Legal

STSSIS Limited Beta Privacy Policy

English

Version: v0.2
Effective date: 18 May 2026
Last updated: 18 May 2026

Controller: Justin Ivancic
Address: Kanonenstraße 57a, 45731 Waltrop, Germany
Contact: [email protected]
Privacy contact: [email protected]
Security contact: [email protected]

1. What This Privacy Policy Covers

This Privacy Policy explains how STSSIS processes personal data during the limited beta.

STSSIS is a small public-facing limited beta operated by one person. Access to account features may be invite-only, manually approved, limited, paused, capacity-restricted, or otherwise controlled during the beta.

STSSIS is for intentional still visual work and related public profile, publishing, discovery, and archive features. Users may be able to create accounts, verify email, set up profiles, upload still visual work, use private Library and Worktable features, publish posts, publish projects, publish Publications, use public or private discovery and saving features, submit reports, request exports, and request account deletion.

STSSIS is not currently a paid STSSIS service, marketplace, payment processor, direct-message service, newsletter service, advertising network, or broad commercial platform.

This Privacy Policy applies to public visitors, invited users, account holders, reporters, rights holders, people shown in images, and anyone who contacts STSSIS.

2. Controller

The controller responsible for personal data processed through STSSIS is:

Justin Ivancic
Kanonenstraße 57a
45731 Waltrop
Germany

E-mail: [email protected]

No separate data protection officer has been appointed for the limited beta.

3. Summary

STSSIS processes personal data to operate the website, provide account and publishing features, protect the service, handle reports and requests, and comply with legal obligations.

STSSIS does not currently use personal data for advertising, adtech, marketing pixels, heatmaps, session replay, fingerprinting, nonessential analytics, paid reach, face recognition, biometric identification, AI scoring, or automated final moderation decisions.

STSSIS uses one monitored human contact lane during the limited beta, with category aliases where available:

General contact: [email protected]
Privacy requests: [email protected]
Legal / DSA / rights contact: [email protected]
Security reports: [email protected]

4. Website Visits And Technical Logs

When you visit STSSIS, technical data may be processed automatically so the website can be delivered, protected, debugged, and maintained.

This may include:

IP address or proxy-related IP information;
date and time of access;
requested page or file;
HTTP method and status code;
referrer URL, if transmitted by your browser;
browser and user-agent information;
transferred data volume;
technical error logs;
security, rate-limit, and abuse-prevention logs.

Purposes:

delivering the website;
keeping the service secure;
detecting and fixing technical errors;
preventing abuse, spam, scraping, attacks, and unauthorized access;
maintaining operational records.

Legal basis:

Art. 6(1)(f) GDPR, legitimate interests in operating, securing, debugging, and maintaining the service;
Art. 6(1)(c) GDPR, where processing is necessary to comply with a legal obligation.

5. Accounts, Signup, Login, Invites, And Security

If you create or use an account, STSSIS may process account, signup, invite, login, and security data.

This may include:

username;
email address;
password hash;
signup date and account number or early-user marker where implemented;
age confirmation and legal-document acceptance records;
email verification status;
login, logout, session, email-change, and password-reset data;
signup acceptance, acknowledgement, receipt, and confirmation records for Terms, Privacy Policy, Community Rules, limited-beta acknowledgements, age confirmation, document version IDs, acceptance context, and published document hashes where available;
invite links, invite tokens, invite issuer, invite status, invite redemption records, and invite-related account linkage where used;
account status, restrictions, deletion status, capacity state, grants, badge visibility, account limits, and security notices;
rate-limit, abuse-prevention, and audit records.

Invite links and invite-related account grants are used to control beta access, account capacity, account status, and abuse prevention. Invite volume, account number, founder/limited-beta markers, Supporter/Pro-style test status, or similar account labels are not intended as public ranking, trust scoring, payment confirmation, moderation immunity, reach, or Editorial preference.

Purposes:

creating and managing accounts;
authenticating users;
verifying email addresses;
controlling invite-only or limited signup;
preventing account abuse and unauthorized access;
recording accepted legal-document versions;
handling account restrictions, deletion, grants, capacity, and security events.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship;
Art. 6(1)(f) GDPR, legitimate interests in secure operation, account integrity, invite control, abuse prevention, and auditability;
Art. 6(1)(c) GDPR, where processing is necessary for legal obligations.

6. Profiles, Public Metadata, And Discovery Preferences

If you create or edit a profile, STSSIS may process profile data.

This may include:

display name;
username;
bio, statement, About text, Calendar text, Contact text, or other profile text where available;
profile image;
profile links and platform links;
public art categories;
public profile tags;
public profile location or location labels where provided;
profile layout choices;
public badge or signup-number visibility settings where implemented;
public profile visibility and moderation state;
private discovery interests and browsing preferences.

Public profile fields may be visible to logged-out visitors and may be used for public browsing, profile pages, Search, Explore, Map, Editorial, Reading Room, and other public STSSIS surfaces where available.

Profile About, Calendar, and Contact pages are user-authored profile content. They may be visible to the owner while empty or unpublished, and visible to visitors only where the feature is available and the owner has published or provided public content. These pages may be searchable or discoverable where implementation allows and may be reported if they contain unsafe, misleading, private, or rights-infringing material.

Discovery interests and similar browsing preferences are different from public profile claims. They are used to shape the signed-in user’s own browsing experience where available. They are not advertising targeting, popularity scores, personality profiling, ranking promises, or public endorsement.

Purposes:

providing public profiles and optional profile subpages;
helping users present their work and context;
supporting public browsing and discovery features;
allowing signed-in users to control browsing preferences;
protecting people, rights, and the service through visibility and moderation controls.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship;
Art. 6(1)(f) GDPR, legitimate interests in operating public profile, discovery, safety, and browsing features.

7. Uploads, Library, Worktable, Posts, Projects, And Publications

If you upload, prepare, publish, edit, hide, delete, or otherwise manage work, STSSIS may process media, metadata, and publishing records.

This may include:

uploaded image files and processing records;
Library and Worktable records;
image derivatives, thumbnails, previews, covers, and display versions;
image metadata, captions, titles, dates, tags, public location labels, technical metadata, and private owner notes where available;
folders, drafts, trash/restore records, and publication events;
posts, projects, project text, project document structure, image arrangements, covers, captions, and public visibility states;
Publications, including uploaded PDF, private source PDF, rendered page images, thumbnails, covers, title, publication type, description, year, external links, download setting, processing status, and processing errors.

Public profiles, posts, projects, Publications, public metadata, public links, public Shelf pages where enabled, recommendations where enabled, public comments where enabled, and public location/map surfaces where enabled may be visible to logged-out visitors.

Private Library, Worktable, drafts, private notes, private derivatives, private source PDFs, export files, reports, appeals, and moderation evidence are not public pages.

Uploaded source files may be temporary processing inputs. STSSIS processes uploads into retained service files, records, thumbnails, previews, reader pages, and public/private display versions. STSSIS is not an original-file backup service.

Purposes:

providing upload, curation, publishing, profile, and Publication features;
processing still visual work and Publications into display versions;
rendering public and private STSSIS pages;
supporting export, deletion, moderation, safety, and abuse-prevention workflows;
maintaining service integrity and public/private media boundaries.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship;
Art. 6(1)(f) GDPR, legitimate interests in operating, securing, moderating, and maintaining the service;
Art. 6(1)(c) GDPR, where processing is necessary to comply with legal obligations.

8. Publications

Publications are PDF-based visual publications such as zines, photo books, catalogues, booklets, sketchbooks, or similar still visual works where the feature is available.

Publication source PDFs are private service files unless the creator enables public PDF download for that Publication. STSSIS may render page derivatives, covers, thumbnails, and reader views so the Publication can be displayed on STSSIS.

If public PDF download is enabled by the creator, anyone with the download URL may download the PDF through ordinary browser or device behavior. STSSIS does not treat signup, blocks, logged-in personalization, or account relationships as meaningful copy-protection for a public Publication download.

Publication uploaders should not use STSSIS as the only copy of a PDF, scan, publication master, layout source, contract, or contributor record.

Account-data export may include Publication metadata, page records, external-link records, and publication events where available. It does not promise source PDF export, rendered page-file export, public derivative paths, or original-file backup recovery.

9. Location Metadata, Public Map Points, And Exact GPS

Uploaded image files may contain location metadata, including exact GPS coordinates.

STSSIS aims to strip GPS and sensitive EXIF metadata from served public image derivatives.

Exact GPS is not ordinary public metadata. It should not appear in public media files, public Search, public feeds, ordinary public metadata, Open Graph data, sitemaps, logs, screenshots, ordinary evidence artifacts, or non-map public payloads.

The explicit public Map point endpoint and Map UI are the narrow exception. Where exact public Map placement is available and enabled for public, map-enabled work, exact coordinates may be shown through the Map surface if the owner has not hidden, deleted, edited, cleared, or replaced the location.

Where exact GPS can be read and the feature is enabled, STSSIS may retain it privately for the owner in a protected owner-private metadata layer. This private retention is intended to support owner control, location review, export/delete behavior, and safer future location features.

Public location display outside exact Map points should use only owner-confirmed public location modes, such as hidden, place/city label, region, or approximate area, depending on the controls available.

Public place labels, approximate areas, owner-enabled map points, and location-related metadata may be searchable or easier to discover through Search, Explore, Map, profile pages, post/project pages, or place/map feeds where available.

Owner account-data export may include retained private exact-location information where it exists. Processed image archive exports and public display images should remain exact-GPS-free unless a later reviewed export mode explicitly says otherwise.

Users remain responsible for visible image details, titles, captions, project text, profile text, links, tags, Publications, exact public Map placement, and simplified public location labels, because those can still expose sensitive places even when EXIF GPS is stripped.

STSSIS may hide, restrict, remove, or change public location display where needed for privacy, safety, rights, legal, moderation, or abuse-prevention reasons.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship where location features are part of the requested account and publishing features;
Art. 6(1)(f) GDPR, legitimate interests in operating archive, discovery, safety, moderation, and location-control features;
Art. 6(1)(c) GDPR, where processing is necessary for legal obligations.

10. Public Interactions, Saved Work, Comments, And Recommendations

Where these features are available, STSSIS may process public and private interaction records.

This may include:

follows and unfollows;
mutes and blocks;
Bookmarks;
private Collections;
public Shelf pages where the owner publishes selected Collections;
likes or similar private feedback where enabled;
comments, replies, comment deletion or hiding records, and comment reports where comments are enabled;
recommendations of public posts or projects where recommendations are enabled;
optional recommendation notes, undo/expiry state, delivery records, and reports about recommendation notes;
notification records and notification preferences.

Bookmarks and private Collections are private account features unless the owner deliberately publishes selected Collections to a public Shelf. Public Shelf content, Shelf titles, Shelf notes, comments, recommendation notes, public profile content, public location labels, and public work may be visible to others where enabled.

Recommendation notes, comments, Shelf framing, profile subpages, and similar user-authored material are separate from the original work they reference. A report or moderation action about a recommendation note, comment, or Shelf note does not automatically mean the original post, project, Publication, or image is also removed.

Mutes and blocks are safety and relationship controls. They are not intended as public profile claims.

Purposes:

providing social, saved-work, public curation, comment, recommendation, and notification features;
helping users manage what they follow, save, hide, or publish;
protecting users, visitors, rights holders, and the service;
preventing abuse, spam, harassment, impersonation, unsafe contact, and platform manipulation;
supporting moderation, reports, appeals, export, and deletion.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship;
Art. 6(1)(f) GDPR, legitimate interests in operating social, safety, moderation, abuse-prevention, notification, and account-integrity features;
Art. 6(1)(c) GDPR, where processing is necessary to comply with legal obligations.

11. Ephemeral Posts Where Available

Ephemeral posts are not active unless the feature is enabled.

Where ephemeral posting is available, STSSIS may process separate ephemeral upload, allowance, visibility, recovery, cleanup, report, moderation, legal-hold, export, and deletion records.

Ephemeral posts may be public for a limited time and then move into a private recovery state for a limited time before cleanup. The owner may be able to rescue retained processed files into Library or Worktable during the recovery window where available.

Ephemeral posts are still public content while public, and may still be reported, reviewed, restricted, preserved, or escalated where needed for illegal, unsafe, rights-infringing, privacy-invasive, moderation, abuse-prevention, or legal reasons. Expiry does not prevent STSSIS from keeping minimized non-public records where needed for reports, legal holds, safety, security, abuse prevention, deletion proof, audit, or disputes.

STSSIS should not be used as the only copy of ephemeral material.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship;
Art. 6(1)(f) GDPR, legitimate interests in operating, cleaning up, moderating, securing, and maintaining the service;
Art. 6(1)(c) GDPR, where processing is necessary for legal obligations.

12. Reports, Appeals, Contact Messages, And Moderation Records

If you report content, appeal a decision, contact STSSIS, submit a rights claim, submit an image/privacy complaint, raise a security issue, report invite abuse, report account-grant confusion, or make a deletion/export/privacy request, STSSIS may process the information you provide.

This may include:

your email address or account;
your name or username if provided;
the target URL or content location;
report category;
explanation and supporting information;
relationship to the affected person, creator, contributor, rights holder, or account;
good-faith confirmations;
follow-up messages;
moderation notices, appeal records, decision records, and review status;
limited evidence, snapshots, audit records, and action records where needed.

Reports, appeals, and contact messages are private operational records. They are not public posts.

STSSIS may process moderation records for public profiles, posts, projects, Publications, comments, recommendation notes, public Shelf pages, profile About/Calendar/Contact pages, public links, usernames, location labels, public Map points, invite abuse, account status, and other reportable surfaces where available.

Purposes:

receiving and responding to messages;
reviewing reports, rights claims, privacy complaints, appeals, security issues, and legal requests;
protecting users, visitors, rights holders, affected people, and the service;
keeping records needed for legal, safety, moderation, abuse-prevention, audit, dispute, or security reasons.

Legal basis:

Art. 6(1)(f) GDPR, legitimate interests in receiving, reviewing, and responding to reports and requests, and in protecting people, rights, and the service;
Art. 6(1)(c) GDPR, where processing is necessary to comply with legal obligations;
Art. 6(1)(b) GDPR, where the request relates to your account or service relationship.

Do not send passwords, private keys, raw illegal material, unnecessary sensitive media, exact GPS, identity documents, contracts, private addresses, private messages, or private documents unless STSSIS specifically asks for a minimized copy through an appropriate route.

13. Notifications And E-mail

STSSIS may provide in-app notifications and notification preferences where available.

In-app notifications may relate to account activity, comments, recommendations, reports, moderation, security, export, deletion, account status, or other service events where the feature exists. Ordinary in-app product notifications are not e-mail marketing.

STSSIS may send or display important account, verification, password reset, security, privacy, legal, export, deletion, moderation, or service messages through appropriate routes, including e-mail where needed.

STSSIS does not currently operate a newsletter or direct marketing e-mail service. If optional marketing, newsletter, digest, or promotional e-mails are added later, STSSIS will use an appropriate consent or legal basis and provide a way to withdraw consent where required.

Legal basis:

Art. 6(1)(b) GDPR, performance of the service relationship;
Art. 6(1)(f) GDPR, legitimate interests in secure operation, account integrity, communication, moderation, and abuse prevention;
Art. 6(1)(c) GDPR, where messages are necessary for legal obligations.

14. Exports And Account Deletion

STSSIS has different export concepts.

Account-data export is a structured owner-only export of account and service records where available.

Processed image archive export is a private archive of retained processed STSSIS image files and sidecar metadata where available. It is not original-file recovery and does not promise RAW files, master scans, source files, exact uploaded files, or source PDFs.

Publication download behavior is separate from account-data export and processed image archive export.

Exports may be asynchronous, limited, access-controlled, and time-limited. STSSIS may expire export files after a limited time.

A confirmed account deletion request deactivates the account and hides the public profile, posts, projects, Publications, public media, public comments, public Shelf pages, recommendations made by the account, and other public account surfaces as close to immediately as the implementation supports. Backend cleanup may continue afterward.

Some minimized non-public records may remain where needed for legal, security, abuse prevention, moderation, deletion proof, audit, operational, backup/restore, dispute, or other legitimate reasons.

Deletion does not guarantee immediate physical deletion from every log, backup, cache, CDN, provider system, restored copy, retained legal/security/moderation record, or already-copied public content.

Export before deleting if you want a copy.

15. Cookies And Local Storage

STSSIS currently uses only necessary or service-related cookies and local storage.

This may include:

session cookies for login and session state;
CSRF/security cookies used to protect forms and requests;
security or challenge cookies set by infrastructure providers where needed;
first-party browser storage for user-requested or service-related features, such as local editor draft recovery where enabled;
temporary message, upload, preference, or interface state where needed to provide the requested service.

STSSIS does not currently use analytics cookies, advertising cookies, marketing pixels, heatmaps, session replay, fingerprinting, or nonessential tracking storage.

Because STSSIS currently uses only necessary or service-related cookies/storage, it does not currently show a cookie banner. If nonessential cookies or tracking storage are added later, STSSIS will add a consent mechanism before activating them.

16. Providers And Recipients

STSSIS uses external providers where needed to host, deliver, protect, maintain, store, process, and communicate about the service.

Provider categories may include:

hosting/server infrastructure;
database and runtime infrastructure;
DNS, TLS, CDN, and security proxy services;
public media storage;
private media, export, and backup storage;
map asset delivery through STSSIS-controlled map or media domains where the Map is available;
e-mail and contact services;
optional monitoring or error reporting if enabled.

Current known providers include:

Hetzner Cloud for server infrastructure;
Cloudflare for DNS, traffic routing, TLS/security functions, CDN/security proxy functions, map or media asset delivery where used, and Cloudflare R2 object storage for public media, private media, exports, or backups where used by the service;
Proton for e-mail and contact services.

When the Map is used, map display assets may be delivered through STSSIS-controlled domains using Cloudflare/R2 or similar infrastructure. Cloudflare may process technical request data for delivery, security, caching, and abuse prevention.

External providers may act as processors or independent controllers depending on the service and context. Their own privacy terms may also apply to account, billing, security, abuse-prevention, or compliance data.

STSSIS does not currently use advertising networks, marketing analytics, payment providers, newsletter providers, nonessential tracking providers, or third-party support/chat widgets for the limited beta.

17. International Transfers

STSSIS tries to use EU/EEA processing where practical.

Some providers used by STSSIS are based outside the EU/EEA or may use infrastructure, support teams, subprocessors, or legal entities outside the EU/EEA. This may include, depending on the provider and configuration, Switzerland, the United States, or other countries.

For Switzerland, the European Commission has adopted an adequacy decision, meaning transfers from the EU/EEA to Switzerland generally do not require additional transfer safeguards.

For transfers to the United States or other countries without a generally applicable adequacy decision, STSSIS relies on the applicable transfer mechanisms offered by the relevant provider, such as participation in the EU-U.S. Data Privacy Framework where applicable, standard contractual clauses, and supplementary safeguards where required.

Copies or summaries of relevant safeguards may be requested by contacting STSSIS at [email protected], unless disclosure is restricted by law, confidentiality, or security reasons.

18. Retention

STSSIS keeps personal data only as long as needed for the purposes described in this Privacy Policy, unless a longer period is required or allowed by law.

Retention depends on the type of data, account state, publication state, export expiry, deletion status, moderation or legal needs, security needs, abuse-prevention needs, backup/restore windows, provider settings, and legal obligations.

Examples:

account and profile data are kept while the account exists and as needed afterward for deletion, legal, security, abuse-prevention, moderation, audit, or dispute reasons;
invite, grant, account-status, badge, and capacity records are kept while needed for account operation, audit, abuse prevention, correction, legal, security, billing-readiness, or dispute reasons;
public content is kept while it remains public or otherwise retained by the account owner, unless removed, hidden, deleted, expired, or restricted;
private Library, Worktable, draft, note, folder, saved-work, and media records are kept while needed for the account and service features, unless deleted, cleaned up, or retained for justified reasons;
uploaded source files may be temporary processing inputs; retained STSSIS derivatives and records may remain according to the feature and account state;
Publication source PDFs may be retained privately for the Publication feature and public download only if enabled by the creator;
ephemeral files and records, where the feature is available, may expire and be cleaned up after their public/recovery lifecycle unless rescued, reported, legally held, or otherwise retained for justified reasons;
export files may expire after a limited time;
comments, recommendations, notifications, saved-work records, and interaction records are kept while needed for the feature and as needed afterward for export, deletion, moderation, legal, safety, security, audit, abuse-prevention, or dispute reasons;
reports, appeals, moderation records, deletion proof, and security records may be kept where needed for legal, safety, moderation, abuse-prevention, audit, dispute, or security reasons;
contact e-mails are kept as long as needed to handle the message and any follow-up, then deleted or minimized unless legal, security, documentation, or dispute reasons require longer retention;
technical logs, rate-limit records, audit logs, and abuse-prevention records are kept as long as needed for operation, security, troubleshooting, abuse prevention, investigation, documentation, or legal obligations;
backups and provider-side records are retained according to operational need, provider settings, restore requirements, legal obligations, and deletion-replay safeguards.

Fixed retention windows should not be assumed unless STSSIS publishes them for a specific data category.

19. Security

STSSIS uses technical and organizational measures intended to protect personal data against unauthorized access, loss, misuse, or alteration.

These may include HTTPS transport encryption, access controls, secure session settings, CSRF protection, rate limits, private/public media separation, audit logging, and operational security checks.

Access to private Library, Worktable, draft, export, deleted, moderation-hidden, private-note/folder, or exact-location data should be limited to what is needed for operation, support, security, legal, privacy, moderation, export, deletion, and maintenance.

No internet service can be guaranteed to be completely secure. STSSIS aims to keep processing proportionate to the limited beta and to limit access to what is needed for the service.

20. Whether You Must Provide Personal Data

You are not legally required to provide personal data merely to browse public STSSIS pages. Some technical data is necessary to deliver the website and protect the service.

If you create an account, provide an email address, use an invite, upload work, publish content, save work, comment, recommend, submit reports, request export/deletion, or contact STSSIS, the related data is needed to provide or handle those features.

If you choose to publish profile data, posts, projects, Publications, metadata, links, Shelf pages, comments, recommendation notes, public Map points, or other public content where enabled, that information may become public.

21. Special Categories And Sensitive Information

STSSIS is not designed to collect sensitive personal data as a main purpose.

However, user content, images, Publications, comments, recommendation notes, profile text, links, location information, reports, or contact messages may reveal sensitive information, such as health, religion, political views, union membership, sexuality, ethnicity, exact location, information about minors, or information about vulnerable people.

Do not upload, publish, or send unnecessary sensitive personal data. If you choose to publish sensitive information about yourself or others, you are responsible for having the rights, permissions, consent, or other lawful basis needed to do so.

STSSIS may process sensitive information where it is part of content you publish, a report you submit, a legal/safety issue, a privacy request, or another request that must be reviewed. STSSIS may restrict, hide, delete, or preserve minimized records of such information where appropriate.

22. Your GDPR Rights

Under the GDPR, you may have the right to:

request access to personal data processed about you;
request correction of inaccurate data;
request deletion of data;
request restriction of processing;
request data portability where applicable;
object to processing based on legitimate interests;
withdraw consent where processing is based on consent;
lodge a complaint with a data protection supervisory authority.

To exercise your rights, contact:

[email protected]

STSSIS may need to verify your identity or account control before responding to a request.

STSSIS will respond to data protection requests without undue delay and normally within one month, unless the GDPR allows an extension.

23. Right To Object

Where STSSIS processes personal data based on Art. 6(1)(f) GDPR, legitimate interests, you have the right to object to that processing at any time on grounds relating to your particular situation.

If you object, STSSIS will no longer process the relevant personal data unless there are compelling legitimate grounds for the processing that override your interests, rights, and freedoms, or unless the processing is needed for the establishment, exercise, or defence of legal claims.

STSSIS does not currently use personal data for direct marketing.

24. Supervisory Authority

You may lodge a complaint with a data protection supervisory authority.

For North Rhine-Westphalia, the supervisory authority is:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Germany

Telephone: +49 211 38424-0
E-mail: [email protected]
Website: www.ldi.nrw.de

You may also contact another competent supervisory authority.

25. No Automated Decision-Making

STSSIS does not currently use automated decision-making within the meaning of Art. 22 GDPR.

STSSIS also does not currently use automated final moderation, automated user scoring, AI-assisted public ranking, face recognition, biometric identification, person search, or sensitive-trait inference.

26. Changes To This Privacy Policy

STSSIS may update this Privacy Policy when the service, provider setup, legal requirements, or limited-beta scope changes.

The “Last updated” date at the top of this page shows when this Privacy Policy was last changed.

Deutsch

STSSIS Datenschutzerklärung für die begrenzte Beta

Version: v0.2
Gültig ab: 18. Mai 2026
Zuletzt aktualisiert: 18. Mai 2026

Verantwortlicher: Justin Ivancic
Anschrift: Kanonenstraße 57a, 45731 Waltrop, Deutschland
Kontakt: [email protected]
Datenschutzkontakt: [email protected]
Sicherheitskontakt: [email protected]

1. Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung erläutert, wie STSSIS personenbezogene Daten während der begrenzten Beta verarbeitet.

STSSIS ist eine kleine, öffentlich ausgerichtete begrenzte Beta, die von einer einzelnen Person betrieben wird. Der Zugang zu Account-Funktionen kann während der Beta einladungsbasiert, manuell freigegeben, begrenzt, pausiert, kapazitätsbeschränkt oder anderweitig gesteuert sein.

STSSIS ist für bewusst erstellte unbewegte visuelle Arbeiten sowie damit verbundene öffentliche Profil-, Veröffentlichungs-, Entdeckungs- und Archivfunktionen bestimmt. Nutzer können gegebenenfalls Accounts erstellen, E-Mail-Adressen verifizieren, Profile einrichten, unbewegte visuelle Arbeiten hochladen, private Library- und Worktable-Funktionen nutzen, Posts veröffentlichen, Projekte veröffentlichen, Publications veröffentlichen, öffentliche oder private Entdeckungs- und Speicherfunktionen nutzen, Meldungen einreichen, Exporte anfordern und die Löschung ihres Accounts beantragen.

STSSIS ist derzeit kein kostenpflichtiger STSSIS-Dienst, kein Marktplatz, kein Zahlungsdienstleister, kein Dienst für Direktnachrichten, kein Newsletter-Dienst, kein Werbenetzwerk und keine breite kommerzielle Plattform.

Diese Datenschutzerklärung gilt für Besucher öffentlich zugänglicher Bereiche, eingeladene Nutzer, Account-Inhaber, meldende Personen, Rechteinhaber, in Bildern abgebildete Personen sowie alle Personen, die STSSIS kontaktieren.

2. Verantwortlicher

Der für die Verarbeitung personenbezogener Daten über STSSIS Verantwortliche ist:

Justin Ivancic
Kanonenstraße 57a
45731 Waltrop
Deutschland

E-Mail: [email protected]

Für die begrenzte Beta wurde kein separater Datenschutzbeauftragter bestellt.

3. Zusammenfassung

STSSIS verarbeitet personenbezogene Daten, um die Website zu betreiben, Account- und Veröffentlichungsfunktionen bereitzustellen, den Dienst zu schützen, Meldungen und Anfragen zu bearbeiten und rechtliche Verpflichtungen zu erfüllen.

STSSIS verwendet personenbezogene Daten derzeit nicht für Werbung, Adtech, Marketing-Pixel, Heatmaps, Session Replay, Fingerprinting, nicht erforderliche Analysezwecke, bezahlte Reichweite, Gesichtserkennung, biometrische Identifizierung, KI-Scoring oder automatisierte abschließende Moderationsentscheidungen.

Während der begrenzten Beta verwendet STSSIS einen überwachten menschlichen Kontaktweg mit Kategorie-Aliasen, soweit verfügbar:

Allgemeiner Kontakt: [email protected]
Datenschutzanfragen: [email protected]
Rechtliche / DSA- / Rechteanfragen: [email protected]
Sicherheitsmeldungen: [email protected]

4. Websitebesuche und technische Protokolle

Wenn Sie STSSIS besuchen, können technische Daten automatisch verarbeitet werden, damit die Website ausgeliefert, geschützt, zur Fehleranalyse genutzt und gewartet werden kann.

Hierzu können gehören:

IP-Adresse oder proxybezogene IP-Informationen;
Datum und Uhrzeit des Zugriffs;
angeforderte Seite oder Datei;
HTTP-Methode und Statuscode;
Referrer-URL, sofern sie von Ihrem Browser übermittelt wird;
Browser- und User-Agent-Informationen;
übertragenes Datenvolumen;
technische Fehlerprotokolle;
Sicherheits-, Rate-Limit- und Missbrauchspräventionsprotokolle.

Zwecke:

Auslieferung der Website;
Gewährleistung der Sicherheit des Dienstes;
Erkennung und Behebung technischer Fehler;
Verhinderung von Missbrauch, Spam, Scraping, Angriffen und unbefugtem Zugriff;
Führung betrieblicher Aufzeichnungen.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Betrieb, an der Absicherung, an der Fehleranalyse und an der Wartung des Dienstes;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

5. Accounts, Registrierung, Login, Einladungen und Sicherheit

Wenn Sie einen Account erstellen oder nutzen, kann STSSIS Account-, Registrierungs-, Einladungs-, Login- und Sicherheitsdaten verarbeiten.

Hierzu können gehören:

Nutzername;
E-Mail-Adresse;
Passwort-Hash;
Registrierungsdatum und Account-Nummer oder Early-User-Kennzeichnung, soweit implementiert;
Aufzeichnungen über Altersbestätigung und Annahme rechtlicher Dokumente;
Status der E-Mail-Verifizierung;
Login-, Logout-, Sitzungs-, E-Mail-Änderungs- und Passwortzurücksetzungsdaten;
Registrierungsnachweise zu Zustimmung, Kenntnisnahme, Empfang und Bestätigung für Nutzungsbedingungen, Datenschutzerklärung, Community-Regeln, Bestätigungen zur begrenzten Beta, Altersbestätigung, Dokumentversions-IDs, Zustimmungskontext und veröffentlichte Dokument-Hashes, soweit verfügbar;
Einladungslinks, Einladungstokens, Einladungsaussteller, Einladungsstatus, Einlösungsnachweise und einladungsbezogene Account-Verknüpfungen, soweit verwendet;
Account-Status, Beschränkungen, Löschstatus, Kapazitätsstatus, Grants, Sichtbarkeit von Badges, Account-Limits und Sicherheitshinweise;
Rate-Limit-, Missbrauchspräventions- und Audit-Aufzeichnungen.

Einladungslinks und einladungsbezogene Account-Grants werden verwendet, um Beta-Zugang, Account-Kapazität, Account-Status und Missbrauchsprävention zu steuern. Einladungsvolumen, Account-Nummer, Founder-/Limited-Beta-Kennzeichnungen, Supporter-/Pro-artiger Teststatus oder ähnliche Account-Labels sind nicht als öffentliches Ranking, Trust-Scoring, Zahlungsbestätigung, Moderationsimmunität, Reichweite oder Editorial-Bevorzugung gedacht.

Zwecke:

Erstellung und Verwaltung von Accounts;
Authentifizierung von Nutzern;
Verifizierung von E-Mail-Adressen;
Steuerung einladungsbasierter oder begrenzter Registrierung;
Verhinderung von Account-Missbrauch und unbefugtem Zugriff;
Aufzeichnung akzeptierter Versionen rechtlicher Dokumente;
Bearbeitung von Account-Beschränkungen, Löschung, Grants, Kapazität und Sicherheitsereignissen.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am sicheren Betrieb, an Account-Integrität, Einladungskontrolle, Missbrauchsprävention und Nachvollziehbarkeit;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung für rechtliche Verpflichtungen erforderlich ist.

6. Profile, öffentliche Metadaten und Discovery-Präferenzen

Wenn Sie ein Profil erstellen oder bearbeiten, kann STSSIS Profildaten verarbeiten.

Hierzu können gehören:

Anzeigename;
Nutzername;
Bio, Statement, About-Text, Calendar-Text, Contact-Text oder sonstige Profiltexte, soweit verfügbar;
Profilbild;
Profillinks und Plattformlinks;
öffentliche Kunstkategorien;
öffentliche Profil-Tags;
öffentlicher Profilstandort oder Standortlabels, soweit angegeben;
Profil-Layout-Auswahl;
Einstellungen zur Sichtbarkeit öffentlicher Badges oder Registrierungsnummern, soweit implementiert;
öffentliche Profilsichtbarkeit und Moderationsstatus;
private Discovery-Interessen und Browsing-Präferenzen.

Öffentliche Profilfelder können für ausgeloggte Besucher sichtbar sein und für öffentliches Browsing, Profilseiten, Search, Explore, Map, Editorial, Reading Room und andere öffentliche STSSIS-Oberflächen verwendet werden, soweit verfügbar.

Profilseiten für About, Calendar und Contact sind nutzergenerierte Profilinhalte. Sie können für den Inhaber sichtbar sein, solange sie leer oder unveröffentlicht sind, und für Besucher nur sichtbar sein, wenn die Funktion verfügbar ist und der Inhaber öffentliche Inhalte veröffentlicht oder bereitgestellt hat. Diese Seiten können, soweit die Implementierung dies ermöglicht, durchsuchbar oder auffindbar sein und gemeldet werden, wenn sie unsichere, irreführende, private oder rechtsverletzende Inhalte enthalten.

Discovery-Interessen und ähnliche Browsing-Präferenzen unterscheiden sich von öffentlichen Profilangaben. Sie werden, soweit verfügbar, verwendet, um das eigene Browsing-Erlebnis des eingeloggten Nutzers zu gestalten. Sie sind keine Werbezielgruppensteuerung, Popularitätsbewertungen, Persönlichkeitsprofile, Ranking-Zusagen oder öffentliche Empfehlungen.

Zwecke:

Bereitstellung öffentlicher Profile und optionaler Profil-Unterseiten;
Unterstützung von Nutzern bei der Darstellung ihrer Arbeiten und ihres Kontexts;
Unterstützung öffentlicher Browsing- und Discovery-Funktionen;
Ermöglichung der Steuerung von Browsing-Präferenzen durch eingeloggte Nutzer;
Schutz von Personen, Rechten und dem Dienst durch Sichtbarkeits- und Moderationskontrollen.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Betrieb öffentlicher Profil-, Discovery-, Sicherheits- und Browsing-Funktionen.

7. Uploads, Library, Worktable, Posts, Projekte und Publications

Wenn Sie Arbeiten hochladen, vorbereiten, veröffentlichen, bearbeiten, verbergen, löschen oder anderweitig verwalten, kann STSSIS Medien-, Metadaten- und Veröffentlichungsaufzeichnungen verarbeiten.

Hierzu können gehören:

hochgeladene Bilddateien und Verarbeitungsaufzeichnungen;
Library- und Worktable-Aufzeichnungen;
Bildderivate, Thumbnails, Vorschaubilder, Cover und Anzeigeversionen;
Bildmetadaten, Bildunterschriften, Titel, Datumsangaben, Tags, öffentliche Standortlabels, technische Metadaten und private Notizen des Inhabers, soweit verfügbar;
Ordner, Entwürfe, Papierkorb-/Wiederherstellungsaufzeichnungen und Veröffentlichungsereignisse;
Posts, Projekte, Projekttexte, Projektdokumentstruktur, Bildanordnungen, Cover, Bildunterschriften und öffentliche Sichtbarkeitszustände;
Publications, einschließlich hochgeladener PDF-Datei, privater Quell-PDF, gerenderter Seitenbilder, Thumbnails, Cover, Titel, Publication-Typ, Beschreibung, Jahr, externer Links, Download-Einstellung, Verarbeitungsstatus und Verarbeitungsfehler.

Öffentliche Profile, Posts, Projekte, Publications, öffentliche Metadaten, öffentliche Links, öffentliche Shelf-Seiten, soweit aktiviert, Empfehlungen, soweit aktiviert, öffentliche Kommentare, soweit aktiviert, und öffentliche Standort-/Kartenoberflächen, soweit aktiviert, können für ausgeloggte Besucher sichtbar sein.

Private Library, Worktable, Entwürfe, private Notizen, private Derivate, private Quell-PDFs, Exportdateien, Meldungen, Einsprüche und Moderationsnachweise sind keine öffentlichen Seiten.

Hochgeladene Quelldateien können temporäre Eingaben für die Verarbeitung sein. STSSIS verarbeitet Uploads zu gespeicherten Dienstdateien, Aufzeichnungen, Thumbnails, Vorschaubildern, Reader-Seiten sowie öffentlichen und privaten Anzeigeversionen. STSSIS ist kein Backup-Dienst für Originaldateien.

Zwecke:

Bereitstellung von Upload-, Kurations-, Veröffentlichungs-, Profil- und Publication-Funktionen;
Verarbeitung unbewegter visueller Arbeiten und Publications zu Anzeigeversionen;
Darstellung öffentlicher und privater STSSIS-Seiten;
Unterstützung von Export-, Lösch-, Moderations-, Sicherheits- und Missbrauchspräventionsabläufen;
Wahrung der Dienstintegrität und der Grenzen zwischen öffentlichen und privaten Medien.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Betrieb, an der Absicherung, Moderation und Wartung des Dienstes;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erforderlich ist.

8. Publications

Publications sind PDF-basierte visuelle Veröffentlichungen wie Zines, Fotobücher, Kataloge, Broschüren, Skizzenbücher oder ähnliche unbewegte visuelle Arbeiten, soweit diese Funktion verfügbar ist.

Publication-Quell-PDFs sind private Dienstdateien, sofern der Ersteller den öffentlichen PDF-Download für die jeweilige Publication nicht aktiviert. STSSIS kann Seitenderivate, Cover, Thumbnails und Reader-Ansichten rendern, damit die Publication auf STSSIS angezeigt werden kann.

Wenn der öffentliche PDF-Download durch den Ersteller aktiviert wird, kann jede Person mit der Download-URL die PDF-Datei über gewöhnliches Browser- oder Geräteverhalten herunterladen. STSSIS behandelt Registrierung, Blocks, eingeloggte Personalisierung oder Account-Beziehungen nicht als sinnvollen Kopierschutz für den öffentlichen Download einer Publication.

Uploader von Publications sollten STSSIS nicht als einzige Kopie einer PDF, eines Scans, eines Publication-Masters, einer Layout-Quelldatei, eines Vertrags oder eines Mitwirkendenverzeichnisses verwenden.

Der Account-Datenexport kann, soweit verfügbar, Publication-Metadaten, Seitenaufzeichnungen, Aufzeichnungen zu externen Links und Veröffentlichungsereignisse enthalten. Er verspricht keinen Export von Quell-PDFs, gerenderten Seitendateien, öffentlichen Derivatpfaden oder eine Backup-Wiederherstellung von Originaldateien.

9. Standortmetadaten, öffentliche Map-Punkte und exakte GPS-Daten

Hochgeladene Bilddateien können Standortmetadaten enthalten, einschließlich exakter GPS-Koordinaten.

STSSIS beabsichtigt, GPS- und sensible EXIF-Metadaten aus öffentlich ausgelieferten Bildderivaten zu entfernen.

Exakte GPS-Daten sind keine gewöhnlichen öffentlichen Metadaten. Sie sollten nicht in öffentlichen Mediendateien, öffentlicher Search, öffentlichen Feeds, gewöhnlichen öffentlichen Metadaten, Open-Graph-Daten, Sitemaps, Protokollen, Screenshots, gewöhnlichen Nachweisartefakten oder nicht-kartenbezogenen öffentlichen Antwortdaten erscheinen.

Der ausdrücklich öffentliche Map-Point-Endpunkt und die Map-Oberfläche bilden die enge Ausnahme. Wo eine exakte öffentliche Map-Platzierung verfügbar und für öffentliche, mapfähige Arbeiten aktiviert ist, können exakte Koordinaten über die Map-Oberfläche angezeigt werden, sofern der Inhaber den Standort nicht verborgen, gelöscht, bearbeitet, geleert oder ersetzt hat.

Soweit exakte GPS-Daten ausgelesen werden können und die Funktion aktiviert ist, kann STSSIS diese privat für den Inhaber in einer geschützten, nur für den Inhaber bestimmten privaten Metadatenebene speichern. Diese private Speicherung soll Inhaberkontrolle, Standortprüfung, Export-/Löschverhalten und sicherere zukünftige Standortfunktionen unterstützen.

Die öffentliche Standortanzeige außerhalb exakter Map-Punkte sollte nur vom Inhaber bestätigte öffentliche Standortmodi verwenden, etwa verborgen, Orts-/Stadtlabel, Region oder ungefährer Bereich, abhängig von den jeweils verfügbaren Kontrollen.

Öffentliche Ortslabels, ungefähre Bereiche, vom Inhaber aktivierte Map-Punkte und standortbezogene Metadaten können über Search, Explore, Map, Profilseiten, Post-/Projektseiten oder Orts-/Map-Feeds durchsuchbar oder leichter auffindbar sein, soweit verfügbar.

Der Account-Datenexport des Inhabers kann gespeicherte private Informationen über exakte Standorte enthalten, soweit solche Informationen vorhanden sind. Verarbeitete Bildarchiv-Exporte und öffentliche Anzeigebilder sollten frei von exakten GPS-Daten bleiben, sofern ein später überprüfter Exportmodus nicht ausdrücklich etwas anderes angibt.

Nutzer bleiben für sichtbare Bilddetails, Titel, Bildunterschriften, Projekttexte, Profiltexte, Links, Tags, Publications, exakte öffentliche Map-Platzierung und vereinfachte öffentliche Standortlabels verantwortlich, da diese sensible Orte auch dann offenlegen können, wenn EXIF-GPS-Daten entfernt wurden.

STSSIS kann öffentliche Standortanzeigen verbergen, beschränken, entfernen oder ändern, soweit dies aus Datenschutz-, Sicherheits-, Rechte-, Rechts-, Moderations- oder Missbrauchspräventionsgründen erforderlich ist.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses, soweit Standortfunktionen Teil der angeforderten Account- und Veröffentlichungsfunktionen sind;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Betrieb von Archiv-, Discovery-, Sicherheits-, Moderations- und Standortkontrollfunktionen;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung für rechtliche Verpflichtungen erforderlich ist.

10. Öffentliche Interaktionen, gespeicherte Arbeiten, Kommentare und Empfehlungen

Soweit diese Funktionen verfügbar sind, kann STSSIS öffentliche und private Interaktionsaufzeichnungen verarbeiten.

Hierzu können gehören:

Folgen und Entfolgen;
Mutes und Blocks;
Bookmarks;
private Collections;
öffentliche Shelf-Seiten, soweit der Inhaber ausgewählte Collections veröffentlicht;
Likes oder ähnliches privates Feedback, soweit aktiviert;
Kommentare, Antworten, Aufzeichnungen über Löschung oder Verbergen von Kommentaren und Kommentarmeldungen, soweit Kommentare aktiviert sind;
Empfehlungen öffentlicher Posts oder Projekte, soweit Empfehlungen aktiviert sind;
optionale Empfehlungshinweise, Rücknahme-/Ablaufstatus, Zustellungsaufzeichnungen und Meldungen über Empfehlungshinweise;
Benachrichtigungsaufzeichnungen und Benachrichtigungseinstellungen.

Bookmarks und private Collections sind private Account-Funktionen, sofern der Inhaber nicht ausgewählte Collections bewusst auf einer öffentlichen Shelf veröffentlicht. Öffentliche Shelf-Inhalte, Shelf-Titel, Shelf-Notizen, Kommentare, Empfehlungshinweise, öffentliche Profilinhalte, öffentliche Standortlabels und öffentliche Arbeiten können, soweit aktiviert, für andere sichtbar sein.

Empfehlungshinweise, Kommentare, Shelf-Einordnungen, Profil-Unterseiten und ähnliches nutzergeneriertes Material sind von der ursprünglichen Arbeit, auf die sie sich beziehen, getrennt. Eine Meldung oder Moderationsmaßnahme bezüglich eines Empfehlungshinweises, Kommentars oder einer Shelf-Notiz bedeutet nicht automatisch, dass auch der ursprüngliche Post, das Projekt, die Publication oder das Bild entfernt wird.

Mutes und Blocks sind Sicherheits- und Beziehungskontrollen. Sie sind nicht als öffentliche Profilangaben gedacht.

Zwecke:

Bereitstellung sozialer Funktionen, gespeicherter Arbeiten, öffentlicher Kuration, Kommentar-, Empfehlungs- und Benachrichtigungsfunktionen;
Unterstützung von Nutzern bei der Verwaltung dessen, was sie folgen, speichern, verbergen oder veröffentlichen;
Schutz von Nutzern, Besuchern, Rechteinhabern und dem Dienst;
Verhinderung von Missbrauch, Spam, Belästigung, Identitätsmissbrauch, unsicherer Kontaktaufnahme und Plattformmanipulation;
Unterstützung von Moderation, Meldungen, Einsprüchen, Export und Löschung.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Betrieb sozialer, sicherheitsbezogener, moderationsbezogener, missbrauchspräventiver, benachrichtigungsbezogener und accountintegritätsbezogener Funktionen;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erforderlich ist.

11. Ephemeral Posts, soweit verfügbar

Ephemeral Posts sind nicht aktiv, solange die Funktion nicht aktiviert ist.

Soweit Ephemeral Posting verfügbar ist, kann STSSIS gesonderte Aufzeichnungen zu ephemeren Uploads, Kontingenten, Sichtbarkeit, Wiederherstellung, Bereinigung, Meldungen, Moderation, Legal Holds, Export und Löschung verarbeiten.

Ephemeral Posts können für eine begrenzte Zeit öffentlich sein und anschließend für eine begrenzte Zeit in einen privaten Wiederherstellungsstatus übergehen, bevor sie bereinigt werden. Der Inhaber kann während des Wiederherstellungsfensters gegebenenfalls gespeicherte verarbeitete Dateien in Library oder Worktable retten, soweit verfügbar.

Ephemeral Posts sind weiterhin öffentliche Inhalte, solange sie öffentlich sind, und können weiterhin gemeldet, geprüft, beschränkt, aufbewahrt oder eskaliert werden, soweit dies wegen illegaler, unsicherer, rechtsverletzender, datenschutzverletzender, moderationsbezogener, missbrauchspräventiver oder rechtlicher Gründe erforderlich ist. Der Ablauf verhindert nicht, dass STSSIS minimierte nicht öffentliche Aufzeichnungen aufbewahrt, soweit dies für Meldungen, Legal Holds, Sicherheit, Dienstsicherheit, Missbrauchsprävention, Löschungsnachweise, Audits oder Streitigkeiten erforderlich ist.

STSSIS sollte nicht als einzige Kopie ephemeren Materials verwendet werden.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Betrieb, an der Bereinigung, Moderation, Absicherung und Wartung des Dienstes;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung für rechtliche Verpflichtungen erforderlich ist.

12. Meldungen, Einsprüche, Kontaktmitteilungen und Moderationsaufzeichnungen

Wenn Sie Inhalte melden, gegen eine Entscheidung Einspruch einlegen, STSSIS kontaktieren, einen Rechteanspruch einreichen, eine Bild-/Datenschutzbeschwerde einreichen, ein Sicherheitsproblem vorbringen, Einladungsmissbrauch melden, Verwirrung über Account-Grants melden oder eine Lösch-, Export- oder Datenschutzanfrage stellen, kann STSSIS die von Ihnen bereitgestellten Informationen verarbeiten.

Hierzu können gehören:

Ihre E-Mail-Adresse oder Ihr Account;
Ihr Name oder Nutzername, sofern angegeben;
die Ziel-URL oder der Inhaltsort;
Meldekategorie;
Erläuterung und unterstützende Informationen;
Beziehung zur betroffenen Person, zum Ersteller, Mitwirkenden, Rechteinhaber oder Account;
Bestätigungen nach bestem Wissen und Gewissen;
Folgemitteilungen;
Moderationshinweise, Einspruchsaufzeichnungen, Entscheidungsaufzeichnungen und Prüfstatus;
begrenzte Nachweise, Snapshots, Audit-Aufzeichnungen und Maßnahmenaufzeichnungen, soweit erforderlich.

Meldungen, Einsprüche und Kontaktmitteilungen sind private betriebliche Aufzeichnungen. Sie sind keine öffentlichen Posts.

STSSIS kann Moderationsaufzeichnungen für öffentliche Profile, Posts, Projekte, Publications, Kommentare, Empfehlungshinweise, öffentliche Shelf-Seiten, Profilseiten für About/Calendar/Contact, öffentliche Links, Nutzernamen, Standortlabels, öffentliche Map-Punkte, Einladungsmissbrauch, Account-Status und andere meldbare Oberflächen verarbeiten, soweit verfügbar.

Zwecke:

Empfang und Beantwortung von Mitteilungen;
Prüfung von Meldungen, Rechteansprüchen, Datenschutzbeschwerden, Einsprüchen, Sicherheitsproblemen und rechtlichen Anfragen;
Schutz von Nutzern, Besuchern, Rechteinhabern, betroffenen Personen und dem Dienst;
Führung von Aufzeichnungen, die aus rechtlichen, sicherheitsbezogenen, moderationsbezogenen, missbrauchspräventiven, auditbezogenen, streitbezogenen oder dienstsicherheitsbezogenen Gründen erforderlich sind.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am Empfang, an der Prüfung und Beantwortung von Meldungen und Anfragen sowie am Schutz von Personen, Rechten und dem Dienst;
Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen erforderlich ist;
Art. 6 Abs. 1 lit. b DSGVO, soweit sich die Anfrage auf Ihren Account oder Ihr Nutzungsverhältnis bezieht.

Senden Sie keine Passwörter, privaten Schlüssel, unbearbeitetes rechtswidriges Material, unnötige sensible Medien, exakte GPS-Daten, Ausweisdokumente, Verträge, private Anschriften, private Nachrichten oder private Dokumente, sofern STSSIS nicht ausdrücklich eine minimierte Kopie über einen geeigneten Weg anfordert.

13. Benachrichtigungen und E-Mail

STSSIS kann In-App-Benachrichtigungen und Benachrichtigungseinstellungen bereitstellen, soweit verfügbar.

In-App-Benachrichtigungen können sich auf Account-Aktivität, Kommentare, Empfehlungen, Meldungen, Moderation, Sicherheit, Export, Löschung, Account-Status oder andere Dienstereignisse beziehen, soweit die jeweilige Funktion besteht. Gewöhnliche In-App-Produktbenachrichtigungen sind kein E-Mail-Marketing.

STSSIS kann wichtige Account-, Verifizierungs-, Passwortzurücksetzungs-, Sicherheits-, Datenschutz-, Rechts-, Export-, Lösch-, Moderations- oder Dienstmitteilungen über geeignete Wege senden oder anzeigen, einschließlich E-Mail, soweit erforderlich.

STSSIS betreibt derzeit keinen Newsletter und keinen Direktmarketing-E-Mail-Dienst. Falls optionale Marketing-, Newsletter-, Digest- oder Werbe-E-Mails später hinzugefügt werden, verwendet STSSIS eine geeignete Einwilligung oder Rechtsgrundlage und stellt, soweit erforderlich, eine Möglichkeit zum Widerruf der Einwilligung bereit.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO, Erfüllung des Nutzungsverhältnisses;
Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen am sicheren Betrieb, an Account-Integrität, Kommunikation, Moderation und Missbrauchsprävention;
Art. 6 Abs. 1 lit. c DSGVO, soweit Mitteilungen für rechtliche Verpflichtungen erforderlich sind.

14. Exporte und Account-Löschung

STSSIS unterscheidet verschiedene Exportkonzepte.

Der Account-Datenexport ist, soweit verfügbar, ein strukturierter, nur für den Inhaber bestimmter Export von Account- und Dienstaufzeichnungen.

Der verarbeitete Bildarchiv-Export ist, soweit verfügbar, ein privates Archiv gespeicherter verarbeiteter STSSIS-Bilddateien und Sidecar-Metadaten. Er ist keine Wiederherstellung von Originaldateien und verspricht keine RAW-Dateien, Master-Scans, Quelldateien, exakt hochgeladenen Dateien oder Quell-PDFs.

Das Download-Verhalten von Publications ist vom Account-Datenexport und vom verarbeiteten Bildarchiv-Export getrennt.

Exporte können asynchron, begrenzt, zugangskontrolliert und zeitlich befristet sein. STSSIS kann Exportdateien nach einer begrenzten Zeit ablaufen lassen.

Eine bestätigte Account-Löschanfrage deaktiviert den Account und verbirgt das öffentliche Profil, Posts, Projekte, Publications, öffentliche Medien, öffentliche Kommentare, öffentliche Shelf-Seiten, vom Account abgegebene Empfehlungen und andere öffentliche Account-Oberflächen so nahe an der sofortigen Wirkung, wie es die Implementierung unterstützt. Die Backend-Bereinigung kann danach fortgesetzt werden.

Einige minimierte nicht öffentliche Aufzeichnungen können verbleiben, soweit sie aus rechtlichen, sicherheitsbezogenen, missbrauchspräventiven, moderationsbezogenen, löschungsnachweisbezogenen, auditbezogenen, betrieblichen, backup-/wiederherstellungsbezogenen, streitbezogenen oder sonstigen berechtigten Gründen erforderlich sind.

Löschung garantiert keine sofortige physische Löschung aus jedem Protokoll, Backup, Cache, CDN, Providersystem, jeder wiederhergestellten Kopie, jedem aufbewahrten Rechts-/Sicherheits-/Moderationsdatensatz oder bereits kopierten öffentlichen Inhalt.

Exportieren Sie Daten vor der Löschung, wenn Sie eine Kopie behalten möchten.

15. Cookies und lokaler Speicher

STSSIS verwendet derzeit nur notwendige oder dienstbezogene Cookies und lokalen Speicher.

Hierzu können gehören:

Session-Cookies für Login- und Sitzungsstatus;
CSRF-/Sicherheits-Cookies zum Schutz von Formularen und Anfragen;
Sicherheits- oder Challenge-Cookies, die von Infrastruktur-Anbietern gesetzt werden, soweit erforderlich;
First-Party-Browserspeicher für nutzerangeforderte oder dienstbezogene Funktionen, etwa lokale Wiederherstellung von Editor-Entwürfen, soweit aktiviert;
temporärer Nachrichten-, Upload-, Präferenz- oder Interface-Status, soweit zur Bereitstellung des angeforderten Dienstes erforderlich.

STSSIS verwendet derzeit keine Analyse-Cookies, Werbe-Cookies, Marketing-Pixel, Heatmaps, Session Replay, Fingerprinting oder nicht erforderlichen Tracking-Speicher.

Da STSSIS derzeit nur notwendige oder dienstbezogene Cookies/Speicher verwendet, zeigt STSSIS derzeit kein Cookie-Banner an. Falls später nicht erforderliche Cookies oder Tracking-Speicher hinzugefügt werden, wird STSSIS vor deren Aktivierung einen Einwilligungsmechanismus hinzufügen.

16. Anbieter und Empfänger

STSSIS nutzt externe Anbieter, soweit dies erforderlich ist, um den Dienst zu hosten, auszuliefern, zu schützen, zu warten, zu speichern, zu verarbeiten und darüber zu kommunizieren.

Anbieterkategorien können umfassen:

Hosting-/Serverinfrastruktur;
Datenbank- und Runtime-Infrastruktur;
DNS-, TLS-, CDN- und Sicherheitsproxy-Dienste;
öffentlicher Medienspeicher;
privater Medien-, Export- und Backup-Speicher;
Auslieferung von Map-Assets über STSSIS-kontrollierte Map- oder Mediendomains, soweit die Map verfügbar ist;
E-Mail- und Kontaktdienste;
optionales Monitoring oder Fehlerberichterstattung, sofern aktiviert.

Derzeit bekannte Anbieter sind:

Hetzner Cloud für Serverinfrastruktur;
Cloudflare für DNS, Traffic-Routing, TLS-/Sicherheitsfunktionen, CDN-/Sicherheitsproxy-Funktionen, Auslieferung von Map- oder Medienassets, soweit verwendet, sowie Cloudflare R2 Object Storage für öffentliche Medien, private Medien, Exporte oder Backups, soweit vom Dienst verwendet;
Proton für E-Mail- und Kontaktdienste.

Wenn die Map genutzt wird, können Map-Anzeigeassets über STSSIS-kontrollierte Domains unter Nutzung von Cloudflare/R2 oder ähnlicher Infrastruktur ausgeliefert werden. Cloudflare kann technische Anfragedaten für Auslieferung, Sicherheit, Caching und Missbrauchsprävention verarbeiten.

Externe Anbieter können je nach Dienst und Kontext als Auftragsverarbeiter oder eigenständige Verantwortliche handeln. Deren eigene Datenschutzbedingungen können außerdem für Account-, Abrechnungs-, Sicherheits-, Missbrauchspräventions- oder Compliance-Daten gelten.

STSSIS nutzt derzeit für die begrenzte Beta keine Werbenetzwerke, Marketing-Analysen, Zahlungsanbieter, Newsletter-Anbieter, Anbieter nicht erforderlichen Trackings oder Drittanbieter-Support-/Chat-Widgets.

17. Internationale Übermittlungen

STSSIS versucht, soweit praktisch möglich, Verarbeitung innerhalb der EU/des EWR zu nutzen.

Einige von STSSIS genutzte Anbieter haben ihren Sitz außerhalb der EU/des EWR oder können Infrastruktur, Support-Teams, Unterauftragsverarbeiter oder Rechtseinheiten außerhalb der EU/des EWR einsetzen. Dies kann, abhängig vom Anbieter und der Konfiguration, die Schweiz, die Vereinigten Staaten oder andere Länder umfassen.

Für die Schweiz hat die Europäische Kommission einen Angemessenheitsbeschluss erlassen. Das bedeutet, dass Übermittlungen aus der EU/dem EWR in die Schweiz grundsätzlich keine zusätzlichen Übermittlungsgarantien erfordern.

Für Übermittlungen in die Vereinigten Staaten oder andere Länder ohne allgemein anwendbaren Angemessenheitsbeschluss stützt sich STSSIS auf die anwendbaren Übermittlungsmechanismen, die der jeweilige Anbieter anbietet, etwa Teilnahme am EU-U.S. Data Privacy Framework, soweit anwendbar, Standardvertragsklauseln und ergänzende Schutzmaßnahmen, soweit erforderlich.

Kopien oder Zusammenfassungen relevanter Schutzmaßnahmen können durch Kontaktaufnahme mit STSSIS unter [email protected] angefordert werden, sofern die Offenlegung nicht aus rechtlichen, vertraulichkeitsbezogenen oder sicherheitsbezogenen Gründen beschränkt ist.

18. Speicherdauer

STSSIS speichert personenbezogene Daten nur so lange, wie dies für die in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist, sofern nicht ein längerer Zeitraum gesetzlich vorgeschrieben oder erlaubt ist.

Die Speicherdauer hängt von der Art der Daten, dem Account-Status, dem Veröffentlichungsstatus, dem Ablauf von Exporten, dem Löschstatus, Moderations- oder Rechtsbedürfnissen, Sicherheitsbedürfnissen, Missbrauchspräventionsbedürfnissen, Backup-/Wiederherstellungsfenstern, Anbietereinstellungen und rechtlichen Verpflichtungen ab.

Beispiele:

Account- und Profildaten werden gespeichert, solange der Account besteht, und danach, soweit dies für Löschung, rechtliche Gründe, Sicherheit, Missbrauchsprävention, Moderation, Audit oder Streitigkeiten erforderlich ist;
Einladungs-, Grant-, Account-Status-, Badge- und Kapazitätsaufzeichnungen werden gespeichert, solange dies für Account-Betrieb, Audit, Missbrauchsprävention, Korrektur, rechtliche Gründe, Sicherheit, Vorbereitung auf Abrechnungsfunktionen oder Streitigkeiten erforderlich ist;
öffentliche Inhalte werden gespeichert, solange sie öffentlich bleiben oder anderweitig vom Account-Inhaber aufbewahrt werden, sofern sie nicht entfernt, verborgen, gelöscht, abgelaufen oder beschränkt werden;
private Library-, Worktable-, Entwurfs-, Notiz-, Ordner-, gespeicherte-Arbeiten- und Mediendatensätze werden gespeichert, solange dies für den Account und die Dienstfunktionen erforderlich ist, sofern sie nicht gelöscht, bereinigt oder aus gerechtfertigten Gründen aufbewahrt werden;
hochgeladene Quelldateien können temporäre Verarbeitungseingaben sein; gespeicherte STSSIS-Derivate und Aufzeichnungen können entsprechend der Funktion und dem Account-Status verbleiben;
Publication-Quell-PDFs können privat für die Publication-Funktion gespeichert werden und für den öffentlichen Download nur dann, wenn dieser durch den Ersteller aktiviert wurde;
ephemere Dateien und Aufzeichnungen können, soweit die Funktion verfügbar ist, nach ihrem öffentlichen/Wiederherstellungs-Lebenszyklus ablaufen und bereinigt werden, sofern sie nicht gerettet, gemeldet, rechtlich gesichert oder anderweitig aus gerechtfertigten Gründen aufbewahrt werden;
Exportdateien können nach einer begrenzten Zeit ablaufen;
Kommentare, Empfehlungen, Benachrichtigungen, gespeicherte-Arbeiten-Aufzeichnungen und Interaktionsaufzeichnungen werden gespeichert, solange dies für die Funktion erforderlich ist, und danach, soweit dies für Export, Löschung, Moderation, rechtliche Gründe, Sicherheit, Dienstsicherheit, Audit, Missbrauchsprävention oder Streitigkeiten erforderlich ist;
Meldungen, Einsprüche, Moderationsaufzeichnungen, Löschungsnachweise und Sicherheitsaufzeichnungen können gespeichert werden, soweit dies aus rechtlichen, sicherheitsbezogenen, moderationsbezogenen, missbrauchspräventiven, auditbezogenen, streitbezogenen oder dienstsicherheitsbezogenen Gründen erforderlich ist;
Kontakt-E-Mails werden so lange gespeichert, wie dies zur Bearbeitung der Nachricht und etwaiger Folgekommunikation erforderlich ist, und danach gelöscht oder minimiert, sofern nicht rechtliche, sicherheitsbezogene, dokumentationsbezogene oder streitbezogene Gründe eine längere Speicherung erfordern;
technische Protokolle, Rate-Limit-Aufzeichnungen, Audit-Protokolle und Missbrauchspräventionsaufzeichnungen werden so lange gespeichert, wie dies für Betrieb, Sicherheit, Fehlerbehebung, Missbrauchsprävention, Untersuchung, Dokumentation oder rechtliche Verpflichtungen erforderlich ist;
Backups und providerseitige Aufzeichnungen werden entsprechend betrieblichem Bedarf, Anbietereinstellungen, Wiederherstellungsanforderungen, rechtlichen Verpflichtungen und Schutzmaßnahmen zur Nachholung von Löschungen gespeichert.

Feste Speicherfristen sollten nicht angenommen werden, sofern STSSIS sie nicht für eine bestimmte Datenkategorie veröffentlicht.

19. Sicherheit

STSSIS verwendet technische und organisatorische Maßnahmen, die dazu bestimmt sind, personenbezogene Daten gegen unbefugten Zugriff, Verlust, Missbrauch oder Veränderung zu schützen.

Hierzu können HTTPS-Transportverschlüsselung, Zugriffskontrollen, sichere Sitzungseinstellungen, CSRF-Schutz, Rate Limits, Trennung privater und öffentlicher Medien, Audit-Protokollierung und betriebliche Sicherheitsprüfungen gehören.

Der Zugriff auf private Library-, Worktable-, Entwurfs-, Export-, gelöschte, aufgrund von Moderation verborgene, private Notiz-/Ordner- oder exakte Standortdaten sollte auf das beschränkt sein, was für Betrieb, Support, Sicherheit, rechtliche Gründe, Datenschutz, Moderation, Export, Löschung und Wartung erforderlich ist.

Kein Internetdienst kann als vollständig sicher garantiert werden. STSSIS bemüht sich, die Verarbeitung im Verhältnis zur begrenzten Beta angemessen zu halten und den Zugriff auf das für den Dienst Erforderliche zu beschränken.

20. Ob Sie personenbezogene Daten bereitstellen müssen

Sie sind nicht gesetzlich verpflichtet, personenbezogene Daten bereitzustellen, nur um öffentliche STSSIS-Seiten zu besuchen. Einige technische Daten sind erforderlich, um die Website auszuliefern und den Dienst zu schützen.

Wenn Sie einen Account erstellen, eine E-Mail-Adresse angeben, eine Einladung nutzen, Arbeiten hochladen, Inhalte veröffentlichen, Arbeiten speichern, kommentieren, empfehlen, Meldungen einreichen, Export/Löschung anfordern oder STSSIS kontaktieren, sind die entsprechenden Daten erforderlich, um diese Funktionen bereitzustellen oder zu bearbeiten.

Wenn Sie sich entscheiden, Profildaten, Posts, Projekte, Publications, Metadaten, Links, Shelf-Seiten, Kommentare, Empfehlungshinweise, öffentliche Map-Punkte oder andere öffentliche Inhalte zu veröffentlichen, soweit aktiviert, können diese Informationen öffentlich werden.

21. Besondere Kategorien und sensible Informationen

STSSIS ist nicht darauf ausgelegt, sensible personenbezogene Daten als Hauptzweck zu erheben.

Nutzerinhalte, Bilder, Publications, Kommentare, Empfehlungshinweise, Profiltexte, Links, Standortinformationen, Meldungen oder Kontaktmitteilungen können jedoch sensible Informationen offenlegen, etwa Gesundheit, Religion, politische Ansichten, Gewerkschaftszugehörigkeit, Sexualität, ethnische Herkunft, exakten Standort, Informationen über Minderjährige oder Informationen über schutzbedürftige Personen.

Laden Sie keine unnötigen sensiblen personenbezogenen Daten hoch, veröffentlichen oder senden Sie solche Daten nicht. Wenn Sie sich entscheiden, sensible Informationen über sich selbst oder andere zu veröffentlichen, sind Sie dafür verantwortlich, die erforderlichen Rechte, Berechtigungen, Einwilligungen oder sonstigen Rechtsgrundlagen dafür zu haben.

STSSIS kann sensible Informationen verarbeiten, soweit sie Teil von Inhalten sind, die Sie veröffentlichen, Teil einer von Ihnen eingereichten Meldung, eines rechtlichen/Sicherheitsproblems, einer Datenschutzanfrage oder einer anderen zu prüfenden Anfrage sind. STSSIS kann solche Informationen gegebenenfalls beschränken, verbergen, löschen oder minimierte Aufzeichnungen darüber aufbewahren.

22. Ihre DSGVO-Rechte

Nach der DSGVO können Sie das Recht haben,

Auskunft über die über Sie verarbeiteten personenbezogenen Daten zu verlangen;
Berichtigung unrichtiger Daten zu verlangen;
Löschung von Daten zu verlangen;
Einschränkung der Verarbeitung zu verlangen;
Datenübertragbarkeit zu verlangen, soweit anwendbar;
der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen;
eine Einwilligung zu widerrufen, soweit die Verarbeitung auf Einwilligung beruht;
Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen.

Zur Ausübung Ihrer Rechte kontaktieren Sie:

[email protected]

STSSIS muss möglicherweise Ihre Identität oder Account-Kontrolle verifizieren, bevor auf eine Anfrage geantwortet wird.

STSSIS beantwortet Datenschutzanfragen unverzüglich und grundsätzlich innerhalb eines Monats, sofern die DSGVO keine Verlängerung erlaubt.

23. Widerspruchsrecht

Soweit STSSIS personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, berechtigte Interessen, verarbeitet, haben Sie das Recht, dieser Verarbeitung jederzeit aus Gründen zu widersprechen, die sich aus Ihrer besonderen Situation ergeben.

Wenn Sie widersprechen, wird STSSIS die betreffenden personenbezogenen Daten nicht mehr verarbeiten, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

STSSIS verwendet personenbezogene Daten derzeit nicht für Direktmarketing.

24. Aufsichtsbehörde

Sie können Beschwerde bei einer Datenschutzaufsichtsbehörde einlegen.

Für Nordrhein-Westfalen ist die Aufsichtsbehörde:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Deutschland

Telefon: +49 211 38424-0
E-Mail: [email protected]
Website: www.ldi.nrw.de

Sie können auch eine andere zuständige Aufsichtsbehörde kontaktieren.

25. Keine automatisierte Entscheidungsfindung

STSSIS verwendet derzeit keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.

STSSIS verwendet derzeit außerdem keine automatisierte abschließende Moderation, kein automatisiertes Nutzer-Scoring, kein KI-gestütztes öffentliches Ranking, keine Gesichtserkennung, keine biometrische Identifizierung, keine Personensuche und keine Ableitung sensibler Merkmale.

26. Änderungen dieser Datenschutzerklärung

STSSIS kann diese Datenschutzerklärung aktualisieren, wenn sich der Dienst, die Anbieterkonfiguration, rechtliche Anforderungen oder der Umfang der begrenzten Beta ändern.

Das Datum „Zuletzt aktualisiert“ oben auf dieser Seite zeigt an, wann diese Datenschutzerklärung zuletzt geändert wurde.