RECHTLICHES

Auftragsverarbeitungs­vertrag (AVV / DPA)

Vereinbarung gemäß Art. 28 DSGVO zwischen dir (Verantwortlicher) und Lucky Concept (Auftragsverarbeiter, Betreiber von Frames).

1. Gegenstand

Frames verarbeitet im Auftrag des Fotografen Galerie-Metadaten und Endkunden-Daten (E-Mail, Pick-Status, Kommentare, Visits, Downloads, Print-Bestellungen). Originalbilder werden nicht auf Frames-Servern gespeichert — sie verbleiben im vom Fotografen gewählten Storage (Google Drive, Dropbox, iCloud, pCloud, OneDrive, Box, WebDAV-Generic oder S3-Generic).

2. Art und Zweck der Verarbeitung

  • Auslieferung und Anzeige von Galerien an Endkunden des Fotografen
  • Speicherung von Auswahl-, Kommentar- und Annotation-Daten
  • Versand von Benachrichtigungen und Transaktions-Mails
  • Optional: Print-Shop-Bestellabwicklung über die vom Fotografen aktivierten Print-Provider
  • Optional: Stripe Connect-Auszahlungen aus Print-Verkäufen an den Fotografen
  • Analyse von Nutzungsereignissen zur Plattform-Stabilität

3. Betroffene Personen und Datenkategorien

  • Endkunden des Fotografen (Name, E-Mail-Adresse, IP-Adresse, User-Agent, ggf. Lieferadresse bei Print-Bestellungen)
  • Auswahl-, Kommentar-, Annotation- und Visit-Events
  • Bestelldaten bei aktivem Print-Shop

4. Pflichten des Auftragsverarbeiters

Lucky Concept verpflichtet sich, Daten ausschließlich im Rahmen der dokumentierten Weisung zu verarbeiten, geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen, Mitarbeitende auf Vertraulichkeit zu verpflichten und den Verantwortlichen bei der Wahrnehmung der Betroffenenrechte zu unterstützen.

5. Subunternehmer (Sub-Auftragsverarbeiter)

Frames setzt folgende Sub-Auftragsverarbeiter ein. Die Liste ist identisch mit der Subprozessor-Liste der Datenschutzerklärung:

  • Hostinger International Ltd. — App-Hosting + PostgreSQL-Datenbank, Frankfurt am Main, Deutschland.
  • Stripe Payments Europe Ltd. (Dublin, IE) — Zahlungsabwicklung und Stripe Connect. Konzerninterne Übermittlung an Stripe Inc., USA, abgesichert über Standardvertragsklauseln (SCC) + Stripe-DPA.
  • Umami — self-hosted unter umami.luckyconcept.de (EU). Verarbeitung durch Lucky Concept.
  • ALL-INKL.COM — Neue Medien Münnich (Friedrich-Ebert-Str. 7, 02826 Görlitz, Deutschland) — Plattform-SMTP für Transaktions-Mails. Server-Standort Deutschland, kein Drittland-Transfer. AVV gemäß Art. 28 DSGVO.

Keine Sub-Auftragsverarbeiter von Frames sind:

  • Storage-Provider (Google Drive, Dropbox, iCloud, pCloud, OneDrive, Box, WebDAV-Generic, S3-Generic) — diese werden vom Fotografen selbst beauftragt.
  • Print-Provider (Prodigi, WhiteWall, Saal Digital, Picanova) — werden vom Fotografen selbst aktiviert; Frames vermittelt nur die Bestelldaten.

6. Drittland-Transfers

Die Hauptverarbeitung findet in Deutschland (Frankfurt für App/DB, Görlitz für Plattform-SMTP) statt. Drittland-Transfers durch Frames-eigene Subprozessoren betreffen ausschließlich Stripe (USA, SCC) sowie — falls vom Fotografen aktiviert — Prodigi (UK, Angemessenheitsbeschluss).

7. Löschung, Rückgabe und Aufbewahrung

Nach Beendigung des Auftragsverhältnisses gelten folgende Retention-Regeln:

  • Galerien, Picks, Kommentare, Visits, Annotations, Storage-Verbindungen: Hard-Delete 30 Tage nach Kündigung.
  • Rechnungen und elektronische Rechnungen (eInvoices): 10 Jahre (§ 257 HGB, § 147 AO).
  • Verträge und Auftragsbestätigungen: 6 Jahre (Regelverjährung § 195 BGB zzgl. Beweissicherung).
  • Audit-Logs und Sicherheitsereignisse: 1 Jahr.

Originalbilder bleiben im Speicher des Fotografen unberührt; OAuth-Tokens werden bei Trennung der Verbindung bzw. spätestens 30 Tage nach Kündigung gelöscht.

8. Kontakt

Fragen, Vertragsversand und Datenschutzanfragen: kevin@luckyconcept.cloud.

Version dieser AVV: 2026-06-05. Die Annahme dieser Fassung wird im Account des Fotografen mit Zeitstempel und Version dokumentiert.

Zur Datenschutzerklärung