1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch die Websitebetreiberin. Deren Kontaktdaten können Sie dem Abschnitt „Verantwortliche Stelle“ in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Kontaktformular eingeben oder bei der Anmeldung zu unserem Newsletter angeben.

Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten. Andere Daten können zur Kommunikation mit Ihnen (z. B. Newsletter, Beantwortung von Kontaktanfragen) oder zur Abwicklung von Zahlungsvorgängen verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

Hierzu sowie zu weiteren Fragen zum Thema Datenschutz können Sie sich jederzeit an uns wenden.

2. Verantwortliche Stelle und Pflichtinformationen

Verantwortliche Stelle

Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Daria Beizerov
Postreitweg 13
45145 Essen
Deutschland

E-Mail: studio@daria.gallery

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z. B. Namen, E-Mail-Adressen o. Ä.) entscheidet.

Aufsichtsbehörde

Zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
https://www.ldi.nrw.de

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z. B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

Allgemeine Hinweise zu den Rechtsgrundlagen der Datenverarbeitung

Die Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten werden in den jeweiligen Abschnitten dieser Datenschutzerklärung erläutert. Sofern die Rechtsgrundlage in dieser Datenschutzerklärung nicht explizit genannt wird, gilt Folgendes: Die Rechtsgrundlage für die Einholung von Einwilligungen ist Art. 6 Abs. 1 lit. a DSGVO sowie Art. 7 DSGVO. Die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer Leistungen und Durchführung vertraglicher Maßnahmen sowie Beantwortung von Anfragen ist Art. 6 Abs. 1 lit. b DSGVO. Die Rechtsgrundlage für die Verarbeitung zur Erfüllung unserer rechtlichen Verpflichtungen ist Art. 6 Abs. 1 lit. c DSGVO. Die Rechtsgrundlage für die Verarbeitung zur Wahrung unserer berechtigten Interessen ist Art. 6 Abs. 1 lit. f DSGVO.

Hinweis zur Datenweitergabe in datenschutzrechtlich nicht sichere Drittstaaten sowie die Weitergabe an US-Unternehmen, die nicht DPF-zertifiziert sind

Wir verwenden unter anderem Tools von Unternehmen mit Sitz in den USA oder sonstigen datenschutzrechtlich nicht sicheren Drittstaaten. Wenn diese Tools aktiv sind, können Ihre personenbezogenen Daten in diese Drittstaaten übertragen und dort verarbeitet werden. Wir weisen darauf hin, dass in diesen Ländern kein mit der EU vergleichbares Datenschutzniveau garantiert werden kann. Soweit US-Unternehmen unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, kann ein angemessenes Datenschutzniveau angenommen werden. Im Übrigen haben wir mit den jeweiligen Anbietern Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen. Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen.

3. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO) – Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, Auskunft über diese Daten und die in Art. 15 DSGVO aufgeführten Informationen zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO) – Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen.
• Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO) – Sie haben das Recht, die unverzügliche Löschung Sie betreffender personenbezogener Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln.
• Recht auf Widerspruch (Art. 21 DSGVO) – Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Sie haben das Recht, Ihre Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für uns zuständige Aufsichtsbehörde ist: LfDI NRW, Kavalleriestraße 2–4, 40213 Düsseldorf.

4. Hosting

Cloudflare

Wir hosten unsere Website bei der Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA (nachfolgend „Cloudflare“). Wir nutzen die Produkte Cloudflare Workers (serverseitige Ausführung einzelner dynamischer Endpunkte), Cloudflare Workers Assets (Auslieferung statischer Seiten) und Cloudflare D1 (serverlose SQL-Datenbank für Live-Session-Daten). Die Verarbeitung erfolgt im Rahmen des globalen Cloudflare-Edge-Netzwerks mit bevorzugtem Routing in der Region WEUR (Westeuropa, u. a. Frankfurt und Amsterdam); die D1-Datenbank ist explizit in dieser Region gespeichert.

Wenn Sie unsere Website besuchen, verarbeitet Cloudflare technisch notwendige Informationen Ihres Browsers:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seiten / Name der abgerufenen Datei
• HTTP-Statuscode und Protokollinformationen
• Browsertyp und Browserversion sowie Betriebssystem
• Referrer-URL (zuvor besuchte Seite)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Gewährleistung der Serversicherheit, der Stabilität, dem Schutz vor Missbrauch (DDoS- und Bot-Mitigation) sowie der fehlerfreien Bereitstellung der Website.

Speicherdauer: Request-Logs werden von Cloudflare nur kurzzeitig zur Missbrauchsabwehr vorgehalten. Wir selbst schreiben keine personenbeziehbaren Zugriffsprotokolle. Anwendungsfehler (Worker-Laufzeitfehler) werden für maximal 7 Tage in Cloudflare-Logs aufbewahrt und anschließend gelöscht.

Drittstaatentransfer: Cloudflare ist ein US-Unternehmen und unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Mit Cloudflare bestehen zusätzlich Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als ergänzende Garantie.

Auftragsverarbeitung: Wir haben mit Cloudflare einen Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO geschlossen.

Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/privacypolicy/

Cloudflare Stream (Live-Videos und Aufzeichnungen)

Unsere kostenlosen Live-Malsessions und die später dazu veröffentlichten Aufzeichnungen liefern wir über Cloudflare Stream aus. Das ist ein Video-Dienst desselben Anbieters, bei dem auch unsere Website läuft (siehe oben). Cloudflare Stream sorgt dafür, dass das Video in einer zu Ihrer Verbindung passenden Qualität in Ihrem Browser ankommt.

Wenn Sie die Seite /live oder /live/watch öffnen und gerade eine Live-Session läuft, verbindet sich Ihr Browser direkt mit Cloudflare Stream, um das Video zu empfangen. Dabei werden – wie bei jedem Webseitenaufruf – Ihre IP-Adresse und einige Angaben zu Ihrem Browser übermittelt. Cookies werden dabei nicht gesetzt, und es findet kein Tracking Ihres Verhaltens statt.

Hinweis zum Datenverbrauch: Damit das Video sofort startet, sobald Sie auf den Wiedergabe-Hinweis tippen, beginnt der Browser schon beim Aufruf der Seite leise im Hintergrund mit dem Laden erster Videodaten. Wenn Sie das vermeiden möchten – z. B. unterwegs mit knappem Mobilfunk-Datenvolumen – schließen Sie die Seite bitte, ohne die Wiedergabe zu starten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – unser berechtigtes Interesse an einer zuverlässigen, ruckelarmen Wiedergabe der Live-Sessions und Aufzeichnungen.

Drittstaatentransfer, Auftragsverarbeitung, Speicherdauer: Cloudflare Stream gehört zum selben Cloudflare-Account, den wir auch für das Hosting nutzen (siehe oben). Die dort beschriebenen Garantien – das EU-US Data Privacy Framework, die Standardvertragsklauseln und der Auftragsverarbeitungsvertrag mit Cloudflare – decken Cloudflare Stream automatisch mit ab; ein weiterer Anbieter oder ein zusätzlicher Vertrag ist nicht beteiligt. Aufzeichnungen bleiben gespeichert, bis wir sie aktiv löschen oder eine Session als „ohne Aufzeichnung" markieren.

Produktinformationen zu Cloudflare Stream: https://www.cloudflare.com/products/cloudflare-stream/

5. Newsletter (Sendy / Amazon SES)

Beschreibung und Umfang der Datenverarbeitung

Wir bieten Ihnen die Möglichkeit, sich auf unserer Website für unseren Newsletter anzumelden. Für den Newsletter-Versand setzen wir die selbst gehostete Software Sendy ein. Sendy läuft auf unserem eigenen IONOS-Server in Deutschland; die Abonnentendaten (E-Mail-Adresse, Name, IP-Adresse, Zeitstempel) verbleiben somit auf unserem Server.

Der technische Versand der E-Mails erfolgt über Amazon Simple Email Service (SES) des Anbieters Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Der von uns genutzte SES-Endpunkt befindet sich in der Region eu-west-1 (Irland); die Daten werden somit innerhalb der Europäischen Union verarbeitet. AWS ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.

Double-Opt-In-Verfahren

Die Anmeldung zu unserem Newsletter erfolgt in einem sogenannten Double-Opt-In-Verfahren. Das heißt, Sie erhalten nach der Anmeldung eine E-Mail, in der Sie um Bestätigung Ihrer Anmeldung gebeten werden. Erst nach Klick auf den Bestätigungslink ist die Anmeldung abgeschlossen. Dieses Verfahren dient dem Nachweis Ihrer Einwilligung.

Erhobene Daten

• E-Mail-Adresse (Pflichtangabe)
• Name (optional)
• IP-Adresse zum Zeitpunkt der Anmeldung
• Zeitstempel der Anmeldung und der Bestätigung

E-Mail-Tracking (Erfolgsmessung)

Unsere Newsletter enthalten sogenannte Zählpixel (Tracking-Pixel). Dies ist eine kleine, unsichtbare Bilddatei, die beim Öffnen der E-Mail von unserem Server abgerufen wird. Dadurch können wir feststellen, ob eine Newsletter-E-Mail geöffnet wurde. Darüber hinaus werden Klicks auf Links innerhalb des Newsletters erfasst. Diese Daten dienen der statistischen Auswertung der Newsletter-Kampagnen und der Optimierung zukünftiger Newsletter-Inhalte.

Rechtsgrundlage für das Tracking: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Messung der Effektivität unserer Newsletter). Sie können dem Tracking widersprechen, indem Sie die Anzeige von Bildern in Ihrem E-Mail-Programm deaktivieren oder unseren Newsletter abbestellen.

Rechtsgrundlage

Die Verarbeitung der Daten für den Newsletter-Versand erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Widerruf und Abmeldung

Sie können Ihre Einwilligung zum Empfang des Newsletters jederzeit widerrufen, z. B. über den Abmeldelink am Ende jeder Newsletter-E-Mail oder per E-Mail an studio@daria.gallery. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Speicherdauer

Ihre Daten werden für die Dauer des Newsletter-Abonnements gespeichert. Nach der Abmeldung werden Ihre Einwilligungsnachweise (E-Mail-Adresse, IP-Adresse, Zeitstempel der Anmeldung und Bestätigung) noch für 3 Jahre aufbewahrt, um die Rechtmäßigkeit der früheren Verarbeitung nachweisen zu können (gesetzliche Nachweispflicht). Im Anschluss werden diese Daten gelöscht.

Erinnerungen an Live-Sessions

Unabhängig vom Studio-Letter-Newsletter bieten wir auf der Seite /live die Möglichkeit, sich für Erinnerungen an unsere kostenlosen Live-Malsessions anzumelden. Die Erinnerungen werden als separate, eigenständige Liste in Sendy geführt; es handelt sich technisch und rechtlich um eine vom Studio Letter getrennte Verarbeitung mit eigener Einwilligung.

Zweck: Sie erhalten pro geplanter Live-Session genau eine Erinnerungs-E-Mail – in der Regel ca. 60 Minuten vor Sessionstart. Zusätzlich erhalten Sie eine Erinnerung, sobald eine Aufzeichnung veröffentlicht wurde, falls Sie die Live-Session verpasst haben. Ein redaktioneller Newsletter oder Werbeinhalte werden über diese Liste nicht versendet.

Erhobene Daten: E-Mail-Adresse, IP-Adresse zum Zeitpunkt der Anmeldung, Zeitstempel von Anmeldung und Double-Opt-In-Bestätigung.

Double-Opt-In: Das Anmeldeverfahren ist identisch zum Studio-Letter-Newsletter. Ohne Klick auf den Bestätigungslink wird keine Erinnerung versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung wird getrennt von der Studio-Letter-Einwilligung erteilt und kann einzeln widerrufen werden.

Widerruf: Sie können jederzeit den Abmeldelink am Ende jeder Erinnerungs-E-Mail nutzen oder uns per E-Mail an studio@daria.gallery kontaktieren. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Speicherdauer: Analog zum Studio Letter – für die Dauer des Abonnements, nach Abmeldung werden die Einwilligungsnachweise noch 3 Jahre aufbewahrt und anschließend gelöscht.

Technische Infrastruktur: Die Daten werden über dieselbe Sendy-Instanz auf unserem Server verarbeitet und via Amazon SES (EU, Irland) versandt; die obigen Angaben zu Sendy, SES, DPF-Zertifizierung und Auftragsverarbeitung gelten entsprechend.

Auftragsverarbeitung

Wir haben mit Amazon Web Services ein Data Processing Addendum (DPA) gemäß Art. 28 DSGVO abgeschlossen.

Live-Chat (Cloudflare Durable Objects)

Während einer Live-Session können Sie auf der Seite /live/watch in einem Echtzeit-Chat teilnehmen. Der Chat wird über Cloudflare Durable Objects (siehe §4 Hosting) als WebSocket-Verbindung betrieben.

Erhobene Daten: der von Ihnen frei gewählte Anzeigename, Ihre Pigment-Auswahl, eine zufällige Browser-Kennung (Details siehe Abschnitt 11), Ihre Chat-Nachrichten sowie die zur Verbindung notwendige IP-Adresse.

Profil im Chat-Server: Während eine Live-Session läuft, hält unser Chat-Server zur Browser-Kennung den Anzeigenamen und die Pigment-Auswahl im Arbeitsspeicher. Damit erscheint Ihr Name allen Mitlesenden gleich, auch wenn Sie ihn während der Session ändern. Eine Speicherung über das Ende der Session hinaus findet auf unserem Server nicht statt.

IP-Verarbeitung: Solange Sie nur passiv mitlesen, wird Ihre IP-Adresse für die Dauer der WebSocket-Verbindung im Verbindungs-State gehalten und beim Verbindungsabbau verworfen. Sobald Sie eine Chat-Nachricht senden, wird Ihre IP-Adresse zusammen mit der Nachricht intern für die Dauer der laufenden Live-Session gespeichert (Speicherung ist auf die letzten 100 Nachrichten begrenzt). Die IP wird niemals an andere Chat-Teilnehmer übermittelt oder öffentlich angezeigt.

Zweck der IP-Speicherung: ausschließlich zur Moderation. Bei Verstößen gegen die Chat-Regeln (z. B. Spam, Belästigung) kann die Künstlerin eine Sperre aussprechen, die Ihre IP für die Dauer der Session in den Schreibmodus blockiert – das Schauen des Live-Streams bleibt davon unberührt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an einer moderationsfähigen Live-Plattform und an der Aufrechterhaltung eines belästigungsfreien Chats für alle Teilnehmer.

Speicherdauer: Chat-Nachrichten und zugehörige IPs werden mit Beendigung bzw. Zurücksetzen der Live-Session gelöscht (manuell durch die Künstlerin oder spätestens beim nächsten Reset). Eine Speicherung über die Session hinaus findet nicht statt.

Lokale Speicherung in Ihrem Browser: Ihren gewählten Anzeigenamen, Ihre Pigment-Auswahl, die Bestätigung der Chat-Regeln und eine zufällige Browser-Kennung speichert Ihr Browser im localStorage. Damit erscheinen Sie bei einer späteren Live-Session am gleichen Gerät direkt mit Ihrem vorigen Namen, ohne sich neu einzurichten. Details zu Zweck, Speicherdauer und Rechtsgrundlage finden Sie in Abschnitt 11 (Cookies, Local Storage und ähnliche Technologien).

Vorab-Fragen vor Live-Sessions

Vor einer angekündigten Live-Session können Sie auf der Seite /live über ein Formular eine Frage an die Künstlerin einreichen. Diese Funktion ist nur sichtbar, solange das Event angekündigt oder unmittelbar bevorstehend ist; sie verschwindet, sobald die Session live geht.

Erhobene Daten: der eingereichte Frage-Text, optional ein von Ihnen freiwillig angegebener Anzeigename und Ihre IP-Adresse.

Zweck der IP-Speicherung: ausschließlich Spam-Schutz. Anhand der IP wird die Anzahl der Fragen pro Stunde begrenzt (Rate-Limit) und Missbrauch erkannt. Die IP wird niemals öffentlich angezeigt oder an andere Teilnehmer übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse am Schutz vor automatisiertem Missbrauch und an einer moderationsfähigen Q&A-Funktion.

Speicherdauer: Frage und zugehörige IP werden bis zur manuellen Löschung durch die Künstlerin (typischerweise im Anschluss an die zugehörige Live-Session) gespeichert. Spätestens beim Löschen des Events werden alle zugehörigen Fragen mitgelöscht.

6. Shop: Bestellabwicklung und Zahlungsdienstleister

6.1 Bestellabwicklung im Online-Shop

Wenn Sie im Online-Shop unter daria.gallery eine Bestellung aufgeben, verarbeiten wir die zur Vertragsabwicklung erforderlichen personenbezogenen Daten. Die Zahlungsdaten selbst (Kartennummer, Kontodaten, Ablaufdaten etc.) werden nicht auf unserem Server verarbeitet, sondern fließen direkt an den Zahlungsdienstleister Stripe (siehe Abschnitt 6.2).

Erhobene Daten:

• Name und Liefer-/Rechnungsadresse
• E-Mail-Adresse
• Bestellhistorie (erworbene Werke, Mengen, Preise)
• Bestell- und Rechnungsnummer (Format: DG-JJJJ-NNNN)
• Zahlungsstatus und Referenz-ID von Stripe
• Versandzone (Deutschland, EU, weltweit), Versandstatus, ggf. Sendungsnummer und Versanddienstleister

Zwecke der Verarbeitung:

• Abwicklung Ihrer Bestellung (Bestätigung, Lieferung, Kommunikation)
• Erstellung und Versand der Rechnung als PDF-Dokument
• Bestandsverwaltung und interne Auftragsbearbeitung
• Erfüllung gesetzlicher handels- und steuerrechtlicher Pflichten

Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen für alle Daten, die zur Durchführung des Kaufvertrags erforderlich sind (Name, Lieferadresse, E-Mail, Bestellpositionen).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen, insbesondere der handelsrechtlichen Aufbewahrungspflichten für Rechnungen und Buchungsbelege gemäß § 257 HGB und § 147 AO.

Speicherort: Die Bestelldaten werden in einer SQLite-Datenbank (shop.db) auf unserem eigenen IONOS-Server in Deutschland gespeichert (siehe Abschnitt 4 „Hosting"). Es erfolgt keine Übermittlung der Bestelldaten an einen externen Datenbankanbieter.

Rechnungs-PDF: Nach erfolgreichem Zahlungseingang wird automatisch ein Rechnungs-PDF erzeugt (Bibliothek: TCPDF, lokal auf unserem Server), auf unserem Server unter /dl/files/invoices/<Rechnungsnummer>.pdf gespeichert und Ihnen per E-Mail zugesandt. Die Rechnung enthält ausschließlich die gesetzlich erforderlichen Pflichtangaben nach § 14 UStG in Verbindung mit § 19 UStG (Kleinunternehmerregelung — es wird keine Umsatzsteuer erhoben und ausgewiesen).

Übermittlung an Versanddienstleister: Zur Zustellung Ihrer Bestellung übermitteln wir Ihren Namen und Ihre Lieferadresse an den jeweils beauftragten Versanddienstleister (in Betracht kommen insbesondere Deutsche Post, DHL, DPD, Hermes oder UPS). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Bei Lieferungen außerhalb der Europäischen Union kann eine Weitergabe der Adressdaten an Zollbehörden und ausländische Transportdienstleister erforderlich sein; in diesem Fall stützen wir die Übermittlung ebenfalls auf Art. 6 Abs. 1 lit. b DSGVO und ggf. Art. 49 Abs. 1 lit. b DSGVO (Vertragserfüllung in Drittländer).

Rechnungs- und Bestellbestätigungs-E-Mails: Der Versand von Bestell- und Versandbestätigungen sowie der Rechnung erfolgt über Amazon Simple Email Service (SES) in der Region eu-west-1 (Irland). Nähere Informationen hierzu finden Sie in Abschnitt 5 „Newsletter".

Speicherdauer: Bestelldaten, die Bestandteil einer Rechnung, einer Handelskorrespondenz oder eines Buchungsbelegs sind, werden zur Erfüllung der gesetzlichen Aufbewahrungspflichten zehn Jahre ab Ablauf des Kalenderjahres, in dem der Beleg entstanden ist, gespeichert (§ 257 Abs. 4 HGB, § 147 Abs. 3 AO). Nach Ablauf dieser Frist werden die Daten gelöscht, sofern kein sonstiger Speichergrund besteht. Bestelldaten, die nicht den Aufbewahrungspflichten unterfallen (z. B. Tracking-Nummern nach erfolgter Zustellung), werden unmittelbar nach Wegfall des Zwecks gelöscht.

Erforderlichkeit der Bereitstellung: Die Bereitstellung Ihrer personenbezogenen Daten (insbesondere Name, Lieferadresse, E-Mail) ist für den Abschluss und die Durchführung des Kaufvertrages erforderlich. Ohne diese Daten können wir den Vertrag nicht abschließen und die Bestellung nicht ausführen.

6.2 Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe.

Anbieter in Europa: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland.
Muttergesellschaft: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Erhobene Daten

Bei einem Zahlungsvorgang werden die folgenden Daten direkt an Stripe übermittelt (über Stripe.js – die Zahlungsdaten gelangen nicht auf unseren Server):

• Name
• E-Mail-Adresse
• Rechnungsadresse
• Zahlungskartendaten (Kartennummer, Ablaufdatum, Prüfziffer)
• IP-Adresse
• Transaktionsdaten (Betrag, Währung, Zeitpunkt)

Rechtsgrundlage

Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Bereitstellung der Daten ist erforderlich, um den Kaufvertrag abzuwickeln.

Cookies von Stripe

Stripe.js setzt beim Aufruf der Checkout-Seite eigene Cookies auf den Stripe-Domains (u. a. m.stripe.com) zur Betrugsprävention (Stripe Radar) und Sitzungsverwaltung des Payment Elements. Diese Cookies werden unmittelbar von Stripe gesetzt und ausgelesen; wir selbst setzen keine Stripe-bezogenen Cookies. Rechtsgrundlage für das Laden von Stripe.js auf unserer Checkout-Seite ist § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich, damit der vom Nutzer ausdrücklich gewünschte Dienst „Bezahlen im Online-Shop" bereitgestellt werden kann) sowie Art. 6 Abs. 1 lit. b DSGVO.

Betrugsprävention

Stripe kann Ihre Daten darüber hinaus im Rahmen der Betrugsprävention (Stripe Radar) als eigenverantwortlicher Verantwortlicher verarbeiten.

Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe: https://stripe.com/privacy

7. Kontaktformular und Kontaktaufnahme per E-Mail

Kontaktformular

Wenn Sie uns über das Kontaktformular eine Anfrage senden, verarbeiten wir Ihre Angaben, um Ihr Anliegen zu beantworten und eventuelle Rückfragen zu klären. Ihre Nachricht wird an studio@daria.gallery weitergeleitet; zusätzlich senden wir Ihnen automatisch eine kurze Empfangsbestätigung.

Erhobene Daten: Name, E-Mail-Adresse, Nachrichtentext sowie – je nach Anfrageart (Artwork, Commission, Presse, Workshop, Hello) – ergänzende Angaben wie Land, angefragtes Werk, gewünschtes Format, Organisation oder Wunschtermin.

Speicherung: Ihre Nachricht selbst wird in keiner Datenbank gespeichert; sie verbleibt ausschließlich in den E-Mail-Postfächern von Ihnen und dem Studio. Zum Schutz vor Spam prüfen wir kurzzeitig, ob vom selben Anschluss zu viele Nachrichten in kurzer Folge gesendet werden. Wir nutzen dafür einen nicht rückführbaren Platzhalter und einen Zeitstempel; nach 60 Sekunden wird dieser wieder überschrieben. Ihre IP-Adresse selbst speichern wir nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), sofern die Anfrage mit einem Vertrag zusammenhängt; sonst Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung eingehender Anfragen und am Schutz vor Missbrauch).

Speicherdauer: Die Nachricht verbleibt in den E-Mail-Postfächern, bis Sie die Löschung verlangen, Ihre Einwilligung widerrufen oder der Zweck entfällt (z. B. nach abgeschlossener Bearbeitung). Gesetzliche Aufbewahrungsfristen bleiben unberührt.

Dienstleister: Für den Empfang setzen wir unseren Hosting-Anbieter Cloudflare ein (siehe Abschnitt 4), für den E-Mail-Versand Amazon Web Services (SES, Region Irland). Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge; die Datenverarbeitung erfolgt innerhalb der EU bzw. unter den ergänzenden Garantien des EU-US Data Privacy Framework.

Anfrage per E-Mail

Wenn Sie uns direkt per E-Mail kontaktieren, wird Ihre Anfrage inklusive der darin enthaltenen personenbezogenen Daten (z. B. Name) zur Bearbeitung gespeichert und verarbeitet. Es gelten die gleichen Rechtsgrundlagen und Speicherfristen wie beim Kontaktformular.

8. Bewerbungen für Programme und Workshops

An einigen Stellen unserer Website können Sie sich für Programme, Workshops oder Klassen bewerben (zurzeit: das Atelier Foundations). Künftig folgen weitere Programme; dieser Abschnitt gilt für alle Bewerbungsformulare auf daria.gallery.

Erhobene Daten: Kontaktangaben (Name, E-Mail-Adresse, optional Land), Ihre freitextlichen Angaben zur Person und zum Anliegen (z. B. Erfahrung, Motivation, Ziele) sowie – sofern das jeweilige Formular es vorsieht – eine hochgeladene Arbeitsprobe (Bilddatei). Welche Felder ein konkretes Formular abfragt, sehen Sie beim Ausfüllen.

Zweck: Bewertung Ihrer Bewerbung, Auswahl der Teilnehmer und Kontaktaufnahme zur weiteren Abstimmung.

Speicherung: Ihre Bewerbung und eine etwaige Arbeitsprobe speichern wir bei unserem Hosting-Anbieter Cloudflare (siehe Abschnitt 4). Zum Schutz vor Spam prüfen wir kurzzeitig, ob vom selben Anschluss zu viele Bewerbungen in kurzer Folge eingehen; wir nutzen dafür einen nicht rückführbaren Platzhalter und einen Zeitstempel. Ihre IP-Adresse selbst speichern wir nicht.

Benachrichtigung: Über jede eingegangene Bewerbung erhält Daria eine Benachrichtigungs-E-Mail. Der Versand erfolgt über Amazon Web Services (SES, Region Irland; siehe Abschnitt 5).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen im Hinblick auf einen möglichen Workshop- oder Programmvertrag) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).

Speicherdauer: Abgelehnte oder zurückgezogene Bewerbungen löschen wir spätestens 6 Monate nach Ende der jeweiligen Bewerbungsfrist. Wird Ihre Bewerbung angenommen, verbleiben Ihre Angaben für die Dauer der Vertragsdurchführung; gesetzliche Aufbewahrungsfristen bleiben unberührt.

Erforderlichkeit: Die Bereitstellung der im jeweiligen Formular als Pflicht gekennzeichneten Angaben ist erforderlich, damit wir Ihre Bewerbung bearbeiten können. Ohne diese Angaben kommt eine Bewerbung nicht zustande.

9. Externe Links

Unsere Website enthält Hyperlinks zu externen Websites Dritter (u. a. Instagram, YouTube, Pinterest). Mit dem Klick auf einen externen Link verlassen Sie unsere Website. Auf die Inhalte und Datenschutzpraktiken der verlinkten Seiten haben wir keinen Einfluss; es gilt die jeweilige Datenschutzerklärung des Anbieters.

Durch das bloße Vorhandensein eines Links auf unserer Website werden keine Daten an Dritte übertragen. Es werden keine externen Inhalte eingebettet (keine Embeds, keine Plugins, keine iFrames). Eine Datenübertragung erfolgt erst, wenn Sie den Link aktiv anklicken.

10. Social Media

Wir unterhalten öffentliche Profile auf den folgenden sozialen Netzwerken. Wenn Sie eines dieser Profile besuchen, verarbeitet der jeweilige Anbieter Ihre Daten (u. a. IP-Adresse, Browser-Daten, Interaktionen) gemäß seiner eigenen Datenschutzrichtlinie. Wir erhalten vom Anbieter anonymisierte Statistiken über die Nutzung unserer Profile.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Öffentlichkeitsarbeit und Kommunikation).

Instagram

Profil: @daria.botanicals
Anbieter: Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, D04 X2K5, Irland.
Wir haben mit Meta eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO geschlossen (Page Controller Addendum):
https://www.facebook.com/legal/terms/page_controller_addendum
Datenschutz: https://privacycenter.instagram.com/policy
Opt-Out: https://www.instagram.com/accounts/privacy_and_security/

YouTube

Kanal: @Daria.Botanicals
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Datenschutz: https://policies.google.com/privacy
Opt-Out: https://adssettings.google.com/authenticated

Pinterest

Profil: Dariabotanicals
Anbieter: Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland.
Pinterest Inc. (USA) ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Datenschutz: https://policy.pinterest.com/de/privacy-policy
Opt-Out: https://www.pinterest.com/settings/privacy

11. Cookies, Local Storage und ähnliche Technologien

Wir selbst setzen auf dieser Website keine eigenen Cookies. Insbesondere werden keine Analyse-, Werbe- oder Tracking-Cookies eingesetzt. Unser Hosting- und CDN-Anbieter Cloudflare kann jedoch zur Sicherheits- und Botabwehr technisch notwendige Cookies setzen (Details siehe unten); auf der Checkout-Seite des Shops lädt zudem Stripe eigene First-Party-Cookies auf seinen eigenen Domains.

Cloudflare-Sicherheits-Cookies (cf_clearance, __cf_bm)

Cloudflare ist unser Hosting- und CDN-Anbieter (siehe Abschnitt 4) und schützt unsere Website vor automatisierten Angriffen wie DDoS-Versuchen oder bösartigem Bot-Traffic. In diesem Zusammenhang kann Cloudflare in bestimmten Situationen zwei Cookies in Ihrem Browser setzen:

• cf_clearance — wird gesetzt, sobald Sie eine Sicherheitsprüfung (z. B. eine JavaScript-Challenge oder ein CAPTCHA) erfolgreich bestanden haben. Dadurch muss diese Prüfung nicht bei jedem weiteren Seitenaufruf wiederholt werden. Speicherdauer: in der Regel bis zu 30 Minuten; kann je nach Cloudflare-Konfiguration länger sein.
• __cf_bm — ein Bot-Management-Cookie, das Cloudflare nutzt, um automatisierten Traffic von echten Besuchern zu unterscheiden. Es enthält keine personenbezogenen Daten und wird nicht für Tracking oder Werbung verwendet. Speicherdauer: 30 Minuten ab dem letzten Seitenaufruf.

Zweck: ausschließlich technische Sicherheit — Schutz vor Missbrauch, Angriffen und Bot-Verkehr. Diese Cookies werden nicht zu Analyse-, Profil- oder Werbezwecken eingesetzt; eine Weitergabe an Dritte findet nicht statt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für die sichere Bereitstellung des von Ihnen ausdrücklich aufgerufenen Telemediendienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Verfügbarkeit unserer Website). Ein Cookie-Consent-Banner ist dafür nicht erforderlich.

Diese Cookies werden ausschließlich von Cloudflare gesetzt und ausgelesen; wir selbst haben keinen Zugriff auf ihren Inhalt. Weitere Informationen finden Sie in der Datenschutzerklärung von Cloudflare sowie in der Cloudflare-Cookie-Übersicht.

Local Storage (Warenkorb und Checkout-Ablauf)

Der Online-Shop nutzt den Local Storage Ihres Browsers, um den Inhalt Ihres Warenkorbs und den Zwischenstand eines laufenden Zahlungsvorgangs (Stripe-Referenz-ID) lokal in Ihrem Browser zu speichern. Diese Informationen verlassen Ihr Gerät nicht, werden nicht an unseren Server übertragen und enthalten keine personenbezogenen Daten wie Name, Adresse oder Zahlungsinformationen.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG — diese Speicherung ist unbedingt erforderlich, damit wir den von Ihnen ausdrücklich gewünschten Dienst (Warenkorb, Checkout) bereitstellen können. Ein Cookie-Consent-Banner ist dafür nicht erforderlich.

Sie können den Local Storage jederzeit in den Einstellungen Ihres Browsers löschen. In diesem Fall wird Ihr Warenkorb beim nächsten Besuch leer sein.

Local Storage (Live-Chat)

Wenn Sie am Live-Chat teilnehmen, merkt sich Ihr Browser einige Angaben lokal, damit Sie sie nicht bei jedem Besuch neu eingeben müssen:

• Ihren gewählten Anzeigenamen
• Ihre Pigment-Auswahl (farbiger Avatar im Chat)
• die einmalige Bestätigung der Chat-Regeln
• eine zufällige Browser-Kennung, damit kurze Verbindungsabbrüche (z. B. WLAN-Wechsel oder Tab-Aktualisierung) Sie nicht jedes Mal als neuen Teilnehmer erscheinen lassen

Die Angaben verlassen Ihr Gerät nur, wenn Sie aktiv eine Nachricht senden oder eine Live-Session betreten. Die Browser-Kennung wird dabei an unseren Chat-Server übertragen und ausschließlich dort verwendet, um Sie bei einem Verbindungsabbruch wiederzuerkennen. Sie wird nicht mit Cookies, Drittanbietern, Werbe-Profilen oder Analytics verknüpft – es findet keinerlei Tracking statt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG — diese Speicherung ist unbedingt erforderlich, damit wir Ihnen den Live-Chat als ausdrücklich gewünschten Dienst stabil bereitstellen können.

Sie können den Local Storage jederzeit in den Einstellungen Ihres Browsers löschen. Beim nächsten Besuch des Live-Chats werden Sie dann wieder als neuer Teilnehmer erscheinen.

Stripe-Cookies im Checkout

Beim Aufruf der Checkout-Seite wird Stripe.js in Ihren Browser geladen. Stripe setzt daraufhin eigene First-Party-Cookies auf den Stripe-Domains (u. a. m.stripe.com) zur Betrugsprävention und zur Sitzungsverwaltung des Payment Elements. Details zu Kategorien und Speicherdauer finden Sie in Abschnitt 6.2 „Zahlungsabwicklung (Stripe)" sowie in der Datenschutzerklärung von Stripe.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den vom Nutzer ausdrücklich gewünschten Zahlungsdienst) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe-Cookies werden ausschließlich auf der Checkout-Seite geladen, nicht auf den übrigen Seiten unserer Website.

12. Website-Analyse (cookielos, selbst betrieben)

Zur Reichweitenmessung und zur Verbesserung unseres Webangebots führen wir eine cookielose Nutzungsmessung durch. Wir setzen keine Analytics-Cookies, keine Tracking-Pixel und kein Browser-Fingerprinting ein. Dienste wie Google Analytics, Matomo oder Plausible sind nicht eingebunden; eine Weitergabe an Dritte findet nicht statt.

Erhobene Daten pro Seitenaufruf

• Aufgerufene Seite (z. B. /biography)
• Zeitpunkt des Aufrufs
• Gerätekategorie (Handy, Tablet oder Desktop)
• Bildschirm- und Fenstergröße (z. B. 1440×900)
• Bevorzugte Browsersprache (z. B. de)
• Woher Sie kamen (direkt, interne Seite oder externer Anbieter – ohne konkreten Pfad)
• Kampagnen-Kennung aus der URL (utm_source, utm_medium, utm_campaign), falls vorhanden

Ergänzend erfassen wir anonym einzelne Interaktionen (z. B. Formular-Absendung, Klick auf externe Links, Öffnen der AR-Ansicht, 404-Seite) sowie die ungefähre Verweildauer (maximal 30 Minuten).

Was wir nicht erheben

Wir speichern keine IP-Adresse, keinen vollständigen Browser-Kennstring, keine Cookies und keine Kennungen, mit denen sich einzelne Besuche einer Person zuordnen ließen.

Rechtsgrundlage und Consent

Die Verarbeitung beruht auf unserem berechtigten Interesse an einer datensparsamen Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO). Da die Messung ohne Cookies und ohne Zugriff auf Informationen auf Ihrem Endgerät auskommt, ist ein Consent-Banner nach § 25 TDDDG nicht erforderlich.

Speicherdauer

Einzelne Seitenaufrufe und Ereignisse werden nach spätestens 12 Monaten gelöscht. Rein aggregierte, nicht-personenbeziehbare Kennzahlen (z. B. monatliche Besuchszahlen) können wir ggf. länger aufbewahren.

Widerspruchsrecht

Unser Tracking-Skript respektiert den Do-Not-Track-Header Ihres Browsers: ist dieser aktiviert, erfassen wir nichts. Zusätzlich können Sie uns jederzeit per E-Mail an studio@daria.gallery einen Widerspruch übermitteln. Gängige Werbeblocker unterbinden die Erfassung ebenfalls.

Empfänger

Die Daten werden ausschließlich im Rahmen unserer Hosting-Infrastruktur verarbeitet (siehe Abschnitt 4). Eine Weitergabe an externe Analyse-Dienste findet nicht statt.

Downloads

Wenn Sie eine über einen Token-Link bereitgestellte Datei herunterladen, protokollieren wir den Aufruf, um Reichweite und Beliebtheit der angebotenen Materialien einzuschätzen.

Erhobene Daten: verwendeter Token, Dateiname, Zeitpunkt, Gerätekategorie, Bildschirm, bevorzugte Browser-Sprache, klassifizierter Referrer (z. B. „direct" oder externe Domain). Es werden weder die IP-Adresse noch der vollständige Browser-Kennstring gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Auswertung der Reichweite und an der Verfolgung möglichen Missbrauchs der Token-Links). Speicherdauer: identisch mit den übrigen Analytics-Daten (max. 12 Monate).

13. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

1. Privacy at a Glance

General Information

The following information provides a simple overview of what happens to your personal data when you visit this website. Personal data is any data that can be used to personally identify you. For detailed information on the subject of data protection, please refer to our privacy policy below.

Data Collection on This Website

Who is responsible for data collection on this website?

Data processing on this website is carried out by the website operator. You can find their contact details in the section "Controller" in this privacy policy.

How do we collect your data?

Your data is collected in part when you provide it to us — for example, data you enter in a contact form or when signing up for our newsletter.

Other data is collected automatically by our IT systems when you visit the website. This is primarily technical data (e.g. internet browser, operating system, or time of page access). This data is collected automatically as soon as you enter this website.

What do we use your data for?

Part of the data is collected to ensure the error-free provision of the website. Other data may be used for communicating with you (e.g. newsletter, responding to contact inquiries) or for processing payments.

What rights do you have regarding your data?

You have the right to receive information about the origin, recipient, and purpose of your stored personal data free of charge at any time. You also have the right to request the correction or deletion of this data. If you have given consent to data processing, you can revoke this consent at any time for the future. You also have the right, under certain circumstances, to request the restriction of processing of your personal data. Furthermore, you have the right to lodge a complaint with the competent supervisory authority.

2. Controller and Mandatory Information

Controller

The controller within the meaning of the General Data Protection Regulation (GDPR) is:

Daria Beizerov
Postreitweg 13
45145 Essen
Germany

Email: studio@daria.gallery

Supervisory Authority

The competent supervisory authority is:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf, Germany
https://www.ldi.nrw.de

Data Retention

Unless a more specific storage period has been stated within this privacy policy, your personal data will remain with us until the purpose for the data processing no longer applies. If you assert a legitimate request for deletion or revoke consent for data processing, your data will be deleted unless we have other legally permissible reasons for storing your personal data (e.g. retention periods under tax or commercial law); in the latter case, deletion will take place after these reasons cease to apply.

General Information on the Legal Bases for Data Processing

If you have consented to data processing, we process your personal data on the basis of Art. 6(1)(a) GDPR or Art. 9(2)(a) GDPR if special categories of data are processed. If you have consented to the storage of cookies or to the access to information on your device (e.g. via device fingerprinting), the processing is additionally carried out on the basis of § 25(1) TDDDG. Consent can be revoked at any time. If your data is required to fulfil a contract or for the implementation of pre-contractual measures, we process your data on the basis of Art. 6(1)(b) GDPR. Furthermore, we process your data if this is necessary to fulfil a legal obligation on the basis of Art. 6(1)(c) GDPR. Data processing may also be carried out on the basis of our legitimate interest pursuant to Art. 6(1)(f) GDPR.

Data Transfers to the USA and Other Third Countries

We use tools from companies based in the USA or other countries that are not considered secure under data protection law. Where these tools are active, your personal data may be transferred to and processed in these third countries. Where US companies are certified under the EU-US Data Privacy Framework (DPF), an adequate level of data protection can be assumed. In addition, we have concluded Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR with the respective providers.

Revocation of Your Consent

Many data processing operations are only possible with your express consent. You may revoke any consent you have already given at any time. The legality of the data processing carried out before the revocation remains unaffected by the revocation.

Right to Object to Data Collection in Special Cases and to Direct Marketing (Art. 21 GDPR)

Where data processing is based on Art. 6(1)(f) GDPR, you have the right to object at any time, on grounds relating to your particular situation, to the processing of your personal data. Where your personal data is processed for direct marketing purposes, you have the right to object at any time to the processing of your personal data for such marketing.

3. Your Rights as a Data Subject

You have the following rights with respect to your personal data:

• Right of access (Art. 15 GDPR) — You have the right to obtain confirmation as to whether personal data concerning you is being processed and, if so, to access that data.
• Right to rectification (Art. 16 GDPR) — You have the right to obtain the rectification of inaccurate personal data and the completion of incomplete data.
• Right to erasure ("right to be forgotten") (Art. 17 GDPR) — You have the right to request the erasure of your personal data where one of the grounds set out in Art. 17 GDPR applies.
• Right to restriction of processing (Art. 18 GDPR) — You have the right to request the restriction of processing where one of the conditions set out in Art. 18 GDPR is met.
• Right to data portability (Art. 20 GDPR) — You have the right to receive the personal data you have provided to us in a structured, commonly used, and machine-readable format and to transmit that data to another controller.
• Right to object (Art. 21 GDPR) — You have the right to object at any time, on grounds relating to your particular situation, to the processing of your personal data.
• Right to withdraw consent (Art. 7(3) GDPR) — You have the right to withdraw your consent at any time. The legality of the processing carried out on the basis of the consent until withdrawal is not affected thereby.
• Right to lodge a complaint with a supervisory authority (Art. 77 GDPR) — Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority. The supervisory authority responsible for us is: LfDI NRW, Kavalleriestraße 2–4, 40213 Düsseldorf, Germany.

4. Hosting

Cloudflare

Our website is hosted with Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA ("Cloudflare"). We use Cloudflare Workers (server-side execution of individual dynamic endpoints), Cloudflare Workers Assets (delivery of static pages) and Cloudflare D1 (serverless SQL database for live-session data). Processing takes place on Cloudflare's global edge network with preferred routing in the WEUR region (Western Europe, including Frankfurt and Amsterdam); the D1 database is explicitly located in this region.

When you visit our website, Cloudflare processes technically necessary browser information:

• IP address of the requesting device
• Date and time of access
• Pages accessed / name of the retrieved file
• HTTP status code and protocol information
• Browser type and version, operating system
• Referrer URL (previously visited page)

Legal basis: Art. 6(1)(f) GDPR (legitimate interest). Our legitimate interest lies in ensuring server security, stability, protection against abuse (DDoS and bot mitigation) and the error-free provision of the website.

Storage period: Cloudflare keeps request logs only briefly for abuse prevention. We ourselves do not write personally identifiable access logs. Application errors (Worker runtime errors) are retained in Cloudflare logs for a maximum of 7 days and then deleted.

Transfer to third countries: Cloudflare is a US company and is certified under the EU-US Data Privacy Framework (DPF). In addition, standard contractual clauses (Art. 46(2)(c) GDPR) are in place with Cloudflare as a supplementary safeguard.

Data processing agreement: We have concluded a Data Processing Addendum (DPA) with Cloudflare pursuant to Art. 28 GDPR.

For more information, see Cloudflare's privacy policy: https://www.cloudflare.com/privacypolicy/

Cloudflare Stream (live video and recordings)

We deliver our free live painting sessions and any recordings we publish afterwards through Cloudflare Stream, a video service from the same provider that hosts our website (see above). Cloudflare Stream takes care of getting the video to your browser at a quality that matches your connection.

When you open /live or /live/watch while a live session is running, your browser connects directly to Cloudflare Stream to receive the video. As with any web request, your IP address and a few details about your browser are transmitted. No cookies are set and no behavioural tracking takes place during this delivery.

Note on data usage: So that the video starts immediately when you tap the play prompt, your browser quietly begins loading the first video data in the background as soon as the page loads. If you would prefer to avoid this – for example when you are on a mobile data plan – please close the page without starting playback.

Legal basis: Art. 6(1)(f) GDPR – our legitimate interest in delivering live sessions and recordings reliably and without stuttering.

Third-country transfer, data processing agreement, storage period: Cloudflare Stream belongs to the same Cloudflare account we use for hosting (see above). The safeguards described there – the EU-US Data Privacy Framework, the standard contractual clauses, and our Data Processing Addendum with Cloudflare – cover Cloudflare Stream automatically; no additional provider and no additional contract are involved. Recordings remain stored until we actively delete them or mark a session as "no replay".

Product information about Cloudflare Stream: https://www.cloudflare.com/products/cloudflare-stream/

5. Newsletter (Sendy / Amazon SES)

Description and Scope of Data Processing

We offer you the option of subscribing to our newsletter on our website. For sending the newsletter, we use the self-hosted software Sendy. Sendy runs on our own IONOS server in Germany; subscriber data (email address, name, IP address, timestamp) therefore remains on our server.

The technical sending of emails is handled by Amazon Simple Email Service (SES), provided by Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg. The SES endpoint we use is in the eu-west-1 (Ireland) region; data is therefore processed within the European Union. AWS is certified under the EU-US Data Privacy Framework (DPF).

Double Opt-In Process

Subscription to our newsletter follows a double opt-in process. After signing up, you will receive an email asking you to confirm your subscription. Only after clicking the confirmation link is the subscription complete. This process serves as proof of your consent.

Data Collected

• Email address (required)
• Name (optional)
• IP address at the time of signup
• Timestamp of signup and confirmation

Email Tracking (Performance Measurement)

Our newsletters contain so-called tracking pixels. This is a small, invisible image file that is retrieved from our server when the email is opened. This allows us to determine whether a newsletter email has been opened. In addition, clicks on links within the newsletter are recorded. This data is used for statistical analysis of newsletter campaigns and to optimise future newsletter content.

Legal basis for tracking: Art. 6(1)(f) GDPR (legitimate interest in measuring the effectiveness of our newsletters). You can object to tracking by disabling image loading in your email client or by unsubscribing from our newsletter.

Legal Basis

The processing of data for sending the newsletter is based on your consent pursuant to Art. 6(1)(a) GDPR.

Revocation and Unsubscription

You may revoke your consent to receiving the newsletter at any time, e.g. via the unsubscribe link at the bottom of each newsletter email or by emailing studio@daria.gallery. The legality of data processing already carried out remains unaffected by the revocation.

Storage Period

Your data is stored for the duration of the newsletter subscription. After unsubscription, your consent records (email address, IP address, signup and confirmation timestamps) are retained for 3 years to demonstrate the legality of prior processing (statutory duty to provide evidence). After that, the data is deleted.

Live-Session Reminders

Independently of the Studio Letter newsletter, we offer a subscription for reminders about our free live painting sessions on the /live page. The reminders are managed as a separate, independent list in Sendy; technically and legally, this is a processing activity distinct from the Studio Letter, with its own consent.

Purpose: For each scheduled live session, you receive exactly one reminder email – typically about 60 minutes before the session starts. You also receive a reminder once a recording has been published, in case you missed the live session. No editorial newsletter or advertising is sent via this list.

Data collected: email address, IP address at the time of signup, timestamps of signup and double opt-in confirmation.

Double opt-in: The signup process is identical to the Studio Letter newsletter. Without clicking the confirmation link, no reminder is sent.

Legal basis: Art. 6(1)(a) GDPR (consent). Consent is given separately from the Studio Letter consent and can be revoked individually.

Revocation: You can use the unsubscribe link at the end of any reminder email at any time, or contact us by emailing studio@daria.gallery. The legality of processing carried out up to the revocation remains unaffected.

Storage period: Same as for the Studio Letter – for the duration of the subscription; after unsubscription, consent records are retained for 3 years and then deleted.

Technical infrastructure: The data is processed through the same Sendy instance on our server and sent via Amazon SES (EU, Ireland); the above notes on Sendy, SES, DPF certification and the processing agreement apply accordingly.

Data Processing Agreement

We have concluded a Data Processing Addendum (DPA) with Amazon Web Services pursuant to Art. 28 GDPR.

Live Chat (Cloudflare Durable Objects)

During a live session, you may take part in a real-time chat at /live/watch. The chat runs over Cloudflare Durable Objects (see §4 Hosting) as a WebSocket connection.

Data collected: the display name you choose, your pigment selection, a random browser key (details in section 11), your chat messages, and the IP address required for the connection.

Chat-server profile: While a live session is running, our chat server holds your display name and pigment selection in memory, paired with your browser key. This way your name appears consistently to all participants, even if you change it mid-session. No storage beyond the end of the session takes place on our server.

IP processing: While you only read along, your IP address is held in the connection state for the duration of the WebSocket session and discarded when the connection closes. Once you send a chat message, your IP address is stored together with the message internally for the duration of the running live session (storage is capped at the most recent 100 messages). The IP is never shared with other chat participants or shown publicly.

Purpose of IP storage: exclusively for moderation. In case of chat-rule violations (e.g. spam, harassment), the artist may issue a block that disables sending for your IP for the duration of the session – watching the live stream remains unaffected.

Legal basis: Art. 6(1)(f) GDPR – legitimate interest in operating a moderable live platform and maintaining a harassment-free chat for all participants.

Storage period: Chat messages and associated IPs are deleted when the live session ends or is reset (manually by the artist, or at the next reset at the latest). No storage beyond the session takes place.

Local storage in your browser: your chosen display name, your pigment selection, your acceptance of the chat rules and a random browser key are stored in your browser's localStorage. This lets you re-enter a future live session on the same device under your previous name without setting things up again. Details on purpose, retention and legal basis are in section 11 (Cookies, Local Storage and Similar Technologies).

Pre-session questions

Before an announced live session, you may submit a question to the artist via a form on /live. This feature is only visible while the event is announced or about to start; it disappears once the session goes live.

Data collected: the question you submit, optionally a display name you provide voluntarily, and your IP address.

Purpose of IP storage: exclusively for spam protection. The IP is used to limit the number of questions per hour (rate limit) and to detect abuse. The IP is never shown publicly or shared with other participants.

Legal basis: Art. 6(1)(f) GDPR – legitimate interest in protection against automated abuse and in operating a moderable Q&A function.

Storage period: Questions and the associated IP are stored until the artist deletes them manually (typically following the related live session). At the latest, all related questions are deleted along with the event.

6. Shop: Order Processing and Payment Service Provider

6.1 Order Processing in the Online Shop

When you place an order in the online shop at daria.gallery, we process the personal data necessary to fulfil the contract. Payment data itself (card number, bank details, expiry dates, etc.) is not processed on our server and is passed directly to our payment service provider Stripe (see section 6.2).

Data collected:

• Name and shipping/billing address
• Email address
• Order history (works purchased, quantities, prices)
• Order and invoice number (format: DG-YYYY-NNNN)
• Payment status and Stripe reference ID
• Shipping zone (Germany, EU, worldwide), shipping status, tracking number and carrier if applicable

Purposes of processing:

• Processing your order (confirmation, delivery, communication)
• Creation and delivery of the invoice as a PDF document
• Inventory management and internal order handling
• Compliance with statutory commercial and tax obligations

Legal bases:

• Art. 6(1)(b) GDPR — performance of a contract and pre-contractual measures for all data necessary to conclude and perform the sales contract (name, shipping address, email, order items).
• Art. 6(1)(c) GDPR — compliance with legal obligations, in particular the commercial retention periods for invoices and accounting records under § 257 of the German Commercial Code (HGB) and § 147 of the German Fiscal Code (AO).

Storage location: Order data is stored in a SQLite database (shop.db) on our own IONOS server in Germany (see section 4 "Hosting"). Order data is not transmitted to an external database provider.

Invoice PDF: After successful receipt of payment, an invoice PDF is automatically generated (library: TCPDF, running locally on our server), stored on our server under /dl/files/invoices/<invoice-number>.pdf and sent to you by email. The invoice contains only the information required by § 14 of the German VAT Act (UStG) read in conjunction with § 19 UStG (small-business scheme — no value-added tax is charged or shown).

Disclosure to shipping service providers: In order to deliver your order, we transmit your name and shipping address to the shipping service provider engaged for the delivery (typically Deutsche Post, DHL, DPD, Hermes or UPS). The legal basis is Art. 6(1)(b) GDPR (performance of a contract). For deliveries outside the European Union, it may be necessary to pass address data to customs authorities and foreign transport providers; in that case the transfer is also based on Art. 6(1)(b) GDPR and, where applicable, Art. 49(1)(b) GDPR (performance of a contract in a third country).

Order confirmation and invoice emails: Order confirmations, shipping confirmations and the invoice itself are sent via Amazon Simple Email Service (SES) in the eu-west-1 (Ireland) region. For further details, see section 5 "Newsletter".

Storage period: Order data that forms part of an invoice, commercial correspondence or accounting record is retained for ten years from the end of the calendar year in which the document was created, in order to comply with statutory retention obligations (§ 257(4) HGB, § 147(3) AO). After this period the data is deleted, unless another ground for storage applies. Order data not subject to retention obligations (e.g. tracking numbers after successful delivery) is deleted as soon as the purpose ceases to apply.

Obligation to provide the data: Providing your personal data (in particular name, shipping address, email) is necessary to conclude and perform the sales contract. Without this data we cannot conclude the contract or execute your order.

6.2 Payment Processing (Stripe)

We use Stripe for payment processing.

European provider: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland.
Parent company: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA.

Stripe is certified under the EU-US Data Privacy Framework (DPF). In addition, Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR are in place.

Data Collected

During a payment transaction, the following data is transmitted directly to Stripe (via Stripe.js — payment data does not pass through our server):

• Name
• Email address
• Billing address
• Payment card data (card number, expiry date, CVV)
• IP address
• Transaction data (amount, currency, time)

Legal Basis

Data processing is based on Art. 6(1)(b) GDPR (performance of a contract). Providing the data is necessary to process the purchase transaction.

Stripe Cookies

When the checkout page is loaded, Stripe.js sets its own first-party cookies on Stripe domains (including m.stripe.com) for fraud prevention (Stripe Radar) and session management of the Payment Element. These cookies are set and read directly by Stripe; we ourselves do not set any Stripe-related cookies. The legal basis for loading Stripe.js on our checkout page is § 25(2) no. 2 TDDDG (strictly necessary in order to provide the service expressly requested by the user — payment in the online shop) and Art. 6(1)(b) GDPR.

Fraud Prevention

Stripe may also process your data for fraud prevention purposes (Stripe Radar) as an independent controller.

For more information, see Stripe's privacy policy: https://stripe.com/privacy

7. Contact Form and Email Inquiries

Contact Form

If you send us an inquiry via the contact form, we process your details in order to respond and handle any follow-up questions. Your message is forwarded to studio@daria.gallery; we also send you a brief automatic acknowledgement.

Data collected: name, email address, message text, and — depending on the inquiry type (artwork, commission, press, workshop, hello) — additional details such as country, the artwork of interest, desired format, organisation or preferred date.

Storage: Your message itself is not stored in any database; it remains exclusively in your and the studio's email inboxes. To prevent spam, we briefly check whether too many messages are being sent from the same connection in quick succession. For this check we use a non-reversible placeholder together with a timestamp, which is overwritten after 60 seconds. Your IP address itself is not stored.

Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures), if the inquiry relates to a contract; otherwise Art. 6(1)(f) GDPR (legitimate interest in answering incoming inquiries and in protecting against abuse).

Storage period: The message remains in the email inboxes until you request deletion, revoke your consent, or the purpose no longer applies (e.g. after your inquiry has been resolved). Statutory retention periods remain unaffected.

Service providers: For receiving the form, we use our hosting provider Cloudflare (see section 4); for the email delivery, Amazon Web Services (SES, Ireland region). Data processing agreements are in place with both providers; processing takes place within the EU or under the supplementary safeguards of the EU-US Data Privacy Framework.

Email Inquiries

If you contact us directly by email, your inquiry and the personal data it contains (e.g. your name) are stored and processed in order to handle your request. The same legal bases and storage periods as for the contact form apply.

8. Applications for Programmes and Workshops

In some places on our website you can apply for programmes, workshops or classes (currently: the Atelier Foundations). Further programmes will follow; this section applies to all application forms on daria.gallery.

Data collected: contact details (name, email address, optional country), your free-text responses about yourself and your application (e.g. experience, motivation, goals), and – where the specific form provides for it – an uploaded work sample (image file). The exact fields a particular form asks for are shown to you when filling it out.

Purpose: evaluating your application, selecting participants, and contacting you for further coordination.

Storage: Your application and any work sample are stored with our hosting provider Cloudflare (see section 4). To prevent spam, we briefly check whether too many applications are being submitted from the same connection in quick succession; we use a non-reversible placeholder together with a timestamp for this. Your IP address itself is not stored.

Notification: Daria receives a notification email for each incoming application. The sending is handled via Amazon Web Services (SES, Ireland region; see section 5).

Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures relating to a possible workshop or programme contract) and Art. 6(1)(f) GDPR (legitimate interest in protection against abuse).

Storage period: Rejected or withdrawn applications are deleted no later than 6 months after the end of the respective application period. If your application is accepted, your information is retained for the duration of the contract; statutory retention periods remain unaffected.

Requirement: Providing the information marked as mandatory in the respective form is necessary for us to process your application. Without this information, no application can be made.

9. External Links

Our website contains hyperlinks to external third-party websites (including Instagram, YouTube, Pinterest). By clicking an external link, you leave our website. We have no influence over the content or privacy practices of the linked sites; the respective provider's privacy policy applies.

The mere presence of a link on our website does not cause any data to be transmitted to third parties. No external content is embedded (no embeds, no plugins, no iFrames). Data is only transmitted when you actively click the link.

10. Social Media

We maintain public profiles on the following social networks. When you visit one of these profiles, the respective provider processes your data (including IP address, browser data, interactions) in accordance with its own privacy policy. We receive anonymised statistics about the use of our profiles from the provider.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in public relations and communication).

Instagram

Profile: @daria.botanicals
Provider: Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, D04 X2K5, Ireland.
We have entered into a joint controller agreement pursuant to Art. 26 GDPR with Meta (Page Controller Addendum):
https://www.facebook.com/legal/terms/page_controller_addendum
Privacy policy: https://privacycenter.instagram.com/policy
Opt-out: https://www.instagram.com/accounts/privacy_and_security/

YouTube

Channel: @Daria.Botanicals
Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.
Google is certified under the EU-US Data Privacy Framework (DPF).
Privacy policy: https://policies.google.com/privacy
Opt-out: https://adssettings.google.com/authenticated

Pinterest

Profile: Dariabotanicals
Provider: Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Ireland.
Pinterest Inc. (USA) is certified under the EU-US Data Privacy Framework (DPF).
Privacy policy: https://policy.pinterest.com/en/privacy-policy
Opt-out: https://www.pinterest.com/settings/privacy

11. Cookies, Local Storage and Similar Technologies

We ourselves do not set any cookies of our own on this website. In particular, no analytics, advertising or tracking cookies are used. However, our hosting and CDN provider Cloudflare may set strictly necessary cookies for security and bot mitigation (details below); on the shop's checkout page, Stripe additionally loads its own first-party cookies on its own domains.

Cloudflare security cookies (cf_clearance, __cf_bm)

Cloudflare is our hosting and CDN provider (see section 4) and protects our website against automated attacks such as DDoS attempts and malicious bot traffic. In this context, Cloudflare may place two cookies in your browser:

• cf_clearance — set once you have successfully completed a security check (e.g. a JavaScript challenge or CAPTCHA), so that the check does not have to be repeated on every subsequent page view. Retention: typically up to 30 minutes; can be longer depending on Cloudflare's configuration.
• __cf_bm — a bot-management cookie used by Cloudflare to distinguish automated traffic from real visitors. It contains no personal data and is not used for tracking or advertising. Retention: 30 minutes from the last page view.

Purpose: strictly technical security — protection against abuse, attacks and bot traffic. These cookies are not used for analytics, profiling or advertising; no data is shared with third parties.

Legal basis: § 25(2) no. 2 TDDDG (strictly necessary for the secure provision of the telemedia service you have expressly requested) and Art. 6(1)(f) GDPR (legitimate interest in the security and availability of our website). No cookie consent banner is required for this.

These cookies are set and read exclusively by Cloudflare; we ourselves have no access to their contents. For more information see Cloudflare's privacy policy and the Cloudflare cookie reference.

Local Storage (Shopping Cart and Checkout Flow)

The online shop uses the local storage of your browser to store the contents of your shopping cart and the intermediate state of an ongoing payment (Stripe reference ID) locally in your browser. This information never leaves your device, is not transmitted to our server and does not contain personal data such as name, address or payment details.

Legal basis: § 25(2) no. 2 TDDDG — this storage is strictly necessary in order to provide the service you have expressly requested (shopping cart, checkout). No cookie consent banner is required for this.

You can clear local storage at any time in your browser settings. In that case your shopping cart will be empty on your next visit.

Local Storage (Live Chat)

When you take part in the live chat, your browser remembers a few details locally so you don't have to set them up again on every visit:

• your chosen display name
• your pigment selection (your colour avatar in the chat)
• your one-time acceptance of the chat rules
• a random browser key so that brief connection drops (e.g. switching Wi-Fi, refreshing the tab) don't make you appear as a new participant each time

These details only leave your device when you actively send a message or join a live session. The browser key is then transmitted to our chat server and used there exclusively to recognise you when reconnecting. It is not combined with cookies, third parties, advertising profiles or analytics – there is no tracking of any kind.

Legal basis: § 25(2) no. 2 TDDDG — this storage is strictly necessary so that we can reliably provide the live chat as a service you have expressly requested.

You can clear local storage at any time in your browser settings. The next time you visit the live chat, you will then appear as a new participant again.

Stripe Cookies during Checkout

When you load the checkout page, Stripe.js is loaded into your browser. Stripe then sets its own first-party cookies on Stripe domains (including m.stripe.com) for fraud prevention and session management of the Payment Element. Details on categories and retention periods can be found in section 6.2 "Payment Processing (Stripe)" and in Stripe's privacy policy.

Legal basis: § 25(2) no. 2 TDDDG (strictly necessary for the payment service expressly requested by the user) and Art. 6(1)(b) GDPR (performance of a contract). Stripe cookies are only loaded on the checkout page, not on other pages of our website.

12. Website Analytics (cookieless, self-operated)

To measure reach and improve our website, we operate a cookieless analytics system. We do not use analytics cookies, tracking pixels or browser fingerprinting. Services like Google Analytics, Matomo or Plausible are not integrated; data is not shared with third parties.

Data collected per page view

• Page visited (e.g. /biography)
• Time of the visit
• Device category (mobile, tablet or desktop)
• Screen and window size (e.g. 1440×900)
• Preferred browser language (e.g. en)
• Where you came from (direct, an internal page, or an external domain — without a specific path)
• Campaign identifiers from the URL (utm_source, utm_medium, utm_campaign), if present

In addition we record anonymous interactions (e.g. form submission, click on an external link, opening the AR view, 404 hit) and approximate time-on-page (up to 30 minutes).

What we do not collect

We do not store your IP address, no full browser identification string, no cookies, and no identifiers that could link individual visits to a person.

Legal basis and consent

Processing is based on our legitimate interest in a data-minimising reach measurement (Art. 6(1)(f) GDPR). Because the measurement works without cookies and without accessing information stored on your device, no consent banner is required under § 25 TDDDG.

Storage period

Individual page views and events are deleted after 12 months at the latest. Purely aggregated, non-identifiable metrics (e.g. monthly visitor totals) may be kept longer.

Your right to object

Our tracking script honours your browser's Do Not Track header: if enabled, nothing is collected. In addition, you can email us an objection to studio@daria.gallery at any time. Common ad/tracker blockers will also prevent the collection.

Recipients

Data is processed exclusively within our hosting infrastructure (see section 4). No external analytics providers receive this data.

Downloads

When you download a token-protected file, we log the access in order to gauge the reach and popularity of the materials we provide.

Data collected: the token used, file name, timestamp, device category, screen, preferred browser language, and classified referrer (e.g. "direct" or an external domain). Neither the IP address nor the full browser identification string is stored.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in measuring reach and detecting any abuse of token links). Storage period: identical to the rest of the analytics data (max. 12 months).

13. SSL/TLS Encryption

This site uses SSL/TLS encryption for security reasons and to protect the transmission of confidential content, such as inquiries you send to us as the site operator. You can recognise an encrypted connection by the browser address bar changing from "http://" to "https://" and by the lock icon in your browser bar.

Last updated: April 2026