Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Michael Sieminski
c/o IP-Management #3642
Ludwig-Erhard-Str. 18
20459 Hamburg

E-Mail: office@leportra.de

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen des § 38 BDSG nicht vorliegen.

2. Überblick über die Datenverarbeitung

Auf unserer Website können Sie Fotos hochladen, um daraus mittels künstlicher Intelligenz ein Barock-Porträt erstellen zu lassen. Für die Vorschau ist keine Angabe personenbezogener Daten erforderlich. Erst wenn Sie ein Porträt bestellen möchten, erheben wir die für die Vertragsabwicklung notwendigen Daten (Name, Anschrift, E-Mail-Adresse). Die Bezahlung erfolgt über PayPal.

3. Hosting und Bereitstellung der Website

Unsere Website wird bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) gehostet. Sämtlicher Datenverkehr läuft über die Infrastruktur von Cloudflare. Dabei werden folgende Dienste genutzt:

• Cloudflare Workers – Serverlose Ausführungsumgebung für unsere Webanwendung
• Cloudflare D1 – Datenbank zur Speicherung von Bestell- und Kundendaten
• Cloudflare R2 – Objektspeicher für hochgeladene und generierte Bilder sowie Lieferscheine
• Cloudflare KV – Schlüssel-Wert-Speicher für die Ratenbegrenzung (speichert IP-Adressen temporär für max. 24 Stunden)

Beim Aufruf unserer Website werden automatisch durch den Webserver folgende Daten erhoben (sog. Server-Logdaten):

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit der Anfrage
• Angeforderte URL / Ressource
• HTTP-Statuscode
• Referrer-URL (zuvor besuchte Seite, sofern vom Browser übermittelt)
• Browsertyp und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und effizienten Bereitstellung der Website).

Drittlandtransfer: Cloudflare ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich gelten die Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als ergänzende Garantie. Die Zertifizierung kann unter dataprivacyframework.gov überprüft werden.

Auftragsverarbeitung: Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Weitere Informationen: Datenschutzerklärung von Cloudflare

4. Bildupload und KI-basierte Porträt-Erstellung

Wenn Sie ein Foto hochladen, wird dieses zur Erstellung einer Barock-Porträt-Vorschau verarbeitet. Dabei werden folgende Schritte durchgeführt:

1. Klassifizierung: Ihr Bild wird an den KI-Dienst Replicate, Inc. (San Francisco, USA) übermittelt, um die Bildkategorie (Einzelperson, Familie, Haustier) automatisch zu erkennen.
2. Porträt-Generierung: Auf Basis der Klassifizierung wird ein KI-Modell zur Erzeugung des Barock-Porträts eingesetzt. Primär wird hierfür Replicate, Inc. genutzt. Sollte dieser Dienst vorübergehend nicht verfügbar sein, wird als Ausweichdienst fal.ai (Fal, Inc.) (USA) eingesetzt.
3. Hochskalierung (nach Bestellung): Nach erfolgreicher Bezahlung wird das generierte Bild für den Druck in hoher Auflösung hochskaliert.

Art der verarbeiteten Daten

• Das von Ihnen hochgeladene Foto (kann Gesichter identifizierbarer Personen enthalten)
• Das KI-generierte Porträt-Bild

Hinweis zur biometrischen Verarbeitung

Die Fotos werden ausschließlich zur künstlerischen Stilumwandlung verwendet, nicht zur Identifizierung von Personen. Eine Verarbeitung biometrischer Daten im Sinne von Art. 9 DSGVO findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Durch das aktive Hochladen Ihres Fotos willigen Sie in die beschriebene Verarbeitung ein. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 13).

Empfänger: Replicate, Inc. (San Francisco, CA, USA) als Auftragsverarbeiter; im Ausweichfall Fal, Inc. (USA) als Auftragsverarbeiter.

Drittlandtransfer: Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Speicherdauer: Die hochgeladenen und generierten Bilder werden für die Dauer der Vertragsabwicklung gespeichert. Bei nicht bestellten Vorschauen werden die Bilder spätestens nach 30 Tagen gelöscht. Nach Auftragsabwicklung und Ablauf der Gewährleistungsfrist (24 Monate) werden die Bilder gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Bestellvorgang und Vertragsdaten

Wenn Sie eine Bestellung aufgeben, erheben wir folgende personenbezogene Daten:

• Vor- und Nachname
• Lieferanschrift (Straße, Hausnummer, Postleitzahl, Ort, Land)
• E-Mail-Adresse

Zusätzlich speichern wir:

• Bestellnummer und Kundennummer
• Bestellzeitpunkt und Zahlungszeitpunkt
• Bestellstatus und Zahlungsstatus
• PayPal-Transaktions-IDs (Bestell- und Erfassungs-ID)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Erhebung dieser Daten ist zur Durchführung des Kaufvertrags erforderlich. Ohne Angabe dieser Daten kann die Bestellung nicht bearbeitet werden.

Speicherdauer: Bestelldaten werden für die Dauer der Vertragsabwicklung und anschließend für 10 Jahre aufbewahrt, soweit dies zur Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten erforderlich ist (§ 257 HGB, § 147 AO).

6. Zahlungsabwicklung über PayPal

Für die Zahlungsabwicklung nutzen wir den Dienst PayPal (Europe) S.à r.l. et Cie, S.C.A. (22-24 Boulevard Royal, L-2449 Luxemburg). PayPal ist ein eigenständiger Verantwortlicher im Sinne der DSGVO und kein Auftragsverarbeiter.

Wenn Sie die Zahlungsmethode PayPal wählen, werden Sie auf die PayPal-Website bzw. in das PayPal-Zahlungsmodul weitergeleitet. Dort geben Sie Ihre Zahlungsdaten direkt bei PayPal ein. Wir erhalten von PayPal lediglich eine Bestätigung über die erfolgreiche Zahlung sowie eine Transaktions-ID. Ihre Kreditkarten- oder Bankdaten werden uns nicht übermittelt.

PayPal erhält von uns: Bestellbetrag, Währung und eine Referenz-ID.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandtransfer: PayPal kann Daten an verbundene Unternehmen in den USA übermitteln. PayPal ist unter dem EU-US Data Privacy Framework zertifiziert.

Weitere Informationen: Datenschutzerklärung von PayPal

7. E-Mail-Versand

Für den Versand transaktionaler E-Mails (Bestellbestätigung, Versandbenachrichtigung) nutzen wir den Dienst Resend (Plus Five Five, Inc., USA).

An Resend übermittelte Daten:

• E-Mail-Adresse
• Vor- und Nachname
• Bestellinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Versand von Bestell- und Versandbestätigungen ist für die Vertragsabwicklung erforderlich.

Auftragsverarbeitung: Mit Resend wurde ein AVV gemäß Art. 28 DSGVO geschlossen.

Drittlandtransfer: Resend ist unter dem EU-US Data Privacy Framework zertifiziert.

Weitere Informationen: Datenschutzerklärung von Resend

8. Ratenbegrenzung und IP-Adressen

Zum Schutz vor Missbrauch setzen wir eine Ratenbegrenzung für die Porträt-Generierung ein. Dabei wird Ihre IP-Adresse temporär in einem Schlüssel-Wert-Speicher (Cloudflare KV) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch und Überlastung unseres Dienstes).

Speicherdauer: Die IP-Adresse wird für maximal 24 Stunden gespeichert und anschließend automatisch gelöscht.

9. Webanalyse mit Plausible Analytics (selbst gehostet)

Zur Analyse der Nutzung unserer Website setzen wir Plausible Analytics ein. Plausible ist eine datenschutzfreundliche, quelloffene Webanalyse-Software, die wir auf einem eigenen Server betreiben. Es findet keine Datenübermittlung an Dritte statt.

Plausible erhebt keine personenbezogenen Daten und verwendet keine Cookies. Es werden keine individuellen Nutzerprofile erstellt. Die Analyse basiert auf aggregierten, anonymisierten Daten. Folgende nicht personenbezogene Informationen werden erfasst:

• Aufgerufene Seiten
• Verweisquelle (Referrer)
• Verwendeter Browser und Betriebssystem
• Gerätetyp (Desktop, Mobil, Tablet)
• Land des Zugriffs (ohne genauen Standort)

Plausible verwendet zur Zählung eindeutiger Besucher einen täglich rotierenden Hash aus IP-Adresse und User-Agent. Die IP-Adresse wird dabei zu keinem Zeitpunkt gespeichert oder protokolliert. Durch die tägliche Rotation ist eine Nachverfolgung über mehrere Tage hinweg nicht möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung der Websitenutzung zur Verbesserung unseres Angebots). Da Plausible keine Cookies setzt und keine personenbezogenen Daten verarbeitet, ist eine Einwilligung gemäß § 25 TDDDG nicht erforderlich.

Drittlandtransfer: Es findet kein Drittlandtransfer statt. Die Daten werden ausschließlich auf unserem eigenen Server in der EU verarbeitet.

Weitere Informationen zur Datenschutzfreundlichkeit von Plausible: Plausible Data Policy

10. Cookies und lokale Speicherung

Unsere Website verwendet keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies. Unser Webanalyse-Tool Plausible Analytics arbeitet vollständig ohne Cookies.

Technisch notwendige Cookies können durch den Zahlungsdienstleister PayPal im Rahmen des Bezahlvorgangs gesetzt werden. Diese sind für die Zahlungsabwicklung erforderlich und werden von PayPal in eigener Verantwortung gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Speicherung).

11. Schriftarten

Wir verwenden die Schriftarten „Playfair Display“ und „Cormorant Garamond“. Diese werden lokal auf unserem Server gehostet und nicht von externen Servern (wie z. B. Google Fonts) nachgeladen. Beim Aufruf unserer Website findet daher keine Datenübermittlung an Dritte durch das Laden von Schriftarten statt.

12. Empfänger und Weitergabe von Daten

Ihre personenbezogenen Daten werden nur weitergegeben, wenn dies für die Vertragserfüllung erforderlich ist oder eine Rechtsgrundlage vorliegt. Im Einzelnen:

13. Ihre Rechte als betroffene Person

Ihnen stehen folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten, einschließlich einer Kopie dieser Daten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Kontaktieren Sie uns hierfür unter office@leportra.de.

15. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie gemäß Art. 77 DSGVO das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die für uns zuständige Aufsichtsbehörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
datenschutzzentrum.de

16. Pflicht zur Bereitstellung von Daten

Die Bereitstellung Ihrer personenbezogenen Daten (Name, Anschrift, E-Mail-Adresse) ist für den Abschluss und die Durchführung des Kaufvertrags erforderlich. Ohne diese Daten können wir Ihre Bestellung nicht bearbeiten und das Porträt nicht an Sie versenden.

Das Hochladen eines Fotos für die kostenlose Vorschau ist freiwillig und erfordert keine weiteren personenbezogenen Angaben.

17. Automatisierte Entscheidungsfindung

Die KI-basierte Bildklassifizierung (Erkennung der Bildkategorie) dient ausschließlich der Auswahl des passenden Porträt-Stils und hat keine rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung für Sie. Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt.

18. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA. Soweit eine Datenübermittlung in die USA stattfindet, stützen wir uns auf folgende Garantien:

• Angemessenheitsbeschluss (Art. 45 DSGVO): Für unter dem EU-US Data Privacy Framework (DPF) zertifizierte Unternehmen liegt ein Angemessenheitsbeschluss der EU-Kommission vor (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023). Dies betrifft Cloudflare, PayPal und Resend.
• Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO): Für Dienstleister, die nicht unter dem DPF zertifiziert sind, setzen wir die von der EU-Kommission genehmigten Standardvertragsklauseln als Garantie ein. Dies betrifft insbesondere Replicate und Fal, Inc. (fal.ai).

Sollte der Angemessenheitsbeschluss für das EU-US Data Privacy Framework aufgehoben werden, werden wir auf Standardvertragsklauseln als alternatives Übermittlungsinstrument zurückgreifen.