Zurück zur Startseite

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Agape GbR
Mirko Cavar, Simone Cavar
Grüner Weg 52
59379 Selm
E-Mail: [email protected]

2. Hosting & Infrastruktur

Diese Website wird auf Servern von Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) betrieben. Dabei werden Daten in die USA übermittelt. Grundlage für die Datenübermittlung ist der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF). Cloudflare ist unter dem DPF zertifiziert.

  • Cloudflare Workers — Ausführung der Anwendungslogik am Edge (nächstgelegener Server)
  • Cloudflare D1 — Datenbank-Speicherung (SQLite, repliziert innerhalb des Cloudflare-Netzwerks)
  • Cloudflare R2 — Speicherung von Bilddateien (S3-kompatibel, kein Egress-Pricing)

Beim Aufruf unserer Seiten werden automatisch technische Daten wie IP-Adresse, Browser-Typ, Referrer-URL und Zeitstempel von Cloudflare verarbeitet. Dies dient der Auslieferung der Website und dem Schutz vor Angriffen (berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden von Cloudflare automatisch nach 24 Stunden gelöscht.

3. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website unbedingt erforderlich sind. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 TDDDG).

Cookie Zweck Speicherdauer
sessionAdmin-Login (HttpOnly, Secure)7 Tage
visitor_sessionBesucher-Session für Favoriten, Kommentare und Proofing30 Tage
gallery_[id]Passwort-Zugang zu einer geschützten Galerie7 Tage
email_gate_[id]Nachweis der E-Mail-Registrierung für Galerie-Zugang30 Tage

Es werden keine Tracking-Cookies, keine Analyse-Tools (z. B. Google Analytics) und keine Drittanbieter-Cookies eingesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung) i. V. m. § 25 Abs. 2 TDDDG.

4. Registrierung & Nutzerkonto

Bei der Registrierung als Fotograf/Admin erheben wir:

  • E-Mail-Adresse (Pflicht)
  • Name (optional)
  • Studio-/Firmenname (optional)
  • Passwort (gespeichert als PBKDF2-SHA256-Hash mit 100.000 Iterationen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: bis zur Löschung des Accounts durch den Nutzer. Passwort-Reset-Tokens verfallen nach 1 Stunde.

5. Bildupload & Speicherung

Hochgeladene Bilder und Videos werden in Cloudflare R2 gespeichert. Es werden automatisch drei Versionen erstellt: Original, Web-optimiert und Thumbnail. Metadaten (Dateigröße, Auflösung, Dateiname) werden in der Datenbank gespeichert.

Speicherdauer: bis zur Löschung des Bildes oder der Galerie durch den Nutzer. Bei Löschung werden alle zugehörigen Dateien unwiderruflich aus R2 entfernt.

6. E-Mail-Versand

Wir nutzen Resend (Resend, Inc.) für den transaktionalen E-Mail-Versand. Folgende E-Mails werden versendet:

  • Willkommens-E-Mail nach Registrierung
  • Passwort-zurücksetzen-E-Mail
  • Galerie-Benachrichtigungen
  • Proofing-Benachrichtigungen

Dabei wird die E-Mail-Adresse des Empfängers an Resend übermittelt. Resend, Inc. sitzt in den USA. Grundlage für die Datenübermittlung ist der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF). Resend ist unter dem DPF zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

7. Zahlungsabwicklung

Für die Abwicklung von Pro-Abonnements nutzen wir Stripe (Stripe, Inc., 510 Townsend St, San Francisco, CA 94103, USA). Stripe ist unter dem EU-US Data Privacy Framework zertifiziert.

Bei der Zahlungsabwicklung werden Zahlungsdaten (Kreditkartennummer, Ablaufdatum etc.) direkt an Stripe übermittelt und nicht auf unseren Servern gespeichert. Wir speichern lediglich die Stripe Customer-ID zur Zuordnung des Abonnements.

Daten werden in die USA übermittelt. Grundlage: Angemessenheitsbeschluss der EU-Kommission (EU-US Data Privacy Framework). Stripe ist unter dem DPF zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer der Stripe Customer-ID: bis zur Account-Löschung; Abrechnungsdaten werden gemäß gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre) vorgehalten. Datenschutzerklärung von Stripe: stripe.com/de/privacy.

8. Galerie-Besucher

Beim Besuch einer Kundengalerie werden folgende Daten verarbeitet:

  • IP-Adresse (durch Cloudflare für Auslieferung und Sicherheit)
  • Session-Cookie für Favoritenfunktion
  • Optional: E-Mail-Adresse (bei aktiviertem E-Mail-Gate)
  • Optional: Favoriten-Markierungen und Proofing-Auswahl

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Galerie-Funktionen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei freiwilliger Eingabe der E-Mail-Adresse). Soweit die Verarbeitung auf Einwilligung beruht, haben Sie das Recht, diese jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3 DSGVO). Speicherdauer: Session-Cookies gemäß obiger Cookie-Tabelle; E-Mail-Adressen und Favoriten bis zur Löschung der Galerie oder des Fotografen-Accounts.

9. Aktivitäts-Protokollierung

Für Fotografen protokollieren wir Aktivitäten in ihren Galerien:

  • Zeitstempel des Zugriffs
  • Art der Aktivität (Registrierung, Download, Favorisierung)
  • E-Mail-Adresse (bei E-Mail-Gate-Registrierung)
  • Session-ID (anonymisiert)

Zweck: Nutzungsstatistik für Fotografen und Missbrauchserkennung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: bis zur Löschung der Galerie oder des Accounts. Empfänger: ausschließlich der jeweilige Fotograf (Admin der Galerie).

10. Betroffenenrechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten
  • Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten
  • Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter [email protected]. Sie haben zudem das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, E-Mail: [email protected].

11. Datensicherheit

Alle Datenübertragungen erfolgen verschlüsselt über HTTPS/TLS. Passwörter werden mit PBKDF2-SHA256 (100.000 Iterationen, zufälliger Salt) gehasht gespeichert. Stripe-Webhooks werden über HMAC-SHA256-Signaturprüfung verifiziert.

12. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.

13. Auftragsverarbeitung

Mit folgenden Diensten bestehen Auftragsverarbeitungsverträge (AVV):

  • Cloudflare — Hosting, CDN, Datenspeicherung
  • Stripe — Zahlungsabwicklung
  • Resend — E-Mail-Versand

Wenn Fotografen über Exposea personenbezogene Daten verarbeiten (z. B. Fotos von Personen, E-Mail-Adressen über das E-Mail-Gate), handelt Exposea als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag wird bei Registrierung bereitgestellt.