Datenschutzerklärung
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.
Datenerfassung auf dieser Website
Wer ist verantwortlich für die Datenerfassung auf dieser Website?
Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur verantwortlichen Stelle" in dieser Datenschutzerklärung sowie dem Impressum entnehmen.
Wie erfassen wir Ihre Daten?
Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese aktiv mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie bei der Registrierung als Benutzer, beim Onboarding über einen Share-Link oder beim Hinterlassen eines Kommentars eingeben.
Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.
Wofür nutzen wir Ihre Daten?
Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website und der Review-Plattform zu gewährleisten. Andere Daten dienen ausschließlich der Vertragserfüllung — etwa der Zuordnung Ihrer Kommentare und Reaktionen, der Versendung von Benachrichtigungen sowie dem Schutz vor missbräuchlichen Zugriffsversuchen.
Welche Rechte haben Sie bezüglich Ihrer Daten?
Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.
Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.
2. Hosting
STRATO AG (Webspace & SMTP)
Anbieter ist die Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin (nachfolgend „Strato"). Wenn Sie unsere Website besuchen, erfasst Strato verschiedene Logfiles inklusive Ihrer IP-Adressen. Über denselben Anbieter wird auch der SMTP-Versand transaktionaler Benachrichtigungs-E-Mails abgewickelt.
Weitere Informationen entnehmen Sie der Datenschutzerklärung von Strato: https://www.strato.de/datenschutz/.
Die Verwendung von Strato erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO liegt vor.
Backblaze, Inc. (Video-Storage, Auftragsverarbeiter)
Die im Rahmen der Review-Plattform hochgeladenen Videodateien werden auf Backblaze B2 Cloud Storage gespeichert. Anbieter ist Backblaze, Inc., 500 Ben Franklin Court, San Mateo, CA 94401, USA. Die genutzte Storage-Region ist EU-Central (Amsterdam, Niederlande) — die Daten verlassen den europäischen Wirtschaftsraum im Regelbetrieb nicht. Da der Anbieter US-amerikanischem Recht unterliegt, kann eine Drittlandübermittlung jedoch nicht vollständig ausgeschlossen werden.
Mit Backblaze wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO sowie EU-Standardvertragsklauseln abgeschlossen. Die Verarbeitung erfolgt zur Erfüllung der vertraglich vereinbarten Review-Leistung (Art. 6 Abs. 1 lit. b DSGVO) sowie auf Grundlage unseres berechtigten Interesses an einer skalierbaren, ausfallsicheren Speicherung großer Videodatenmengen (Art. 6 Abs. 1 lit. f DSGVO).
Weitere Informationen: https://www.backblaze.com/company/policies.html.
3. Allgemeine Hinweise und Pflichtinformationen
Datenschutz
Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.
Wenn Sie diese Website benutzen, werden verschiedene personenbezogene Daten erhoben. Personenbezogene Daten sind Daten, mit denen Sie persönlich identifiziert werden können. Die vorliegende Datenschutzerklärung erläutert, welche Daten wir erheben und wofür wir sie nutzen. Sie erläutert auch, wie und zu welchem Zweck das geschieht.
Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
Hinweis zur verantwortlichen Stelle
Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
Nils-Oliver NimzTalstraße 25 b
20359 Hamburg
Telefon: +49 (0)40 398 772 03
E-Mail: mail@oliver-nimz.com
Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Speicherdauer
Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung haben.
Empfänger von personenbezogenen Daten
Im Rahmen des Betriebs der Plattform arbeiten wir mit den oben unter Punkt 2 genannten externen Auftragsverarbeitern zusammen (STRATO für Hosting/SMTP, Backblaze für Video-Storage). Darüber hinaus geben wir personenbezogene Daten nicht an Dritte weiter, es sei denn, wir sind hierzu gesetzlich verpflichtet oder Sie haben in die Weitergabe ausdrücklich eingewilligt.
Widerruf Ihrer Einwilligung zur Datenverarbeitung
Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
Widerspruchsrecht (Art. 21 DSGVO)
WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN. WENN SIE WIDERSPRUCH EINLEGEN, WERDEN WIR IHRE BETROFFENEN PERSONENBEZOGENEN DATEN NICHT MEHR VERARBEITEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN.
Beschwerderecht bei der zuständigen Aufsichtsbehörde
Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für den Sitz des Verantwortlichen ist dies der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).
Auskunft, Berichtigung, Löschung und weitere Rechte
Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ggf. ein Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Hierzu können Sie sich jederzeit an uns wenden.
SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.
4. Datenerfassung auf dieser Website
Cookies und Session-Speicher
CK Feedback setzt ausschließlich technisch erforderliche Cookies. Es werden keine Tracking-, Marketing- oder Analyse-Cookies eingesetzt, keine Drittanbieter-Pixel (Google Analytics, Facebook etc.) und keine Werbe-Netzwerke.
- Session-Cookie
ckfeedback_sid— PHP-Session, Lebensdauer Browser-Sitzung (HTTP-only, Secure, SameSite=Lax). Wird beim Login gesetzt und identifiziert Ihre angemeldete Sitzung. Unbedingt erforderlich (Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG — keine Einwilligung erforderlich). - CSRF-Token — wird pro Sitzung als Teil der Session gespeichert und mit jedem Formular- oder API-Aufruf abgeglichen. Dient dem Schutz vor Cross-Site-Request-Forgery; ohne diesen Token sind keine schreibenden Aktionen möglich. Technisch erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).
- Gast-Cookie
frameio_guest— wird gesetzt, wenn Sie über einen Share-Link in einen Review-Bucket gelangen und im Onboarding-Modal Initialen sowie Anzeigefarbe wählen. Speichert ausschließlich diese selbst gewählten Anzeigedaten in Verbindung mit dem jeweiligen Bucket-Token, damit Sie beim erneuten Aufruf des Links wiedererkannt werden. Lebensdauer: 30 Tage. Rechtsgrundlage: Einwilligung durch aktive Eingabe (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Sie können dieses Cookie jederzeit über Ihren Browser löschen.
Server-Logfiles und IP-Speicherung
STRATO als Hosting-Anbieter erfasst standardmäßig Webserver-Logs mit IP-Adresse, User-Agent, Referrer und Zeitstempel (siehe Punkt 2). Eine Zusammenführung dieser Daten mit anderen Datenquellen findet durch uns nicht statt.
Zusätzlich speichert CK Feedback bei fehlgeschlagenen Login- und Bucket-Zugriffsversuchen Ihre IP-Adresse temporär in einer projektinternen Log-Datei, um Brute-Force-Angriffe erkennen und die Annahme weiterer Versuche von derselben IP für 10 Minuten unterbinden zu können (HTTP-429-Rate-Limit). Die Speicherdauer ist auf das 10-Minuten-Fenster ab dem letzten Fehlversuch beschränkt; danach werden die Einträge automatisch entfernt.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse am Schutz vor Brute-Force-Angriffen auf Benutzerkonten und Share-Buckets.
Benutzerkonten und Share-Bucket-Gäste
Bei registrierten Nutzer:innen speichern wir Name, E-Mail-Adresse, einen bcrypt-gehashten Passwort-String, die zugewiesene Rolle (admin / co-admin / collaborator), den Zeitpunkt des letzten Logins sowie die individuellen Benachrichtigungs-Präferenzen. Diese Daten dienen ausschließlich der Vertragsabwicklung (Art. 6 Abs. 1 lit. b DSGVO) und werden bis zur Löschung des Kontos gespeichert.
Bei Share-Bucket-Gästen (Personen, die über einen versendeten Link Zugang erhalten) speichern wir lediglich die selbst gewählten Initialen, eine Anzeigefarbe sowie die Zuordnung zum jeweiligen Bucket-Token. Es werden weder Klarnamen noch E-Mail-Adressen abgefragt; das Onboarding-Modal verlangt ausschließlich die Anzeigedaten. Rechtsgrundlage: Einwilligung durch aktive Eingabe (Art. 6 Abs. 1 lit. a DSGVO).
E-Mail-Versand und Benachrichtigungen
Zur Bestätigung von E-Mail-Adressen (vierstelliger Verifizierungs-Code) sowie zum Versand von Sammelbenachrichtigungen über neue Kommentare, Antworten, Reaktionen, Status-Änderungen und neue Versionen nutzen wir den SMTP-Server von STRATO (smtp.strato.de:587). Wir versenden ausschließlich projektbezogene Transaktionsmails an Empfänger:innen, die sich aktiv registriert oder per Share-Link angemeldet haben — keine Werbung, keine Newsletter, kein Marketing.
Registrierte Nutzer:innen können den Empfang dieser Benachrichtigungen granular in ihren Einstellungen steuern oder vollständig deaktivieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Kommentare, Reaktionen und Annotationen
Kommentare, Antworten, Reaktionen sowie frame-genaue Zeichnungs-Annotationen, die Sie auf der Plattform hinterlassen, werden mit Autor-Zuordnung und Zeitstempel im Projekt-Storage gespeichert. Sie sind für alle anderen am selben Video Berechtigten sichtbar (gemäß der zugewiesenen Zugriffsrechte). Eigene Beiträge können von Ihnen jederzeit bearbeitet oder gelöscht werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
5. Plugins und Tools
Google Fonts (lokales Hosting)
Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Google Fonts, die von Google bereitgestellt werden. Die Google Fonts sind lokal auf unserem Webserver installiert. Eine Verbindung zu Servern von Google findet beim Aufruf unserer Seiten nicht statt — Ihre IP-Adresse wird an Google nicht übertragen.
Weitere Informationen zu Google Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://policies.google.com/privacy?hl=de.
Vorlage: eRecht24 — an CK Feedback angepasst.