Privatlivets fred

Denne databeskyttelsestekst forklarer, hvordan Contrima behandler personoplysninger i fotografkonti, deltager- og adgangsprocesser, gallerier, kommunikation, dokumentation samt i gave-, bytte-, salgs- og licensprocesser, herunder de tilknyttede betalings- og udbetalingsprocesser. Den giver et overblik over de registreredes formål, processer, beskyttelsesforanstaltninger og rettigheder. Den engelske version er autoritativ; oversættelser gives udelukkende for at lette forståelsen.

Version v3 · Offentliggjort 04.05.2026, 09:12 · Hash f00fe99c5db7

Privatliv

1. Sprog og oversættelser

Denne privatlivspolitik findes på flere sprog. Den engelske version er den gældende. Oversættelser leveres udelukkende for klarhedens skyld. Obligatoriske rettigheder i henhold til lovgivningen på den registreredes sædvanlige bopælssted forbliver uændrede.

2. Dataansvarlig

Den dataansvarlige i henhold til den generelle forordning om databeskyttelse (GDPR) er:
Mark Reinhardt (enkeltmandsvirksomhed)
"Contrima" er en tjeneste, der leveres af Mark Reinhardt
E-mail: info@contrima.com

3. Oversigt: Hvilke data vi behandler, og hvorfor

Vi behandler personoplysninger for at kunne levere Contrima ud fra et teknisk perspektiv, for at sikre og videreudvikle tjenesten samt for at gennemføre og dokumentere processer vedrørende fotografer, gallerier, godkendelser, gaver, udvekslinger, salg, licenser, køb, abonnementer, sælgere og betalinger.

Dette omfatter især data fra driften af hjemmesiden, fra brugerkonti og fotografprofiler, fra QR- og adgangssystemer, indløsnings- og galleriprocesser, fra forhåndsvisning, offentliggørelse, godkendelse, samtykke, licensering og købsprocedurer, fra kommunikation samt fra fakturering, betalingsbehandling, sælgeronboarding, verifikation, udbetalinger, arkivering og opbevaring af optegnelser.

Vi behandler personoplysninger især på følgende retsgrundlag:

Art. 6, stk. 1, litra b), i GDPR (kontrakt / foranstaltninger forud for indgåelse af kontrakt),
Art. 6, stk. 1, litra c), i GDPR (retlig forpligtelse),
Art. 6, stk. 1, litra f), i GDPR (legitime interesser, f.eks. sikker og stabil levering, afsløring af misbrug og svig, sporbarhed, retsforsvar, arkivering og pålidelig betalingsbehandling),
Art. 6, stk. 1, litra a), i GDPR (samtykke, hvor det er påkrævet i enkelte tilfælde).

Når vi behandler data på grundlag af samtykke, kan du til enhver tid trække dit samtykke tilbage med virkning for fremtiden.

Contrima behandler visse data som selvstændig dataansvarlig, især med henblik på platformens drift, sikkerhed, kommunikation, fakturering, sælger-/udbetalingsprocesser, dokumentation, verifikation og arkivering. Når Contrima udfører individuelle funktioner på vegne af den pågældende fotograf, foregår behandlingen inden for de rammer, der er fastsat i lovgivningen i hvert enkelt tilfælde.

4. Hosting- og lagringsinfrastruktur (AWS, Irland-regionen)

Contrima drives i AWS Irland (EU)-regionen. Data, der genereres ved adgang til hjemmesiden eller brug af platformen, behandles på vores hostingudbyders systemer.

Hostingudbyder (databehandler):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

Til opbevaring af billeddata, forhåndsvisningsfiler, galleriindhold, korrekturfiler og arkivbestande kan der anvendes forskellige opbevarings- og arkiveringsklasser inden for AWS-infrastrukturen, herunder ikke-offentlige arkiveringsklasser såsom AWS S3 Glacier Deep Archive.

5. Adgangsdata / serverlogfiler

Hver gang der oprettes forbindelse til webstedet eller platformen, behandler webserveren automatisk oplysninger i såkaldte serverlogfiler. Dette kan især omfatte:

IP-adresse (eller en teknisk tilsvarende identifikator),
dato og klokkeslæt for anmodningen,
side/fil, der er åbnet (URL/sti),
henvisnings-URL,
browsertype/version og operativsystem,
statuskoder/fejlmeddelelser,
mængden af overførte data.

Formålet med behandlingen er den tekniske tilvejebringelse, stabilitet og sikkerhed af hjemmesiden og platformen (f.eks. fejlanalyse, forsvar mod angreb, afsløring af misbrug og revision af sikkerhedsrelateret adgang). Retsgrundlaget er artikel 6, stk. 1, litra f), i GDPR.

Logfilerne opbevares kun så længe, det er nødvendigt til de angivne formål, og slettes eller anonymiseres derefter, forudsat at der ikke er behov for yderligere opbevaring af bevismæssige årsager (f.eks. i tilfælde af sikkerhedshændelser).

6. Kryptering (TLS/SSL)

Af sikkerhedsmæssige årsager anvender vi transportkryptering (TLS/SSL) for at sikre den bedst mulige beskyttelse af det overførte indhold. Vær dog opmærksom på, at dataoverførsel via internettet stadig kan være udsat for sikkerhedsrisici.

7. Cookies og lignende teknologier

Vores hjemmeside og platform kan anvende cookies eller lignende teknologier. Vi skelner mellem:

Teknisk nødvendige cookies eller lignende mekanismer (f.eks. sessionscookies til login, sprog, navigation, sikkerhed og token-sammenhænge),
Valgfri cookies/værktøjer, som kun bruges med dit samtykke, hvor det er nødvendigt.

Teknisk nødvendige cookies er nødvendige for at kunne levere hjemmesiden og platformen. Retsgrundlaget for lagring/læsning af disse på slutapparater er § 25, stk. 2, nr. 2, i TDDDG; den efterfølgende behandling af personoplysninger finder sted på grundlag af art. 6, stk. 1, litra f), i GDPR eller art. 6, stk. 1, litra b), i GDPR, hvis funktionen er nødvendig for opfyldelsen af en kontrakt eller udførelsen af en bestemt arbejdsgang.

I det omfang der i fremtiden anvendes analyse-, marketing- eller andre værktøjer, der kræver samtykke,

8. Brugerkonto, fotografprofil og sælgerkonto

Hvor vi tilbyder muligheden for at oprette en brugerkonto eller logge ind, behandler vi de data, der er nødvendige til dette formål (f.eks. e-mailadresse, loginoplysninger, tekniske sessionsdata, sprogindstillinger, tidszone, profildata og sikkerhedsoplysninger), for at kunne stille brugerkontoen til rådighed, muliggøre login, administrere profilen og sikre systemets sikkerhed.

For fotografprofiler kan yderligere profil-, portefølje-, udstillings-, fakturerings-, sælger-, skatte-, abonnements-, lager- og prisoplysninger også behandles, i det omfang disse funktioner tilbydes eller aktiveres.

Retsgrundlaget er generelt artikel 6, stk. 1, litra b), i GDPR og artikel 6, stk. 1, litra f), i GDPR (sikkerhedsinteresser, forebyggelse af misbrug, systemstabilitet).

Bemærk: Adgangskoder gemmes ikke i klartekst, men gemmes generelt som en hashværdi (teknisk sikkerhedsprocedure).

9. Data vedrørende fotograferede personer, modtagere og andre registrerede

Contrima behandler også personoplysninger om fotograferede personer,

Sådanne data kan stamme direkte fra den registrerede (f.eks. når vedkommende åbner et adgangspunkt, angiver en e-mailadresse, vælger et sprog, afgiver en erklæring eller foretager et køb) eller nå os indirekte via fotografen eller andre involverede parter; (f.eks. gennem upload af billedfiler, opgaveoplysninger, kontaktoplysninger, QR-kort, gallerireferencer eller sagsoplysninger).

Afhængigt af sagen behandles især følgende data: billedfiler, opgave- og sagsoplysninger, kontaktoplysninger, sprog- og enhedskontekster, statusdata, erklærings- og kontraktdata, samt verifikations- og revisionsoplysninger.

I sager, der involverer mindreårige og repræsentanter, kan rolleoplysninger, bekræftelser af bemyndigelse og repræsentation, aftaler mellem den mindreårige og den bemyndigende voksne, tidsstempler, kommunikationsdata, verifikationsdata og statusoplysninger vedrørende køb, betaling, aktivering eller levering også behandles, i det omfang dette er nødvendigt for den pågældende arbejdsgang.

Hvor personoplysninger ikke indsamles direkte fra den registrerede, opfylder vi oplysningsforpligtelserne i henhold til artikel 14 i GDPR i det omfang, loven kræver det. Den juridiske tilladelighed af at tage et fotografi og den indledende upload afhænger af det specifikke individuelle tilfælde og fotografens ansvar.

10. QR-koder, adgangssystem, indløsning og personlige adgangslinks

Contrima kan stille QR-koder, offentlige adgangskoder, personlige adgangslinks, adgangstokens, sprogkontekster og lignende adgangssystemer til rådighed, for at give fotograferede personer, modtagere, købere eller andre involverede parter adgang til deltagersider, gallerier, forhåndsvisninger, godkendelses-, samtykke- eller købsprocesser.

I den forbindelse behandler vi især offentlige eller personlige koder, tokenværdier, foretrukket sprog, tidsstempler, kravstatus, genudsendelsesbegivenheder, session- eller browsermarkører, sikkerhedsoplysninger og den e-mailadresse, der er angivet i det pågældende forløb.

Når mindreårige bruger personlig adgang eller en ansøgnings-, godkendelses-, licens- eller købsproces, kan den mindreåriges egen involvering og den nødvendige godkendelse fra en forælder, værge eller anden bemyndiget voksen dokumenteres separat.

Denne behandling tjener til sikkert at give adgang, til at tildele en specifik sag, til at forhindre misbrug, til at levere personaliserede links, til at sikre sprogmæssigt passende visning, og til at udføre de tekniske og organisatoriske aspekter af den respektive arbejdsgang. Retsgrundlaget er artikel 6, stk. 1, litra b), i GDPR og artikel 6, stk. 1, litra f), i GDPR.

I neutrale gentagne visninger kan vi vise kontaktoplysninger i maskeret form og kan af sikkerhedsmæssige årsager ikke videregive direkte adgang igen.

11. Gallerier, forhåndsvisninger, publikationer og aftaler

I forbindelse med gallerier og licenser behandler vi især oplysninger vedrørende: sager, gallerier, deltageropgaver, billedvarianter, forhåndsvisninger, vandmærker, publikationsniveauer, aktiveringer, køb, godkendelse, autorisations- og samtykkestatus samt de pakker eller tilbud, der er valgt til den specifikke sag.

Til dokumentations- og verifikationsformål kan vi også registrere: den gældende pakkeversion, den viste tekstversion, sproget, tidsstemplet, den anvendte e-mailadresse, portalen eller adgangstoken-konteksten samt andre teknisk nødvendige revisionsdata. PDF-filer eller tilsvarende aftale- og verifikationsdokumenter kan genereres, gemmes og stilles til rådighed for de involverede parter.

Denne behandling tjener til at håndtere den pågældende sag, vise forhåndsvisninger, aktivere adgang efter samtykke eller betaling, dokumentere erklæringer og kontrakter, verificere rettighedsomfanget samt til juridisk forsvar. Retsgrundlaget er, afhængigt af sagen, artikel 6, stk. 1, litra b), i GDPR, artikel 6, stk. 1, litra f), i GDPR, artikel 6, stk. 1, litra c), i GDPR og, hvor det er nødvendigt i enkelte tilfælde, artikel 6, stk. 1, litra a), i GDPR.

12. Kontakt

Hvis du kontakter os via e-mail, behandler vi de oplysninger, du giver os, (f.eks. navn, e-mailadresse, indholdet af meddelelsen), for at kunne behandle din henvendelse.

Retsgrundlaget er artikel 6, stk. 1, litra b), i GDPR; (for så vidt angår (præ-)kontraktmæssig kommunikation) eller artikel 6, stk. 1, litra f), i GDPR; (generelle forespørgsler; berettiget interesse i effektiv kommunikation).

Kontaktformular: Hvis der stilles en kontaktformular til rådighed, behandler vi de data, der indsamles der, udelukkende med henblik på at behandle forespørgslen. Denne privatlivspolitik opdateres efter behov, f.eks. hvis der implementeres yderligere tjenester såsom spam-beskyttelse.

13. Nyhedsbrev

Hvis vi i fremtiden tilbyder et nyhedsbrev,

14. Afsendelse af e-mails via AWS SES

Vi bruger Amazon Simple Email Service (AWS SES) til at sende system- og transaktions-e-mails; (f.eks. bekræftelser, personlige adgangslinks, genudsendelse af beskeder, galleri- eller aftalebekræftelser, købs- eller betalingsoplysninger, faktura- eller sælger-/udbetalingsbekræftelser); vi bruger Amazon Simple Email Service (AWS SES).

Navnlig behandles e-mailadressen, hvor det er relevant, navn, sprogkontekst og tekniske metadata for e-mailen; (f.eks. leveringsoplysninger).

Retsgrundlaget er artikel 6, stk. 1, litra b), i GDPR, artikel 6, stk. 1, litra c), i GDPR, og/eller artikel 6, stk. 1, litra f), i GDPR.

15. Betalinger, abonnementer, Stripe og Stripe Connect

Når der benyttes betalte tjenester, abonnementer, lagerpakker, køb af billeder eller licenser, sælgerkonti eller udbetalingsfunktioner, behandler vi de fakturerings-, transaktions- og verifikationsdata, der er nødvendige til dette formål.

Dette kan især omfatte:

navn, adresse, e-mailadresse og faktureringsoplysninger,
købte eller bookede tjenester, beløb, valutaer og betalingsstatus,
fakturerings-, refusions-, tvist-, tilbageførsels- og udbetalingsdata,
og, i tilfælde af sælger- eller udbetalingsfunktioner, yderligere virksomheds-, selskabsform-, skatte-, bank- og verifikationsdata samt oplysninger om bemyndigede repræsentanter eller reelle ejere, hvor det er nødvendigt.

Til betalingsbehandling, abonnementer, sælgeronboarding og udbetalingsfunktioner bruger vi især Stripe og Stripe Connect. Hvis du afgiver personoplysninger i forbindelse med betalingstjenester, modtager Stripe disse oplysninger og behandler dem i overensstemmelse med Stripes

Denne behandling tjener formålene med betalingsbehandling, kontraktopfyldelse, fakturering, overholdelse af juridiske forpligtelser, forebyggelse af svig og misbrug, verifikation af sælgere og gennemførelse af udbetalinger. Retsgrundlaget er artikel 6, stk. 1, litra b), i GDPR, artikel 6, stk. 1, litra c), i GDPR, artikel 6, stk. 1, litra f), i GDPR og, hvis nødvendigt, artikel 6, stk. 1, litra a), i GDPR.

I tilfælde af køb eller betalingsprocesser, der er initieret af eller involverer mindreårige, kan yderligere oplysninger om den betalende, godkendende eller bemyndigede voksne samt status- og verifikationsdata vedrørende godkendelse, bemyndigelse, refusioner eller tilbageførsler også behandles.

I tilfælde af øjeblikkelig levering af digitale billeder eller digitale brugsrettigheder kan bekræftelser vedrørende den øjeblikkelige påbegyndelse af leveringen, udløbet af en fortrydelsesret, repræsentativ godkendelse samt de tilknyttede tidspunkter, tekstversioner, sprogversioner, tekniske beviser og revisionsoplysninger også behandles.

16. Modtagere / Databehandlere / Uafhængige dataansvarlige

Vi engagerer tjenesteudbydere, der behandler data på vores vegne (databehandling i henhold til artikel 28 i GDPR), og overfører også data til organer, der kan fungere som uafhængige dataansvarlige i den relevante sammenhæng.

Disse omfatter især:

Amazon Web Services EMEA SARL – hosting-, lagrings- og infrastrukturtjenester,
Amazon Web Services (AWS SES) – afsendelse af e-mails,
Stripe / Stripe Connect – betalingsbehandling, onboarding af sælgere, verifikation og udbetalinger,
Fotografer, købere, fotograferede personer, personer, der modtager varer, eller andre involverede parter, i det omfang dette er nødvendigt for gennemførelsen af en konkret sag, et galleri, et køb, en aftale eller fremlæggelse af beviser,
Skatte- og juridiske rådgivere, banker, offentlige myndigheder eller andre organer, i det omfang dette er nødvendigt for opfyldelsen af en kontrakt, håndhævelsen af juridiske rettigheder eller opfyldelsen af juridiske forpligtelser.

17. Overførsel til tredjelande

I det omfang personoplysninger i forbindelse med brugen af AWS, AWS SES, Stripe eller andre anvendte tjenester overføres til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), sker dette kun i overensstemmelse med kravene i artikel 44 ff. i GDPR, f.eks. på grundlag af passende garantier såsom standardkontraktbestemmelser og/eller andre anerkendte beskyttelsesmekanismer.

18. Opbevaringsperiode og arkivering

Vi behandler og opbevarer personoplysninger kun så længe,

Følgende gælder især for Contrima:

Vi opbevarer generelt kun server- og sikkerhedslogfiler, så længe det er nødvendigt af hensyn til sikkerhed, fejlanalyse og forebyggelse af misbrug.
Vi opbevarer generelt kontodata, fotografprofiler, faktura- og sælgerdata i hele kontraktforholdets varighed og derefter, i det omfang dette er nødvendigt af hensyn til lovmæssige opbevaringsforpligtelser, retsforsvar eller bevisførelse.
Vi opbevarer krav-, adgangs-, galleri-, samtykke-, licens- og købsdata så længe, det er nødvendigt for sagsbehandlingen, dokumentation, verificerbarhed, juridisk forsvar og opfyldelse af lovmæssige forpligtelser.
Uploaded originale billeder opbevares generelt i aktivt lager for endelige aktive sager i op til 90 dage fra den sidste væsentlige aktivitet og overføres derefter til et ikke-offentligt arkiv.
Udkast, testsager eller andre ikke-afsluttede sager, der ikke er blevet færdiggjort, kan slettes i overensstemmelse med den respektive produktstatus eller takst.
Arkiverede originaldata kan opbevares på ubestemt tid i ikke-offentlige arkivlagringsklasser inden for AWS-infrastrukturen, herunder AWS S3 Glacier Deep Archive, forudsat at der ikke er juridiske eller kontraktmæssige grunde til sletning.
Verifikations-, aftale-, revisions-, miniature-, fingeraftryks-, hash-, fakturerings- og andre dokumentationsdata kan forblive gemt i længere perioder eller separat, uanset den aktive tilgængelighed af de originale billeder.

Arkiverede objekter i Deep Archive-lagringsklasser er ikke offentligt tilgængelige; og er generelt ikke tilgængelige i realtid; en separat gendannelsesproces kan være påkrævet for at få adgang igen.

19. Dine rettigheder

Inden for rammerne af lovkravene har du især følgende rettigheder:

Ret til indsigt (art. 15 i GDPR),
Retten til berigtigelse (art. 16 i GDPR),
Retten til sletning (art. 17 i GDPR),
Retten til begrænsning af behandling (art. 18 i GDPR),
Ret til dataportabilitet (art. 20 i GDPR),
Retten til at gøre indsigelse mod behandling baseret på artikel 6, stk. 1, litra f), i GDPR (artikel 21 i GDPR),
Ret til til enhver tid at tilbagekalde samtykke med virkning for fremtiden.

20. Ret til at indgive en klage til en tilsynsmyndighed

Du har ret til at indgive en klage til en tilsynsmyndighed for databeskyttelse, især i den medlemsstat, hvor du har din sædvanlige bopæl, dit arbejdssted eller stedet for den påståede overtrædelse. Den kompetente myndighed for vores hjemsted er:

Statskommissæren for databeskyttelse og informationsfrihed i Baden-Württemberg (LfDI BW)
Postboks 10 29 32
70025 Stuttgart
E-mail: poststelle@lfdi.bwl.de
Hjemmeside: baden-wuerttemberg.datenschutz.de

21. Ændringer af denne privatlivspolitik

Vi forbeholder os ret til at ændre denne privatlivspolitik, hvis den juridiske situation, tjenester, betalingstjenester, opbevarings- og arkiveringsprocedurer eller databehandlingspraksis ændres. Den version, der på et givet tidspunkt er offentliggjort på denne side, gælder.

22. Forpligtelse til at afgive oplysninger

Du er generelt ikke forpligtet til at afgive personoplysninger blot for at besøge hjemmesiden med henblik på at indhente oplysninger. Men hvis du bruger et adgangspunkt eller et galleri, indsender en erklæring, foretager et køb eller aktiverer sælger-/udbetalingsfunktioner, kræves visse oplysninger for at levere den relevante tjeneste, behandle transaktionen, håndtere betalinger, foretage udbetalinger eller opfylde lovmæssige forpligtelser.

23. Ingen fuldautomatisk beslutningstagning

Der finder i øjeblikket ikke fuldautomatisk beslutningstagning sted, herunder profilering i henhold til artikel 22 i GDPR. Sikkerheds-, svindel-, risiko- eller compliance-mekanismer kan dog medføre, at adgang, uploads, offentliggørelser, betalinger eller udbetalinger midlertidigt begrænses og efterfølgende kontrolleres manuelt.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.