PhotoneAI

Vereinbarung zur Datenverarbeitung

Zuletzt aktualisiert: Februar 11, 2026

1. Einleitung

Dieser Auftragsverarbeitungsvertrag („AVV") ist Bestandteil der Nutzungsbedingungen („Vereinbarung") zwischen MageXo s.r.o. („MageXo", „Auftragsverarbeiter", „wir", „uns") und der juristischen oder natürlichen Person, die diesen AVV akzeptiert („Kunde", „Verantwortlicher", „Sie"). Dieser AVV gilt, wenn MageXo personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit dem PhotoneAI-Dienst unter photoneai.com (der „Dienst") verarbeitet.

Dieser AVV spiegelt die Verpflichtung der Parteien wider, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (die „DSGVO") sowie alle anwendbaren nationalen Datenschutzgesetze einzuhalten, einschließlich, aber nicht beschränkt auf das tschechische Gesetz Nr. 110/2019 Slg. über die Verarbeitung personenbezogener Daten.

MageXo s.r.o. Prosecká 855/68, 190 00 Praha 9, Tschechische Republik IČ (Registrierungsnr.): 24771406 Kontakt: info@photoneai.com, +420 739 698 038

2. Begriffsbestimmungen

Für die Zwecke dieses AVV haben die folgenden Begriffe die nachstehend festgelegte Bedeutung. Soweit hier nicht definiert, haben die Begriffe die Bedeutung, die ihnen in der DSGVO (Artikel 4) oder der Vereinbarung zugewiesen wird.

  • „Verantwortlicher" bezeichnet die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Im Rahmen dieses AVV ist der Kunde der Verantwortliche.

  • „Auftragsverarbeiter" bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Im Rahmen dieses AVV ist MageXo der Auftragsverarbeiter.

  • „Betroffene Person" bezeichnet eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

  • „Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

  • „Verarbeitung" bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

  • „Unterauftragsverarbeiter" bezeichnet jeden von MageXo beauftragten Dritten, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  • „Aufsichtsbehörde" bezeichnet eine von einem EU-Mitgliedstaat gemäß Artikel 51 der DSGVO eingerichtete unabhängige Behörde.

  • „Dienstdaten" bezeichnet alle Daten, die der Verantwortliche oder seine autorisierten Nutzer an den Dienst übermitteln oder über den Dienst erzeugen, einschließlich, aber nicht beschränkt auf: Produktbilder, Produkt-URLs, Produktbeschreibungen, Website-Screenshots, Markenanalysedaten, generierte Bilder, Stilkonfigurationen, Szenendaten und Analyseergebnisse.

  • „Datenschutzverletzung" bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden.

3. Umfang der Verarbeitung

MageXo verarbeitet Dienstdaten ausschließlich zur Bereitstellung des PhotoneAI-Dienstes gemäß der Vereinbarung. Der Umfang der Verarbeitung umfasst:

  • Empfang und Speicherung von Produktbildern und URLs, die vom Verantwortlichen oder seinen autorisierten Nutzern übermittelt werden
  • KI-basierte Bilderzeugung unter Verwendung von Produktdaten und Stilkonfigurationen zur Erstellung professioneller Lifestyle-Produktfotografien
  • Marken- und Shop-Analyse einschließlich Web-Scraping von E-Commerce-Websites, die vom Verantwortlichen benannt werden, um Markenattribute, Produktinformationen und visuelle Elemente zu extrahieren
  • Stilerstellung und -verwaltung einschließlich der Analyse von Referenzbildern und URLs zur Ableitung von Fotografie-Parametern
  • Bildspeicherung und -bereitstellung generierter Bilder über sicheren Cloud-Speicher mit zeitlich begrenzter Verfügbarkeit
  • E-Mail-Benachrichtigungen an autorisierte Nutzer bezüglich Auftragsabschluss, Kontoaktivität und Dienstaktualisierungen
  • Guthaben- und Abrechnungsverarbeitung einschließlich der Verfolgung des Erzeugungsverbrauchs und der Abwicklung von Zahlungen über Drittanbieter-Zahlungsdienstleister

MageXo wird Dienstdaten nicht für andere Zwecke als die Bereitstellung des Dienstes verarbeiten, es sei denn, dies ist nach geltendem Recht erforderlich. In diesem Fall wird MageXo den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung informieren (es sei denn, dies ist gesetzlich untersagt).

4. Rollen und Verantwortlichkeiten

4.1 Pflichten des Verantwortlichen

Der Verantwortliche:

  • Bestimmt die Zwecke und Mittel der Verarbeitung, einschließlich der Entscheidung, welche Produkte fotografiert, welche URLs analysiert, welche Stile erstellt und welche Nutzer autorisiert werden
  • Ist dafür verantwortlich, sicherzustellen, dass eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten besteht und dass den betroffenen Personen die erforderlichen Informationen bereitgestellt werden
  • Ist für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und die Mittel, mit denen die personenbezogenen Daten erhoben wurden, verantwortlich
  • Hat seine Pflichten nach geltendem Datenschutzrecht, einschließlich der DSGVO, einzuhalten

4.2 Pflichten des Auftragsverarbeiters

MageXo als Auftragsverarbeiter:

  • Verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, MageXo ist nach EU- oder mitgliedstaatlichem Recht zur Verarbeitung verpflichtet
  • Stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
  • Ergreift alle gemäß Artikel 32 DSGVO erforderlichen Maßnahmen (Sicherheit der Verarbeitung)
  • Beachtet die Bedingungen für die Beauftragung von Unterauftragsverarbeitern gemäß Abschnitt 9
  • Unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung seiner Pflicht, auf Anfragen betroffener Personen zu reagieren
  • Unterstützt den Verantwortlichen bei der Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 DSGVO
  • Löscht oder gibt nach Wahl des Verantwortlichen nach Beendigung der Diensterbringung alle personenbezogenen Daten zurück und löscht vorhandene Kopien, sofern nicht nach EU- oder mitgliedstaatlichem Recht eine Aufbewahrungspflicht besteht
  • Stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung von Artikel 28 DSGVO zur Verfügung und ermöglicht und unterstützt Prüfungen und Inspektionen

4.3 Weisungsbefolgung

Wenn MageXo der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen verstößt, wird MageXo den Verantwortlichen unverzüglich informieren. MageXo ist berechtigt, die betreffende Verarbeitung auszusetzen, bis der Verantwortliche die Weisung bestätigt oder ändert.

5. Datenkategorien und betroffene Personen

5.1 Kategorien personenbezogener Daten

KategorieBeschreibung
ProduktbilderVon autorisierten Nutzern hochgeladene Fotografien von Produkten
Produkt-URLsLinks zu Produktseiten auf E-Commerce-Websites
Produktbeschreibungen und -attributeTextuelle Informationen über Produkte, einschließlich Namen, Merkmale und Metadaten
Website-ScreenshotsVisuelle Aufnahmen von Webseiten während der Marken-/Shop-Analyse
MarkenanalysedatenExtrahierte Markenattribute, Farbpaletten, visuelle Stile und Positionierungsdaten
Generierte BilderKI-erzeugte Lifestyle-Produktfotografien
E-Mail-AdressenE-Mail-Adressen autorisierter Nutzer zur Authentifizierung und für Benachrichtigungen
NutzungsprotokolleDienstnutzungsdaten einschließlich Erzeugungszeitstempel, Guthabenverbrauch und Funktionsnutzung

5.2 Kategorien betroffener Personen

KategorieBeschreibung
Mitarbeiter und autorisierte Vertreter des VerantwortlichenPersonen, die im Auftrag des Verantwortlichen auf den Dienst zugreifen und diesen nutzen
In Produktbildern abgebildete PersonenPersonen, die auf vom Verantwortlichen übermittelten Produktfotografien erscheinen können (falls vorhanden)

6. Verarbeitungsanweisungen

  • MageXo verarbeitet Dienstdaten nur soweit erforderlich zur Bereitstellung des Dienstes und gemäß den dokumentierten Weisungen des Verantwortlichen.
  • Die Weisungen des Verantwortlichen sind in der Vereinbarung (Nutzungsbedingungen), diesem AVV und der Standardfunktionalität des Dienstes wie in der Dokumentation unter photoneai.com beschrieben dokumentiert und darauf beschränkt.
  • Zusätzliche oder geänderte Weisungen bedürfen der vorherigen schriftlichen Zustimmung beider Parteien. MageXo behält sich das Recht vor, zusätzliche Gebühren zu erheben, wenn solche Weisungen wesentliche Änderungen am Dienst oder seiner Infrastruktur erfordern.
  • Der Verantwortliche erkennt an, dass bestimmte Verarbeitungsvorgänge dem Dienst inhärent sind (z. B. die Übermittlung von Produktbildern an KI-Unterauftragsverarbeiter zur Bilderzeugung) und dokumentierte Weisungen im Sinne dieses AVV darstellen.

7. Vertraulichkeit

  • MageXo stellt sicher, dass alle Personen, die zur Verarbeitung personenbezogener Daten in seinem Auftrag befugt sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen, sei es vertraglich oder gesetzlich.
  • Der Zugang zu Dienstdaten ist auf MageXo-Mitarbeiter beschränkt, die diesen Zugang für die Erfüllung ihrer Aufgaben im Zusammenhang mit dem Dienst benötigen.
  • MageXo unterhält Zugangskontrollen und Authentifizierungsmechanismen zur Durchsetzung des Prinzips der geringsten Berechtigung.
  • Die in diesem Abschnitt festgelegten Vertraulichkeitspflichten bestehen über die Beendigung dieses AVV hinaus fort.

8. Sicherheitsmaßnahmen (Artikel 32)

MageXo implementiert und unterhält angemessene technische und organisatorische Maßnahmen, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten, einschließlich:

  • Verschlüsselung bei der Übertragung — Alle zwischen dem Verantwortlichen, dem Dienst und Unterauftragsverarbeitern übermittelten Daten werden mit TLS 1.2 oder höher verschlüsselt
  • Verschlüsselung im Ruhezustand — In Datenbanken und Objektspeichern gespeicherte Dienstdaten werden durch Verschlüsselungsmechanismen des Cloud-Anbieters im Ruhezustand verschlüsselt
  • Row-Level Security — PostgreSQL Row-Level Security (RLS)-Richtlinien erzwingen eine mandantenspezifische Datenisolierung auf Datenbankebene und verhindern mandantenübergreifenden Datenzugriff
  • Passwort-Hashing — Benutzeranmeldedaten werden mit bcrypt oder Argon2 mit angemessenen Arbeitsfaktoren gehasht
  • Content Security Policy — CSP-Header beschränken die Ausführung von Skripten und das Laden von Ressourcen auf vertrauenswürdige Quellen
  • SSRF-Schutz — Server-Side Request Forgery-Schutzmaßnahmen blockieren Anfragen an private IP-Bereiche für alle vom Nutzer übermittelten URLs
  • Rate Limiting — Alle API-Endpunkte unterliegen einer Ratenbegrenzung zur Verhinderung von Missbrauch und Denial-of-Service-Angriffen
  • Rollenbasierte Zugriffskontrollen — Administrative und Benutzerrollen mit unterschiedlichen Berechtigungsstufen
  • HSTS-Durchsetzung — HTTP Strict Transport Security mit einem max-age von 63.072.000 Sekunden (2 Jahre), einschließlich Subdomains
  • Sicherheits-Header — X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy-Header sind konfiguriert, um die Angriffsfläche zu reduzieren
  • Regelmäßige Sicherheitsbewertung — Periodische Überprüfung von Sicherheitskontrollen, Abhängigkeiten und Konfigurationen

Die vollständigen Details der technischen und organisatorischen Maßnahmen sind in Anlage II zu diesem AVV aufgeführt. MageXo wird das allgemeine Sicherheitsniveau des Dienstes während der Laufzeit dieses AVV nicht wesentlich reduzieren.

9. Unterauftragsverarbeiter

9.1 Allgemeine Genehmigung

Der Verantwortliche erteilt MageXo eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen zu beauftragen, vorbehaltlich der in diesem Abschnitt festgelegten Bedingungen.

9.2 Aktuelle Unterauftragsverarbeiter

Eine aktuelle Liste der Unterauftragsverarbeiter wird unter /sub-processors gepflegt und ist öffentlich zugänglich. Der Verantwortliche nimmt die zum Zeitpunkt des Abschlusses dieses AVV aufgeführten Unterauftragsverarbeiter zur Kenntnis und genehmigt diese.

9.3 Benachrichtigung über Änderungen

MageXo wird den Verantwortlichen über jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage vor Beginn der Verarbeitung personenbezogener Daten durch den neuen Unterauftragsverarbeiter informieren. Die Benachrichtigung erfolgt an die mit dem Konto des Verantwortlichen verknüpfte E-Mail-Adresse.

9.4 Widerspruchsrecht

Der Verantwortliche kann gegen einen neuen Unterauftragsverarbeiter Widerspruch einlegen, indem er MageXo innerhalb von 14 Tagen nach Erhalt der Benachrichtigung schriftlich benachrichtigt. Der Widerspruch muss begründete datenschutzrechtliche Einwände enthalten. Die Parteien werden den Widerspruch in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Kann innerhalb von 30 Tagen nach dem Widerspruch keine Lösung erzielt werden, kann der Verantwortliche den Teil des Dienstes kündigen, der die Nutzung des beanstandeten Unterauftragsverarbeiters erfordert, ohne dass ihm dadurch Nachteile entstehen.

9.5 Pflichten der Unterauftragsverarbeiter

MageXo auferlegt allen Unterauftragsverarbeitern Datenschutzpflichten, die nicht weniger schützend sind als die in diesem AVV festgelegten. MageXo haftet dem Verantwortlichen gegenüber uneingeschränkt für die Erfüllung der Pflichten seiner Unterauftragsverarbeiter.

10. Internationale Datenübermittlungen

10.1 Standort von MageXo

MageXo hat seinen Sitz in der Europäischen Union (Tschechische Republik). Die Verarbeitung innerhalb der EU/des EWR erfordert keine zusätzlichen Übermittlungsgarantien.

10.2 Übermittlungen in Drittländer

Wenn Unterauftragsverarbeiter außerhalb der EU/des EWR ansässig sind (einschließlich der Vereinigten Staaten), stellt MageXo sicher, dass geeignete Übermittlungsmechanismen vorhanden sind:

  • EU-US Data Privacy Framework — Für Unterauftragsverarbeiter, die im Rahmen des EU-US Data Privacy Framework zertifiziert sind, dient die Zertifizierung als angemessener Übermittlungsmechanismus gemäß dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023
  • Standardvertragsklauseln (SVK) — Wenn das Data Privacy Framework nicht anwendbar ist, unterliegen Übermittlungen den von der Europäischen Kommission genehmigten Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914), ergänzt durch zusätzliche Garantien, soweit aufgrund von Transfer-Folgenabschätzungen erforderlich
  • UK International Data Transfer Agreement / UK-Nachtrag — Für Übermittlungen, die der UK-DSGVO unterliegen, wird das UK International Data Transfer Agreement oder der UK-Nachtrag zu den EU-SVK (je nach Anwendbarkeit) angewendet

10.3 Transparenz

Der Verantwortliche kann Kopien der relevanten Übermittlungsmechanismen, einschließlich unterzeichneter SVK (mit gegebenenfalls zum Schutz der Vertraulichkeit geschwärzten Geschäftsbedingungen), unter info@photoneai.com anfordern.

11. Rechte betroffener Personen

11.1 Unterstützung bei Anfragen

MageXo unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen und soweit möglich bei der Erfüllung seiner Pflicht, auf Anfragen betroffener Personen zu reagieren, die ihre Rechte nach Kapitel III der DSGVO ausüben, einschließlich der Rechte auf:

  • Auskunft (Artikel 15)
  • Berichtigung (Artikel 16)
  • Löschung („Recht auf Vergessenwerden") (Artikel 17)
  • Einschränkung der Verarbeitung (Artikel 18)
  • Datenübertragbarkeit (Artikel 20)
  • Widerspruch (Artikel 21)

11.2 Direkte Anfragen

Wenn MageXo eine Anfrage direkt von einer betroffenen Person in Bezug auf die personenbezogenen Daten des Verantwortlichen erhält, wird MageXo den Verantwortlichen unverzüglich benachrichtigen und die Anfrage nicht direkt beantworten, es sei denn, dies wird vom Verantwortlichen genehmigt oder ist nach geltendem Recht erforderlich.

11.3 Kosten

Die Unterstützung bei standardmäßigen Anfragen betroffener Personen ist im Dienst enthalten. MageXo behält sich das Recht vor, angemessene Kosten für die Unterstützung bei Anfragen zu berechnen, die übermäßig, wiederholt oder offensichtlich unbegründet sind oder die einen erheblichen manuellen Aufwand über die Standardfunktionalität des Dienstes hinaus erfordern.

12. Benachrichtigung bei Datenschutzverletzungen

12.1 Benachrichtigungsfrist

MageXo wird den Verantwortlichen unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme einer Datenschutzverletzung, die die personenbezogenen Daten des Verantwortlichen betrifft, benachrichtigen.

12.2 Inhalt der Benachrichtigung

Die Benachrichtigung enthält, soweit verfügbar:

  • Eine Beschreibung der Art der Datenschutzverletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze personenbezogener Daten
  • Den Namen und die Kontaktdaten der Ansprechperson von MageXo für weitere Informationen
  • Eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung
  • Eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen

12.3 Zusammenarbeit

MageXo wird mit dem Verantwortlichen bei der Untersuchung und Behebung der Datenschutzverletzung zusammenarbeiten und den Verantwortlichen bei der Erfüllung seiner Pflichten nach den Artikeln 33 und 34 DSGVO unterstützen, einschließlich der Meldung an die Aufsichtsbehörde und der Benachrichtigung betroffener Personen, sofern erforderlich.

12.4 Dokumentation

MageXo wird alle Datenschutzverletzungen dokumentieren, einschließlich der Fakten im Zusammenhang mit der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, und wird diese Dokumentation dem Verantwortlichen auf Anfrage zur Verfügung stellen.

13. Datenschutz-Folgenabschätzung

  • MageXo wird den Verantwortlichen in angemessenem Umfang bei der Durchführung von Datenschutz-Folgenabschätzungen („DSFA") unterstützen, wenn die Nutzung des Dienstes durch den Verantwortlichen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, wie nach Artikel 35 DSGVO erforderlich.
  • MageXo wird den Verantwortlichen bei der vorherigen Konsultation der zuständigen Aufsichtsbehörde nach Artikel 36 DSGVO unterstützen, wenn das Ergebnis einer DSFA darauf hinweist, dass die Verarbeitung ohne Maßnahmen des Verantwortlichen zur Risikominderung ein hohes Risiko darstellen würde.
  • Diese Unterstützung berücksichtigt die Art der Verarbeitung und die MageXo zur Verfügung stehenden Informationen und kann die Bereitstellung von Dokumentationen zu Sicherheitsmaßnahmen, Verarbeitungstätigkeiten und Unterauftragsverarbeiter-Vereinbarungen umfassen.

14. Prüfungsrechte

14.1 Prüfungsrecht

Der Verantwortliche (oder ein vom Verantwortlichen beauftragter unabhängiger Drittprüfer) kann die Einhaltung dieses AVV durch MageXo prüfen.

14.2 Ankündigung und Häufigkeit

  • Prüfungen erfordern eine schriftliche Ankündigung von mindestens 30 Tagen an MageXo.
  • Prüfungen sind auf einmal pro Kalenderjahr begrenzt, es sei denn, eine Aufsichtsbehörde verlangt eine häufigere Prüfung, oder es liegt eine bestätigte Datenschutzverletzung vor, die die personenbezogenen Daten des Verantwortlichen betrifft.

14.3 Zusammenarbeit

MageXo wird angemessene Zusammenarbeit und Zugang zu relevanten Aufzeichnungen, Systemen und Personal während der üblichen Geschäftszeiten gewähren. Der Prüfer des Verantwortlichen muss die angemessenen Sicherheits- und Vertraulichkeitsanforderungen von MageXo einhalten.

14.4 Kosten

Der Verantwortliche trägt alle mit den von ihm veranlassten Prüfungen verbundenen Kosten, es sei denn, die Prüfung ergibt eine wesentliche Nichteinhaltung dieses AVV, in welchem Fall MageXo die angemessenen Kosten der Prüfung trägt.

14.5 Alternative Nachweise

MageXo kann nach eigenem Ermessen Prüfungsanforderungen erfüllen, indem es dem Verantwortlichen Folgendes bereitstellt:

  • Relevante Drittanbieter-Zertifizierungen oder Prüfungsberichte (z. B. SOC 2 Type II, ISO 27001)
  • Ergebnisse von Penetrationstests, die von unabhängigen Sicherheitsunternehmen durchgeführt wurden
  • Detaillierte schriftliche Antworten auf den Prüfungsfragebogen des Verantwortlichen

Solche alternativen Nachweismaßnahmen werden vom Verantwortlichen als angemessener Ersatz für Vor-Ort-Prüfungen akzeptiert, sofern sie die Einhaltung angemessen nachweisen.

15. Datenrückgabe und -löschung

15.1 Datenexport

Nach Beendigung oder Ablauf der Dienstvereinbarung kann der Verantwortliche seine Dienstdaten über die Standard-Exportfunktionalität des Dienstes für einen Zeitraum von 30 Tagen nach dem Wirksamkeitsdatum der Beendigung exportieren.

15.2 Löschung

Nach Ablauf der 30-tägigen Abruffrist wird MageXo alle Dienstdaten in seinem Besitz und im Besitz seiner Unterauftragsverarbeiter löschen, sofern eine Aufbewahrung nicht nach geltendem Recht erforderlich ist.

15.3 Automatische Löschung

Während und nach der Dienstlaufzeit gelten die folgenden automatischen Löschmechanismen:

  • Generierte Bilder werden automatisch 30 Tage nach Erstellung gelöscht
  • Gastsitzungsdaten verfallen nach 30 Tagen Inaktivität

15.4 Gesetzliche Aufbewahrung

Die folgenden Daten werden über die Dienstlaufzeit hinaus aufbewahrt, sofern gesetzlich vorgeschrieben:

  • Guthaben-Transaktionsdaten werden für 7 Jahre gemäß der tschechischen Buchhaltungsgesetzgebung (Gesetz Nr. 563/1991 Slg. über die Buchführung) aufbewahrt
  • Steuerbezogene Abrechnungsunterlagen werden gemäß dem tschechischen Steuerrecht aufbewahrt

15.5 Bestätigung

MageXo wird dem Verantwortlichen auf schriftliche Anfrage eine schriftliche Löschungsbestätigung ausstellen, in der bestätigt wird, dass alle Dienstdaten (außer gesetzlich vorgeschriebene Aufbewahrung) sicher vernichtet wurden.

16. Laufzeit und Beendigung

16.1 Inkrafttreten

Dieser AVV tritt ab dem Datum in Kraft, an dem der Verantwortliche die Vereinbarung (Nutzungsbedingungen) und diesen AVV akzeptiert.

16.2 Laufzeit

Dieser AVV bleibt für die Dauer der Dienstvereinbarung zwischen den Parteien in Kraft.

16.3 Beendigung

Dieser AVV endet automatisch mit Beendigung oder Ablauf der Dienstvereinbarung, vorbehaltlich der nachstehenden Fortgeltungsbestimmungen.

16.4 Fortgeltung

Die folgenden Bestimmungen gelten über die Beendigung dieses AVV hinaus fort:

  • Abschnitt 7 (Vertraulichkeit)
  • Abschnitt 12 (Benachrichtigung bei Datenschutzverletzungen) — soweit eine Verletzung nach Beendigung entdeckt wird
  • Abschnitt 15 (Datenrückgabe und -löschung) — bis alle Daten gelöscht oder zurückgegeben wurden
  • Abschnitt 17 (Haftung)
  • Abschnitt 18 (Anwendbares Recht)

17. Haftung

17.1 Beschränkungen

Die Haftung im Rahmen dieses AVV unterliegt den in der Vereinbarung (Nutzungsbedingungen) festgelegten Beschränkungen und Ausschlüssen, es sei denn, solche Beschränkungen sind nach geltendem Datenschutzrecht unzulässig.

17.2 DSGVO-Haftung

Jede Partei haftet für Schäden, die durch eine Verarbeitung verursacht werden, die gegen die DSGVO oder diesen AVV verstößt, gemäß Artikel 82 DSGVO:

  • Der Verantwortliche haftet für Schäden, die durch eine Verarbeitung verursacht werden, die nicht mit der DSGVO oder den Pflichten des Verantwortlichen nach diesem AVV vereinbar ist
  • MageXo haftet für Schäden, die durch eine Verarbeitung verursacht werden, bei der MageXo den speziell an Auftragsverarbeiter gerichteten Pflichten der DSGVO nicht nachgekommen ist oder außerhalb oder entgegen den rechtmäßigen Weisungen des Verantwortlichen gehandelt hat

17.3 Freistellung

Jede Partei verpflichtet sich, die andere Partei von allen Kosten, Ansprüchen, Schäden oder Aufwendungen (einschließlich angemessener Rechtsanwaltskosten) freizustellen, die sich aus einem Verstoß der freistellenden Partei gegen diesen AVV oder einer Verletzung des anwendbaren Datenschutzrechts ergeben.

18. Anwendbares Recht

18.1 Geltendes Recht

Dieser AVV unterliegt dem Recht der Tschechischen Republik und wird in Übereinstimmung damit ausgelegt, ohne Berücksichtigung der Kollisionsnormen, und vorbehaltlich der zwingenden Bestimmungen der DSGVO.

18.2 Gerichtsstand

Streitigkeiten, die sich aus oder im Zusammenhang mit diesem AVV ergeben und nicht gütlich beigelegt werden können, werden der ausschließlichen Zuständigkeit der zuständigen Gerichte in Prag, Tschechische Republik, unterworfen.

18.3 Regulatorischer Vorrang

Keine Bestimmung dieses AVV beschränkt die Rechte einer Aufsichtsbehörde oder einer betroffenen Person nach geltendem Datenschutzrecht.

Anlage I — Einzelheiten der Verarbeitung

ElementBeschreibung
GegenstandKI-gestützte Produktbilderzeugung und Markenanalyse über den PhotoneAI-Dienst
DauerDauer der Dienstvereinbarung zwischen dem Verantwortlichen und MageXo
Art der VerarbeitungErhebung, Speicherung, KI-Analyse, Bilderzeugung, Übermittlung und Löschung von Dienstdaten
ZweckErzeugung von Lifestyle-Produktfotografien, Durchführung von Marken- und Shop-Analysen, Bereitstellung von Stilempfehlungen und Lieferung der erzeugten Inhalte an den Verantwortlichen
DatenkategorienProduktbilder, Produkt-URLs, Produktbeschreibungen, Markendaten, Website-Screenshots, generierte Bilder, E-Mail-Adressen autorisierter Nutzer, Nutzungs- und Abrechnungsprotokolle
Kategorien betroffener PersonenMitarbeiter und autorisierte Nutzer des Verantwortlichen; in Produktbildern abgebildete Personen (falls vorhanden)
AuftragsverarbeiterMageXo s.r.o., Prosecká 855/68, 190 00 Praha 9, Tschechische Republik, IČ: 24771406

Anlage II — Technische und organisatorische Sicherheitsmaßnahmen

Die folgenden Maßnahmen werden von MageXo zum Schutz personenbezogener Daten implementiert, die im Zusammenhang mit dem Dienst gemäß Artikel 32 DSGVO verarbeitet werden.

1. Zugriffskontrolle

  • Rollenbasierte Zugriffskontrolle (RBAC) mit getrennten Administrator- und Benutzerrollen unter Durchsetzung des Prinzips der geringsten Berechtigung
  • Row-Level Security (RLS) in PostgreSQL zur Gewährleistung einer strikten mandantenspezifischen Datenisolierung auf Datenbankebene, die jeglichen mandantenübergreifenden Datenzugriff verhindert
  • Service-Rollen-Schlüssel sind auf serverseitige Operationen beschränkt; clientseitige Operationen verwenden anonyme Schlüssel mit RLS-Durchsetzung
  • Sitzungsbasierte Authentifizierung über Supabase Auth mit sicherem Token-Management
  • Middleware-gestützter Routenschutz mit Überprüfung von Authentifizierung und Autorisierung bei jeder Anfrage

2. Verschlüsselung

  • TLS 1.2+ für alle Daten bei der Übertragung zwischen Clients, Servern und Unterauftragsverarbeitern
  • HTTP Strict Transport Security (HSTS) aktiviert mit einem max-age von 63.072.000 Sekunden (2 Jahre), einschließlich Subdomains
  • Verschlüsselung im Ruhezustand durch Cloud-Anbieter-Mechanismen (Supabase/AWS AES-256)
  • Passwort-Hashing mit bcrypt oder Argon2 mit branchenüblichen Arbeitsfaktoren
  • Sichere Cookie-Attribute (HttpOnly, Secure, SameSite) für die Sitzungsverwaltung

3. Netzwerksicherheit

  • Content Security Policy (CSP)-Header, die die Skriptausführung und das Laden von Ressourcen auf ausdrücklich vertrauenswürdige Quellen beschränken
  • SSRF-Schutz, der Anfragen an private und reservierte IP-Adressbereiche (RFC 1918, RFC 6598) für alle vom Nutzer übermittelten URLs blockiert
  • X-Frame-Options: DENY zur Verhinderung von Clickjacking-Angriffen
  • X-Content-Type-Options: nosniff zur Verhinderung von MIME-Typ-Sniffing
  • Referrer-Policy: strict-origin-when-cross-origin zur Begrenzung der Weitergabe von Referrer-Informationen
  • Permissions-Policy zur Deaktivierung des Zugriffs auf Kamera-, Mikrofon- und Geolokalisierungs-APIs

4. Eingabevalidierung

  • URL-Validierung und -Bereinigung vor jeder Verarbeitung, einschließlich Schema-Überprüfung und Domain-Validierung
  • Dateityp-Validierung beschränkt auf die Formate JPEG, PNG und WebP mit einer maximalen Dateigröße von 10 MB
  • HTML-Escaping in allen E-Mail-Inhalten zur Verhinderung von Injection-Angriffen
  • Rate Limiting auf allen API-Endpunkten zur Verhinderung von Missbrauch, Brute-Force-Angriffen und Denial-of-Service
  • Bot-Erkennung über hCaptcha-Integration an Authentifizierungs-Endpunkten

5. Überwachung und Protokollierung

  • Strukturierte JSON-Protokollierung über structlog für konsistente, auswertbare Prüfprotokolle
  • KI-API-Aufrufprotokollierung mit Kostenverfolgung und Nutzungsüberwachung
  • Datenminimierung in Protokollen — keine personenbezogenen Daten über die betriebliche Notwendigkeit hinaus (Auftrags-IDs, gekürzte Zusammenfassungen); vollständige Produktdaten und persönliche Informationen sind von Protokolleinträgen ausgeschlossen
  • Fehlerüberwachung und Alarmierung zur schnellen Erkennung und Reaktion auf Anomalien

6. Datenminimierung

  • Automatische Bildlöschung — generierte Bilder werden nach 30 Tagen endgültig gelöscht
  • Ablauf von Gastsitzungen — Gastsitzungsdaten werden nach 30 Tagen Inaktivität bereinigt
  • Bildkompression — Produktbilder werden vor der KI-Verarbeitung komprimiert (maximale Dimension: 2048 Pixel), um die Datenangriffsfläche zu reduzieren
  • Prompt-Minimierung — KI-Prompts enthalten zusammengefasste Produktattribute anstelle vollständiger, vom Nutzer übermittelter Daten
  • Zweckbindung — Dienstdaten werden nur für die genannten Zwecke verarbeitet und nicht über die betriebliche Notwendigkeit hinaus aufbewahrt

7. Vorfallreaktion

  • 72-Stunden-Meldepflicht bei Datenschutzverletzungen gemäß Artikel 33 DSGVO
  • Fehlerüberwachung und Alarmierung mit automatischer Benachrichtigung bei kritischen Ausfällen
  • Wiederherstellung festgefahrener Aufträge — automatische Erkennung und Zurücksetzung blockierter Verarbeitungsaufträge nach 300 Sekunden, um zu verhindern, dass Daten in einem unbestimmten Zustand verbleiben
  • Dokumentierte Vorfallreaktionsverfahren einschließlich Eskalationswege und Kommunikationsvorlagen

8. Unterauftragsverarbeiter-Management

  • Vertragliche Datenschutzpflichten für alle Unterauftragsverarbeiter, die nicht weniger schützend sind als die in diesem AVV festgelegten
  • Regelmäßige Compliance-Überprüfung der Sicherheitspraktiken und Zertifizierungen der Unterauftragsverarbeiter
  • Öffentliches Unterauftragsverarbeiter-Register gepflegt unter /sub-processors mit Verarbeitungsdetails, Datenkategorien und Übermittlungsmechanismen
  • 30-tägige Vorankündigung an Verantwortliche vor der Beauftragung neuer Unterauftragsverarbeiter