FAQ Datenschutz – Bilderladen

Hier finden Sie Antworten auf häufig gestellte Fragen rund um den Datenschutz bei Bilderladen.

Ja. In vielen Fällen verarbeitet Bilderladen personenbezogene Daten im Auftrag des Fotografen, zum Beispiel Fotos, Zuordnungsdaten, Kundendaten und Bestelldaten. Dafür stellt Bilderladen eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO bereit. Die AVV beschreibt die Rollenverteilung zwischen Fotograf, Bilderladen und ggf. Schule oder Kita.

Bilderladen handelt im Rahmen der Plattform grundsätzlich als Auftragsverarbeiter oder, je nach Konstellation, als Unterauftragsverarbeiter. Der Fotograf bleibt je nach Auftragssituation Verantwortlicher oder handelt selbst als Auftragsverarbeiter gegenüber Schule, Kita oder Einrichtung.

Verarbeitet werden insbesondere Fotos, Zuordnungsdaten wie Klassen- und Gruppennamen, Namen, Kontaktdaten, Zahlungsinformationen sowie Nutzungs- und Bestelldaten im Online-Shop. Die Verarbeitung dient vor allem der Bereitstellung passwortgeschützter Online-Galerien, der Fotozuordnung, der Bestellabwicklung, dem Versand wichtiger E-Mails und dem Support.

Ja. Der reguläre Betrieb erfolgt innerhalb Deutschlands bzw. der EU. In der AVV ist geregelt, dass die Datenverarbeitung ausschließlich innerhalb Deutschlands, der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt. Eine Drittlandverarbeitung wäre nur unter Einhaltung der DSGVO-Voraussetzungen zulässig.

Bilderladen nutzt Microsoft Azure als Cloud-Infrastruktur. Der reguläre Betrieb erfolgt auf deutschen Servern in Frankfurt. Die TOMs beschreiben den Betrieb in professionell verwalteten Cloud-Umgebungen sowie zusätzliche SaaS- und Cloud-Sicherheitsmaßnahmen.

Für den Versand systembezogener E-Mails und Benachrichtigungen nutzt Bilderladen ebenfalls die Microsoft-Azure-Cloud-Infrastruktur. Der reguläre Betrieb erfolgt über deutsche Server in Frankfurt.

Fotos, Galerien und zugehörige Daten werden nur so lange gespeichert, wie sie für den jeweiligen Fotoauftrag, den Verkauf, Support und technische Abläufe erforderlich sind. Spätestens nach 9 Monaten werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Der Fotograf kann Galerien und Daten auch vorher selbst aktiv löschen.

Wenn eine Galerie gelöscht wird, werden die produktiv sichtbaren Daten aus dem System entfernt. Technisch notwendige Backups können noch für einen begrenzten Zeitraum bestehen bleiben, werden aber nicht aktiv genutzt und im Rahmen der Backup- und Löschprozesse gelöscht bzw. überschrieben. Spätestens nach 9 Monaten werden die betreffenden Daten vollständig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die TOMs sehen automatisierte Backups, Backup- und Wiederherstellungsverfahren sowie Lösch- und Aufbewahrungsprozesse vor.

Bilderladen setzt technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein. Dazu gehören unter anderem verschlüsselte Übertragung per HTTPS/TLS, sichere Upload-Mechanismen, rollenbasierte Zugriffe, Mandantentrennung, Protokollierung, Monitoring und Backups.

Nein. Bilderladen arbeitet mit einer logischen Trennung von Mandanten und Kundendaten. Die TOMs beschreiben ausdrücklich Mandantentrennung und logische Trennung innerhalb der Plattformarchitektur.

Der Zugriff erfolgt nur für berechtigte Personen nach dem Need-to-know-Prinzip. Administrative Zugriffe sind beschränkt und rollenbasiert geregelt. Die TOMs sehen individuelle Benutzerkonten, sichere Passwortanforderungen, MFA für privilegierte Zugriffe und eingeschränkte Zugriffe auf Produktivsysteme vor.

Ja. Bilderladen nutzt verschlüsselte Kommunikation über HTTPS/TLS, verschlüsselte administrative Zugriffe, sichere APIs und sichere Upload-Mechanismen für Dateien und Bilder.

Für Zahlungen setzt Bilderladen Mollie B.V. mit Sitz in Amsterdam ein. Mollie handelt bei der Zahlungsabwicklung als eigenständiger Verantwortlicher. Da Mollie in den Niederlanden sitzt, liegt keine Drittlandübermittlung vor.

Ja. Bilderladen dokumentiert eingesetzte Unterauftragsverarbeiter. Die AVV sieht vor, dass Unterauftragsverarbeiter aufgeführt und Änderungen entsprechend kommuniziert werden. Die TOMs sehen außerdem eine sorgfältige Auswahl und regelmäßige Prüfung von Dienstleisterbeziehungen vor.

Bilderladen informiert den Auftraggeber unverzüglich über Verletzungen des Schutzes personenbezogener Daten sowie begründete Verdachtsfälle. Die AVV enthält hierzu eigene Meldepflichten.

Hinweis: Diese FAQ dient der schnellen Orientierung. Maßgeblich sind die jeweils aktuelle Auftragsverarbeitungsvereinbarung, die technischen und organisatorischen Maßnahmen sowie die Liste der Unterauftragsverarbeiter von Bilderladen.

FAQ Datenschutz – Bilderladen

Brauche ich als Fotograf einen AV-Vertrag mit Bilderladen?

Welche Rolle hat Bilderladen datenschutzrechtlich?

Welche personenbezogenen Daten verarbeitet Bilderladen?

Werden Kinderfotos nur in Deutschland oder der EU verarbeitet?

Wo werden die Daten technisch gehostet?

Welcher E-Mail-/SMTP-Anbieter wird genutzt?

Wie lange bleiben Fotos und Galerien gespeichert?

Werden Daten komplett gelöscht, sobald ich eine Galerie lösche?

Wie schützt Bilderladen die Daten technisch?

Können Daten verschiedener Fotografen vermischt werden?

Wer hat Zugriff auf Kunden-, Bestell- und Bilddaten?

Werden Daten verschlüsselt übertragen?

Wie wird die Zahlungsabwicklung behandelt?

Gibt es eine Liste der Unterauftragsverarbeiter?

Was passiert bei Datenschutzvorfällen?