Saal Digital Fotoservice GmbH

Zeppelinstraße 36, 91187 Röttenbach

1 Contractgegevens
2 Controle en afsluiting

Verwerkersovereenkomst


Contractgegevens opdrachtgever
common.please_select
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Vertragstext

Overeenkomst over in opdracht gegeven gegevensverwerking in de zin van artikel 28, lid 3, van de basisverordening inzake gegevensbescherming (AVG).



Tussen de verantwoordelijke persoon:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– Opdrachtgever –

en de verwerker:
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen
– Opdrachtnemer –

Aanhef



In deze overeenkomst worden de verplichtingen van de overeenkomstsluitende partijen op het gebied van gegevensbescherming gespecificeerd die voortvloeien uit de in Bijlage A beschreven orderverwerking. Zij is van toepassing op alle werkzaamheden in verband met de dienstverlening waarbij medewerkers van opdrachtnemer of door opdrachtnemer ingeschakelde derden in contact kunnen komen met persoonsgegevens van opdrachtgever. Individuele overeenkomsten in deze gegevensbeschermingsovereenkomst hebben voorrang op de algemene voorwaarden van de opdrachtnemer.

§ 1 Definities


(1) Persoonlijke gegevens
Volgens artikel 4, lid 1, van de AVG zijn persoonsgegevens alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (hierna „betrokkene” genoemd); identificeerbaar is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name door toekenning van een identificatie zoals een naam, een identificatienummer, locatiegegevens, een online-identificatie of van een of meer bijzondere kenmerken die de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon tot uitdrukking brengen.

(2) Opdrachtnemer
Volgens artikel 4, lid 8, van de AVG is een verwerker een natuurlijke of rechtspersoon, autoriteit, instelling of ander orgaan die persoonsgegevens verwerkt namens de voor de verwerking verantwoordelijke.

(3) Instructie
De opdracht is meestal de schriftelijke opdracht van de opdrachtgever gericht op een bepaalde verwerking van persoonsgegevens (bijvoorbeeld opslag, pseudonimisering, verwijdering, publicatie) door de aannemer. De instructies worden gegeven door de opdrachtgever en kunnen worden gewijzigd, aangevuld of vervangen door individuele instructies (individuele instructies). De instructies van de klant moeten schriftelijk of per e-mail worden gegeven.

§ 2 Object, duur en specificatie van de orderverwerking
Het object en de duur van de bestelling, alsmede de aard en het doel van de verwerking, vloeien voort uit deze overeenkomst. Met name de informatie over de gegevens in bijlage A maakt deel uit van de gegevensverwerking.

Deze overeenkomst is geldig tot deze wordt herroepen. De herroeping moet schriftelijk gebeuren.

§ 3 Toepassingsgebied en verantwoordelijkheid
De opdrachtnemer verwerkt persoonsgegevens namens de opdrachtgever. Hieronder vallen activiteiten die in deze overeenkomst zijn gespecificeerd. In het kader van deze overeenkomst is de klant als enige verantwoordelijk voor de naleving van de wettelijke bepalingen van de wetten op de gegevensbescherming, in het bijzonder voor de rechtmatigheid van de overdracht van gegevens aan de contractant en voor de rechtmatigheid van de gegevensverwerking („verantwoordelijke persoon” in de zin van artikel 4 nr. 7 AVG).

§ 4 Taken van de opdrachtnemer
(1) De opdrachtnemer mag gegevens van betrokkenen alleen verzamelen in het kader van de order en instructies van de aanbestedende dienst, tenzij er sprake is van een uitzonderlijk geval in de zin van artikel 28, lid 3, sub. a), AVG. Opdrachtnemer zal opdrachtgever onverwijld op de hoogte stellen indien hij van mening is dat een opdracht in strijd is met toepasselijke wet- en regelgeving. Opdrachtnemer kan de toepassing van de richtlijn opschorten totdat deze door opdrachtgever is bevestigd of gewijzigd.

(2) De opdrachtnemer ontwerpt de interne organisatie in zijn verantwoordelijke gebied zodanig, dat deze aan de bijzondere eisen inzake gegevensbescherming voldoet. Hij neemt technische en organisatorische maatregelen, die voldoen aan de eisen van de basisgegevensbeschermingsverordening (art. 32 AVG), om de gegevens van de opdrachtgever adequaat te beschermen.De opdrachtnemer neemt technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en duurzaamheid van de systemen en diensten in verband met de verwerking op lange termijn te waarborgen. De opdrachtgever is op de hoogte van deze technische en organisatorische maatregelen en moet ervoor zorgen dat deze een passend beschermingsniveau bieden voor de risico’s van de te verwerken gegevens. De opdrachtnemer behoudt zich het recht voor om de genomen veiligheidsmaatregelen te wijzigen, maar er moet op worden toegezien dat deze niet onder het hier overeengekomen beschermingsniveau vallen.

(3) Voor zover overeengekomen assisteert de opdrachtnemer, de opdrachtgever binnen de mogelijkheden om te voldoen aan de verzoeken en aanvragen van betrokkenen op grond van hoofdstuk III van de AVG en aan de verplichtingen van de artikelen 33 t/m 36 van de AVG.

(4) De opdrachtnemer garandeert dat de werknemers die betrokken zijn bij de verwerking van de gegevens van de opdrachtgever en andere personen die voor de opdrachtnemer werkzaam zijn, verboden is de gegevens buiten de instructies om te verwerken. Bovendien garandeert de aannemer dat de personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich ertoe verbonden hebben de vertrouwelijkheid te respecteren of onderworpen zijn aan een gepaste wettelijke geheimhoudingsplicht. De geheimhoudings-/niet-openbaarmakingsplicht blijft ook na beëindiging van de opdracht van kracht.

(5) De opdrachtnemer zal de opdrachtgever onmiddellijk op de hoogte brengen wanneer hij kennis krijgt van een inbreuk op de bescherming van de persoonsgegevens van de opdrachtgever.

Opdrachtnemer zal de nodige maatregelen treffen om de gegevens te beveiligen en eventuele nadelige gevolgen van de betrokkenen te beperken en zal onverwijld in overleg treden met opdrachtgever.

(6) De opdrachtnemer benoemt de opdrachtgever de contactpersoon voor alle gegevensbeschermingskwesties die zich in het kader van deze overeenkomst voordoen.

(7) De opdrachtnemer dient ervoor te zorgen dat hij voldoet aan zijn verplichtingen (artikel 32, lid 1, sub. d), van de AVG, om een procedure vast te stellen voor regelmatige beoordeling van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

(8) De opdrachtnemer corrigeert of verwijdert de gegevens waarop de overeenkomst betrekking heeft, indien de opdrachtgever dit opdraagt en dit in het instructieskader is opgenomen. Indien verwijdering in overeenstemming met de gegevensbescherming of een overeenkomstige beperking van de gegevensverwerking niet mogelijk is, zal de opdrachtnemer op basis van een individuele bestelling van de opdrachtgever de vernietiging van gegevensdragers en ander materiaal in overeenstemming met de gegevensbescherming uitvoeren of deze gegevensdragers aan de opdrachtgever retourneren, tenzij dit reeds is overeengekomen.
In door de klant te bepalen gevallen, worden de goederen opgeslagen of overhandigd. Vergoeding en beschermingsmaatregelen moeten afzonderlijk overeengekomen worden.

(9) Op verzoek van de opdrachtgever worden gegevens, gegevensdragers en alle andere materialen aan het einde van de bestelling overhandigd ovf verwijderd.

(10) Bij een vordering van de opdrachtgever, met betrekking op grond van artikel 82 AVG verbindt de opdrachtnemer zich ertoe de opdrachtgever te ondersteunen bij de verdediging van de vordering in het kader van zijn mogelijkheden.

§ 5 Verplichtingen van de opdrachtgever
(1) Opdrachtgever dient opdrachtnemer onverwijld en volledig te informeren indien hij in de orderresultaten fouten of onregelmatigheden constateert ten aanzien van gegevensbeschermingsvoorschriften.

(2) In geval van een vordering door een belanghebbende van de opdrachtgever met betrekking tot eventuele aanspraken op grond van artikel 82 AVG is §3 sub. 10 van overeenkomstige toepassing.

(3) Opdrachtgever dient de contactpersoon te noemen voor gegevensbeschermingsvraagstukken die zich in het kader van de overeenkomst voordoen bij opdrachtnemer.


§ 6 Aanvragen van betrokken personen
Indien een betrokkene zich tot de opdrachtnemer richt met aanspraken op verbetering, verwijdering of informatie, zal de opdrachtnemer de betrokkene doorverwijzen naar de opdrachtgever, mits een overdracht aan de opdrachtgever op grond van de gegevens van de betrokkene mogelijk is. De aannemer zendt de aanvraag van de betrokkene onmiddellijk door aan de opdrachtgever. Opdrachtnemer zal opdrachtgever binnen de grenzen van zijn mogelijkheden en op instructie ondersteunen, voor zover overeengekomen. Opdrachtnemer is niet aansprakelijk indien opdrachtgever niet, niet behoorlijk of niet tijdig reageert op het verzoek van betrokkene.

§ 7 Verificatiemogelijkheden
(1) De opdrachtnemer zal ten overstaan van de opdrachtgever met geschikte middelen aantonen dat hij aan de verplichtingen uit deze overeenkomst heeft voldaan.

(2) Indien in individuele gevallen inspecties door de cliënt of een door de cliënt aangestelde auditor vereist zijn, worden deze uitgevoerd tijdens de normale werkuren zonder de werkzaamheden na de aanmelding te verstoren, rekening houdend met een passende aanlooptijd. De opdrachtnemer kan ze onderwerpen aan een voorafgaande kennisgeving binnen een redelijke termijn en aan de ondertekening van een geheimhoudingsovereenkomst met betrekking tot de gegevens van andere opdrachtgevers en de technische en organisatorische maatregelen die zijn genomen. Indien de door opdrachtgever aangestelde inspecteur in een concurrentierelatie met opdrachtnemer staat, heeft opdrachtnemer het recht om tegen de aangestelde inspecteur bezwaar te maken. Opdrachtnemer kan voor hulp bij het uitvoeren van een inspectie een vergoeding in rekening brengen. De inspanning betreffende een inspectie zijn voor de opdrachtgeverin het algemeen beperkt tot één dag per kalenderjaar.

(3) Indien een inspectie wordt uitgevoerd door een toezichthoudende autoriteit voor gegevensbescherming of een andere overkoepelende toezichthoudende autoriteit, is lid 2 van toepassing. Het is niet nodig om een geheimhoudingsverklaring te ondertekenen als deze toezichthoudende autoriteit onder het beroeps- of juridische geheim valt, waarbij een overtreding strafbaar is op grond van het Wetboek van Strafrecht.

§ 8 Onderaannemers (andere onderopdrachtnemers)
(1) Het gebruik van onderaannemers als bijkomende opdrachtverwerkers is alleen toegestaan met voorafgaande toestemming van de klant.

(2) Er is sprake van een onderaannemingsrelatie waarvoor goedkeuring vereist is, indien de aannemer andere aannemers de opdracht geeft de in de overeenkomst overeengekomen dienst geheel of gedeeltelijk uit te voeren. De contractant sluit overeenkomsten met deze derden in de mate die nodig is om passende gegevensbeschermings- en informatiebeveiligingsmaatregelen te waarborgen.
De overeengekomen diensten of de hieronder beschreven deeldiensten worden uitgevoerd met inschakeling van de volgende onderaannemers:

Naam en adres van de onderaannemer
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlin
Datacenter in de AWS-regio Frankfurt, Duitsland (datacenter)

Beschrijving van gedeeltelijke diensten
-Foto-optimalisatie
-Drukvoorbereiding
-Gegevens opslag

Alvorens de onderaannemers in te schakelen of te vervangen, vraagt de contractant de toestemming van de opdrachtgever, die volgens de wetgeving inzake gegevensbescherming niet zonder gegronde reden mag worden geweigerd.

(3) Indien de contractant opdrachten plaatst bij onderaannemers, is de opdrachtnemer verantwoordelijk voor de overdracht van zijn verplichtingen inzake gegevensbescherming uit deze overeenkomst aan de onderaannemer over te dragen.

§ 9 Informatieverplichtingen, clausule inzake schriftelijke vorm, rechtskeuze
(1) Indien de gegevens van de opdrachtgever in gevaar komen door inbeslagneming of onteigening, door insolventie- of gerechtelijk akkoord of door andere gebeurtenissen of maatregelen van derden, moet de opdrachtnemer, de opdrachtgever hiervan onmiddellijk in kennis stellen. Opdrachtnemer zal daarbij onverwijld aan alle verantwoordelijken mededelen dat de soevereiniteit en eigendom van de gegevens uitsluitend bij opdrachtgever als „verantwoordelijke” in de zin van de basisverordening inzake gegevensbescherming ligt.

(2) Wijzigingen en aanvullingen op deze bijlage en alle onderdelen daarvan - met inbegrip van eventuele garanties van de opdrachtnemer - vereisen een schriftelijke overeenkomst, die ook in elektronische vorm (tekstvorm) kan worden opgesteld, en een uitdrukkelijke vermelding dat deze voorwaarden dienen te worden gewijzigd of aangevuld. Dit geldt ook voor de ontheffing van deze formele eis.

(3) In geval van tegenstrijdigheden hebben de bepalingen van deze overeenkomst inzake gegevensbescherming voorrang op de bepalingen van de overeenkomst. Indien afzonderlijke delen van deze bijlage ongeldig zijn, laat dit de geldigheid van de rest van de bijlage onaangetast.

(4) Hier is het Duitse recht van toepassing.

§ 10 Aansprakelijkheid en schadevergoeding
Opdrachtgever en opdrachtnemer zijn ten opzichte van de betrokkenen aansprakelijk volgens de bepalingen van art. 82 AVG.

§ 11 Slotbepalingen, salvatorische clausule, Toepasbaarheid
(1) Mocht een bepaling van deze overeenkomst ongeldig of onuitvoerbaar zijn of worden, dan heeft dit geen invloed op de overige bepalingen van deze overeenkomst. De partijen komen overeen om de ongeldige of niet-afdwingbare bepaling te vervangen door een geldige en afdwingbare bepaling die het economische doel van de partijen het meest benadert. Hetzelfde geldt in geval van een maas in de wetgeving.

(2) Wijzigingen van en aanvullingen op deze overeenkomst en alle onderdelen daarvan - inclusief garanties van de contractant - vereisen een schriftelijke overeenkomst of in tekstvorm (elektronisch formaat) en de uitdrukkelijke vermelding dat deze overeenkomst een wijziging of aanvulling is. Dit geldt ook voor de ontheffing van deze formele eis.

(3) Deze vertaling dient uitsluitend ter informatie en is geen juridisch bindend document. De oorspronkelijke bepalingen zijn in de originele Duitse versie opgenomen.

(4) Hierbij wordt overeengekomen dat Siegen Duitsland de rechtslocatie is. 

16.07.2026, [[Ort]]
Getekend [[Name]]


16.07.2026, Siegen
Getekend Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (Geschäftsführer, Saal Digital Fotoservice GmbH)

[Deze overeenkomst is geldig zonder handtekening.]
Bijlage A: Functiegegevens
1. Soort gegevens
2. Soort en doel van de gegevensverwerking
3. Categorieën van betrokken personen
Bijlage B: Technische en organisatorische maatregelen
Maatregel Beschermingsdoel Beschreibung
Zutrittskontrolle
Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) C .
Einsatz eines Zugangskontrollsystems C Schlüsselregelung und aktuelle Schlüsselliste
Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste C
Festlegung der zugangsberechtigten Personen C .
Identifikation durch Ausweise C .
Protokollierung der Zu- und Abgänge C .
Revisionsfähigkeit der Zugangsberechtigungen C .
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude C .
Zugangsregelungen für betriebsfremde Personen C .
Zugangskontrolle
Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche C .
geteiltes Passwort mit 4-Augen-Prinzip C Ohne das Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff.
Identifikation und Authentifizierung der Benutzer C .
Passwortrichtlinie C (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) C
Regelungen / Voraussetzungen zur Telearbeit C (Zwei-Faktor-Authentifizierung)
Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) C
Sicherung der Datenstationen, Netze und Übertragungsleitungen C .
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität C (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) C
Verschlüsselung der zu übertragenden Daten C .
Zugriffskontrolle
Anlegen von revisionsfähigen Benutzerprofilen C .
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe C .
Beschränkung der freien Abfragemöglichkeiten von Datenbanken C (Query-Sprache)
Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) C
Einführung zugriffsbeschränkender Maßnahmen C (z. B. nur Leseberechtigung)
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) C
Einsatz von Verschlüsselungsverfahren C .
Identifikation und Authentifizierung der Benutzer C .
Maschinelle Überprüfung der Berechtigungen C .
Zentrale Vergabestelle von Benutzerrechten C .
Weitergabekontrolle
Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen C .
Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) C .
Eingabekontrolle
Festlegung von Eingabebefugnissen I .
Protokollierung der Eingaben, Veränderungen und Löschungen I .
Speicherung des Veranlassers I .
Auftragskontrolle
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber C, I, A .
Formalisierung der Auftragserteilung C, I, A .
Klare Vereinbarungsgestaltung und -ausführung C, I, A .
Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung C, I, A .
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. C, I, A .
Sorgfältige Auswahl des Auftragnehmers C, I, A .
Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers C, I, A .
Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO C, I, A .
Verfügbarkeitskontrolle
Application-/Device-Control A .
Brandmelder A .
Klimatisierung A .
Objektsicherung insb. der Serverräume A .
Permanente Serverüberwachung durch Monitoring-Software A .
USV (Unterbrechungsfreie Stromversorgung) A .
Virenschutz / Firewall A .
Trennungsgebot
Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt C .
Mandantentrennung auf Auftragsebene - Logische Trennung der Daten C .
Pseudonymisierung
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten in der Produktion
Verschlüsselung
Speicherung C Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Übertragung C Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
Wiederherstellbarkeit
Backup-Systeme zur Wiederherstellung verlorener Daten A .
Dezentrale Datensicherung A .
Mehrfach redundantes Active-Active-Cluster A .
Testen der Wiederherstellung A .
Managementsystem
Durchführung regelmäßiger interner Audits C, I, A .
Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) C, I, A .
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen C, I, A .
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) C, I, A .
Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen C, I, A .
Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) C, I, A .
Ondertekenaars

Ondertekenaars 1

Terug