Datenschutzerklärung
Stand: 5. Mai 2026
1. Verantwortlicher
Lieven Sauerwald stillstand.art Theodor-Fontane-Weg 16 49434 Neuenkirchen Deutschland
E-Mail: lieven@stillstand.art
Ein:e betriebliche:r Datenschutzbeauftragte:r ist nicht bestellt; die gesetzlichen Schwellen nach § 38 BDSG werden nicht erreicht.
2. Zweck und Übersicht
Wir verarbeiten personenbezogene Daten ausschließlich, um diese Website zu betreiben, Bestellungen abzuwickeln und gesetzliche Pflichten zu erfüllen. Eine darüber hinausgehende Verarbeitung — insbesondere für Werbung, Profilbildung oder den Verkauf von Daten — findet nicht statt. Wir setzen keine Tracking-Cookies und keine Drittanbieter-Analytics ein. Zur reinen Reichweitenmessung führen wir eine pseudonyme, tagesweise rotierende Aggregat-Statistik (siehe Ziff. 3.6).
3. Erhobene Daten und Rechtsgrundlagen
3.1 Server-Logs
Bei jedem Aufruf einer Seite speichert unser Hoster (siehe Ziff. 4) automatisch Informationen wie IP-Adresse, Datum und Uhrzeit, aufgerufene URL, User-Agent und Referrer. Die Daten werden zur IT-Sicherheit, zur Abwehr von Angriffen und zur Fehleranalyse benötigt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Aufbewahrungsdauer: 14 Tage, danach werden die Logs automatisch gelöscht.
3.2 Bestellabwicklung
Wenn Sie eine Bestellung aufgeben, verarbeiten wir Name, Liefer- und Rechnungsanschrift, E-Mail-Adresse sowie die Zahlungsdaten, die Stripe für die Zahlungsabwicklung benötigt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung gesetzlicher Aufbewahrungspflichten — § 147 AO, § 257 HGB). Aufbewahrungsdauer: zehn Jahre nach Ablauf des Kalenderjahrs der Rechnungserstellung.
3.3 Bestellbestätigung per E-Mail
Bestell- und Versandbestätigungen versenden wir aus dem eigenen SMTP-Postfach lieven@stillstand.art bei united-domains (siehe Ziff. 4.7). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.4 Kontaktaufnahme
Wenn Sie uns per E-Mail oder über ein Kontaktformular schreiben, verarbeiten wir die mitgeteilten Daten zur Bearbeitung Ihrer Anfrage (Art. 6 Abs. 1 lit. b oder f DSGVO) und löschen sie, sobald die Bearbeitung abgeschlossen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
3.5 Cookies
Wir setzen ausschließlich einen technisch erforderlichen Sitzungs-Cookie für das Admin-Login. Dieser Cookie ist nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei und wird ausschließlich für authentifizierte Verwaltungssitzungen verwendet — Besucherinnen und Besucher des Shops sind nicht betroffen. Tracking-, Marketing- oder Analyse-Cookies setzen wir nicht ein.
3.6 Pseudonyme Aggregat-Reichweitenmessung
Um nachvollziehen zu können, welche Fotografien Interesse finden, zählen wir Seitenaufrufe in aggregierter Form. Pro Aufruf bilden wir aus IP-Adresse, User-Agent und Accept-Language-Header zusammen mit einem täglich neu rotierenden Server-Geheimnis einen SHA-256-Fingerabdruck und speichern lediglich (Fingerabdruck, Pfad, Zähler, erste Sichtung, letzte Sichtung). Da der Salt täglich rotiert, lässt sich derselbe Browser am nächsten Tag nicht mehr wiedererkennen — eine personenbezogene Auswertung über mehrere Tage ist technisch ausgeschlossen. Die so gewonnenen Werte (z. B. „dieses Foto wurde heute 12-mal von 4 unterschiedlichen Browsern aufgerufen") sind reine Aggregat-Statistik und stellen keine personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO dar; eine Einwilligung nach § 25 TDDDG ist nicht erforderlich, weil keine Informationen auf dem Endgerät gespeichert oder daraus ausgelesen werden. Rechtsgrundlage für die zur Hashbildung kurzfristig verwendete IP ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung). Die rohen IP-Adressen werden weder gespeichert noch an Dritte übermittelt.
4. Auftragsverarbeiter und Empfänger
Wir greifen auf folgende sorgfältig ausgewählte Dienstleister zurück. Mit allen aufgeführten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO.
4.1 Hosting — Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Deutschland. Hetzner stellt Server- und Netzinfrastruktur in Deutschland bereit. Verarbeitete Daten: alle technisch übertragenen Inhalte einschließlich IP-Adressen in den Server-Logs. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer: keiner.
4.2 Datenbank — Hetzner Online GmbH (Managed Postgres)
Hetzner Online GmbH (siehe Ziff. 4.1) betreibt zudem unsere PostgreSQL-Datenbank in der Falkenstein/Nürnberg-Region. Verarbeitete Daten: Bestelldaten, Kundendaten, Kataloginhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Drittlandtransfer: keiner.
4.3 DNS — Hetzner Online GmbH
Autoritative DNS-Auflösung über Hetzners DNS-Service (hetzner.com/dns-console). Verarbeitete Daten: DNS-Anfragen (anonym, aggregiert). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer: keiner.
4.4 Content Delivery — Bunny.net (BunnyCDN)
BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien (EU). Bunny beschleunigt die Auslieferung statischer Inhalte (Stylesheets, JavaScript-Bündel, Bildvarianten) über sein europäisches Edge-Netz. Verarbeitete Daten: IP-Adresse, Anfragezeit, User-Agent. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer: keiner.
4.5 Bilddatei-Speicher — Scaleway SAS
Scaleway SAS, 8 rue de la Ville l'Évêque, 75008 Paris, Frankreich. Speichert die ausgelieferten Bildvarianten der veröffentlichten Fotografien. Personenbezogene Daten werden hier üblicherweise nicht abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Drittlandtransfer: keiner.
4.6 Bezahlung — Stripe Payments Europe Ltd.
Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (EU-Verantwortlicher) sowie Stripe, Inc., 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA. Stripe wickelt die Zahlung über Embedded Checkout ab und verarbeitet dabei Name, Liefer- und Rechnungsanschrift, E-Mail, Zahlungsmittel und Beträge. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandtransfer in die USA, abgesichert durch das EU-US Data Privacy Framework (Stripe ist zertifiziert) sowie Standardvertragsklauseln als Rückfallebene. Stripes Datenschutzhinweise: https://stripe.com/privacy.
4.7 Versand transaktionaler E-Mails — united-domains AG (SMTP)
Bestätigungs- und Versandmails verschicken wir über das SMTP-Postfach unserer eigenen Domain bei united-domains AG, Gautinger Straße 10, 82319 Starnberg, Deutschland. Verarbeitete Daten: E-Mail-Adresse, Name, Bestellnummer, ggf. Versandverfolgungsnummer. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandtransfer: keiner.
4.8 Druckpartner
Drucke werden bei wechselnden, in Deutschland ansässigen Fine-Art-Druckdienstleistern beauftragt. An diese übermitteln wir ausschließlich die Bilddatei sowie technische Auftragsangaben (Größe, Papier, interne Auftragsnummer). Personenbezogene Daten unserer Käufer:innen — insbesondere Name oder Lieferanschrift — werden nicht weitergegeben, da der gedruckte Druck zunächst zu uns zurückgesandt, qualitätsgeprüft und anschließend von uns selbst an Sie verschickt wird. Aus diesem Grund liegt insoweit keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor.
4.9 Fehler-Monitoring — Sentry
Functional Software, Inc. (Sentry), 132 Hawthorne Street, San Francisco, CA 94107, USA, mit EU-Region (Frankfurt). Wir verwenden Sentry zur Erfassung technischer Fehler in Webserver und Frontend. Verarbeitete Daten: Stack-Traces, Browser- und Geräteinformationen, IP-Adresse (gekürzt). Personenbezogene Bestelldaten werden nicht an Sentry übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen Dienst). Drittlandtransfer in die USA als Konzern-Mutter, abgesichert durch SCC und ggf. DPF.
5. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (Art. 21 DSGVO).
Wenden Sie sich dazu an die in Ziff. 1 genannte Adresse.
Zudem haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren — etwa der für unseren Sitz zuständigen Niedersächsischen Landesbeauftragten für den Datenschutz (LfD Niedersachsen, Prinzenstraße 5, 30159 Hannover) oder einer anderen Aufsichtsbehörde im EU-Mitgliedstaat Ihres üblichen Aufenthalts.
6. Speicherdauern im Überblick
| Datenkategorie | Aufbewahrung |
|---|---|
| Server-Logs | 14 Tage |
| Bestelldaten und Rechnungen | 10 Jahre (§ 147 AO, § 257 HGB) |
| Newsletter-Daten | nicht erhoben |
| Sentry-Fehlerberichte | 90 Tage (Standard-Retention) |
| Kontaktanfragen per E-Mail | bis zur Erledigung, längstens 12 Monate |
7. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, sobald sich Verfahren oder Dienstleister ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; das Datum oben benennt den Stand.
Privacy Policy (English)
The following English summary is provided for the convenience of non-German-speaking visitors. The legally binding version is the German Datenschutzerklärung above.
Controller
Lieven Sauerwald, trading as stillstand.art, Theodor-Fontane-Weg 16, 49434 Neuenkirchen, Germany. Contact: lieven@stillstand.art.
What we process
- Server logs — IP, time, URL, user agent — kept 14 days for IT security (legal basis: legitimate interest, Art. 6(1)(f) GDPR).
- Order data — name, shipping/billing address, e-mail, payment data — for fulfilling your contract (Art. 6(1)(b) GDPR) and for statutory bookkeeping retention of 10 years (Art. 6(1)(c) GDPR).
- Order confirmation e-mails — sent from our own SMTP mailbox (
lieven@stillstand.art) hosted at united-domains AG (Germany). - A single strictly-necessary admin auth cookie that visitors are not subject to. No tracking, analytics or marketing cookies are set.
- Aggregate reach counter — per page view we hash
(IP, user-agent, accept-language)with a server secret that rotates daily, then store only(hash, path, counter, first-seen, last-seen). Same-day repeat visits aggregate; cross-day re-identification is technically impossible. No raw IPs are stored, no cookie set, nothing read from your device. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in reach measurement); no consent required because nothing is stored on or read from your device.
Processors
| Provider | Role | Region | Transfer mechanism (if outside EU) |
|---|---|---|---|
| Hetzner Online GmbH | App + log hosting, Postgres database, DNS | Germany | — |
| BunnyWay d.o.o. (Bunny.net) | CDN | Slovenia (EU) | — |
| Scaleway SAS | Image storage | France | — |
| Stripe Payments Europe Ltd. + Stripe, Inc. | Payment processing | IE / US | DPF + SCCs |
| united-domains AG | SMTP mailbox (transactional e-mail) | Germany | — |
| German fine-art print partners (rotating) | Print only — receive image file + SKU, no buyer data | Germany | — |
| Functional Software, Inc. (Sentry) | Error monitoring (EU region) | US parent / EU storage | SCCs + DPF |
Your rights
Access, rectification, deletion (subject to statutory retention), restriction, portability, objection. Contact us at the e-mail above. You also have the right to lodge a complaint with a supervisory authority — e.g. the Niedersächsische Landesbeauftragte für den Datenschutz, or your home EU member state's authority.