Datenschutzerklärung

Stand: Juni 2026 (Version 2026-07)

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen ist:

Inkpaint Tattoo Studio

Kornmarkt 17, 45127 Essen, Deutschland

Telefon: 0049 174 177 87 44

E-Mail: [email protected]

Sofern wir keinen Datenschutzbeauftragten bestellt haben, erreichen Sie uns für alle Fragen zum Datenschutz unter der oben genannten E-Mail-Adresse.

2. Überblick

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten, wenn Sie

• unsere Website inkpaint.de (einschließlich Unterseiten) besuchen — auch im Pre-Launch-Modus (Coming Soon/Wartung), in dem öffentliche Formulare standardmäßig deaktiviert sind,

• uns über Formulare kontaktieren oder Termine anfragen,

• unsere Einverständniserklärung zur Tätowierung ausfüllen,

• eine Kundenbewertung einreichen,

• unseren Newsletter abonnieren oder

• mit uns auf anderen Wegen (Telefon, E-Mail, WhatsApp, persönlich im Studio) in Kontakt treten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

3. Hosting und Server-Logfiles

Beim Aufruf unserer Website werden durch den Hosting-Anbieter automatisch technische Daten in sogenannten Server-Logfiles verarbeitet, z. B.:

• IP-Adresse (gekürzt oder vollständig, je nach Server-Konfiguration),

• Datum und Uhrzeit der Anfrage,

• aufgerufene URL,

• Referrer-URL,

• Browsertyp und -version,

• Betriebssystem,

• HTTP-Statuscode.

Zweck: Bereitstellung, Stabilität und Sicherheit der Website (z. B. Abwehr von Angriffen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Webauftritt).

Speicherdauer: In der Regel wenige Tage bis maximal mehrere Wochen, sofern keine sicherheitsrelevante Aufbewahrung erforderlich ist.

Die Website wird über verschlüsselte Verbindungen (SSL/TLS) ausgeliefert.

Anwendungsdaten: Strukturierte Daten (Formulare, Termine, Einverständniserklärungen, Kundenprofile, Newsletter, Einwilligungsnachweise, Audit-Protokolle) speichern wir in einer PostgreSQL-Datenbank auf EU-basierter Server-Infrastruktur (Betrieb über Hetzner Online GmbH, Deutschland). Der Objektspeicher für Bilddateien ist in Abschnitt 12 beschrieben.

4. Cookies und lokale Speicherung

4.1 Technisch notwendige Cookies

Wir setzen Cookies ein, die für den Betrieb der Website oder des Studio-Administrationsbereichs erforderlich sind, z. B.:

• Admin-Sitzung (nur im geschützten Bereich `/admin`): HttpOnly-Session-Cookie mit serverseitiger Sitzungsverwaltung (max. 8 Stunden Inaktivität); Zugriffe auf sensible Daten werden protokolliert.

• Vorschau-Cookie (optional, nur bei aktivierter Website-Vorschau durch berechtigte Nutzer): ermöglicht die Anzeige der Website trotz aktivierter „Coming Soon“-Funktion.

• Kiosk-Gerät (`inkpaint-kiosk-device`, nur auf registrierten Studio-iPads unter `/einverstandnis`): HttpOnly-Cookie zur Authentifizierung des registrierten Kiosk-Geräts; Speicherdauer max. 1 Jahr; Zweck: sicherer Zugriff auf die digitale Einverständniserklärung ohne wiederholte Geräteregistrierung; Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Studio-Betrieb und Missbrauchsschutz).

Rechtsgrundlage (übrige technische Cookies): Art. 6 Abs. 1 lit. f DSGVO bzw. Art. 6 Abs. 1 lit. b DSGVO (Administration).

4.2 Cookie-Einwilligung

Unser Cookie-Hinweis unterscheidet Notwendig, Analyse, Marketing und Personalisierung. Nicht notwendige Kategorien sind standardmäßig deaktiviert (Opt-in). Derzeit binden wir keine Analyse- oder Marketing-Skripte von Drittanbietern ein.

• localStorage (Schlüssel `cookieConsent`): Ihre Auswahl inkl. Policy-Version (aktuell: 2026-07); bei Policy-Änderung werden Sie erneut um Einwilligung gebeten.

• Serverseitiger Nachweis: Beim Speichern übermitteln wir Kategorien, Policy-Version, gehashten IP-Wert und User-Agent an `CookieConsentRecord` (Art. 7 DSGVO). Speicherdauer: 3 Jahre, danach automatische Löschung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweis der Einwilligung) und Art. 6 Abs. 1 lit. f DSGVO.

4.3 Analyse- und Marketing-Cookies

Derzeit binden wir auf der öffentlichen Website keine Dienste wie Google Analytics, Facebook Pixel o. Ä. ein. Sollten wir solche Dienste künftig einsetzen, werden wir diese Erklärung vorab aktualisieren und die Einwilligung einholen, bevor nicht notwendige Cookies gesetzt werden.

5. Kontaktformular

Auf der Seite /kontakt können Sie uns eine Nachricht senden. Dabei verarbeiten wir:

• Name,

• E-Mail-Adresse,

• Nachrichtentext,

• Zeitpunkt der Einwilligung in die Datenschutzerklärung,

• gehashte IP-Adresse zum Nachweis der Einwilligung (Art. 7 DSGVO).

Zweck: Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (allgemeine Kundenkommunikation).

Speicherdauer: Bis zur Erledigung der Anfrage, längstens jedoch 24 Monate, sofern kein laufendes Kundenverhältnis fortbesteht.

6. Terminanfrage und Online-Reservierung

Über /reservierung (einschließlich eventbezogener Anfragen) können Sie Termine anfragen. Verarbeitet werden insbesondere:

• Name, E-Mail, Telefon,

• gewünschtes Datum und Uhrzeit,

• Art der Leistung / Motivbeschreibung, Stil, Körperstelle, Größe,

• interne Notizen,

• optional ein Referenzbild (Upload),

• bei Event-Anfragen: Bezug zum jeweiligen Studio-Event,

• Zeitpunkt der Einwilligung in die Datenschutzerklärung,

• gehashte IP-Adresse zum Nachweis der Einwilligung (Art. 7 DSGVO).

Zweck: Terminplanung, Beratung, Vertragsvorbereitung und -durchführung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Für die Dauer des Kundenverhältnisses und darüber hinaus gemäß gesetzlichen Aufbewahrungspflichten (z. B. steuer- und handelsrechtlich bis zu 10 Jahre); ansonsten Löschung bzw. Anonymisierung, wenn die Daten nicht mehr erforderlich sind.

Referenzbilder werden nicht öffentlich bereitgestellt. Sie werden in einem vom öffentlichen Web getrennten, privaten Objektspeicher abgelegt und sind nur für autorisierte Studio-Mitarbeitende über zeitlich begrenzte, signierte Zugriffslinks im Admin-Bereich einsehbar (siehe Abschnitt 12).

7. Einverständniserklärung (Tätowierung)

Auf /einverstandnis können Kundinnen und Kunden vor der Tätowierung eine digitale Einverständniserklärung abgeben. Verarbeitet werden:

• Name, Anschrift (Straße, PLZ, Ort),

• Geburtsdatum,

• Telefonnummer,

• Antworten auf einen medizinischen Fragebogen (z. B. Schwangerschaft, Diabetes, Gerinnungsstörungen, Medikamente, Allergien, Epilepsie),

• optional: Einwilligung zur Veröffentlichung von Tattoo-Fotos in Social Media,

• Unterschrift (digital als Bilddaten),

• Datum der Unterschrift,

• Zeitpunkt der Übermittlung,

• ausdrückliche Einwilligung zur Verarbeitung der Gesundheitsangaben (Art. 9 DSGVO),

• gehashte IP-Adresse zum Nachweis der Einwilligung.

Die Angaben im medizinischen Fragebogen können Daten über die Gesundheit im Sinne des Art. 9 DSGVO darstellen. Medizinische Antworten und die digitale Unterschrift werden verschlüsselt in unserer Datenbank gespeichert.

Zweck: Aufklärung, Dokumentation der Einwilligung, Durchführung der Tätowierung, Haftungs- und Nachweiszwecke, ggf. Veröffentlichung mit gesonderter Einwilligung.

Rechtsgrundlage:

• Gesundheitsbezogene Angaben: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Dienstleistung).

• Übrige Daten: Art. 6 Abs. 1 lit. b und lit. a DSGVO.

Speicherdauer: In der Regel 10 Jahre ab Erstellung (konfigurierbare Aufbewahrungsfrist). Nach Ablauf dieser Frist werden abgelaufene Einträge automatisch gelöscht, sofern keine längere gesetzliche Aufbewahrungspflicht oder dokumentierte Ausnahme (`legallyRetained`) besteht.

Die Einverständniserklärung ist im Admin-Bereich des Studios einsehbar; ein PDF-Export zur Aktenführung ist möglich.

8. Kundenbewertungen

Auf /bewertungen können Besucherinnen und Besucher eine Bewertung einreichen. Verarbeitet werden:

• Name (oder Initialen, wenn gewählt),

• Sternebewertung,

• Bewertungstext,

• optional: Tattoo-Stil, Künstlername, E-Mail-Adresse,

• Zeitpunkt der Einreichung und Einwilligung zur Veröffentlichung (Version der Datenschutzerklärung),

• gehashte IP-Adresse zum Nachweis der Einwilligung,

• Moderationsstatus (Freigabe durch das Studio),

• optional: Zeitpunkt eines Klicks auf den Link zu Google Bewertungen.

Bewertungen werden nicht automatisch bei Google veröffentlicht; eine Veröffentlichung auf unserer Website erfolgt erst nach Prüfung durch uns.

Zur Anzeige des Bearbeitungsstatus nach der Einreichung speichern wir ein opakes Status-Token ausschließlich in sessionStorage Ihres Browsers (Schlüssel `inkpaint_review_status_token`), nicht in Cookies. Es wird beim Schließen des Browser-Tabs gelöscht und dient nur dem Abruf des Moderationsstatus über unsere API.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur Veröffentlichung nach Prüfung) und Art. 6 Abs. 1 lit. f DSGVO (Interesse an authentischem Feedback).

Speicherdauer: Solange die Bewertung auf der Website angezeigt wird oder zur Dokumentation erforderlich ist; abgelehnte Bewertungen werden nicht veröffentlicht und nach 90 Tagen gelöscht.

Optional importieren wir öffentliche Google-Bewertungen über die Google Places API (Google Ireland Limited), sofern im Studio konfiguriert — dann verarbeiten wir Autorenname, Text, Sternebewertung und Zeitstempel zur Anzeige auf unserer Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

9. Newsletter

Sie können unseren Newsletter auf der Website (Footer und /newsletter) abonnieren.

Verarbeitete Daten: E-Mail-Adresse, optional Name, Zeitpunkt der Anmeldung, Bestätigungs- und Abmeldestatus, technische Tokens zur Bestätigung (Double-Opt-in) und Abmeldung, Herkunftskennung (z. B. Footer oder Newsletter-Seite).

Ablauf: Nach Eingabe Ihrer E-Mail senden wir Ihnen eine Bestätigungs-E-Mail (Double-Opt-in). Erst nach Klick auf den Bestätigungslink sind Sie angemeldet. Jede Newsletter-E-Mail enthält einen Abmeldelink.

Zweck: Zusendung von Informationen zu Events, Aktionen, Guest Artists und Studio-News.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf: Jederzeit über den Abmeldelink in der E-Mail oder per Nachricht an [email protected].

Speicherdauer: Bis zur Abmeldung; Bestätigungs- und Abmeldedaten werden zur Nachweisführung für die Dauer der gesetzlichen Verjährungsfristen (in der Regel bis zu 3 Jahre) aufbewahrt.

10. Kundenverwaltung im Studio (Empfang)

Im Rahmen der Termin- und Kundenbetreuung führen wir interne Kundenprofile (z. B. Name, Kontaktdaten, Terminhistorie, interne Notizen, Tags). Diese Daten stammen aus Terminanfragen, dem Studio-Betrieb oder manueller Erfassung am Empfang — dabei wird dokumentiert, dass die Verarbeitung im Studio-Kontext erfolgt (Rechtsgrundlage: Vertrag/Studio-Betrieb).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO (Kundenpflege und Organisation).

Speicherdauer: Während des Kundenverhältnisses und gemäß gesetzlicher Aufbewahrungspflichten. Löschung oder Anonymisierung auf Anfrage (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen.

11. E-Mail-Versand

Für transaktionale E-Mails (z. B. Terminbenachrichtigungen, Newsletter-Bestätigung, Newsletter-Versand) nutzen wir den Dienst Resend (Resend, Inc., USA).

Resend verarbeitet als Auftragsverarbeiter mindestens E-Mail-Adresse, Betreff und Inhalt der Nachricht. Die Übermittlung in die USA erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission und/oder des EU-US Data Privacy Framework, soweit der Anbieter zertifiziert ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. a bzw. lit. f DSGVO.

Wenn Resend nicht konfiguriert ist, erfolgt die Kommunikation ggf. über Ihren eigenen E-Mail-Client (z. B. mailto-Links).

12. Speicherung von Bilddateien (Objektspeicher)

Für Bilddateien, die über unsere Website oder im Studio-Betrieb anfallen (z. B. Galerie, Künstler- und Studio-Fotos, Event-Grafiken, Termin-Referenzbilder, Session-Fotos, digitale Unterschriften), nutzen wir einen S3-kompatiblen Objektspeicher.

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Object Storage in Rechenzentren in Deutschland bzw. der Europäischen Union (je nach gewähltem Standort, z. B. Falkenstein oder Nürnberg).

Öffentliche Bereiche

Nach ausdrücklicher Einwilligung veröffentlichte Galerie-Varianten (Thumbnail, Medium, Vollansicht) sowie Studio-, Künstler- und Event-Medien, die bewusst öffentlich eingebunden werden, werden ausschließlich über unsere Website ausgeliefert (Server-Endpunkte der Anwendung). Die zugrunde liegenden Dateien liegen in unserem Objektspeicher und sind nicht über dauerhafte, öffentlich zugängliche Speicher-URLs erreichbar.

Private Bereiche

Folgende Daten werden ausschließlich in getrennten, nicht öffentlich zugänglichen Speicherbereichen abgelegt:

• Referenzbilder aus Termin- und Reservierungsanfragen,

• Session-Fotos aus dem Studio-Betrieb,

• Galerie-Originale und Staging-Dateien vor Freigabe,

• digitale Unterschriften und zugehörige Scan-Dateien aus der Einverständniserklärung.

Diese Dateien sind nicht über dauerhafte öffentliche URLs erreichbar. Autorisierte Mitarbeitende erhalten im geschützten Admin-Bereich zeitlich begrenzte, signierte Zugriffslinks (typischerweise 15 Minuten).

Technische Zugriffsdaten

Der Speicheranbieter kann bei Übertragung und Abruf technische Metadaten (z. B. IP-Adresse, Zeitstempel, Request-IDs) in Logdateien verarbeiten — ausschließlich zum Betrieb, zur Fehleranalyse und zur Abwehr von Missbrauch.

Zweck: Bereitstellung der Website, Termin- und Vertragsabwicklung, Dokumentation (Einverständniserklärung), Portfolio-Darstellung nach Einwilligung, IT-Sicherheit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. a DSGVO (Veröffentlichung von Galerie-Bildern), Art. 6 Abs. 1 lit. f DSGVO (betriebssichere Speicherung und Missbrauchsschutz).

Speicherdauer: Entsprechend den Angaben in den Abschnitten 6, 7, 10, 16 und 23; Löschung nach Widerruf der Veröffentlichungseinwilligung oder nach Ablauf gesetzlicher Aufbewahrungsfristen.

Auftragsverarbeitung: Mit Hetzner Online GmbH besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit erforderlich.

Drittlandübermittlung: Bei Speicherung in Rechenzentren in Deutschland bzw. der EU findet keine Übermittlung in Drittländer außerhalb des EWR statt, soweit nicht ausnahmsweise ein anderer Standort technisch gewählt wird — in diesem Fall informieren wir gesondert.

13. Google Kalender (optional, Studio-intern)

Das Studio kann optional eine Anbindung an Google Kalender (Google Ireland Limited / Google LLC) einrichten, um Termine zu synchronisieren. Dabei übermitteln wir an Google nur die für die Terminplanung erforderlichen Mindestdaten: Kundenname, Leistungsart, Beschreibung (Motiv/Notizen), ggf. Größe und Platzierung, Terminzeit sowie einen internen Status — keine E-Mail-Adresse, keine Telefonnummer und keine Referenzbild-URLs.

Diese Verarbeitung betrifft nur Kundinnen und Kunden, deren Termine synchronisiert werden, und erfolgt zur Vertragserfüllung durch uns. OAuth-Zugangsdaten des Studios werden in der Datenbank verschlüsselt gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Weitere Informationen: Google Datenschutzerklärung.

14. Externe Links und Social Media

Unsere Website enthält Links zu externen Diensten, z. B.:

• WhatsApp (wa.me),

• Instagram und Facebook,

• Google Maps (Routenplanung).

Beim Anklicken verlassen Sie unsere Website. Für die Datenverarbeitung auf den externen Seiten sind ausschließlich die jeweiligen Anbieter verantwortlich. Wir binden keine Social-Media-Plugins ein, die bereits beim bloßen Laden der Seite Daten an soziale Netzwerke übermitteln.

Auf der Bewertungsseite können Sie nach Freigabe Ihrer Bewertung freiwillig einen Link zu Google Bewertungen öffnen. Dabei gelten die Datenschutzbestimmungen von Google.

15. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden innerhalb unseres Studios nur von befugten Personen verarbeitet. Externe Empfänger/Auftragsverarbeiter können sein:

• Hosting-/IT-Dienstleister und Objektspeicher (Hetzner Online GmbH, Deutschland/EU — Betrieb der Infrastruktur und Speicherung von Bilddateien),

• Resend (E-Mail),

• Google (optional: Kalender-Synchronisation),

• Steuerberater/Rechtsanwalt, sofern im Einzelfall erforderlich,

• Behörden, wenn wir gesetzlich dazu verpflichtet sind.

Mit Auftragsverarbeitern schließen wir Verträge gemäß Art. 28 DSGVO, soweit erforderlich.

16. Speicherdauer (Grundsätze)

Wir verarbeiten personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Kriterien für die Dauer sind u. a.:

• laufendes Vertragsverhältnis,

• gesetzliche Aufbewahrungsfristen (z. B. HGB, AO: bis zu 10 Jahre),

• Verjährungsfristen (regelmäßig 3 Jahre),

• Nachweispflichten bei erteilten Einwilligungen.

Automatisierte Löschung: Abgelaufene oder nicht mehr benötigte Daten (z. B. Einverständniserklärungen nach Ablauf der Aufbewahrungsfrist, abgelehnte Bewertungen, erledigte Kontaktanfragen, Cookie-Einwilligungsnachweise, archivierte Betroffenenanfragen, abgelaufene Admin-Sitzungen) werden regelmäßig automatisiert gelöscht (nächtlicher Wartungsjob). Gesetzliche Aufbewahrungspflichten und dokumentierte Ausnahmen (`legallyRetained`) bleiben unberührt.

17. Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist teilweise gesetzlich oder vertraglich vorgeschrieben bzw. für einen Vertragsabschluss erforderlich. Ohne erforderliche Angaben (z. B. in der Einverständniserklärung oder Terminanfrage) können wir die jeweilige Leistung ggf. nicht erbringen.

18. Keine automatisierte Entscheidungsfindung

Wir verwenden Ihre Daten nicht für automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO.

19. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

• Auskunft (Art. 15 DSGVO),

• Berichtigung (Art. 16 DSGVO),

• Löschung (Art. 17 DSGVO),

• Einschränkung der Verarbeitung (Art. 18 DSGVO),

• Datenübertragbarkeit (Art. 20 DSGVO),

• Widerspruch gegen Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO),

• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte genügt eine Nachricht an [email protected] oder das Formular Betroffenenrechte am Ende dieser Seite (#betroffenenrechte). Dort können Sie u. a. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerruf einer Einwilligung beantragen. Bitte stellen Sie sicher, dass wir Sie eindeutig identifizieren können. Abgeschlossene Anfragen werden zur Nachweisführung 3 Jahre aufbewahrt und danach automatisch gelöscht.

Auskunft (Art. 15): Berechtigte Studio-Administratoren können über den Admin-Bereich einen Datenexport zu einer angegebenen E-Mail oder Telefonnummer erstellen (JSON).

Löschung (Art. 17): Löschungsanträge bearbeiten wir im Admin-Bereich (Kunden- und Terminverwaltung, Empfang) unter Beachtung gesetzlicher Aufbewahrungspflichten; der Vorgang wird protokolliert.

20. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde für uns ist in der Regel:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)

Postfach 20 04 44, 40102 Düsseldorf

https://www.ldi.nrw.de

21. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (TOM), um Ihre Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen — u. a.:

• verschlüsselte Übertragung (TLS/SSL),

• Verschlüsselung besonders sensibler Daten (Gesundheitsangaben, Unterschriften in der Datenbank, OAuth-Tokens) in der Datenbank,

• Trennung öffentlicher und privater Bildspeicher mit signierten Admin-Zugriffen für sensible Uploads (Referenzbilder, Originale, Unterschriften),

• Speicherung von Bilddateien bei einem EU-basierten Objektspeicher (Hetzner Online GmbH),

• Zugangsbeschränkungen und rollenbasierte Berechtigungen im Admin-Bereich,

• serverseitige Admin-Sitzungen mit Widerruf bei Abmeldung,

• Audit-Protokollierung sensibler Admin-Zugriffe (Löschungen, Exporte, Downloads),

• Rate-Limiting gegen Missbrauch öffentlicher Formulare,

• Passwortschutz für Mitarbeiterzugänge (bcrypt-Hash).

22. Minderjährige

Tätowierungen führen wir grundsätzlich nur bei Personen ab 18 Jahren durch. Die Einverständniserklärung ist nicht für Minderjährige vorgesehen.

23. Online-Galerie (Portfolio-Fotos)

Auf unserer Website veröffentlichen wir Fotos fertig gestochener Tattoos in der Galerie unter /galerie.

Rechtsgrundlage: Ausdrückliche Einwilligung der abgebildeten Person gemäß Art. 6 Abs. 1 lit. a DSGVO sowie § 22 Kunsturhebergesetz (KUG) — auch wenn das Gesicht nicht sichtbar ist, kann ein Bild identifizierend sein.

Einwilligungsprozess: Vor Veröffentlichung dokumentieren wir eine gesonderte Foto-Freigabe (Photo-Release-Einwilligung) mit Zuordnung zum Kunden bzw. Termin. Veröffentlichung erfolgt erst nach Prüfung und expliziter Freigabe durch berechtigtes Studio-Personal.

Was veröffentlicht wird: Optimierte WebP-Varianten (Thumbnail, Medium, Vollansicht). Originaldateien und unveröffentlichte Staging-Dateien verbleiben im privaten Objektspeicher (Abschnitt 12) und werden nicht öffentlich bereitgestellt.

Widerruf & Löschung: Sie können Ihre Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO) und die Entfernung Ihrer Bilder verlangen (Art. 17 DSGVO). Kontakt: [email protected] oder [email protected]. Nach Widerruf werden öffentliche Varianten umgehend gelöscht.

Aufbewahrung: Einwilligungsnachweise werden 10 Jahre aufbewahrt (Nachweispflicht KUG § 22, handelsrechtliche Dokumentation). Originaldateien werden nach Ablauf der Aufbewahrungsfrist gelöscht.

24. Aktualität dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Website, unsere Prozesse oder die Rechtslage ändern. Die jeweils aktuelle Fassung finden Sie stets unter /datenschutz.

Weitere rechtliche Informationen: Impressum · AGB