PhotoRobot
Trust Center
Rechtlich
PhotoRobot-Datenverarbeitungsabkommen (DPA)
PhotoRobot Nutzungsbedingungen
PhotoRobot-Lizenzvereinbarung
PhotoRobot Datenschutzdokumente – Überblick
PhotoRobot-Datenschutzrichtlinie
PhotoRobot DSGVO Datenschutzerklärung (Artikel 13)
PhotoRobot-Datenverarbeitungsabkommen (DPA)
PhotoRobot Akzeptable Nutzungsrichtlinie (AUP)
PhotoRobot Service Level Agreements (SLA)
Service Level Agreement (SLA) für PhotoRobot-Software
Service Level Agreement (SLA) für PhotoRobot-Hardware
PhotoRobot-Kundensupport-Bedingungen
PhotoRobot-Cookie-Richtlinie
PhotoRobot Marketing-Einwilligungsrichtlinie
PhotoRobot-Subprozessorliste
PhotoRobot Rechtsdefinitionen & Glossar
Zuletzt bearbeitet: 29. Dez. 2025

PhotoRobot-Datenverarbeitungsabkommen (DPA)

Dieses Dokument stellt das PhotoRobot Data Processing Agreement dar: Version 1.0 — PhotoRobot Edition, uni-Robot Ltd., Tschechische Republik.

1. Parteien

Dieses Datenverarbeitungsabkommen ("DPA") wird geschlossen zwischen:

Controller (Kunde)
Die Person oder juristische Person, die die PhotoRobot-Nutzungsbedingungen abgeschlossen hat und den Dienst nutzt.

und

Prozessor:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tschechische Republik
Firmen-ID: 01478061
BTW-ID: CZ01478061
E-Mail: legal@photorobot.com

Im Folgenden zusammenfassend als die "Parteien" bezeichnet.

Dieses DPA ergänzt die PhotoRobot-Nutzungsbedingungen und gilt, wenn PhotoRobot persönliche Daten im Auftrag des Kunden verarbeitet.

2. Gegenstand und Art der Verarbeitung

PhotoRobot ("Prozessor") bietet cloudbasierte Dienste, lokale Softwareerweiterungen, Firmware-Management und Hosting-Infrastruktur, die für die Verarbeitung von Bildern, Metadaten und zugehörigen digitalen Inhalten erforderlich sind, die vom Kunden ("Controller") hochgeladen werden.

Die Verarbeitung umfasst:

  • Sammlung
  • Lagerung
  • Übertragung
  • Metadatenextraktion
  • Synchronisation zwischen CL ↔ Cloud
  • Hosting von von Kunden hochgeladenen Inhalten
  • Erstellung von Protokollen und Diagnostik
  • Backup-Einsätze

Die Bearbeitung erfolgt ausschließlich im Auftrag des Verantwortlichen gemäß den dokumentierten Anweisungen.

3. Dauer

Dieses DPA bleibt für die Dauer des Vertragsverhältnisses zwischen den Parteien in Kraft und danach solange, wie der Bearbeiter personenbezogene Daten im Namen des Verantwortlichen speichert oder verarbeitet.

4. Persönliche Daten und Kategorien der betroffenen Personen

4.1. Arten personenbezogener Daten

Je nachdem, wie der Dienst genutzt wird, können die verarbeiteten Daten Folgendes umfassen:

  • Identifikationsdaten (Name, Nachname, Unternehmen)
  • Kontaktdaten (E-Mail, Telefon)
  • Visuelle Inhalte (Bilder, Videos)
  • Metadaten, die mit hochgeladenen Inhalten verknüpft sind
  • Logdaten, IP-Adressen, technische Kennungen
  • Projektdaten
  • Zugangsdaten (gehasht), Zugriffstoken

Der Bearbeiter benötigt oder verarbeitet keine besonderen Datenkategorien absichtlich (Art. 9 DSGVO).

4.2. Kategorien der betroffenen Personen

  • Mitarbeiter des Kunden
  • Kunden oder Partner des Kunden
  • Autorisierte Nutzer
  • Alle Personen, die in visuellen Inhalten präsentiert werden, die vom Kunden hochgeladen wurden

Der Kunde ist allein dafür verantwortlich, die rechtmäßige Sammlung von Daten von betroffenen Personen sicherzustellen.

5. Anweisungen vom Controller

Der Bearbeiter verarbeitet ausschließlich personenbezogene Daten:

  1. gemäß den dokumentierten Anweisungen des Controllers,
  2. wie erforderlich zur Erbringung des Dienstes,
  3. um Sicherheit, Integrität und Verfügbarkeit der Systeme zu gewährleisten,
  4. wie es EU- oder tschechisches Recht vorschreibt.

Wenn der Bearbeiter eine Anweisung für rechtswidrig hält, muss der Bearbeiter den Verantwortlichen benachrichtigen.

6. Vertraulichkeit

Der Bearbeiter stellt sicher, dass alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind:

  • unterliegen Vertraulichkeitspflichten,
  • entsprechende Ausbildung erhalten haben,
  • Daten ausschließlich auf Anweisung des Verantwortlichen zu verarbeiten.

7. Subprozessoren

Der Prozessor nutzt bestimmte Drittanbieter ("Sub-Prozessoren") zur Unterstützung des Dienstes.

7.1. Genehmigte Unterprozessoren

Der Controller erteilt dem Prozessor die allgemeine Erlaubnis, sich mit den folgenden Kategorien von Subprozessoren auseinanderzusetzen:

  • Cloud-Infrastrukturanbieter (z. B. Google Cloud Platform)
  • E-Mail-Zustellanbieter
  • Analytikanbieter
  • Ticketsysteme
  • Sicherheitsüberwachungsdienste
  • Backup- und Notfallwiederherstellungssysteme

Eine vollständige Liste wird in der PhotoRobot Sub-Processor List geführt und kann aktualisiert werden.

7.2. Benachrichtigung über Änderungen

Der Prozessor informiert den Controller mindestens 15 Tage im Voraus über beabsichtigte Änderungen an den Unterprozessoren, sodass der Controller aus berechtigten Gründen Einspruch einlegen kann.

8. Internationale Datenübertragungen

Wenn sich Subprozessoren oder Infrastruktur außerhalb des EEA befinden, gewährleistet Prozessor:

  • Anwendung der Standardvertragsklauseln (SCC 2021),
  • ergänzende technische und organisatorische Sicherungen,
  • minimierten Zugriff und Verschlüsselung,
  • Compliance-Audits durch den zugrunde liegenden Anbieter.

Die Google Cloud Platform bietet:

  • ISO 27001, ISO 27017, ISO 27018
  • SOC 1/2/3 Berichte
  • DSGVO-Compliance-Dokumentation

Details sind unter https://cloud.google.com/security verfügbar.

9. Sicherheitsmaßnahmen

Der Bearbeiter soll branchenübliche technische und organisatorische Maßnahmen (TOMs) umsetzen, darunter:

9.1. Technische Maßnahmen

  • TLS-Verschlüsselung von Daten während der Übertragung
  • Sicherer Speicher mit verschlüsselten Zugriffstoken
  • Isolierte Verarbeitungsumgebungen
  • Passwort-Hashing
  • Geschwindigkeitsbegrenzungen und Eindringerkennungssysteme
  • Mehrschichtige Firewallierung
  • physische Rechenzentrumssicherheit (über Google Cloud)

9.2. Organisatorische Maßnahmen

  • Rollenbasierte Zugriffskontrolle
  • Zugriffsprotokoll und Überwachung
  • Interne Richtlinien für die Datenverarbeitung
  • Vertraulichkeitspflichten der Mitarbeiter
  • Periodische Sicherheitsschulungen
  • Lieferantenrisikomanagement

Eine vollständige Liste der TOMs ist auf Anfrage verfügbar.

10. Rechte der betroffenen Personen

Prozessor unterstützt den Controller bei der Reaktion auf:

  • Zugangsanfragen
  • Rektifikation
  • Löschung
  • Einschränkung
  • Datenportabilität
  • Einwände

Der Prozessor muss jede direkte Anfrage eines Datensubjekts ohne unnötige Verzögerung an den Controller weiterleiten.

11. Benachrichtigung über Datenpannen

Im Falle einer Datenpanne benachrichtigt der Bearbeiter den Verantwortlichen:

  • ohne unnötige Verzögerung,
  • einschließlich aller durch Artikel 33 DSGVO erforderlichen Informationen,
  • und laufende Updates bereitzustellen, bis die Sanierung abgeschlossen ist.

Der Controller bleibt dafür verantwortlich, Behörden und betroffene Personen zu informieren.

12. Löschung oder Rückgabe von Daten

Nach Beendigung des Vertrags:

  • Der Prozessor löscht Kundendaten nach 30 Tagen,
  • sofern der Controller nicht anders anordnet,
  • außer wenn die Aufbewahrung gesetzlich vorgeschrieben ist.

Backups werden während ihres normalen Lebenszyklus überschrieben.

13. Prüfungen

Der Controller hat das Recht:

  • Erhalte Dokumentationen, die die Einhaltung der DSGVO belegen
  • fordern Sie einen Bericht über TOMs an
  • Durchführung angemessener Prüfungen, begrenzt auf einmal jährlich
  • Vertrauen auf Zertifizierungen von Drittanbietern (ISO/SOC-Berichte von Google Cloud)

Prüfungen dürfen die Sicherheit nicht gefährden oder den Betrieb stören.

14. Haftung

Die Haftung der Parteien folgt den Nutzungsbedingungen.
Der Bearbeiter haftet nur für Verstöße, die durch seine eigenen Verletzungen der DSGVO verursacht werden.

15. Geltendes Recht & Zuständigkeit

Dieses DPA unterliegt den Gesetzen der Tschechischen Republik.

Streitigkeiten werden von den Gerichten in Prag, Tschechische Republik, entschieden.

16. Standardvertragsklauseln (SCC)

Wo erforderlich, gilt das SCC 2021 (Modul 2: Controller → Processor) als Anhang zu diesem DPA.

PhotoRobot:

  • SCC durch Referenz einbindet,
  • enthält alle verbindlichen Klauseln,
  • setzt ergänzende technische Maßnahmen um
  • gewährleistet die Einhaltung von Übertragungen an Unterprozessoren außerhalb des EWR.

Das SCC kann auf Anfrage vollständig bereitgestellt werden.

17. Kontakt

uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Tschechische Republik

E-Mail: legal@photorobot.com