Der Verantwortliche ist für die Rechtmäßigkeit der Datenerhebung und -verarbeitung verantwortlich. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
6. Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich: - personenbezogene Daten vertraulich zu behandeln - geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen - nur berechtigtes Personal mit der Verarbeitung zu betrauen - den Verantwortlichen bei Datenschutzanfragen zu unterstützen
7. Technische und organisatorische Maßnahmen
Zu den Maßnahmen gehören insbesondere: - Zugriffsbeschränkungen und Rollen-/Rechtesysteme - Verschlüsselte Verbindungen (TLS) - Getrennte Instanzen pro Studio - Schutz vor unbefugtem Zugriff Eine detaillierte Übersicht der TOM kann auf Anfrage bereitgestellt werden.
8. Unterauftragsverarbeiter
Der Einsatz von Unterauftragsverarbeitern (z. B. Hosting- oder Infrastruktur-Dienstleister) erfolgt nur, sofern diese vertraglich zur Einhaltung der DSGVO verpflichtet sind. Der Verantwortliche wird über wesentliche Änderungen informiert.
9. Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrung der Rechte betroffener Personen (z. B. Auskunft, Löschung, Berichtigung), soweit dies technisch möglich ist.
10. Beendigung der Verarbeitung
Nach Beendigung des Vertrags werden personenbezogene Daten nach Wahl des Verantwortlichen gelöscht oder zur Herausgabe bereitgestellt, sofern keine gesetzliche Aufbewahrungspflicht besteht.
11. Haftung
Es gelten die Haftungsregelungen des Hauptvertrags. Die Haftung richtet sich nach den gesetzlichen Bestimmungen der DSGVO.
12. Schlussbestimmungen
Es gilt das Recht der Bundesrepublik Deutschland. Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.