Version 1.0.0 · gültig ab 2026-07-11

Auftragsverarbeitungsvereinbarung (AVV)

Für Event-Inhalte agiert der Anbieter als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

1. Gegenstand

Verarbeitung von Event-Fotos, Gäste-Datensätzen, Captions und Voice-Notes ausschließlich zur Bereitstellung der vom Host (Verantwortlichem) konfigurierten Galerie-Funktion.

2. Art der Daten

  • Bilddateien (ohne EXIF/GPS nach Upload).
  • Gäste-Namen (sofern vom Gast angegeben), pseudonyme Geräte-IDs.
  • Captions, Likes, Voice-Notes.

3. Subprozessoren

Liste: /subprocessors. Wesentliche Änderungen werden dem Host mit Widerspruchsmöglichkeit angezeigt.

4. Technisch-organisatorische Maßnahmen

  • EU-Hosting, Verschlüsselung in Transit und at-rest.
  • Private Storage-Buckets, kurzlebige Signed-URLs nach Autorisierungsprüfung.
  • Row-Level-Security pro Event; Cross-Event-Tests im Build.
  • EXIF/GPS-Entfernung, MIME-/Magic-Byte-Prüfung beim Upload.
  • Pseudonymisierte Fehler-Logs, keine Speicherung voller IP-Adressen ohne Notwendigkeit.

5. Rechte und Pflichten

Der Anbieter unterstützt den Host bei der Beantwortung von Betroffenenanfragen über den Inbox-Workflow im Event-Admin. Bei Datenschutzvorfällen informiert der Anbieter den Host unverzüglich.

6. Drittland

Datenübermittlungen außerhalb des EWR finden, soweit überhaupt, nur auf Grundlage von Standardvertragsklauseln und nach Transfer-Impact-Assessment statt.

Versionshistorie: /legal/version-history