Datenschutzerklärung

Datenschutzerklärungen sind leider lang und kompliziert, das kann ich nicht vermeiden. Um dir das Lesen zu erleichtern, habe ich jeden Absatz kurz zusammengefasst und dabei möglichst verständlich formuliert.
Maßgeblich ist die ausführliche Fassung.

Im Zuge der Änderung des Zahlungsdienstleisters wurden diese Datenschutzbestimmungen zum 07.09.2019 überarbeitet.

1. Allgemeines

Verantwortlicher Betreiber der Plattform Timeline.pics ("Verantwortlicher") gegenüber dem Nutzer ("betroffene Person") ist:

Sebastian Zipp
Mail: sebastian@timeline.pics
Tel: +49 152 31 775 234

Postanschrift:
Sebastian Zipp
Neubiberger Str. 41
81737 München

Personenbezogene Daten werden ausschließlich für die Bereitstellung und Durchführung der Dienstleistung auf der Plattform Timeline.pics erhoben und keinesfalls anderweitig weiterverarbeitet. Die Dienstleistung umfasst unter anderem

  • die Freigabe von Inhalten (Fotos, Videos, Meilensteine) in, von der betroffenen Person verwalteten, geschlossenen Nutzergruppen
  • das Verfassen von Kommentaren
  • das sogenannte Liken ("gefällt mir") von Inhalten
  • die Handhabung von Bezahlvorgängen

Der Grundsatz der Datenminimierung wird eingehalten, d.h. es werden so wenige Daten wie möglich bzw. nur so viele Daten wie nötig von der betroffenen Person erfasst und verarbeitet. Die betroffene Person ist als Nutzer von Timeline.pics in der Lage, personenbezogene Daten eigenständig zu berichtigen oder zu löschen, so dass diese stets sachlich richtig und erforderlichenfalls auf dem neusten Stand sind.

Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit der Daten gewährleistet, insbesondere Schutz vor unbefugtem Zugriff und unbeabsichtigtem Verlust.

Die für den ordnungsgemäßen Betrieb der Plattform benötigten personenbezogenen Daten werden gemäß den Bestimmungen des Datenschutz-Grundverordnung (DSGVO) verarbeitet. Nachfolgend wird dargelegt, in welchem Maße und zu welchen Zwecken personenbezogene Daten erhoben, gespeichert und verarbeitet werden.

Hinweis: Bei Fragen antworte ich dir persönlich – bitte hab deshalb Verständnis dafür, dass ich nicht rund um die Uhr erreichbar sein kann.

2. Rechtmäßigkeit der Verarbeitung

Die Rechtmäßigkeit der Verarbeitung ist gegeben durch

a) die Einwilligung zur Verarbeitung durch die betroffene Person. Dies trifft auf alle Nutzerkonten zu, da sowohl die Erstellung kostenloser als auch kostenpflichtiger Accounts sowie von Nutzerkonten unabhängige, einmalige Zahlungsvorgänge (Erwerb eines Gutscheins) nur im Zusammenhang mit der Einwilligung zur Verarbeitung durchgeführt werden können.

b) die Erfüllung eines Vertrags, den die betroffene Person durch den Kauf einer kostenpflichtigen Dienstleistung (Abonnements oder Erwerb eines Gutscheins) mit dem Verantwortlichen eingeht.

Hinweis: Der Zeitpunkt deiner Einwilligung entspricht stets dem Zeitpunkt der Erstellung deines Nutzerkontos bzw. der Rechnung, da du die Einwilligung unmittelbar vorher aktiv durch das Anklicken der entsprechenden Checkbox (Pflichtfeld) im Formular erteilt hast.

3. Rechte der betroffenen Person

Der Verantwortliche verpflichtet sich, die folgenden Auskünfte, die sich auf die Verarbeitung personenbezogener Daten beziehen, in verständlicher und leicht zugänglicher Form an die betroffene Person zu übermitteln. Die Information erfolgt i.d.R. schriftlich per E-Mail. Sie kann mündlich erteilt werden, falls dies von der betroffenen Person verlangt wird und die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Der Verantwortliche darf der betroffenen Person die Wahrnehmung dieser Auskunftsrechte nur dann verweigern, wenn er glaubhaft nicht in der Lage ist, die betroffene Person als solche zu identifizieren.

Die beantragten Auskünfte werden zügig, in jedem Fall aber innerhalb eines Monats zur Verfügung gestellt. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person über eine Fristverlängerung.
Erhält die betroffene Person in dem oben genannten Zeitraum keinerlei Rückmeldung durch den Verantwortlichen, kann sie Beschwerde bei einer Aufsichtsbehörde einlegen.

Alle der im Folgenden genannten Auskünfte werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche eine Auskunft verweigern.

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

3.1. Auskunftsrecht

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, die sie betreffen. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) den Verarbeitungszweck (wieso werden die Daten verarbeitet)

b) die Kategorien der Daten (welche Daten werden verarbeitet)

c) Empfänger der Daten (wer bekommt die Daten offengelegt)

d) die Dauer der Speicherung, falls möglich, andernfalls die Kriterien für die Festlegung der Dauer (wie lange werden Daten gespeichert)

e) Hinweise auf die weiteren (im Folgenden beschriebenen) Rechte der betroffenen Person

3.2. Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen die Berichtigung bzw. Vervollständigung sie betreffender unrichtiger bzw. unvollständiger personenbezogener Daten zu verlangen.

3.3. Recht auf Löschung

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.

Der Verantwortliche ist verpflichtet, personenbezogene Daten zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

f) Die personenbezogenen Daten wurden von einem Kind bzw. Jugendlichen unter 16 Jahren ohne Einwilligung eines Erziehungsberechtigten erhoben.

Hinweis: Du kannst sowohl einzelne Bilder/Videos als auch deinen gesamten Account inkl. sämtlicher personenbezogener Daten und aller Bilder/Videos löschen. Bitte beachte, dass eine Löschung irreversibel ist. Wenn du einzelne Bilder oder Videos löschst, sind sie wirklich weg. Wenn du dein Nutzerkonto löschst, ist ebenfalls alles weg.

Nach einer Löschung können Daten noch in einem Backup vorhanden sein, die aus Gründen der Datensicherheit angefertigt werden. Backups werden i.d.R. nach einem Monat gelöscht, spätestens dann sind deine Daten komplett entfernt. Die Wiederherstellung einzelner Nutzeraccounts oder gar einzelner Bilder/Videos aus dem Backup ist nicht möglich!

3.4. Recht auf Einschränkung der Verarbeitung

Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

a) Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten. Eine Einschränkung erfolgt dann für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.

b) Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten jedoch ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.

c) Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

d) Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt. Eine Einschränkung erfolgt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Wurde die Verarbeitung eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen Person verarbeitet werden.

Wird eine Einschränkung wieder aufgehoben, so wird die betroffene Person davon vorab vom Verantwortlichen unterrichtet.

3.5. Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat zudem das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln.

Hinweis: Du kannst dir auf der Seite "meine Timelines" innerhalb der Einstellungen für deinen Nutzeraccount über den Link "Daten herunterladen" ein neues Archiv deiner Daten zum Download erstellen lassen.

4. Art und Umfang der erhobenen Daten

Der Verantwortliche erfasst und verarbeitet je nach Anforderung unterschiedliche personenbezogene Daten. Die folgenden Punkte repräsentieren den Maximalfall aller erfassten Daten. Im Einzelfall werden nicht alle der aufgelisteten Daten erfasst, inbesondere bei kostenlosen Nutzeraccounts.

4.1. Anonyme, nicht personenbezogene Daten

Beim Besuch von Webseiten werden generell (also nicht nur auf Timeline.pics) nicht-personenbezogene Daten automatisch in Log-Dateien des Servers gespeichert. Dabei handelt es sich um

  • die anonymisierte IP-Adresse,
  • den verwendeten Browser,
  • das installierte Betriebssystem,
  • die aufgerufenen Seiten auf Timeline.pics,
  • Datum und Uhrzeit und damit indirekt die Dauer des Besuchs.

Diese Daten lassen nicht auf die Identität eines Besuchers schließen. Sie werden für die Aufrechterhaltung und Sicherstellung des Betriebs der Webseite gespeichert, um bspw. einen versuchten Angriff auf die Webseite nachvollziehen zu können oder wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht. Die Log-Dateien werden automatisch nach 14 Tagen gelöscht.

4.2. Personenbezogene Daten

Sobald sich eine betroffene Person registriert, also einen kostenlosen Nutzeraccount anlegt, werden durch den Verantwortlichen folgende personenbezogene Daten abgefragt und gespeichert:

  • Vorname,
  • Nachname,
  • E-Mail-Adresse.

Bei der Registrierung werden aus Gründen der Datensparsamkeit explizit keine Postanschrift oder Zahlungsinformationen abgefragt.

Erst wenn die betroffene Person eine kostenpflichtige Dienstleistung bezahlt, werden folgende personenbezogenen Daten zum Zwecke der Rechnungsstellung zusätzlich zu den oben genannten Daten abgefragt und verarbeitet:

  • Straße und Hausnummer
  • Postleitzahl und Stadt
  • Land

4.3. Bezahldaten

Zur Abwicklung von Bezahlvorgängen wird vom Verantwortlichen der in den Niederlanden ansässige Dienstleister MOLLIE (mollie.com) eingesetzt.
Für den Bezahlvorgang wird der Nutzer auf eine von MOLLIE bereitgestellte Seite weitergeleitet, auf der die Zahlung über eine verschlüsselte Verbindung (HTTPS) durchgeführt wird.

Von MOLLIE werden die folgenden personenbezogenen Daten verarbeitet:

  • Bezahldaten (zum Beispiel Bankkontonummer oder Kreditkartennummer)
  • IP-Adresse
  • Internetbrowser und Gerätetyp
  • in manchen Fällen der Vor- und Nachname
  • in manchen Fällen Adressdaten
  • in manchen Fällen Informationen über das Produkt oder die Dienstleistung

Zahlungsarten werden vom Dienstleister MOLLIE über eindeutige Identifikationsschlüssel repräsentiert. Der Verantwortliche speichert keine Bezahldaten (Konto- oder Kreditkartendaten), sondern lediglich diese Identifikationsschlüssel, um wiederkehrende Zahlungen für ein Abonnement durchzuführen.

Hinweis: Der eigentliche Bezahlvorgang findet auf einer Seite des Dienstleisters MOLLIE statt, in Folge dessen auch Cookies durch MOLLIE gesetzt werden.

4.4. Kontoverbindung

Wenn der Nutzer dem oben genannten Zahlungsdienstleister MOLLIE keine Zahlungsdaten anvertrauen möchte, kann nach vorheriger Kontaktaufnahme und manueller Rechnungserstellung per Bank-Überweisung bezahlt werden.
Ein monatliches Zahlungsintervall ist aufgrund des höheren Verwaltungsaufwands nicht auf Rechnung möglich.

Zahlungseingänge per Überweisung werden auf den Kontoauszügen der BNP Paribas (Niederlassung Deutschland) verarbeitet. Für Kontoauszüge gilt eine Aufbewahrungsfrist von 10 Jahren.

4.5. Cookies

Der Verantwortliche verwendet zwei Arten von Cookies. Session-Cookies werden verwendet, um den aktuellen Login-Status der betroffenen Person zu speichern. Diese Cookies verfallen mit dem Schließen des Browsers bzw. spätestens nach vier Stunden - oder sofort, wenn die betroffene Person auf den "Logout"-Link klickt.

Wenn die betroffene Person die Funktion "angemeldet bleiben" nutzt, um ein erneutes Login beim wiederkehrenden Besuchen zu vermeiden, wird ein sogenanntes Permanent-Cookie gesetzt.

Detaillierte Informationen zu den auf Timeline.pics gesetzten Cookies:

timeline_session: Enthält Informationen über den eingeloggten Nutzer. Ist vier Stunden lang gültig.

XSRF-TOKEN: Wird zur Absicherung von Eingabeformularen gegen sogenannte Cross-Site-Scripting Angriffe verwendet. Die Laufzeit entspricht der Dauer der Nutzersession (vier Stunden).

remember_web_[0-9,a-z]: Wird nur gesetzt, wenn der Nutzer "eingeloggt bleiben" auswählt. Enthält eine eindeutige Ziffer, mit der sich der Browser gegenüber der Timeline.pics identifiziert. Das Cookie hat eine Laufzeit von fünf Jahren, es wird sofort gelöscht, wenn der Nutzer auf "Logout" klickt.

timeline_2fa: Wird nur gesetzt, wenn der Nutzer die sogenannte Zwei-Faktor-Authentifizierung nutzt. Enthält eine eindeutige Ziffer, durch die Timeline.pics nachvollziehen kann, dass in diesem Browser bereits ein gültiger Einmal-Code abgefragt wurde. Das Cookie hat eine Laufzeit von einem Monat. Es wird sofort gelöscht, wenn der Nutzer auf "Logout" klickt.

Hinweis: Bei Zahlungsvorgängen über den Zahlungsdienstleister MOLLIE werden mehrere weitere Cookies durch den Zahlungsdienstleister zum Zwecke der Zahlungsabwicklung gesetzt.

Wenn du Cookies nicht akzeptieren möchtest, kannst du deinen Internet-Browser so einstellen, dass dieser alle Cookies automatisch ablehnt oder dich bei jedem Cookie fragt, ob du es akzeptieren oder ablehnen möchtest.

4.6. Benachrichtigungen per E-Mail

Die betroffene Person kann sich per E-Mail über bestimmte Ereignisse benachrichtigen lassen. Bevor solche E-Mails vom Verantwortlichen an die betroffene Person verschickt werden können, muss sich diese über eine Bestätigungsmail als Inhaber der eingetragenen E-Mail-Adresse identifizieren ("Double-Opt-In").

Hinweis: Als Inhaber einer Timeline kannst du dich über neue Kommentare informieren lassen. Du kannst dir eine wöchentliche Zusammenfassung aller Neuigkeiten aus deinen Timelines abonnieren. Diese zusätzlichen Benachrichtigungen kannst du jederzeit wieder abbestellen.

4.7. Webanalytics (Tracking) und Soziale Netzwerke

Der Verantwortliche setzt aus Gründen der Datensparsamkeit keinen Webanalysedienst ein, d.h. die Nutzung der Plattform wird nicht ausgewertet. Ein Datenschutzhinweis bzgl. Webanalytics ist daher nicht notwendig.

Der Verantwortliche bindet aus Überzeugung keine Teilen-Funktionalitäten (Share) oder andere sogenannten Social Plugins von sozialen Netzwerken ein. Auch einzelne von der betroffenen Person eingestellte Fotos bzw. Videos können nicht bei sozialen Netzwerken geteilt werden, da sie nur mit einem aktiven Login sichtbar sind. Ein Datenschutzhinweis zu sozialen Netzwerken ist daher nicht notwendig.

5. Sicherheit der Datenverarbeitung

Der Verantwortliche trifft erforderliche technische und organisatorische Maßnahmen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

5.1. Verschlüsselte Verbindung

Die Verbindung zu Timeline.pics wird über ein SSL-Server-Zertifikat, ausgestellt von Let's Encrypt Authority, verschlüsselt.

Die betroffene Person wird immer auf eine verschlüsselte Verbindung weitergeleitet, auch wenn die Adresse ohne "https" in die Adresszeile des Browsers eingegeben wird.

5.2. Passwörter und Anmeldung in zwei Schritten

Das von der betroffenen Person gewählte Passwort wird nicht im Klartext, sondern mit einem zufälligen Wert ("Salt") zusammengesetzt und als verschlüsselter Hash-Wert (siehe "Bcrypt" auf Wikipedia) abgespeichert. Ein Rückschluss auf das unverschlüsselte Passwort ist damit nicht mehr möglich.

Die betroffene Person kann ihren Nutzeraccount optional durch eine Zwei-Faktor-Authentifizierung (2FA) absichern.

Hinweis: Du kannst die Anmeldung in zwei Schritten (2FA) in den Einstellungen zu deinem Nutzeraccount unter dem Menüpunkt Mein Passwort aktivieren.

5.3. Backups

Der Verantwortliche sichert alle personenbezogenen Daten sowie die von der betroffenen Person hochgeladenen Fotos und Videos durch tägliche Backups, so dass sie gegen zufällige oder vorsätzliche Manipulationen, Verlust und Zerstörung geschützt sind.

Hinweis: Timeline.pics ersetzt keine Backuplösung. Bitte sichere deine Fotos und Videos für dich selbst, z.B. indem du sie regelmäßig auf eine USB-Festplatte kopierst.

6. Foto- und Videodaten

In Deutschland gilt das Recht am eigenen Bild, eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Es besagt, dass jeder Mensch grundsätzlich selbst darüber bestimmen darf, ob überhaupt und in welchem Zusammenhang Bilder von ihm veröffentlicht werden (siehe "Recht am eigenen Bild" auf Wikipedia).

Auf Timeline.pics werden durch die betroffene Person i.d.R. Bilder und Videos aus dem familiären Umfeld eingestellt und einer geschlossenen Nutzergruppe zur Verfügung gestellt. Trotzdem gilt auch hier, dass die betroffene Person vor der Veröffentlichung der Bilder die Erlaubnis zur Veröffentlichung bei den abgebildeten Personen selbst oder deren Erziehungsberechtigen einholen muss.

7. Kinder und Jugendliche

Diese Datenschutzbestimmungen gelten auch für die personenbezogenen Daten von Kindern und Jugendlichen, wenn diese Nutzer (betroffene Person) sind. Der Verantwortliche setzt voraus, dass betroffene Personen unter 16 Jahren nur mit Zustimmung der Eltern oder Erziehungsberechtigten einen Account bei Timeline.pics registrieren und insbesondere nur nach Absprache Fotos in eigene Timelines hochladen.

8. Gültigkeit

Diese Datenschutzbestimmungen gelten ab dem 28.04.2018 und ersetzen die bis zu diesem Stichtag gültigen Datenschutzbestimmungen.