Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO

Vertragsparteien

Verantwortlicher (nachfolgend „Kunde" oder „Auftraggeber"): Der Unternehmer i. S. d. § 14 BGB, der den Dienst „Renderfein" nutzt und diesen Vertrag im Kundenkonto elektronisch abschließt. Die Identität des Kunden ergibt sich aus den im Renderfein-Konto hinterlegten Angaben; sie werden beim Abschluss in das Vertragsdokument (Deckblatt) übernommen.

Auftragsverarbeiter (nachfolgend „Auftragnehmer"): C. Rudolf Salfer GmbH Bahnhofstraße 17, 84453 Mühldorf am Inn Geschäftsführer: Florian Salfer Handelsregister: Amtsgericht Traunstein, HRB 5798 USt-IdNr.: DE129258537 E-Mail: info@salfer.de · Telefon: +49 (0) 8631 3677 0 Datenschutz-Kontakt: datenschutz@renderfein.de

Renderfein ist ein Angebot der C. Rudolf Salfer GmbH (nachfolgend auch „Renderfein").

Präambel

Der Kunde nutzt den Web-Dienst Renderfein, mit dem hochgeladene 3D-Renderings von Innenräumen mittels KI fotorealistisch veredelt werden („Hauptvertrag", bestehend aus den AGB von Renderfein und der jeweiligen Leistungsbeschreibung). Die vom Kunden hochgeladenen Bilddaten können im Einzelfall personenbezogene Daten enthalten. Soweit dies der Fall ist, verarbeitet der Auftragnehmer diese Daten im Auftrag des Kunden. Dieser Vertrag konkretisiert die datenschutzrechtlichen Pflichten der Parteien nach Art. 28 DSGVO. Er wird elektronisch abgeschlossen (Zustimmung per Checkbox/Klick im Kundenkonto); der Kunde erhält das personalisierte Vertragsdokument als PDF und kann es jederzeit speichern und ausdrucken. Die vom Kunden beim Abschluss festgelegten Angaben zu Art der Daten und Kreis der Betroffenen werden als Anlage 0 Bestandteil des Vertragsdokuments.

§ 1 Gegenstand und Dauer der Verarbeitung

1. Gegenstand der Verarbeitung ist die Erbringung der Leistungen nach dem Hauptvertrag: die automatisierte, KI-gestützte Bearbeitung (fotorealistische Veredelung) der vom Kunden hochgeladenen Bilddateien sowie die damit verbundene kurzzeitige Speicherung, Übermittlung an Unterauftragsverarbeiter und Bereitstellung der Ergebnisse zum Abruf.
2. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags (§ 16). Die Speicherdauer der einzelnen Bilddaten ist auf maximal 72 Stunden begrenzt (§ 12).
3. Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

§ 2 Art und Zweck der Verarbeitung

1. Art der Verarbeitung: Erheben (Upload-Entgegennahme), Speichern (temporär, max. 72 Stunden), Verändern (KI-gestützte Bildbearbeitung), Übermitteln an die in Anlage 2 genannten Unterauftragsverarbeiter, Bereitstellen zum Abruf, Löschen.
2. Zweck der Verarbeitung: Fotorealistische Veredelung von 3D-Renderings (Innenräume) im Auftrag des Kunden und Bereitstellung der Ergebnisbilder an den Kunden.
3. Eine Nutzung der Kundenbilder zum Training von KI-Modellen findet nicht statt. Eine Verarbeitung zu eigenen Zwecken des Auftragnehmers erfolgt im Anwendungsbereich dieses Vertrags nicht.

§ 3 Art der personenbezogenen Daten und Abgrenzung

1. Gegenstand der Auftragsverarbeitung sind ausschließlich:
2. Bilddaten: vom Kunden hochgeladene Bilddateien (3D-Renderings) sowie die daraus erzeugten Ergebnisbilder, soweit diese personenbezogene Daten enthalten (z. B. erkennbare Personenabbildungen, Namensschilder, individualisierbare Wohn-/Geschäftsräume, personenbeziehbare Metadaten in Bilddateien). Die vom Kunden beim Abschluss konkretisierten Datenarten ergeben sich aus Anlage 0.
3. Nicht Gegenstand dieses Vertrags (Abgrenzung): Daten, die der Auftragnehmer als eigener Verantwortlicher gemäß Art. 6 DSGVO verarbeitet, insbesondere:
4. Account-Daten des Kunden (E-Mail-Adresse, Login per Magic-Link, Unternehmensangaben, Nutzungs-/Credit-Stände, gekoppelte Endgeräte),
5. Rechnungs- und Zahlungsdaten einschließlich der Zahlungsabwicklung über Stripe sowie der gesetzlich aufbewahrungspflichtigen Rechnungs-PDFs (GoBD; derzeit in der Regel acht Jahre, § 147 AO, § 257 HGB, § 14b UStG),
6. Transaktions-E-Mails (Magic-Link-Login, Rechnungen, Vertragsdokumente). Für diese Verarbeitungen gilt die Datenschutzerklärung von Renderfein; sie unterliegen nicht den Weisungen des Kunden nach diesem Vertrag.
7. Die in der „Bibliothek" des Dienstes angezeigten Ergebnisbilder werden ausschließlich lokal im Browser des Kunden gespeichert; insoweit findet keine serverseitige Verarbeitung durch den Auftragnehmer statt.

§ 4 Kategorien betroffener Personen

Betroffene Personen können — soweit Bilddaten ausnahmsweise Personenbezug aufweisen — insbesondere sein: - vom Kunden abgebildete oder identifizierbare Personen (z. B. Bewohner, Eigentümer, Mitarbeiter oder Kunden des Kunden), - sonstige Personen, deren Daten in hochgeladenen Bilddateien oder deren Metadaten enthalten sind.

Der vom Kunden beim Abschluss konkretisierte Betroffenenkreis ergibt sich aus Anlage 0. Hinweis: Nach dem Hauptvertrag ist der Upload von Fotos realer Personen ohne Rechtsgrundlage sowie von Bildern, an denen der Kunde keine Rechte hat, untersagt. Die Verantwortung für die Rechtmäßigkeit der hochgeladenen Inhalte liegt beim Kunden.

§ 5 Verarbeitungsort und Drittlandsübermittlung

1. Hosting und Speicherung der Bilddaten beim Auftragnehmer erfolgen ausschließlich in Deutschland. Bei der KI-Verarbeitung durch die in Anlage 2 genannten Unterauftragsverarbeiter erfolgt die Verarbeitung teils in der EU (Google: EU-Region), teils kann sie auf Infrastruktur verbundener Unternehmen in den USA erfolgen (OpenAI-Unternehmensgruppe); solche Übermittlungen sind nach Maßgabe der Absätze 2 bis 4 abgesichert.
2. Eine Verarbeitung in einem Drittland erfolgt nur, soweit die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Soweit bei einzelnen Unterauftragsverarbeitern ein Zugriff aus Drittländern (insbesondere durch verbundene Unternehmen in den USA) nicht vollständig ausgeschlossen werden kann, ist dieser durch geeignete Garantien abgesichert (vgl. Anlage 2).
3. Ein angemessenes Schutzniveau kann dabei insbesondere sichergestellt werden durch:
4. einen Angemessenheitsbeschluss der EU-Kommission (Art. 45 Abs. 3 DSGVO),
5. verbindliche interne Datenschutzvorschriften, ggf. mit ergänzenden Maßnahmen (Art. 46 Abs. 2 lit. b i. V. m. Art. 47 DSGVO),
6. EU-Standardvertragsklauseln, ggf. mit ergänzenden Maßnahmen (Art. 46 Abs. 2 lit. c und d DSGVO),
7. genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e i. V. m. Art. 40 DSGVO),
8. einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i. V. m. Art. 42 DSGVO).
9. Der Auftragnehmer informiert den Kunden auf Anfrage darüber, welche Drittländer betroffen sein können und durch welche der vorstehenden Garantien das Schutzniveau jeweils sichergestellt ist, und stellt auf Anfrage Nachweise über die implementierten Garantien zur Verfügung. Eine darüber hinausgehende Übermittlung in Drittländer erfolgt nur auf dokumentierte Weisung des Kunden oder aufgrund gesetzlicher Verpflichtung.

§ 6 Weisungsrecht des Kunden

1. Der Auftragnehmer verarbeitet die Bilddaten ausschließlich auf dokumentierte Weisung des Kunden, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet.
2. Die Weisungen werden anfänglich durch diesen Vertrag festgelegt. Die Nutzung des Dienstes (Upload eines Bildes und Auslösen eines Verarbeitungsvorgangs) gilt als dokumentierte Weisung im Umfang der Leistungsbeschreibung des Hauptvertrags. Hierzu zählt auch die Weisung zur Übermittlung an die in Anlage 2 genannten Unterauftragsverarbeiter.
3. Darüber hinausgehende Einzelweisungen bedürfen der Textform (z. B. E-Mail an den Datenschutz-Kontakt); mündlich erteilte Weisungen bestätigt der Kunde unverzüglich in Textform. Weisungen, die vom vertraglich vereinbarten Leistungsumfang abweichen, werden als Antrag auf Leistungsänderung behandelt; der Auftragnehmer kann sie ablehnen oder als gesondert zu vergütende Leistung anbieten, soweit die Umsetzung technisch oder wirtschaftlich unzumutbar wäre.
4. Der Auftragnehmer informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzvorschriften verstößt (Remonstrationspflicht). Er ist berechtigt, die Durchführung der betreffenden Weisung bis zu deren Bestätigung oder Änderung durch den Kunden auszusetzen.

§ 7 Vertraulichkeit

1. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO) und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden.
2. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung dieses Vertrags fort.
3. Der Zugriff von Beschäftigten des Auftragnehmers auf Bilddaten erfolgt nur, soweit dies zur Leistungserbringung, Fehleranalyse oder auf Weisung des Kunden erforderlich ist (Need-to-know-Prinzip).

§ 8 Technische und organisatorische Maßnahmen (TOM)

1. Der Auftragnehmer trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und hält sie während der Vertragslaufzeit aufrecht. Er hat ihre Umsetzung vor Beginn der Verarbeitung dokumentiert.
2. Die Maßnahmen unterliegen dem technischen Fortschritt. Der Auftragnehmer darf sie weiterentwickeln und durch gleichwertige oder bessere Maßnahmen ersetzen, sofern das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert.
3. Die jeweils aktuelle Fassung der TOM ist unter renderfein.de/recht/avv.html einsehbar.

§ 9 Unterauftragsverarbeiter

1. Abgrenzung: Unterauftragsverhältnisse im Sinne dieses Vertrags sind Leistungen Dritter, die sich unmittelbar auf die Verarbeitung der Bilddaten beziehen. Nicht dazu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, ohne dass dabei bestimmungsgemäß Bilddaten verarbeitet werden — etwa Telekommunikations- und Postdienste, Wartung, Reinigung oder allgemeine Bürodienstleistungen. Der Auftragnehmer stellt auch insoweit angemessene Vertraulichkeits- und Schutzvorkehrungen sicher.
2. Der Kunde erteilt hiermit die allgemeine Genehmigung (Art. 28 Abs. 2 DSGVO) zum Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter.
3. Der Auftragnehmer informiert den Kunden über jede beabsichtigte Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters in Textform (z. B. E-Mail an die im Konto hinterlegte Adresse) mit einer Frist von mindestens vier Wochen vor Wirksamwerden. Diese Frist kann sich auf eine angemessene kürzere Frist verkürzen, wenn außergewöhnliche Umstände (z. B. kurzfristiger Ausfall eines Unterauftragsverarbeiters, Sicherheitsvorfall) ein Abwarten unzumutbar machen; der Auftragnehmer begründet die Verkürzung in der Mitteilung.
4. Der Kunde kann der Änderung innerhalb der Frist aus wichtigem datenschutzrechtlichen Grund in Textform widersprechen. Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung zur Änderung als erteilt; hierauf wird in der Mitteilung hingewiesen. Im Fall des Widerspruchs werden die Parteien einvernehmlich eine Lösung suchen (z. B. Verzicht auf den Einsatz für diesen Kunden, soweit technisch möglich). Ist eine Lösung nicht zumutbar möglich, steht beiden Parteien ein Sonderkündigungsrecht für den Hauptvertrag und diesen Vertrag mit Wirkung zum Zeitpunkt des geplanten Einsatzes zu; bereits bezahlte, nicht verbrauchte Credits werden in diesem Fall anteilig erstattet (vgl. § 15 Abs. 4 der AGB).
5. Der Auftragnehmer schließt mit jedem Unterauftragsverarbeiter einen Vertrag, der diesem im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diesem Vertrag (Art. 28 Abs. 4 DSGVO). Bei Verstößen des Unterauftragsverarbeiters haftet der Auftragnehmer gegenüber dem Kunden wie für eigenes Verhalten.

§ 10 Unterstützungspflichten des Auftragnehmers

1. Betroffenenrechte: Der Auftragnehmer unterstützt den Kunden mit geeigneten technischen und organisatorischen Maßnahmen dabei, Anträge betroffener Personen nach Kapitel III DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) zu beantworten, soweit die Bilddaten beim Auftragnehmer noch gespeichert sind. Aufgrund der automatischen Löschung nach spätestens 72 Stunden (§ 12) ist eine Unterstützung nur innerhalb dieses Zeitfensters möglich; hierauf weist der Auftragnehmer hin. Wendet sich eine betroffene Person unmittelbar an den Auftragnehmer, verweist dieser die betroffene Person unverzüglich an den Kunden, leitet das Ersuchen unverzüglich an den Kunden weiter und beantwortet es nicht selbst, soweit gesetzlich zulässig.
2. Sicherheit, Folgenabschätzung, Konsultation: Der Auftragnehmer unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO, insbesondere bei der Sicherstellung eines angemessenen Schutzniveaus, bei der Erfüllung von Informationspflichten gegenüber Betroffenen, bei Datenschutz-Folgenabschätzungen und bei vorherigen Konsultationen der Aufsichtsbehörde.
3. Meldung von Verletzungen: Der Auftragnehmer meldet dem Kunden jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Bilddaten betrifft, unverzüglich nach Bekanntwerden an die im Konto hinterlegte E-Mail-Adresse. Die Meldung enthält, soweit zum Meldezeitpunkt verfügbar, mindestens:
4. eine Beschreibung der Art der Verletzung, möglichst mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datensätze,
5. Name und Kontaktdaten des Datenschutz-Kontakts oder einer sonstigen Anlaufstelle für weitere Informationen,
6. eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
7. eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Die Meldepflicht gegenüber Aufsichtsbehörden und betroffenen Personen verbleibt beim Kunden.
8. Zusammenarbeit mit Aufsichtsbehörden: Beide Parteien arbeiten auf Anfrage mit den zuständigen Aufsichtsbehörden bei der Erfüllung von deren Aufgaben zusammen. Der Auftragnehmer informiert den Kunden unverzüglich über Kontrollhandlungen und Maßnahmen einer Aufsichtsbehörde, soweit sie die Verarbeitung nach diesem Vertrag betreffen — es sei denn, eine gesetzliche Regelung oder eine behördliche bzw. gerichtliche Anordnung verpflichtet den Auftragnehmer zur Verschwiegenheit.
9. Behördliche und gerichtliche Verfahren: Ist der Kunde im Zusammenhang mit der Auftragsverarbeitung einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren oder Ansprüchen betroffener Personen oder Dritter ausgesetzt, unterstützt ihn der Auftragnehmer nach besten Kräften.
10. Für Unterstützungsleistungen, die über den vereinbarten Leistungsumfang oder die gesetzlichen Pflichten des Auftragnehmers hinausgehen oder durch ein Verhalten des Kunden veranlasst sind, kann der Auftragnehmer eine angemessene Vergütung verlangen (§ 14 Abs. 3); dies gilt nicht für Unterstützung infolge eines vom Auftragnehmer zu vertretenden Vorfalls.

§ 11 Pflichten und Verantwortung des Kunden

1. Der Kunde ist als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung (insbesondere Rechtsgrundlage, Informationspflichten nach Art. 13/14 DSGVO) sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.
2. Der Kunde stellt sicher, dass er nur Bilddaten hochlädt, zu deren Verarbeitung er berechtigt ist, und lädt keine Aufnahmen realer Personen ohne Rechtsgrundlage hoch.
3. Der Kunde informiert den Auftragnehmer unverzüglich und vollständig, wenn er in den Leistungsergebnissen Fehler oder Unregelmäßigkeiten mit Bezug zu datenschutzrechtlichen Vorschriften feststellt.
4. Der Kunde nennt dem Auftragnehmer einen Ansprechpartner für datenschutzrechtliche Fragen (im Regelfall die im Konto hinterlegte E-Mail-Adresse).

§ 12 Löschung und Rückgabe personenbezogener Daten

1. Hochgeladene Bilddaten und Ergebnisbilder werden serverseitig spätestens 72 Stunden nach dem Upload bzw. der Erzeugung automatisch gelöscht. Ein darüber hinausgehender serverseitiger Bestand an Bilddaten existiert nicht; die „Bibliothek" speichert Ergebnisse ausschließlich lokal im Browser des Kunden.
2. Kopien und Duplikate der Bilddaten werden ohne Wissen des Kunden nicht erstellt. Bilddaten sind von Datensicherungen (Backups) des Auftragnehmers ausgenommen; die Datensicherung umfasst ausschließlich Bestands-, Vertrags- und Abrechnungsdaten (vgl. § 3 Abs. 2) sowie gesetzlich aufbewahrungspflichtige Dokumente. Die 72-Stunden-Löschfrist wird durch Datensicherungen daher nicht verlängert.
3. Die Rückgabe der Daten erfolgt laufend dadurch, dass der Kunde die Ergebnisbilder innerhalb des 72-Stunden-Fensters herunterlädt. Eine gesonderte Rückgabe bei Vertragsende ist aufgrund der automatischen Löschung regelmäßig nicht erforderlich.
4. Nach Abschluss der Leistungserbringung bzw. bei Beendigung des Hauptvertrags löscht der Auftragnehmer etwaige noch vorhandene Bilddaten, sofern nicht eine gesetzliche Pflicht zur Aufbewahrung besteht. Gesetzliche Aufbewahrungspflichten (z. B. für Rechnungsdaten, GoBD — nicht Gegenstand dieses Vertrags, vgl. § 3) bleiben unberührt.
5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung dienen (z. B. dieses Vertragsdokument, Protokolle, TOM-Dokumentation), darf der Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren.
6. Auf Verlangen bestätigt der Auftragnehmer die Löschung in Textform.

§ 13 Nachweise und Kontrollrechte

1. Der Auftragnehmer stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
2. Der Nachweis wird vorrangig erbracht durch (B2B-pragmatische Kontrollhierarchie): a) aktuelle Selbstauskünfte des Auftragnehmers (z. B. zu den TOM nach Anlage 1), b) vorhandene Zertifikate, Testate und Berichte des Auftragnehmers oder seiner Unterauftragsverarbeiter bzw. unabhängiger Stellen (z. B. ISO/IEC 27001, ISO/IEC 27018, ISO/IEC 27701, BSI C5, SOC 2) sowie deren DPAs/Compliance-Dokumentation, c) genehmigte Verhaltensregeln oder Zertifizierungen nach Art. 40/42 DSGVO, soweit vorhanden.
3. Nur soweit diese Nachweise im Einzelfall berechtigterweise nicht ausreichen, kann der Kunde eine Inspektion durchführen — selbst oder durch einen zur Verschwiegenheit verpflichteten Dritten; gegen einen Prüfer, der in einem unmittelbaren Wettbewerbsverhältnis zum Auftragnehmer steht, hat der Auftragnehmer ein Einspruchsrecht. Der Auftragnehmer kann zusätzlich eine gesonderte Verschwiegenheitserklärung des Prüfers verlangen. Inspektionen erfolgen nach vorheriger Ankündigung mit angemessener Frist (mindestens 14 Tage), zu üblichen Geschäftszeiten, ohne unverhältnismäßige Störung des Betriebs und unter Wahrung der Sicherheits- und Vertraulichkeitsinteressen des Auftragnehmers, höchstens einmal pro Kalenderjahr (außer bei konkretem Anlass, z. B. einer meldepflichtigen Verletzung). Jede Partei trägt ihre eigenen Kosten; bei mehr als einem anlasslosen Audit pro Jahr kann der Auftragnehmer eine angemessene Aufwandsvergütung verlangen (§ 14 Abs. 3).
4. Kontrollrechte gegenüber Unterauftragsverarbeitern werden vorrangig durch Vorlage von deren Zertifikaten, Auditberichten und DPA-Dokumentation erfüllt.

§ 14 Haftung und Vergütung von Zusatzleistungen

1. Für die Haftung der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten gilt Art. 82 DSGVO. Im Innenverhältnis stellen sich die Parteien von Ansprüchen betroffener Personen und von Geldbußen in dem Umfang frei, in dem die jeweils andere Partei die Verantwortung für den haftungsauslösenden Umstand trägt.
2. Im Übrigen gelten die Haftungsregelungen des Hauptvertrags (AGB Renderfein) auch für diesen Vertrag, soweit dem nicht zwingendes Datenschutzrecht entgegensteht. Zwingende gesetzliche Haftung — insbesondere gegenüber betroffenen Personen nach Art. 82 DSGVO — bleibt unberührt.
3. Soweit dieser Vertrag eine Vergütung von Zusatzleistungen vorsieht (§ 10 Abs. 6, § 13 Abs. 3), bemisst sie sich nach dem tatsächlichen, angemessenen Aufwand zu üblichen Stundensätzen. Ein Vergütungsanspruch besteht nicht für Leistungen, die durch einen Datenschutzverstoß des Auftragnehmers veranlasst sind.

§ 15 Verwahrung der Daten; Schutz vor Zugriffen Dritter

Werden die im Auftrag verarbeiteten Daten beim Auftragnehmer durch Maßnahmen Dritter (z. B. Pfändung, Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet, informiert der Auftragnehmer den Kunden unverzüglich. Der Auftragnehmer weist alle in diesem Zusammenhang Verantwortlichen unverzüglich darauf hin, dass die Hoheit über die Daten ausschließlich beim Kunden als Verantwortlichem im Sinne der DSGVO liegt. Dies gilt nicht, soweit der Auftragnehmer durch gesetzliche Regelungen oder behördliche bzw. gerichtliche Anordnung zur Verschwiegenheit verpflichtet ist.

§ 16 Laufzeit und Beendigung

1. Dieser Vertrag tritt mit elektronischer Annahme durch den Kunden in Kraft. Seine Laufzeit entspricht der Laufzeit des Hauptvertrags; er endet automatisch mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf.
2. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen, solange der Hauptvertrag besteht und im Rahmen der Leistung personenbezogene Daten im Auftrag verarbeitet werden.
3. Pflichten, die ihrer Natur nach über die Beendigung hinauswirken (insbesondere Vertraulichkeit nach § 7, Löschung nach § 12), bestehen fort.

§ 17 Schlussbestimmungen

1. Es gilt das Recht der Bundesrepublik Deutschland. Zwingende Vorschriften der DSGVO bleiben unberührt.
2. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers (Mühldorf am Inn), sofern der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist; im Übrigen gelten die gesetzlichen Gerichtsstände.
3. Änderungen und Ergänzungen dieses Vertrags bedürfen der Textform; dabei ist ausdrücklich kenntlich zu machen, dass es sich um eine Änderung dieses Vertrags handelt. Dies gilt auch für die Änderung dieses Textformerfordernisses. Der Mechanismus für Subprozessor-Änderungen nach § 9 bleibt unberührt.
4. Bei Widersprüchen zwischen diesem Vertrag und dem Hauptvertrag gehen hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag die Regelungen dieses Vertrags vor.
5. Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Anlage 0 — Individuelle Festlegungen des Kunden

Die Angaben zu Art der Daten und Kreis der Betroffenen legt der Kunde beim elektronischen Abschluss im Kundenkonto fest (Auswahlkataloge mit Ergänzungsmöglichkeit). Sie werden in das personalisierte Vertragsdokument (PDF) übernommen und konkretisieren § 3 Abs. 1 und § 4 dieses Vertrags. Umfang, Art und Zweck der Verarbeitung ergeben sich im Übrigen aus dem Hauptvertrag und §§ 1–2.

Anlage 1 — Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Stand: Juni 2026, Version 1.1. Die Maßnahmen sind auf die Architektur von Renderfein zugeschnitten: kurzlebige, automatisierte Bildverarbeitung ohne Langzeitspeicherung. Verantwortungsabgrenzung: Die physische Infrastruktur (Rechenzentren) wird durch die Hetzner Online GmbH bereitgestellt (ISO/IEC-27001-zertifiziert); die KI-Verarbeitung erfolgt bei den in Anlage 2 genannten Unterauftragsverarbeitern auf Basis von deren TOM und Zertifizierungen. Die nachfolgenden Maßnahmen beschreiben die durch Renderfein auf Anwendungs- und Betriebsebene verantworteten Kontrollen.

1. Zutrittskontrolle (physischer Zugang)

• Hosting ausschließlich in Rechenzentren der Hetzner Online GmbH in Deutschland: elektronische Zutrittskontrollsysteme, Videoüberwachung, dokumentierte Vergabe von Zutrittsmedien (ISO/IEC-27001-zertifizierte Rechenzentren; Nachweis über deren Zertifikate und TOM-Dokumentation).
• Auf Geschäftsräume des Auftragnehmers wird nicht zugegriffen, um Bilddaten zu verarbeiten; administrative Zugriffe erfolgen ausschließlich remote über gesicherte Verbindungen.

2. Zugangskontrolle (Systeme)

• Zugriff auf Produktionssysteme nur durch autorisierte Administratoren über individuell zugeordnete Konten mit starker Authentifizierung (SSH-Schlüsselverfahren bzw. Zwei-Faktor-Authentifizierung); kein Sammel-Account-Zugriff; Firewall-Beschränkung administrativer Zugänge.
• Kunden-Zugang über Magic-Link-Authentifizierung (besitzbasiert, an die registrierte E-Mail-Adresse gebunden); Sessions sind kurzlebig und ohne Tracking.
• Desktop-Anwendung: gerätegebundene Zugangsschlüssel je Endgerät (Kopplung über Einmalcode mit 15 Minuten Gültigkeit), verschlüsselte Ablage auf dem Endgerät, jederzeit einzeln im Konto widerrufbar.

3. Zugriffskontrolle (Berechtigungen)

• Need-to-know-Prinzip: Beschäftigte greifen auf Bilddaten nur zu, soweit zur Leistungserbringung oder Fehleranalyse erforderlich.
• Technische Mandantenbindung: Datei-Zugriffe sind systemseitig auf das jeweilige Kundenkonto beschränkt (kontogebundene Speicherpfade, serverseitige Berechtigungsprüfung bei jedem Abruf).
• Protokollierung administrativer Zugriffe; Aufbewahrung der Protokolle 90 Tage.

4. Trennungskontrolle

• Logische Trennung der Verarbeitungsvorgänge je Kundenkonto; Bilddaten verschiedener Kunden werden nicht zusammengeführt.
• Keine Nutzung von Kundendaten in Test-/Entwicklungsumgebungen.
• Getrennte Speicherbereiche für kurzlebige Bilddaten (ohne Versionierung, 72h-Löschung) und gesetzlich aufbewahrungspflichtige Dokumente (mit Versionierung, GoBD).

5. Pseudonymisierung und Datenminimierung

• Eine Pseudonymisierung der Bilddaten selbst findet wegen der extrem kurzen Speicherdauer (max. 72 Stunden) und des Verarbeitungszwecks (Bildbearbeitung) nicht statt; das Risiko wird stattdessen durch Datenminimierung und kurze Löschfristen begrenzt.
• Speicherpfade und Dateibezeichnungen enthalten keine Klarnamen, sondern systemvergebene Kennungen (faktische Pseudonymisierung der Ablage).
• Hochgeladene Bilder werden serverseitig neu kodiert; eingebettete Metadaten (z. B. EXIF) werden dabei entfernt und nicht gespeichert.

6. Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

• Transportverschlüsselung: Sämtliche Datenübertragungen (Upload, Download, API-Aufrufe an Unterauftragsverarbeiter) ausschließlich über TLS (mindestens TLS 1.2, bevorzugt TLS 1.3); HTTP wird auf HTTPS umgeleitet (HSTS).
• Verschlüsselung at rest: Serverseitig gespeicherte Bilddaten werden auf verschlüsselten Datenträgern bzw. in verschlüsselten Speicherdiensten abgelegt (AES-256 bzw. gleichwertig).

7. Integrität und Eingabekontrolle

• Serverseitige Validierung und Neukodierung aller Uploads (Schutz vor manipulierten Dateien).
• Nachvollziehbarkeit abrechnungsrelevanter Vorgänge durch fortlaufende, nur ergänzbare Buchungsprotokolle (Append-only-Ledger).
• Protokollierung von Verarbeitungsvorgängen (Job-Status, Zeitpunkte) ohne Speicherung der Bildinhalte über die 72-Stunden-Frist hinaus.

8. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b–c DSGVO)

• Betrieb in professionellen Rechenzentren mit redundanter Strom- und Netzanbindung, Klimatisierung, Brandschutz und DDoS-Erkennung (Hetzner, Deutschland).
• Tägliche Datensicherung der Bestands-, Vertrags- und Abrechnungsdaten; Bilddaten sind von Backups ausgenommen (vgl. § 12 Abs. 2) — das Schadenspotenzial eines Datenverlusts ist durch die Architektur (max. 72 h Datenhaltung, clientseitige Bibliothek) strukturell begrenzt.
• Monitoring der Dienste mit Alarmierung; angemessene Verfügbarkeit gemäß Hauptvertrag (kein hartes SLA); angekündigte Wartungsfenster.

9. Löschkonzept

• 72-Stunden-Löschung: Hochgeladene Bilder und Ergebnisbilder werden serverseitig automatisch spätestens 72 Stunden nach Upload/Erzeugung gelöscht (automatisierter Löschjob, kein manueller Eingriff erforderlich); der Bilddaten-Speicher wird ohne Versionierung betrieben, gelöschte Objekte bestehen nicht als Vorversionen fort.
• Die „Bibliothek" speichert Ergebnisse ausschließlich lokal im Browser des Kunden (clientseitig); es findet insoweit keine serverseitige Speicherung statt.
• Kein KI-Training: Bilddaten der Kunden werden weder durch den Auftragnehmer noch — vertraglich abgesichert — durch die KI-Unterauftragsverarbeiter zum Training von Modellen verwendet (OpenAI: keine Trainingsnutzung von API-Daten; temporäre Speicherung von Ein-/Ausgabedaten max. 30 Tage ausschließlich zur Missbrauchskontrolle gemäß DPA und API-Bedingungen; Google Vertex AI: keine Trainingsnutzung gemäß Google Cloud DPA).

10. Auftragskontrolle (Unterauftragsverarbeiter)

• Mit sämtlichen Unterauftragsverarbeitern bestehen Auftragsverarbeitungsverträge bzw. Data Processing Addenda; für etwaige Drittlandbezüge sind EU-Standardvertragsklauseln abgeschlossen (vgl. Anlage 2).
• Auswahl der Unterauftragsverarbeiter unter Berücksichtigung von deren Zertifizierungen und Compliance-Dokumentation; regelmäßige Überprüfung bei Vertragsverlängerung bzw. Anbieterwechsel.

11. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

• Regelmäßige Überprüfung und Aktualisierung der TOM, insbesondere bei Architekturänderungen und beim Wechsel von Unterauftragsverarbeitern; Dokumentation wesentlicher Änderungen mit Versionsstand.
• Einspielen von Sicherheitsupdates auf Produktionssystemen nach etabliertem Patch-Prozess.
• Datenschutzfreundliche Voreinstellungen in der Produktentwicklung (Privacy by Design/Default), z. B. automatische Metadaten-Entfernung, kurze Löschfristen, clientseitige Bibliothek.
• Incident-Response-Ablauf: Bewertung, Eindämmung, Meldung nach § 10 Abs. 3, Nachbereitung.
• Verpflichtung der Beschäftigten auf Vertraulichkeit und datenschutzgerechten Umgang mit Daten; Sensibilisierung für Datenschutz- und Sicherheitsthemen.

Anlage 2 — Genehmigte Unterauftragsverarbeiter

Stand: Juni 2026. Änderungen gemäß § 9 (Information mit 4-Wochen-Frist, Widerspruchsrecht, Zustimmungsfiktion).

Maschinenlesbare KI-Kennzeichnungen (C2PA/SynthID) der Ergebnisbilder bleiben erhalten (Art. 50 EU AI Act); dies ist keine Datenverarbeitung zu eigenen Zwecken, sondern gesetzlich vorgesehene Transparenzmaßnahme.