togethr – Allgemeine Geschäftsbedingungen (AGB)

1. Geltungsbereich, Anbieter

1.1 Diese AGB regeln die Nutzung der Plattform togethr (nachfolgend „Plattform") durch gewerbliche und – soweit gekennzeichnet – auch Verbraucher‑Nutzer (zusammen „Kunden"). Betreiber und Vertragspartner ist:

1.2 Abweichende AGB des Kunden finden keine Anwendung, es sei denn, der Betreiber stimmt ihrer Geltung ausdrücklich schriftlich zu.

1.3 Die Plattform richtet sich primär an B2B‑Kunden (Veranstalter/Workspaces). Sofern Leistungen an Verbraucher angeboten werden, gelten zusätzlich die Hinweise in Ziff. 15 und – falls einschlägig – die Widerrufsbelehrung (Anlage W).

2. Begriffe

Workspace:

Mandant des Kunden zur Verwaltung von Events und Nutzerrollen (OWNER/ADMIN/MEMBER).

Event:

Vom Kunden konfiguriertes Foto‑Erlebnis mit Upload‑Funktion.

Besucher:

Personen, die im Rahmen eines Events Bilder hochladen und mit Overlays/Masks sowie optionalen Textfeldern personalisieren.

Pläne:

FREE/PRO/BUSINESS mit nutzungsbasierten Limits.

Überlagerte Ergebnisse/Overlays:

Vom System aus dem Upload „on‑the‑fly" erzeugte, nicht persistent gespeicherte Ausgabedateien.

3. Leistungsbeschreibung

3.1 Die Plattform ermöglicht die Erstellung und Verwaltung von Events, den Upload von Bildern durch Besucher sowie deren unmittelbare Ausgabe mit Overlays/Masks und optionalen Textfeldern. Ergebnisbilder werden flüchtig erzeugt und nicht dauerhaft gespeichert. Das Original und ein Thumbnail des Uploads werden im Cloud‑Speicher abgelegt.

3.2 Der Kunde konfiguriert Branding (z. B. Banner/Logo), Event‑Sichtbarkeit (inkl. optionalem Passwortschutz), Textfelder und Masken. Die Plattform stellt serverseitige Analytics auf Event‑Ebene bereit (Besuche, Browserkennung, generierte/geladene Bilder, Shares, Session‑Dauer). IP‑Adressen werden ausschließlich gehasht gespeichert.

3.3 Der Betreiber stellt Stripe‑Checkout für Upgrades/Verlängerungen und bezahlte Custom‑Overlay‑Requests bereit. Für bezahlte Custom‑Requests wird automatisiert ein ClickUp‑Ticket erstellt.

3.4 Der Funktionsumfang kann je nach Plan variieren. Limits werden im Konto angezeigt; bei Erreichen eines Limits können Events automatisch deaktiviert werden.

4. Registrierung, Konto, Rollen

4.1 Für die Nutzung als Kunde ist ein Konto erforderlich. Zugangsdaten sind geheim zu halten.

4.2 Der Kunde verwaltet Rollen (OWNER/ADMIN/MEMBER) pro Workspace und ist für interne Berechtigungen verantwortlich.

4.3 Der Kunde stellt sicher, dass nur befugte Personen Zugriff auf Events und Daten erhalten.

5. Vertragsabschluss, Laufzeit, Kündigung

5.1 Der Vertrag kommt durch Registrierung und/oder Buchung eines entgeltlichen Plans zustande.

5.2 Entgeltliche Pläne laufen – sofern nicht anders angegeben – jeweils für die gebuchte Laufzeit und verlängern sich automatisch, sofern sie vor Ablauf nicht mit Wirkung zum Ende der Laufzeit gekündigt werden.

5.3 Kündigungen können im Konto oder in Textform erfolgen. Gesetzliche Sonderkündigungsrechte bleiben unberührt.

5.4 Nach Vertragsende werden Workspaces/Events deaktiviert; Daten werden gem. Ziff. 12 und Datenschutzerklärung gelöscht.

6. Preise, Zahlungen, Steuern

6.1 Preise verstehen sich zzgl. gesetzlicher Umsatzsteuer, sofern anwendbar. Die aktuellen Preise und Pläne sind unter https://togethr-share.io abrufbar.

6.2 Zahlungen erfolgen über Stripe. Der Betreiber speichert keine vollständigen Zahlungsdaten.

6.3 Bei Zahlungsverzug kann der Betreiber Zugänge sperren und Verzugszinsen sowie Mahnkosten verlangen.

6.4 Upgrades werden pro rata temporis berechnet; Downgrades wirken ab dem nächsten Abrechnungszeitraum.

7. Pflichten des Kunden / Inhalte der Besucher

7.1 Der Kunde ist für Rechtmäßigkeit und Inhalte seiner Events verantwortlich (einschließlich hochgeladener Bilder, Textfelder, Overlays, Logos).

7.2 Der Kunde stellt sicher, dass Besucher sämtliche erforderlichen Rechte an ihren Uploads haben (Urheber‑, Marken‑, Design‑, Persönlichkeits‑/Bildnisrechte) und keine Rechte Dritter oder Gesetze (z. B. Datenschutz, Jugendschutz, Strafrecht) verletzen.

7.3 Untersagt sind insbesondere: rechtsverletzende, diskriminierende, pornografische, gewaltverherrlichende, extremistische oder sonst rechtswidrige Inhalte; Inhalte mit personenbezogenen Daten, die besonderem Schutz unterliegen (z. B. Gesundheitsdaten) sowie biometrische Auswertungen.

7.4 Der Betreiber ist nicht verpflichtet, Inhalte vorab zu prüfen, ist jedoch berechtigt, rechtswidrige Inhalte zu sperren oder zu löschen und Events zu deaktivieren, wenn konkrete Anhaltspunkte vorliegen.

8. Nutzungsrechte

8.1 Der Kunde räumt dem Betreiber für die Laufzeit das einfache, nicht übertragbare Recht ein, von Besuchern hochgeladene Inhalte zum Zweck der Vertragserfüllung zu verarbeiten, zu speichern (Original/Thumbnail), flüchtig zu rendern und über die Plattform auszuliefern.

8.2 Der Kunde sichert zu, dass er berechtigt ist, diese Rechte zu erteilen.

9. Verfügbarkeit, Wartung

9.1 Der Betreiber schuldet eine dem Plan angemessene Verfügbarkeit der Plattform.

9.2 Wartungsarbeiten, Updates und Feature‑Rollouts können zu vorübergehenden Beeinträchtigungen führen; planbare Wartung wird – soweit möglich – vorab angekündigt.

9.3 Beta‑/Experiment‑Funktionen können abweichen oder jederzeit eingestellt werden.

10. Gewährleistung, Support

10.1 Die Plattform wird in der jeweils aktuellen Version bereitgestellt.

10.2 Der Kunde meldet Störungen unverzüglich über den Support‑Kanal.

10.3 Für B2B‑Kunden gelten die gesetzlichen Mängelrechte; bei nur unerheblichen Abweichungen besteht kein Anspruch.

11. Haftung

11.1 Der Betreiber haftet unbeschränkt bei Vorsatz und grober Fahrlässigkeit, für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit sowie nach dem Produkthaftungsgesetz.

11.2 Bei einfacher Fahrlässigkeit haftet der Betreiber nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) und der Höhe nach begrenzt auf den bei Vertragsschluss vorhersehbaren, vertragstypischen Schaden.

11.3 Für vom Kunden oder von Besuchern bereitgestellte Inhalte haftet ausschließlich der Kunde.

12. Datenverarbeitung, Datenschutz, Auftragsverarbeitung

12.1 Der Betreiber verarbeitet personenbezogene Daten als Verantwortlicher (z. B. Kontodaten, Abrechnung) und – hinsichtlich der Verarbeitung von Eventteilnehmer‑Daten – als Auftragsverarbeiter für den Kunden.

12.2 Bestandteil dieser AGB ist die Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO (Anlage AV).

12.3 Die Datenschutzerklärung informiert über Art, Umfang und Zwecke der Datenverarbeitung; sie ist unter /legal/privacy abrufbar und als Abschnitt II beigefügt.

12.4 Technisch‑organisatorische Maßnahmen (TOMs) sind in Anlage TOM beschrieben.

13. Änderungen der Leistungen/AGB/Preise

13.1 Der Betreiber darf Leistungen anpassen, wenn sachliche Gründe vorliegen (z. B. Sicherheit, Skalierbarkeit, Gesetzesänderungen).

13.2 Änderungen der AGB/Preise werden dem Kunden rechtzeitig in Textform angekündigt. Widerspricht der Kunde nicht innerhalb der mitgeteilten Frist (mind. 30 Tage), gelten die Änderungen als genehmigt. Bei Widerspruch kann der Betreiber den Vertrag zum Änderungszeitpunkt beenden.

14. Export, Löschung, Rückgabe

14.1 Während der Vertragslaufzeit stellt der Betreiber angemessene Exportfunktionen für kundenseitig gehaltene Daten bereit.

14.2 Nach Vertragsende werden personenbezogene Daten entsprechend den Löschfristen (Abschnitt II/§7) gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

14.3 Auf Wunsch bestätigt der Betreiber die Löschung in Textform.

15. Verbraucherinformationen (sofern B2C)

15.1 Verbraucher haben ggf. ein Widerrufsrecht bei Fernabsatzverträgen (Anlage W). Bei digitalen Diensten kann das Widerrufsrecht erlöschen, wenn der Verbraucher ausdrücklich zustimmt, dass vor Ablauf der Widerrufsfrist mit der Ausführung begonnen wird, und er seine Kenntnis vom Erlöschen bestätigt.

15.2 Die OS‑Plattform der EU zur Streitbeilegung: https://ec.europa.eu/consumers/odr/

16. Schlussbestimmungen

16.1 Es gilt deutsches Recht unter Ausschluss des UN‑Kaufrechts. Gegenüber Verbrauchern gilt dies nur, soweit keine zwingenden Verbraucherschutzvorschriften des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, entgegenstehen.

16.2 Gerichtsstand gegenüber Kaufleuten ist der Sitz des Betreibers.

16.3 Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Regelungen unberührt.

Anlage AV – Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

(Bestandteil der AGB zwischen Elephant Webdesign & Marketing GmbH – „Auftragsverarbeiter" – und dem Kunden – „Verantwortlicher" – für die Verarbeitung von Eventteilnehmer‑Daten.)

§1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

Der Auftragsverarbeiter erbringt für den Verantwortlichen Plattform‑Leistungen zur Durchführung von Events: Upload von Originalbildern, Erzeugung von Thumbnails, flüchtige Overlayerstellung und Auslieferung, serverseitige Analytics auf Event‑Ebene.

Dauer: Für die Vertragslaufzeit gem. AGB; nach Vertragsende Löschung/Rückgabe gem. §10.

Art der Verarbeitung: Erheben, Speichern (Original/Thumbnail), Anzeigen/Übermitteln, Aggregieren/Statistik, Löschen.

Zweck: Durchführung des Events, Kapazitätssteuerung, Missbrauchsprävention (mit gehashter IP), Bereitstellung von Nutzungsstatistiken.

§2 Kategorien betroffener Personen und Datenarten

Betroffene: Eventteilnehmer (Besucher); ggf. Mitarbeiter des Verantwortlichen (Admins/Members) im Rahmen der Event‑Konfiguration.

Datenarten:

• Bilddaten: Original, Thumbnail (gespeichert); Overlays nur flüchtig.
• Metadaten/Analytics: gehashte IP, Browserkennung, Session‑ID (zufällig), Zeitstempel (Besuch, erster/letzter Download, Exit), Zähler, Shares, abgeleitete Session‑Dauer.
• Texteingaben für Masken‑Textfelder.
• Protokolldaten (Fehler-/System‑Logs) mit pseudonymen IDs.

Keine biometrischen Daten; keine Gesichtsanalyse.

§3 Weisungen

Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisungen des Verantwortlichen (Systemkonfiguration, API‑Calls, Admin‑Einstellungen).

Mündliche Weisungen sind umgehend schriftlich (Textform) zu bestätigen.

Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht verstößt.

§4 Vertraulichkeit

Alle beim Auftragsverarbeiter beschäftigten Personen sind auf Vertraulichkeit und Datenschutz zu verpflichten.

§5 Technisch‑organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter hat die in Anlage TOM beschriebenen Maßnahmen umgesetzt (u. a. TLS, rollenbasierte Zugriffe, bcrypt‑Hashes, tokenbasierte Prozesse, Private‑Buckets + signierte URLs, IP‑Hashing, Backups/Monitoring).

Der Verantwortliche hat ein Einsichtsrecht in die TOM; wesentliche Änderungen werden dokumentiert.

§6 Unterauftragsverarbeiter

Der Verantwortliche erteilt die Genehmigung zum Einsatz folgender Unterauftragsverarbeiter (Liste wird fortgeschrieben):

• Google Cloud Platform (Storage/Hosting) – Google Cloud EMEA Ltd. / Google LLC; Speicher von Original/Thumbnail/Logs.
• Stripe (Zahlungsabwicklung) – Stripe Payments Europe Ltd. (und verbundene Stripe‑Gesellschaften).
• E‑Mail/SMTP‑Provider – Netcup (Versand von Transaktionsmails).
• ClickUp (Ticketing für bezahlte Custom‑Overlays) – Mango Technologies, Inc. („ClickUp").
• Google (OAuth) – Google LLC (Login mit „email", „profile").

Der Auftragsverarbeiter stellt sicher, dass für Unterauftragsverarbeiter Art. 28 Abs. 4 DSGVO eingehalten wird (DPA/SCC).

Änderungen der Liste werden in Textform mitgeteilt; der Verantwortliche kann aus wichtigem Grund widersprechen.

§7 Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen angemessen bei der Erfüllung von Betroffenenrechten, bei Meldung/Behandlung von Datenschutzverletzungen, bei Datenschutz‑Folgenabschätzungen sowie bei Anfragen von Aufsichtsbehörden.

§8 Internationale Datenübermittlungen

Übermittlungen in Drittländer erfolgen nur bei Vorliegen der gesetzlichen Voraussetzungen (insb. SCC und ergänzende Schutzmaßnahmen). Details siehe Abschnitt II/§5.

§9 Nachweispflichten, Audits

Der Auftragsverarbeiter stellt die zur Einhaltung der Pflichten nach Art. 28 DSGVO erforderlichen Informationen zur Verfügung.

Audits/Inspektionen durch den Verantwortlichen oder einen benannten Prüfer sind nach angemessener Vorankündigung während der Geschäftszeiten möglich; Vertraulichkeit und Betriebsgeheimnisse sind zu wahren.

Der Auftragsverarbeiter kann geeignete Nachweise (z. B. Zertifizierungen, Reports) bereitstellen, die Vor‑Ort‑Audits ersetzen können.

§10 Löschung und Rückgabe von Daten

Nach Abschluss der Auftragsverarbeitung löscht der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen gemäß den vereinbarten Speicherdauern und Dokumentationspflichten. Auf Wunsch werden Daten zuvor in einem gängigen Format herausgegeben.

§11 Vergütung, Haftung

Die Vergütung ist in den AGB/Preislisten geregelt.

Die Haftung richtet sich nach den AGB; im Übrigen gelten die gesetzlichen Regelungen.

Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen frei, die aus rechtswidrigen Weisungen, rechtsverletzenden Inhalten oder fehlenden Berechtigungen entstehen.

§12 Schlussbestimmungen zur AVV

Nebenabreden bedürfen der Textform. Es gilt deutsches Recht. Gerichtsstand gemäß AGB.

Anlage TOM – Technisch‑organisatorische Maßnahmen (Auszug)

• Zugriff & Identitäten: Rollenbasiert (OWNER/ADMIN/MEMBER), Prinzip der minimalen Rechte; MFA optional/empfohlen.
• Kryptografie: TLS in Transit; Passwörter bcrypt; Tokens zeitlich begrenzt (Verifikation/Reset 24 h, Einladungen 7 Tage); JWT mit kurzer Laufzeit.
• Speicher & Isolation: Private Buckets in GCP mit signierten URLs; Original/Thumbnail gespeichert; Overlays nicht persistent.
• Protokollierung/Monitoring: Ereignis‑ und Fehlerlogs; IP nur gehasht; Aggregation auf Event‑Ebene.
• Backups/Recovery: Datenbank‑Backups; Wiederanlauf‑Prozesse getestet.
• Entwicklung/Sichere Defaults: Code‑Reviews, Secrets‑Management, Abhängigkeiten‑Management; keine Gesichtsanalyse aktiv.
• Löschung & Export: Prozesse für Export/Löschung; Bestätigung auf Anfrage.
• Auftragsverarbeiter: DPAs/SCCs mit Subprozessoren; Übermittlungen auf erforderliches Maß beschränkt.

Anlage W – Widerrufsbelehrung

(Sofern die Plattform auch an Verbraucher gerichtet ist)

Widerrufsrecht

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Die Widerrufsfrist beträgt vierzehn Tage ab dem Tag des Vertragsabschlusses.

Um Ihr Widerrufsrecht auszuüben, müssen Sie uns (Elephant Webdesign & Marketing GmbH, Schlosslände 26, 85049 Ingolstadt, hello@togethr-share.io) mittels einer eindeutigen Erklärung (z.B. ein mit der Post versandter Brief, Telefax oder E-Mail) über Ihren Entschluss, diesen Vertrag zu widerrufen, informieren. Sie können dafür das beigefügte Muster-Widerrufsformular verwenden, das jedoch nicht vorgeschrieben ist.

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

Folgen des Widerrufs

Wenn Sie diesen Vertrag widerrufen, haben wir Ihnen alle Zahlungen, die wir von Ihnen erhalten haben, einschließlich der Lieferkosten (mit Ausnahme der zusätzlichen Kosten, die sich daraus ergeben, dass Sie eine andere Art der Lieferung als die von uns angebotene, günstigste Standardlieferung gewählt haben), unverzüglich und spätestens binnen vierzehn Tagen ab dem Tag zurückzuzahlen, an dem die Mitteilung über Ihren Widerruf dieses Vertrags bei uns eingegangen ist. Für diese Rückzahlung verwenden wir dasselbe Zahlungsmittel, das Sie bei der ursprünglichen Transaktion eingesetzt haben, es sei denn, mit Ihnen wurde ausdrücklich etwas anderes vereinbart; in keinem Fall werden Ihnen wegen dieser Rückzahlung Entgelte berechnet.

Haben Sie verlangt, dass die Dienstleistungen während der Widerrufsfrist beginnen soll, so haben Sie uns einen angemessenen Betrag zu zahlen, der dem Anteil der bis zu dem Zeitpunkt, zu dem Sie uns von der Ausübung des Widerrufsrechts hinsichtlich dieses Vertrags unterrichten, bereits erbrachten Dienstleistungen im Vergleich zum Gesamtumfang der im Vertrag vorgesehenen Dienstleistungen entspricht.

Ausschluss bzw. vorzeitiges Erlöschen des Widerrufsrechts

Das Widerrufsrecht erlischt vorzeitig bei Verträgen zur Lieferung von digitalen Inhalten, wenn wir mit der Ausführung des Vertrags begonnen haben, nachdem Sie ausdrücklich zugestimmt haben, dass wir mit der Ausführung des Vertrags vor Ablauf der Widerrufsfrist beginnen, und Ihre Kenntnis davon bestätigt haben, dass Sie durch Ihre Zustimmung mit Beginn der Ausführung des Vertrags Ihr Widerrufsrecht verlieren.

Muster-Widerrufsformular

(Ein Formular ausfüllen und zurücksenden nur, wenn Sie den Vertrag widerrufen wollen)