Phosel

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

Julian Radins
Smaragdweg 5
06120 Halle (Saale)
E-Mail: hallo@phosel.de
Website: phosel.de

2. Allgemeines zur Datenverarbeitung

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, BDSG, TDDDG). Phosel ist eine in Deutschland gehostete Plattform - alle Daten werden auf Servern in Deutschland gespeichert.

3. Hosting (Hetzner)

Diese Website und alle hochgeladenen Bilder werden auf Servern der Hetzner Online GmbH (Industriestraße 25, 91710 Gunzenhausen, Deutschland) in den Rechenzentrums-Standorten Nürnberg und Falkenstein sowie im Object-Storage Nürnberg betrieben. Es findet keine Übermittlung in Drittländer statt.

Der Server erhebt automatisch Informationen in Server-Logfiles (Browsertyp, Betriebssystem, Referrer-URL, IP-Adresse, Datum/Uhrzeit). Diese Daten werden nach statistischer Auswertung gelöscht.

Mit der Hetzner Online GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

4. Registrierung und Nutzerkonto

Bei der Registrierung erheben wir: Name, E-Mail-Adresse und ein Passwort. Das Passwort wird ausschließlich als kryptografischer Hash gespeichert (bcrypt). Optional können Sie einen Studionamen angeben.

Ihr Konto und alle damit verbundenen Daten (Projekte, Bilder, Einstellungen) können Sie jederzeit vollständig löschen unter Einstellungen → "Account löschen". Alle Daten werden dabei unwiderruflich entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Hochgeladene Inhalte (Bilder)

Fotografen und Kreative laden Bilder auf unsere Plattform hoch. Diese werden auf unseren Servern in Deutschland gespeichert und verarbeitet (Thumbnails, Previews). EXIF-Metadaten werden ausgelesen und gespeichert, um Funktionen wie Filterung, Sortierung und Galerie-Zeitstempel zu ermöglichen.

EXIF-Daten können personenbeziehbare Informationen enthalten - insbesondere Aufnahmeort (GPS-Koordinaten), Kamera-Seriennummer und Aufnahmezeitpunkt. Diese Daten werden mit dem zugehörigen Bild gespeichert, nicht öffentlich auf der Galerie-Übersicht angezeigt und beim Lösch- oder Archiv-Prozess des Bildes mitentfernt.

Rollenteilung: Der Fotograf ist datenschutzrechtlich Verantwortlicher für die hochgeladenen Bilder und die darauf abgebildeten Personen. Er ist verpflichtet, die erforderlichen Einwilligungen seiner Modelle einzuholen (z.B. über Modell-Release oder Auftragsvertrag mit dem Endkunden). Phosel verarbeitet diese Bilder ausschließlich im Auftrag des Fotografen als Auftragsverarbeiter im Sinne des Art. 28 DSGVO.

Hochgeladene Bilder werden nicht an Dritte weitergegeben. Sie sind nur über passwortgeschützte oder PIN-geschützte Galerie-Links zugänglich, die der Fotograf selbst teilt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit dem Fotografen) i.V.m. Art. 28 DSGVO (Auftragsverarbeitung).

6. Kundengalerien (Endkunden des Fotografen)

Wenn ein Endkunde (z.B. Hochzeitspaar) eine Galerie aufruft, erfassen wir: Name und optional E-Mail-Adresse (vom Endkunden freiwillig eingegeben), sowie die getroffene Bildauswahl, Bewertungen, Kommentare und Pin-Annotationen.

Rollenteilung: Auch hier ist der Fotograf datenschutzrechtlich Verantwortlicher für die Daten seiner Endkunden. Phosel verarbeitet diese Daten ausschließlich im Auftrag des Fotografen (Auftragsverarbeitung nach Art. 28 DSGVO) und verwendet sie nicht für eigene Zwecke. Auswertungen, Tracking oder Profilbildung finden nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag zwischen Fotograf und Endkunde) i.V.m. Art. 28 DSGVO (Auftragsverarbeitung durch Phosel).

7. Gesichtserkennung und biometrische Daten

Phosel bietet dem Fotografen optional zwei Funktionen, die mit Gesichtsmerkmalen arbeiten. Beide sind im Detail unten beschrieben.

Datenkategorie:Die zugrundeliegenden mathematischen Repräsentationen der Gesichter (sogenannte "Embeddings") sind biometrische Daten im Sinne des Art. 9 Abs. 1 DSGVO (besondere Kategorie personenbezogener Daten).

Rollenteilung: Der Fotograf ist datenschutzrechtlich Verantwortlicher für die hochgeladenen Bilder und die abgebildeten Personen. Er holt die Einwilligungen seiner Modelle ein (z.B. Modell-Release, Hochzeitsvertrag, Foto-Erlaubnis). Phosel verarbeitet die Daten ausschließlich im Auftrag des Fotografen als Auftragsverarbeiter (Art. 28 DSGVO).

(a) Cluster-Bildung pro Galerie: Aus den hochgeladenen Bildern berechnen wir Embeddings der erkannten Gesichter und gruppieren Bilder pro Person, damit der Fotograf seinen Endkunden gezielt nur die relevanten Bilder zeigen kann. Die Embeddings sind an die jeweilige Galerie gebunden und werden mit der Galerie automatisch gelöscht.

(b) Selfie-Suche durch den Endkunden: Endkunden können optional ein Selfie hochladen, um nur Bilder mit ihrem eigenen Gesicht zu finden. Vor dem Upload holen wir eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO über eine separate Checkbox ein. Das Selfie wird ausschließlich für die Suchanfrage im Arbeitsspeicher verarbeitet, nicht gespeichert und nach der Antwort sofort verworfen.

Rechtsgrundlage:
- für die Cluster-Bildung im Auftrag des Fotografen: Art. 28 DSGVO i.V.m. der Rechtsgrundlage des Fotografen gegenüber seinen abgebildeten Personen
- für die Selfie-Suche durch den Endkunden: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)

Speicherdauer: Embeddings der Cluster-Bildung leben nur so lange wie die Galerie selbst. Selfies werden nicht persistiert. Wenn der Fotograf sein Konto löscht, werden alle zugehörigen Embeddings entfernt.

Widerruf der Einwilligung: Endkunden können die Selfie-Suche jederzeit beenden. Da das Selfie nicht gespeichert wird, gibt es nichts, was nachträglich gelöscht werden müsste. Der Fotograf kann die Cluster-Funktion in den Galerie-Einstellungen deaktivieren.

8. Cookies

Phosel verwendet ausschließlich technisch notwendige Cookies:

  • authjs.session-token - Authentifizierung (Login-Session), 30 Tage
  • authjs.csrf-token - CSRF-Schutz, Session
  • cookie-consent - Speichert Cookie-Einwilligung, dauerhaft

Darüber hinaus setzen wir optional Google Analyticsein (siehe Abschnitt 8). Analyse-Cookies werden erst nach ausdrücklicher Einwilligung („Alle akzeptieren“) gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig); Art. 6 Abs. 1 lit. a DSGVO (Analyse-Cookies nach Einwilligung).

9. Webanalyse (Google Analytics)

Wir nutzen Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Analyse der Nutzung unserer Plattform. Google Analytics wird nur nach ausdrücklicher Einwilligung(„Alle akzeptieren“ im Cookie-Banner) aktiviert.

Wir setzen Google Analytics mit aktivierter IP-Anonymisierung (anonymize_ip) ein. Ihre IP-Adresse wird innerhalb der EU gekürzt, bevor sie an Google-Server übermittelt wird.

Verarbeitete Daten: Anonymisierte IP-Adresse, Seitenaufrufe, Verweildauer, Gerätetyp, Herkunftsland.
Speicherdauer: 14 Monate.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Drittland-Transfer: Anbieter ist die Google Ireland Limited. Eine Übermittlung in die USA an Google LLC ist nicht ausgeschlossen. Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Zusätzlich greifen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen oder im Footer auf "Cookie-Einstellungen" klicken. Weitere Informationen: Google Datenschutzerklärung

9a. Eingebettete Videos (YouTube)

Auf unserer Webseite binden wir Videos von YouTube (Google Ireland Limited) ein. Die Videos werden über den erweiterten Datenschutzmodus (youtube-nocookie.com) geladen. Dabei werden erst nach ausdrücklicher Interaktion (Klick auf den Play-Button) Daten an YouTube übermittelt.

Verarbeitete Daten: IP-Adresse, Geräteinformationen, Wiedergabedaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick).
Drittland-Transfer: wie bei Google Analytics beschrieben (DPF-Zertifizierung + Standardvertragsklauseln).
Weitere Informationen: Google Datenschutzerklärung

10. E-Mail-Versand (Brevo)

Für den Versand transaktionaler E-Mails (Passwort-Reset, E-Mail-Verifizierung, Benachrichtigungen) nutzen wir den Dienst Brevo (ehemals Sendinblue), Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Deutschland. Brevo erfüllt die Anforderungen der DSGVO.

Weitere Informationen: https://www.brevo.com/de/legal/privacypolicy/

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

11. Zahlungsabwicklung

Für kostenpflichtige Abonnements nutzen wir:

  • Stripe (Stripe Payments Europe, Ltd., Dublin, Irland) - Kreditkartenzahlung
  • PayPal (PayPal (Europe) S.à r.l. et Cie, Luxemburg) - PayPal-Zahlung

Zahlungsdaten (Kreditkartennummer, Bankdaten) werden ausschließlich von Stripe bzw. PayPal verarbeitet und nie auf unseren Servern gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

12. Rechnungsstellung (lexoffice)

Für die Rechnungserstellung nutzen wir lexoffice (Haufe-Lexware GmbH & Co. KG, Freiburg, Deutschland). Bei Abschluss eines kostenpflichtigen Abonnements werden Name und E-Mail-Adresse an lexoffice übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und gesetzliche Aufbewahrungspflichten).

13. Fehlerprotokollierung (Sentry)

Zur technischen Fehleranalyse und Stabilität unserer Plattform setzen wir Sentry ein. Anbieter für unseren EU-Account ist die Sentry GmbH (Deutschland). Die Verarbeitung erfolgt ausschließlich auf Sentry-Servern in der Europäischen Union (Region Frankfurt am Main).

Verarbeitete Daten: Server- und Browser-Fehler in Form von Stack-Traces, Fehlermeldungen, Browser- und Gerätetyp sowie der ungefähre Pfad der aufgerufenen Seite. Vor dem Versand an Sentry entfernen wir IP-Adressen, E-Mail-Adressen, Cookies, Authentifizierungs-Header und Query-Parameter aus den gemeldeten Ereignissen. Session-Aufzeichnungen (sogenannte Replays) sind deaktiviert, sodass keine Aufnahmen von Galerien oder Bedienoberflächen entstehen.

Browser-seitige Fehlermeldungen werden direkt an die EU-Server von Sentry gesendet. Da personenbezogene Daten (IP-Adresse, Cookies, Authentifizierungs- Header, Query-Parameter) bereits im Browser durch das SDK entfernt werden, gelangen keine identifizierenden Daten an Sentry.

Mit der Sentry GmbH besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren und fehlerfreien Betrieb der Plattform).
Speicherdauer: 30 Tage, anschließend automatische Löschung.
Weitere Informationen: Sentry Datenschutzerklärung

14. Schriftarten

Diese Website nutzt die Schriftart "Geist" von Vercel. Die Schriftart wird lokal auf unserem Server gehostet. Es findet keine Verbindung zu externen Servern statt.

15. Content Delivery Network (Bunny CDN)

Zur schnelleren Auslieferung von Bildern nutzen wir das Content Delivery Network von Bunny. Anbieter ist die BunnyWay d.o.o., Cesta v Kleče 19, 1000 Ljubljana, Slowenien (EU).

Beim Abruf eines Galerie-Bildes ueber unsere Sub-Domain cdn.phosel.de werden technische Daten (User-Agent, angefragte URL, Zeitstempel) an die naechstgelegene Bunny-Edge-Lokation in der Europaeischen Union uebermittelt. Die Auslieferung erfolgt ausschliesslich ueber Server-Standorte innerhalb der EU.

IP-Anonymisierung: Wir haben in den Bunny-Einstellungen die IP-Anonymisierung aktiviert. Vor der Speicherung in den CDN-Logs wird das letzte Oktett der IP-Adresse entfernt (z.B. wird aus 203.0.113.42 der Eintrag 203.0.113.0). Eine Rueckverfolgung auf einzelne Anschluesse ist damit ausgeschlossen.

Bunny speichert keine Cookies, legt keine Nutzerprofile an und leitet Logs nicht an externe Systeme weiter. Permanente Log-Archivierung ist deaktiviert; Logs werden nach drei Tagen automatisch geloescht.

Mit der BunnyWay d.o.o. besteht ein Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen, zuverlaessigen und bandbreitenoekonomischen Bildauslieferung).
Speicherdauer: CDN-Zugriffslogs maximal 3 Tage (mit gekuerzter IP), Bild-Caches nach Ablauf der Cache-Dauer.
Weitere Informationen: Bunny Datenschutzerklärung

16. Ihre Rechte

Ihnen stehen folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) - über die Account-Löschung in den Einstellungen jederzeit selbst durchführbar
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde: Landesbeauftragter für den Datenschutz Sachsen-Anhalt, Leiterstraße 9, 39104 Magdeburg

17. Datensicherheit

Unsere Website nutzt SSL-/TLS-Verschlüsselung. Alle Daten werden verschlüsselt übertragen. Passwörter werden ausschließlich als bcrypt-Hashes gespeichert.

18. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht.

Stand: Mai 2026