Datenschutzerklärung
Informationen zur Verarbeitung Ihrer personenbezogenen Daten gemäß DSGVO, UK GDPR und (für Schweizer Besucher) revidiertem DSG.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des UK GDPR ist:
Qisses UG (haftungsbeschränkt)
Wilmersdorfer Str. 122-123
D-10627 Berlin
Deutschland
E-Mail: support@secretportrait.de
2. Datenschutzbeauftragter
Wir sind nach Art. 37 DSGVO und § 38 BDSG nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Unsere Verarbeitungstätigkeiten überschreiten die gesetzlichen Schwellenwerte nicht (keine umfangreiche regelmäßige und systematische Überwachung betroffener Personen, keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO zu Identifizierungszwecken — siehe hierzu Ziffer 6). Anfragen zum Datenschutz richten Sie bitte an die in Ziffer 1 genannte Anschrift.
3. Übersicht der Verarbeitungen
Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten, die Kategorien betroffener Personen und die Zwecke der Verarbeitung zusammen.
Arten der verarbeiteten Daten
- Inhaltsdaten (hochgeladene Fotos, generierte Portrait-Bilder)
- Bestandsdaten (Name, E-Mail-Adresse, Lieferanschrift bei Bestellung)
- Nutzungsdaten (besuchte Seiten, Klickpfade, Zugriffszeit, Generierungs-Ereignisse)
- Meta-/Kommunikationsdaten (IP-Adresse, User-Agent, Browser-Identifier)
- Zahlungsdaten (werden von Stripe verarbeitet; uns sind keine Kartennummern bekannt)
- Marketing-Daten (nur mit Ihrer Einwilligung: Cookie-Identifier für Meta Pixel, Spotify Pixel und Google Ads; Conversion-Events mit gehashter E-Mail-Adresse und IP-Adresse, die wir per Server-zu-Server-Schnittstelle an Meta und Spotify übermitteln)
Kategorien betroffener Personen
- Besucher unserer Websites
- Nutzer der Portrait-Erstellung (mit oder ohne anschließende Bestellung)
- Kunden (Personen, die eine kostenpflichtige Bestellung auslösen)
- Abonnenten des Portrait-Passes
- Auf hochgeladenen Fotos abgebildete Personen (müssen die nutzende Person selbst sein)
Zwecke der Verarbeitung
- Bereitstellung der Website und der Portrait-Erstellung
- Generierung personalisierter Aquarell-Portraits aus hochgeladenen Fotos
- Vertragserfüllung (Produktion, Versand, Kundenservice)
- Zahlungsabwicklung
- Betrieb des Portrait-Pass-Abonnements
- Sicherheit, Missbrauchsschutz und Rate-Limiting
- Altersverifikation zum Schutz Minderjähriger (Jugendschutz)
- Marketing-Messung und Remarketing (nur mit Einwilligung)
4. Maßgebliche Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen der DSGVO (und inhaltsgleich UK GDPR):
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG)
Für alle nicht zwingend erforderlichen Speicher- und Zugriffsvorgänge auf Ihrem Endgerät (Meta Pixel, Spotify Pixel, Google Ads) holen wir Ihre Einwilligung über unseren Cookie-Banner ein. Sie können diese jederzeit mit Wirkung für die Zukunft widerrufen.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung von Bestell-, Foto-, Zahlungs- und Versanddaten ist zur Erfüllung unseres Portrait-Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Steuer- und handelsrechtliche Vorschriften verpflichten uns, bestimmte Bestelldaten nach Vertragserfüllung aufzubewahren.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)
Für Server-Logfiles, Missbrauchs- und Bot-Schutz, Rate-Limits und unsere Selbstbedienungs-Löschfunktion stützen wir uns auf unser berechtigtes Interesse an einem stabilen, sicheren und missbrauchsfreien Dienst. Wir haben unsere Interessen gegen Ihre Rechte abgewogen und halten die Verarbeitung für verhältnismäßig.
5. Bereitstellung und Hosting
Webhosting
Unsere Website wird auf dedizierten Servern in der Europäischen Union gehostet. Bei jedem Aufruf der Website schreibt unser Server folgende Informationen automatisch in eine Logdatei:
- IP-Adresse
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seite (URL)
- HTTP-Statuscode und übertragene Datenmenge
- Referrer-URL
- Browser-Kennung (User-Agent), Betriebssystem
Zweck: Betrieb, Sicherheit und Stabilität der Website, Abwehr von Angriffen, Fehleranalyse.
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: Server-Logfiles werden maximal 14 Tage gespeichert und anschließend automatisch gelöscht oder anonymisiert. Im Falle eines dokumentierten Angriffs können einzelne Einträge bis zur Aufklärung des Vorfalls aufbewahrt werden.
6. Foto-Uploads und Bildverarbeitung
Zur Erstellung Ihres personalisierten Portrait-Kunstwerks laden Sie ein Foto hoch, das als Grundlage für die Bildverarbeitung dient.
Verarbeitete Daten
- Die hochgeladene Bilddatei (JPG, PNG, WebP)
- Metadaten der Datei (Dateiname, Größe, Format)
- Geometrische Gesichtsmerkmale, die unsere Bildverarbeitungs-Pipeline aus dem Foto ableitet (Position des Gesichts, Kopfform, Augenposition) — ausschließlich zu Zwecken der Bildsynthese
- Bestell-Metadaten (Zeitstempel, gewählter Stil und Ausrichtung, IP-Adresse, Browser-Kennung)
Keine biometrische Identifizierung in einer Datenbank
Die geometrischen Gesichtsmerkmale werden ausschließlich zur Erstellung Ihres Kunstwerks (Stilübertragung, Gesichtsplatzierung), zur Lebend-Prüfung und — falls Sie ein Lieblingsfoto hochladen — zu einem einmaligen 1:1-Abgleich dieses Fotos mit Ihrem Live-Selfie verwendet. Wir betreiben keine Gesichtserkennungs-Datenbank (keine 1:N-Identifizierung), legen keine dauerhafte Erkennungsvorlage an und gleichen Sie nicht mit anderen Personen oder anderen Bestellungen ab. Der genannte 1:1-Abgleich dient allein der Bestätigung, dass Sie selbst die abgebildete Person sind (Schutz vor dem Missbrauch fremder Fotos), und erfolgt zustandslos, ohne Speicherung eines biometrischen Templates. Soweit diese Gesichtsgeometrie biometrische Daten im Sinne von Art. 9 DSGVO darstellt, erfolgt die Verarbeitung ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), niemals zur Identifizierung in einer Datenbank.
Wichtiger Hinweis — Ihre Verantwortung
Bitte laden Sie ausschließlich Fotos hoch, auf denen Sie selbst abgebildet und volljährig sind. Das Hochladen von Fotos anderer Personen ist nicht gestattet.
Altersverifikation (Amazon Rekognition)
Unser Dienst ist ausschließlich für volljährige Personen bestimmt. Zum Schutz Minderjähriger prüfen wir jedes hochgeladene Foto unmittelbar nach dem Upload automatisiert auf das geschätzte Alter der abgebildeten Person, bevor eine weitere Verarbeitung erfolgt.
- Eingesetzter Dienst: Amazon Rekognition, ein Bildanalysedienst von Amazon Web Services. Vertragspartner ist die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Die Verarbeitung erfolgt ausschließlich in einem Rechenzentrum innerhalb der EU (Region Frankfurt am Main, „eu-central-1").
- Verarbeitete Daten / Ergebnis: Übermittelt wird das hochgeladene Foto; als Ergebnis erhalten wir eine geschätzte Altersspanne (kein exaktes Alter). Es wird keine Gesichtserkennungs- oder Vergleichsdatenbank angelegt; die genutzte Funktion dient allein der Altersschätzung, nicht der Identifizierung einer Person (siehe „Keine biometrische Identifizierung").
- Keine Nutzung zu Trainingszwecken: Über die AWS Organizations „AI services opt-out policy" haben wir verbindlich festgelegt, dass AWS die übermittelten Bilder nicht zur Entwicklung oder Verbesserung eigener KI-Modelle verwenden und nicht zu diesem Zweck speichern darf. Diese Einstellung gilt für sämtliche AWS-KI-Services.
- Automatisierte Ablehnung / Recht auf menschliche Überprüfung: Lässt sich anhand der Altersschätzung nicht hinreichend bestätigen, dass die abgebildete Person volljährig ist, wird der betreffende Upload automatisiert abgelehnt und kein Portrait erstellt. Die Ablehnung betrifft ausschließlich den jeweiligen Upload; sie führt zu keiner Konto- oder Gerätesperre und kann erneut versucht werden. Da automatisierte Altersschätzungen im Einzelfall fehlerbehaftet sein können, haben Sie das Recht auf eine Überprüfung durch einen Menschen: Halten Sie eine Ablehnung für unzutreffend, wenden Sie sich an support@secretportrait.de. Wir prüfen den Einzelfall persönlich anhand geeigneter Nachweise; zur Bestätigung der Volljährigkeit kann dabei die Vorlage eines amtlichen Altersnachweises (z. B. Ausweisdokument) erforderlich sein.
- Zweck: Schutz Minderjähriger (Jugendschutz) und Verhinderung einer rechtswidrigen Nutzung des Dienstes.
- Rechtsgrundlage: Berechtigtes Interesse an einem wirksamen Jugendschutz und an einer rechtskonformen Nutzung unseres Dienstes (Art. 6 Abs. 1 lit. f DSGVO); soweit gesetzliche Jugendschutzbestimmungen eine Alterskontrolle verlangen, zugleich rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
- Drittland: Die Verarbeitung findet im EU-Rechenzentrum Frankfurt statt; eine Übermittlung in ein Drittland ist hierfür nicht erforderlich. Mit Amazon Web Services besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der ergänzend die EU-Standardvertragsklauseln umfasst.
Identitäts- und Liveness-Prüfung (biometrische Verarbeitung)
Bevor ein Portrait erstellt wird, bitten wir Sie, ein kurzes Live-Selfie direkt über Ihre Gerätekamera aufzunehmen. Das dient zwei Zwecken: Es stellt sicher, dass nur Sie selbst ein Kunstwerk aus Ihrem Gesicht erstellen lassen können (Schutz vor dem Missbrauch fremder Fotos), und es wirkt als zusätzliche Absicherung des Minderjährigenschutzes. Diese Prüfung verarbeitet biometrische Daten.
- Eingesetzter Dienst: Amazon Rekognition Face Liveness, ein Dienst von Amazon Web Services. Vertragspartner ist die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Die Verarbeitung erfolgt ausschließlich in einem EU-Rechenzentrum (Region Irland, „eu-west-1").
- Verarbeitete Daten: Eine kurze Kamera-Sequenz wird direkt aus Ihrem Browser an den Dienst übertragen, der daraus Gesichtsbewegungen und -geometrie ableitet — ausschließlich um festzustellen, ob eine lebende Person anwesend ist („Liveness"). Wir erhalten einen Konfidenzwert und das beste Einzelbild („Referenzbild").
- Besondere Datenkategorie / Rechtsgrundlage: Dies stellt eine Verarbeitung biometrischer Daten im Sinne von Art. 9 Abs. 1 DSGVO dar. Rechtsgrundlage ist Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Sie vor Beginn der Prüfung erteilen, in Verbindung mit der Erfüllung unseres Vertrags (Art. 6 Abs. 1 lit. b DSGVO). Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen; ohne sie kann der Dienst nicht genutzt werden.
- Keine biometrische Identifizierung: Die Prüfung stellt ausschließlich fest, ob eine lebende Person anwesend ist — nicht, wer diese Person ist. Wir legen keine biometrische Erkennungsvorlage an und gleichen Sie nicht mit anderen Personen oder anderen Bestellungen ab.
- Verwendung des Referenzbilds: Das beste Einzelbild wird zum Quellfoto Ihres Portraits — dieselbe Rolle, die sonst ein hochgeladenes Foto hätte — und unterliegt derselben Speicherdauer wie Ihr Bestellfoto (siehe Tabelle unten). Zusätzliche biometrische Einzelbilder fordern wir nicht an und speichern wir nicht.
- Verifikationsnachweis: Als Nachweis, dass eine gültige Verifikation stattgefunden hat, speichern wir ausschließlich Metadaten — Sitzungskennung, den Liveness-Konfidenzwert, Zeitstempel, IP-Adresse und Land — getrennt und ohne jedes Bild, für maximal 3 Jahre (Verjährungsfristen).
- Keine Nutzung zu Trainingszwecken: Über die AWS „AI services opt-out policy" haben wir verbindlich festgelegt, dass AWS die übermittelten Daten nicht zur Entwicklung oder Verbesserung eigener KI-Modelle verwenden darf.
- Drittland: Die Verarbeitung findet im EU-Rechenzentrum Irland statt; eine Übermittlung in ein Drittland ist nicht erforderlich. Mit AWS besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, ergänzt um die EU-Standardvertragsklauseln.
Abgleich eines Lieblingsfotos (biometrischer 1:1-Abgleich)
Nach der Lebend-Prüfung können Sie optional ein Lieblingsfoto von sich hochladen, das als Quelle für Ihr Portrait dient. Wir gleichen es einmalig mit Ihrem Live-Selfie ab, um zu bestätigen, dass Sie es sind, und prüfen das Lieblingsfoto auf Volljährigkeit. Nur bei Übereinstimmung wird daraus ein Portrait erstellt.
- Eingesetzter Dienst: Amazon Rekognition (CompareFaces), ein Dienst der Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Die Verarbeitung erfolgt in einem EU-Rechenzentrum (Region Frankfurt, „eu-central-1").
- Verarbeitete Daten: Ihr Lieblingsfoto und Ihr Live-Selfie werden übermittelt und flüchtig verglichen; wir erhalten lediglich einen Ähnlichkeitswert. Es wird kein biometrisches Template gespeichert und keine Sammlung angelegt — der Dienst ist zustandslos. Es handelt sich um eine 1:1-Verifikation, nicht um eine Identifizierung gegen eine Datenbank.
- Besondere Datenkategorie / Rechtsgrundlage: Dies ist eine Verarbeitung biometrischer Daten im Sinne von Art. 9 Abs. 1 DSGVO. Rechtsgrundlage ist Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, in Verbindung mit der Erfüllung unseres Vertrags (Art. 6 Abs. 1 lit. b DSGVO). Sie können sie jederzeit mit Wirkung für die Zukunft widerrufen.
- Zweck: Schutz vor dem Missbrauch fremder Fotos (Einwilligung/Identität) und Minderjährigenschutz — das Lieblingsfoto wird zusätzlich auf Volljährigkeit geprüft.
- Speicherung: Während des Abgleichs werden beide Bilder nur flüchtig verarbeitet und in diesem Schritt nicht gespeichert. Erst wenn Sie ein Portrait erstellen lassen, wird das dafür verwendete Foto als Bestellfoto gespeichert und nach den allgemeinen Fristen gelöscht (10 Tage bei Nichtabschluss, 14 Tage nach Bezahlung für das Original). Generieren Sie aus dem Lieblingsfoto, speichern wir zusätzlich Ihr Live-Selfie zusammen mit der Bestellung — allein, damit ein Mitglied unseres Teams vor Auslieferung und Handveredelung Übereinstimmung und Volljährigkeit manuell prüfen kann — zu denselben Fristen, danach automatische Löschung. Generieren Sie aus dem Selfie, wird nur das Selfie (als Bestellfoto) gespeichert.
- Keine Nutzung zu Trainingszwecken: Über die AWS „AI services opt-out policy" haben wir verbindlich festgelegt, dass AWS die übermittelten Daten nicht zur Entwicklung oder Verbesserung eigener KI-Modelle verwenden darf. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, ergänzt um die EU-Standardvertragsklauseln.
Speicherdauer
| Szenario | Speicherdauer |
|---|---|
| Vorschau erstellt, keine Bestellung | 10 Tage, dann automatische Löschung des Bildes und aller technischen Metadaten |
| Selbstlöschung über die Löschseite | Bilddatei sofort gelöscht; technische Metadaten bis zum 10-Tage-Stichtag (Missbrauchs-Limits) |
| Nach Bezahlung — hochgeladenes Original-Foto | Löschung 14 Tage nach Bezahlung. Aufbewahrung in diesem Fenster für eventuelle Nachgenerierung bei Änderungswünschen („sieht nicht aus wie ich"). |
| Live-Selfie bei Nutzung eines Lieblingsfotos (Verifikations-Anker) | Speicherung zusammen mit dem Bestellfoto für die manuelle Match-/Alters-/Identitätsprüfung, Löschung nach denselben Fristen (10 Tage ohne Bestellung, 14 Tage nach Bezahlung), danach automatische Löschung. |
| Nach Bezahlung — generiertes Portrait, Mockups, HD-Druckdateien | Löschung 60 Tage nach Bezahlung. Deckt das übliche Reklamations- und Chargeback-Fenster ab. |
| Nach Bezahlung — IP-Adresse und Browser-Kennung | Löschung 90 Tage nach Bezahlung. Aufbewahrung für Fraud- und Chargeback-Verteidigung; Löschung sobald der Zweck wegfällt. |
| Nach Bezahlung — Rechnungsdaten (Name, Anschrift, Betrag, Zahlungsreferenz) | 10 Jahre ab Ende des Kalenderjahres (§ 147 AO, § 14b UStG, § 257 HGB — gesetzliche Aufbewahrungspflicht). |
| Datenbank-Backups (Supabase) | Rollierend 30 Tage. Falls eine Löschung erfolgt während eine Zeile noch in einem Backup liegt, wird die Löschung bei einem Restore automatisch erneut angewendet. |
Sie können Ihre Vorschauen jederzeit selbst über unsere Löschseite entfernen.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die eigentliche Bildverarbeitung; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für die 10-tägige Aufbewahrung nicht-bezahlter Vorschauen zum Missbrauchsschutz und zur Durchsetzung von Generierungs-Limits pro Nutzer.
7. KI-gestützte Bildverarbeitung
Hinweis zur KI-Nutzung
SecretPortrait nutzt externe KI-Bildverarbeitungsdienste, um aus Ihrem Foto ein Aquarell-Portrait zu erstellen. Hierzu übermitteln wir Ihr hochgeladenes Foto an spezialisierte KI-Anbieter.
Empfänger-Kategorien
Zur Generierung des Aquarell-Portraits nutzen wir Anbieter spezialisierter KI-Bildverarbeitungsdienste mit Sitz in den Vereinigten Staaten. Aus Wettbewerbsgründen nennen wir die einzelnen Anbieter hier nicht namentlich; auf Anfrage teilen wir Ihnen die jeweils aktuell genutzten Anbieter mit.
An die KI-Anbieter übermittelte Daten:
- Das hochgeladene Foto (Bilddatei)
- Die aus Ihrem Foto erzeugte Portrait-Referenz (zugeschnitten, hochskaliert)
- Gewählter Stil, Ausrichtung und technische Bildparameter
Kein Name, keine E-Mail, keine Anschrift — wir übermitteln keine identifizierenden Kontaktdaten zusammen mit dem Foto. Die KI-Anbieter erhalten nur die oben aufgeführten technischen Eingaben.
Hinweis zu den AGB der KI-Anbieter: Die KI-Anbieter verarbeiten die übermittelten Daten gemäß ihren eigenen AGB und Datenschutzrichtlinien, die unter Umständen eine aggregierte Nutzung zur Dienstverbesserung erlauben. Auf die Datenschutzrichtlinien der Anbieter haben wir keinen Einfluss und können eine eigenständige Garantie, dass Ihre Daten nicht zur Verbesserung allgemeiner KI-Modelle genutzt werden, nicht abgeben. Wenn Sie eine solche Nutzung vollständig ausschließen möchten, bitten wir Sie, keine Vorschau zu erstellen.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — die KI-Verarbeitung ist zur Erbringung des von Ihnen angefragten Portraits erforderlich.
Drittlandübermittlung: Siehe Ziffer 14. Für US-Anbieter stützen wir uns auf die EU-Standardvertragsklauseln (SCC) und — sofern einschlägig — auf eine Zertifizierung nach dem EU-US Data Privacy Framework (DPF).
8. Datenbank und Speicher
Supabase
Wir nutzen Supabase (Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992) als verwalteten Datenbank-Backend. Supabase verarbeitet in unserem Auftrag Bestelldaten (Konfiguration, Status), hochgeladene Fotos, generierte Portraits und IP-Adressen.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Drittlandübermittlung nach Singapur auf Grundlage der EU-Standardvertragsklauseln (SCC). Weitere Informationen: Supabase Datenschutzerklärung
Objektspeicher (Vorschau- und fertige Portraits)
Generierte Portrait-Bilder werden zusätzlich in einem global verteilten Cloud-Objektspeicher eines US-Anbieters abgelegt. Die Speicherung der Bilddateien ist technisch erforderlich, um die Vorschau in Ihrem Browser und die fertige Datei an die Druckproduktion auszuliefern.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Drittlandübermittlung auf Grundlage des EU-US Data Privacy Framework (DPF) und der EU-Standardvertragsklauseln (SCC).
Sichtbarkeit der Vorschau und Digital-Download-Link
Ihre Vorschau wird zu keinem Zeitpunkt öffentlich teilbar gemacht: Es gibt keinen öffentlichen oder teilbaren Link. Das Vorschaubild wird ausschließlich in Ihren Browser geladen und ist an Ihren lokalen Browser-Verlauf gebunden; Sie können es jederzeit selbst löschen (siehe Ziffer 19).
Bei Kauf eines digitalen Downloads hosten wir die fertige Datei und senden Ihnen einen persönlichen Download-Link per E-Mail. Dieser Link ist 10 Tage gültig und auf maximal 15 Downloads begrenzt; danach wird er deaktiviert. Sie können die Datei jederzeit selbst über den Button „endgültig löschen" auf der Download-Seite dauerhaft entfernen. Unabhängig vom Link unterliegt die zugrundeliegende Datei der 60-tägigen Aufbewahrung nach Kauf gemäß Ziffer 6.
9. Zahlungsabwicklung
Stripe
Zahlungen werden über Stripe abgewickelt (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland — für EU-Kunden; nachgelagert über Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA, im Rahmen der Kartennetzwerke).
An Stripe übermittelte Daten:
- E-Mail-Adresse
- Zahlungsdaten (werden direkt in Stripe-Formularen eingegeben)
- Kaufbetrag und Produktinformationen
- Lieferadresse
- IP-Adresse (zur Betrugsprävention durch Stripe)
Wichtig: Ihre vollständigen Kartendaten sehen oder speichern wir nicht. Diese werden ausschließlich von Stripe verarbeitet.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandübermittlung: Stripe ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Weitere Informationen: Stripe Datenschutzerklärung
10. Transaktions-E-Mails (Resend)
Für den Versand von Bestellbestätigungen, Versandbenachrichtigungen, Login-Links für den Portrait-Pass und sonstigen Transaktions-E-Mails nutzen wir Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA).
Übermittelte Daten: Empfänger-E-Mail-Adresse, Absender, Betreff, Inhalt der E-Mail, technische Metadaten zur Auslieferung (IP des Versand-Servers, Zeitstempel).
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Drittlandübermittlung: USA auf Grundlage der EU-Standardvertragsklauseln (SCC).
11. Cookies und lokale Speicherung
Wir nutzen sowohl technisch notwendige Cookies und Local-Storage-Einträge (immer aktiv) als auch — nur nach Ihrer Einwilligung im Cookie-Banner — Marketing-Cookies für Meta Pixel, Spotify Pixel und Google Ads. Letztere beschreiben wir ausführlich in Ziffer 12.
Technisch notwendige Einträge
| Name / Typ | Zweck | Dauer |
|---|---|---|
| sp_session (Cookie, httpOnly) | Login-Sitzung für den Portrait-Pass | 30 Tage |
| sp_visitor (Cookie) | Besucher-Identifier für Selbstlöschung (X) und Rate-Limits | 1 Jahr |
| sp_reorder (Cookie) | Wiedererkennung zahlender Kunden bei Folgebestellung | 1 Jahr |
| sp_cookie_consent (Local Storage) | Speichert Ihre Auswahl im Cookie-Banner | Bis Sie Browser-Daten löschen |
| sp_portrait_history (Local Storage) | Ermöglicht das Wiederöffnen Ihrer Vorschauen und die Lösch-Seite | 10 Tage |
| sp_gen_limit (Local Storage) | Zählt Ihre Vorschauen pro 24 h zur Durchsetzung der Missbrauchs-Limits | 24 Stunden |
Rechtsgrundlage: Technisch notwendige Einträge werden auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG und unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einem funktionierenden, sicheren und missbrauchsresistenten Dienst gespeichert.
12. Marketing und Reichweitenmessung
Zur Messung von Conversions und zur Auslieferung zielgerichteter Werbung nutzen wir die nachfolgend beschriebenen Marketing-Tools. Sie werden nur nach Ihrer Einwilligung im Cookie-Banner aktiviert. Ohne Einwilligung werden keine Marketing-Daten übermittelt; die zugrundeliegenden Skripte werden im deaktivierten Zustand geladen und setzen keine Marketing-Cookies. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — über den Link „Cookie-Einstellungen" im Seitenfuß, der den Auswahl-Dialog ebenso einfach erneut öffnet, wie Sie ihn ursprünglich erteilt haben. Auf Wunsch entfernen wir Ihre Daten zusätzlich aus den Marketing-Diensten; kontaktieren Sie uns dazu.
Meta Pixel + Conversions API
Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (Mutterunternehmen: Meta Platforms, Inc., 1601 Willow Road, Menlo Park, CA 94025, USA).
Zweck: Messung der Werbewirksamkeit auf Facebook und Instagram, Bildung von Zielgruppen (Custom Audiences), Conversion-Tracking, Remarketing.
Verarbeitete Daten:
- Cookie-Identifier (
_fbp,_fbc) — auf Ihrem Endgerät gesetzt - Pixel-Events (PageView, ViewContent, AddToCart, Purchase usw.)
- IP-Adresse, User-Agent, Referrer-URL
- Server-seitig über die Conversions API (CAPI): gehashte (SHA-256) E-Mail-Adresse, gehashter Vor-/Nachname, gehashte Stadt, gehashte Postleitzahl, gehashtes Land sowie IP und User-Agent — Übermittlung erfolgt direkt von Server zu Server
Gemeinsame Verantwortlichkeit: Für die mittels Pixel auf unserer Website erfassten Daten sind wir und Meta gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Die entsprechende Vereinbarung („Controller Addendum") wird von Meta bereitgestellt: facebook.com/legal/controller_addendum
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG).
Drittlandübermittlung: USA. Meta Platforms, Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
Weitere Informationen: Meta Privacy Policy
Spotify Pixel + Conversions API
Anbieter: Spotify AB, Regeringsgatan 19, 111 53 Stockholm, Schweden (Teil der Unternehmensgruppe Spotify Technology S.A., Luxemburg).
Zweck: Messung der Werbewirksamkeit auf Spotify, Conversion-Tracking, Bildung von Zielgruppen und Remarketing für Spotify-Ads-Kampagnen.
Verarbeitete Daten:
- Cookie-Identifier (
_spdt,_spdt_id) — auf Ihrem Endgerät gesetzt - Pixel-Events (view, lead, start checkout, purchase)
- IP-Adresse, User-Agent, Referrer-URL
- Server-seitig über die Conversions API (CAPI): gehashte (SHA-256) E-Mail-Adresse, IP-Adresse und User-Agent — Übermittlung erfolgt direkt von Server zu Server unter Nutzung einer gemeinsamen Event-ID zur Deduplikation mit dem Pixel
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG).
Drittlandübermittlung: Spotify AB ist in der EU ansässig; die Verarbeitung erfolgt vorrangig innerhalb des Europäischen Wirtschaftsraums. Im Rahmen der Spotify-Unternehmensgruppe können Daten auch an Spotify USA Inc. (USA) übermittelt werden. Spotify USA Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
Weitere Informationen: spotify.com/legal/privacy-policy
Google Ads (gtag.js)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA).
Zweck: Conversion-Tracking und Remarketing für Google-Ads-Kampagnen (Conversion-ID AW-18024793970).
Verarbeitete Daten: Cookie-Identifier (u.a. _gcl_au, _gcl_aw), Conversion-Events (Seitenaufruf, Kauf), IP-Adresse, User-Agent. Wir nutzen Google Consent Mode v2 — ohne Einwilligung läuft das gtag im verweigerten Modus und es werden keine Marketing-Cookies gesetzt.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG).
Drittlandübermittlung: USA. Google LLC ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.
Weitere Informationen: policies.google.com/privacy
13. Nutzerkonto / Portrait-Pass
Wenn Sie den Portrait-Pass (Abonnement) abschließen, verarbeiten wir folgende Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung):
- E-Mail-Adresse (als Nutzerkonto-Kennung und für Login-Links)
- Stripe-Kunden-ID und Abo-ID (für die Zahlungsabwicklung)
- Abo-Status und aktuelle Abrechnungsperiode
- HD-Download-Zähler (für das monatliche Kontingent)
- Letzter Login-Zeitpunkt und IP-Adresse
Bei Nutzung des Portrait-Passes wird ein technisch notwendiges Cookie (sp_session) gesetzt, das Ihre Anmeldung für 30 Tage aufrechterhält. Es ist httpOnly, wird nur verschlüsselt (Secure) übertragen und enthält ausschließlich einen zufälligen Session-Token — keine personenbezogenen Daten.
Speicherdauer: Die Kontodaten werden für die Dauer der Vertragslaufzeit gespeichert und anschließend für die gesetzlichen Aufbewahrungsfristen aufbewahrt (insbesondere bis zu 10 Jahre nach Steuer-/Handelsrecht). Danach erfolgt eine Löschung, sofern keine weiteren gesetzlichen Aufbewahrungsfristen entgegenstehen.
14. Übermittlungen in Drittländer
Einige der von uns eingesetzten Anbieter sitzen außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den Vereinigten Staaten und in Singapur. Wir übermitteln personenbezogene Daten an diese Drittländer auf folgenden Grundlagen:
- EU–US Data Privacy Framework (DPF) — für Empfänger in den USA, die nach dem DPF zertifiziert sind (u.a. Stripe, Meta, Google). Die EU-Kommission hat für diese Empfänger ein angemessenes Datenschutzniveau festgestellt (Angemessenheitsbeschluss vom 10. Juli 2023).
- Standardvertragsklauseln (SCC) — für Empfänger ohne DPF-Zertifizierung (u.a. Supabase in Singapur, Resend, unsere KI-Anbieter und der Objektspeicher-Anbieter) haben wir die Standardvertragsklauseln der EU-Kommission (Modul 2, Verantwortlicher-an-Auftragsverarbeiter) abgeschlossen und mit angemessenen technischen und organisatorischen Maßnahmen ergänzt.
- UK-Erweiterung — für die Übermittlung von Daten aus dem Vereinigten Königreich nutzen wir die UK-Erweiterung des DPF bzw. das UK International Data Transfer Agreement (IDTA), je nach Anwendbarkeit.
Trotz dieser Mechanismen weisen wir darauf hin, dass US-Behörden — insbesondere nach FISA 702 und Executive Order 12333 — grundsätzlich Auskunft über bei US-Anbietern liegende Daten verlangen können. Das DPF sieht ein Rechtsbehelfsverfahren vor (Data Protection Review Court). Auf Anfrage stellen wir Ihnen eine Kopie der einschlägigen SCC zur Verfügung.
15. Auftragsverarbeitung (Art. 28 DSGVO)
Mit allen externen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, haben wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Die Auftragsverarbeiter sind ausschließlich an unsere Weisungen gebunden und treffen angemessene technische und organisatorische Maßnahmen. Die Kategorien der eingesetzten Auftragsverarbeiter umfassen:
- Hosting- und Infrastruktur-Anbieter (Datenbank, Objektspeicher)
- KI-Bildverarbeitungs-Anbieter
- Altersverifikations-Anbieter (Amazon Web Services / Amazon Rekognition, Frankfurt)
- Identitäts-/Liveness-Prüfungs-Anbieter (Amazon Web Services / Amazon Rekognition Face Liveness, Irland)
- Zahlungsdienstleister (Stripe)
- Transaktions-E-Mail-Anbieter (Resend)
- Marketing-Dienstleister (Meta, Spotify, Google) — nur bei Einwilligung
Auf Anfrage stellen wir Ihnen eine Liste der aktuell eingesetzten Auftragsverarbeiter zur Verfügung.
16. Speicherdauer im Überblick
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logfiles | Max. 14 Tage |
| Fotos / Vorschauen ohne Bestellung | 10 Tage (automatische Löschung) oder früher auf Anfrage |
| Nach Kauf — hochgeladenes Original-Foto | 14 Tage |
| Nach Kauf — generiertes Portrait, Mockups, Druckdateien | 60 Tage (Reklamations-/Chargeback-Fenster) |
| Nach Kauf — IP-Adresse & Browser-Kennung | 90 Tage |
| Digital-Download-Link (bezahlte Digital-Bestellung) | 10 Tage / max. 15 Downloads, früher selbst löschbar |
| Bestell-Metadaten (rechnungsrelevant) | Bis zu 10 Jahre (steuer-/handelsrechtl. Aufbewahrungspflicht) |
| Auswahl im Cookie-Banner | Bis zur Löschung im Browser |
| Marketing-Cookies (bei Einwilligung) | Siehe Ziffer 12 (anbieterabhängig) |
| Portrait-Pass-Kontodaten | Vertragslaufzeit + gesetzl. Aufbewahrungsfristen |
17. Ihre Rechte als betroffene Person
Ihnen stehen nach der DSGVO folgende Rechte zu. Personen im Vereinigten Königreich haben dieselben Rechte nach UK GDPR; Personen in der Schweiz haben weitgehend gleichwertige Rechte nach dem revidierten Datenschutzgesetz (revDSG):
Auskunftsrecht (Art. 15 DSGVO)
Bestätigung, ob und welche Daten wir über Sie verarbeiten, sowie eine Kopie.
Recht auf Berichtigung (Art. 16 DSGVO)
Korrektur unrichtiger oder unvollständiger Daten.
Recht auf Löschung (Art. 17 DSGVO)
Löschung Ihrer Daten, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
Recht auf Einschränkung (Art. 18 DSGVO)
Einschränkung der Verarbeitung in den in Art. 18 genannten Fällen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
Widerspruchsrecht (Art. 21 DSGVO)
Widerspruch jederzeit gegen eine auf berechtigtem Interesse gestützte Verarbeitung, aus Gründen Ihrer besonderen Situation.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Widerruf einer Marketing-Einwilligung jederzeit mit Wirkung für die Zukunft.
Beschwerderecht (Art. 77 DSGVO)
Sie können sich bei einer Aufsichtsbehörde beschweren. In Deutschland ist dies in der Regel die Aufsichtsbehörde Ihres Bundeslandes; für unseren Unternehmenssitz (Berlin) ist dies die Berliner Beauftragte für Datenschutz und Informationsfreiheit. UK-Bürger können sich an das ICO wenden (ico.org.uk); irische Bürger an die DPC (dataprotection.ie).
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter: support@secretportrait.de. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO); diese kann sich in komplexen Fällen um weitere zwei Monate verlängern.
18. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen.
Unsere Sicherheitsmaßnahmen umfassen u.a.:
- TLS-Verschlüsselung (HTTPS) für alle Übertragungen zwischen Ihrem Endgerät und unseren Servern
- Verschlüsselte Speicherung sensibler Daten
- Strikte Zugriffsbeschränkungen (rollenbasiert, mit Audit-Log) für personenbezogene Daten
- Regelmäßige Sicherheitsupdates unseres Software-Stacks
- Zwei-Faktor-Authentifizierung im Administrationsbereich
- Bot-Erkennung, IP-basierte Rate-Limits und Sperrung von Probe-Pfaden
19. Löschung Ihrer Daten
Sie können Ihre Vorschauen jederzeit selbst auf unserer Lösch-Seite entfernen — die Bilddatei wird damit direkt von unseren Servern gelöscht (das X dort ist eine Selbstbedienungs-Ausübung Ihres Rechts auf Löschung nach Art. 17 DSGVO; technische Metadaten werden zum Missbrauchsschutz bis zur 10-Tage-Frist gespeichert).
Für alle übrigen Daten — insbesondere Bestelldaten, Kontodaten, Logfiles — schreiben Sie uns bitte an support@secretportrait.de. Wir löschen Ihre personenbezogenen Daten innerhalb der gesetzlichen Frist von einem Monat, sofern keine gesetzlichen Aufbewahrungspflichten (insbesondere steuer- und handelsrechtlicher Art) entgegenstehen. In diesem Fall schränken wir die betroffenen Daten stattdessen ein.
20. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich unsere Verarbeitungstätigkeiten oder die rechtlichen Anforderungen ändern. Für Ihren Besuch gilt jeweils die aktuelle Fassung. Das Datum der letzten Aktualisierung finden Sie unten.
Stand: Mai 2026