Konfettifotos Logo lebendige Kitafotos moderne Schulfotos

impressum & datenschutz

Impressum

Konfettifotos®
Inhaberin: Lisa Bössen
Am Lenkert 42, 53177 Bonn, Deutschland
Telefon: 0228 / 92963299
E‑Mail: [email protected]

USt-IdNr.: DE413640980
Markenhinweis: „Konfettifotos“ ist als Marke eingetragen (Registernummer 30 2019 233 947).

Inhaltlich verantwortlich gem. § 18 Abs. 2 MStV: Lisa Bössen, Anschrift wie oben.

Berufshaftpflichtversicherung
Aachen Münchener (Kundenservice‑Direktion Köln), 50411 Köln.
Geltungsraum: Deutschland, europäische Staaten.

Online-Streitbeilegung & Verbraucherstreitbeilegung
Plattform der EU-Kommission zur Online-Streitbeilegung (OS): https://ec.europa.eu/consumers/odr
Wir sind nicht bereit und nicht verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§ 36 VSBG).

Datenschutzerklärung

Stand: 21.01.2026

Diese Erklärung informiert Sie über die Verarbeitung personenbezogener Daten durch Konfettifotos, Inhaberin Lisa Bössen (nachfolgend: „wir“).

  1. Verantwortliche Stelle

Lisa Bössen, Am Lenkert 42, 53177 Bonn
Telefon: 0228 / 92963299
E‑Mail: [email protected]

  1. Datenschutzbeauftragte/r

Ein/e Datenschutzbeauftragte/r ist nicht benannt, da keine gesetzliche Pflicht besteht. Ansprechpartnerin zu Datenschutzthemen: Lisa Bössen (Kontaktdaten wie oben).

  1. Zwecke, Datenkategorien, Rechtsgrundlagen

3.1 Fotoaktionen in Kitas & Schulen (Einzel- und Gruppenfotos)

Daten: Digitale Fotografien (Bildnisse) des Kindes; Zuordnung über Name, Gruppe/Klasse und individuellen Code (z. B. QR‑Code).
Zwecke: Erstellung, Auswahl, Bereitstellung in einer passwortgeschützten, nicht öffentlich auffindbaren Online‑Galerie, Verkauf von Dateien/Prints, Produktion & Versand, Kundenservice.
Rechtsgrundlagen:

  • Einzelfotos & Gruppenfotos von Kindern: Einwilligung der Erziehungsberechtigten (Art. 6 Abs. 1 lit. a DSGVO). Die Teilnahme an Gruppenfotos ist freiwillig; ein Opt‑out vor der Aufnahme ist jederzeit möglich (z. B. alternative Aufstellung).
  • Bestellungen/Versand/Zahlung: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.
  • Rechnungswesen/Aufbewahrungspflichten: Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO.

Hinweise zu Kindern: Wir setzen keine biometrischen Verfahren zur Identifizierung ein. (Allgemein sind Fotos biometrisch auswertbar; eine solche Nutzung findet durch uns nicht statt.) Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Kontaktabzüge (Vorschaubilder) & Ausgabe über die Kita/Schule
Nach dem Fototermin erstellen wir für teilnehmende Kinder Kontaktabzüge (kleine Vorschaubilder in geringer Auflösung) mit QR-Code/Link und persönlichem Code zur Zuordnung des Fotoprojekts. Der Code allein ermöglicht keinen Zugriff auf Fotos. Der Zugriff auf die Galerie erfolgt ausschließlich über ein App-Profil (Login per Magic-Link an die angegebene E-Mail-Adresse) und ist zusätzlich gerätegebunden (Magic-Link nur auf dem Gerät nutzbar, auf dem der Login gestartet wurde).
Empfänger: Die Kita/Schule erhält die Kontaktabzüge nur zur Ausgabe an die jeweiligen Eltern/Erziehungsberechtigten; eine eigene Nutzung (z. B. Aushang/Veröffentlichung) ist nicht vorgesehen.
Zweck/Rechtsgrundlage: Ausgabe der Zugangsinformationen und Bestellabwicklung (Art. 6 Abs. 1 lit. a; soweit erforderlich lit. b und lit. f DSGVO).

Speicherdauer: Nach Abschluss der Ausgabe/Bestellphase bzw. gemäß unseren Löschfristen für Fotoprojekte.

3.2 Website, Kommunikation, Sicherheit

Daten: Server‑Logfiles, IP‑Adresse, Zeitstempel, User‑Agent; Inhalte aus Kontaktformularen/E‑Mails/Telefonaten.
Zwecke: Betrieb & Sicherheit der Website, Beantwortung von Anfragen.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sicherer, funktionierender Webauftritt), ggf. lit. b (vorvertragliche Kommunikation).

Anzeige von Gruppen-/Klassenfotos in der geschützten Galerie
In der passwortgeschützten Galerie der jeweiligen Gruppe/Klasse wird das Gruppen-/Klassenfoto den Eltern/Erziehungsberechtigten der Gruppe zur Ansicht und Bestellung angezeigt. Dies kann auch Eltern angezeigt werden, deren Kind nicht auf dem Gruppenfoto abgebildet ist, sofern sie dem Projekt dieser Gruppe zugeordnet sind. Der Zugriff ist technisch beschränkt (App-Profil, Login per Magic-Link, zusätzliche Gerätebindung) und nicht öffentlich. Eine Nutzung außerhalb des privaten Zwecks (z. B. Weitergabe/Veröffentlichung) ist nicht vorgesehen.

3.3 Cookies & vergleichbare Technologien

Für nicht technisch notwendige Cookies/Tools (z. B. Analytics, Marketing) holen wir Ihre Einwilligung gem. § 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO ein. Technisch notwendige Cookies setzen wir auf Basis von § 25 Abs. 2 TTDSG (kein Opt‑in). Einwilligungen sind jederzeit im Consent‑Banner widerrufbar.

3.4 Newsletter

Daten: E‑Mail‑Adresse, ggf. Name; Tracking (Öffnungen/Klicks) nur bei Einwilligung. Ohne Einwilligung wird kein Tracking‑Pixel geladen.
Zweck/Rechtsgrundlage: Versand und Erfolgsanalyse mit Einwilligung, Art. 6 Abs. 1 lit. a DSGVO; Abmeldung jederzeit möglich.

3.5 Bewerbungen

Daten: Stammdaten, Kontaktdaten, Unterlagen, Notizen.
Zweck/Rechtsgrundlagen: Entscheidung über Begründung eines Beschäftigungsverhältnisses, § 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO; bei Einwilligungen Art. 6 Abs. 1 lit. a DSGVO.

  1. Empfänger & Auftragsverarbeiter (Auszug)

Wir setzen Dienstleister auf Basis von Art. 28 DSGVO ein. Mit allen freiberuflichen Fotograf*innen und mit Saal Digital bestehen AV‑Verträge (weisungsgebundene Verarbeitung, Eigennutzung ausgeschlossen; Portfolio‑Nutzung nur bei gesonderter Einwilligung der Erziehungsberechtigten/Einrichtung). Eine Auswahl:

Kategorie

Empfänger

Sitz

Zweck

Rechtsgrundlage

Übermittlungsrahmen

Hosting (Website)

Flamur Veliqi (weektab.org)

EU/EWR

Hosting & Betrieb der Website

Art. 6 Abs. 1 lit. f

EU/EWR

Hosting (Web-App)

Vercel (Vercel Inc.)

USA / global

Hosting & Auslieferung der Web-App

Art. 6 Abs. 1 lit. f

Globales Netzwerk; Drittlandübermittlungen möglich → DPA/SCC/DPF (je nach Konfiguration/Vertrag)

CDN / Security

Cloudflare (Cloudflare, Inc.)

USA / global

CDN, DNS, DDoS-Schutz/WAF, Performance & Sicherheit

Art. 6 Abs. 1 lit. f

Globales Netzwerk; Drittlandübermittlungen möglich → DPA/SCC/DPF (je nach Konfiguration/Vertrag)

Backend / Datenbank / Storage

Supabase (Supabase, Inc.)

EU (Frankfurt)

Datenbank, Auth, Storage für Plattform/Web-App

Art. 6 Abs. 1 lit. b/f, Art. 28

EU/EWR (Region Frankfurt); ggf. Drittlandübermittlungen z. B. bei Support/Subprozessoren → DPA/SCC

Online-Shop & Fotolabor

Saal Digital Fotoservice GmbH

DE

Galerie-Betrieb, Produktion, Versand

Art. 6 Abs. 1 lit. b/f, Art. 28

EU/EWR

Fotograf*innen

Freiberufliche Fotograf*innen (AVV)

DE/EU

Durchführung vor Ort

Art. 28

EU/EWR

CRM

Zoho CRM (Zoho Corp.)

IN/EU

Kundenverwaltung

Art. 6 Abs. 1 lit. b/f, Art. 28

SCC + TIA + technische/organisatorische Zusatzmaßnahmen

Fehlertracking / Monitoring

Sentry (Functional Software, Inc.)

USA / EU möglich

Fehleranalyse, Stabilität, Performance-Monitoring

Art. 6 Abs. 1 lit. f, ggf. Art. 28

Je nach Einstellung EU-Region möglich; ansonsten Drittland → DPA/SCC

Newsletter

MailPoet (Aut O’Mattic / A8C Ireland Ltd.)

IE/USA

Versand & Analyse

Art. 6 Abs. 1 lit. a

EU-US DPF

Analytics (optional)

Google Analytics

IE/USA

Nutzungsanalyse

Art. 6 Abs. 1 lit. a

EU-US DPF

Marketing / Ads (optional)

Google Ads (AdWords) (Google Ireland Ltd. / Google LLC)

IE/USA

Anzeigen, Conversion-Messung

Art. 6 Abs. 1 lit. a

EU-US DPF (und ggf. SCC/zusätzliche Garantien je nach Setup)

 

 

Zahlungsdienstleister (bei Bestellungen)

Anbieter

Sitz

Zweck

Rechtsgrundlage

Transfermechanismus

PayPal (Europe) S.à r.l. et Cie, S.C.A.

LU

Zahlungsabwicklung

Art. 6 Abs. 1 lit. b

ggf. Übermittlungen an US‑Einheiten: DPF oder SCC

Stripe Payments Europe Ltd.

IE

Zahlungsabwicklung

Art. 6 Abs. 1 lit. b

konzerninterne US‑Übermittlungen: DPF (Stripe, Inc.) oder SCC

Apple Pay (Apple Inc.)

US

Zahlungsabwicklung

Art. 6 Abs. 1 lit. b

SCC (DPF‑Status wird regelmäßig geprüft)

Google Pay (Google Ireland Ltd./Google LLC)

IE/US

Zahlungsabwicklung

Art. 6 Abs. 1 lit. b

DPF (Google LLC, US)

Visa Europe / Mastercard Europe

EU

Kartenabwicklung

Art. 6 Abs. 1 lit. b

konzernweite Datenflüsse: DPF oder SCC

Hinweis: Zertifizierungen und Transfermechanismen werden dienstespezifisch dokumentiert und regelmäßig überprüft.

  1. Drittlandübermittlungen

Sofern Daten in Drittstaaten (insb. USA/Indien) verarbeitet werden, erfolgt dies auf Basis eines Angemessenheitsbeschlusses (EU‑US DPF) oder von Standardvertragsklauseln (SCC) plus ergänzender Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung, Zugriffs‑/Speicherbeschränkungen) nach erfolgter Transfer‑Impact‑Assessment (TIA). Unsere TIAs werden dokumentiert und turnusmäßig aktualisiert.

  1. Speicherdauern
  • Online-Galerie (Einzel- & Gruppenfotos): Verfügbarkeit der passwortgeschützten Online-Galerie bis zum Jahresende des Fototermins (max. 12 Monate). Danach Löschung aus aktiven Systemen; technisch bedingte Sicherungskopien werden im Rahmen der Backup-Zyklen überschrieben.
  • Auftrags-/Bestelldaten, Rechnungen: 6 bzw. 10 Jahre (§§ 147 AO, 257 HGB).
  • Kommunikation & Support (E-Mails/Kontaktanfragen/CRM-Notizen): Speicherung zur Nachverfolgung, Qualitätssicherung sowie zur Geltendmachung/Abwehr von Ansprüchen in der Regel bis 3 Jahre nach dem letzten Kontakt; längere Speicherung nur, wenn der Vorgang noch offen ist oder gesetzliche Pflichten bestehen.
  • Anfragen/Angebote von freien Fotograf:innen (Dienstleister:innen)
    Wir verarbeiten personenbezogene Daten, die Sie uns im Rahmen einer Anfrage, eines Angebots oder im Zuge der Anbahnung einer Zusammenarbeit als freie:r Fotograf:in übermitteln (z. B. Kontaktdaten, Verfügbarkeit, Portfolio/Referenzen, Konditionen, Kommunikation).
    Zweck: Prüfung der Eignung und Verfügbarkeit, Kommunikation, Angebots- und Vertragsanbahnung sowie Organisation künftiger Einsätze.
    Rechtsgrundlage: 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (Nachvollziehbarkeit von Vorgängen, Qualitätssicherung, Geltendmachung/Abwehr von Ansprüchen).
    Speicherdauer: Korrespondenz und Unterlagen speichern wir in der Regel bis 3 Jahre nach dem letzten Kontakt. Kommt es zu einer Zusammenarbeit, werden erforderliche Daten in die Vertrags-/Dienstleisterverwaltung übernommen; hierfür gelten die gesetzlichen Aufbewahrungsfristen für steuer- und handelsrechtliche Unterlagen (6 bzw. 10 Jahre).
  • Bewerbungen (Festanstellung/Arbeitsverhältnis)
    Daten aus Bewerbungen auf ein Arbeitsverhältnis speichern wir in der Regel 6 Monate nach Abschluss des Verfahrens; längere Speicherung nur mit Einwilligung (Talentpool) oder wenn zur Rechtsverfolgung erforderlich.
  • Newsletter-Daten: bis zur Abmeldung; Blacklist: 3 Jahre ab Eintrag/letztem Zustellversuch, danach Löschung.
  • Google Analytics: 14 Monate.
  1. Pflicht zur Bereitstellung

Für Bestellungen sind bestimmte Daten erforderlich (Art. 6 Abs. 1 lit. b). Ohne diese können wir keine Verträge erfüllen.

  1. Ihre Rechte

Sie haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung (Fallgruppen: bestrittene Richtigkeit; Unrechtmäßigkeit statt Löschung; Geltendmachung/Verteidigung von Ansprüchen; schwebender Widerspruch), Datenübertragbarkeit (Art. 15–20 DSGVO) sowie Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e/f (Art. 21 DSGVO) und das Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.
Automatisierte Entscheidungen/Profiling (Art. 22 DSGVO): finden nicht statt.

  1. Spezielle Hinweise zu Widerruf, Widerspruch & Gruppenfotos
  • Widerruf Einwilligung (Einzel‑ & Gruppenfotos): Wir entfernen die betreffenden Fotos zeitnah aus der Online‑Galerie; künftige Käufe/Downloads sind dann nicht mehr möglich.
  • Bereits ausgelieferte Prints/Dateien: sind von einem Widerruf oder Widerspruch nicht betroffen und können regelmäßig nicht zurückgeholt werden.
  • Einzelfallprüfung bei schwerwiegenden Gründen: Bei Gefährdung des Kindeswohls oder vergleichbaren gravierenden Gründen prüfen wir Einzelfallmaßnahmen (z. B. Austausch/Neudruck ohne Abbildung, Kulanzlösungen).
  • Zukunftswirkung: Für die Zukunft entfernen wir Dateien aus der Galerie oder machen das Kind auf Gruppenfotos unkenntlich (sofern technisch möglich).
  • Vorab‑Opt‑out: Eltern können vor der Aufnahme die Teilnahme an Gruppenfotos ablehnen; wir berücksichtigen dies bei der Organisation vor Ort.
  1. Sicherheit & Grundsätze
  • Zugriff auf Galerien ausschließlich über individuelle Zugangscodes; keine öffentliche Indexierung.
  • Rollen‑ und berechtigungsbasierte Zugriffe bei Dienstleistern; AVV mit allen eingebundenen Dienstleistern vorhanden.
  • Keine Veröffentlichung in sozialen Medien/Website zu Werbezwecken ohne gesonderte Einwilligung.
  • Keine automatisierte Entscheidung/Profiling; keine Gesichtserkennung.
  1. Cookies/Tools im Einzelnen (Auszug)
  • Consent‑Management: Eigenes, lokal betriebenes Consent‑Banner („Cookie Notice & Compliance“, self‑hosted; keine Datenübertragung an Dritte).
  • Google Analytics (optional): Nur mit Einwilligung; IP‑Anonymisierung; Aufbewahrung: 14 Monate; Opt‑out jederzeit über Consent‑Banner.
  • YouTube: Einbindung im erweiterten Datenschutzmodus; Datenverarbeitung durch Google bei Wiedergabe.
  • Schriftarten: Google Fonts lokal (keine Requests an Google); Adobe Fonts nur bei Einwilligung, da Serverabruf von Adobe‑Servern (USA) möglich.
  • Font Awesome: lokal.
  1. E‑Commerce & Zahlungsabwicklung

Bei Bestellungen übermitteln wir erforderliche Daten an Logistik‑ und Zahlungsdienstleister (Art. 6 Abs. 1 lit. b). Je nach gewählter Zahlungsmethode gelten die Bedingungen der jeweiligen Anbieter.

  1. Änderungen

Wir passen diese Erklärung an, wenn Dienste/Prozesse oder Rechtslagen sich ändern. Die jeweils aktuelle Fassung wird auf der Website veröffentlicht.

Ergänzende Informationen für Kitas & Schulen (Rollenklärung Art. 26/28)

Wir arbeiten gegenüber Eltern/Kundinnen als eigenständig Verantwortliche. Kitas/Schulen unterstützen ggf. bei Organisation/Kommunikation. **Fotografinnen handeln als Auftragsverarbeiter** nach Art. 28 DSGVO; Nutzungsrechte sind vertraglich geregelt, eine Eigennutzung (inkl. Portfolio) ist ausgeschlossen, außer wenn hierfür gesonderte Einwilligungen vorliegen. Etwaige Konstellationen gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) werden im Einzelfall vertraglich dokumentiert.

Transparenzhinweis

Diese Mustertexte sind sorgfältig erstellt, können jedoch eine individuelle Rechtsberatung nicht ersetzen. Maßgeblich sind Ihre tatsächlich eingesetzten Systeme, Prozesse und Verträge.