Rechtliches

Datenschutzerklärung

Informationen nach Art. 13/14 DSGVO · Stand: 12. Juli 2026

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung auf dieser Website:

Timothy J. Schmitz
Gartenstraße 3
61273 Wehrheim
Deutschland
E-Mail: scottimytchz@gmail.com

Ein Datenschutzbeauftragter ist nicht benannt (§ 38 BDSG greift derzeit nicht).

2. Hosting und Server-Logs

Diese Website wird bei Vercel gehostet (Serverless Functions in der Region Frankfurt, fra1); DNS/CDN laufen über Cloudflare. Beim Aufruf der Website verarbeiten diese Anbieter technisch bedingt Verbindungsdaten (IP-Adresse, User-Agent, aufgerufene URL, Zeitstempel) in kurzlebigen Server-Logs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Betrieb). Die Anwendung selbst speichert keine IP-Adressen und führt keine eigenen Zugriffsprotokolle; plattformseitige Logs werden anbieterseitig kurzfristig vorgehalten und nicht von mir archiviert.

3. Cookies — nur ein technisch notwendiger

Diese Website verwendet keinerlei Analyse-, Marketing- oder Tracking-Cookies. Es existiert genau ein Cookie:

pg_access (Galerie-Zugang)

Wer einen privaten Galerie-Link öffnet, erhält einen HMAC-signierten, httpOnly-Cookie namens pg_access. Er merkt sich ausschließlich, welche Galerie(n) freigeschaltet wurden (Share-ID + Ablaufzeitpunkt) — keine Identifikatoren, kein seitenübergreifendes Tracking. Ohne diesen Cookie kann die Galerie und ihre Bilder technisch nicht ausgeliefert werden.

Er ist damit für den ausdrücklich gewünschten Dienst unbedingt erforderlich i. S. v. § 25 Abs. 2 Nr. 2 TDDDG — eine Einwilligung (Cookie-Banner) ist nicht erforderlich. Der Cookie verfällt spätestens mit Ablauf des Galerie-Links.

4. Private Foto-Galerien

Für Kund:innen und Event-Gäste stelle ich Fotos über private, nicht öffentlich auffindbare Galerie-Links bereit (begrenzter Empfängerkreis, Suchmaschinen-Indexierung ausgeschlossen). Galerie-Links haben ein Ablaufdatum (Standard: 90 Tage) und können jederzeit zurückgezogen werden; nach Ablauf werden auch die ausgelieferten Bilddateien physisch aus dem Online-Speicher gelöscht (Art. 5 Abs. 1 lit. e DSGVO). Aus allen im Web ausgelieferten Bildern werden Metadaten wie GPS-Positionen entfernt.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit Auftraggeber:innen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Eventfotos an den geschlossenen Teilnehmerkreis). Aufgerufene Galerien zählen lediglich einen anonymen Öffnungszähler — ohne Gast-Identifikation.

5. "Das bin ich"-Markierungen (Claims)

In privaten Galerien kannst du dich freiwillig auf Fotos markieren („Das bin ich“) und dabei Name (Pflicht) sowie optional Instagram-Handle, E-Mail-Adresse oder Telefonnummer hinterlassen, damit ich dich kontaktieren bzw. dir deine Fotos zukommen lassen kann.

Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), dokumentiert mit Zeitstempel und Textversion. Die Angaben sind ausschließlich für mich sichtbar — sie erscheinen niemals öffentlich und werden nicht an andere Gäste weitergegeben. Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (formlos an scottimytchz@gmail.com); deine Kontaktdaten und Zuordnungen werden dann unverzüglich gelöscht.

6. Bildanfragen (Takedown, Kontakt, Print)

Über das Formular „Foto betrifft mich“ kannst du der Veröffentlichung eines Fotos widersprechen, Fragen stellen oder Print-Interesse anmelden. Verarbeitet werden die von dir angegebenen Daten (Name, optional E-Mail, Nachricht, ggf. Foto-Referenz) — ausschließlich zur Bearbeitung der Anfrage.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a bzw. lit. f DSGVO sowie bei Widersprüchen Art. 21 DSGVO. Bei einem Widerspruch nehme ich das betroffene Foto umgehend aus allen öffentlichen Ansichten; über eine darüber hinausgehende Löschung entscheide ich im Einzelfall nach Art. 17 DSGVO und informiere dich. Anfragedaten werden nach Abschluss der Bearbeitung gelöscht, soweit keine Nachweispflichten bestehen.

7. Öffentliches Portfolio und Featured Artists

Im öffentlichen Portfolio zeige ich kuratierte Fotografien. Personen sind dort nur abgebildet, wenn eine Einwilligung/ein Model Release vorliegt oder eine gesetzliche Erlaubnis (§§ 22, 23 KUG, Art. 6 Abs. 1 lit. f DSGVO — insbesondere Kunstfreiheit) die Veröffentlichung trägt. Profile im Bereich „Artists“ (Name/Alias, Bio, Social-Media-Links, Fotos) erscheinen ausschließlich mit dokumentierter Einwilligung der jeweiligen Person; ein Widerruf führt zur sofortigen Entfernung des Profils.

8. Auftragsverarbeiter und Empfänger

Für den Betrieb setze ich folgende Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein:

  • Supabase (Datenbank und Authentifizierung; Projekt-Region EU-Frankfurt). US-Anbieter; Abschluss des DPA inkl. EU-Standardvertragsklauseln. Ein Rest-Risiko besteht in möglichem Support-Zugriff aus Drittländern.
  • Vercel (Hosting; Functions-Region Frankfurt, fra1). US-Anbieter; DPA inkl. EU-Standardvertragsklauseln.
  • Cloudflare (DNS/CDN und R2-Bildspeicher mit EU-Jurisdiktion). US-Anbieter; DPA inkl. EU-Standardvertragsklauseln.

Eine Übermittlung personenbezogener Daten in Drittländer ist nicht Zweck der Verarbeitung; soweit sie sich technisch nicht ausschließen lässt, ist sie über die genannten Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Es findet kein Einsatz von US-Analytics-Diensten statt.

9. Speicherdauern (Überblick)

  • Galerie-Links: Ablauf standardmäßig nach 90 Tagen; Bilddateien werden nach einer Karenzzeit physisch gelöscht.
  • Galerie-Cookie pg_access: maximal bis zum Ablauf des jeweiligen Links.
  • Claim-/Kontaktdaten: bis zum Widerruf bzw. bis sie für den Zweck nicht mehr erforderlich sind.
  • Bildanfragen: bis zum Abschluss der Bearbeitung zzgl. Nachweisfristen.
  • Datenbank-Backups: kurze Rotation (in der Regel maximal 30 Tage); gelöschte Daten werden bei einer etwaigen Wiederherstellung erneut gelöscht.

10. Deine Rechte

Dir stehen nach der DSGVO folgende Rechte zu:

  • Auskunft über deine gespeicherten Daten (Art. 15),
  • Berichtigung unrichtiger Daten (Art. 16),
  • Löschung (Art. 17) und Einschränkung der Verarbeitung (Art. 18),
  • Datenübertragbarkeit (Art. 20),
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f (Art. 21) — für Fotos am einfachsten über die Bildanfrage,
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3),
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77) — zuständig ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit.

Für alle Anliegen genügt eine formlose E-Mail an scottimytchz@gmail.com.