Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
FotoConnect, Inhaber Joel Schwegmann, Petrusallee 16, 49090 Osnabrück.
E-Mail: datenschutz@foto-connect.com

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen (mehr als 20 Personen mit regelmäßiger Datenverarbeitung, § 38 BDSG) derzeit nicht erfüllt sind.

2. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Grundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — z. B. Cookie-Banner, Newsletter, Marketing-Analyse
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Registrierung, Buchungsabwicklung, Zahlungsabwicklung
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — Rechnungsaufbewahrung nach AO § 147
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Serverlogs zur Sicherheit, Betrugsprävention, Produktverbesserung

3. Kategorien verarbeiteter Daten

  • Kontodaten: E-Mail, Passwort (Hash via bcrypt), Rolle (Fotograf / Unternehmen / Admin)
  • Profildaten: Name, Stadt, Telefon, Website, Fachgebiete, Beschreibung, Avatar, Portfolio-Bilder
  • Auftragsdaten: Anfragen, Angebote, Verträge, Buchungen, Rechnungen, Bewertungen, Chatverläufe
  • Zahlungsdaten: Werden ausschließlich von Stripe verarbeitet; wir speichern nur Transaktions-IDs und den Rechnungsbetrag
  • Nutzungsdaten: IP-Adresse (gekürzt für Logs), Browser-Version, Referrer, Zugriffszeiten
  • Einwilligungsdaten: Zeitpunkt und Umfang jeder Cookie-Consent-Entscheidung (Art. 7 Abs. 1 DSGVO)

4. Registrierung und Nutzerkonto

Zur Nutzung der Plattform ist eine Registrierung mit E-Mail-Adresse und Passwort erforderlich. Die E-Mail wird durch einen 6-stelligen Code verifiziert. Passwörter werden ausschließlich als bcrypt-Hash (12 Runden) gespeichert und können von uns nicht wiederhergestellt werden.

Speicherdauer: Für die Dauer des Nutzungsverhältnisses zuzüglich einer 30-tägigen Kulanzfrist nach Löschungsantrag (siehe Ziff. 13).

5. Cookies und ähnliche Technologien

Wir setzen folgende Kategorien von Cookies ein:

  • Technisch notwendig: Login-Session (JWT im localStorage), CSRF-Schutz, Spracheinstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
  • Präferenzen: Speichert UI-Entscheidungen (Ansicht, Filter) für den nächsten Besuch. Rechtsgrundlage: Einwilligung.
  • Analyse: Google Analytics 4 mit IP-Anonymisierung — misst anonyme Nutzungsstatistiken. Nur bei Einwilligung.
  • Marketing: Remarketing-Pixel (Google Ads, Meta) für relevante Werbung außerhalb der Plattform. Nur bei Einwilligung.

Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen. Jede Consent-Entscheidung wird mit Zeitstempel, gesetzter Kategorie und gehashter IP (SHA-256, gesalzen) protokolliert.

6. Server-Logfiles

Beim Aufruf unserer Website erfasst unser Hosting-Provider automatisch folgende Daten: IP-Adresse, Datum / Uhrzeit, abgerufene URL, Referrer, User-Agent. Diese Daten werden maximal 14 Tage gespeichert und dienen ausschließlich der IT-Sicherheit (Angriffserkennung) und Fehlersuche. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

7. E-Mail-Versand (Resend)

Transaktionale E-Mails (Verifikation, Passwort-Reset, Buchungsbestätigungen) sowie Lifecycle-Mails (Onboarding, Review-Anfragen) versenden wir über Resend (Resend, Inc., Frankfurt). Die Daten werden innerhalb der EU verarbeitet.

8. Zahlungsabwicklung (Stripe)

Zahlungen werden über Stripe Payments Europe Ltd., Dublin, Irland abgewickelt. Kreditkarten- und Bankdaten werden ausschließlich an Stripe übermittelt und nicht bei uns gespeichert. Stripe überträgt Daten teilweise in die USA auf Basis der Standardvertragsklauseln (SCC) der EU-Kommission. Details: stripe.com/de/privacy.

9. Hosting und CDN

  • Vercel Inc. (USA): Frontend-Hosting. Datenübertragung auf Basis der SCC.
  • Railway Corp. (USA): Backend-Hosting inkl. Datenbank. Standort: europäische Region sofern verfügbar; SCC im Einsatz.
  • Cloudflare, Inc. (USA): CDN, DDoS-Schutz, WAF. SCC im Einsatz.

10. Fehler-Monitoring (Sentry)

Wir setzen Sentry (Functional Software, Inc., USA) ein, um Fehler in der Anwendung zu erkennen und zu beheben. Vor dem Versand an Sentry werden alle uns bekannten PII-Felder (Passwörter, Tokens, Authorization-Header) serverseitig entfernt („scrubbing"). Die Speicherdauer beträgt 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

11. Newsletter und Marketing-Mails

Sie können sich freiwillig für unseren Newsletter anmelden. Der Versand erfolgt im Double-Opt-in-Verfahren. Sie können den Newsletter jederzeit über den Abmelde-Link in jeder Mail oder unter datenschutz@foto-connect.com abbestellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

12. Portfolio-Uploads und automatisierte Bildanalyse

Portfolio-Bilder von Fotografen werden auf unseren Servern gespeichert und zur Verbesserung der Stil-Suche mit dem Open-Source-Modell CLIP (ViT-B/32) in numerische Vektoren umgerechnet. Diese Vektoren enthalten keine PII und werden nur für die Ähnlichkeitssuche verwendet. Die Analyse findet ausschließlich auf unserer Infrastruktur statt; es erfolgt keine Übermittlung an externe KI-Anbieter.

13. Ihre Rechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte:

  • Art. 15 DSGVO — Auskunft: Sie können jederzeit unter /dashboard/privacy einen vollständigen Export Ihrer Daten als JSON-Datei herunterladen.
  • Art. 16 DSGVO — Berichtigung: Änderungen jederzeit im Dashboard möglich.
  • Art. 17 DSGVO — Löschung: Account-Löschung über dasselbe Dashboard. Ihr Konto wird nach 30 Tagen endgültig und unwiderruflich gelöscht; Rechnungen werden anonymisiert gemäß AO § 147 für 10 Jahre aufbewahrt.
  • Art. 18 DSGVO — Einschränkung der Verarbeitung
  • Art. 20 DSGVO — Datenübertragbarkeit: Export im maschinenlesbaren JSON-Format.
  • Art. 21 DSGVO — Widerspruch: Gegen Verarbeitung auf Basis berechtigten Interesses.
  • Art. 77 DSGVO — Beschwerde: Bei einer Aufsichtsbehörde, für Niedersachsen: Landesbeauftragte für den Datenschutz Niedersachsen.

14. Aufbewahrungsfristen

  • Kontodaten: für die Dauer des Nutzungsverhältnisses + 30 Tage
  • Rechnungen: 10 Jahre (AO § 147 Abs. 3)
  • Verträge, Angebote: 6 Jahre (HGB § 257 Abs. 4)
  • Consent-Protokolle: 3 Jahre nach Widerruf (Nachweisbarkeit gem. Art. 7 DSGVO)
  • Server-Logfiles: 14 Tage
  • Sentry-Fehlerlogs: 30 Tage

15. Minderjährigenschutz

Die Plattform richtet sich ausschließlich an Personen, die das 18. Lebensjahr vollendet haben. Minderjährige dürfen sich ohne Zustimmung ihrer Erziehungsberechtigten nicht registrieren.

16. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung bei Bedarf an geänderte Funktionen oder Rechtslagen an. Bei wesentlichen Änderungen informieren wir Sie per E-Mail und bitten ggf. erneut um Ihre Einwilligung für neue Cookie-Kategorien.