Zum Hauptinhalt
Frames Editorial Galleries
  • Funktionen
  • Demo
  • Preise
  • FAQ
Auf die Warteliste
Rechtliches

Datenschutzerklärung

Frames ist eine Galerie-Plattform für Photograph:innen. Wir verarbeiten so wenige Daten wie möglich — und wir hosten keine Bilder. Diese Erklärung beschreibt im Detail, was wir tun und warum.

Inhalt

  1. 1 · Verantwortlicher
  2. 2 · Überblick: Zwecke, Rechtsgrundlagen, Empfänger
  3. 3 · Wer ist hier wer?
  4. 4 · Hosting & Infrastruktur
  5. 5 · Daten von Photograph:innen
  6. 6 · Daten von Galerie-Besucher:innen
  7. 7 · Bilder & Storage
  8. 8 · OAuth-Tokens
  9. 9 · Email-Versand
  10. 10 · Zahlungsabwicklung
  11. 11 · Print- & Druckabwicklung
  12. 12 · Cookies & lokale Speicherung
  13. 13 · Auftragsverarbeitung
  14. 14 · Ihre Rechte
  15. 15 · Beschwerderecht
  16. 16 · Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Kevin Luck (luckyCONCEPT)
Odensehof 5
30457 Hannover
Deutschland
Email: hi@frames.photo
Web: frames.luckyconcept.cloud

Einen eigenen Datenschutzbeauftragten haben wir nicht; eine gesetzliche Bestellungspflicht nach Art. 37 DSGVO bzw. § 38 BDSG besteht für uns aktuell nicht. Anfragen zum Datenschutz richten Sie direkt an hi@frames.photo.

2. Überblick: Zwecke, Rechtsgrundlagen, Empfänger

Im Sinne von Art. 13 DSGVO geben wir Ihnen hier einen kompakten Überblick über alle Verarbeitungen — die ausführliche Beschreibung folgt in den jeweiligen Abschnitten weiter unten.

  • Vertragserfüllung & Account-Verwaltung — Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO. Empfänger: Hostinger (Hosting EU), Stripe (Zahlungen, IE). Speicherdauer: Vertragslaufzeit + gesetzliche Aufbewahrungsfristen.
  • Bereitstellung der Galerien — Art. 6 Abs. 1 lit. b/f DSGVO. Empfänger: vom Photographen gewählte Storage-Provider (Drive, Dropbox, iCloud, S3-kompatibel, WebDAV, ...). Speicherdauer: Lebenszyklus der Galerie.
  • Print-/Druckabwicklung (optional) — Art. 6 Abs. 1 lit. b DSGVO. Empfänger je nach Auswahl des Photographen: Prodigi (UK/EU), WhiteWall (DE), Saal Digital (DE), Picanova (DE) sowie Stripe Connect für die Provisionsabrechnung.
  • Email-Versand — Art. 6 Abs. 1 lit. b/f DSGVO. Empfänger: vom Photographen konfigurierter SMTP-Anbieter (eigener SMTP-Server) oder, wenn keiner konfiguriert ist, der Plattform-Default-SMTP (ALL-INKL.COM — Neue Medien Münnich, Görlitz, Deutschland).
  • Sicherer Betrieb & Logs — Art. 6 Abs. 1 lit. f DSGVO. Empfänger: keine Drittweitergabe. Speicherdauer: max. 14 Tage.
  • Funktionale Cookies (Sprache, Theme) — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf jederzeit über die Cookie-Einstellungen.

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

3. Wer ist hier wer?

Frames unterscheidet zwei Gruppen von Personen, deren Daten unterschiedlich verarbeitet werden:

  • Photograph:innen (Account-Inhaber): Personen, die einen Frames-Account anlegen, Galerien betreiben und über Frames mit ihren Endkund:innen kommunizieren.
  • Galerie-Besucher:innen (Endkund:innen): Personen, die über einen Galerie-Link Bilder ansehen, auswählen oder herunterladen.

4. Hosting & Infrastruktur

Frames wird auf einem dedizierten Server bei Hostinger International Ltd. (Rechenzentrum Frankfurt am Main, Deutschland) betrieben. Die Bereitstellung erfolgt über Coolify (Self-Hosting-Plattform). Die Datenbank (PostgreSQL) läuft auf demselben Server. Die Hauptverarbeitung personenbezogener Daten (Accounts, Galerie-Metadaten, Picks, Kommentare, Logs) findet innerhalb der EU, konkret in Deutschland statt.

Drittland-Transfers. Es gibt einzelne Empfänger außerhalb der EU/EWR. Diese Transfers sind durch geeignete Garantien gemäß Art. 44 ff. DSGVO abgesichert:

  • Stripe (Zahlungsabwicklung & Connect): primärer Vertragspartner Stripe Payments Europe Ltd. (Irland); konzerninterne Übermittlung an Stripe Inc. (USA) abgesichert über Standardvertragsklauseln (SCC) sowie Stripe-DPA.
  • Prodigi (Print, sofern vom Photographen aktiviert): Prodigi Group plc, UK — abgesichert über den UK-Angemessenheitsbeschluss der EU-Kommission.
  • Storage-Provider mit US-Bezug (Google Drive, Dropbox, iCloud, OneDrive, Box, S3-Generic): siehe Abschnitt 7 — diese werden vom Photographen selbst beauftragt; die zugehörigen Drittlandgarantien liegen in dessen Verantwortung.

Eine Übermittlung in Drittländer auf Basis von Art. 49 DSGVO (Ausnahmen) findet nicht statt.

Bei jedem Aufruf werden serverseitige Logs erstellt (IP-Adresse gekürzt / anonymisiert, Zeitstempel, User-Agent, aufgerufene URL). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb). Speicherdauer: max. 14 Tage.

Schriftarten (Fonts). Wir verwenden lokal gehostete Schriftarten („Self-hosted Fonts"). Die Schriftdateien liegen auf demselben Server wie diese Website und werden nicht von externen CDNs (Google Fonts, Adobe Fonts o. Ä.) geladen. Dadurch wird beim Aufruf der Seite keine IP-Adresse an Drittanbieter übertragen.

5. Daten von Photograph:innen

Bei der Anlage und Nutzung eines Account verarbeiten wir: Name / Studioname, Email-Adresse, Passwort-Hash, Adress- und Rechnungsdaten, gewählte Storage-Verbindungen, OAuth-Refresh-Tokens, optionale SMTP-Zugangsdaten, Konfigurationsdaten der Galerien sowie Zahlungs- und Vertragsmetadaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO für Pflichtangaben (z. B. steuerliche Aufbewahrung von Rechnungen). Speicherdauer: für die Dauer des Vertragsverhältnisses, anschließend gemäß gesetzlicher Aufbewahrungspflichten (i. d. R. 10 Jahre für Rechnungen).

6. Daten von Galerie-Besucher:innen

Beim Besuch einer Galerie verarbeiten wir nur das, was zur Anzeige nötig ist: anonymisierte Server-Logs (siehe oben), eine cookie-basierte Session-ID zur Wiedererkennung von Auswahl und Favoriten innerhalb derselben Sitzung sowie — falls die/der Photograph:in dies konfiguriert — Name und Email der Besucher:innen (etwa für Galerie-Passwortschutz oder Download-Tracking).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag zwischen Photograph und Endkund:in, in dessen Rahmen Frames als Auftragsverarbeiter tätig wird) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionierender Galerie). Speicherdauer: gekoppelt an die Lebensdauer der Galerie; Auswahl-Daten max. 90 Tage nach letzter Aktivität.

7. Bilder & Storage

Frames hostet keine Originalbilder. Alle Bilder verbleiben bei dem von der/dem jeweiligen Photograph:in gewählten Storage-Backend. Frames greift ausschließlich lesend zu, nachdem die/der Photograph:in den OAuth-Zugriff explizit gewährt hat. Zur Performance-Optimierung cachen wir kleine Thumbnail-Varianten transient (max. 30 Tage); bei Galerie-Löschung werden diese Caches sofort entfernt.

Die Storage-Provider sind nicht Auftragsverarbeiter von Frames. Sie sind Auftragsverarbeiter der/des jeweiligen Photograph:in, die/der sie selbst auswählt und mit eigenen Zugangsdaten (OAuth-Token bzw. Account) verbindet. Frames greift dabei ausschließlich als Werkzeug der/des Photograph:in lesend auf die gewählte Quelle zu. Den Auftragsverarbeitungsvertrag mit dem jeweiligen Provider schließt die/der Photograph:in in eigener Verantwortung; gleiches gilt für die rechtliche Absicherung etwaiger Drittland-Übermittlungen (z. B. Standardvertragsklauseln bei US-Anbietern).

Gegenüber Galerie-Besucher:innen weisen wir transparent aus, welche Provider als Empfänger der Bilddaten in Frage kommen:

  • Google Drive — Google Ireland Limited, Dublin, Irland (konzerninterne Übermittlung an Google LLC, USA, abgesichert über Google-DPA + SCC)
  • Dropbox — Dropbox International Unlimited Company, Dublin, Irland (konzerninterne Übermittlung an Dropbox Inc., USA, abgesichert über Dropbox-DPA + SCC)
  • Apple iCloud (Shared Albums) — Apple Distribution International Ltd., Cork, Irland; Apple Inc., USA
  • pCloud — pCloud AG, Baar, Schweiz (Schweiz mit Angemessenheitsbeschluss; EU-Server-Option verfügbar)
  • Microsoft OneDrive — Microsoft Ireland Operations Ltd., Dublin (Microsoft-DPA, ggf. SCC)
  • Box — Box Inc., Redwood City, USA (Box-DPA + SCC)
  • WebDAV-Generic — Server des Photographen selbst (Nextcloud, ownCloud o. Ä.); kein Frames-Subprozessor
  • S3-Generic — vom Photographen gewählter S3-kompatibler Speicher (Backblaze B2, Cloudflare R2, AWS, Wasabi o. Ä.); kein Frames-Subprozessor

Welche dieser Provider tatsächlich zum Einsatz kommen, entscheidet die/der jeweilige Photograph:in als Verantwortliche:r für die eigenen Bilder.

8. OAuth-Tokens

Damit Frames im Auftrag der/des Photograph:in auf Storage-Provider zugreifen kann, speichern wir die OAuth-Refresh-Tokens verschlüsselt (AES-256-GCM, Schlüssel ausschließlich in der Server-Umgebung). Die Tokens werden ausschließlich für den vom Photograph beauftragten Storage-Zugriff verwendet und beim Trennen der Verbindung sofort gelöscht.

9. Email-Versand

Frames versendet Transaktions-Emails (Galerie-Benachrichtigungen, Passwort-Resets etc.). Photograph:innen können einen eigenen SMTP-Server hinterlegen — in diesem Fall ist die/der Photograph:in für den Email-Versand Verantwortliche:r und Frames leitet die Daten lediglich technisch durch. Als Fallback nutzt Frames den SMTP-Dienst von ALL-INKL.COM — Neue Medien Münnich (Friedrich-Ebert-Str. 7, 02826 Görlitz, Deutschland). Alle Mail-Server stehen in Deutschland; es findet kein Drittland-Transfer statt. Mit ALL-INKL.COM besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

10. Zahlungsabwicklung

Für die Abwicklung von Abonnements und Zahlungen nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin, Irland. Zahlungsdaten (insbesondere Kartendaten) werden ausschließlich von Stripe verarbeitet — Frames erhält und speichert keine vollständigen Kartendaten, sondern arbeitet ausschließlich mit Token-Referenzen. Stripe kann eigene Cookies während des Bezahlvorgangs setzen. Datenschutzerklärung von Stripe: stripe.com/de/privacy.

Für die Auszahlung von Provisionen aus Print-Verkäufen an Photograph:innen nutzen wir Stripe Connect (gleicher Anbieter wie oben). Dabei werden Stammdaten (Name, Adresse, ggf. Steuer-ID, Bankverbindung) an Stripe übermittelt, soweit für KYC und Auszahlung erforderlich.

11. Print- & Druckabwicklung

Photograph:innen können in Frames optional einen Print-Shop für ihre Galerien aktivieren. Bestellt eine Galerie-Besucher:in einen Print, werden die für den Druck und Versand notwendigen Daten (Bildauswahl, Lieferadresse, Bestellnummer) an den von der/dem Photograph:in gewählten Print-Provider übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

  • Prodigi — Prodigi Group plc, Hauptsitz UK; Druck und Versand teils in der EU. Drittland-Übermittlung abgesichert über das UK-Angemessenheitsbeschluss-Regime.
  • WhiteWall — Avenso GmbH, Berlin, Deutschland.
  • Saal Digital — Saal Digital Fotoservice GmbH, Eppingen, Deutschland.
  • Picanova — Picanova GmbH, Köln, Deutschland.

Welche dieser Anbieter aktiv sind, entscheidet die/der jeweilige Photograph:in. Frames fungiert technisch als Vermittler der Bestellung; Vertragspartner für den Druck ist je nach Konfiguration der Provider oder die/der Photograph:in selbst.

12. Cookies & lokale Speicherung

Frames setzt Cookies und Local-Storage-Einträge in drei Kategorien: notwendig (immer aktiv, ohne Einwilligung), funktional (Einwilligung) und Reichweitenmessung (Einwilligung). Werbe-Cookies und Cross-Site-Tracking finden nicht statt.

12.1 Notwendige Cookies

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden, sicheren Dienst) bzw. § 25 Abs. 2 Nr. 2 TDDDG.

  • frames3_session_v2, frames3_session — Login-Session (HttpOnly, Secure, SameSite=Lax). Lebensdauer: Sitzung bzw. max. 30 Tage.
  • frames3_2fa_trusted — 2FA-Trusted-Device-Marker. Lebensdauer: 30 Tage.
  • OAuth-State-Cookies (kurzlebig, Storage-Connect-Flows). Lebensdauer: max. 10 Minuten.
  • frames3_gallery_client — Session-Marker für Galerie-Aktivität. Lebensdauer: 90 Tage seit letzter Aktivität.
  • frames3_gallery_unlock_<id>, frames3_collection_unlock_<id> — Passwortschutz-Entsperrung für die jeweilige Galerie/Kollektion. Lebensdauer: bis 30 Tage.
  • frames3_visit_<slug> — Dedup-Marker für Besuchsstatistiken. Lebensdauer: 24 Stunden.
  • frames3_cookie_consent — speichert Ihre Cookie-Wahl. Lebensdauer: 365 Tage.

12.2 Funktionale Cookies / Local Storage (Einwilligung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG.

  • frames3_theme — gewähltes Theme (hell/dunkel/System). Lebensdauer: 365 Tage.
  • frames3_review_mode_<slug>, frames3_review_index_<slug>, frames3_review_current_<slug>, frames3_status_filter_<slug> — UI-Zustand der Galerie-Review-Ansicht (Local Storage). Lebensdauer: bis Browser-Reset.

12.3 Reichweitenmessung (Einwilligung)

Wir nutzen Umami Analytics, self-hosted unter umami.luckyconcept.de (Server-Standort EU). Das Umami-Script wird erst nach Ihrer Einwilligung über den Cookie-Banner geladen (consent-gated). Erhobene aggregierte Daten: Seitenpfade, Referrer, ungefähre Geografie auf Länder-Ebene, Browser-Familie, Gerätekategorie. Es findet kein Cross-Site-Tracking und kein User-Fingerprinting statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG. Widerruf jederzeit über die Cookie-Einstellungen.

Frames setzt kein Google Analytics, kein Meta-Pixel und keine sonstigen Werbe-/Tracking-Tools.

13. Auftragsverarbeitung gegenüber Photograph:innen

Soweit Frames Daten von Endkund:innen im Auftrag von Photograph:innen verarbeitet (Galerie-Metadaten, Pick-Status, Kommentare, Auswahl-Logs), schließt Frames mit jedem Account-Inhaber einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Die von Frames selbst eingesetzten Sub-Auftragsverarbeiter sind:

  • Hostinger International Ltd. — App-Hosting + PostgreSQL-Datenbank, Server-Standort Frankfurt am Main, Deutschland.
  • Stripe Payments Europe Ltd. (Dublin, Irland) — Zahlungsabwicklung und Stripe Connect für Print-Shop-Auszahlungen. Konzerninterne Übermittlung an Stripe Inc. (USA) abgesichert über SCC.
  • Umami — self-hosted unter umami.luckyconcept.de (EU). Eigene Verarbeitung durch Lucky Concept; kein externer Drittanbieter.
  • ALL-INKL.COM — Neue Medien Münnich (Friedrich-Ebert-Str. 7, 02826 Görlitz, Deutschland) — Plattform-SMTP für Transaktions-Mails (Fallback, wenn kein eigener SMTP des Photographen konfiguriert ist). Server-Standort Deutschland, kein Drittland-Transfer. AVV gemäß Art. 28 DSGVO.

Keine Frames-Subprozessoren sind:

  • Die in Abschnitt 7 genannten Storage-Provider (Google Drive, Dropbox, iCloud, pCloud, OneDrive, Box, WebDAV-Generic, S3-Generic) — diese sind Auftragsverarbeiter der/des jeweiligen Photograph:in und werden von dieser/diesem direkt beauftragt.
  • Die in Abschnitt 11 genannten Print-Provider (Prodigi, WhiteWall, Saal Digital, Picanova) — Vertragspartner für den Druck ist je nach Konfiguration der Provider oder die/der Photograph:in selbst; Frames vermittelt die Bestelldaten nur technisch.

Ein Muster-Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird Photograph:innen im Account-Bereich zum Abschluss bereitgestellt (siehe /legal/dpa). Die Annahme wird mit Versionsstand und Zeitpunkt im Account dokumentiert.

14. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung genügt eine formlose Email an hi@frames.photo.

15. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns örtlich zuständig ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
poststelle@lfd.niedersachsen.de

16. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist über diese Seite abrufbar.

Stand: 5. Juni 2026 (Version 2026-06-05).

Frames

Editorial Galerien für Fotografen,
die Wert auf eigene Bildsprache legen.

Produkt

  • Funktionen
  • Preise
  • Demo
  • Hilfe
  • FAQ
  • Changelog
  • Über Frames
  • Warteliste

Wechseln

  • Von Pixieset
  • Von Pic-Time
  • Von Picdrop
  • Von Scrappbook
  • Von Sefodo

Rechtliches

  • Sicherheit & Datenschutz
  • Impressum
  • Datenschutz
  • AGB
  • Sitemap
Beispielbilder mit KI

Alle Beispielbilder auf dieser Website wurden mit KI generiert. Sollen das Design illustrieren, ersetzen aber keine echte Foto-Galerie.

© 2026 Frames · Gebaut in DACH, gehostet in Frankfurt