Datenschutzerklärung

Letzte Fassung: 25. April 2026

Art Space Berlin betreibt diesen Shop und diese Website, einschließlich aller zugehörigen Informationen, Inhalte, Funktionen, Tools, Produkte und Services, um Ihnen als Kunde ein individuelles Einkaufserlebnis bereitzustellen (die „Services"). Art Space Berlin basiert auf Shopify, wodurch wir in der Lage sind, Ihnen die Services bereitzustellen. In dieser Datenschutzerklärung wird beschrieben, wie wir personenbezogene Daten erfassen, verwenden oder weitergeben, wenn Sie die Website besuchen, nutzen oder einen Kauf oder eine andere Transaktion unter Verwendung der Services tätigen oder anderweitig mit uns kommunizieren. Wenn es einen Konflikt zwischen unseren allgemeinen Geschäftsbedingungen und dieser Datenschutzerklärung gibt, hat diese Datenschutzerklärung Vorrang in Bezug auf die Erfassung, Verarbeitung und Weitergabe Ihrer personenbezogenen Daten.

Lesen Sie sich diese Datenschutzerklärung bitte sorgfältig durch. Indem Sie einen der Services nutzen und darauf zugreifen, bestätigen Sie, dass Sie diese Datenschutzerklärung gelesen haben und mit der Erfassung, Verwendung und Weitergabe Ihrer Daten, wie in dieser Datenschutzerklärung beschrieben, einverstanden sind.

Geltungsbereich dieser Datenschutzerklärung: Diese Datenschutzerklärung gilt sowohl für unseren Online-Shop unter www.artspace.berlin als auch für unsere zugangsbeschränkte Verwaltungs-App unter app.artspace.berlin. Die nachfolgenden Abschnitte beschreiben die Datenverarbeitung im Online-Shop. Ergänzende, ausschließlich für die Verwaltungs-App geltende Angaben (Auftragsverarbeiter, Datenkategorien, Rechtsgrundlagen und Speicherfristen) finden Sie weiter unten im eigenen Abschnitt „Ergänzende Hinweise zur Datenverarbeitung in der Verwaltungs-App (app.artspace.berlin)".

Welche personenbezogenen Daten erfassen oder verarbeiten wir?

Wenn wir den Begriff „personenbezogene Daten" verwenden, beziehen wir uns auf Informationen, die Sie oder eine andere Person identifizieren oder unmittelbar mit Ihnen in Verbindung gebracht werden können. Personenbezogene Daten umfassen keine Informationen, die anonym erfasst oder so anonymisiert wurden, dass eine Identifizierung oder eine Zuordnung zu Ihrer Person nicht möglich ist. Je nachdem, wie Sie mit den Services interagieren, wo Sie wohnen und wie es das geltende Recht erlaubt oder vorschreibt, können wir die folgenden Kategorien personenbezogener Daten erfassen oder verarbeiten, einschließlich der aus diesen personenbezogenen Daten gezogenen Rückschlüsse:

  • Kontaktdaten einschließlich Name, Postanschrift, Rechnungsadresse, Lieferadresse, Telefonnummer und E-Mail-Adresse.
  • Finanzdaten einschließlich Kredit-, Debitkarten- und Finanzkontonummern, Zahlungskarteninformationen, Finanzkontoinformationen, Transaktionsdetails, Zahlungsart, Zahlungsbestätigung und andere Zahlungsdetails.
  • Kontoinformationen darunter Benutzername, Passwort, Sicherheitsfragen, Konfigurationen und Einstellungen.
  • Transaktionsinformationen einschließlich der Artikel, die Sie sich ansehen, in den Warenkorb legen, auf die Wunschliste setzen oder kaufen, zurückgeben, umtauschen oder stornieren, sowie Ihre vergangenen Transaktionen.
  • Kommunikation mit uns einschließlich der Informationen, die Sie bei der Kommunikation mit uns angeben, beispielsweise wenn Sie eine Anfrage an den Kundensupport senden.
  • Geräteinformationen einschließlich Informationen über Gerät, Browser oder Netzwerkverbindung, IP-Adresse und andere eindeutige Identifikatoren.
  • Nutzungsinformationen einschließlich Informationen über Ihre Interaktion mit den Services, auch darüber, wie und wann Sie mit den Services interagieren oder sie durchsuchen.

Quellen von personenbezogenen Daten

Wir können personenbezogene Daten über die folgenden Quellen erfassen:

  • Direkt von Ihnen. Wir erfassen die Daten unter anderem, wenn Sie ein Konto erstellen, die Services aufrufen oder nutzen, mit uns kommunizieren oder uns anderweitig Ihre personenbezogenen Daten zur Verfügung stellen.
  • Automatisch über die Services. Wir erfassen die Daten unter anderem von Ihrem Gerät oder wenn Sie unsere Produkte oder Services nutzen oder unsere Website besuchen sowie über die Verwendung von Cookies und ähnlichen Technologien.
  • Von unseren Dienstanbietern. Wir erfassen die Daten unter anderem, wenn wir die Dienstanbieter beauftragen, bestimmte Technologien zu aktivieren, und wenn sie Ihre personenbezogenen Daten in unserem Auftrag erfassen oder verarbeiten.
  • Von unseren Partnern und anderen Drittanbietern.

Wie verwenden wir Ihre personenbezogene Daten?

Je nachdem, wie Sie mit uns interagieren oder welche der Services Sie nutzen, können wir personenbezogene Daten für die folgenden Zwecke verwenden:

  • Bereitstellung, Anpassung und Verbesserung der Services. Wir verwenden Ihre personenbezogenen Daten, um Ihnen die Services bereitzustellen. Das umfasst unter anderem die Erfüllung unseres Vertrags mit Ihnen, die Verarbeitung Ihrer Zahlungen, die Ausführung Ihrer Bestellungen, die Speicherung Ihrer Konfigurationen und der Artikel, für die Sie sich interessieren, die Versendung von Benachrichtigungen im Zusammenhang mit Ihrem Konto, die Erstellung, Pflege und sonstige Verwaltung Ihres Kontos, die Organisation des Versands, die Erleichterung von Rückgaben und Umtausch, die Möglichkeit, dass Sie Bewertungen abgeben, und die Schaffung eines individuellen Einkaufserlebnisses für Sie, indem wir Ihnen beispielsweise Produkte empfehlen, die sich an Ihren Käufen orientieren. Dazu kann auch die Verwendung Ihrer personenbezogenen Daten gehören, um die Services besser anzupassen und zu verbessern.
  • Marketing und Werbung. Wir verwenden Ihre personenbezogenen Daten für Marketing- und Werbezwecke, um beispielsweise Marketing- und Werbemitteilungen per E-Mail, SMS oder Post zu versenden und Ihnen online Werbung für Produkte oder Leistungen für die Services oder andere Websites anzuzeigen, auch auf der Grundlage von Artikeln, die Sie zuvor gekauft oder in Ihren Warenkorb gelegt haben, sowie anderen Aktivitäten in Bezug auf die Services.
  • Sicherheit und Betrugsprävention. Wir verwenden Ihre personenbezogenen Daten, um Ihr Konto zu authentifizieren, ein sicheres Zahlungs- und Einkaufserlebnis bereitzustellen, mögliche betrügerische, illegale, unsichere oder böswillige Aktivitäten aufzudecken, zu untersuchen oder Maßnahmen zu ergreifen, die öffentliche Sicherheit zu schützen und für die Sicherheit unserer Services zu sorgen. Wenn Sie sich entscheiden, die Services zu nutzen und ein Konto zu registrieren, sind Sie dafür verantwortlich, Ihre Kontoanmeldedaten zu schützen. Wir empfehlen dringend, dass Sie Ihren Benutzernamen, Ihr Passwort oder andere Zugangsdaten nicht an andere Personen weiterzugeben.
  • Kommunikation mit Ihnen. Wir verwenden Ihre personenbezogenen Daten, um Ihnen Kundensupport und effektive Services bereitzustellen, zeitnah auf Ihre Anfragen zu reagieren und unsere Geschäftsbeziehung mit Ihnen aufrechtzuerhalten.
  • Rechtliche Gründe. Wir verwenden Ihre personenbezogenen Daten, um geltendes Recht einzuhalten oder auf rechtmäßige Verfahrensschritte zu reagieren, einschließlich Anfragen von Strafverfolgungs- oder Aufsichtsbehörden, um zivilrechtliche Ermittlungen, potenzielle oder konkrete Rechtsstreitigkeiten oder andere kontradiktorische Verfahren zu untersuchen oder daran teilzunehmen und um potenzielle Verstöße gegen unsere Bedingungen oder Richtlinien zu untersuchen oder die Bedingungen und Richtlinien durchzusetzen.

Wie geben wir personenbezogene Daten weiter?

Unter bestimmten Umständen können wir Ihre personenbezogenen Daten für legitime Zwecke gemäß dieser Datenschutzerklärung an Dritte weitergeben. Solche Umstände können Folgendes umfassen:

  • Bei Shopify sind dies Anbieter und andere Dritte, die in unserem Auftrag Services erbringen (z. B. IT-Management, Zahlungsabwicklung, Datenanalyse, Kundensupport, Cloud-Speicher, Fulfillment und Versand).
  • Wir geben personenbezogene Daten an Geschäfts- und Marketingpartner weiter, die für Sie Marketingservices erbringen und Ihnen Werbung anzeigen. Wir nutzen Shopify beispielsweise, um personalisierte Werbung mit Services von Drittanbietern zu unterstützen, die auf Ihren Online-Aktivitäten bei verschiedenen Händlern und Websites basieren. Unsere Geschäfts- und Marketingpartner verwenden Ihre Daten gemäß ihren eigenen Datenschutzerklärungen. Je nach Ihrem Wohnort haben Sie möglicherweise das Recht, uns anzuweisen, keine Informationen über Sie weiterzugeben, um Ihnen gezielte Werbung und Marketing auf der Grundlage Ihrer Online-Aktivitäten bei verschiedenen Händlern und Websites anzuzeigen. Wenn Sie von Ihrem Recht Gebrauch machen und solche Verwendungen ablehnen möchten, haben Sie hier die Möglichkeit dazu.
  • Wenn Sie uns auffordern oder anderweitig Ihre Zustimmung geben, bestimmte Informationen an Dritte weiterzugeben, beispielsweise um Ihnen Produkte zu liefern, oder wenn Sie Social-Media-Widgets oder Login-Integrationen nutzen.
  • Wir geben personenbezogene Daten an unsere Affiliates oder anderweitig innerhalb unserer Unternehmensgruppe weiter.
  • Im Zusammenhang mit einer geschäftlichen Transaktion wie einer Fusion oder Insolvenz, zur Einhaltung geltender gesetzlicher Verpflichtungen (einschließlich der Reaktion auf Vorladungen, Durchsuchungsbeschlüsse und ähnliche Anfragen), zur Durchsetzung geltender Servicebedingungen oder Richtlinien und zum Schutz oder zur Verteidigung der Services, unserer Rechte und der Rechte unserer Nutzer oder anderer.

Beziehung mit Shopify

Die Services werden von Shopify gehostet, wobei Shopify personenbezogene Daten über Ihren Zugriff auf die Services und deren Nutzung erfasst und verarbeitet, um Ihnen die Services bereitzustellen und zu verbessern. Daten, die Sie an die Services übermitteln, werden an Shopify sowie an Dritte weitergegeben, die sich möglicherweise in anderen Ländern als dem Land Ihres Wohnsitzes befinden, um die Services für Sie bereitzustellen und zu verbessern. Um unser Geschäft zu schützen, zu erweitern und zu verbessern, verwenden wir außerdem bestimmte erweiterte Shopify-Funktionen, die Daten und Informationen aus Ihren Interaktionen mit unserem Shop, mit anderen Händlern und mit Shopify einbeziehen. Um diese erweiterten Funktionen bereitzustellen, kann Shopify personenbezogene Daten verwenden, die über Ihre Interaktionen mit unserem Shop, anderen Händlern und Shopify erfasst wurden. Unter diesen Umständen ist Shopify für die Verarbeitung Ihrer personenbezogenen Daten verantwortlich, einschließlich der Beantwortung Ihrer Anfragen zur Ausübung Ihrer Rechte bezüglich der Verwendung Ihrer personenbezogenen Daten für diese Zwecke. Weitere Informationen darüber, wie Shopify Ihre personenbezogenen Daten verwendet und welche Rechte Sie haben, finden Sie in der Shopify Datenschutzrichtlinie für Verbraucher. Abhängig davon, wo Sie Ihren Wohnsitz haben, können Sie hier bestimmte Rechte in Bezug auf Ihre hier aufgeführten personenbezogenen Daten ausüben Link zum Shopify-Datenschutzportal.

Websites und Links von Drittanbietern

Die Services können Links zu Websites oder anderen Online-Plattformen bereitstellen, die von Drittanbietern betrieben werden. Wenn Sie Links zu Websites folgen, die keine Affiliate-Websites sind oder nicht von uns kontrolliert werden, sollten Sie deren Datenschutz- und Sicherheitsrichtlinien sowie sonstige Geschäftsbedingungen überprüfen. Wir übernehmen keine Garantie und sind nicht verantwortlich für den Datenschutz oder die Sicherheit solcher Websites, einschließlich der Genauigkeit, Vollständigkeit oder Zuverlässigkeit der auf diesen Websites befindlichen Informationen. Informationen, die Sie an öffentlichen oder halböffentlichen Orten bereitstellen, einschließlich der Informationen, die Sie auf Social Networking-Plattformen von Drittanbietern weitergeben, können auch von anderen Nutzern der Services und/oder Nutzern dieser Drittanbieter-Plattformen eingesehen werden, ohne Einschränkungen in Bezug auf deren Nutzung durch uns oder durch einen Drittanbieter. Die Aufnahme solcher Links durch uns bedeutet nicht, dass wir die Inhalte dieser Plattformen oder deren Eigentümer oder Betreiber unterstützen, es sei denn, dies ist in den Services ausdrücklich erwähnt.

Daten von Kindern

Die Services sind nicht für die Nutzung durch Kinder gedacht, und wir erfassen wissentlich keine personenbezogenen Daten von Kindern, die in Ihrem Land noch nicht volljährig sind. Wenn Sie die Eltern oder der Vormund eines Kindes sind, das uns seine personenbezogenen Daten zur Verfügung gestellt hat, können Sie sich über die unten angegebenen Kontaktdaten mit uns in Verbindung setzen, um die Löschung dieser Daten zu verlangen. Zum Zeitpunkt des Inkrafttretens dieser Datenschutzerklärung haben wir keine Kenntnis davon, dass wir personenbezogene Daten von Personen unter 16 Jahren „weitergeben" oder „verkaufen" (gemäß der Definition dieser Begriffe im geltenden Recht).

Hinweis zur Verwaltungs-App (app.artspace.berlin): Im Rahmen unserer zugangsbeschränkten Verwaltungs-App (siehe eigener Abschnitt weiter unten) verarbeiten wir gezielt personenbezogene Daten Minderjähriger zur Durchführung des Unterrichtsvertrags (insbesondere Vor- und Nachname, Geburtsdatum, Anwesenheits- und Buchungsdaten sowie eine ggf. von den Sorgeberechtigten erteilte Foto-Einwilligung). Diese Verarbeitung erfolgt ausschließlich auf Grundlage der Einwilligung bzw. des Vertrags der Sorgeberechtigten gemäß Art. 8 DSGVO. Eine Übermittlung dieser Daten an Dritte zu Werbe- oder Marketingzwecken findet nicht statt. Eine Weitergabe oder ein „Verkauf" personenbezogener Daten von Personen unter 16 Jahren findet ebenfalls nicht statt.

Sicherheit und Aufbewahrung Ihrer Daten

Bitte beachten Sie, dass keine Sicherheitsmaßnahmen perfekt oder undurchdringlich sind, und wir daher keine „perfekte Sicherheit" garantieren können. Zudem können auch Informationen, die Sie uns senden, während der Übertragung Risiken ausgesetzt sein. Wir empfehlen Ihnen, bei der Übermittlung sensibler oder vertraulicher Informationen an uns keine unsicheren Kanäle zu verwenden.

Wie lange wir Ihre personenbezogenen Daten aufbewahren, hängt von verschiedenen Faktoren ab. Dazu gehören beispielsweise die Frage, ob wir die Daten benötigen, um Ihr Konto zu verwalten, Ihnen Services zur Verfügung zu stellen, rechtlichen Verpflichtungen nachzukommen, Streitigkeiten beizulegen oder andere geltende Verträge und Richtlinien durchzusetzen.

Konkrete Aufbewahrungsfristen (insbesondere für die Verwaltungs-App):

  • Vertragsdaten (Eltern, Kind, Vertrag, Vertrags-PDF, IBAN/BIC): für die Dauer der Vertragsbeziehung sowie zehn Jahre nach Vertragsende gemäß § 257 Abs. 4 HGB / § 147 Abs. 3 AO.
  • Buchhaltungsrelevante Belege (Rechnungen, Mahnungen, Zahlungsnachweise): zehn Jahre.
  • Anwesenheits- und Buchungsdaten in der App: für die Dauer der Vertragsbeziehung sowie nachfolgend zur Dokumentation der Vertragsdurchführung; vorbehaltlich Ihrer Rechte nach Art. 17 und Art. 21 DSGVO.
  • Audit-Log über Verwaltungsvorgänge in der App: drei Jahre, sofern keine längere Aufbewahrung zur Verfolgung konkreter Sicherheitsvorfälle erforderlich ist.
  • Server-Log-Daten: maximal 30 Tage.
  • Token für Anmelde-Mails der App: bis zum Ablauf der jeweiligen Woche, anschließend automatische Löschung.
  • Kontaktanfragen ohne Vertragsbezug: bis zur abschließenden Bearbeitung, längstens zwölf Monate.
  • Daten auf Basis einer Einwilligung (z. B. Foto-Einwilligung): bis zum Widerruf der Einwilligung; bereits gedruckte Werbemittel sind hiervon ausgenommen.

Ihre Rechte und Möglichkeiten

Je nachdem, wo sich Ihr Wohnsitz befindet, haben Sie möglicherweise einige oder alle der unten aufgeführten Rechte in Bezug auf Ihre personenbezogene Daten. Diese Rechte sind jedoch nicht absolut, gelten möglicherweise nur unter bestimmten Umständen, und in bestimmten Fällen können wir Ihre Anfrage im gesetzlich zulässigen Rahmen ablehnen.

  • Recht auf Zugang/Auskunft. Sie haben möglicherweise das Recht, Einsicht in die personenbezogenen Daten zu verlangen, die wir über Sie gespeichert haben.
  • Recht auf Löschung. Sie haben möglicherweise das Recht, von uns die Löschung der über Sie gespeicherten personenbezogenen Daten zu verlangen.
  • Recht auf Berichtigung. Sie haben möglicherweise das Recht, von uns die Berichtigung fehlerhafter personenbezogenen Daten zu verlangen, die wir über Sie gespeichert haben.
  • Recht auf Datenübertragbarkeit. Sie haben möglicherweise das Recht, eine Kopie der personenbezogenen Daten, die wir über Sie gespeichert haben, zu erhalten und zu verlangen, dass wir sie unter bestimmten Umständen und mit bestimmten Ausnahmen an einen Dritten weitergeben.
  • Verwaltung von Kommunikationseinstellungen. Wir können Ihnen Werbe-E-Mails zusenden. Sie können dem Erhalt dieser E-Mails jederzeit widersprechen, indem Sie die Option zum Abbestellen nutzen, die in unseren E-Mails an Sie enthalten ist. Wenn Sie sich dagegen entscheiden, können wir Ihnen weiterhin nicht werbliche E-Mails schicken, z. B. über Ihr Konto oder über Bestellungen, die Sie getätigt haben.

Wenn Sie sich Ihr Wohnsitz im Vereinigten Königreich oder im Europäischen Wirtschaftsraum befindet, können Sie vorbehaltlich der Ausnahmen und Beschränkungen durch das lokale Recht zusätzlich zu den oben genannten Rechten die folgenden Rechte ausüben:

  • Recht auf Widerspruch und Recht auf Einschränkung der Verarbeitung. Sie haben möglicherweise das Recht, von uns zu verlangen, dass wir die Verarbeitung personenbezogener Daten für bestimmte Zwecke einstellen oder einschränken.
  • Widerruf der Einwilligung. Sofern wir uns auf eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten stützen, haben Sie das Recht, diese Einwilligung zu widerrufen. Wenn Sie Ihre Einwilligung widerrufen, hat dies keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung, die auf Ihrer Einwilligung vor dem Widerruf beruht.

Sie können diese Rechte ausüben, wenn dies in den Services entsprechend angegeben ist, oder indem Sie sich über die unten angegebenen Kontaktdaten mit uns in Verbindung setzen. Mehr Informationen darüber, wie Shopify Ihre personenbezogenen Daten verwendet und welche Rechte Sie haben, einschließlich der Rechte in Bezug auf die von Shopify verarbeiteten Daten, finden Sie unter https://privacy.shopify.com/en.

Durch die Ausübung dieser Rechte entstehen Ihnen keinerlei Nachteile. Sofern dies nach geltendem Recht zulässig oder erforderlich ist, müssen wir möglicherweise Ihre Identität überprüfen, bevor wir Ihre Anfragen verarbeiten können. In Übereinstimmung mit geltenden Gesetzen können Sie einen Bevollmächtigten benennen, der in Ihrem Namen Anfragen zur Ausübung Ihrer Rechte stellt. Bevor wir eine solche Anfrage von einem Vertreter annehmen, verlangen wir von diesem den Nachweis, dass Sie ihn bevollmächtigt haben, in Ihrem Namen zu handeln. Dabei kann es erforderlich sein, dass Sie Ihre Identität direkt uns gegenüber bestätigen müssen. Wir werden Ihre Anfrage im Rahmen des geltenden Rechts zügig beantworten.

Beschwerden

Wenn Sie Beschwerden darüber haben, wie wir Ihre personenbezogenen Daten verarbeiten, wenden Sie sich bitte über die unten angegebenen Kontaktdaten an uns. Je nachdem, wo sich Ihr Wohnsitz befindet, haben Sie das Recht, gegen unsere Entscheidung Einspruch zu erheben, indem Sie sich unter den unten angegebenen Kontaktdaten an uns wenden oder Ihre Beschwerde bei der zuständigen Datenschutzbehörde einreichen. Für den Europäischen Wirtschaftsraum gibt es eine Liste der zuständigen Datenschutzaufsichtsbehörden. Wenn Sie sich abrufen möchten, haben Sie hier die Möglichkeit dazu.

Zuständige Datenschutz-Aufsichtsbehörde für unseren Sitz (Berlin):
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59 – 61, 10555 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: www.datenschutz-berlin.de

Internationale Übertragungen

Beachten Sie, dass wir Ihre personenbezogenen Daten möglicherweise außerhalb des Landes, in dem sich Ihr Wohnsitz befindet, übertragen, speichern und verarbeiten.

Wenn wir Ihre personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs übermitteln, stützen wir uns auf anerkannte Übermittlungsmechanismen wie die Standardvertragsklauseln der Europäischen Kommission oder gleichwertige Verträge, die von der jeweils zuständigen Behörde des Vereinigten Königreichs herausgegeben werden, es sei denn, die Datenübermittlung erfolgt in ein Land, das nachweislich ein angemessenes Schutzniveau bietet.

Änderungen an dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um beispielsweise Änderungen unserer Verfahrensweisen zu berücksichtigen, oder aus anderen betrieblichen, rechtlichen oder regulatorischen Gründen. Wir veröffentlichen die überarbeitete Datenschutzerklärung auf dieser Website, passen das Datum der „Letzten Fassung" entsprechend an und machen die nach geltendem Recht erforderliche Mitteilung.

Ergänzende Hinweise zur Datenverarbeitung in der Verwaltungs-App (app.artspace.berlin)

Die nachfolgenden Angaben gelten ausschließlich für unsere zugangsbeschränkte Verwaltungs-App unter app.artspace.berlin, in der die laufende Vertragsdurchführung organisiert wird (Anmeldung zu Kursen, Anwesenheit, Vertragsverwaltung, Schulorganisation). Die App ist von Shopify und vom Online-Shop technisch getrennt. In der Verwaltungs-App findet kein Marketing, kein werbliches Tracking und keine personalisierte Werbung statt; es werden ausschließlich technisch notwendige Cookies bzw. lokale Speicher-Tokens für den Login eingesetzt (Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG).

Auftragsverarbeiter (Subprozessoren) für die App

Für den Betrieb der App nutzen wir die folgenden Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Mit allen genannten Anbietern haben wir Auftragsverarbeitungsverträge (Data Processing Addendums) abgeschlossen.

Anbieter Zweck Sitz / Verarbeitungsort Drittland
Supabase Inc.
(970 Toa Payoh North #07-04, Singapur 318992)		 Authentifizierung, Datenbank, Datei-Speicher (Vertrags-PDFs) Datenverarbeitung in Frankfurt am Main, Deutschland (AWS-Region eu-central-1) Hauptverarbeitung in der EU. Subprozessoren in Drittländern auf Basis der EU-Standardvertragsklauseln.
Vercel Inc.
(440 N Barranca Avenue #4133, Covina, CA 91723, USA)		 Hosting der App-Oberfläche, Edge-Auslieferung Edge-Auslieferung in Frankfurt am Main; Verwaltungsdaten in den USA USA — Übermittlung gestützt auf EU-Standardvertragsklauseln und ergänzende Maßnahmen.
Resend, Inc.
(2261 Market Street #5039, San Francisco, CA 94114, USA)		 Versand transaktionaler E-Mails (Vertragsbestätigung, Wochen-Einladung, Tagesreminder, Anmelde-Bestätigung) USA USA — Übermittlung gestützt auf EU-Standardvertragsklauseln.
Shopify International Ltd.
(Victoria Buildings, 2. Stock, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland)		 Übergabe von Bestelldaten via Webhook an die App (Käufer-Stammdaten, Kursangabe, Kind-Angabe) Irland / Kanada Standardvertragsklauseln; für Kanada Angemessenheitsbeschluss der EU-Kommission für kommerzielle Datenverarbeitungen.

In der App verarbeitete Datenkategorien

  • Eltern / Vertragspartner: Vor- und Nachname, Anschrift (Straße, Hausnummer, Postleitzahl, Stadt), E-Mail-Adresse, Telefonnummer, bevorzugter Benachrichtigungskanal.
  • SEPA-Lastschriftmandat (nur bei Abo-Vertrag): IBAN, BIC, Mandatsdatum. Die IBAN wird in der Benutzeroberfläche maskiert dargestellt; die Vollanzeige erfolgt nur im Vertrags-PDF.
  • Vertrags-PDF mit Unterschrift: Das beim Vertragsabschluss erzeugte PDF inklusive der digitalen Unterschrift wird in einem privaten, verschlüsselten Storage-Bucket bei Supabase gespeichert.
  • Kind-Stammdaten: Vor- und Nachname, Geburtsdatum sowie ggf. von den Sorgeberechtigten angegebene Notizen (z. B. Allergien).
  • Foto-Einwilligung: Status der Einwilligung pro Vertrag; eine Veröffentlichung im Internet, in sozialen Medien oder zu Werbezwecken erfolgt nur auf Grundlage einer hierfür gesondert zu erteilenden Einwilligung.
  • Vertragsdaten: Tarif, Preis, Kontingent, Status, Vertragslaufzeit.
  • Anwesenheits- und Buchungsdaten: Anmeldungen zu Kursterminen, An- und Abmeldungen, Anwesenheitsstatus.
  • Authentifizierungsdaten: E-Mail-Adresse, Passwort-Hash (das Klartextpasswort sehen wir zu keinem Zeitpunkt) sowie technische Sitzungsdaten.
  • Audit-Log: Datenverändernde Aktionen autorisierter Mitarbeiterinnen und Mitarbeiter (Akteurs-E-Mail, Aktion, Zeitstempel).
  • Bei Käufen über den Shop: Shopify-Bestellnummer als Zuordnungsmerkmal sowie die im Shop-Block genannten Kategorien.

Rechtsgrundlagen der Verarbeitung in der App

  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Unterrichtsvertrags und Durchführung vorvertraglicher Maßnahmen (z. B. Vertragsanlage, Anmeldung zum Kurs, Anwesenheitsverwaltung, Versand transaktionaler E-Mails).
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person (z. B. Foto-Einwilligung).
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung gesetzlicher Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO).
  • Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen (IT-Sicherheit, Betrugsprävention, Audit-Log, störungsfreier Betrieb).
  • Art. 8 DSGVO — Schutz von Kindern; die Verarbeitung von Daten Minderjähriger erfolgt auf Grundlage der elterlichen Einwilligung bzw. des Vertragsschlusses durch die Sorgeberechtigten.
  • Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO — sofern Bildaufnahmen ausnahmsweise besondere Kategorien personenbezogener Daten betreffen.

Datenfluss aus dem Online-Shop in die Verwaltungs-App

Wenn Sie im Shop ein Kurs- oder Camp-Produkt kaufen, übermittelt Shopify die für die Vertragsdurchführung notwendigen Daten (Käufer-Stammdaten, gekaufte Karte/Probestunde, Angaben zum teilnehmenden Kind, Bestellnummer) per signiertem Webhook (HMAC-SHA256) an unsere App. Dort wird automatisch ein Kunden-, Kind- und Vertragsdatensatz mit dem entsprechenden Kontingent angelegt. Sie erhalten anschließend eine Willkommens-E-Mail mit einem Link zur Terminauswahl. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Versand transaktionaler E-Mails (Resend)

Im Rahmen der Vertragsdurchführung versenden wir folgende E-Mails über den Dienstleister Resend:

  • Vertragsbestätigung mit Vertrags-PDF im Anhang nach Vertragsabschluss
  • Wöchentliche Kurseinladung (sonntags) mit Anmelde- und Absage-Buttons je Kind und Kurs
  • Tagesreminder am Vortag eines Kurses
  • Bestätigung erfolgter An- und Abmeldungen
  • Passwort-Setzen- und Passwort-Zurücksetzen-Mails

Resend speichert Versand-Metadaten (Empfänger, Zeitpunkt, Zustellstatus) zum Zweck des Zustellnachweises. Es findet kein Marketing-Versand und kein werbliches Tracking statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie für sicherheitsrelevante Mails Art. 6 Abs. 1 lit. f DSGVO.

Token-basierte Anmeldung über E-Mail-Links

Bei der wöchentlichen Einladungsmail und der Tagesreminder-Mail enthält der Mail-Link einen zufälligen, einmaligen Token, der dem Empfänger eine Anmeldung ohne erneutes Einloggen ermöglicht. Beim Aufruf eines solchen Links werden zur Sicherstellung der Identität die IP-Adresse (gekürzt um das letzte Oktett /24) und der User-Agent kurzfristig gespeichert. Diese Daten dienen ausschließlich der Betrugsprävention. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Tokens werden nach Ablauf der jeweiligen Woche automatisch gelöscht.

Cookies und Speicherung in der App

Die Verwaltungs-App verwendet ausschließlich technisch notwendige Cookies und vergleichbare Speicherungen (Local Storage), die für den Betrieb der Login- und Sitzungsverwaltung erforderlich sind (Authentifizierungstoken). Eine Einwilligung ist hierfür nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Es werden keine Tracking-, Analyse- oder Marketing-Cookies gesetzt.

Datensicherheit in der App

Wir setzen technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein, insbesondere:

  • Verschlüsselung sämtlicher Übertragungen mit TLS;
  • verschlüsselte Speicherung der Vertrags-PDFs durch Supabase;
  • strenge Zugriffskontrollen mittels rollenbasiertem Berechtigungssystem (Admin / Mitarbeiter / Kunde) und auf Datenbank-Ebene durchgesetzten Row-Level-Security-Regeln;
  • Speicherung von Passwörtern ausschließlich als Hash;
  • Maskierung der IBAN in der Bildschirmdarstellung;
  • regelmäßige Backups (Point-in-Time Recovery durch den Datenbank-Anbieter);
  • Audit-Log über alle datenverändernden Vorgänge;
  • Zugriff auf das Verwaltungs-Backend ausschließlich über persönliche, individuelle Zugänge.

Kontakt

Sollten Sie Fragen zu unseren Datenschutzverfahren oder dieser Datenschutzerklärung haben, oder wenn Sie eines der Ihnen zustehenden Rechte ausüben möchten, wenden Sie sich bitte telefonisch unter +49 1523 3837758, per E-Mail unter info@artspace.berlin oder per Post an Dahlmannstrasse 11, Berlin, 10629, DE an uns. Im Sinne der geltenden Datenschutzgesetze sind wir der Datenverantwortliche für Ihre personenbezogenen Daten.

Vollständige Anbieter-Angaben (DSGVO-Pflichtangaben):
Art Space Berlin GmbH, vertreten durch die Geschäftsführerin Yuliya Boldyrev
Dahlmannstraße 11, 10629 Berlin, Deutschland
Telefon: +49 1523 3837758
E-Mail: info@artspace.berlin
Eingetragen im Handelsregister beim Amtsgericht Berlin-Charlottenburg unter HRB 254473.
Umsatzsteuer-Identifikationsnummer gemäß § 27 a UStG: DE364341352.