Datenschutzerklärung

Datenschutzerklärung

1. Verantwortliche
She Said Yes Weddings – Inhaberin: Valeriia Semashko
Kapellenstraße 14, 22117 Hamburg, Deutschland
Telefon: +49 171 744 06 39
E-Mail: info@ssyweddings.com

Web: https://ssyweddings.com

Ein Datenschutzbeauftragter ist nicht benannt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind.

2. Arten der verarbeiteten Daten
• Bestandsdaten (z. B. Name, Anschrift, Vertragsdaten)
• Kontaktdaten (E-Mail, Telefonnummer)
• Inhaltsdaten (Fotografien, Videomaterial, Textinhalte)
• Vertrags- und Abrechnungsdaten (gebuchte Leistungen, Zahlungsinformationen)
• Nutzungs-/Meta-/Kommunikationsdaten (IP-Adresse, Zugriffszeiten, aufgerufene Seiten, Geräte-/Browser-Informationen, Referrer)
• Besondere Kategorien: werden von uns nicht bewusst verarbeitet (Art. 9 DSGVO).
• Kinder: unser Angebot richtet sich nicht an Kinder; eine gezielte Verarbeitung von Kinderdaten findet nicht statt.

3. Zwecke der Verarbeitung
• Anbahnung und Erfüllung von Verträgen (Foto-/Videodienstleistungen, Kommunikation, Terminabstimmung)
• Angebotserstellung, Rechnungsstellung, Buchhaltung
• Bereitstellung der Website, IT-Sicherheit (Server-Logfiles)
• Reichweitenmessung/Statistik, Marketing (sofern Einwilligung erteilt)
• Erfüllung rechtlicher Pflichten (z. B. steuerliche Aufbewahrung)
• Portfolio/Eigenwerbung (Bildnisse von Personen): Veröffentlichung ausgewählter Foto-/Videoinhalte in unserem Portfolio (Website, Instagram, YouTube, TikTok) nur auf Grundlage einer vorherigen Einwilligung der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 22 KUG). Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

4. Rechtsgrundlagen
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung)
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten)
• Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG (vormals TTDSG) für das Setzen/Auslesen nicht-notwendiger Cookies und vergleichbarer Technologien
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. IT-Sicherheit, notwendige Protokollierung von Einwilligungen)

5. Hosting und Server-Logfiles
Wir nutzen Hosting-Leistungen eines europäischen Anbieters zur Bereitstellung der Website. Dabei werden Server-Logfiles (IP-Adresse, Zeitpunkt, abgerufene Ressourcen, User-Agent, Referrer) temporär verarbeitet, um die Stabilität und Sicherheit zu gewährleisten (Art. 6 Abs. 1 lit. f DSGVO). Die Logdaten werden in der Regel innerhalb von 7–30 Tagen gelöscht, sofern keine längere Aufbewahrung zu Beweiszwecken erforderlich ist.

6. Kontaktaufnahme (E-Mail/Formular)
Bei Kontaktaufnahme verarbeiten wir die Angaben zur Bearbeitung der Anfrage (Art. 6 Abs. 1 lit. b DSGVO). Angaben können in einem CRM/Kommunikationstool gespeichert werden. Wir löschen Anfragen, sobald diese nicht mehr erforderlich sind, spätestens jedoch nach 12 Monaten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Einwilligungs-Management (Cookiebot CMP)
Wir setzen das Consent-Management-Tool Cookiebot™ CMP des Anbieters Usercentrics A/S (ehemals Cybot A/S), Havnegade 39, 1058 Copenhagen, Dänemark ein, um Einwilligungen für Cookies/Tracker einzuholen und zu dokumentieren. Hierbei wird u. a. ein Cookie „CookieConsent“ gesetzt, das Ihre Einwilligungspräferenzen speichert (Speicherdauer i. d. R. bis zu 12 Monaten).
Rechtsgrundlage: Einholung und Verwaltung von Einwilligungen zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 25 Abs. 1 TDDDG) sowie unser berechtigtes Interesse an einer nachweisbaren, nutzerfreundlichen Einwilligungsverwaltung (Art. 6 Abs. 1 lit. f DSGVO).
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen“ in der Fußzeile widerrufen oder anpassen.

8. Web-Analyse – Google Analytics 4
Wir verwenden Google Analytics 4 (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Google verarbeitet Daten zu Zwecken der Reichweitenmessung/Statistik; IP-Adressen werden in GA4 nicht gespeichert und standardmäßig anonymisiert.
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und § 25 Abs. 1 TDDDG für das Setzen/Auslesen von Cookies bzw. vergleichbarer Technologien.
Speicherdauer: Ereignisdaten werden in der Regel bis zu 14 Monaten aufbewahrt (konfigurationsabhängig).
Datenübermittlung in Drittländer: Soweit eine Übermittlung in die USA stattfindet, erfolgt diese u. a. auf Grundlage des EU-US Data Privacy Framework (DPF) (Zertifizierung von Google LLC) und ergänzend auf Basis von Standardvertragsklauseln. Weitere Informationen finden Sie in den Datenschutzhinweisen von Google.
Opt-out: Sie können die Erfassung durch Google Analytics zusätzlich über das Browser-Add-on verhindern: https://tools.google.com/dlpage/gaoptout?hl=de

Google-Signals/Ads-Verknüpfung: werden nur bei erteilter Einwilligung genutzt; geräteübergreifende Auswertungen erfolgen gemäß den Einstellungen in unserem Google-Konto.

9. Marketing-Pixel – Meta (Facebook/Instagram)
Wir nutzen – sofern Sie hierzu einwilligen – den Meta-Pixel und weitere Business-Tools der Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland, zur Reichweitenmessung und Ausspielung personalisierter Werbung. Dabei können sog. Ereignisdaten (z. B. aufgerufene Seiten, Interaktionen) erfasst und mit Ihrem Meta-Konto verknüpft werden.
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und § 25 Abs. 1 TDDDG. Ohne Einwilligung werden keine entsprechenden Tags geladen.
Gemeinsame Verantwortlichkeit / Verträge: Soweit einschlägig, gelten die Meta Business Tools Terms inkl. ergänzender Vereinbarungen (z. B. Controller Addendum).
Datenübermittlung in Drittländer: Übermittlungen in die USA erfolgen u. a. auf Grundlage des EU-US Data Privacy Framework (DPF) (Zertifizierung von Meta Platforms, Inc.) und ergänzend auf Basis von Standardvertragsklauseln.

Erweitertes Abgleichen/Conversions API: werden nur bei erteilter Einwilligung genutzt; es können gehashte Felder (z. B. E-Mail) übermittelt werden.

10. Auftragsverarbeiter, Empfänger, Subunternehmer
Wir setzen weisungsgebundene Auftragsverarbeiter (Art. 28 DSGVO) ein, u. a. für Hosting, Einwilligungs-Management (Cookiebot), Web-Analyse/Marketing (nur mit Einwilligung), E-Mail-/Kommunikationsdienste sowie Cloud-Speicher zur Bereitstellung von Bild-/Videomaterial. Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge.
Für die Leistungserbringung arbeiten wir projektbezogen mit Subunternehmern (freiberufliche Foto-/Videograf:innen) zusammen; diese werden auf Vertraulichkeit verpflichtet und – sofern sie personenbezogene Daten im Auftrag verarbeiten – vertraglich nach Art. 28 DSGVO eingebunden.

11. Übermittlungen in Drittländer (insbesondere Kasachstan und Belarus), Remote-Zugriff und lokale Speicherung
Für die Postproduktion (Sichtung, Schnitt, Farbkorrektur, Render, Auslieferung) setzen wir projektbezogen Subunternehmer in Drittländern ein, insbesondere in Kasachstan und Belarus. Eine Übermittlung personenbezogener Daten in diese Staaten erfolgt ohne Angemessenheitsbeschluss der EU-Kommission ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO, insbesondere der EU-Standardvertragsklauseln (SCC, Modul 2: Verantwortliche:r → Auftragsverarbeiter:in). Wir führen hierfür Transfer-Impact-Assessments (TIA) durch und setzen ergänzende technische und organisatorische Maßnahmen um (u. a. Transport- und Ruhend-Verschlüsselung, strikte Zugriffsbeschränkungen, Protokollierung, Löschkonzepte). Ein bloßer Remote-Zugriff aus einem Drittland gilt ebenfalls als Übermittlung und unterliegt denselben Schutzmechanismen.

Lokale Speicherung beim Subunternehmer
Soweit für die Postproduktion erforderlich, dürfen Subunternehmer die zur Bearbeitung notwendigen Dateien vorübergehend lokal speichern. Dies erfolgt ausschließlich zweckgebunden, zeitlich befristet und unter Verschlüsselung (mindestens Geräte-/Datenträgerverschlüsselung sowie projektbezogene Verschlüsselung von Arbeits-/Exportdaten); eine Weitergabe an Dritte, Nutzung zu eigenen Zwecken oder dauerhafte Archivierung ist vertraglich untersagt. Nach Abschluss des Auftrags sind Daten zu löschen; verbleibende Sicherungen werden gemäß definierten Löschfristen entfernt.

Dateiübermittlungen über Google Drive
Zur Dateiübermittlung/-bereitstellung nutzen wir Google Drive. Freigaben erfolgen adressiert und nicht öffentlich; Dateien werden clientseitig in passwortgeschützten Archiven bereitgestellt (z. B. AES-256), Schlüssel/Passwörter werden über getrennte Kanäle übermittelt.

Hinweis zu Belarus
Für Belarus gelten EU-Sanktionsregelungen. Wir stellen sicher, dass unsere Prozesse, Dienstleister und Zahlungswege nicht gegen einschlägige EU-Vorschriften verstoßen.

12. Speicherdauer
• Vertrags-/Rechnungsdaten: 10 Jahre (§ 147 AO)
• Anfragen/Kommunikation: bis zur Erledigung, max. 12 Monate
• Analysedaten: i. d. R. bis zu 14 Monate
• Foto-/Videomaterial: bis zur Vertragserfüllung bzw. gemäß individueller Vereinbarung/Einwilligung mit den Kund:innen

13. Rechte der betroffenen Personen
Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen. Einmal erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (z. B. über Cookie-Einstellungen). Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO), z. B. beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).

Widerspruch gegen Direktwerbung: Sie können der Verarbeitung Ihrer Daten für Zwecke der Direktwerbung jederzeit widersprechen (Art. 21 Abs. 2 DSGVO). Der Widerspruch gilt ausschließlich für Direktwerbung und lässt die Verarbeitung unberührt, die zur Durchführung des Vertrags oder zur Erfüllung gesetzlicher Pflichten erforderlich ist (Art. 6 Abs. 1 lit. b und c DSGVO).

14. Soziale Netzwerke & eingebettete Inhalte
Unsere Profile: Instagram, YouTube, TikTok. Beim Besuch unserer Profile gelten die Datenschutzhinweise der jeweiligen Plattformbetreiber.
Einbettungen (z. B. Instagram-Feeds, YouTube- oder TikTok-Player) auf unserer Website werden erst nach Ihrer Einwilligung geladen.

Seiten-Insights (Instagram): Für die Statistikfunktionen kann eine gemeinsame Verantwortlichkeit mit Meta bestehen; die maßgeblichen Bedingungen stellt Meta bereit. Unsere Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Interesse an Reichweitenmessung).

15. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald dies aufgrund technischer oder rechtlicher Entwicklungen erforderlich wird.

16. Sicherheit der Verarbeitung
Wir treffen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (u. a. Zugriffskontrollen, Verschlüsselung bei Übertragung und Speicherung, Protokollierung, Löschkonzepte, Rechte- und Rollenkonzepte), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Stand: 08.09.2025