Datenschutzerklärung
1. Verantwortlicher
Tobias Johner, E-Mail: t.johner@mailbox.org
2. Erhebung und Verarbeitung personenbezogener Daten
Wir erheben personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform und der damit verbundenen Dienstleistungen erforderlich ist. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen).
3. Auftragsverarbeiter und Drittlandtransfers
Wir setzen externe Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter gemäß Art. 28 DSGVO). Soweit erforderlich, schließen wir mit diesen Auftragsverarbeitern Verträge gemäß Art. 28 DSGVO ab. Die folgende Übersicht informiert Sie über Zweck, Daten und ggf. Drittlandtransfers je Dienstleister.
3.1 Zahlungsabwicklung — Stripe
Anbieter: Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland (EU-Tochtergesellschaft); Muttergesellschaft: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA.
Zweck: Verarbeitung von Zahlungen, Auszahlungen an Künstler:innen via Stripe Connect Express, KYC/AML-Prüfung (eigenverantwortlich durch Stripe als Verantwortlicher).
Verarbeitete Daten: Zahlungsdaten (Kartendaten verbleiben ausschließlich bei Stripe), Name, E-Mail-Adresse, Bankverbindung (IBAN bei Auszahlung), steuerliche Identifikationsnummer der Künstler:innen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: Daten können an Stripe, Inc. (USA) übermittelt werden. Stripe führt aktuell eine DPF-Zertifizierung unter dem EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss 2023/1795/EU vom 10.07.2023); den aktuellen Zertifizierungsstatus können Sie unter dataprivacyframework.gov einsehen. Ergänzend stützen wir uns auf EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914/EU.
Datenschutzerklärung Stripe: stripe.com/de/privacy
3.2 Netzwerksicherheit, DNS und Bot-Schutz — Cloudflare
Anbieter: Cloudflare Ireland Limited, 3rd Floor, 101 Townsend Street, Dublin D02 R814, Irland (EU-Niederlassung); Muttergesellschaft: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA.
Zweck: DNS-Auflösung, DDoS-Schutz, Netzwerksicherheit sowie Bot-Schutz via Cloudflare Turnstile auf Kontakt- und Registrierungsformularen.
Verarbeitete Daten: IP-Adressen, HTTP-Header, aufgerufene URLs; bei Cloudflare Turnstile ergänzend Browser-Charakteristika und Verhaltenssignale zur Mensch/Bot-Unterscheidung (keine Speicherung von Formularinhalten).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Netzwerksicherheit, Verfügbarkeit und Schutz vor missbräuchlichen Zugriffen).
Drittlandtransfer: Daten können an Cloudflare, Inc. (USA) übermittelt werden. Cloudflare führt aktuell eine DPF-Zertifizierung; aktuellen Status unter dataprivacyframework.gov. Ergänzend EU-Standardvertragsklauseln (2021/914/EU).
Datenschutzerklärung Cloudflare: cloudflare.com/de-de/privacypolicy
3.3 Hosting und Bereitstellung — Netlify
Anbieter: Netlify, Inc., 44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA.
Zweck: Hosting der Plattform und Auslieferung von Webseiteninhalten über ein globales CDN-Netzwerk.
Verarbeitete Daten: IP-Adressen der Besucher:innen, Browsertyp, aufgerufene URLs, Zeitstempel (Server-Logs). Inhalte werden über weltweite CDN-Knoten ausgeliefert; Server-Logs und Konfigurationsdaten werden bei Netlify, Inc. in den USA verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb und der Sicherheit der Plattform).
Drittlandtransfer: Daten werden an Netlify, Inc. (USA) übermittelt. Rechtsgrundlage: EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914/EU.
Datenschutzerklärung Netlify: netlify.com/privacy
3.4 Datenbankinfrastruktur und Authentifizierung — Supabase
Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992, Singapur. Datenverarbeitung über AWS-Rechenzentrum Frankfurt am Main, Deutschland.
Zweck: Speicherung aller Plattformdaten (Nutzerprofile, Buchungen, Nachrichten, Verträge), Authentifizierung, Dateispeicher.
Verarbeitete Daten: Alle von Ihnen bereitgestellten Profil- und Buchungsdaten, E-Mail-Adressen, Authentifizierungsdaten, hochgeladene Dateien.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Serverstandort: Speicherung und Verarbeitung erfolgen ausschließlich in der EU-Region (eu-central-1, AWS Frankfurt am Main). Für etwaige administrative Zugriffe durch Supabase-Mitarbeiter:innen aus Drittländern stützen wir uns ergänzend auf EU-Standardvertragsklauseln (2021/914/EU).
Datenschutzerklärung Supabase: supabase.com/privacy
3.5 E-Mail-Versand — Resend
Anbieter: Resend, Inc., 2261 Market Street #4496, San Francisco, CA 94114, USA.
Zweck: Versand von transaktionalen E-Mails (Buchungsbestätigungen, Vertragsbenachrichtigungen, Systembenachrichtigungen).
Verarbeitete Daten: E-Mail-Adresse der Empfänger:innen, E-Mail-Inhalte (Buchungsreferenzen, Vertragszugangslinks).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: Daten werden an Resend, Inc. (USA) übermittelt. Rechtsgrundlage: EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914/EU.
Datenschutzerklärung Resend: resend.com/legal/privacy-policy
3.6 SMS-Benachrichtigungen — seven.io
Anbieter: Seven Communications GmbH, Aubuckel 4, 76227 Karlsruhe, Deutschland.
Zweck: Versand von SMS-Benachrichtigungen bei buchungsrelevanten Ereignissen, sofern Sie Ihre Telefonnummer hinterlegt und dem SMS-Versand zugestimmt haben.
Verarbeitete Daten: Mobilfunknummer, SMS-Nachrichteninhalt (Buchungsreferenz, Zugangsinformationen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung; Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen).
Serverstandort: Deutschland. Kein Drittlandtransfer.
Datenschutzerklärung seven.io: seven.io/de/datenschutz
3.7 Kunsttransport — Convelio (zukünftig)
Anbieter: Convelio SAS, 15 rue de la Paix, 75002 Paris, Frankreich.
Zweck: Abwicklung von Kunsttransporten bei Verkäufen, die einen physischen Versand erfordern. Zu diesem Zweck übermitteln wir die Lieferadresse der Käufer:innen sowie Angaben zum Kunstwerk an Convelio. Die Lieferadresse verlässt die EU nicht und wird nicht an Drittland-Künstler:innen weitergegeben (Datensparsamkeit gemäß Art. 5 Abs. 1 lit. c DSGVO).
Status: Dieser Dienst wird zu einem späteren Zeitpunkt aktiviert. Sobald Convelio aktiv genutzt wird, informieren wir Sie über eine Aktualisierung dieser Datenschutzerklärung.
Serverstandort: EU (Frankreich). Kein Drittlandtransfer.
Datenschutzerklärung Convelio: convelio.com/legal/privacy-policy
3.8 Hinweis zu Drittlandtransfers (Art. 44 ff. DSGVO)
Einige der oben genannten Auftragsverarbeiter haben ihren Sitz in den USA. Für diese Übermittlungen stützen wir uns auf folgende geeignete Garantien:
- EU-U.S. Data Privacy Framework (DPF): Die EU-Kommission hat am 10.07.2023 das EU-U.S. Data Privacy Framework durch Angemessenheitsbeschluss 2023/1795/EU anerkannt. Stripe und Cloudflare führen aktuell DPF-Zertifizierungen; den jeweils aktuellen Status können Sie unter dataprivacyframework.gov einsehen.
- EU-Standardvertragsklauseln (SCC): Für alle Übermittlungen in die USA schließen wir ergänzend EU-Standardvertragsklauseln gemäß Durchführungsbeschluss der EU-Kommission vom 04.06.2021 (2021/914/EU) ab.
- Ergänzende technische Maßnahmen: Wir setzen durchgehend Transportverschlüsselung (TLS 1.2+) ein und begrenzen den Umfang der übermittelten Daten auf das für den jeweiligen Zweck erforderliche Minimum (Art. 5 Abs. 1 lit. c DSGVO).
Weitere Informationen zu den eingesetzten Garantien erhalten Sie auf Anfrage unter datenschutz@gaumengalerie.de.
4. Cookies
Wir verwenden nur technisch notwendige Cookies zur Aufrechterhaltung der Nutzersitzung. Es werden keine Tracking-Cookies eingesetzt.
5. Aufbewahrungsfristen und Löschkonzept
Wir speichern Ihre Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Profildaten (aktiv) | Bis zur Löschung des Accounts |
| Buchungen und Verträge | 10 Jahre nach Abschluss (§ 147 AO, § 257 HGB) |
| Audit-Log für Admin-Aktionen | 10 Jahre (GoBD) |
| Handover-Protokolle und Schadensfotos | 3 Jahre nach Buchungsabschluss |
| Avatare und Profilbilder | Bis zur Löschung des Accounts |
Das vollständige Löschkonzept erhalten Sie auf Anfrage. Bei einer Auskunftsanfrage nach Art. 15 DSGVO erhalten Sie eine vollständige Übersicht aller zu Ihrer Person gespeicherten Daten.
6. Audit-Log für Admin-Aktionen
Bei sicherheitsrelevanten oder finanziellen Aktionen unserer Administratoren (z.B. Auszahlungen an Künstler oder Löschungen von Nutzerkonten) wird automatisch ein manipulationsgeschützter Eintrag im Audit-Log erstellt. Dieser Eintrag enthält:
- den Zeitstempel der Aktion
- die anonymisierte ID des handelnden Administrators
- die Art der Aktion (z.B. „Auszahlung“, „Löschung“)
- die betroffene Datenkategorie
- eine textuelle Begründung der Aktion
Zweck: Diese Protokollierung erfüllt unsere Nachweispflicht gemäß den Grundsätzen ordnungsmäßiger Buchführung (GoBD) und der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit § 147 Abgabenordnung und den GoBD.
Aufbewahrungsdauer: 10 Jahre. Während dieser Zeit ist der Eintrag technisch unveränderlich (append-only).
Zugriff: Nur Administratoren mit entsprechender Berechtigung haben Zugriff auf das Audit-Log.
Ihre Rechte: Sie können jederzeit Auskunft (Art. 15 DSGVO) über die zu Ihrer Person erfassten Audit-Log-Einträge verlangen. Eine Löschung (Art. 17 DSGVO) ist während der gesetzlichen Aufbewahrungsfrist von 10 Jahren nicht möglich.
7. Ihre Rechte
Sie haben das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung Ihrer personenbezogenen Daten. Kontaktieren Sie uns unter t.johner@mailbox.org.