Datenschutzerklärung

Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, und stützen die Verarbeitung – je nach Fall – auf folgende Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – z.B. für Newsletter, Webanalyse, Werbung oder externe Einbettungen.
• Vertragserfüllung / Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) – z.B. bei Bestellungen oder Anfragen.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – z.B. Aufbewahrungspflichten.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – z.B. Betriebssicherheit, Missbrauchsverhinderung, Reichweiten- und Angebotsoptimierung.

Wir löschen Daten, sobald der Zweck entfällt, sofern keine gesetzlichen Aufbewahrungsfristen oder berechtigten Gründe (z.B. Nachweis-/Abwehrinteressen) entgegenstehen.

Als Online-Kunstmagazin verarbeiten wir personenbezogene Daten im Rahmen unserer journalistischen Tätigkeit unter Berücksichtigung der Pressefreiheit. Dazu zählen insbesondere redaktionelle Inhalte wie Rezensionen, Ausstellungsberichte, Interviews oder Künstlerporträts.

Für diese redaktionell-journalistischen Verarbeitungen können nach den einschlägigen Regelungen zum Medienprivileg Besonderheiten gelten. Für nicht-journalistische Verarbeitungen (z.B. Newsletter, Kontaktformular, Webanalyse, Werbung, externe Einbettungen) gelten die nachfolgenden Bestimmungen uneingeschränkt.

Website-Hosting

Unsere Website wird bei der Host Europe GmbH (Deutschland) gehostet. Die Verarbeitung erfolgt auf Servern in Deutschland. Mit Host Europe besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Automatisierung / Backend

Für bestimmte interne Abläufe nutzen wir eine selbst betriebene Automatisierungsumgebung, die über Hostinger UAB (EU-Anbieter, Litauen) auf Servern am Standort Frankfurt am Main (Deutschland) betrieben wird. Diese dient der technischen Abwicklung und Weiterleitung von Anfragen (z.B. Versand von Bestätigungen, interne Benachrichtigungen, strukturierte Ablage). Auch hier besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Server-Logfiles

Bei jedem Zugriff auf unsere Website werden aus technischen Gründen Server-Logdaten verarbeitet. Dazu gehören insbesondere: IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Seiten/Dateien, Referrer-URL sowie Browser- und Geräteinformationen. Das ist erforderlich, um die Website bereitzustellen, Angriffe abzuwehren, Störungen zu erkennen und Fehler zu analysieren.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an Sicherheit und Stabilität.

Speicherdauer: 14 Tage.

Technisch notwendige Cookies

Technisch notwendige Cookies und vergleichbare Technologien setzen wir ein, um grundlegende Funktionen (z.B. Seitennavigation, Sicherheit, Speicherung Ihrer Einwilligungsentscheidung) bereitzustellen. Soweit hierbei Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden, erfolgt dies – soweit technisch zwingend erforderlich – auf Grundlage von § 25 Abs. 2 TDDDG.

Optionale Cookies (Analyse, Werbung, Einbettungen)

Alle weiteren Cookies und Technologien (Analyse, Werbung, externe Einbettungen) aktivieren wir erst nach Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG über unser Consent-Management.

Widerruf

Sie können Ihre Auswahl jederzeit über die „Privatsphäre-Einstellungen“ im Footer ändern oder widerrufen.

Anmeldung & Daten

Wenn Sie unseren Newsletter abonnieren, nutzen wir ein Double-Opt-In-Verfahren. Dabei verarbeiten wir Ihre E-Mail-Adresse und – sofern angegeben – Anrede und Namen. Zusätzlich verarbeiten wir Zeitpunkte der Anmeldung/Bestätigung sowie technische Nachweise, um Ihre Einwilligung dokumentieren zu können.

Speicherdauer der Einwilligungsnachweise: Mindestens 3 Jahre nach Abmeldung.

Newsletter-Tracking

Unsere Newsletter enthalten Mess-Technologien, mit denen wir Öffnungen und Klicks auswerten. Außerdem können Links als Weiterleitungen gestaltet sein, um Klicks und technische Zugriffsdaten zur Reichweitenmessung zu erfassen.

Dienstleister: ActiveCampaign

Der Versand und das Management erfolgen über ActiveCampaign (USA). Die Datenübermittlung in die USA erfolgt auf Grundlage eines Angemessenheitsbeschlusses (soweit der Anbieter entsprechend zertifiziert ist) und/oder über geeignete Garantien wie Standardvertragsklauseln.

Soweit ein Website-Tracking durch ActiveCampaign eingesetzt wird, erfolgt dies ausschließlich nach Ihrer Einwilligung über unser Consent-Management.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Widerruf: Über den Abmeldelink in jedem Newsletter oder per E-Mail an mail@kunstletter.de.

Selbst gehostete Reichweitenmessung

Wir verwenden eine selbst gehostete Reichweitenmessung, um unser Angebot zu verstehen und zu verbessern. Dabei verarbeiten wir insbesondere Aufruf- und Interaktionsdaten sowie technische Informationen (z.B. gekürzte IP-Adresse bzw. IP-Verarbeitung zur Missbrauchsabwehr). Eine Weitergabe dieser Analysedaten an Dritte findet im Rahmen dieser selbst gehosteten Messung nicht statt.

Soweit hierbei ausnahmsweise Endgeräte-Technologien eingesetzt werden, erfolgt dies erst nach Einwilligung über das Consent-Management.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Optimierung unseres Angebots.

Google Analytics

Wir nutzen Google Analytics (Google Ireland Limited) zur Reichweitenmessung. Google Analytics wird erst nach Ihrer Einwilligung über das Consent-Management aktiviert und setzt Cookies bzw. ähnliche Technologien ein.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG).

Widerruf: Jederzeit über die „Privatsphäre-Einstellungen“ im Footer.

Artikelstatistiken

Zur Anzeige der Beliebtheit von Artikeln nutzen wir einen lokalen Artikelzähler. Soweit hierfür Cookies oder ähnliche Endgeräte-Technologien eingesetzt werden, erfolgt dies erst nach Ihrer Einwilligung (Kategorie „Statistik“); andernfalls erfolgt die Verarbeitung auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

Link-Tracking & Kampagnenmessung (Short.io)

Für Kampagnen setzen wir Tracking-Links und Weiterleitungen über Short.io (USA) ein, um Klicks und technische Zugriffsdaten zur Reichweiten- und Kampagnenmessung zu erfassen. Dabei werden verarbeitet: Zeitpunkt des Klicks, IP-Adresse (mit grober Standortableitung), Referrer-URL sowie Geräte-/Browserinformationen.

Je nach Konfiguration können Analyse-/Logdaten in Rechenzentren innerhalb der EU verarbeitet werden; Details hängen von der jeweiligen Kampagnen- und Account-Konfiguration des Anbieters ab.

Soweit hierbei Endgeräte-Technologien eingesetzt werden, erfolgt dies erst nach Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG; im Übrigen stützen wir die Verarbeitung auf unser berechtigtes Interesse an der Erfolgsmessung (Art. 6 Abs. 1 lit. f DSGVO).

Google AdSense

Wir nutzen Google AdSense (Google Ireland Limited) zur Ausspielung von Werbeanzeigen. AdSense wird erst nach Ihrer Einwilligung über das Consent-Management aktiviert und kann Cookies oder ähnliche Technologien einsetzen.

Ihr Einwilligungsstatus wird technisch an Google-Tags übergeben, damit diese ihr Verhalten entsprechend Ihrer Auswahl anpassen. Auch ohne Einwilligung können dabei technische Signale zur Einwilligungslage und zur grundlegenden Messung verarbeitet werden (sog. Consent Mode); eine cookie-basierte Personalisierung erfolgt erst nach Einwilligung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG).

Widerruf: Über die „Privatsphäre-Einstellungen“ im Footer oder über die Google Werbeeinstellungen.

Werbeanzeigen von Kulturinstitutionen

Anzeigen von Museen und Galerien können Tracking-Links enthalten. Bei Klick kann der Werbetreibende erfassen, dass der Klick von unserer Website stammt.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Auf unserer Website können externe Inhalte eingebunden werden, insbesondere Karten (z.B. Google Maps), Videos (z.B. YouTube) sowie Einbettungen aus sozialen Netzwerken. Solche Inhalte werden erst geladen, wenn Sie über unser Consent-Management eingewilligt haben.

Beim Laden werden typischerweise technische Daten (insbesondere IP-Adresse und Geräteinformationen) an den jeweiligen Anbieter übermittelt.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG).

Share-Funktionen

Unsere Share-Buttons übertragen erst nach Ihrem Klick Daten an soziale Netzwerke. Beim bloßen Seitenaufruf findet keine Datenübertragung statt.

Unsere Präsenzen & Insights

Wir sind auf Plattformen wie Facebook, X (Twitter), Mastodon, Bluesky und LinkedIn vertreten. Wenn Sie diese Präsenzen besuchen, werden Ihre Daten durch die jeweilige Plattform verarbeitet – auch wenn Sie nicht eingeloggt sind.

Wir erhalten von einigen Plattformen (insbesondere Meta und LinkedIn) aggregierte, anonymisierte Statistiken über die Nutzung unserer Seiten (sog. Insights). Diese enthalten keine personenbezogenen Daten einzelner Nutzer, ermöglichen uns aber eine Auswertung der Reichweite.

Bei Meta (Facebook/Instagram) besteht für Insights eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. Informationen zur gemeinsamen Verantwortlichkeit (inkl. wesentlicher Inhalte der Vereinbarung) stellt der jeweilige Plattformanbieter in seinen Datenschutzinformationen bzw. den Insights-Bedingungen bereit.

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir Ihre Angaben (z.B. Name, E-Mail-Adresse, Nachricht), um Ihre Anfrage zu bearbeiten.

Die Formulardaten werden technisch an unsere Automatisierungsumgebung (Serverstandort Frankfurt am Main) übermittelt, dort verarbeitet und je nach Zweck intern weitergeleitet (z.B. E-Mail-Benachrichtigung) sowie – sofern erforderlich – in unserer Datenbankumgebung bei Supabase (Region Frankfurt/EU) zwischengespeichert. Für die Nutzung der Datenbankumgebung besteht eine Vereinbarung zur Auftragsverarbeitung; ggf. erforderliche Garantien für Drittlandzugriffe (z.B. Standardvertragsklauseln) werden vertraglich abgesichert.

Für den Versand und Empfang von E-Mails werden die hierfür notwendigen Kommunikationsdaten über unsere Mail-Infrastruktur verarbeitet.

Daten werden gelöscht, sobald die Bearbeitung abgeschlossen ist und keine Aufbewahrungspflichten entgegenstehen.

Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) und/oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an effizienter Bearbeitung.

Speicherdauer: Bis zur abschließenden Bearbeitung, maximal 3 Jahre.

Sofern wir künftig Zahlungen über einen Zahlungsdienstleister anbieten, verarbeiten wir die zur Abwicklung erforderlichen Daten (z.B. Name, Anschrift, E-Mail-Adresse, Bestellsumme sowie Zahlungsinformationen). Wir erhalten dabei keine vollständigen Karten- oder Kontodaten.

Wir führen keine Bonitätsprüfung durch.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Wenn ein Versand erforderlich ist (z.B. bei Print-Produkten oder Auslage-Bestellungen), übermitteln wir die für den Versand notwendigen Daten (insbesondere Name/Anschrift und ggf. Ansprechpartner) an beauftragte Dienstleister (z.B. Fulfillment-Dienstleister und GLS als Paketdienstleister).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Automatisierung

Zur effizienten Bearbeitung interner Abläufe (z.B. Verarbeitung von Formular-Eingängen, Versand von Bestätigungen, strukturierte Ablage) nutzen wir Automatisierungsprozesse auf Servern in Deutschland (Frankfurt am Main). Für bestimmte Workflows setzen wir eine Datenbankumgebung bei Supabase (Region Frankfurt/EU) ein.

Je nach Vorgang werden Daten nur vorübergehend oder – soweit erforderlich – länger gespeichert und anschließend nach Zweckfortfall bzw. gesetzlichen Fristen gelöscht. Für die Nutzung der Datenbankumgebung besteht eine Vereinbarung zur Auftragsverarbeitung; ggf. erforderliche Garantien für Drittlandzugriffe (z.B. Standardvertragsklauseln) werden vertraglich abgesichert.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an effizienten, sicheren Abläufen.

Einsatz von KI-Technologien

Sofern KI-Technologien zur Unterstützung interner Prozesse eingesetzt werden, dienen sie z.B. der Analyse, Kategorisierung oder Zusammenfassung. Wir treffen geeignete vertragliche und organisatorische Maßnahmen, damit personenbezogene Daten nicht zum Training öffentlich zugänglicher KI-Modelle verwendet werden. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO statt.

Zur Sicherung und Wiederherstellung unserer Systeme erstellen wir regelmäßige Datensicherungen (z.B. Website-Dateien und Datenbankinhalte). Diese Sicherungen können personenbezogene Daten enthalten und werden in einem Cloud-Speicher bei Google (Google Drive) abgelegt.

Bei Google kann – je nach Dienst und Konfiguration – eine Verarbeitung außerhalb des EWR nicht vollständig ausgeschlossen werden (siehe Abschnitt 17).

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an IT-Sicherheit und Wiederherstellbarkeit.

Rechtlicher Rahmen

Soweit wir Dienstleister einsetzen, bei denen eine Verarbeitung außerhalb des Europäischen Wirtschaftsraums nicht ausgeschlossen werden kann, erfolgt dies nur im rechtlich zulässigen Rahmen:

• EU-US Data Privacy Framework (DPF): Sofern der Anbieter unter dem DPF zertifiziert ist, kann die Übermittlung auf den Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO) gestützt werden.
• Standardvertragsklauseln (SCC): Ergänzend oder alternativ können Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart sein.

Unabhängig davon kann ein Zugriff staatlicher Stellen in Drittländern nicht in jedem Fall vollständig ausgeschlossen werden.

Betroffene Dienstleister

• ActiveCampaign (USA) – Newsletter
• Short.io (USA) – Link-Tracking (EU-Speicherung je nach Konfiguration möglich)
• Google (Google Ireland, möglicher USA-Bezug) – Analytics, AdSense, Drive
• Supabase (Region Frankfurt/EU; DPA mit SCC für etwaige Drittlandzugriffe)

DPF-Zertifizierungen prüfen: dataprivacyframework.gov

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (z.B. über Newsletter-Abmeldung oder die Privatsphäre-Einstellungen).

Beschwerderecht

Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Für uns zuständig ist: