Datenschutz bei PhotoDeck
PhotoDeck Geschäft war schon immer darauf ausgerichtet, die Qualität der Produkte in den Mittelpunkt zu stellen, und zwar auf einer soliden ethischen Grundlage. Der tiefe Respekt vor und die Aufmerksamkeit für persönliche Daten sind Teil unserer DNA.
Wir sammeln nur so viele Daten, wie nötig sind, um 1) den von unseren Mitgliedern vertraglich vereinbarten Service zu erbringen, 2) den rechtmäßigen Betrieb unseres Unternehmens zu ermöglichen und 3) die Gesetze einzuhalten, denen wir unterliegen. Wir speichern so wenig personenbezogene Daten wie nötig, für eine begrenzte Dauer, und es käme natürlich nicht in Frage, die Daten unserer Benutzer außerhalb des oben beschriebenen Rahmens mit Dritten zu teilen.
PhotoDeck ist in der Europäischen Union ansässig und unterliegt den allgemeinen Datenschutzbestimmungen (DSGVO). Die Design-Entscheidungen der Plattform sowie die von uns zur Verfügung gestellten Tools helfen auch unseren Mitgliedern, die DSGVO zu erfüllen.
Wir unterscheiden die Daten der Websites unserer Mitglieder und Kunden von den Daten, die von PhotoDeck kontrolliert werden.
Daten in Bezug auf PhotoDeck-Mitglieder und -Besucher
PhotoDeck ist der Datenverantwortliche für die Daten unserer Mitglieder (Abonnenten) und Besucher.
Analyse des Website-Verkehrs und Daten von PhotoDeck-Besuchern
Wir verwenden die Matomo-Software, um den Verkehr und die Leistung unserer Website zu analysieren. Die Software ist restriktiv konfiguriert, um die Verwendung dauerhafter Cookies und die Aufzeichnung persönlich identifizierbarer Daten zu vermeiden. So werden beispielsweise die IP-Adressen der Besucher anonymisiert.
Persönliche Daten des PhotoDeck-Abonnenten
Darüber hinaus unterscheiden wir Daten, die wir gesetzlich mindestens 10 Jahre lang aufbewahren müssen: Datum der Kontoeröffnung und des Ablaufs, Datum der Vertragsannahme, Vor- und Nachname, E-Mail-Adressen, Sprache, Sicherheitsinformationen im Zusammenhang mit Logins (Datum und IP-Adresse, Login-Fehler), Bestellungen (einschließlich IP-Adresse), Mitgliedschaften, Rechnungen und finanzielle Transaktionen. Wir speichern auch die E-Mail-Korrespondenz mit unseren Mitgliedern und anderen Kontakten.
Andere Daten werden automatisch aus der operativen Datenbank gelöscht, wenn die Nachfrist (bis zu 2 Monate) nach der letzten Mitgliedschaft abläuft (Vertragskündigung): Passwort (verschlüsselt und gesalzen), Adressbuch, Zahlungsdetails und -präferenzen, Körbe, Referral-URLs und Kampagnen, Affiliate-Links…
Diese Daten werden auf Servern gespeichert, die sich in den OVH-Rechenzentren in Frankreich befinden, und sind teilweise für den/die Vertragspartner zugänglich, die wir für den technischen Support unserer Mitglieder einsetzen.
Newsletter
Gelegentlich versenden wir auch einen Email Newsletter an unsere aktuellen und ehemaligen Mitglieder sowie an andere Besucher, die sich für den Newsletter angemeldet haben. Hierfür benötigen und speichern wir eine ausdrückliche Einwilligung, die zeitlich unbegrenzt aufbewahrt wird, aber jederzeit widerrufbar ist (Abmeldung).
Nicht identifizierbare aggregierte Daten
Aggregierte Daten über den Dienst (z.B. Anzahl der Abonnenten, Nutzungsrate bestimmter Funktionen, etc…) werden erstellt und ohne zeitliche Begrenzung aufbewahrt, sind aber nicht mit identifizierbaren Personen verknüpft oder verknüpfbar.
Inhalte und Websites der Mitglieder, Daten der Kunden
Ein PhotoDeck-Mitglied ist für die Daten seiner eigenen (von PhotoDeck betriebenen) Website und für die Daten der Kunden dieser Website verantwortlich (Data Controller). PhotoDeck ist dann ein Unterauftragnehmer (Datenverarbeiter) im Sinne der DSGVO: Wir verarbeiten Daten im Namen und auf Anweisung des Mitglieds, und wir verwenden diese Daten nicht außerhalb des Rahmens der von diesem Mitglied in Auftrag gegebenen Dienstleistung.
Mit anderen Worten, die Daten der Website und der Kunden eines Mitglieds gehören ausschließlich dem Mitglied, das die volle Kontrolle darüber hat.
Zu diesen Daten gehören neben den Bildern/Videoclips des Mitglieds, den Einstellungen zur Individualisierung und Konfiguration der Website auch alle anderen personenbezogenen Daten, die über die von PhotoDeck bereitgestellten Tools gespeichert werden: z. B. die Anmeldedaten der Kunden, Warenkörbe, Auswahlen (Leuchtkästen), Bestellungen, auf der Website hinterlassene Kommentare, IP-Adresse, physische Adressen usw… Dazu gehören auch Gesichtserkennungsdaten für Dateien, die der Gesichtserkennung unterzogen wurden.
Diese Daten werden hauptsächlich auf Servern gespeichert, die sich in OVH-Rechenzentren in Frankreich befinden. Die von unseren Mitgliedern importierten Dateien sowie die statischen Code-Teile der Websites werden in der Amazon-Cloud gespeichert. Die Daten sind teilweise für den/die Auftragnehmer zugänglich, die wir für die technische Unterstützung unserer Mitglieder einsetzen.
Die Daten werden nur auf Anweisung des Mitglieds (z. B. Übermittlung von Bestelldaten an ein Labore zur Erfüllung oder Bilder, die zur Analyse an KI-Anbieter geschickt werden) an Dritte übermittelt, die nicht zu den von uns eingesetzten Subunternehmern gehören (und im Rahmen der DSGVO-Anforderungen).
Die Daten werden nach Ablauf der Nachfrist (bis zu 2 Monate) nach der letzten Mitgliedschaft (Kündigung des Vertrags) automatisch aus unserer operativen Datenbank gelöscht. Die hochgeladenen Bilder, Videoclips und Dokumente können für weitere 2 Monate aufbewahrt werden.
Daten der „Teammitglieder”
Ein PhotoDeck-Mitglied ist für die Daten der Teammitglieder, die er zu seinem Konto hinzufügt, verantwortlich (Datenverantwortlicher).
PhotoDeck ist dann ein Unterauftragnehmer (Datenverarbeiter) im Sinne der DSGVO: Wir verarbeiten Daten im Namen und auf Anweisung des Mitglieds, und wir verwenden diese Daten nicht außerhalb des Rahmens der von diesem Mitglied beauftragten Dienstleistung.
Bei den verarbeiteten personenbezogenen Daten handelt es sich um Vor- und Nachnamen, Email-Adressen, Adresse, verschlüsseltes und gesalzenes Passwort, letzte Verbindungsdaten, Anzahl der aufeinanderfolgenden fehlgeschlagenen Logins, IP-Adresse, Schnittstellenpräferenzen, etc.
Die Daten werden nach Ablauf der Karenzzeit (bis zu 2 Monate) nach der letzten Mitgliedschaft (Vertragskündigung) automatisch aus unserer operativen Datenbank gelöscht.
Unsere Verpflichtung gegenüber unseren Mitgliedern
- wir nutzen die Daten ihrer Kunden nicht zu unserem eigenen Vorteil und sammeln die Daten ihrer Kunden zu keinem anderen Zweck als dem unserer Mitglieder
- wir halten hohe Datensicherheitsstandards ein und informieren sie unverzüglich über jede festgestellte Datenverletzung
- wir informieren sie über jeden neuen Unterauftragnehmer, der ihre Daten verarbeiten könnte
- wir helfen ihnen durch Funktionen im PhotoDeck-Dienst, die geltenden Vorschriften, einschließlich der DSGVO, einzuhalten
Allgemeines Backup
Ein allgemeines Backup der Datenbank (mit Ausnahme der Dateien, die von unseren Mitgliedern hochgeladen wurden) wird jederzeit aufrechterhalten. Dieses allgemeine Backup ist ein Notfallplan für einen möglichen katastrophalen technischen Fehler, der die gesamte Datenbank betrifft, und soll auch dazu dienen, ein mögliches Problem zu analysieren und zu beheben, das sich im Laufe der Zeit in der Datenbank entwickelt. Da es sich um ein „Low-Level”-Backup handelt, sind die Daten in dieser Backup-Datei nicht direkt zugänglich oder verwendbar.
Jede Backup-Datei wird verschlüsselt, bevor sie in der Amazon S3 Cloud (Irland) gespeichert wird, und wird zwei Jahre lang aufbewahrt.
Unterauftragnehmer und Speicherort der Daten
Die Hauptdaten werden bei OVH (Frankreich) gespeichert.
Statische Dateien (von unseren Mitgliedern hochgeladene Dateien, allgemeine Backups, Dateien zur Zustellung von Bestellungen…) werden in der Amazon Cloud in Irland oder in den USA gespeichert, im Rahmen der DSGVO-Anforderungen, und/oder bei OVH.
Der technische Support für unsere Mitglieder kann von einem in Europa oder in den USA ansässigen Auftragnehmer geleistet werden.
Im Zusammenhang mit der Bezahlung von PhotoDeck-Diensten über einen dritten Zahlungsanbieter werden einige Daten im Rahmen der Umleitung auf die Website des Zahlungsanbieters an den Zahlungsanbieter übermittelt (z. B. Name, Rechnungsadresse).
Sicherheitsmaßnahmen
Der physische Zugang zu den Daten, zu den Servern und zu den Rechenzentren, in denen sie sich befinden, wird von OVH bzw. Amazon gewährleistet.
PhotoDeck gewährleistet die Sicherheit des Fernzugriffs durch Zugriffsbeschränkungen auf mehreren Software-Ebenen, die nach dem Prinzip „verboten, wenn nicht ausdrücklich erlaubt” funktionieren. Der administrative Zugang zu den Servern und der gesamten Datenbank ist auf ein absolutes Minimum beschränkt.
Die Verbindungen der Mitglieder und Administratoren zum Webdienst von außerhalb der Rechenzentren sind gesichert (SSL-Verschlüsselung). Die Verbindungen zu den Websites der Mitglieder sind ebenfalls mit SSL gesichert, wenn persönliche Daten übertragen werden (z. B. Checkout-Seiten, Login, …).
Die allgemeinen Backups werden verschlüsselt, bevor sie bei dem Cloud-Anbieter gespeichert werden, der die physische Sicherheit der verschlüsselten Dateien gewährleistet. Der Entschlüsselungsschlüssel wird separat und offline gespeichert.
Die Auftragnehmer, die die Mitglieder unterstützen, haben einen begrenzten Fernzugriff über eine mit individuellen Anmeldeinformationen gesicherte Webschnittstelle.
Sicherheitsupdates für Computersysteme werden so schnell wie möglich nach ihrer Freigabe durchgeführt, was durch die Überwachung spezieller Kommunikationskanäle erreicht wird.