Datenschutzerklärung
Stand: April 2026. Diese Erklärung beschreibt, welche personenbezogenen Daten beim Besuch und bei der Nutzung von sammlung-lurati.de verarbeitet werden, auf welcher Rechtsgrundlage und welche Rechte Sie haben.
1. Verantwortlicher
Schildkröten-Museum MünchenKlaus Lurati
Bürkleinstraße 20
80538 München
Deutschland
E-Mail: [email protected]
2. Welche Daten verarbeiten wir?
2.1 Server-Logs
Beim Aufruf der Seite werden technisch notwendige Daten protokolliert: IP-Adresse, Datum/Uhrzeit, aufgerufene Adresse, übermittelter Browser-Typ. Diese Daten fallen sowohl beim CDN-Anbieter Cloudflare (DDoS-Schutz, Auslieferung statischer Inhalte) als auch beim Hosting-Anbieter an und werden standardmäßig nach 7 Tagen automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.
2.2 Besucherkonto-Daten (registrierte Besucher)
Wenn Sie ein Besucherkonto anlegen, speichern wir Ihre E-Mail-Adresse, einen optionalen Anzeigenamen und ein gehasht abgelegtes Passwort. Damit können Sie sich anmelden und persönliche Funktionen nutzen (Katalog-Erstellung, Postkarten-Versand). Sie können Ihr Besucherkonto jederzeit selbst über /mein/profil löschen.
2.3 Aktivitätsprotokoll
Wir protokollieren, welche persönlichen Funktionen Sie genutzt haben (Katalog erzeugt, Postkarte versendet) — für die Anzeige in Ihrem persönlichen Bereich und zur Missbrauchsverhinderung (Begrenzung der Versand-Häufigkeit). Bei einer Postkarten-Versendung speichern wir die Empfänger-Adresse nicht im Klartext, sondern nur einen kryptografischen Hash, der allein zur Erkennung wiederholter Sendungen an dieselbe Adresse dient.
2.4 Postkarten-Empfänger
Wenn Sie eine virtuelle Postkarte versenden, übermitteln wir die eingegebene Empfänger-E-Mail-Adresse einmalig an unseren Mail-Dienstleister (Brevo, siehe unten) zum Zweck des Versands. Die Adresse selbst wird bei uns nicht im Klartext aufbewahrt (siehe 2.3).
2.5 Förder-Anfragen
Über das Kontaktformular auf /foerdern können Sie eine Anfrage senden. Name, E-Mail, optional eine Organisationsangabe und Ihre Nachricht werden bei uns gespeichert, solange das für die Beantwortung und Dokumentation nötig ist; danach löschen wir sie.
3. Rechtsgrundlagen
- Server-Logs: berechtigtes Interesse an einem stabilen, sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
- Besucherkonto-Daten / Funktions-Nutzung: Vertragserfüllung mit Ihnen als registriertem Nutzer (Art. 6 Abs. 1 lit. b DSGVO).
- Förder-Anfragen: Bearbeitung einer von Ihnen initiierten Anfrage (Art. 6 Abs. 1 lit. b DSGVO).
4. Auftragsverarbeiter
Die folgenden Dienstleister verarbeiten Daten in unserem Auftrag (Art. 28 DSGVO):
- Cloudflare, Inc. (San Francisco, USA) — DNS, CDN und DDoS-Schutz. Cloudflare verarbeitet Verbindungs-Metadaten (IP-Adresse, User-Agent) zur Auslieferung der Seite und zur Abwehr von Angriffen. Übermittlung in Drittländer abgesichert über EU-Standardvertragsklauseln und das EU-U.S. Data Privacy Framework.
- Supabase, Inc. — Datenbank und Authentifizierung. Verarbeitung von Besucherkonto-Daten, Aktivitätsprotokoll und Sammlungs-Inhalten. Die Daten werden in der EU gehostet (AWS-Region Irland, eu-west-1).
- Brevo (Sendinblue SAS) — Sitz in Frankreich. Transaktions-E-Mail-Versand (Besucherkonto-Bestätigung, Katalog-Lieferung, Postkarten, Förder-Anfragen).
- Hetzner Online GmbH — Sitz in Deutschland. Object Storage für Bilder, Videos und PDFs (Rechenzentrum Falkenstein/Nürnberg).
5. Speicherdauer und Löschung
Wir speichern personenbezogene Daten nur so lange, wie das für den jeweiligen Zweck nötig ist. Besucherkonto-Daten bestehen, solange Sie Ihr Besucherkonto aktiv nutzen — Sie können es jederzeit selbst über Ihre Profilseite löschen. Aktivitätsprotokolle werden bei einer Besucherkonto-Löschung anonymisiert (die Zuordnung zu Ihrer Person geht verloren); aggregierte Statistiken bleiben erhalten.
6. Ihre Rechte
Ihnen stehen die folgenden Rechte zu — kurze formlose Mail an die oben genannte Adresse genügt:
- Auskunft über die zu Ihrer Person gespeicherten Daten
- Berichtigung unrichtiger Daten
- Löschung Ihrer Daten („Recht auf Vergessenwerden")
- Einschränkung der Verarbeitung
- Datenübertragbarkeit
- Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen
Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — in Bayern beim Bayerischen Landesamt für Datenschutzaufsicht .
7. Cookies und lokaler Browser-Speicher
Diese Seite setzt nur technisch notwendige Cookies und Browser-Speicher-Einträge. Es findet kein Tracking, keine Werbung und keine Analyse durch Dritte statt. Daher fragen wir keine Einwilligung in nicht-notwendige Cookies ab — solche werden gar nicht gesetzt.
| Name | Speicherort | Zweck | Lebensdauer |
|---|---|---|---|
| sb-… | Cookie | Login-Sitzung registrierter Besucher | Sitzung, max. 60 Tage |
| __cf_bm | Cookie | Cloudflare-Bot-Erkennung | 30 Minuten |
| nuxt-color-mode | localStorage | Hell-/Dunkelmodus-Wahl | dauerhaft |
| cookieNoticeDismissed | localStorage | Cookie-Hinweis-Banner ausgeblendet | dauerhaft |
| joinHintDismissed | sessionStorage | Anmeldungs-Hinweis-Banner ausgeblendet | bis Tab-Schließen |
8. Änderungen dieser Erklärung
Wir aktualisieren diese Erklärung, wenn sich die zugrundeliegende Verarbeitung ändert. Maßgeblich ist jeweils die Version, die hier veröffentlicht ist.