Verwerkersovereenkomstsvertrag.

u legen fest, warum und wie personenbezogene Daten von Kunden in veröffentlichten galerijen verarbeitet werden — etwa Zugriffsregeln, Downloadberechtigungen und Benachrichtigungseinstellungen. Holdstill stellt Hosting, Transkodierung, levering, optionale KI-gestützte Sequenzierung bei Aktivierung, Betriebsprotokolle und Support mit geringstmöglicher Berechtigung bereit. Wenn Holdstill personenbezogene Daten für eigene Kontoverwaltung, Datenanalyse oder Sicherheit gemäß privacyerklärung verarbeitet, handelt es als eigenständiger Verantwortlicher für diese begrenzten Zwecke. Dieser AVV deckt nur die Verarbeitung ab, die wir nach uw dokumentierten Weisungen als Auftragsverarbeiter für galerielieferflüsse vornehmen.

Die Verarbeitung dauert während Ihres Abonnements und bis zu dreißig Tage danach, um geordnete Exporte und Löschung zu ermöglichen, sofern Gesetz oder vereinbarter Migrationsumfang keinen längeren Zeitraum erfordern. Der Gegenstand umfasst digitale Assets, die u hochladen, zugeordnete Metadaten, von Ihnen konfigurierte Zugangsdaten für Besucher und Kommunikationsmetadaten, die für Einladungen oder von Ihnen ausgelöste Benachrichtigungen nötig sind. Wenn u eine galerie aussetzen, setzt die für die Aussetzung nötige Verarbeitung fort, bis u sie löschen oder erneut veröffentlichen.

Zu den Vorgängen gehören Speicherung und Abruf, Erzeugung skalierter Darstellungen, verschlüsselte Übertragung an klanten, Anwendung von Passwörtern oder signierten Links bei Aktivierung, Protokollierung von von Ihnen gewählten Ereignissen wie Downloads, optionale KI-Inferenz, die Sortierungen oder Entwürfe erzeugt, die u vor jeglichem Veröffentlichungseffekt prüfen müssen, und Migrationshilfe auf Anfrage. Die Zwecke beschränken sich strikt auf die Erbringung des vertraglich geschuldeten Dienstes und die Einhaltung des Rechts. Wir werden personenbezogene Daten uw klanten nicht für fremde Werbung oder Weiterverkauf weiterverwenden.

Betroffene können Nutzer Ihres Studios, galeriebesucher und Empfänger transaktionaler E-mails sein, die u über das Produkt auslösen. Kategorien können Kennungen (E-mails, von Ihnen erfasste Namen), Online-Kennungen (IP-Adressen in kurzfristigen Protokollen bei bestimmter Telemetrie), Inhalte (fotograafien) und von Ihnen konfigurierte Nutzungsdaten umfassen. Wir verlangen keine Gesundheitsdaten oder andere besondere Kategorien für den Produktkern; wenn u solche Bilder hochladen, garantieren u angemessene Rechtsgrundlagen als Verantwortliche/r.

Die Hauptweisungen liegen in der Produktkonfiguration: galeriesichtbarkeit, Passwörter, Ablauf, Branding und Downloadregeln. Zusätzliche Weisungen können in Support-Tickets stehen, wenn u spezifische technische Aktionen zu uw Kontodaten wünschen. Halten wir eine Weisung für AVG- oder EU-rechtswidrig, informieren wir u zügig, sofern wichtige Gründe des öffentlichen Interesses kein Verbot aussprechen. Wir dokumentieren typische Weisungsmuster im Hilfecenter zur Beschleunigung von Prüfungen.

Zur Verarbeitung personenbezogener Daten berechtigtes Personal unterliegt Vertraulichkeitsverpflichtungen oder beruflichen Regeln. Zugriff wird nach Bedarf gewährt und regelmäßig überprüft. Fernzugriff auf Produktionssysteme erfordert starke Authentifizierung und risikogerechte Gerätekontrollen.

Wir implementieren Verschlüsselung während der Übertragung und ruhend wo angebracht, rollenbasierte Zugriffskontrolle, Umgebungstrennung, Protokollierung und Überwachung, Schwachstellenmanagement und Incident-Response-Leitlinien. Wir testen Kontrollen risikogerecht und halten für Lieferantenfrageböcher geeignete Zusammenfassungen bereit. Detaillierte Architekturdiagramme können unter NDA für Unternehmenskunden zur Durchführung von Folgenabschätzungen bereitgestellt werden.

Wir führen eine schriftliche Liste von Unterauftragnehmern mit Funktionen und Standorten. Wir informieren über wichtige Ergänzungen oder Ersetzungen mit angemessener Vorlaufzeit, damit u sich aus dokumentierten datenschutzbezogenen Gründen widersetzen können. Können wir einer angemessenen Einwendung gegen einen für den Fortbetrieb wesentlichen neuen Unterauftragnehmer nicht nachkommen, können u den betroffenen Dienst gemäß Gebruiksvoorwaarden beenden. Aktuelle Kategorien umfassen typischerweise EU-Cloud-Infrastruktur, transaktionale E-mail-Zustellung und optionale KI-Inferenz-Anbieter mit gleichwertigen Verpflichtungen.

Wenn Personen uns direkt zu Daten kontaktieren, für die u verantwortlich sind, leiten wir die Anfrage weiter, sofern uns keine gesetzliche Pflicht zum eigenständigen Handeln obliegt. Wir leisten angemessene technische Unterstützung für Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Portabilitätsanfragen, die unsere Systeme durchlaufen, einschließlich Exportformate soweit verfügbar. Antwortfristen können von uw rechtzeitigen Weisungen abhängen.

Auf Anfrage stellen wir die Informationen bereit, die u für eine privacy-Folgenabschätzung zu unserer Verarbeitung benötigen, wobei die abschließende Bewertung bei Ihnen als Verantwortliche/r liegt. Wir arbeiten mit guten Fragebögen uw Rechts- oder Sicherheitsteams in angemessenen Grenzen zusammen.

Wir informieren u unverzüglich, sobald uns eine Verletzung personenbezogener Daten bekannt wird, die Daten betrifft, die wir in uw Namen verarbeiten, und beschreiben Art, wahrscheinliche Folgen und getroffene oder vorgeschlagene Maßnahmen. Wir stimmen Mitteilungen an Aufsichtsbehörden und Betroffene mit Ihnen ab, wenn Art. 33 oder 34 AVG auf uw Verarbeitungsverhältnis Anwendung finden können.

Standardmäßig bleiben unter diesem AVV verarbeitete personenbezogene Daten in der EU. Wäre Verarbeitung in einem Drittland nötig, setzen wir angemessene Garantien wie Standardvertragsklauseln plus ergänzende technische Maßnahmen ein und dokumentieren Transfer-Folgenabschätzungen wo erforderlich. Wir umgehen Residenzverpflichtungen nicht durch nicht deklariertes Routing.

Nach Beendigung der Leistungen löschen wir auf uw Wahl oder geben personenbezogene Daten, die wir in uw Namen verarbeitet haben, innerhalb von dreißig Tagen zurück, sofern EU- oder Mitgliedstaatsrecht bestimmte Aufzeichnungen nicht vorschreibt. Löschbescheinigungen sind auf Anfrage technisch möglich verfügbar. Backup-Systeme werden an Löschereignisse ausgerichtet bereinigt.

Einmal pro Kalenderjahr stellen wir auf angemessene Anfrage eine schriftliche Zusammenfassung der Sicherheitskontrollen und jüngeren Tests bereit. Vor-Ort-Audits für regulierte Studios können für Signature-Kunden unter NDAs und mit geplantem Umfang verfügbar sein. Generische Drittanbieter-Auditberichte werden weitergegeben, wenn Weitergabebedingungen es erlauben.

Wenn zuständige Aufsichtsbehörden Informationen im Rahmen dieses AVV anfordern, arbeiten wir nach Treu und Glauben mit, vorbehaltlich Rechtsverfahren und anwendbarer Vertraulichkeit Ihnen gegenüber. Wir erweitern den Umfang nicht freiwillig über das gesetzlich Erforderliche hinaus und informieren u über nicht ausgenommene Anfragen zu Daten uw Kundschaft, wenn das Recht es erlaubt, damit u an Antworten teilnehmen können.

Wird dieser AVV durch Verweis in einen Auftrag oder Unternehmensvertrag einbezogen, regelt der Auftrag die kommerziellen Bedingungen, während dieser AVV die Art.-28-AVG-Aspekte regelt, sofern keine ausdrückliche schriftliche Abweichung besteht. Wir können den AVV anpassen, um Änderungen des Rechts oder der Produktarchitektur widerzuspiegeln; wesentliche Verschlechterungen des Schutzes werden vorab mitgeteilt. Fortgesetzte Nutzung nach Hinweis gilt als Annahme, sofern u nicht innerhalb der in den Gebruiksvoorwaarden beschriebenen Abhilfefrist kündigen.