Datenschutzerklärung

Stand: April 2026 · Version 4

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten auf dieser Plattform ist:

PICOFTHEDAY UG
Vertreten durch: Philipp Scheiner
Teststraße 1, 123456 Testort, Deutschland
Tel.: +49 123456789
info@picoftheday.shop
USt-IdNr.: DE1234567

Hinweis für Fotografen: Soweit Fotografen auf der Plattform biometrische Daten (Gesichtsmerkmale) ihrer Kunden verarbeiten lassen, sind sie selbst für die Einhaltung der datenschutzrechtlichen Anforderungen gemäß Art. 9 DSGVO verantwortlich. Sie sind verpflichtet, vor dem Hochladen von Bildmaterial eine ausdrückliche Einwilligung der abgebildeten Personen für die Verarbeitung biometrischer Daten einzuholen.

2. Erhobene Daten & Zwecke der Verarbeitung

2.1 Fotos suchen (Kunden)

Wenn du ein Selfie zur Bildsuche verwendest, wird dein Foto ausschließlich in deinem Browser analysiert. Das Selfie selbst wird zu keinem Zeitpunkt auf unsere Server übertragen. Es wird lediglich ein anonymer biometrischer Fingerabdruck (128-dimensionaler Merkmals-Vektor) übermittelt, der keine direkte Rückidentifikation ermöglicht.

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 9 Abs. 2 lit. a DSGVO. Der Merkmals-Vektor wird nach Abschluss der Suchanfrage nicht dauerhaft gespeichert.

2.2 Kauf von Fotos

Beim Kauf von Bildern verarbeiten wir deine E-Mail-Adresse (optional, für Bestellbestätigung und Download-Links), Zahlungsdaten (verarbeitet durch Mollie B.V. als Zahlungsdienstleister) sowie eine anonyme Session-ID. Rechtsgrundlage: Vertragserfüllung Art. 6 Abs. 1 lit. b DSGVO.

Download-Links sind zeitlich begrenzt (14 Tage) und werden danach automatisch deaktiviert. Bestelldaten werden für steuerliche Zwecke gemäß den gesetzlichen Aufbewahrungsfristen (§ 147 AO, max. 10 Jahre) gespeichert.

2.3 Fotografen-Accounts

Für registrierte Fotografen verarbeiten wir: Name, E-Mail-Adresse, Passwort (gehasht), optional Firmenname, Telefonnummer, Website, IBAN (verschlüsselt), Steuernummer sowie Upload-Metadaten der hochgeladenen Bilder. Rechtsgrundlage: Vertragserfüllung Art. 6 Abs. 1 lit. b DSGVO sowie berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO für Sicherheitsmaßnahmen (IP-Logging, Audit-Log).

Öffentlich sichtbare Fotografen-Daten: Kunden, die Galerien auf der Plattform aufrufen oder nach Fotos suchen, sehen folgende Informationen des jeweiligen Fotografen:

  • Name oder Firmenname (je nach Profileinstellung)
  • Durchschnittliche Bewertung und Anzahl der Bewertungen (sofern vorhanden)
  • Galerie-Informationen wie Titel, Aufnahmedatum und Aufnahmeort (soweit vom Fotografen angegeben)

Diese Daten werden auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeitet, da sie für die Nutzung der Plattform und die Kaufentscheidung der Kunden erforderlich sind. Fotografen können ihren Anzeigenamen sowie weitere Profilinformationen jederzeit in den Kontoeinstellungen anpassen.

2.4 Biometrische Gesichtsdaten

Auf hochgeladenen Fotos erkannte Gesichtsmerkmale (128-dimensionale Deskriptoren) werden gemäß Art. 9 DSGVO als besondere Kategorie personenbezogener Daten behandelt. Die Verarbeitung erfolgt auf Grundlage der ausdrücklichen Einwilligung der abgebildeten Personen, die vom jeweiligen Fotografen einzuholen ist (Art. 9 Abs. 2 lit. a DSGVO). Diese Daten werden für die Dauer der Galerie gespeichert und nach Ablauf der konfigurierten Aufbewahrungsfrist automatisch gelöscht. Fotografen können die Gesichtserkennung jederzeit für einzelne Galerien deaktivieren — dabei werden alle biometrischen Daten dieser Galerie unwiderruflich gelöscht.

2.5 Meldungssystem (Inhalte melden)

Nutzer können Galerien über das Meldeformular auf der Plattform zur inhaltlichen Überprüfung einreichen. Dabei werden folgende Daten verarbeitet:

  • Meldungsgrund (Pflichtangabe) sowie optionale Freitextbeschreibung
  • IP-Adresse des Melders (automatisch erfasst, zur Missbrauchsprävention)
  • E-Mail-Adresse des Melders (freiwillig) — wird ausschließlich zur Rückmeldung über das Ergebnis der Prüfung sowie bei etwaigen Rückfragen verwendet

Rechtsgrundlage: Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung der Plattform-Integrität und Einhaltung gesetzlicher Vorgaben). Meldungen und zugehörige Daten werden dauerhaft gespeichert, um die vollständige Bearbeitung, spätere Rückmeldungen sowie die Nachvollziehbarkeit von Moderationsentscheidungen zu gewährleisten. Auf Anfrage kann eine freiwillig angegebene E-Mail-Adresse gelöscht werden — wende dich dazu an: info@picoftheday.shop.

Fotografen werden über etwaige Konsequenzen (z. B. Entfernung einzelner Bilder, Löschung einer Galerie, Sperrung des Accounts) per E-Mail informiert. Die im Zuge einer Meldung ergriffenen Maßnahmen werden in einem Audit-Log protokolliert und für Nachweiszwecke aufbewahrt.

2.6 Bewertungssystem

Nutzer können Fotografen nach dem Betrachten von Galerien über das Bewertungsformular eine Bewertung abgeben. Dabei werden folgende Daten verarbeitet:

  • Bewertung (1–5 Sterne, Pflichtangabe) sowie optionaler Kommentar
  • IP-Adresse des Bewertenden (automatisch erfasst, zur Sicherstellung der Einmaligkeit der Bewertung je Fotograf und zur Missbrauchsprävention)

Eine E-Mail-Adresse ist für eine Bewertung nicht erforderlich. Die Bewertung wird öffentlich als Durchschnittswert neben dem Fotografen-Profil in den Suchergebnissen angezeigt; der Kommentar wird intern gespeichert, jedoch nicht öffentlich dargestellt.

Pro IP-Adresse und Fotograf ist nur eine Bewertung möglich — eine nachträgliche Änderung ist nicht vorgesehen. Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO (erteilt durch Bestätigung im Bewertungsformular). Die IP-Adresse wird ausschließlich zur Missbrauchsprävention gespeichert und nicht öffentlich angezeigt. Auf Anfrage kann eine Bewertung gelöscht werden — wende dich dazu an: info@picoftheday.shop.

2.7 Druckprodukte (Print-on-Demand)

Wenn du auf der Plattform ein Druckprodukt (z. B. Fotodruck, Tasse) bestellst, werden zur Auftragsabwicklung folgende Daten an unseren Druckdienstleister Printful Inc. übermittelt:

  • Vollständige Lieferadresse (Name, Straße, PLZ, Ort, Land)
  • E-Mail-Adresse (sofern angegeben, für Versandbenachrichtigungen durch Printful)
  • Das bestellte Foto in hochauflösender Originaldatei (temporär für die Produktion)

Rechtsgrundlage: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Die Übermittlung der Daten an Printful erfolgt auf Grundlage eines Datenverarbeitungsvertrags gemäß Art. 28 DSGVO. Printful verarbeitet die Daten zur Herstellung und zum Versand des Druckprodukts. Weitere Informationen zur Datenverarbeitung durch Printful findest du unter printful.com/policies/privacy.

Lieferadressen werden nach vollständiger Abwicklung der Bestellung für steuerliche Aufbewahrungsfristen von bis zu 10 Jahren aufbewahrt (§ 147 AO). Auf Anfrage kann die Löschung deiner Daten nach Ablauf der gesetzlichen Aufbewahrungspflichten beantragt werden.

2.8 Adressvervollständigung (Bestellprozess)

Wenn du im Bestellprozess eine Lieferadresse eingibst, wird zur Unterstützung eine optionale Adressvervollständigung angeboten. Dabei werden deine Eingaben (Straßenfragmente) an den Dienst Photon by Komoot (photon.komoot.io) übertragen, um passende Adressvorschläge zu liefern.

Photon ist ein Open-Source-Geocodierungsdienst, der von der Komoot GmbH (Deutschland) betrieben wird. Es werden keine personenbezogenen Daten dauerhaft gespeichert — ausschließlich der eingegebene Suchtext wird zur Adresssuche übermittelt. Die Adressvervollständigung ist optional; du kannst deine Adresse auch manuell eingeben.

Rechtsgrundlage: Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO (Verbesserung der Nutzererfahrung beim Bestellprozess). Serverstandort: EU. Weitere Informationen: photon.komoot.io.

2.9 Anmeldeverlauf (Fotografen-Konten)

Bei jeder erfolgreichen Anmeldung eines Fotografen speichern wir folgende Daten zur Sicherung des Kontos:

  • IP-Adresse der Anmeldung
  • Herkunftsland (aus IP-Adresse ermittelt, keine externer Dienst — lokal per GeoIP-Datenbank)
  • User-Agent (Browser/Gerät, gekürzt auf max. 255 Zeichen)
  • Zeitstempel der Anmeldung

Pro Konto werden die letzten 100 Anmeldungen gespeichert; ältere Einträge werden automatisch gelöscht. Fotografen können ihren Anmeldeverlauf jederzeit im Dashboard unter Sicherheit einsehen.

Rechtsgrundlage: Berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO (Kontosicherheit und Missbrauchserkennung). Es findet keine Weitergabe dieser Daten an Dritte statt. Auf Anfrage kann die Löschung aller Anmeldeeinträge beantragt werden — wende dich dazu an: info@picoftheday.shop.

3. Empfänger & Auftragsverarbeitung

Zur Bereitstellung der Plattform setzen wir folgende Dienstleister als Auftragsverarbeiter ein:

  • netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe — Serverhosting / Datenbankserver
  • Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen — Cloud-Infrastruktur / Datenspeicherung
  • Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA — CDN, DDoS-Schutz, DNS. Cloudflare ist durch einen Datenverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO gebunden. Bei der Nutzung des CDN können Anfragen über Server außerhalb der EU geleitet werden; Cloudflare verarbeitet dabei ausschließlich Verbindungsdaten (IP-Adressen, Anfrage-Metadaten).
  • Mollie B.V., Keizersgracht 126, Amsterdam, Niederlande — Zahlungsabwicklung
  • Printful Inc., 11025 Westlake Dr, Charlotte, NC 28273, USA — Druck und Versand von Druckprodukten (nur bei entsprechender Bestellung). Datenübertragung in die USA auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. DPA gemäß Art. 28 DSGVO vorhanden.
  • Komoot GmbH, Schönhauser Allee 10, 10119 Berlin — Adressvervollständigung via Photon (photon.komoot.io) im Bestellprozess. Nur Adresssuchabfragen werden übermittelt; keine dauerhaften personenbezogenen Daten gespeichert. Serverstandort: EU.

Mit allen Auftragsverarbeitern bestehen Datenverarbeitungsverträge gemäß Art. 28 DSGVO. Für netcup und Hetzner befinden sich alle Server-Standorte innerhalb der EU/EWR. Für Cloudflare, Inc. und Printful Inc. erfolgt die Datenübertragung in die USA auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

4. Cookies & Tracking

Wir verwenden folgende Cookies:

CookieZweckKategorieLaufzeit
next-auth.session-tokenAuthentifizierung (Fotografen-Login)NotwendigSession / 30 Tage
NEXT_LOCALESpracheinstellungFunktional1 Jahr
pot_sessionWarenkorb / anonyme SessionFunktional24 Stunden

Wir setzen keine Tracking- oder Werbe-Cookies ein. Es werden keine Daten an Dritte zu Werbezwecken weitergegeben.

5. Deine Rechte

Du hast das Recht auf:

  • Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Um deine Rechte wahrzunehmen, wende dich an: info@picoftheday.shop

6. Datensicherheit

Alle Datenübertragungen erfolgen verschlüsselt über HTTPS/TLS. Passwörter werden mit bcrypt (Kostenfaktor 12) gehasht. Zahlungsinformationen wie IBAN werden verschlüsselt gespeichert und nicht im Klartext übertragen. Wir setzen Maßnahmen nach dem Stand der Technik ein, um deine Daten zu schützen.

7. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies aufgrund geänderter gesetzlicher Lage oder Änderungen unserer Dienste erforderlich wird. Die jeweils aktuelle Version ist unter dieser URL abrufbar.