Regelungen zur Datenverarbeitung nach Art. 28 DSGVO
Dieser AV-Vertrag gilt automatisch für alle Creator auf PrismLink. Mit der Registrierung als gewerblicher Creator stimmst du diesem Vertrag zu. Eine gesonderte Unterzeichnung ist nicht erforderlich.
Gegenstand: Verarbeitung personenbezogener Daten zur Bereitstellung der PrismLink-Plattform.
Dauer: Für die Dauer der Vertragsbeziehung zwischen Creator und PrismLink.
Rechtsgrundlage: Art. 28 Abs. 3 lit. a DSGVO
Dieser AV-Vertrag tritt automatisch mit der Registrierung als Creator in Kraft.
Bei Kündigung des Creator-Accounts endet auch dieser AV-Vertrag.
Löschungsfristen werden gemäß unserer Datenschutzerklärung eingehalten.
Bereitstellung von Creator-Profilseiten mit individuellen Links.
Verwaltung und Anzeige von Creator-generierten Inhalten.
Pseudonymisierte Analytics für Profilaufrufe und Link-Klicks.
Technische Systemadministration und Sicherheitsüberwachung.
Abrechnung und Zahlungsabwicklung bei kostenpflichtigen Tarifen.
Kundensupport und technische Hilfestellungen.
Creator-Stammdaten: E-Mail, Benutzername, Profil-Informationen.
Inhaltsdaten: Links, Beschreibungen, hochgeladene Medien (Avatare, Header).
Nutzungsdaten: Login-Zeiten, Feature-Nutzung (pseudonymisiert).
Zahlungsdaten: Rechnungsadresse, Zahlungshistorie (keine Kartendetails).
Support-Kommunikation: Tickets, E-Mail-Korrespondenz.
KEINE Verarbeitung: Besucherdaten von Creator-Profilen (diese sind vollständig pseudonymisiert, ohne Möglichkeit der Zuweisung zum Creator).
Hinweis zur Pseudonymisierung: Besucherdaten werden durch Kürzung der IP-Adresse (Entfernung des letzten Oktetts) und Verbrauch von Session-IDs pseudonymisiert. Eine Zuweisung zu einer natürlichen Person ist ohne zusätzliche Informationen nicht möglich.
Hauptbetroffene: Registrierte Creator und Nutzer der PrismLink-Plattform.
Endbesucher: Nur pseudonymisierte Datenverarbeitung ohne Personenbezug.
Geschäftskontakte: Bei B2B-Creator-Accounts auch Ansprechpartner.
Support-Kontakte: Personen, die den Kundensupport kontaktieren.
WICHTIG: Creator sind für ihre eigenen veröffentlichten Inhalte verantwortlich.
PrismLink verarbeitet nur die technisch notwendigen Daten zur Plattform-Bereitstellung.
Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen (Creator).
Gewährleistung der Vertraulichkeit durch technische und organisatorische Maßnahmen.
Unterstützung des Verantwortlichen bei der Wahrung der Betroffenenrechte.
Löschung oder Rückgabe der Daten nach Ende der Beauftragung.
Bereitstellung aller notwendigen Informationen für DSGVO-Compliance.
Unverzügliche Meldung von Datenschutzverletzungen an den Verantwortlichen.
PrismLink verarbeitet personenbezogene Daten nur nach Weisung des Creators.
Weisungen erfolgen über die Plattform-Funktionen (Account-Einstellungen, Content-Management).
Creator können ihre Daten jederzeit einsehen, ändern oder löschen.
Automatisierte Verarbeitung erfolgt nur im Rahmen der vereinbarten Services.
Bei rechtlichen Anfragen informiert PrismLink den Creator unverzüglich.
Änderungen an den Verarbeitungsweisungen werden über die Plattform dokumentiert.
PrismLink ist berechtigt, Unterauftragsverarbeiter zu beauftragen.
Alle Unterauftragsverarbeiter sind vertraglich zur DSGVO-Compliance verpflichtet.
Aktuelle Liste der Unterauftragsverarbeiter siehe nachfolgende Tabelle.
Bei Änderungen informieren wir Creator mindestens 30 Tage im Voraus.
Creator können Widerspruch gegen neue Unterauftragsverarbeiter einlegen.
Bei berechtigtem Widerspruch räumen wir ein Sonderkündigungsrecht ein.
Der Anbieter Supabase ist ein Unternehmen mit Sitz in den USA. Die Verarbeitung der Daten erfolgt primär auf Servern innerhalb der Europäischen Union (Region: eu-central-1, Frankfurt am Main). Um ein angemessenes Datenschutzniveau auch für den Fall eines potenziellen Zugriffs aus einem Drittland (USA) zu gewährleisten, wurden mit dem Anbieter die EU-Standardvertragsklauseln (Standard Contractual Clauses - SCCs) abgeschlossen.
Zudem stützt sich der Transfer auf das EU-U.S. Data Privacy Framework, sofern der Anbieter hierunter zertifiziert ist. Ergänzend werden technische Maßnahmen wie eine durchgehende Verschlüsselung der Daten bei Übertragung und Speicherung (at rest und in transit) eingesetzt.
Verschlüsselung: Alle Daten werden bei Übertragung und Speicherung verschlüsselt.
Zugangskontrollen: Multi-Faktor-Authentifizierung für administrative Zugriffe.
Datensicherung: Automatisierte Backups in geografisch getrennten EU-Rechenzentren.
Netzwerksicherheit: Firewall-Schutz und kontinuierliche Sicherheitsüberwachung.
Personal: Alle Mitarbeiter sind auf Vertraulichkeit verpflichtet.
Audits: Regelmäßige interne und externe Sicherheitsüberprüfungen.
Detaillierte Dokumentation: Die detaillierte Aufstellung der technischen und organisatorischen Maßnahmen wird dem Creator auf Anfrage als gesondertes Dokument zur Verfügung gestellt.
PrismLink meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 72 Stunden.
Meldung erfolgt per E-Mail an die im Creator-Account hinterlegte Adresse.
Umfang der Meldung: Art der Verletzung, betroffene Datenkategorien, Folgen, Abhilfemaßnahmen.
Creator sind verpflichtet, bei hohem Risiko die betroffenen Personen zu informieren.
PrismLink unterstützt bei der Bewertung des Risikos und bei Meldungen an Aufsichtsbehörden.
Detaillierte Incident-Response-Verfahren sind in unserer Sicherheitsdokumentation festgelegt.
Nach Vertragsende werden alle personenbezogenen Daten gelöscht oder zurückgegeben.
Creator können ihre Daten jederzeit selbstständig exportieren (Datenportabilität).
Automatische Löschung erfolgt 30 Tage nach Account-Kündigung.
Backup-Kopien werden spätestens nach 90 Tagen unwiderruflich gelöscht.
Gesetzliche Aufbewahrungsfristen (z.B. Buchhaltung) bleiben unberührt.
Löschungszertifikate werden auf Anfrage ausgestellt.
Creator haben das Recht auf Auskunft über die Verarbeitungstätigkeiten.
PrismLink stellt alle erforderlichen Informationen für Compliance-Nachweise bereit.
Audits können nach vorheriger Terminvereinbarung durchgeführt werden.
Kosten für Audits trägt der Creator, es sei denn, Verstöße werden festgestellt.
Externe Auditoren müssen vertraglich zur Vertraulichkeit verpflichtet werden.
Audit-Berichte werden vertraulich behandelt und nur im erforderlichen Umfang geteilt.
