Datenschutz

Dieser Datenschutztext erläutert, wie Contrima personenbezogene Daten bei Fotografen-Accounts, Teilnehmer- und Zugangsprozessen, Galerien, Kommunikation, Dokumentation sowie bei Geschenk-, Tausch-, Verkaufs- und Lizenzprozessen einschließlich der damit verbundenen Zahlungs- und Auszahlungsprozesse verarbeitet. Er gibt einen Überblick über Zwecke, Abläufe, Schutzmaßnahmen und Betroffenenrechte. Maßgeblich ist die englische Fassung; Übersetzungen dienen ausschließlich der besseren Verständlichkeit.

Version v3 · Veröffentlicht 04.05.2026, 09:12 · Hash f00fe99c5db7

Datenschutz

1. Sprache und Übersetzungen

Diese Datenschutzerklärung wird in mehreren Sprachen bereitgestellt. Maßgeblich ist die englische Fassung. Übersetzungen dienen ausschließlich der besseren Verständlichkeit. Zwingende Rechte nach dem Recht des gewöhnlichen Aufenthaltsortes der betroffenen Person bleiben unberührt.

2. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Mark Reinhardt (Einzelunternehmer)
"Contrima" ist ein Angebot von Mark Reinhardt
E-Mail: info@contrima.com

3. Überblick: Welche Daten wir verarbeiten und warum

Wir verarbeiten personenbezogene Daten, um Contrima technisch bereitzustellen, abzusichern, weiterzuentwickeln und um Fotografen-, Galerie-, Freigabe-, Geschenk-, Tausch-, Verkaufs-, Lizenz-, Kauf-, Abonnement-, Seller- und Auszahlungsprozesse durchführen und dokumentieren zu können.

Dazu gehören insbesondere Daten aus dem Betrieb der Website, aus Nutzerkonten und Fotografenprofilen, aus QR- und Zugangssystemen, Claiming- und Galerieprozessen, aus Vorschau-, Veröffentlichungs-, Freigabe-, Zustimmungs-, Lizenz- und Kaufabläufen, aus der Kommunikation sowie aus Abrechnung, Zahlungsabwicklung, Seller-Onboarding, Verifizierung, Auszahlungen, Archivierung und Nachweisführung.

Wir verarbeiten personenbezogene Daten insbesondere auf folgenden Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen),
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung),
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. sichere und stabile Bereitstellung, Missbrauchs- und Betrugserkennung, Nachweisbarkeit, Rechtsverteidigung, Archivierung und zuverlässige Zahlungsabwicklung),
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit dies im Einzelfall erforderlich ist).

Soweit wir Daten auf Basis einer Einwilligung verarbeiten, können Sie eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Contrima verarbeitet bestimmte Daten als eigener Verantwortlicher, insbesondere für Plattformbetrieb, Sicherheit, Kommunikation, Billing, Seller-/Payout-Prozesse, Dokumentation, Nachweis und Archivierung. Soweit Contrima einzelne Funktionen im Auftrag des jeweiligen Fotografen erbringt, erfolgt die Verarbeitung im jeweils gesetzlich vorgesehenen Rahmen.

4. Hosting und Speicherinfrastruktur (AWS, Region Irland)

Contrima wird in der AWS-Region Irland (EU) betrieben. Dabei werden Daten, die beim Aufruf der Website oder bei der Nutzung der Plattform anfallen, auf den Systemen unseres Hosting-Dienstleisters verarbeitet.

Hosting-Dienstleister (Auftragsverarbeiter):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg ("AWS")

Zur Speicherung von Bilddaten, Vorschaudateien, Galerieinhalten, Nachweisdateien und Archivbeständen können innerhalb der AWS-Infrastruktur unterschiedliche Speicher- und Archivspeicherklassen eingesetzt werden, einschließlich nicht öffentlicher Archivspeicherklassen wie AWS S3 Glacier Deep Archive.

5. Zugriffsdaten / Server-Logfiles

Bei jedem Zugriff auf die Website oder Plattform werden durch den Webserver automatisch Informationen in sogenannten Server-Logfiles verarbeitet. Dazu können insbesondere gehören:

IP-Adresse (oder technisch bedingt ersetzende Kennung),
Datum und Uhrzeit der Anfrage,
aufgerufene Seite/Datei (URL/Pfad),
Referrer-URL,
Browsertyp/-version und Betriebssystem,
Statuscodes/Fehlermeldungen,
übertragene Datenmenge.

Zweck der Verarbeitung ist die technische Bereitstellung, Stabilität und Sicherheit der Website und Plattform (z. B. Fehleranalyse, Abwehr von Angriffen, Missbrauchserkennung und Auditierung sicherheitsrelevanter Zugriffe). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Die Logfiles werden nur so lange gespeichert, wie es für die genannten Zwecke erforderlich ist, und anschließend gelöscht oder anonymisiert, sofern keine weitere Aufbewahrung zu Beweiszwecken (z. B. bei Sicherheitsvorfällen) erforderlich ist.

6. Verschlüsselung (TLS/SSL)

Wir nutzen aus Sicherheitsgründen eine Transportverschlüsselung (TLS/SSL), um übertragene Inhalte bestmöglich zu schützen. Bitte beachten Sie, dass eine Datenübertragung im Internet dennoch Sicherheitslücken aufweisen kann.

7. Cookies und ähnliche Technologien

Unsere Website und Plattform können Cookies oder vergleichbare Technologien einsetzen. Dabei unterscheiden wir:

Technisch notwendige Cookies oder vergleichbare Mechanismen (z. B. Session-Cookies für Login, Sprache, Navigation, Sicherheits- und Token-Kontexte),
Optionale Cookies/Tools, die nur nach Einwilligung eingesetzt werden, soweit dies erforderlich ist.

Technisch notwendige Cookies sind erforderlich, um die Website und Plattform bereitzustellen. Rechtsgrundlage für das Speichern/Auslesen auf Endeinrichtungen ist § 25 Abs. 2 Nr. 2 TDDDG; die anschließende Verarbeitung personenbezogener Daten erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO, wenn die Funktion für die Vertragserfüllung oder die Durchführung eines konkreten Workflows erforderlich ist.

Soweit zukünftig Analyse-, Marketing- oder sonstige einwilligungsbedürftige Tools eingesetzt werden, werden wir diese Datenschutzerklärung ergänzen und – soweit erforderlich – vorab eine Einwilligung einholen.

8. Nutzerkonto, Fotografenprofil und Verkäuferkonto

Sofern wir die Möglichkeit anbieten, ein Nutzerkonto zu erstellen oder sich einzuloggen, verarbeiten wir die hierfür erforderlichen Daten (z. B. E-Mail-Adresse, Login-Daten, technische Sitzungsdaten, Spracheinstellungen, Zeitzone, Profildaten und Sicherheitsinformationen), um das Nutzerkonto bereitzustellen, die Anmeldung zu ermöglichen, das Profil zu verwalten und die Sicherheit des Systems zu gewährleisten.

Für Fotografenprofile können zusätzlich Profil-, Portfolio-, Showcase-, Rechnungs-, Verkäufer-, Steuer-, Abonnement-, Speicher- und Tarifdaten verarbeitet werden, soweit diese Funktionen angeboten oder aktiviert werden.

Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheitsinteressen, Missbrauchsprävention, Systemstabilität).

Hinweis: Passwörter werden nicht im Klartext gespeichert, sondern in der Regel als Hash-Wert (technisches Sicherheitsverfahren).

9. Daten von fotografierten Personen, annehmenden Personen und sonstigen Betroffenen

Contrima verarbeitet auch personenbezogene Daten fotografierter Personen, annehmender Personen, Käufer und anderer Betroffener im Zusammenhang mit Uploads, Galeriezuordnungen, Zugangsprozessen, Vorschauen, Veröffentlichungen, Freigaben, Zustimmungen, Lizenzierungen, Käufen und der Dokumentation konkreter Fälle.

Solche Daten können direkt von der betroffenen Person stammen (z. B. wenn sie einen Zugang öffnet, eine E-Mail-Adresse angibt, eine Sprache auswählt, eine Erklärung abgibt oder einen Kauf tätigt) oder indirekt über den Fotografen bzw. andere Beteiligte zu uns gelangen (z. B. durch Upload von Bilddateien, Zuordnungsdaten, Kontaktangaben, QR-Karten, Galeriebezügen oder Fallinformationen).

Verarbeitet werden je nach Fall insbesondere Bilddateien, Zuordnungs- und Fallinformationen, Kontaktangaben, Sprach- und Gerätekontexte, Statusdaten, Erklärungs- und Vertragsdaten sowie Nachweis- und Auditinformationen.

In Minderjährigen- und Vertretungsfällen können zusätzlich Rollenangaben, Freigabe- und Vertretungsbestätigungen, Zuordnungen zwischen minderjähriger Person und freigebender erwachsener Person, Zeitpunkte, Kommunikationsdaten, Nachweisdaten sowie Statusinformationen zu Kauf, Zahlung, Freischaltung oder Auslieferung verarbeitet werden, soweit dies für den jeweiligen Flow erforderlich ist.

Soweit personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden, erfüllen wir die Informationspflichten nach Art. 14 DSGVO im gesetzlich vorgesehenen Umfang. Die rechtliche Zulässigkeit der Erstellung einer Aufnahme und des initialen Uploads richtet sich nach dem jeweiligen Einzelfall und der Verantwortlichkeit des Fotografen.

10. QR-Codes, Zugangssystem, Claiming und persönliche Zugangslinks

Contrima kann QR-Codes, öffentliche Zugangscodes, persönliche Zugangslinks, Access-Tokens, Sprachkontexte und vergleichbare Zugriffssysteme bereitstellen, um fotografierten Personen, annehmenden Personen, Käufern oder sonstigen Beteiligten den Zugang zu Teilnehmerseiten, Galerien, Vorschauen, Freigabe-, Zustimmungs- oder Kaufprozessen zu ermöglichen.

Dabei verarbeiten wir insbesondere öffentliche oder persönliche Codes, Tokenwerte, bevorzugte Sprache, Zeitstempel, Claim-Status, Resend-Ereignisse, Sitzungs- oder Browsermarker, Sicherheitsinformationen sowie die im jeweiligen Flow angegebene E-Mail-Adresse.

Wenn Minderjährige einen persönlichen Zugang oder einen Claiming-, Freigabe-, Lizenz- oder Kaufprozess nutzen, können die eigene Mitwirkung der minderjährigen Person und die erforderliche Freigabe durch eine sorgeberechtigte oder sonst vertretungsberechtigte erwachsene Person getrennt dokumentiert werden.

Diese Verarbeitung dient der sicheren Bereitstellung des Zugangs, der Zuordnung eines konkreten Falls, der Missbrauchsprävention, der Zustellung persönlicher Links, der sprachlich passenden Darstellung sowie der technischen und organisatorischen Durchführung des jeweiligen Workflows. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

In neutralen Wiederholungsansichten können wir Kontaktangaben maskiert anzeigen und den direkten Zugang aus Sicherheitsgründen nicht erneut offenlegen.

11. Galerien, Vorschauen, Veröffentlichungen und Vereinbarungen

Im Galerie- und Lizenzkontext verarbeiten wir insbesondere Informationen zu Fällen, Galerien, Teilnehmerzuordnungen, Bildvarianten, Vorschauen, Wasserzeichen, Veröffentlichungsstufen, Freischaltungen, Kauf-, Freigabe-, Gestattungs- und Zustimmungsstatus sowie den für den konkreten Fall ausgewählten Paketen oder Angeboten.

Zu Dokumentations- und Nachweiszwecken können wir außerdem die jeweils geltende Paketversion, die angezeigte Textversion, die Sprache, den Zeitstempel, die verwendete E-Mail-Adresse, den Portal- oder Access-Token-Kontext und weitere technisch erforderliche Audit-Daten protokollieren. Es können PDF- oder vergleichbare Vereinbarungs- und Nachweisdokumente erzeugt, gespeichert und den Beteiligten bereitgestellt werden.

Diese Verarbeitung dient der Durchführung des jeweiligen Falls, der Anzeige von Vorschauen, der Freischaltung nach Zustimmung oder Zahlung, der Dokumentation von Erklärungen und Verträgen, der Nachweisbarkeit des Rechteumfangs sowie der Rechtsverteidigung. Rechtsgrundlage ist je nach Fall Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO, Art. 6 Abs. 1 lit. c DSGVO und, soweit im Einzelfall erforderlich, Art. 6 Abs. 1 lit. a DSGVO.

12. Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten (z. B. Name, E-Mail-Adresse, Inhalt der Nachricht), um Ihr Anliegen zu bearbeiten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (sofern es um (vor-)vertragliche Kommunikation geht) oder Art. 6 Abs. 1 lit. f DSGVO (allgemeine Anfragen; berechtigtes Interesse an effizienter Kommunikation).

Kontaktformular: Soweit ein Kontaktformular bereitgestellt wird, verarbeiten wir die dort anfallenden Daten ausschließlich zur Bearbeitung der Anfrage. Diese Datenschutzerklärung wird bei Bedarf ergänzt, z. B. wenn zusätzliche Dienste wie Spam-Schutz eingesetzt werden.

13. Newsletter

Soweit wir künftig einen Newsletter anbieten, werden wir diese Datenschutzerklärung ergänzen und insbesondere den Versanddienstleister, das Double-Opt-In-Verfahren, mögliche Erfolgsmessungen sowie Widerrufsmöglichkeiten transparent darstellen.

14. Versand von E-Mails über AWS SES

Für den Versand von System- und Transaktions-E-Mails (z. B. Bestätigungen, persönliche Zugangslinks, Resend-Nachrichten, Galerie- oder Vereinbarungsmitteilungen, Kauf- oder Zahlungsinformationen, Rechnungs- oder Seller-/Payout-Hinweise) nutzen wir Amazon Simple Email Service (AWS SES).

Dabei werden insbesondere die E-Mail-Adresse, ggf. Name, Sprachkontext sowie technische Metadaten der E-Mail (z. B. Zustellinformationen) verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO und/oder Art. 6 Abs. 1 lit. f DSGVO.

15. Zahlungen, Abonnements, Stripe und Stripe Connect

Wenn kostenpflichtige Dienste, Abonnements, Speicherpakete, Bild- oder Lizenzkäufe, Seller-Accounts oder Auszahlungsfunktionen genutzt werden, verarbeiten wir die hierfür erforderlichen Abrechnungs-, Transaktions- und Verifizierungsdaten.

Dazu können insbesondere gehören:

Name, Anschrift, E-Mail-Adresse und Rechnungsdaten,
gekaufte oder gebuchte Leistungen, Beträge, Währungen und Zahlungsstatus,
Rechnungs-, Refund-, Dispute-, Chargeback- und Auszahlungsdaten,
bei Seller- oder Payout-Funktionen zusätzlich Unternehmens-, Rechtsform-, Steuer-, Bank- und Verifizierungsdaten sowie Angaben zu Vertretungspersonen oder wirtschaftlich Berechtigten, soweit dies erforderlich ist.

Für Zahlungsabwicklung, Abonnements, Seller-Onboarding und Auszahlungsfunktionen setzen wir insbesondere Stripe und Stripe Connect ein. Wenn Sie personenbezogene Daten im Zusammenhang mit Zahlungsdiensten angeben, erhält Stripe diese Daten und verarbeitet sie gemäß der Datenschutzerklärung von Stripe.

Diese Verarbeitung dient der Zahlungsabwicklung, der Vertragsdurchführung, der Rechnungsstellung, der Erfüllung gesetzlicher Pflichten, der Verhinderung von Betrug und Missbrauch, der Seller-Verifizierung und der Durchführung von Auszahlungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 lit. f DSGVO und, soweit erforderlich, Art. 6 Abs. 1 lit. a DSGVO.

Bei Käufen oder Zahlungsprozessen, die von Minderjährigen angestoßen werden oder Minderjährige betreffen, können zusätzlich Angaben zur zahlenden, freigebenden oder vertretungsberechtigten erwachsenen Person sowie Status- und Nachweisdaten zur Freigabe, Autorisierung, Rückerstattung oder Rückbelastung verarbeitet werden.

Bei der sofortigen Bereitstellung digitaler Bilder oder digitaler Nutzungsrechte können außerdem Bestätigungen zum sofortigen Bereitstellungsbeginn, zum Erlöschen eines Widerrufsrechts, zur Vertreterfreigabe sowie die zugehörigen Zeitpunkte, Textversionen, Sprachfassungen, technischen Nachweise und Auditinformationen verarbeitet werden.

16. Empfänger / Auftragsverarbeiter / eigenständige Verantwortliche

Wir setzen Dienstleister ein, die Daten in unserem Auftrag verarbeiten (Auftragsverarbeitung nach Art. 28 DSGVO), und übermitteln Daten außerdem an Stellen, die im jeweiligen Zusammenhang als eigenständige Verantwortliche handeln können.

Dazu gehören insbesondere:

Amazon Web Services EMEA SARL – Hosting, Speicher- und Infrastrukturleistungen,
Amazon Web Services (AWS SES) – Versand von E-Mails,
Stripe / Stripe Connect – Zahlungsabwicklung, Seller-Onboarding, Verifizierung und Auszahlungen,
Fotografen, Käufer, fotografierte Personen, annehmende Personen oder sonstige Beteiligte, soweit dies zur Durchführung eines konkreten Falls, einer Galerie, eines Kaufs, einer Vereinbarung oder der Nachweisführung erforderlich ist,
Steuerberater, Rechtsberater, Banken, Behörden oder sonstige Stellen, soweit dies zur Vertragsdurchführung, Rechtsdurchsetzung oder Erfüllung gesetzlicher Pflichten erforderlich ist.

17. Übermittlung in Drittländer

Soweit im Rahmen der Nutzung von AWS, AWS SES, Stripe oder anderen eingesetzten Diensten personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden, erfolgt dies nur unter Einhaltung der Anforderungen der Art. 44 ff. DSGVO, z. B. auf Basis geeigneter Garantien wie Standardvertragsklauseln und/oder sonstiger anerkannter Schutzmechanismen.

18. Speicherdauer und Archivierung

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Danach werden die Daten gelöscht, anonymisiert oder in einen status- und zweckgerechten Archivzustand überführt.

Für Contrima gilt insbesondere:

Server- und Sicherheitslogs speichern wir grundsätzlich nur so lange, wie dies für Sicherheit, Fehleranalyse und Missbrauchsabwehr erforderlich ist.
Kontodaten, Fotografenprofile, Rechnungs- und Seller-Daten speichern wir grundsätzlich für die Dauer des Vertragsverhältnisses und darüber hinaus, soweit dies für gesetzliche Aufbewahrungspflichten, Rechtsverteidigung oder Nachweiszwecke erforderlich ist.
Claim-, Zugangs-, Galerie-, Zustimmungs-, Lizenz- und Kaufdaten speichern wir so lange, wie dies für die Durchführung des Falls, die Dokumentation, die Nachweisbarkeit, die Rechtsverteidigung und die Erfüllung gesetzlicher Pflichten erforderlich ist.
Hochgeladene Originalbilder werden für finale aktive Fälle im Regelfall bis zu 90 Tage ab der letzten wesentlichen Aktivität im Aktivspeicher vorgehalten und anschließend in einen nicht öffentlichen Archivspeicher überführt.
Nicht zustande gekommene Draft-, Test- oder sonstige nicht finalisierte Fälle können nach Maßgabe des jeweiligen Produktstatus oder Tarifs gelöscht werden.
Archivierte Originaldaten können zeitlich unbefristet in nicht öffentlichen Archivspeicherklassen innerhalb der AWS-Infrastruktur gespeichert werden, einschließlich AWS S3 Glacier Deep Archive, soweit keine gesetzlichen oder vertraglichen Löschgründe entgegenstehen.
Nachweis-, Agreement-, Audit-, Thumbnail-, Fingerprint-, Hash-, Billing- und sonstige Dokumentationsdaten können unabhängig von der aktiven Verfügbarkeit der Originalbilder länger oder gesondert gespeichert bleiben.

Archivierte Objekte in Deep-Archive-Speicherklassen sind nicht öffentlich zugänglich und regelmäßig nicht in Echtzeit abrufbar; für einen erneuten Zugriff kann ein gesonderter Restore-Prozess erforderlich sein.

19. Ihre Rechte

Sie haben im Rahmen der gesetzlichen Vorgaben insbesondere folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO),
Recht auf Berichtigung (Art. 16 DSGVO),
Recht auf Löschung (Art. 17 DSGVO),
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
Widerspruchsrecht gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO),
Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen.

20. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für unseren Sitz zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW)
Postfach 10 29 32
70025 Stuttgart
E-Mail: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Services, Zahlungsdienste, Speicher- und Archivierungslogiken oder Datenverarbeitungen ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.

22. Pflicht zur Bereitstellung von Daten

Für den rein informatorischen Besuch der Website sind Sie grundsätzlich nicht verpflichtet, personenbezogene Daten bereitzustellen. Wenn Sie uns kontaktieren, ein Nutzerkonto verwenden, einen Zugang oder eine Galerie nutzen, eine Erklärung abgeben, einen Kauf tätigen oder Seller-/Auszahlungsfunktionen aktivieren, sind bestimmte Angaben erforderlich, um den jeweiligen Dienst bereitzustellen, den Fall durchzuführen, Zahlungen abzuwickeln, Auszahlungen vorzunehmen oder gesetzliche Pflichten zu erfüllen.

23. Keine ausschließlich automatisierte Entscheidungsfindung

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet derzeit nicht statt. Sicherheits-, Betrugs-, Risiko- oder Compliance-Mechanismen können jedoch dazu führen, dass Zugriffe, Uploads, Veröffentlichungen, Zahlungen oder Auszahlungen vorübergehend eingeschränkt und anschließend manuell geprüft werden.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.