Privacy

Deze gegevensbeschermingstekst legt uit hoe Contrima persoonlijke gegevens verwerkt in fotograafrekeningen, deelnemers- en toegangsprocessen, galerieën, communicatie, documentatie evenals in schenk-, ruil-, verkoop- en licentieprocessen, inclusief de bijbehorende betalings- en uitbetalingsprocessen. Het geeft een overzicht van de doeleinden, processen, beschermingsmaatregelen en rechten van betrokkenen. De Engelse versie is gezaghebbend; vertalingen zijn uitsluitend bedoeld voor een beter begrip.

Versie v3 · Gepubliceerd 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Taal en vertalingen

Dit privacybeleid is beschikbaar in verschillende talen. De Engelse versie is bindend. Vertalingen worden uitsluitend ter verduidelijking aangeboden. Verplichte rechten volgens de wetgeving van de gebruikelijke verblijfplaats van de betrokkene blijven onverminderd van kracht.

2. Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) is:
Mark Reinhardt (eenmanszaak)
"Contrima" is een dienst die wordt aangeboden door Mark Reinhardt
E-mail: info@contrima.com

3. Overzicht: welke gegevens verwerken wij en waarom

Wij verwerken persoonsgegevens om Contrima vanuit technisch oogpunt aan te bieden, om de dienst te beveiligen en verder te ontwikkelen, en om processen met betrekking tot fotografen, galerijen, goedkeuringen, geschenken, ruiltransacties, verkopen, licenties, aankopen, abonnementen, verkopers en betalingen uit te voeren en te documenteren.

Dit omvat met name gegevens uit de werking van de website, uit gebruikersaccounts en fotograafprofielen, uit QR- en toegangssystemen, claim- en galerijprocessen, uit preview-, publicatie-, goedkeurings-, toestemmings-, licentie- en aankoopprocedures, uit communicatie, evenals uit facturering, betalingsverwerking, onboarding van verkopers, verificatie, uitbetalingen, archivering en administratie.

Wij verwerken persoonsgegevens met name op basis van de volgende rechtsgrondslagen:

Art. 6, lid 1, onder b) AVG (overeenkomst / precontractuele maatregelen),
Art. 6, lid 1, onder c) AVG (wettelijke verplichting),
Art. 6, lid 1, onder f) AVG (gerechtvaardigde belangen, bijv. veilige en stabiele dienstverlening, opsporing van misbruik en fraude, traceerbaarheid, rechtsverdediging, archivering en betrouwbare betalingsverwerking),
Art. 6, lid 1, onder a) AVG (toestemming, indien vereist in individuele gevallen).

Wanneer wij gegevens verwerken op basis van toestemming, kunt u uw toestemming te allen tijde intrekken met werking voor de toekomst.

Contrima verwerkt bepaalde gegevens als zelfstandige verwerkingsverantwoordelijke, met name voor platformbeheer, beveiliging, communicatie, facturering, verkopers-/uitbetalingsprocessen, documentatie, verificatie en archivering. Wanneer Contrima individuele taken uitvoert namens de betreffende fotograaf, vindt de verwerking plaats binnen het kader dat in elk geval door de wet wordt voorgeschreven.

4. Hosting- en opslaginfrastructuur (AWS, regio Ierland)

Contrima wordt geëxploiteerd in de AWS-regio Ierland (EU). Gegevens die worden gegenereerd bij het bezoeken van de website of het gebruik van het platform worden verwerkt op de systemen van onze hostingprovider.

Hostingdienstverlener (gegevensverwerker):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxemburg (“AWS”)

Voor de opslag van beeldgegevens, voorbeeldbestanden, galerijinhoud, proefbestanden en archiefbestanden kunnen binnen de AWS-infrastructuur verschillende opslag- en archiefopslagklassen worden gebruikt, waaronder niet-openbare archiefopslagklassen zoals AWS S3 Glacier Deep Archive.

5. Toegangsgegevens / serverlogbestanden

Telkens wanneer de website of het platform wordt bezocht, verwerkt de webserver automatisch informatie in zogenaamde serverlogbestanden. Dit kan met name het volgende omvatten:

IP-adres (of een technisch gelijkwaardige identificatiecode),
datum en tijdstip van het verzoek,
opgezochte pagina/bestand (URL/pad),
verwijzende URL,
browsertype/versie en besturingssysteem,
statuscodes/foutmeldingen,
hoeveelheid overgedragen gegevens.

Het doel van de verwerking is de technische beschikbaarheid, stabiliteit en beveiliging van de website en het platform (bijv. foutanalyse, bescherming tegen aanvallen, opsporing van misbruik en controle van beveiligingsgerelateerde toegang). De rechtsgrondslag is artikel 6, lid 1, onder f), van de AVG.

De logbestanden worden slechts zo lang bewaard als nodig is voor de genoemde doeleinden, en worden vervolgens verwijderd of geanonimiseerd, mits geen verdere bewaring vereist is voor bewijsdoeleinden (bijv. in geval van beveiligingsincidenten).

6. Versleuteling (TLS/SSL)

Om veiligheidsredenen maken wij gebruik van transportversleuteling (TLS/SSL) om de best mogelijke bescherming van de verzonden inhoud te waarborgen. Houd er echter rekening mee dat gegevensoverdracht via het internet nog steeds onderhevig kan zijn aan beveiligingsrisico's.

7. Cookies en soortgelijke technologieën

Onze website en ons platform kunnen gebruikmaken van cookies of soortgelijke technologieën. Wij maken onderscheid tussen:

Technisch noodzakelijke cookies of soortgelijke mechanismen (bijv. sessiecookies voor inloggen, taal, navigatie, beveiliging en token-contexten),
Optionele cookies/tools, die alleen met uw toestemming worden gebruikt, indien nodig.

Technisch noodzakelijke cookies zijn vereist om de website en het platform te kunnen aanbieden. De rechtsgrondslag voor het opslaan/lezen hiervan op eindapparaten is § 25, lid 2, punt 2 van de TDDDG; de verdere verwerking van persoonsgegevens vindt plaats op basis van art. 6, lid 1, punt f AVG of art. 6, lid 1, punt b AVG, indien de functie noodzakelijk is voor de uitvoering van een overeenkomst of de uitvoering van een specifieke workflow.

Voor zover in de toekomst analyse-, marketing- of andere tools worden gebruikt waarvoor toestemming vereist is, zullen wij dit privacybeleid aanpassen en – indien nodig – vooraf toestemming vragen.

8. Gebruikersaccount, fotograafprofiel en verkopersaccount

Wanneer wij de mogelijkheid bieden om een gebruikersaccount aan te maken of in te loggen, verwerken wij de gegevens die hiervoor nodig zijn (bijv. e-mailadres, inloggegevens, technische sessiegegevens, taalinstellingen, tijdzone, profielgegevens en beveiligingsinformatie), om het gebruikersaccount aan te bieden, inloggen mogelijk te maken, het profiel te beheren en de veiligheid van het systeem te waarborgen.

Voor fotograafprofielen kunnen ook aanvullende profiel-, portfolio-, showcase-, facturerings-, verkopers-, belasting-, abonnements-, opslag- en prijsgegevens worden verwerkt, voor zover deze functies worden aangeboden of geactiveerd.

De rechtsgrondslag is in het algemeen artikel 6, lid 1, onder b) van de AVG en artikel 6, lid 1, onder f) van de AVG (beveiligingsbelangen, preventie van misbruik, systeemstabiliteit).

Opmerking: Wachtwoorden worden niet in leesbare tekst opgeslagen, maar worden over het algemeen opgeslagen als een hashwaarde (technische beveiligingsprocedure).

9. Gegevens met betrekking tot gefotografeerde personen, ontvangers en andere betrokkenen

Contrima verwerkt ook persoonsgegevens van gefotografeerde personen, aanvaardende personen, kopers en andere betrokkenen in verband met uploads, galerijopdrachten, toegangsprocessen, previews, publicaties, goedkeuringen, toestemmingen, licenties, aankopen en de documentatie van specifieke gevallen.

Dergelijke gegevens kunnen rechtstreeks afkomstig zijn van de betrokkene (bijv. wanneer deze een toegangspunt opent, een e-mailadres opgeeft, een taal selecteert, een verklaring aflegt of een aankoop doet) of ons indirect bereiken via de fotograaf of andere betrokken partijen; (bijv. via het uploaden van beeldbestanden, opdrachtgegevens, contactgegevens, QR-kaarten, galerijverwijzingen of casusinformatie).

Afhankelijk van het geval worden met name de volgende gegevens verwerkt: beeldbestanden, opdracht- en casusinformatie, contactgegevens, taal- en apparaatcontext, statusgegevens, verklarings- en contractgegevens, evenals verificatie- en auditinformatie.

In gevallen waarbij minderjarigen en vertegenwoordigers betrokken zijn, kunnen ook rolgegevens, machtigings- en vertegenwoordigingsbevestigingen, overeenkomsten tussen de minderjarige en de machtigende volwassene, tijdstempels, communicatiegegevens, verificatiegegevens en statusinformatie met betrekking tot aankoop, betaling, activering of levering worden verwerkt, voor zover dit noodzakelijk is voor de betreffende workflow.

Wanneer persoonsgegevens niet rechtstreeks bij de betrokkene worden verzameld, voldoen wij aan de informatieverplichtingen uit hoofde van artikel 14 van de AVG voor zover dit wettelijk vereist is. De wettelijke toelaatbaarheid van het maken van een foto en de eerste upload hangt af van het specifieke individuele geval en de verantwoordelijkheid van de fotograaf.

10. QR-codes, toegangssysteem, claimen en persoonlijke toegangslinks

Contrima kan QR-codes, openbare toegangscodes, persoonlijke toegangslinks, toegangstokens, taalcontexten en soortgelijke toegangssystemen aanbieden, om gefotografeerde personen, ontvangers, kopers of andere betrokken partijen toegang te geven tot deelnemerspagina's, galerijen, previews, goedkeurings-, toestemmings- of aankoopprocessen.

Hierbij verwerken wij met name openbare of persoonlijke codes, tokenwaarden, voorkeurstaal, tijdstempels, claimstatus, herverzendgebeurtenissen, sessie- of browsermarkeringen, beveiligingsinformatie en het e-mailadres dat in de betreffende flow is opgegeven.

Wanneer minderjarigen gebruikmaken van persoonlijke toegang of een claim-, autorisatie-, licentie- of aankoopproces, kunnen de eigen betrokkenheid van de minderjarige en de vereiste toestemming van een ouder of voogd of andere bevoegde volwassene afzonderlijk worden gedocumenteerd.

Deze verwerking dient om op veilige wijze toegang te verlenen, om een specifiek geval toe te wijzen, om misbruik te voorkomen, om gepersonaliseerde links te leveren, om een taalgeschikte weergave te garanderen, en om de technische en organisatorische aspecten van de betreffende workflow uit te voeren. De rechtsgrondslag is artikel 6, lid 1, onder b) AVG en artikel 6, lid 1, onder f) AVG.

In neutrale herhalingsweergaven kunnen wij contactgegevens in gemaskeerde vorm weergeven en kunnen wij om veiligheidsredenen geen directe toegang meer verlenen.

11. Galerijen, voorbeelden, publicaties en overeenkomsten

In het kader van galerijen en licenties verwerken wij met name informatie met betrekking tot: zaken, galerijen, toewijzingen aan deelnemers, afbeeldingsvarianten, voorbeelden, watermerken, publicatieniveaus, activeringen, aankoop-, goedkeurings-, autorisatie- en toestemmingsstatussen, evenals de voor de specifieke zaak geselecteerde pakketten of aanbiedingen.

Voor documentatie- en verificatiedoeleinden kunnen we ook het volgende registreren: de toepasselijke pakketversie, de weergegeven tekstversie, de taal, het tijdstempel, het gebruikte e-mailadres, de context van het portaal of de toegangstoken, en andere technisch noodzakelijke auditgegevens. PDF- of vergelijkbare overeenkomst- en verificatiedocumenten kunnen worden gegenereerd, opgeslagen en ter beschikking gesteld aan de betrokken partijen.

Deze verwerking dient voor de afhandeling van het betreffende geval, het weergeven van voorbeelden, het activeren van toegang na toestemming of betaling, het documenteren van verklaringen en contracten, het verifiëren van de reikwijdte van rechten en voor juridische verdediging. De rechtsgrondslag is, afhankelijk van het geval, artikel 6, lid 1, onder b) AVG, artikel 6, lid 1, onder f) AVG, artikel 6, lid 1, onder c) AVG en, indien nodig in individuele gevallen, artikel 6, lid 1, onder a) AVG.

12. Contact met ons opnemen

Als u per e-mail contact met ons opneemt, verwerken wij de door u verstrekte gegevens (bijv. naam, e-mailadres, inhoud van het bericht), om uw aanvraag te behandelen.

De rechtsgrondslag is artikel 6, lid 1, onder b), van de AVG; (voor zover het (pre-)contractuele communicatie betreft) of artikel 6, lid 1, onder f), van de AVG; (algemene vragen; gerechtvaardigd belang bij efficiënte communicatie).

Contactformulier: Indien er een contactformulier wordt aangeboden, verwerken wij de daar verzamelde gegevens uitsluitend met het oog op de afhandeling van de aanvraag. Dit privacybeleid wordt indien nodig bijgewerkt, bijvoorbeeld indien aanvullende diensten zoals spambescherming worden geïmplementeerd.

13. Nieuwsbrief

Mocht wij in de toekomst een nieuwsbrief aanbieden, dan zullen wij dit privacybeleid aanpassen en in het bijzonder op transparante wijze de aanbieder van de mailingservice, de double opt-in-procedure, eventuele prestatiestatistieken, en de mogelijkheden tot uitschrijving vermelden.

14. Verzending van e-mails via AWS SES

Wij gebruiken Amazon Simple Email Service (AWS SES) voor het verzenden van systeem- en transactionele e-mails; (bijv. bevestigingen, persoonlijke toegangslinks, herverzendingen, galerij- of afspraakmeldingen, aankoop- of betalingsinformatie, factuur- of verkoper-/uitbetalingsmeldingen); wij gebruiken Amazon Simple Email Service (AWS SES).

In het bijzonder worden het e-mailadres, indien van toepassing de naam, de taalcontext en technische metadata van de e-mail (bijv. bezorginformatie) verwerkt.

De rechtsgrondslag is artikel 6, lid 1, onder b) van de AVG, artikel 6, lid 1, onder c) van de AVG, en/of artikel 6, lid 1, onder f) van de AVG.

15. Betalingen, abonnementen, Stripe en Stripe Connect

Wanneer gebruik wordt gemaakt van betaalde diensten, abonnementen, opslagpakketten, aankopen van afbeeldingen of licenties, verkopersaccounts of uitbetalingsfuncties, verwerken wij de facturerings-, transactie- en verificatiegegevens die hiervoor nodig zijn.

Dit kan met name het volgende omvatten:

naam, adres, e-mailadres en factuurgegevens,
aangeschafte of geboekte diensten, bedragen, valuta's en betalingsstatus,
facturerings-, terugbetalings-, geschil-, terugboekings- en uitbetalingsgegevens,
en, in het geval van verkopers- of uitbetalingsfuncties, aanvullende bedrijfs-, rechtsvorm-, belasting-, bank- en verificatiegegevens, evenals gegevens van gevolmachtigden of economische eigenaren, indien nodig.

Voor betalingsverwerking, abonnementen, onboarding van verkopers en uitbetalingsfuncties maken we met name gebruik van Stripe en Stripe Connect. Als u persoonsgegevens verstrekt in verband met betalingsdiensten, ontvangt Stripe deze gegevens en verwerkt deze in overeenstemming met het privacybeleid van Stripe.

Deze verwerking dient voor de doeleinden van betalingsverwerking, contractuitvoering, facturering, naleving van wettelijke verplichtingen, preventie van fraude en misbruik, verificatie van verkopers en de uitvoering van uitbetalingen. De rechtsgrondslag is artikel 6, lid 1, onder b) van de AVG, artikel 6, lid 1, onder c) van de AVG, artikel 6, lid 1, onder f) van de AVG en, indien nodig, artikel 6, lid 1, onder a) van de AVG.

In het geval van aankopen of betalingsprocessen die door of met minderjarigen worden geïnitieerd, kunnen ook aanvullende gegevens over de betalende, goedkeurende of bevoegde volwassene, evenals status- en verificatiegegevens met betrekking tot goedkeuring, machtiging, terugbetalingen of terugboekingen, worden verwerkt.

In het geval van de onmiddellijke levering van digitale afbeeldingen of digitale gebruiksrechten, kunnen ook bevestigingen met betrekking tot de onmiddellijke start van de levering, het verstrijken van een herroepingsrecht, goedkeuring door een vertegenwoordiger, evenals de bijbehorende tijden, tekstversies, taalversies, technisch bewijs en auditinformatie worden verwerkt.

16. Ontvangers / Verwerkers / Onafhankelijke verwerkingsverantwoordelijken

Wij schakelen dienstverleners in die namens ons gegevens verwerken (gegevensverwerking overeenkomstig artikel 28 van de AVG), en dragen ook gegevens over aan instanties die in de betreffende context als onafhankelijke verwerkingsverantwoordelijken kunnen optreden.

Hieronder vallen met name:

Amazon Web Services EMEA SARL – hosting-, opslag- en infrastructuurdiensten,
Amazon Web Services (AWS SES) – verzending van e-mails,
Stripe / Stripe Connect – betalingsverwerking, onboarding van verkopers, verificatie en uitbetalingen,
Fotografen, kopers, gefotografeerde personen, personen die goederen in ontvangst nemen of andere betrokken partijen, voor zover dit noodzakelijk is voor de uitvoering van een specifiek geval, een galerij, een aankoop, een overeenkomst of het leveren van bewijs,
Belastingadviseurs, juridische adviseurs, banken, overheidsinstanties of andere instanties, voor zover dit noodzakelijk is voor de uitvoering van een overeenkomst, de handhaving van wettelijke rechten of de nakoming van wettelijke verplichtingen.

17. Doorgifte naar derde landen

Voor zover in het kader van het gebruik van AWS, AWS SES, Stripe of andere ingezette diensten persoonsgegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER), gebeurt dit uitsluitend in overeenstemming met de vereisten van de artikelen 44 e.v. van de AVG, bijvoorbeeld op basis van passende waarborgen zoals modelcontractbepalingen en/of andere erkende beschermingsmechanismen.

18. Bewaartermijn en archivering

Wij verwerken en bewaren persoonsgegevens alleen zolang, dit noodzakelijk is voor de betreffende doeleinden, of er wettelijke bewaarplichten gelden. Daarna worden de gegevens gewist, geanonimiseerd, of overgebracht naar een archiefstatus die past bij hun status en doel.

Het volgende geldt in het bijzonder voor Contrima:

Wij bewaren server- en beveiligingslogs over het algemeen alleen zolang dit nodig is voor beveiliging, foutanalyse en het voorkomen van misbruik.
Wij bewaren accountgegevens, fotograafprofielen, factuur- en verkopersgegevens in het algemeen voor de duur van de contractuele relatie en daarna, voor zover dit noodzakelijk is voor wettelijke bewaarplichten, rechtsverdediging of voor bewijsdoeleinden.
Wij bewaren claim-, toegangs-, galerij-, toestemmings-, licentie- en aankoopgegevens zolang als nodig is voor de afhandeling van de zaak, documentatie, verifieerbaarheid, rechtsverdediging en de nakoming van wettelijke verplichtingen.
Geüploade originele afbeeldingen worden over het algemeen voor definitieve actieve zaken tot 90 dagen na de laatste significante activiteit in de actieve opslag bewaard en vervolgens overgebracht naar een niet-openbaar archief.
Concepten, testcases of andere niet-afgeronde zaken die niet zijn voltooid, kunnen worden verwijderd in overeenstemming met de respectieve productstatus of het tarief.
Gearchiveerde originele gegevens kunnen voor onbepaalde tijd worden opgeslagen in niet-openbare archiefopslagklassen binnen de AWS-infrastructuur, waaronder AWS S3 Glacier Deep Archive, mits er geen wettelijke of contractuele gronden voor verwijdering zijn.
Verificatie-, overeenkomst-, audit-, miniatuur-, vingerafdruk-, hash-, facturerings- en andere documentatiegegevens kunnen voor langere perioden of afzonderlijk worden bewaard, ongeacht de actieve beschikbaarheid van de originele afbeeldingen.

Gearchiveerde objecten in Deep Archive-opslagklassen zijn niet openbaar toegankelijk; en zijn over het algemeen niet in realtime toegankelijk; voor hertoegang kan een afzonderlijk herstelproces vereist zijn.

19. Uw rechten

Binnen het kader van de wettelijke vereisten hebt u met name de volgende rechten:

Recht op inzage (art. 15 AVG),
Recht op rectificatie (art. 16 AVG),
Recht op verwijdering (art. 17 AVG),
Recht op beperking van de verwerking (art. 18 AVG),
Recht op gegevensoverdraagbaarheid (art. 20 AVG),
Recht om bezwaar te maken tegen verwerking op grond van artikel 6, lid 1, onder f), van de AVG (artikel 21 van de AVG),
Recht om de toestemming te allen tijde met werking voor de toekomst in te trekken.

20. Recht om een klacht in te dienen bij een toezichthoudende autoriteit

U hebt het recht om een klacht in te dienen bij een toezichthoudende autoriteit voor gegevensbescherming, met name in de lidstaat waar u gewoonlijk verblijft, waar u werkt of waar de vermeende inbreuk heeft plaatsgevonden. De bevoegde autoriteit voor onze statutaire zetel is:

De staatscommissaris voor gegevensbescherming en vrijheid van informatie in Baden-Württemberg (LfDI BW)
Postbus 10 29 32
70025 Stuttgart
E-mail: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Wijzigingen in dit privacybeleid

Wij kunnen dit privacybeleid wijzigen, indien de wettelijke situatie, diensten, betalingsdiensten, opslag- en archiveringsprocedures of gegevensverwerkingspraktijken veranderen. De op elk moment op deze pagina gepubliceerde versie is van toepassing.

22. Verplichting tot het verstrekken van gegevens

U bent over het algemeen niet verplicht om persoonsgegevens te verstrekken als u de website alleen bezoekt voor informatieve doeleinden. Als u echter gebruikmaakt van een toegangspunt of een galerij, een verklaring indient, een aankoop doet of verkoper-/uitbetalingsfuncties activeert, zijn bepaalde gegevens vereist om de betreffende dienst te verlenen, de transactie te verwerken, betalingen af te handelen, uitbetalingen te doen of wettelijke verplichtingen na te komen.

23. Geen volledig geautomatiseerde besluitvorming

Volledig geautomatiseerde besluitvorming, met inbegrip van profilering in de zin van artikel 22 van de AVG, vindt momenteel niet plaats. Beveiligings-, fraude-, risico- of nalevingsmechanismen kunnen er echter toe leiden dat toegang, uploads, publicaties, betalingen of opnames tijdelijk worden beperkt en vervolgens handmatig worden gecontroleerd.

Version v3 · Published 04.05.2026, 09:12 · Hash f00fe99c5db7

Privacy

1. Language and translations

This privacy policy is provided in several languages. The English version is authoritative. Translations are provided solely for the sake of clarity. Mandatory rights under the law of the data subject’s usual place of residence remain unaffected.

2. Data Controller

The data controller within the meaning of the General Data Protection Regulation (GDPR) is:
Mark Reinhardt (sole trader)
"Contrima" is a service provided by Mark Reinhardt
Email: info@contrima.com

3. Overview: What data we process and why

We process personal data in order to provide Contrima from a technical perspective, to secure and further develop the service, and to carry out and document processes relating to photographers, galleries, approvals, gifts, exchanges, sales, licensing, purchases, subscriptions, sellers and payments.

This includes, in particular, data from the operation of the website, from user accounts and photographer profiles, from QR and access systems, claiming and gallery processes, from preview, publication, approval, consent, licensing and purchase procedures, from communication, as well as from billing, payment processing, seller onboarding, verification, payouts, archiving and record-keeping.

We process personal data in particular on the following legal bases:

Art. 6(1)(b) GDPR (contract / pre-contractual measures),
Art. 6(1)(c) GDPR (legal obligation),
Art. 6(1)(f) GDPR (legitimate interests, e.g. secure and stable provision, detection of misuse and fraud, traceability, legal defence, archiving and reliable payment processing),
Art. 6(1)(a) GDPR (consent, where required in individual cases).

Where we process data on the basis of consent, you may withdraw your consent at any time with effect for the future.

Contrima processes certain data as a data controller in its own right, in particular for platform operation, security, communication, billing, seller/payout processes, documentation, verification and archiving. Where Contrima performs individual functions on behalf of the respective photographer, processing takes place within the framework provided for by law in each case.

4. Hosting and storage infrastructure (AWS, Ireland region)

Contrima is operated in the AWS Ireland (EU) region. Data generated when accessing the website or using the platform is processed on our hosting provider’s systems.

Hosting service provider (data processor):
Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (“AWS”)

For the storage of image data, preview files, gallery content, proof files and archive holdings, various storage and archive storage classes may be used within the AWS infrastructure, including non-public archive storage classes such as AWS S3 Glacier Deep Archive.

5. Access data / server log files

Each time the website or platform is accessed, the web server automatically processes information in so-called server log files. This may include, in particular:

IP address (or a technically equivalent identifier),
date and time of the request,
page/file accessed (URL/path),
referrer URL,
browser type/version and operating system,
status codes/error messages,
amount of data transferred.

The purpose of processing is the technical provision, stability and security of the website and platform (e.g. error analysis, defence against attacks, detection of misuse and auditing of security-related access). The legal basis is Article 6(1)(f) of the GDPR.

The log files are only stored for as long as is necessary for the purposes stated, and are subsequently deleted or anonymised, provided that no further retention is required for evidential purposes (e.g. in the event of security incidents).

6. Encryption (TLS/SSL)

For security reasons, we use transport encryption (TLS/SSL) to provide the best possible protection for transmitted content. Please note, however, that data transmission over the internet may still be subject to security vulnerabilities.

7. Cookies and similar technologies

Our website and platform may use cookies or similar technologies. We distinguish between:

Technically necessary cookies or similar mechanisms (e.g. session cookies for login, language, navigation, security and token contexts),
Optional cookies/tools, which are only used with your consent, where necessary.

Technically necessary cookies are required to provide the website and platform. The legal basis for storing/reading these on end devices is Section 25(2)(2) of the TDDDG; the subsequent processing of personal data takes place on the basis of Art. 6(1)(f) GDPR or Art. 6(1)(b) GDPR, if the function is necessary for the performance of a contract or the execution of a specific workflow.

Insofar as analysis, marketing or other tools requiring consent are used in future, we will amend this privacy policy and – where necessary – obtain consent in advance.

8. User account, photographer profile and seller account

Where we offer the option to create a user account or log in, we process the data required for this purpose (e.g. email address, login details, technical session data, language settings, time zone, profile data and security information), in order to provide the user account, enable login, manage the profile and ensure the security of the system.

For photographer profiles, additional profile, portfolio, showcase, invoicing, seller, tax, subscription, storage and pricing data may also be processed, insofar as these functions are offered or activated.

The legal basis is generally Article 6(1)(b) of the GDPR and Article 6(1)(f) of the GDPR (security interests, prevention of misuse, system stability).

Note: Passwords are not stored in plain text, but are generally stored as a hash value (technical security procedure).

9. Data relating to photographed persons, accepting persons and other data subjects

Contrima also processes personal data of photographed persons, accepting persons, buyers and other data subjects in connection with uploads, gallery assignments, access processes, previews, publications, approvals, consents, licensing, purchases and the documentation of specific cases.

Such data may originate directly from the data subject (e.g. when they open an access point, provide an email address, select a language, make a declaration or make a purchase) or reach us indirectly via the photographer or other parties involved; (e.g. through the upload of image files, assignment data, contact details, QR cards, gallery references or case information).

Depending on the case, the following data in particular is processed: image files, assignment and case information, contact details, language and device contexts, status data, declaration and contract data, as well as verification and audit information.

In cases involving minors and representatives, additional role details, consent and representation confirmations, associations between the minor and the consenting adult, timestamps, communication data, verification data and status information regarding purchase, payment, activation or delivery may also be processed, insofar as this is necessary for the respective workflow.

Where personal data is not collected directly from the data subject, we fulfil the information obligations under Article 14 of the GDPR to the extent required by law. The legal permissibility of taking a photograph and the initial upload depends on the specific individual case and the responsibility of the photographer.

10. QR codes, access system, claiming and personal access links

Contrima may provide QR codes, public access codes, personal access links, access tokens, language contexts and similar access systems, to enable photographed persons, recipients, buyers or other parties involved to access participant pages, galleries, previews, approval, consent or purchase processes.

In doing so, we process in particular public or personal codes, token values, preferred language, timestamps, claim status, resend events, session or browser markers, security information and the email address provided in the respective flow.

Where minors use personal access or a claiming, authorisation, licensing or purchase process, the minor’s own involvement and the required authorisation by a parent or guardian or other authorised adult may be documented separately.

This processing serves to securely provide access, to assign a specific case, to prevent misuse, to deliver personalised links, to ensure language-appropriate display, and to carry out the technical and organisational aspects of the respective workflow. The legal basis is Article 6(1)(b) GDPR and Article 6(1)(f) GDPR.

In neutral repeat views, we may display contact details in a masked form and, for security reasons, cannot disclose direct access again.

11. Galleries, previews, publications and agreements

In the context of galleries and licences, we process, in particular, information regarding: cases, galleries, participant assignments, image variants, previews, watermarks, publication levels, activations, purchase, approval, authorisation and consent statuses, as well as the packages or offers selected for the specific case.

For documentation and verification purposes, we may also log the applicable package version, the displayed text version, the language, the timestamp, the email address used, the portal or access token context, and other technically necessary audit data. PDF or comparable agreement and verification documents may be generated, stored and made available to the parties involved.

This processing serves to handle the respective case, display previews, activate access following consent or payment, document declarations and contracts, verify the scope of rights, and defend legal interests. The legal basis, depending on the case, is Article 6(1)(b) of the GDPR, Article 6(1)(f) of the GDPR, Article 6(1)(c) of the GDPR and, where necessary in individual cases, Article 6(1)(a) of the GDPR.

12. Contacting us

If you contact us by email, we process the data you provide (e.g. name, email address, content of the message), in order to deal with your enquiry.

The legal basis is Article 6(1)(b) of the GDPR (insofar as this concerns (pre-)contractual communication) or Article 6(1)(f) of the GDPR (general enquiries; legitimate interest in efficient communication).

Contact form: Where a contact form is provided, we process the data collected there exclusively for the purpose of handling the enquiry. This privacy policy will be updated as necessary, e.g. if additional services such as spam protection are implemented.

13. Newsletter

Should we offer a newsletter in future, we will amend this privacy policy and, in particular, transparently disclose the mailing service provider, the double opt-in procedure, any performance metrics, and options for withdrawal.

14. Sending emails via AWS SES

For the sending of system and transactional emails, (e.g. confirmations, personal access links, resend messages, gallery or appointment notifications, purchase or payment information, invoice or seller/payout notifications) we use Amazon Simple Email Service (AWS SES).

In particular, the email address, where applicable, name, language context and technical metadata of the email (e.g. delivery information) are processed.

The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, and/or Article 6(1)(f) of the GDPR.

15. Payments, subscriptions, Stripe and Stripe Connect

When paid services, subscriptions, storage packages, image or licence purchases, seller accounts or payout functions are used, we process the billing, transaction and verification data required for this purpose.

This may include, in particular:

name, address, email address and billing details,
services purchased or booked, amounts, currencies and payment status,
invoicing, refund, dispute, chargeback and payout data,
and, in the case of seller or payout functions, additional company, legal form, tax, bank and verification data, as well as details of authorised representatives or beneficial owners, where necessary.

For payment processing, subscriptions, seller onboarding and payout functions, we use Stripe and Stripe Connect in particular. If you provide personal data in connection with payment services, Stripe receives this data and processes it in accordance with the Stripe Privacy Policy.

This processing serves the purposes of payment processing, contract performance, invoicing, compliance with legal obligations, prevention of fraud and misuse, seller verification and the execution of payouts. The legal basis is Article 6(1)(b) of the GDPR, Article 6(1)(c) of the GDPR, Article 6(1)(f) of the GDPR and, where necessary, Article 6(1)(a) of the GDPR.

In the case of purchases or payment processes initiated by or involving minors, additional information regarding the paying, approving or authorised adult, as well as status and verification data relating to approval, authorisation, refunds or chargebacks, may also be processed.

In the case of the immediate provision of digital images or digital rights of use, confirmations regarding the immediate start of provision, the expiry of a right of withdrawal, representative approval, as well as the associated times, text versions, language versions, technical evidence and audit information may also be processed.

16. Recipients / Data processors / Independent controllers

We engage service providers who process data on our behalf (processing on behalf of the controller pursuant to Article 28 of the GDPR), and we also transfer data to bodies which may act as independent controllers in the relevant context.

These include, in particular:

Amazon Web Services EMEA SARL – hosting, storage and infrastructure services,
Amazon Web Services (AWS SES) – sending of emails,
Stripe / Stripe Connect – payment processing, seller onboarding, verification and payouts,
Photographers, buyers, persons photographed, persons accepting delivery or other parties involved, insofar as this is necessary for the execution of a specific case, a gallery, a purchase, an agreement or the provision of evidence,
Tax advisers, legal advisers, banks, public authorities or other bodies, insofar as this is necessary for the performance of a contract, the enforcement of legal rights or the fulfilment of legal obligations.

17. Transfer to third countries

Insofar as, in the context of the use of AWS, AWS SES, Stripe or other services employed, personal data is transferred to countries outside the European Economic Area (EEA), this is done only in compliance with the requirements of Articles 44 et seq. of the GDPR, e.g. on the basis of appropriate safeguards such as standard contractual clauses and/or other recognised protection mechanisms.

18. Retention period and archiving

We process and store personal data only for as long as, it is necessary for the respective purposes or statutory retention obligations apply. Thereafter, the data is deleted, anonymised or transferred to an archive status appropriate to its status and purpose.

The following applies in particular to Contrima:

We generally store server and security logs only for as long as is necessary for security, error analysis and the prevention of misuse.
We generally store account data, photographer profiles, invoice and seller data for the duration of the contractual relationship and beyond, insofar as this is necessary for statutory retention obligations, legal defence or for purposes of providing evidence.
We store claim, access, gallery, consent, licence and purchase data for as long as is necessary for the handling of the case, documentation, verifiability, legal defence and the fulfilment of legal obligations.
Uploaded original images are generally retained in active storage for final active cases for up to 90 days from the last significant activity and are subsequently transferred to a non-public archive.
Drafts, test cases or other non-finalised cases that have not been completed may be deleted in accordance with the respective product status or tariff.
Archived original data may be stored indefinitely in non-public archive storage classes within the AWS infrastructure, including AWS S3 Glacier Deep Archive, provided there are no legal or contractual grounds for deletion.
Verification, agreement, audit, thumbnail, fingerprint, hash, billing and other documentation data may be stored for longer periods or separately, regardless of the active availability of the original images.

Archived objects in Deep Archive storage classes are not publicly accessible; and are generally not accessible in real time; a separate restore process may be required for re-access.

19. Your rights

Within the framework of the legal requirements, you have the following rights in particular:

Right of access (Art. 15 GDPR),
Right to rectification (Art. 16 GDPR),
Right to erasure (Art. 17 GDPR),
Right to restriction of processing (Art. 18 GDPR),
Right to data portability (Art. 20 GDPR),
Right to object to processing based on Article 6(1)(f) GDPR (Article 21 GDPR),
Right to withdraw consent at any time with effect for the future.

20. Right to lodge a complaint with a supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement. The competent authority for our registered office is:

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg (LfDI BW)
PO Box 10 29 32
70025 Stuttgart
Email: poststelle@lfdi.bwl.de
Website: baden-wuerttemberg.datenschutz.de

21. Changes to this Privacy Policy

We may amend this privacy policy, if the legal situation, services, payment services, storage and archiving procedures or data processing practices change. The version published on this page at any given time shall apply.

22. Obligation to provide data

You are generally not obliged to provide personal data simply for visiting the website for information purposes. However, use an access point or a gallery, submit a declaration, make a purchase or activate seller/payout functions, certain details are required to provide the relevant service, process the transaction, handle payments, make payouts or fulfil legal obligations.

23. No fully automated decision-making

Fully automated decision-making, including profiling within the meaning of Article 22 of the GDPR, does not currently take place. However, security, fraud, risk or compliance mechanisms may result in access, uploads, publications, payments or withdrawals being temporarily restricted and subsequently checked manually.