← metis.matthiasbutz.com
ImpressumAGBDatenschutz

Datenschutzerklärung

Datenschutzerklärung Metis – Lernplattform für Fotografen Stand: 2026-06-08 | Version 1.2 Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO: eXXperto Beratungs- und Dienstleistungs GmbH Christoph-Kröwerath-Str. 106a 67071 Ludwigshafen am Rhein Deutschland Geschäftsführer: Stefan Butz Inhaltlich verantwortlich nach § 18 Abs. 2 MStV: Matthias Butz E-Mail: hi@matthiasbutz.com Handelsregister: Amtsgericht Ludwigshafen am Rhein, HRB 64599 Datenschutz-Kontakt: hi@matthiasbutz.com Datenschutzbeauftragter: nicht bestellt (Voraussetzungen § 38 BDSG nicht erfüllt — weniger als 20 datenverarbeitende Personen, keine umfangreiche Spezialverarbeitung). § 1 Allgemeines Wir nehmen den Schutz personenbezogener Daten ernst und behandeln sie vertraulich entsprechend der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und dieser Datenschutzerklärung. Wenn Sie über metis.matthiasbutz.com eine Fotograf-Webseite eines unserer Studio-Nutzer aufrufen (Pfad /g/<username> oder eine Custom-Domain), gilt zusätzlich die Datenschutzerklärung des jeweiligen Fotografen. § 2 Hosting und Server-Logs (Hetzner) Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Server-Standort Deutschland (Nürnberg) und Finnland (für Object-Storage-Backups). Beim Aufruf werden in Server-Logs technisch erforderliche Daten erfasst: IP-Adresse, Datum/Uhrzeit, abgerufene URL, HTTP-Status, übertragene Datenmenge, User-Agent, Referrer. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb). Speicherdauer: Server-Logs 30 Tage, Backups verschlüsselt bis zu 90 Tage. § 3 Cloudflare (nur autoritativer DNS) Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Zweck: Cloudflare betreibt für die Domain matthiasbutz.com und ihre Subdomains ausschließlich den autoritativen DNS-Dienst — die Auflösung von Domain-Namen zu IP-Adressen. Verarbeitete Daten: bei DNS-Anfragen die anfragende IP-Adresse des rekursiven Resolvers (in der Regel der Internet-Anbieter des Endnutzers, NICHT die IP des Endnutzers selbst) sowie der angefragte Hostname. Kein Reverse-Proxy mehr: Seit dem 8. Juni 2026 ist Cloudflare NICHT mehr in den HTTPS-Verbindungspfad eingebunden. Verbindungen zu metis.matthiasbutz.com und zu der Marketing-Webseite matthiasbutz.com gehen direkt zu unseren Servern bei Hetzner (Plattform) bzw. bunny.net (Marketing). Cloudflare sieht damit keine Request-Header, keine Inhalte und keine HTTPS-Datenströme mehr. Drittlandtransfer: USA, beschränkt auf die DNS-Auflösung. Cloudflare ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend Standardvertragsklauseln (SCC). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen DNS-Auflösung). Hinweis zur weiteren Reduktion: Auch der reine DNS-Dienst lässt sich künftig auf einen europäischen Anbieter verlagern. Wir prüfen Anbieter wie Hetzner-DNS oder Bunny-DNS und werden über einen Wechsel an dieser Stelle informieren. § 4 Bunny CDN (statische Inhalte, Bilder, Videos) Anbieter: BunnyWay d.o.o., Cesta komandanta Staneta 4A, 4290 Tržič, Slowenien (EU). Zweck: Ausliefern statischer Inhalte — Kursvideos via HLS, Galeriebilder, Webseite-Bilder. Verarbeitete Daten: IP-Adresse, technische Verbindungsdaten, abgerufener Pfad. Drittlandtransfer: nein (EU). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. § 5 Registrierung und Mitgliederkonto Für die Nutzung als angemeldeter Nutzer erforderlich: E-Mail-Adresse, Passwort (bcrypt-Hash, Kostenfaktor 12, niemals Klartext), Name oder Benutzername, optional Profilbild, Bio, Social-Media-Links, Heimatort, Land. Bei aktivierter 2FA zusätzlich: verschlüsseltes TOTP-Secret + bcrypt-Hashes für Recovery-Codes. Login-Sicherheit: letzte Anmeldung, Anmelde-Zähler und Fehlversuche werden zur Erkennung von Brute-Force gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für Sicherheit Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: bis zur Account-Löschung; gesetzliche Aufbewahrungspflichten bleiben unberührt (§ 16). § 6 Zahlungsabwicklung (Stripe) Anbieter: Stripe Payments Europe Ltd., Dublin, Irland. Zweck: Abwicklung von Zahlungen über die im Bestellprozess jeweils angezeigten Methoden (typischerweise Kreditkarte, SEPA-Lastschrift, Apple/Google Pay sowie ggf. Klarna, PayPal oder weitere), Abrechnung wiederkehrender Abonnements, Rückerstattungen. Verarbeitete Daten: Name, E-Mail, Rechnungsadresse, Zahlungsmittel-Details (von Stripe direkt erhoben), Stripe-Customer-ID, Transaktionsverlauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Stripe-Customer-ID solange das Vertragsverhältnis besteht. Rechnungsdaten 10 Jahre (§ 147 AO). § 7 E-Mail-Versand (Scaleway TEM) Anbieter: Scaleway SAS, Paris, Frankreich. Zweck: Versand transaktionaler E-Mails (Bestätigungen, Rechnungen, Mahnungen, Termin-Erinnerungen, Notifications) sowie der Bestandskunden-Werbung nach § 7 Abs. 3 UWG. Verarbeitete Daten: E-Mail-Adresse, Name, Inhalt der jeweiligen Nachricht. Drittlandtransfer: keiner — Datenverarbeitung erfolgt in Rechenzentren innerhalb der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), bei Werbung an Bestandskunden § 7 Abs. 3 UWG mit jederzeitigem Widerspruchsrecht. § 8 Lemonfox (Whisper-Transkription) Anbieter: Lemonfox.ai, USA. Zweck: Automatische Transkription zur Erzeugung von Untertiteln und Transkripten. Verarbeitete Daten: ausschließlich Audio-/Video-Inhalt eigener Kurs-Lektionen, deren Inhalt vom Betreiber selbst eingesprochen und bereitgestellt wird. Coaching- und Workshop-Aufzeichnungen, in denen Endnutzer selbst zu Wort kommen, werden NICHT an Lemonfox übermittelt — diese Inhalte transkribieren wir lokal auf eigener Infrastruktur ohne Drittlandtransfer. Personenbezug: nur in den Kurs-Inhalten des Betreibers, kein Personenbezug zu Endnutzern. Drittlandtransfer: USA, beschränkt auf Kurs-Lektionen. Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (barrierearme Bereitstellung). § 9 KI-Funktionen (OpenAI, Anthropic) Anbieter Embeddings: OpenAI L.L.C., USA. Anbieter Chat-Antworten: Anthropic PBC, USA. Zweck: OpenAI text-embedding-3-small für semantische Suche; Anthropic Claude Haiku für Antworten im KI-Kursassistenten („Frag den Kurs"), Kapitelmarker, Karteikarten. Verarbeitete Daten: Lektionsinhalte (Transkripte) und vom Nutzer gestellte Fragen. Drittlandtransfer: USA. Beide Anbieter sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich Standardvertragsklauseln (SCC). Beide Anbieter verarbeiten unsere API-Daten gemäß ihrer Bedingungen NICHT zum Training. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. § 10 Google OAuth + Google Drive (Coaching-Integration) Anbieter: Google Ireland Ltd., Dublin, Irland (für EU-Nutzer). Zweck: Anbindung eines administrativen Google-Drive-Kontos zur automatisierten Übernahme aufgezeichneter Google-Meet-Coaching-Sessions. Wirkt nur, wenn der Plattform-Admin den Drive-Zugriff aktiv gewährt. Verarbeitete Daten: Google-OAuth-Tokens (AES-256-GCM verschlüsselt), Metadaten ausgewählter Drive-Dateien. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Endkunden-Daten werden hierdurch nicht verarbeitet. § 11 Error-Tracking (Sentry, EU-Region) Anbieter: Functional Software, Inc. dba Sentry, EU-Region (Datacenter Frankfurt am Main, Deutschland). Vertretung in der EU: Sentry Operations Ireland Ltd. Zweck: Erfassung serverseitiger und clientseitiger Fehler zur Behebung. Nur in der Produktivumgebung aktiv. Verarbeitete Daten: Ausschließlich technische Fehlerinformationen — Stack-Traces, Fehlertyp, abgerufener URL-Pfad. Wir haben Sentry mit sendDefaultPii: false konfiguriert. Es werden keine IP-Adressen, User-Agents, Cookies, Session-Replays oder Form-Eingaben übertragen. Drittlandtransfer: nein (EU-Region). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. § 12 Affiliate-Programm Jeder registrierte Nutzer erhält automatisch einen persönlichen, anonymisierten Affiliate-Code (UUID). Der Code wird erst aktiv, wenn der Nutzer ihn aktiv an Dritte weitergibt. Geklickte Affiliate-Links setzen ein technisch erforderliches Tracking-Cookie (30 Tage), das einer späteren Bestellung zugeordnet wird. Verarbeitet werden: Affiliate-Code, Klick-Zeitpunkt, Ziel-URL, Conversion-Event (Kauf). Auszahlung erfolgt unter Erhebung der für die Vergütung erforderlichen Daten (Name, Anschrift, Bankverbindung oder PayPal-Adresse). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag bei aktiver Teilnahme) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Tracking-Zuordnung). Speicherdauer: Auszahlungs-Belege 10 Jahre (§ 147 AO), Click-Logs 6 Monate. § 13 Cookies und ähnliche Technologien Auf der Plattform-Root verwenden wir ausschließlich technisch erforderliche Cookies: - Session-Cookie (HttpOnly, Secure, SameSite=Lax) — Login-Status, bis zur Abmeldung - CSRF-Token-Cookie — Schutz gegen Cross-Site Request Forgery - Theme-/UI-Cookies — gewählte Darstellungseinstellungen - Affiliate-Tracking-Cookie (30 Tage) — siehe § 12 Diese Cookies sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Ein Cookie-Banner wird daher auf der Plattform-Root nicht eingesetzt. Auf Fotograf-Webseiten unter /g/<username>/* können Studio-Nutzer optional eigene Tracker (Meta Pixel, Google-/Bing-Site-Verification) einbinden. Diese Einbindung erfolgt über einen separaten Cookie-Consent-Banner auf der jeweiligen Fotograf-Webseite. Verantwortlich ist der jeweilige Fotograf. § 14 Fotograf-Webseiten Unsere Studio-Nutzer können auf Basis der Plattform eine eigene öffentliche Webseite betreiben, erreichbar unter metis.matthiasbutz.com/g/<username>/* oder einer Custom-Domain. Für die Verarbeitung personenbezogener Daten auf diesen Fotograf-Webseiten (Kontaktanfragen, Buchungen, Kundengalerie-Besuche, Tracker) ist der jeweilige Fotograf eigenständig Verantwortlicher im Sinne der DSGVO. Wir handeln dabei als technischer Auftragsverarbeiter im Auftrag des Fotografen. § 15 Backup, Sicherung, Wiederherstellung Backups erfolgen verschlüsselt (Restic, AES-256) in eine Hetzner Storage Box (Standort Deutschland). Zusätzlich erfolgt eine verschlüsselte Synchronisation des S3-Speichers als „Hot-Mirror". Backups werden 30–90 Tage rotiert. Bei Account-Löschung können Daten in Backups noch bis zum Ablauf dieser Frist enthalten sein. § 16 Speicherdauer und Account-Lifecycle (1) Wir speichern personenbezogene Daten nur so lange, wie für die Leistungserbringung erforderlich oder gesetzlich vorgeschrieben (§ 147 AO — Rechnungen 10 Jahre, § 257 HGB — Handelsbücher 10 Jahre). (2) Ein Konto gilt als aktiv, solange mindestens eines der folgenden Kriterien erfüllt ist: Login innerhalb der letzten 24 Monate, aktives Abonnement, Kauf innerhalb der letzten 24 Monate oder laufender Ratenzahlungsplan. (3) Erfüllt das Konto diese Kriterien länger als 24 Monate nicht, erhalten Sie 18, 21 und 23 Monate nach dem letzten Login eine E-Mail-Erinnerung. Nach 24 Monaten wird der Account deaktiviert und nach weiteren 30 Tagen endgültig gelöscht. (4) Rechnungen, Affiliate-Auszahlungs-Belege und AGB-Akzept-Protokolle bleiben in einem separaten, lese-only Archiv entkoppelt vom Account aufbewahrt — gemäß § 147 AO 10 Jahre. § 17 Empfänger und Auftragsverarbeiter Eine Übermittlung Ihrer Daten an Dritte findet nur statt, wenn dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Pflicht besteht oder Sie eingewilligt haben. Auftragsverarbeiter (jeweils mit AV-Vertrag nach Art. 28 DSGVO): - Hetzner Online GmbH (DE) — Hosting, Storage - Cloudflare, Inc. (US) — ausschließlich autoritativer DNS (kein Reverse-Proxy mehr seit 8. Juni 2026, DPF + SCC) - BunnyWay d.o.o. (SI) — CDN (statische Inhalte) - Stripe Payments Europe Ltd. (IE) — Zahlungsabwicklung - Scaleway SAS (FR) — E-Mail-Versand (EU-only, kein Drittlandtransfer) - Lemonfox.ai (US) — Whisper-Transkription (SCC) - OpenAI L.L.C. (US) — Embeddings (DPF + SCC) - Anthropic PBC (US) — Claude Haiku (DPF + SCC) - Google Ireland Ltd. (IE) — OAuth, Drive - Sentry (EU-Region, DE) — Error-Tracking Eine Liste der Sub-Verarbeiter halten wir aktuell. Über wesentliche Änderungen informieren wir Sie rechtzeitig vorab. § 18 Ihre Rechte Sie haben gegenüber uns folgende Rechte: - Auskunft (Art. 15 DSGVO) - Berichtigung (Art. 16 DSGVO) - Löschung (Art. 17 DSGVO) - Einschränkung der Verarbeitung (Art. 18 DSGVO) - Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) - Datenübertragbarkeit (Art. 20 DSGVO) — Im Profil unter „Mein Konto → Meine Daten" kannst du jederzeit eine vollständige Kopie als strukturiertes ZIP-Archiv (JSON) herunterladen. Sicherheitsrelevante Felder (Passwort-Hash, 2FA-Secret, Recovery-Codes) sind dabei ausgeschlossen. Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde. Zuständig für unseren Sitz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz. Zur Ausübung Ihrer Rechte wenden Sie sich an hi@matthiasbutz.com. § 19 Widerruf von Einwilligungen Soweit die Verarbeitung auf Ihrer Einwilligung beruht (Art. 6 Abs. 1 lit. a DSGVO), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. § 20 Vertragswiderruf über den Widerrufsbutton (§ 356a BGB) Über die öffentlich erreichbare Seite metis.matthiasbutz.com/widerruf können Sie Ihren Vertragswiderruf elektronisch erklären (Pflicht nach § 356a BGB / EU-Richtlinie 2023/2673). Verarbeitet werden dabei die folgenden personenbezogenen Daten: - Name (Pflichtangabe, zur Identifikation des Vertrags) - E-Mail-Adresse (Pflichtangabe, für die Eingangsbestätigung auf dauerhaftem Datenträger) - Vertrags- oder Bestellkennung (Pflichtangabe, freitext) - Optionaler Grund (freiwillig — Sie sind nicht verpflichtet, einen Grund anzugeben) - Eingangszeitpunkt der Widerrufserklärung - Pseudonymisierter IP-Hash (täglich rotierender SHA-256-Hash zur Missbrauchs-Abwehr — keine Klartext-IP) - User-Agent (Browser-Kennung, Missbrauchs-Abwehr) Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung — § 356a BGB) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs-Abwehr und Dokumentation des Eingangszeitpunkts). Speicherdauer: Die Widerrufserklärung wird zur Erfüllung gesetzlicher Aufbewahrungspflichten und zur Beweissicherung gespeichert. Handelsrechtliche Aufbewahrungsfristen (§ 257 HGB, § 147 AO) bleiben unberührt. § 21 Änderungen dieser Datenschutzerklärung Wir behalten uns vor, diese Datenschutzerklärung anzupassen, soweit dies wegen neuer Technologien, geänderter Rechtslage oder geänderter Verarbeitungstätigkeiten erforderlich ist. Die jeweils aktuelle Fassung ist unter metis.matthiasbutz.com/datenschutz abrufbar. Ende der Datenschutzerklärung.

metis.matthiasbutz.comMatthias Butz, Christoph-Kröwerath-Str. 106a, 67071 Ludwigshafen am Rhein