Zurück zur Startseite

Datenschutzrichtlinie

21. März 2026

1. Verantwortlicher

Bartosz Rżycki, nicht eingetragener Einzelunternehmer (działalność nierejestrowana), Polen.

Kontakt: team@albumqr.io — Antwort innerhalb von 30 Tagen.

2. Daten, die wir verarbeiten

Veranstalter

E-Mail-Adresse und Google-Profil (OAuth), Eventname und Konfiguration, Zahlungsdaten (ausschließlich über Stripe verarbeitet — wir speichern keine Kartendaten), technische Daten (IP, Protokolle).

Gäste

Fotos und Miniaturbilder (direkt über eine vorsignierte URL auf S3 hochgeladen), optionaler Name und Nachricht, Foto-Metadaten (Datum, Größe, EXIF), technische Daten. Likes werden ausschließlich lokal im Browser gespeichert.

Analyse

Google Analytics 4 — Traffic- und Interaktionsdaten (GA4-Ereignisse), mit Einwilligung des Nutzers (Consent Mode v2). Daten werden an Google LLC (USA) übermittelt.

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten Daten zur Erbringung des Dienstes und Abwicklung von Zahlungen (Vertragserfüllung), zur Gewährleistung von Sicherheit und Analyse (berechtigte Interessen), für die optionale Google-Drive-Integration (Einwilligung) sowie zur Erfüllung gesetzlicher Pflichten.

4. Verantwortung des Veranstalters für Bildrechte

⚠️ Wichtig

AlbumQR ist ein technisches Werkzeug. Der Dienstanbieter moderiert keine Inhalte und überprüft keine Einwilligungen zur Nutzung des Bildnisrechts. Der Veranstalter ist dafür verantwortlich, die Teilnehmer zu informieren und alle erforderlichen Einwilligungen einzuholen (anwendbares Bildnisrecht, DSGVO).

5. Auftragsverarbeiter

AuftragsverarbeiterZweck
Vercel Inc. (USA)Hosting; Standardvertragsklauseln (SCCs)
Amazon Web Services (S3 eu-central-1 Frankfurt, CloudFront)Fotos; SCCs
Stripe Inc. (USA)Zahlungen; eigenständiger Verantwortlicher
Google LLC (USA)OAuth, Google Analytics 4, optional Google Drive; SCCs
Neon Inc.PostgreSQL-Datenbank (AWS eu-central-1, EWR)

6. Sicherheit

  • HTTPS/TLS-verschlüsselte Übertragung
  • Fotos werden direkt über eine vorsignierte URL auf S3 hochgeladen (gültig 15 Min.)
  • Zugang zu privaten Galerien durch CloudFront Signed Cookies geschützt (24 Std.)
  • Rate-Limiting für Upload-Endpunkte

7. Aufbewahrungsfristen

  • Fotos und Metadaten — bis zur Löschung durch den Veranstalter oder bis zum Ablauf des Plans
  • Google-Kontodaten — für die Dauer des Kontos, Löschung auf Anfrage
  • Zahlungsdaten — gemäß den Stripe-Richtlinien (bis zu 5 Jahre, gesetzliche Anforderungen)
  • Technische Protokolle — bis zu 90 Tage

8. Ihre Rechte

Gemäß der DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung. Kontaktieren Sie uns: team@albumqr.io.

Sie können auch eine Beschwerde bei der polnischen Datenschutzbehörde (UODO), ul. Stawki 2, Warschau — uodo.gov.pl einreichen.

Datenschutzrechte für Einwohner Kaliforniens (CCPA/CPRA)

Wenn Sie in Kalifornien ansässig sind, haben Sie zusätzliche Rechte gemäß dem California Consumer Privacy Act (CCPA) in der durch den California Privacy Rights Act (CPRA) geänderten Fassung.

1. Recht auf Auskunft (Right to Know)

Sie haben das Recht zu erfahren, welche personenbezogenen Daten wir erheben. Wir erheben die folgenden Kategorien:

  • Identifikatoren (E-Mail-Adresse, OAuth-Profildaten von Google)
  • Event-Konfigurationsdaten (Eventname, Daten, Einstellungen)
  • Hochgeladene Foto-Metadaten (Dateigröße, Abmessungen, EXIF-Datum, Ausrichtung)
  • Nutzungsprotokolle und technische Daten (IP-Adresse, Browser-Informationen)
  • Zahlungsnachweise — ausschließlich über Stripe Inc. abgewickelt (wir speichern keine Kartennummern)

2. Recht auf Löschung (Right to Delete)

Sie können die Löschung Ihrer personenbezogenen Daten beantragen. Veranstalter können ihr Konto und alle zugehörigen Daten über die Self-Service-Kontolöschung unter /settings (Gefahrenzone → Konto löschen) oder per E-Mail an team@albumqr.io löschen.

3. Recht auf Widerspruch gegen Verkauf oder Weitergabe (Right to Opt-Out of Sale or Sharing)

AlbumQR verkauft oder teilt keine personenbezogenen Daten gegen Entgelt oder andere wertvolle Gegenleistung. Wir verkaufen Ihre Daten nicht an Dritte und geben sie nicht für kontextübergreifende verhaltensbasierte Werbung weiter.

4. Recht auf Nichtdiskriminierung (Right to Non-Discrimination)

AlbumQR wird Sie nicht benachteiligen, weil Sie Ihre CCPA-Rechte ausüben. Ihnen werden keine Dienste verweigert, andere Preise berechnet oder ein anderes Serviceniveau geboten, weil Sie Ihre Datenschutzrechte wahrgenommen haben.

5. So stellen Sie einen Antrag (How to Submit a Request)

Um einen Antrag auf Ausübung Ihrer Datenschutzrechte zu stellen, kontaktieren Sie uns unter: team@albumqr.io. Wir antworten innerhalb von 45 Tagen nach Eingang eines überprüfbaren Verbraucherantrags.

9. Cookies und localStorage

Wir verwenden NextAuth-Sitzungscookies (für die Anmeldung erforderlich) und CloudFront Signed Cookies (Galeriezugang, 24 Std.). localStorage speichert Likes und Spracheinstellungen lokal.

Mit Ihrer Einwilligung setzen wir außerdem Google-Analytics-4-Cookies (_ga, _ga_*), die bis zu 2 Jahre gespeichert werden. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Einwilligungsbanner auf „Ablehnen" klicken oder die Browserdaten löschen. Wir verwenden Consent Mode v2 — vor Erteilung der Einwilligung werden keine Analyse-Cookies gesetzt.

Google Consent Mode v2 kann Behavioral-Modeling-Techniken anwenden, einschließlich Conversion-Modellierung und Google Signals, selbst wenn ein Nutzer keine vollständige Analyse-Einwilligung erteilt hat. Das bedeutet, dass Google Traffic-Muster aus aggregierten, anonymisierten Daten schätzen kann. Einzelheiten finden Sie unter: Google Consent Mode v2.

10. Änderungen dieser Richtlinie

Die aktuelle Fassung ist unter www.albumqr.io/privacy abrufbar. Veranstalter werden über wesentliche Änderungen per E-Mail informiert.

11. Mindestalteranforderung (COPPA / DSGVO)

Dieser Dienst richtet sich an Nutzer ab 16 Jahren. Diese Anforderung entspricht Art. 8 DSGVO und dem US-amerikanischen Children's Online Privacy Protection Act (COPPA).

AlbumQR erhebt wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass solche Daten erhoben wurden, werden sie unverzüglich gelöscht.

Veranstalter sind dafür verantwortlich sicherzustellen, dass Gäste, die an ihren Events teilnehmen, die Mindestalteranforderung erfüllen.

12. Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird AlbumQR die polnische Datenschutzbehörde (UODO, ul. Stawki 2, 00-193 Warschau, uodo.gov.pl) innerhalb von 72 Stunden nach Bekanntwerden der Verletzung gemäß Art. 33 DSGVO benachrichtigen.

Wenn eine Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat, werden wir diese Personen unverzüglich direkt benachrichtigen (Art. 34 DSGVO).

Um einen vermuteten Sicherheitsvorfall zu melden, kontaktieren Sie: team@albumqr.io.