Saal Digital Fotoservice GmbH

Zeppelinstraße 36, 91187 Röttenbach

1 Données contractuelles
2 Vérification et conclusion

Contrat de sous-traitance des données


Données contractuelles du donneur d'ordre
common.please_select
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Vertragstext

Accord sur le traitement des données commandé au sens de l'article 28, paragraphe 3, du règlement général sur la protection des données (RGPD).



entre la personne responsable du traitement des données :
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– Client –

et le sous-traitant des données :
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen
– Mandataire –

Préambule


Cet accord décrit les obligations des parties contractantes en matière de protection des données, résultant du traitement des commandes décrit dans l’Annexe A. Il s’applique à toutes les activités liées au service dans le cadre duquel les employés de l’entrepreneur ou des tiers mandatés par l’entrepreneur peuvent entrer en contact avec les données personnelles du client.
Les accords individuels de ce contrat de protection des données ont préséance sur les conditions générales (CGV) du mandataire.

§ 1 Définitions

.
(1) Données personnelles
Selon l’art. 4 al. 1 RGPD, les données à caractère personnel sont toutes les informations relatives à une personne physique identifiée ou identifiable (ci-après « la personne concernée »). Est identifiable une personne physique qui peut être identifiée directement ou indirectement, notamment par attribution à une identification telle qu’un nom, un numéro d’identification, des données de localisation, une identification en ligne ou à une ou plusieurs caractéristiques particulières qui expriment l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique.

(2) Sous-traitant des données
Selon l’Art. 4 para. 8 RGPD, un sous-traitant est une personne physique ou morale, une autorité, une institution ou tout autre organe qui traite des données à caractère personnel pour le compte du responsable du traitement.

(3) Instruction
L’instruction est généralement l’instruction écrite du client visant un certain traitement de protection des données (par exemple le stockage, la pseudonymisation, la suppression, la publication) du contractant avec des données personnelles. Les instructions sont émises par le client et peuvent être modifiées, complétées ou remplacées par des instructions individuelles (instructions individuelles). Les instructions du client doivent être données par écrit ou par e-mail.

§ 2 Objet, durée et spécification du traitement des commandes
L’objet et la durée de la commande ainsi que le type et la finalité du traitement résultent de cet accord. En particulier, les informations sur les données de l’annexe A font partie du traitement des données.

Cet accord est valable jusqu’à ce qu’il soit révoqué. La révocation doit être faite par écrit.

§ 3 Portée et responsabilité
Le mandataire traite les données personnelles au nom du client. Cela comprend les activités qui sont précisées dans le présent contrat. Dans le cadre de ce contrat, le client est seul responsable du respect des dispositions légales de la loi sur la protection des données, en particulier de la légalité de la transmission des données au mandataire et de la légalité du traitement des données (« responsable » au sens de l’art. 4 n° 7 RGPD).

§ 4 Devoirs de l'entrepreneur
(1) Le contractant ne peut traiter les données des personnes concernées que dans le cadre de la commande et des instructions du pouvoir adjudicateur, sauf cas exceptionnel au sens de l’article 28, paragraphe 3 a) DS-GMO. Le preneur d’ordre doit informer sans délai le client s’il estime qu’une instruction viole les lois applicables. L’entrepreneur peut suspendre la mise en œuvre de la directive jusqu’à ce qu’elle soit confirmée ou modifiée par le client.

(2) Le mandataire doit concevoir l’organisation interne dans son domaine de responsabilité de manière à ce qu’elle réponde aux exigences particulières de la protection des données. Il prendra des mesures techniques et organisationnelles pour protéger de manière adéquate les données du pouvoir adjudicateur qui satisfont aux exigences de la réglementation de base en matière de protection des données (art. 32 RGPD). Le mandataire prend des mesures techniques et organisationnelles pour assurer la confidentialité, l’intégrité, la disponibilité et la résilience à long terme des systèmes et services liés au traitement. Le client a connaissance de ces mesures techniques et organisationnelles et a la responsabilité de s’assurer qu’elles offrent un niveau de protection approprié pour les risques liés aux données à traiter.
Le mandataire se réserve le droit de modifier les mesures de sécurité prises, mais il faut veiller à ce qu’elles ne tombent pas en dessous du niveau de protection convenu ici.

(3) Dans la mesure convenue, le mandataire aide le donneur d’ordre, dans la mesure de ses possibilités, à répondre aux demandes et réclamations des personnes concernées conformément au chapitre III du RGPD et à se conformer aux obligations spécifiées aux articles 33 à 36 du RGPD.

(4) Le mandataire garantit que les employés impliqués dans le traitement des données du client et des autres personnes travaillant pour le mandataire n’ont pas le droit de traiter les données en dehors des instructions. En outre, le mandataire garantit que les personnes autorisées à traiter les données personnelles se sont engagées à maintenir la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. L’obligation de confidentialité/non-divulgation continue de s’appliquer même après la fin de la commande.

(5) Le mandataire doit informer immédiatement le client s’il a connaissance d’une violation de la protection des données personnelles du client.

Le mandataire doit prendre les mesures nécessaires pour sécuriser les données et atténuer les éventuelles conséquences négatives des personnes concernées et consulter le client sans délai.

(6) Le mandataire désigne la personne à contacter pour toute question relative à la protection des données dans le cadre du présent accord.

(7) Le mandataire doit s’assurer qu’il remplit ses obligations en vertu de l’art. 32 al. 1 lettre. d) RGPD pour établir une procédure de contrôle régulier de l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement.

(8) Le mandataire corrige ou supprime les données faisant l’objet de l’accord, si le client le lui demande et si cela est inclus dans le cadre d’instruction. Si la suppression conformément à la protection des données ou une limitation correspondante du traitement des données n’est pas possible, le mandataire s’engage à détruire les supports de données et autres matériaux conformément à la protection des données sur la base d’une commande individuelle du client ou à renvoyer ces supports de données au client, sauf si cela a déjà été convenu.
Dans des cas particuliers à déterminer par le client, la marchandise doit être stockée ou remise, la rémunération et les mesures de protection doivent être convenues séparément.

(9) Les données, supports de données et tout autre matériel doivent être remis ou effacés à la demande du client à la fin de la commande.

(10) En cas de réclamation du client par une personne affectée pour une éventuelle réclamation en vertu de l’art. 82 RGPD, le mandataire s’engage à soutenir le client dans la défense de la réclamation dans la mesure de ses possibilités.

§ 5 Obligations du client
(1) Le client doit informer immédiatement et dûment le mandataire s’il détecte des erreurs ou des irrégularités dans les résultats de la commande en ce qui concerne les dispositions relatives à la protection des données.

(2) En cas de réclamation du client par une personne affectée pour une éventuelle réclamation en vertu de l’art. 82 RGPD, s’applique §4 paragraphe 10.

(3) Le client désigne au mandataire, la personne de contact pour les questions de protection des données qui se posent dans le cadre du contrat.

§ 6 Demandes des personnes affectées
Si une personne affectée s’adresse au mandataire pour des demandes de correction, d’effacement ou d’information, le mandataire renvoie la personne concernée au client, à condition qu’une cession au client soit possible en fonction des données de la personne concernée. Le mandataire transmet immédiatement la demande de l’intéressé au pouvoir adjudicateur. Le mandataire assiste le client dans la mesure de ses possibilités et sur instruction, dans la mesure convenue. Le mandataire n’est pas responsable si le client ne répond pas à la demande de la personne concernée, ne répond pas correctement ou ne répond pas en temps voulu.

§ 7 Possibilités de preuve
(1) Le mandataire doit prouver au client qu’il s’est conformé aux obligations prévues par le présent contrat par des moyens appropriés.

(2) Si des inspections par le client ou un auditeur mandaté par le client sont nécessaires dans des cas individuels, elles doivent être effectuées pendant les heures normales d’ouverture sans perturber les opérations après notification, en tenant compte d’un délai d’exécution approprié. Le mandataire peut les soumettre à une notification préalable dans un délai raisonnable et à la signature d’un accord de confidentialité en ce qui concerne les données d’autres clients et les mesures techniques et organisationnelles mises en place. Si l’inspecteur mandaté par le client est dans une relation de concurrence avec le mandataire, l’entrepreneur a un droit de contestation à l’encontre de l’inspecteur mandaté.
Le mandataire peut exiger des frais pour l’aide à l’exécution d’une inspection. Le coût d’une inspection est généralement limité à un jour par année civile pour le mandataire.

(3) Si une inspection est effectuée par une autorité de contrôle de la protection des données ou une autre autorité de contrôle souveraine du pouvoir adjudicateur, le paragraphe 2 s’applique mutatis mutandis. Il n’est pas nécessaire de signer un accord de confidentialité si cette autorité de surveillance est soumise au secret professionnel ou juridique, dans lequel une violation est punissable en vertu du Code pénal.

§ 8 Sous-traitants (autres entrepreneurs)
(1) Le recours à des sous-traitants en tant que sous-traitants supplémentaires n’est autorisé que si le client a donné son accord préalable.

(2) Il existe une relation de sous-traitance nécessitant une approbation si l’entrepreneur demande à d’autres entrepreneurs d’exécuter la totalité ou une partie du service convenu dans l’accord. Le mandataire conclut des accords avec ces tiers dans la mesure nécessaire pour assurer une protection des données et des mesures de sécurité de l’information appropriées.
Les services convenus ou les services partiels décrits ci-dessous sont exécutés avec l’implication des sous-traitants suivants :

Nom et adresse du sous-traitant
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlin
Data Center dans la région AWS Francfort, Allemagne (Data Center)

Description des services partiels
-amélioration des images
-pré-impression
-mémoire de données

Avant de faire appel à d’autres sous-traitants ou de remplacer les sous-traitants énumérés, l’entrepreneur doit obtenir le consentement du client, qui ne peut être refusé sans motif valable en vertu de la loi sur la protection des données.

(3) Si le mandataire passe des commandes auprès de sous-traitants, le mandataire est responsable du transfert de ses obligations en matière de protection des données en vertu du présent contrat au sous-traitant.

§ 9 Obligation d’informer, clause de forme écrite, choix de la loi applicable
(1) Si les données du mandataire sont menacées par la saisie ou la confiscation, par une procédure d’insolvabilité ou de concordat ou par d’autres événements ou mesures de tiers, le mandataire doit en informer immédiatement le client. Le mandataire doit immédiatement informer toutes les personnes responsables que la souveraineté et la propriété des données appartiennent exclusivement au client en tant que « responsable » au sens de l’Ordonnance de base sur la protection des données.

(2) Les modifications et ajouts à la présente annexe et à tous ses éléments - y compris les garanties du mandataire - nécessitent un accord écrit, qui peut également être fait sous forme électronique (sous forme de texte), et une indication expresse que ces conditions générales doivent être modifiées ou complétées. Ceci s’applique également à la renonciation à cette exigence formelle.

(3) En cas de contradictions, les dispositions du présent accord sur la protection des données prévalent sur les dispositions du contrat. La nullité de certaines parties de la présente annexe n’affecte pas la validité du reste de l’annexe.

(4) Le droit allemand est applicable.

§ 10 Responsabilité et dommages
Le client et le mandataire sont responsables envers les personnes concernées conformément aux dispositions de l’art. 82 RGPD.

§ 11 Clause de divisibilité, lieu de juridiction, Applicabilité
(1) Si une disposition du présent contrat est ou devient invalide ou inapplicable, cela n’affecte pas les autres dispositions du présent contrat. Les parties conviennent de remplacer la disposition invalide ou non exécutoire par une disposition valide et exécutoire qui se rapproche le plus possible de l’objectif économique des parties. Il en va de même en cas de faille.

(2) Les modifications et compléments au présent contrat et à toutes ses composantes - y compris les assurances du mandataire - nécessitent un accord écrit ou sous forme de texte (format électronique) et l’indication expresse que le présent contrat est une modification ou un ajout. Ceci s’applique également à la renonciation à cette exigence formelle.

(3) Cette traduction n’est fournie qu’à titre d’information et n’est pas un document juridiquement contraignant. Les dispositions originales sont contenues dans la version originale allemande.

(4) Il est convenu que Siegen est le tribunal compétent. 

16.07.2026, [[Ort]]
pour ordre [[Name]]

16.07.2026, Siegen
pour ordre Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (directeur général, Saal Digital Fotoservice GmbH)

[Cet accord est valable sans signature.]
Annexe A : Détails relatifs à l'ordre
1. Type de données
2. Type et finalité du traitement des données
3. Catégories de personnes concernées
Annexe B : Mesures techniques et organisationnelles
Mesure Objectif de protection Beschreibung
Zutrittskontrolle
Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) C .
Einsatz eines Zugangskontrollsystems C Schlüsselregelung und aktuelle Schlüsselliste
Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste C
Festlegung der zugangsberechtigten Personen C .
Identifikation durch Ausweise C .
Protokollierung der Zu- und Abgänge C .
Revisionsfähigkeit der Zugangsberechtigungen C .
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude C .
Zugangsregelungen für betriebsfremde Personen C .
Zugangskontrolle
Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche C .
geteiltes Passwort mit 4-Augen-Prinzip C Ohne das Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff.
Identifikation und Authentifizierung der Benutzer C .
Passwortrichtlinie C (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) C
Regelungen / Voraussetzungen zur Telearbeit C (Zwei-Faktor-Authentifizierung)
Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) C
Sicherung der Datenstationen, Netze und Übertragungsleitungen C .
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität C (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) C
Verschlüsselung der zu übertragenden Daten C .
Zugriffskontrolle
Anlegen von revisionsfähigen Benutzerprofilen C .
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe C .
Beschränkung der freien Abfragemöglichkeiten von Datenbanken C (Query-Sprache)
Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) C
Einführung zugriffsbeschränkender Maßnahmen C (z. B. nur Leseberechtigung)
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) C
Einsatz von Verschlüsselungsverfahren C .
Identifikation und Authentifizierung der Benutzer C .
Maschinelle Überprüfung der Berechtigungen C .
Zentrale Vergabestelle von Benutzerrechten C .
Weitergabekontrolle
Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen C .
Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) C .
Eingabekontrolle
Festlegung von Eingabebefugnissen I .
Protokollierung der Eingaben, Veränderungen und Löschungen I .
Speicherung des Veranlassers I .
Auftragskontrolle
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber C, I, A .
Formalisierung der Auftragserteilung C, I, A .
Klare Vereinbarungsgestaltung und -ausführung C, I, A .
Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung C, I, A .
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. C, I, A .
Sorgfältige Auswahl des Auftragnehmers C, I, A .
Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers C, I, A .
Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO C, I, A .
Verfügbarkeitskontrolle
Application-/Device-Control A .
Brandmelder A .
Klimatisierung A .
Objektsicherung insb. der Serverräume A .
Permanente Serverüberwachung durch Monitoring-Software A .
USV (Unterbrechungsfreie Stromversorgung) A .
Virenschutz / Firewall A .
Trennungsgebot
Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt C .
Mandantentrennung auf Auftragsebene - Logische Trennung der Daten C .
Pseudonymisierung
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten in der Produktion
Verschlüsselung
Speicherung C Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Übertragung C Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
Wiederherstellbarkeit
Backup-Systeme zur Wiederherstellung verlorener Daten A .
Dezentrale Datensicherung A .
Mehrfach redundantes Active-Active-Cluster A .
Testen der Wiederherstellung A .
Managementsystem
Durchführung regelmäßiger interner Audits C, I, A .
Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) C, I, A .
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen C, I, A .
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) C, I, A .
Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen C, I, A .
Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) C, I, A .
Signataires

Signataires 1

Retour