Vereinbarung zur Auftragsverarbeitung
Diese Regelung richtet sich an gewerbliche Nutzer, die den Dienst einsetzen und dabei personenbezogene Daten Dritter verarbeiten lassen. Für Verbraucher, die ausschließlich eigene Daten verarbeiten, ist in der Regel keine gesonderte Auftragsverarbeitung erforderlich.
1. Präambel & Rollen
Der gewerbliche Nutzer ist Verantwortlicher („Auftraggeber"), VintageLab (Maximilian Moritz Müller) ist Auftragsverarbeiter („Auftragnehmer"). Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers gemäß Art. 28 DSGVO.
2. Gegenstand, Art & Zweck
- Gegenstand: Verarbeitung hochgeladener Bilddaten zur KI-gestützten Erstellung verkaufsfertiger Verkaufsanzeigen (Listing-Generierung: Erkennung von Marke, Era und Zustand sowie Erzeugung von Beschreibung und Preisempfehlung). Soweit zusätzlich freigeschaltet, umfasst dies auch die KI-gestützte Echtheitseinschätzung.
- Art der Verarbeitung: Erheben, Speichern (befristet), Zuschneiden, Analysieren, Übermitteln an Unterauftragsverarbeiter, Löschen.
- Zweck: Erbringung der vom Auftraggeber genutzten Dienstleistung.
- Dauer: für die Laufzeit des Hauptvertrags.
3. Betroffene & Datenkategorien
- Betroffene Personen: Personen, die auf den vom Auftraggeber hochgeladenen Fotos abgebildet sein können bzw. mit den Bildinhalten in Verbindung stehen.
- Datenkategorien: Bilddaten von Kleidungsstücken/Etiketten; nach serverseitiger Bereinigung grundsätzlich ohne Metadaten (EXIF/GPS werden entfernt).
4. Weisungsrecht
Der Auftragnehmer verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers. Hält der Auftragnehmer eine Weisung für rechtswidrig, teilt er dies mit und darf die Ausführung bis zur Bestätigung aussetzen.
5. Vertraulichkeit
Der Auftragnehmer setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
6. Technische & organisatorische Maßnahmen
Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere:
- verschlüsselte Übertragung (TLS),
- sofortige Entfernung von Bild-Metadaten (EXIF/GPS) nach dem Upload,
- Trennung von kontobezogenen Daten und anonymisiertem Trainingsbestand,
- automatisierte Löschung nicht-eingewilligter Uploads spätestens 30 Tage nach dem Verdikt,
- Zugriffsbeschränkung nach dem Need-to-know-Prinzip.
7. Unterauftragsverarbeiter
Der Auftraggeber stimmt dem Einsatz von Unterauftragsverarbeitern für Hosting, Authentifizierung/Datenbank, Zahlung sowie für die KI-gestützte Bildanalyse (LLM) zu. Der Auftragnehmer verpflichtet Unterauftragsverarbeiter auf ein dem Art. 28 DSGVO entsprechendes Datenschutzniveau und informiert über beabsichtigte Wechsel; der Auftraggeber kann begründet widersprechen.
| Leistung | Anbieter | Standort |
|---|---|---|
| Hosting / Infrastruktur | Vercel Inc. | USA (EU-Standardvertragsklauseln); Server-Region EU (Dublin) |
| Authentifizierung / Datenbank | Supabase Inc. | EU (Irland, eu-west-1) |
| Zahlungsabwicklung | Stripe Payments Europe, Ltd. | EU (Irland) |
| KI-Bildanalyse / Listing-Generierung (LLM) | Google Ireland Ltd. (Gemini API) | USA (EU-Standardvertragsklauseln) |
Die Liste wird konkretisiert, sobald die Infrastruktur final feststeht.
8. Unterstützungspflichten
Der Auftragnehmer unterstützt den Auftraggeber im Rahmen des Möglichen bei der Beantwortung von Betroffenenrechten (Art. 15–22 DSGVO), bei Datenschutz-Folgenabschätzungen sowie bei der Meldung von Datenschutzverletzungen (Art. 33, 34 DSGVO) unverzüglich nach Bekanntwerden.
9. Rückgabe & Löschung
Nach Beendigung der Verarbeitung löscht der Auftragnehmer die personenbezogenen Daten nach Wahl des Auftraggebers oder gibt sie zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
10. Nachweise & Kontrollen
Der Auftragnehmer stellt dem Auftraggeber die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht angemessene Überprüfungen.
11. Abschluss der Vereinbarung
Benötigst du als gewerblicher Nutzer einen unterzeichneten Auftragsverarbeitungsvertrag, sende eine formlose Anfrage an vintagelab@outlook.de. Wir stellen dir eine ausfertigungsfähige Fassung zur Verfügung.
Hinweis: Dieser Text ist ein Entwurf nach Art. 28 DSGVO und ersetzt keine individuelle Rechtsberatung. Vor dem Abschluss mit Geschäftskunden anwaltlich prüfen lassen.