Datenschutzhinweise

Für den Betrieb der Plattform grussalbum.de, insbesondere Konto, Eventanlage, Upload, Speicherung, technische Verarbeitung, Sicherheit, Einwilligungsnachweise, Support, Löschprozesse und Bestellabwicklung, ist Verantwortlicher im Sinne der DSGVO:

Eine Verpflichtung zur Benennung einer Datenschutzbeauftragten oder eines Datenschutzbeauftragten nach § 38 BDSG besteht derzeit nicht.

Jehweg – SaaS Studio ist eine Geschäftsbezeichnung des oben genannten Einzelunternehmers. Verantwortlicher im Sinne der DSGVO und Vertragspartner gegenüber Dienstleistern ist stets dieser Einzelunternehmer.

Gastgeberinnen und Gastgeber entscheiden über Anlass, Einladung der Gäste, Sichtung der Beiträge und eine etwaige weitere Nutzung außerhalb der Plattform. Für diese weitere Nutzung sind sie eigenständig verantwortlich. Soweit Grußalbum für Unternehmenskunden personenbezogene Daten ausschließlich weisungsgebunden verarbeitet, wird ergänzend ein Auftragsverarbeitungsvertrag geschlossen.

Grußalbum verarbeitet personenbezogene Daten ausschließlich für das jeweilige Event und die Vertragsabwicklung. Die folgenden Kategorien personenbezogener Daten können anfallen:

• Konto- und Vertragsdaten der Nutzer (E-Mail, Anzeigename, Rolle im Mandanten, Rechnungs- und Anschriftsdaten)
• Eventdaten (Eventtitel, Datum, Namen des Gastgeberkreises, gewählte Skin, Aufnahmezeitraum)
• Beitragsdaten der Gäste (Sprachaufnahme, optional Foto/Video, optionaler Anzeigename, Zeitstempel, Gerät-Metadaten)
• Login-Daten (Magic-Link-Token-Hash, Admin-Sitzung, Gäste-Sitzungskennung, Zeitstempel)
• Technische Logdaten (IP-Adresse zur Sicherheitsprüfung, Request-Metadaten, Fehlerprotokolle)
• Einwilligungsnachweise der Gäste (Hashes von IP/User-Agent, Zeitstempel, Version dieser Datenschutzhinweise)

Personenbezogene Daten werden grundsätzlich nicht an Dritte für Werbung, Profilbildung oder KI-Training weitergegeben. Für Betrieb, E-Mail-Versand, Zahlung und optionale Druckaufträge setzen wir jedoch sorgfältig ausgewählte Dienstleister ein. Diese handeln je nach Rolle als Auftragsverarbeiter nach Art. 28 DSGVO oder als eigene Verantwortliche, etwa bei Zahlungsdiensten.

Eine aktuelle Liste der eingesetzten Unterauftragsverarbeiter mit Datenkategorien, Region und Rechtsgrundlage finden Sie unter /subprozessoren.

Hauptdienstleister sind derzeit Hetzner (Hosting und Storage in Deutschland), IONOS (Domain und Mail-Routing in Deutschland) sowie Brevo (transaktionale E-Mails innerhalb der EU). Bei aktiviertem Self-Service-Checkout kommen Stripe und PayPal hinzu.

Druckdienstleister (Add-on-Dienst). Bei Bestellung eines gedruckten Erinnerungsbuchs werden die Druckdaten (PDF mit Fotos, transkribierten Audio-Beiträgen und Namen der Gäste) sowie die Lieferadresse an den jeweils eingesetzten Druckdienstleister übermittelt. Aktiver manueller Print-Fulfillment-Pfad ist derzeit Saal Digital; mit Saal liegt ein Auftragsverarbeitungs-Dokument (DPA/AVV) vor. Vor Weitergabe prüft der Anbieter die Druckdatei ausschließlich technisch, nicht redaktionell oder inhaltlich.

Optionaler späterer Peecho-Pfad. Peecho B.V. und CEWE Color bleiben als optionaler späterer API-Print-Pfad dokumentiert, sind aber nicht der aktive Launch-Pfad. Bis zum Vorliegen belastbarer Datenschutzunterlagen werden keine personenbezogenen Druckdaten an Peecho übermittelt. Falls Peecho später aktiviert wird, kann Peecho gemäß eigener Datenschutzerklärung weitere Sub-Dienstleister einsetzen, die teilweise auch außerhalb der EU/des EWR tätig sind; hierfür nutzt Peecho EU-Standardvertragsklauseln (SCC).

Eine Datenübermittlung an weitere Drittländer außerhalb der EU/des EWR findet im regulären Plattform-Betrieb (ohne Buch-Bestellung) nicht statt.

• Rohdaten (Audio, Foto, Video): automatische Löschung gemäß dem im Event hinterlegten Zeitraum (Standard: 30 Tage nach dem Event, paketabhängig verlängerbar).
• Album-Exporte (Deliverables): bis 90 Tage nach dem Event, paketabhängig verlängerbar.
• Konto- und Eventdaten: bis zur Löschung des Kontos durch den Nutzer.
• Rechnungs- und steuerlich relevante Unterlagen: 10 Jahre (§ 147 AO).
• Magic-Link-Token: 30 Minuten Gültigkeit; konsumierte Links werden nach längstens 30 Tagen gelöscht.
• Admin-Sitzungen: 30 Tage ab letzter Aktivität.
• Gäste-Sitzungskennung: bis zu 30 Tage; sie dient ausschließlich dazu, Upload-Limits je Gerät umzusetzen und Missbrauch zu begrenzen.
• Einwilligungsnachweise: solange das Beitragsmaterial vorgehalten wird, mindestens jedoch 3 Jahre zur Beweisführung.
• Server- und Sicherheitslogs: in der Regel bis zu 30 Tage; bei sicherheitsrelevanten Vorfällen länger, bis zur Aufklärung.
• Druckdaten beim Druckdienstleister (Add-on-Dienst): Druckdaten werden nur bei einer tatsächlichen Buch-Bestellung an den aktiven Druckdienstleister übermittelt. Löschanfragen zu Druckauftragsdaten leiten wir an den betroffenen Druckdienstleister weiter, soweit der Auftrag noch nicht technisch oder rechtlich abgeschlossen ist. Für den optionalen späteren Peecho-Pfad gilt zusätzlich: Peecho speichert Druckdaten nach eigenen Bedingungen zu Reprint- und Support-Zwecken ggf. länger als die Plattform selbst. Anfragen richten Sie an dsgvo@glaesker.com.

Server und Medien liegen bei Hetzner in Deutschland/EU. Für Domain- und E-Mail-Infrastruktur wird IONOS eingesetzt. Transaktionale E-Mails laufen über Brevo (ebenfalls EU). Im regulären Plattform-Betrieb (ohne Buch-Bestellung) verlassen keine Daten die EU.

Bei Bestellung eines gedruckten Erinnerungsbuchs werden die Druckdaten zusätzlich an den aktiven Druckdienstleister übermittelt; derzeit ist dies Saal Digital. Peecho B.V. (Niederlande) und CEWE Color (Deutschland) sind als optionaler späterer API-Print-Pfad dokumentiert, aber nicht der aktive Launch-Pfad. Details siehe Abschnitt 4 sowie unsere Liste der Unterauftragsverarbeiter.

Wir verwenden ausschließlich technisch notwendige Cookies und lokale Speicher:

• Admin-Sitzungscookie: ermöglicht den Login im Admin-Bereich (HttpOnly, SameSite=Lax, Laufzeit 30 Tage).
• Gäste-Sitzungscookie: speichert eine zufällig erzeugte Kennung für Upload-Limits und Missbrauchsschutz im Gäste-Flow (SameSite=Lax, Laufzeit 30 Tage, kein Tracking über andere Dienste).
• IndexedDB im Gäste-Browser: speichert noch nicht hochgeladene Aufnahmen lokal, damit sie bei Verbindungsabbruch erneut versandt werden können (automatische Löschung nach erfolgreicher Übertragung oder nach 48 Stunden).

Es findet kein Tracking, keine Reichweitenanalyse und keine werbliche Profilbildung statt. Eine Einwilligungspflicht nach § 25 Abs. 1 TDDDG besteht für diese Speicher nicht, da sie unbedingt erforderlich sind.

Eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne von Art. 22 DSGVO findet nicht statt. Insbesondere erfolgt kein Profiling der Gäste oder Nutzer und keine Inhaltsanalyse mit personenbezogener Wirkung.

Betroffene Personen können jederzeit folgende Rechte geltend machen:

• Auskunft nach Art. 15 DSGVO
• Berichtigung nach Art. 16 DSGVO
• Löschung nach Art. 17 DSGVO
• Einschränkung nach Art. 18 DSGVO
• Datenübertragbarkeit nach Art. 20 DSGVO
• Widerspruch nach Art. 21 DSGVO
• Widerruf einer erteilten Einwilligung nach Art. 7 Abs. 3 DSGVO mit Wirkung für die Zukunft

Anfragen werden innerhalb der gesetzlichen Frist von 30 Tagen bearbeitet. Zuständige Stelle: dsgvo@glaesker.com.

Wer über einen Event-Link Beiträge hinterlassen hat und diese löschen lassen möchte, kann sich an die obige E-Mail-Adresse oder an die Gastgeberinnen und Gastgeber wenden. Wir bearbeiten die Anfrage im Plattformbereich und koordinieren sie, soweit erforderlich, mit dem jeweiligen Gastgeberkreis.

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen:

Wir passen die Datenschutzhinweise an, wenn sich Rechtsgrundlagen, Verarbeitungen oder Unterauftragsverarbeiter ändern. Die jeweils aktuelle Fassung ist unter dieser Adresse abrufbar. Wesentliche Änderungen werden zusätzlich im Kundenkonto und per E-Mail kommuniziert.