Auftragsverarbeitungsvertrag
1. Begriffsbestimmungen
Groß geschriebene Begriffe, die hier nicht definiert sind, haben die in den Master-Nutzungsbedingungen festgelegte Bedeutung. „Personenbezogene Daten", „Verarbeitung", „betroffene Person", „Verantwortlicher" und „Auftragsverarbeiter" haben die in der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) („DSGVO") genannten Bedeutungen.
2. Rollen — Aufteilung zwischen Dienstbetrieb und Inhaltsverarbeitung
Das Verhältnis zwischen den Parteien hat zwei unterschiedliche Bereiche:
- Dienstbetrieb (Verantwortlichen-Bereich des Diensteanbieters). Für Kontodaten, Abrechnungsunterlagen, Audit-Protokolle und Sicherheitsdaten ist der Diensteanbieter der Verantwortliche. Dieser Bereich unterliegt der Datenschutzerklärung, nicht diesem AVV.
- Inhaltsverarbeitung (Auftragsverarbeiter-Bereich). Für die vom Kunden übermittelten Bilder, erstellte Berichte und mit diesen Inhalten verbundene Analyse-Metadaten ist der Kunde der Verantwortliche und der Diensteanbieter der Auftragsverarbeiter. Dieser AVV regelt ausschließlich diesen Bereich.
Die dokumentierten Verarbeitungsweisungen des Kunden bestehen aus: (a) den Master-Nutzungsbedingungen; (b) diesem AVV; (c) der Dienst-Oberfläche und den API-Parametern, die der Kunde bei der Übermittlung von Inhalten verwendet (einschließlich Prompt-Auswahl, Vorlagenauswahl und, bei Agency-/API-Kunden, der Identifizierung des Models oder Endnutzers, in dessen Auftrag die Analyse durchgeführt wird); und (d) einer etwaigen anwendbaren Bestellung oder Produktkonfiguration.
3. Gegenstand und Dauer
- Gegenstand: KI-basierte Analyse der vom Kunden übermittelten Bilder und Erstellung von Berichtsergebnissen.
- Dauer: solange das Konto des Kunden aktiv bleibt, zuzüglich etwaiger gesetzlich vorgeschriebener oder in der Datenschutzerklärung angegebener Aufbewahrungsfristen.
- Art und Zweck: automatisierte Bildanalyse und Berichterstellung, wie vom Kunden über die Dienst-Oberfläche oder API konfiguriert.
- Datenkategorien: siehe /legal/data-processing.
- Kategorien betroffener Personen: der Kunde (sofern Model-Tool-Nutzer); Models, Klienten oder Endnutzer des Kunden; in den übermittelten Inhalten abgebildete Personen.
4. Pflichten des Kunden
Der Kunde sichert zu und gewährleistet, dass:
- der Kunde über eine gültige Rechtsgrundlage nach anwendbarem Recht für die Verarbeitung verfügt, die er den Diensteanbieter durchzuführen anweist, einschließlich etwaiger erforderlicher Einwilligungen der in den übermittelten Inhalten abgebildeten oder damit verbundenen betroffenen Personen.
- der Kunde seinen eigenen Nutzern und betroffenen Personen alle nach anwendbarem Recht erforderlichen Hinweise und Informationen bereitgestellt hat (einschließlich, soweit anwendbar, der Art. 13 und 14 DSGVO).
- der Kunde allein für die Rechtmäßigkeit der von ihm übermittelten Daten verantwortlich ist, einschließlich der Einhaltung inhaltsbezogener Gesetze, die für die Tätigkeit des Kunden gelten (einschließlich, soweit anwendbar, Altersverifizierungspflichten, Aufzeichnungspflichten für Produzenten sexuell expliziter Inhalte und etwaiger gleichwertiger Pflichten in Rechtsordnungen, in denen sich der Kunde oder seine Endnutzer befinden).
- der Kunde allein für die Einhaltung der Vorschriften zur grenzüberschreitenden Übermittlung für alle personenbezogenen Daten verantwortlich ist, die er an den Diensteanbieter übermittelt.
- der Kunde keine personenbezogenen Daten von Kindern, keine sensiblen Daten außerhalb des gewöhnlichen Umfangs des Dienstes und keine Daten übermittelt, deren Übermittlung in der Rechtsordnung des Kunden oder in einer Rechtsordnung, in der sich betroffene Personen befinden, rechtswidrig wäre.
- sofern der Kunde ein Agency-Tool-Kunde ist, der Kunde zusichert, dass er die erforderliche Beziehung zu den abgebildeten Models und die erforderlichen Einwilligungen hat, um deren Inhalte zur Analyse zu übermitteln.
- sofern der Kunde ein API-Kunde ist, der Kunde zusichert, dass seine eigenen Endnutzer die erforderlichen Einwilligungen erteilt haben und dass die Nutzung des Dienstes durch den Kunden in ihrem Auftrag rechtmäßig ist.
5. Pflichten des Diensteanbieters
Der Diensteanbieter verpflichtet sich:
- personenbezogene Daten nur auf dokumentierte Weisung des Kunden zu verarbeiten, sofern nicht gesetzlich vorgeschrieben.
- sicherzustellen, dass zur Verarbeitung personenbezogener Daten befugte Personen zur Vertraulichkeit verpflichtet sind.
- geeignete technische und organisatorische Maßnahmen umzusetzen, wie unter /legal/security beschrieben.
- den Kunden unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung von Anfragen betroffener Personen, bei Sicherheitsvorfällen und bei Folgenabschätzungen zu unterstützen, wobei nicht routinemäßige Unterstützung zu angemessenen Kosten des Kunden erfolgt.
- die zum Nachweis der Einhaltung dieses AVV erforderlichen Informationen bereitzustellen, einschließlich einer aktuellen Liste der Unterauftragsverarbeiter unter /legal/subprocessors.
- nach Wahl des Kunden personenbezogene Daten nach Abschluss der Verarbeitung zu löschen oder zurückzugeben, vorbehaltlich gesetzlich vorgeschriebener Aufbewahrung.
6. Spezifische Nutzungsbeschränkungen
Der Diensteanbieter gewährleistet, dass die Inhalte des Kunden ausschließlich zum Zweck der Bereitstellung der angeforderten Analyse verarbeitet werden. Der Diensteanbieter wird nicht:
- die Inhalte des Kunden verwenden, um KI-Modelle zu trainieren, zu verbessern oder zu bewerten;
- aus der Nutzung durch den Kunden Nutzerprofile oder Verhaltensrückschlüsse erstellen;
- personenbezogene Daten für kontextübergreifende verhaltensbasierte Werbung verkaufen, weitergeben oder anderweitig offenlegen;
- die Daten des Kunden mit denen anderer Kunden zu einem anderen Zweck als aggregierten Betriebskennzahlen, die keine personenbezogenen Daten enthalten, kombinieren;
- eine Identifizierung der in den übermittelten Inhalten abgebildeten Personen vornehmen (keine Gesichtserkennung, kein biometrischer Abgleich, keine Abfrage externer Datenbanken).
7. Unterauftragsverarbeiter
Der Kunde ermächtigt den Diensteanbieter, für den Betrieb des Dienstes Unterauftragsverarbeiter einzusetzen. Aktuelle Unterauftragsverarbeiter sind unter /legal/subprocessors aufgeführt. Der Diensteanbieter wird:
- eine aktuelle öffentliche Liste der Unterauftragsverarbeiter führen;
- einen angemessenen Mechanismus bereitstellen, über den der Kunde vor Aufnahme der Verarbeitung über neue Unterauftragsverarbeiter benachrichtigt wird (in der Regel 30 Tage im Voraus über die veröffentlichte Liste und, sofern sich der Kunde dafür registriert hat, per E-Mail-Benachrichtigung);
- jedem Unterauftragsverarbeiter vertragliche Pflichten auferlegen, die den in diesem AVV enthaltenen im Wesentlichen gleichwertig sind;
- für Handlungen und Unterlassungen der Unterauftragsverarbeiter im Hinblick auf seine Pflichten aus diesem AVV haftbar bleiben.
Der Kunde kann einem neuen Unterauftragsverarbeiter aus berechtigten Datenschutzgründen widersprechen. Können die Parteien den Widerspruch nicht ausräumen, besteht das ausschließliche Rechtsmittel des Kunden darin, den Dienst gemäß den Master-Nutzungsbedingungen zu kündigen.
8. Sicherheit
Der Diensteanbieter setzt technische und organisatorische Maßnahmen um, die ein dem Risiko angemessenes Schutzniveau gewährleisten sollen, unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos für betroffene Personen. Die aktuellen Maßnahmen sind unter /legal/security beschrieben.
9. Verletzung des Schutzes personenbezogener Daten
Der Diensteanbieter benachrichtigt den Kunden unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die die Daten des Kunden betrifft, und stellt die vernünftigerweise verfügbaren Informationen bereit, damit der Kunde etwaige Pflichten zur Benachrichtigung von Behörden oder betroffenen Personen nach Art. 33 und 34 DSGVO erfüllen kann. Die Benachrichtigung des Diensteanbieters stellt kein Eingeständnis von Verschulden oder Haftung dar.
10. Anfragen betroffener Personen
Erhält der Diensteanbieter eine Anfrage einer betroffenen Person, die die Verarbeitung des Kunden betrifft, leitet der Diensteanbieter die Anfrage, soweit rechtlich zulässig, an den Kunden weiter und unterstützt den Kunden bei deren Beantwortung. Bei Model-Tool-Kunden sind die betroffene Person und der Kunde in der Regel dieselbe Person; in diesem Fall kann der Diensteanbieter die Anfrage direkt bearbeiten.
11. Internationale Datenübermittlungen
Der Diensteanbieter ist in the Republic of Cyprus, einem EU-Mitgliedstaat, niedergelassen. Die Übermittlung personenbezogener Daten an den Dienst stellt daher eine Verarbeitung innerhalb der Europäischen Union dar und ist für sich genommen keine internationale Übermittlung im Sinne von Kapitel V der DSGVO.
Sofern der Diensteanbieter Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums einsetzt, unterliegen die Übermittlungen den Standardvertragsklauseln der Europäischen Kommission (Beschluss (EU) 2021/914), Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter), die per Verweis einbezogen werden, wobei der Diensteanbieter als Datenexporteur handelt. Die Regionen der Unterauftragsverarbeiter sind unter /legal/subprocessors aufgeführt.
Sofern der Kunde als Verantwortlicher für seine eigenen Übermittlungen im Zusammenhang mit dem Dienst auf die Standardvertragsklauseln nach Modul Zwei (Verantwortlicher an Auftragsverarbeiter) zurückgreifen möchte, werden die von der Europäischen Kommission im Beschluss (EU) 2021/914 angenommenen Standardvertragsklauseln per Verweis einbezogen, wobei der Diensteanbieter als Datenimporteur handelt.
12. Audit
Der Diensteanbieter stellt dem Kunden die zum Nachweis der Einhaltung dieses AVV vernünftigerweise erforderlichen Informationen bereit. Sofern anwendbares Recht die Möglichkeit eines Vor-Ort-Audits vorschreibt, kann der Kunde ein solches Audit höchstens einmal pro Jahr, mit einer schriftlichen Ankündigungsfrist von mindestens 30 Tagen, während der Geschäftszeiten, vorbehaltlich angemessener Vertraulichkeits- und Sicherheitsbeschränkungen und auf Kosten des Kunden verlangen. Die Parteien können vereinbaren, dass ein unabhängiger Bericht eines Dritten (z. B. SOC 2 Type II, sofern verfügbar) die Auditpflicht erfüllt.
13. Haftung und Freistellung
Der Kunde stellt den Diensteanbieter von Ansprüchen, Verlusten und Haftungen frei, die aus rechtswidrigen Verarbeitungsweisungen des Kunden oder einem Verstoß gegen Abschnitt 4 entstehen. Die Haftung jeder Partei aus diesem AVV unterliegt den in den Master-Nutzungsbedingungen festgelegten Haftungsbeschränkungen.
14. Anwendbares Recht und Gerichtsstand
Dieser AVV unterliegt dem Recht von the Republic of Cyprus, ungeachtet seiner Kollisionsnormen. Die Parteien unterwerfen sich der ausschließlichen Zuständigkeit der Gerichte der Republik Zypern, sofern nicht anwendbares Recht einen anderen Gerichtsstand vorschreibt. Zwingende Verbraucherschutzrechte und Rechte betroffener Personen nach der DSGVO und sonstigem anwendbarem zwingendem Recht werden durch diese Klausel nicht abbedungen.
15. Rangfolge
Im Falle eines Widerspruchs zwischen diesem AVV und den Master-Nutzungsbedingungen in Bezug auf die Verarbeitung personenbezogener Daten hat dieser AVV Vorrang. Im Falle eines Widerspruchs zwischen diesem AVV und einem beiderseitig unterzeichneten AVV eines Pro-Vertrags, der von demselben Kunden abgeschlossen wurde, hat die beiderseitig unterzeichnete Vereinbarung für diesen Kunden Vorrang.