Datenschutz

Einführung

In diesen Datenschutzbestimmungen stellt Sönke Tunn seine Vorgehensweise bezüglich der von Benutzern erfassten Daten, die auf seiner Webseite unter www.fotografie-bergstraße.de zugreifen oder uns auf andere Weise, personenbezogene Daten bereitstellen.

Benutzerrechte

Sie haben folgende Rechte:

• Eine Bestätigung, ob und inwieweit Ihre personenbezogenen Daten verwendet und verarbeitet werden, sowie den Zugriff auf die über Sie gespeicherten personenbezogenen Daten und zusätzliche Informationen anfordern
• Eine Kopie der personenbezogenen Daten, die Sie uns freiwillig bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format anfordern
• Eine Berichtigung der personenbezogenen Daten, die wir von Ihnen gespeichert haben, anfordern
• Das Löschen Ihrer personenbezogenen Daten beantragen
• Der Verarbeitung Ihrer personenbezogenen Daten durch uns widersprechen
• Die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten durch uns beantragen
• Eine Beschwerde bei einer Aufsichtsbehörde einreichen

Beachten Sie jedoch, dass diese Rechte nicht uneingeschränkt gelten, sondern unseren eigenen rechtmäßigen Interessen sowie behördlichen Vorschriften unterliegen.

Wenn Sie eines der hier aufgeführten Rechte in Anspruch nehmen möchten oder weitere Informationen wünschen, wenden Sie sich bitte direkt an mich:

Sönke Tunn
Breitgasse 5
69493 Hirschberg
fotografie@tunn.eu

Speicherung

Wir speichern Ihre personenbezogenen Daten so lange, wie es für die Bereitstellung unserer Services, die Einhaltung rechtlicher Verpflichtungen sowie die Beilegung von Streitigkeiten und die Durchsetzung unserer Richtlinien erforderlich ist. Die Aufbewahrungsfristen richten sich nach der Art der erfassten Daten und dem Zweck, für den diese Daten erfasst wurden, wobei sowohl die fallspezifischen Gegebenheiten als auch die Notwendigkeit berücksichtigt werden, veraltete, nicht genutzte Informationen baldmöglichst zu löschen. Datensätze mit personenbezogenen Daten von Kunden, Mitteilungen und anderen Daten speichern wir gemäß geltender Gesetze und Vorschriften.

Wir können jederzeit und in unserem alleinigen Ermessen unvollständige oder unrichtige Daten korrigieren, vervollständigen oder entfernen.

Grundlage für die Datenerfassung

Die Verarbeitung Ihrer personenbezogenen Daten (d. h. jegliche Daten, die mit vertretbaren Mitteln eine Identifizierung Ihrer Person zulassen; „personenbezogene Daten“) ist erforderlich, um unseren vertraglichen Verpflichtungen Ihnen gegenüber nachzukommen und damit wir Ihnen unsere Services bereitstellen, unser legitimes Interesse schützen sowie rechtlichen und finanziellen Regulierungsverpflichtungen, denen wir unterworfen sind, nachkommen können.

Durch die Nutzung dieser Webseite stimmen Sie der Erfassung, Speicherung, Verwendung, Offenlegung und sonstigen Nutzung Ihrer personenbezogenen Daten wie in diesen Datenschutzbestimmungen beschrieben zu.

Bitte lesen Sie sich die Datenschutzbestimmungen sorgfältig durch, bevor Sie Entscheidungen treffen.

Welche Daten werden erfasst?

Nicht personenbezogene Daten

Zur ersten Kategorie gehören nicht identifizierende und nicht identifizierbare Benutzerdaten, die durch die Nutzung der Webseite bereitgestellt oder erfasst werden. Wir kennen die Identität des Benutzers nicht, von dem nicht personenbezogene Daten erfasst wurden. Dazu gehören aggregierte Nutzungsdaten und technische Daten, die von Ihrem Gerät übermittelt werden (z. B. Browser, Betriebssystem, Spracheinstellung, Zugriffszeit usw.). Anhand dieser Daten verbessern wir die Funktionalität unserer Webseite.

Personenbezogene Daten

Zur zweiten Kategorie gehören Daten, die eine Einzelperson identifizieren. Dazu gehören: Gerätedaten (IP-Adresse, MAC-Adresse, UUID) und Standortdaten.

Wie erhalten wir Daten über Sie?

• Freiwillige Bereitstellung (z.B. Registrierung, Chat).
• Nutzung der Webseite oder Services.
• Andere Anbieter und öffentliche Register (z.B. Traffic-Analyse).

Datennutzung und Weitergabe

Wir geben keine Benutzerdaten an Dritte weiter. Wir verwenden Daten zur Kommunikation mit Ihnen und Bereitstellung technischer Informationen.

Cookies & Lokale Speicherung

Wir verwenden Cookies zur Funktionalität. Sie können diese über Ihre Geräteeinstellungen entfernen.

Sitzungs-Cookies (Session Cookies)

Für den Login-Bereich der Client-Galerie setzen wir technisch notwendige Sitzungs-Cookies ein (z. B. PHPSESSID). Diese werden nach dem Schließen des Browsers gelöscht und dienen ausschließlich der Bereitstellung der gesicherten Galerie-Funktionen.

Kunden-Galerie & Bild-Auswahl

Wir stellen unseren Kunden über eine gesicherte Online-Galerie Vorschaubilder ihrer Fotoshootings zur Auswahl und Abstimmung bereit. Der Zugang erfolgt ausschließlich per E-Mail-Adresse und einem einmaligen, zeitlich begrenzten Zugangscode (OTP – One-Time Password). Dabei werden folgende Daten verarbeitet:

• Bildmaterial: Fotografien aus dem jeweiligen Shooting in reduzierter Auflösung.
• Interaktionsdaten: Markierungen (Favoriten, Auswahlstatus), Retusche-Wünsche und Kommentare des Kunden zum jeweiligen Bild.
• E-Mail-Adresse: Wird AES-256-verschlüsselt gespeichert und ausschließlich für den Galerie-Zugang sowie die Zustellung der Aufnahmen verwendet. Eine zusätzlich gespeicherte Prüfsumme (HMAC-Hash) ermöglicht die Suche in der Datenbank, ohne die E-Mail im Klartext vorzuhalten.
• Zugangscodes (OTP): Einmalig verwendbare 4-stellige Codes, die nach 10 Minuten automatisch verfallen und als bcrypt-Hash gespeichert werden. Eine Rekonstruktion des Codes ist technisch nicht möglich.

Die Verarbeitung erfolgt zur Erfüllung unserer vertraglichen Pflichten (Art. 6 Abs. 1 lit. b DSGVO) oder auf Grundlage Ihrer Einwilligung durch aktive Nutzung des Auswahl-Tools. Die Daten werden nach Abschluss des Projekts vollständig und automatisch aus allen Systemen entfernt – spätestens mit dem Abschluss des Bilddownloads über die Übergabe-Galerie (siehe „Digitale Bildübergabe & automatische Datenlöschung").

Reichweitenmessung & UX-Analyse (Cookieless)

Um unsere Webseite stetig zu verbessern, setzen wir ein selbst entwickeltes, lokales Analyse-Tool ein. Wir erfassen anonyme Nutzungsstatistiken (z.B. Seitenaufrufe, Scrollverhalten, Verweildauer und anonyme Klick-Interaktionen). Dabei arbeiten wir streng nach dem Prinzip der Datensparsamkeit:

• Keine Cookies: Es werden keine Cookies, LocalStorage-Einträge oder ähnliche Technologien zur Wiedererkennung auf Ihrem Gerät gespeichert (gemäß § 25 TTDSG).
• Anonymisierung: Ihre IP-Adresse wird bei der Übermittlung sofort gekürzt, sodass kein Personenbezug herstellbar ist.
• Sitzungsbasierte Daten: Wir verwenden kurzlebige, tagesaktuelle Einweg-Hashes, um Zusammenhänge zwischen Klicks und Seitenaufrufen statistisch zu erfassen, ohne Sie am nächsten Tag wiedererkennen zu können.

Die Daten verbleiben ausschließlich auf unserem eigenen Server in Deutschland und werden nicht an Drittanbieter weitergegeben. Rechtsgrundlage ist unser berechtigtes Interesse an der bedarfsgerechten Gestaltung und Optimierung unserer Online-Präsenz gemäß Art. 6 Abs. 1 lit. f DSGVO.

Service Worker & App-Funktionalität (PWA)

Diese Webseite nutzt moderne Web-Technologien (Service Worker und Cache Storage), um Ihnen ein App-ähnliches Erlebnis (Progressive Web App) zu bieten. Dabei werden Programmdateien und Vorschaubilder lokal auf Ihrem Endgerät zwischengespeichert, um schnellere Ladezeiten und eine Offline-Vorschau ermöglicht. Diese Daten verbleiben auf Ihrem Gerät und werden nicht an uns übermittelt.

Lokale Schriftarten (Self-Hosted)

Damit unsere Inhalte in jedem Browser korrekt und grafisch ansprechend dargestellt werden, verwenden wir Schriftarten wie „Inter“ und „Playfair Display“. Um Ihre Privatsphäre zu schützen, werden diese Schriftarten **lokal von unserem eigenen Server** geladen. Es besteht keine Verbindung zu Servern von Drittanbietern wie Google. Somit werden keine IP-Adressen an externe Schriftbibliotheken übertragen.

Sicherheitsprotokolle & Schutz vor Angriffen

Zur Gewährleistung der Netz- und Informationssicherheit sowie zum Schutz vor automatisierten Angriffen auf den gesicherten Galerie-Zugang erfassen und speichern wir bei fehlgeschlagenen Anmeldeversuchen temporär die maskierte IP-Adresse (z. B. 192.168.178.0) sowie den Zeitpunkt des Zugriffs. Nach einer festgelegten Anzahl von Fehlversuchen wird die entsprechende IP-Adresse kurzzeitig gesperrt. Bei erfolgreicher Anmeldung werden diese Fehler-Zähler sofort zurückgesetzt. Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Integrität und Sicherheit unserer Systeme gemäß Art. 6 Abs. 1 lit. f DSGVO. Eine Zusammenführung dieser Log-Daten mit anderen Datenquellen und eine Weitergabe an Dritte finden nicht statt.

Hosting & Auftragsverarbeitung

Diese Webseite wird bei einem externen Dienstleister gehostet (IONOS SE, Elgendorfer Str. 57, 56410 Montabaur). Die personenbezogenen Daten, die auf dieser Webseite erfasst werden, werden auf den Servern des Hosters gespeichert. Die Server von IONOS befinden sich in Deutschland (Rechenzentrumsstandorte: Karlsruhe, Berlin, Frankfurt a. M.). Eine Datenübermittlung in Drittländer außerhalb der EU/des EWR findet nicht statt. Wir haben mit dem Anbieter einen Vertrag über Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen. Dies ist ein datenschutzrechtlich vorgeschriebener Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Webseitenbesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Datensicherung

Zur Sicherung der auf unseren Servern gespeicherten Daten werden regelmäßig automatisierte Backups durchgeführt. Diese Backups dienen ausschließlich der Wiederherstellung im Fehlerfall und werden nicht für andere Zwecke verwendet. Backup-Daten werden auf denselben IONOS-Servern in Deutschland vorgehalten und nach einem festgelegten Rotationszeitraum automatisch gelöscht. Ein Zugriff auf Backup-Daten erfolgt nur im begründeten Störungsfall durch autorisiertes Personal.

SSL/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL-bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Kontaktformular & Kommunikation

Daten aus Formularen (z. B. durch das Kopieren der E-Mail-Adresse für eine Anfrage) speichern wir zwecks Bearbeitung. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung. Die vertraglichen Rahmenbedingungen unserer Leistungen entnehmen Sie bitte unseren Allgemeinen Geschäftsbedingungen.

Digitale Bildübergabe & automatische Datenlöschung

Nach Abschluss der Bildbearbeitung stellen wir fertig bearbeitete Aufnahmen über eine gesicherte Online-Übergabe-Galerie bereit. Dieser Prozess ist technisch so gestaltet, dass personenbezogene Daten auf das absolut notwendige Minimum reduziert und nach Abschluss vollständig gelöscht werden.

Ablauf der Übergabe

Der Zugang zur Übergabe-Galerie erfolgt ausschließlich über das OTP-Verfahren (E-Mail-Adresse und ein frisch generierter 4-stelliger Einmal-Code). Nach erfolgreichem Login wird die Übergabe-Seite geladen: Sie sehen alle fertiggestellten Bilder in einer Vorschau-Ansicht und können das vollständige ZIP-Archiv herunterladen. Mit dem Klick auf „Herunterladen" wird die Sitzung sofort beendet und ein einmaliger, kurzlebiger Sitzungstoken gesetzt, über den der Downloadfortschritt im Browser erkannt wird. Nach abgeschlossenem Download erfolgt die vollständige und unwiderrufliche Datenlöschung (siehe unten).

Was wird gelöscht?

Unmittelbar nach dem erfolgreichen Download werden automatisch und vollständig entfernt:

• Alle Bilddateien aus dem serverseitigen Speicher (einschließlich erstellter Vorschaubilder)
• Alle Galerie-Daten aus der Datenbank (Session-Eintrag, Bildmarkierungen, Kommentare)
• Die E-Mail-Adresse (verschlüsselt gespeicherter Wert und Such-Hash)
• Alle Zugangsdaten (verwendete OTP-Einträge)

Eine technische Wiederherstellung ist nach der Löschung ausgeschlossen. Ein erneuter Download ist nicht möglich.

Was bleibt gespeichert?

Ausschließlich das Einwilligungsprotokoll (Consent-Datei) wird dauerhaft archiviert. Dies ist zur Erfüllung der gesetzlichen Nachweispflicht aus Art. 7 Abs. 1 DSGVO zwingend erforderlich: Der Fotograf muss nachweisen können, dass und in welchem Umfang eine Einwilligung zur Bildnutzung erteilt wurde. Das Protokoll enthält Ihre Einwilligungs-ID, das Datum, die gewählten Nutzungsoptionen sowie eine maskierte IP-Adresse und einen anonymen Browser-Hash – jedoch keine vollständige E-Mail-Adresse im Klartext.

Technische Schutzmaßnahmen

• Verschlüsselte E-Mail-Speicherung: Die E-Mail-Adresse wird ausschließlich AES-256-verschlüsselt gespeichert. Für die Datenbanksuche wird ein separater HMAC-SHA256-Hash verwendet – der Klartext ist zu keinem Zeitpunkt direkt abrufbar.
• Kein dauerhaftes Passwort: Es existiert kein gespeichertes Passwort. Zugangscodes (OTP) sind 4-stellig, verfallen nach 10 Minuten, sind nur einmalig verwendbar und werden als bcrypt-Hash gespeichert – eine Rekonstruktion des ursprünglichen Codes ist technisch nicht möglich.
• Kein direkter Dateizugriff: Bilder sind über eine serverseitige Zugriffskontrolle geschützt. Direkte URL-Aufrufe auf Bilddateien sind ohne aktive, gültige Sitzung nicht möglich.
• Sessionzerstörung vor dem Download: Die PHP-Sitzung wird beendet, bevor die ZIP-Datei an den Browser übermittelt wird – ein erneuter Zugriff auf die Galerie ist damit ausgeschlossen.
• Serverseitige Löschung: Die Löschung der Daten erfolgt serverseitig und automatisch als Teil des Download-Prozesses – ohne weiteres Zutun des Fotografen oder des Kunden.

E-Mail-Adresse & Einwilligungsformular

Im Rahmen unserer Zusammenarbeit – insbesondere bei TFP-Produktionen – wird die im Einwilligungsformular angegebene E-Mail-Adresse für folgende Zwecke verwendet:

• Bestätigungsmail: Unmittelbar nach Einreichung der Einwilligungserklärung erhalten Sie eine Kopie mit Ihrer Einwilligungs-ID als Nachweis.
• Galerie-Zugang: Nach Fertigstellung der Bearbeitung können Sie sich mit Ihrer E-Mail-Adresse in die Übergabe-Galerie einloggen. Den Zugangscode senden wir bei jedem Login frisch zu – es gibt kein dauerhaftes Passwort.

Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der vereinbarten Leistung) sowie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die E-Mail-Adresse wird ausschließlich für die genannten Zwecke verwendet, nicht für Werbung und nicht an Dritte weitergegeben. Nach dem Download wird sie unwiderruflich gelöscht.

Instagram Story-Funktion

Auf der Übergabe-Seite steht Ihnen optional eine Funktion zur Verfügung, mit der Sie ein einzelnes Bild als Instagram Story aufbereiten können. Dabei wird das Bild ausschließlich lokal in Ihrem Browser über die Canvas-API zu einem 9:16-Hochformat zusammengefügt – es findet dabei keine Datenübertragung an unsere Server statt.

Wenn Sie das fertige Story-Bild über den Teilen-Button weitergeben möchten, nutzt die Webseite die native Web Share API Ihres Geräts. Vor dem Teilen wird ein ausdrücklicher Hinweis eingeblendet, dass Sie die Webseite verlassen und Daten (insbesondere Ihre IP-Adresse) an Meta Platforms Ireland Ltd. übertragen werden. Die Weitergabe erfolgt ausschließlich nach Ihrer aktiven Bestätigung. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Für die weitere Datenverarbeitung durch Meta/Instagram sind deren eigene Datenschutzrichtlinien maßgeblich.

Social Media Links

Auf dieser Webseite sind Links zu Social-Media-Diensten (z. B. Instagram) eingebunden. Dabei handelt es sich um einfache Hyperlinks. Eine Datenübertragung an die jeweiligen Anbieter findet erst statt, wenn Sie den entsprechenden Link aktiv anklicken und die Webseite von Sönke Tunn verlassen. Auf die weitere Datenverarbeitung auf den Zielseiten haben wir keinen Einfluss.

Online-Terminbuchung (Google Calendar)

Um Ihnen die Buchung von Fotografie-Terminen zu erleichtern, binden wir das Buchungs-Tool von Google Calendar (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) ein.

Zweistufige Lösung (Privacy by Default): Um Ihre Privatsphäre zu schützen, wird der Kalender standardmäßig nicht automatisch geladen. Es findet erst dann eine Datenübertragung (wie z. B. Ihre IP-Adresse) an Server von Google statt, wenn Sie die Buchungsfunktion durch Klick auf den Zustimmungsbutton ("Zustimmen & Kalender laden") explizit aktivieren. Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Weitere Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google. Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert, sodass für etwaige Datenübermittlungen in die USA ein angemessenes Datenschutzniveau sichergestellt ist.