1. Verantwortlicher

Hentokai
c/o IP-Management #5540
Ludwig-Erhard-Str. 18
20459 Hamburg
info@hentokai.com

2. Geltungsbereich

Diese Erklärung informiert über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten auf dieser Website (Desktop, mobil) sowie verbundene Online-Präsenzen.

3. Altersbeschränkung (18+)

Unser Angebot richtet sich ausschließlich an volljährige Personen (ab 18 Jahren). Bewerbungen, Kontaktaufnahmen und die Nutzung spezieller Bereiche sind Minderjährigen untersagt.

4. Hosting & Server-Logs (Strato)

Wir hosten unsere Website bei STRATO.

Beim Aufruf der Website werden automatisch Server-Logfiles verarbeitet:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• aufgerufene URL / Request
• Referrer-URL
• verwendeter Browser / User-Agent
• ggf. weitere technische Metadaten

Zweck: Betrieb und Auslieferung der Website, Sicherstellung von Stabilität und Sicherheit, Missbrauchs- und Angriffs­erkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, stabilen Betrieb).
Speicherdauer: IP-Adressen werden beim Hoster zur Angriffsabwehr regelmäßig nach spätestens 7 Tagen gelöscht bzw. anonymisiert.

5. TLS-Verschlüsselung

Unsere Website wird ausschließlich verschlüsselt über HTTPS/TLS ausgeliefert.
Damit sollen die Vertraulichkeit und Integrität der Datenübertragung geschützt werden.

6. Rechtsgrundlagen (Überblick)

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – z. B. für Cookies/Tools, Newsletter, Bewerbungen (sofern nötig).
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) – z. B. Kommunikation zur Casting-/Drehs-Planung.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht) – z. B. Aufbewahrung nach Handels-/Steuerrecht.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) – z. B. IT-Sicherheit/Abwehr von Missbrauch.
• Art. 9 DSGVO (besondere Kategorien) – bei gesundheitsbezogenen Angaben/sexuellem Leben (siehe Abschnitt 12); Verarbeitung nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a).

7. Cookies & Einwilligungsmanagement (Complianz)

Wir verwenden das WordPress-Plugin Complianz als Consent-Management-Plattform (CMP).

• Nicht technisch erforderliche Cookies und vergleichbare Technologien (z. B. für reCAPTCHA) werden erst nach Ihrer Einwilligung gesetzt.
• Rechtsgrundlage für den Zugriff auf das Endgerät:
  • § 25 Abs. 1 TDDDG, wenn eine Einwilligung erforderlich ist (z. B. reCAPTCHA).
  • § 25 Abs. 2 Nr. 2 TDDDG, wenn Cookies/Storage technisch unbedingt erforderlich sind (z. B. Consent-Banner-Funktion, Sicherheits-Cookies).

Complianz speichert u. a.:

• Ihre Auswahl im Cookie-Banner (z. B. cmplz_choice, weitere cmplz_* Einträge)
• Protokolle der erteilten Einwilligungen („Records of Consent“)

Rechtsgrundlagen:

• § 25 Abs. 2 Nr. 2 TDDDG für technisch erforderliche Endgeräte-Speicher (z. B. Bannerstatus).
• Art. 6 Abs. 1 lit. f DSGVO für den Betrieb eines rechtssicheren Consent-Managements und das Vorab-Blocking nicht notwendiger Dienste.
• Art. 6 Abs. 1 lit. a DSGVO für die Verarbeitung auf Basis Ihrer Einwilligung (z. B. Nachladen von reCAPTCHA).

Widerruf/Änderung:
Sie können Ihre Auswahl jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern oder widerrufen.

8. Eingesetzte Plugins/Dienste

8.1. Sicherheitsplugin Wordfence (Defiant Inc., USA)

Zweck und Funktionsumfang.
Wir verwenden Wordfence zur Abwehr von Angriffen, zur Erkennung missbräuchlicher Zugriffe sowie zur Integritäts- und Schwachstellenprüfung (Web Application Firewall, Malware-/Signatur-Scans, Brute-Force-Schutz, 404-Monitor/Live-Traffic). Dabei können insbesondere IP-Adresse, angefragte URL/Referrer, Zeitpunkt, User-Agent und sicherheitsrelevante Ereignisdaten verarbeitet werden. Die Protokollierung erfolgt primär lokal auf unserem Server; einzelne Prüfungen/Signatur-Updates erfolgen über Wordfence-Server.

Cookies/Endgerät-Speicher (nur technisch erforderlich).
Wordfence kann funktionale Cookies setzen, z. B. wfwaf-authcookie-* (Firewall-Erkennung eingeloggter Nutzer, Auth-Prüfung) sowie wordfence_verifiedHuman (Missbrauchs-/Bot-Erkennung). Diese dienen ausschließlich der Sicherheit und sind technisch erforderlich. Rechtsgrundlage für das Setzen/den Zugriff im Endgerät: § 25 Abs. 2 Nr. 2 TDDDG.

Datenübermittlungen / Drittländer.
Im Rahmen von Signatur-/Regel-Updates und sicherheitsbezogenen Prüfungen kommuniziert das Plugin mit Wordfence-Servern (Defiant Inc., USA). Für etwaige Übermittlungen in Drittländer setzt Wordfence EU-Standardvertragsklauseln (SCC) und bietet eine Data Processing Addendum (DPA) an. Rechtsgrundlage für diese Übermittlungen: Art. 46 DSGVO (SCC).

Speicherort und Speicherdauer.
Sicherheitsprotokolle/Live-Traffic-Einträge werden lokal in unserer WordPress-Datenbank gespeichert und rotieren entsprechend der Plugin-Konfiguration (Begrenzung/Löschung über die Wordfence-Einstellungen möglich).

Rechtsgrundlagen (DSGVO).
– Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) – Schutz der Website, Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit.
– § 25 Abs. 2 Nr. 2 TDDDG – für technisch erforderliche Endgerät-Zugriffe (z. B. oben genannte Cookies).

Anbieter.
Defiant Inc. (Wordfence), 800 5th Ave #4100, Seattle, WA 98104, USA – Privacy Policy / GDPR-Hinweise / SCC / DPA siehe Anbieter-Doku.

8.2. reCAPTCHA v3 (Google)

Zum Schutz unserer Formulare vor Spam und Missbrauch nutzen wir Google reCAPTCHA v3. Der Dienst analysiert das Nutzerverhalten im Hintergrund und vergibt einen Risiko-Score (Bot-Erkennung).

Wann wird reCAPTCHA geladen?
reCAPTCHA wird erst geladen, wenn Sie im Consent-Banner der Verwendung zugestimmt haben. Ohne Einwilligung wird der Dienst nicht ausgeführt.

Verarbeitete Daten / Endgerät-Zugriffe:
Bei Nutzung von reCAPTCHA können u. a. folgende Daten verarbeitet und an Google übermittelt werden:

• IP-Adresse
• aufgerufene URL / Referrer
• Datum und Uhrzeit
• Browser- und Gerätemetadaten (User-Agent, Sprache, Betriebssystem)
• ggf. Mausbewegungen, Eingabeverhalten sowie weitere technische Parameter

reCAPTCHA setzt hierfür u. a. ein technisch erforderliches Cookie (_GRECAPTCHA) bzw. nutzt vergleichbare Mechanismen.

Empfänger / Verantwortliche Stelle von Google:

• Verantwortlicher für Nutzer im EWR: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
• Eine Verarbeitung durch Google LLC in den USA ist möglich. Google handelt insoweit als eigener Verantwortlicher; es gelten die Google-Datenschutzbestimmungen und Nutzungsbedingungen.

Drittlandtransfer / Garantien:
Für Übermittlungen in die USA verweist Google auf das EU-US Data Privacy Framework (DPF) und – je nach Dienst – auf Standardvertragsklauseln (SCC).

Rechtsgrundlagen:

• Endgerät-Zugriff / Cookies (_GRECAPTCHA):
  § 25 Abs. 1 TDDDG i. V. m. Ihrer Einwilligung im Consent-Banner.
• Datenverarbeitung durch uns und Übermittlung an Google:
  Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die „Cookie-Einstellungen“ widerrufen; reCAPTCHA wird dann nicht mehr geladen.

Hinweis im Formularfluss:
Wir weisen in den Formularen zusätzlich darauf hin:
„This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.“

8.3. Caching/Performance (WP Fastest Cache, WP-Optimize)

Zweck der Verarbeitung. Zur Beschleunigung und stabilen Auslieferung dieser Website setzen wir serverseitiges Seiten-Caching, GZIP-Kompression, Browser-Caching-Header (z. B. Cache-Control) sowie Minify von HTML/CSS ein. WP-Optimize nutzen wir nur für Datenbank-Bereinigung und (optional) Bildkompression; dessen Seiten-Cache/Minify ist deaktiviert.

Was dabei gespeichert/verarbeitet wird.
– Serverseitig: zeitweilige Kopien von Seiten/Assets im Cache-Verzeichnis des Webservers; automatische Invalidierung bei Änderungen oder Timeout.
– Im Endgerät des Nutzers: Browser kann Inhalte gemäß HTTP-Headern zwischen­speichern; dies steuern u. a. Cache-Control-Direktiven.

Rechtsgrundlagen.
– Speicherung/Zugriff im Endgerät (Browser-Cache/ähnliche lokale Speicherungen, soweit technisch erforderlich): § 25 Abs. 2 Nr. 2 TDDDG (keine Einwilligung erforderlich).
– Serverseitige Verarbeitung (Erstellung/Verwaltung von Cache-Dateien, Auslieferung optimierter Assets): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schneller, sicherer Bereitstellung).

Empfänger/Datenübermittlung. Die Verarbeitung erfolgt auf unserem Webserver; durch die genannten Funktionen erfolgt keine Übermittlung an Dritte. (Hinweis: Bei späterem Einsatz eines CDN wären Empfänger/Drittlandübermittlungen in dieser Erklärung zu ergänzen.)

Speicherdauer/Löschung. Cache-Dateien werden automatisch nach definierten Timeout-Regeln oder bei Inhaltsänderungen geleert; Browser-Caches verfallen gemäß den übermittelten Headern bzw. können vom Nutzer manuell gelöscht werden.

8.4. SEO-Plugin (Rank Math)

Zweck und Funktionsumfang. Wir verwenden das WordPress-Plugin Rank Math zur Suchmaschinen­optimierung. Das Plugin unterstützt u. a. die Pflege von Meta-Daten, die Erstellung von XML-Sitemaps, Schema-Auszeichnungen, Weiterleitungen sowie den 404-Monitor zur Erkennung fehlerhafter Links.

Verarbeitete Daten / Speicherort.
– Sitemaps/Meta/Schema/Weiterleitungen werden serverseitig in der WordPress-Installation verwaltet; hierbei erfolgt keine eigenständige Übermittlung an Dritte durch das Plugin.
– 404-Monitor: Bei Aktivierung können – je nach Modus – pro 404-Treffer aufgerufene URL, Referrer, User-Agent sowie IP-Adresse im WordPress-Backend protokolliert werden; die Einträge lassen sich begrenzen und löschen. Speicherung erfolgt lokal in der Datenbank.

Optionale Datenübermittlungen (deaktiviert).
– Analytics-Modul: Eine Verbindung zu Google Search Console/Google Analytics besteht nur, wenn das Analytics-Modul in Rank Math explizit aktiviert und ein Google-Account angebunden wird. Wir nutzen diese Funktion derzeit nicht.
– Content AI: Die optionale Content-AI ist ein separater Dienst von Rank Math; ohne aktives Abo/Nutzung erfolgt keine Anfrage an diesen Dienst. Wir nutzen Content-AI nicht.
– Nutzungs-Tracking: Das Usage Tracking von Rank Math ist freiwillig (Opt-in) und standardmäßig deaktiviert; wir haben kein Tracking aktiviert.

Rechtsgrundlagen.
– Für die lokalen SEO-Funktionen (Meta/Schema/Sitemap/Weiterleitungen/404-Monitor) stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch sauberen, auffindbaren und fehlerarmen Website).
– Sofern optionale Module mit Drittanbieter-Anbindung (Analytics/Content-AI) künftig genutzt würden, informieren wir vorab in dieser Erklärung und – soweit erforderlich – holen Einwilligungen ein bzw. schließen notwendige Verträge (z. B. DPA) nach Maßgabe der Anbieter-Policies. (Grundlagen/Policies siehe Rank-Math-Dokumentation/Privacy-Hinweise.)

Speicherdauer / Löschung.
– Einträge des 404-Monitors können begrenzt und manuell gelöscht werden; zudem lässt sich der Log auf eine maximale Anzahl begrenzen.

8.5. Backup (UpdraftPlus)

Zweck und Umfang. Wir erstellen regelmäßige Sicherheitskopien der Website (Dateien und Datenbank) mit UpdraftPlus. Backups können personenbezogene Daten enthalten, die auf der Website verarbeitet werden (z. B. Formularinhalte in der DB).

Speicherort/Empfänger. Standardmäßig werden Backups serverseitig im Backup-Verzeichnis der WordPress-Installation gespeichert. Sofern von uns externe Speicher (z. B. Google Drive/Dropbox/S3/FTP) konfiguriert werden, werden die Backup-Archive dorthin übertragen; dies kann je nach Anbieter Drittlandübermittlungen umfassen. Details ergeben sich aus den Datenschutzinformationen des jeweiligen Anbieters.

Löschung/Aufbewahrung. Backups werden nach der im Plugin hinterlegten Aufbewahrungsregel automatisch überschrieben/gelöscht; eine manuelle Löschung einzelner Backup-Sätze ist möglich.

Rechtsgrundlagen.
– Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebs- und Datensicherheit); ergänzend Art. 32 DSGVO (geeignete technische und organisatorische Maßnahmen).
– Bei Einbindung externer Speicher als Auftragsverarbeiter: Art. 28 DSGVO (AVV); bei Drittlandübermittlungen geeignete Garantien gem. Art. 46 DSGVO (insb. Standardvertragsklauseln) durch den jeweiligen Anbieter.

8.6. Consent-Management (Complianz)

Siehe ausführlich Abschnitt 7.

Kurz:

Rechtsgrundlagen: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO sowie Art. 6 Abs. 1 lit. a DSGVO, wenn auf Einwilligungen aufgebaut wird.

Complianz zeigt ein regionsspezifisches Banner an, blockiert nicht notwendige Dienste bis zur Entscheidung und ermöglicht jederzeitige Änderung/Widerruf.

Im Browser werden hierfür nur funktionale Einträge (z. B. cmplz_choice) gesetzt, kein Tracking.

8.7 Page-Builder/Blöcke (Astra Theme, Spectra, Presto Player – self-hosted)

Zweck/Umfang.
Wir nutzen das Astra Theme und Spectra (Block-Bibliothek) zur Seitengestaltung im WordPress-Blockeditor sowie Presto Player zur Einbettung lokal gehosteter Videos. Astra/Spectra erweitern den Editor um Layout-/Designfunktionen; Presto Player rendert Videoplayer und spielt Dateien von unserem Server ab. Quellen: Astra/Spectra/Presto-Produktseiten & Plugin-Beschreibungen.

Verarbeitung/Speicherung im Endgerät.
Beim Abspielen kann der Videoplayer technisch erforderliche Einstellungen (z. B. Lautstärke, Wiedergabeposition) im Browser-Speicher (LocalStorage) vormerken, damit die Wiedergabe konsistent bleibt. Presto Player setzt in der Free-Version wahlweise self-hosted Videos (kein YouTube/Vimeo erforderlich); der zugrundeliegende Player nutzt für solche Präferenzen LocalStorage. Rechtsfolge: kein Tracking, sondern Funktionsspeicher.

Keine Drittplattformen in dieser Konfiguration.
In der hier eingesetzten self-hosted-Konfiguration werden Videos vom eigenen Server ausgeliefert; keine Übermittlung an Videoplattformen wie YouTube/Vimeo. (Hinweis: Presto Player kann optional YouTube/Vimeo nutzen; das ist nicht aktiviert.)

Rechtsgrundlagen.
– Endgerät-Speicher (LocalStorage) nur für Funktionszwecke: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich).
– Serverseitige Auslieferung/Rendering: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen, performanten Website).

9. Kontakt- & allgemeine Formulare (Forminator)

Datenarten: Stammdaten (Name, Alter 18+-Bestätigung), Kontaktwege (E-Mail, Messenger-Handles), Inhalte deiner Nachricht; Dateiuploads, sofern bereitgestellt.
Zweck: Beantwortung von Anfragen, Terminabstimmung, Vorab-Qualifizierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung) und lit. b (vorvertragliche Kommunikation), ggf. lit. f (Dokumentation/Abwehr von Missbrauch).
Speicherdauer: Anfragen werden regelmäßig überprüft und gelöscht; rein organisatorisch max. 60 Tage in der Form-Ablage, sofern keine weitere Notwendigkeit besteht (z. B. Vertragsabschluss).

10. Newsletter

Wir versenden Newsletter über den Dienst Brevo (ehem. Sendinblue), Anbieter: Sendinblue/SAS „Brevo“, 9-17 rue Salneuve, 75017 Paris, Frankreich. Brevo ist Auftragsverarbeiter; maßgeblich sind die Terms inkl. Data Processing Agreement (DPA) und die Privacy Policy von Brevo.

Datenarten: E-Mail-Adresse; optional von Ihnen angegebene Zusatzdaten (z. B. Name).
Zwecke: Versand des Newsletters, Verwaltung von Abonnements, Nachweis von Einwilligungen (z. B. Double-Opt-In-Protokoll).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); Nachweis der Einwilligung Art. 7 Abs. 1 DSGVO.
Double-Opt-In: Wir verwenden Double-Opt-In. Nach Anmeldung erhalten Sie eine Bestätigungs-E-Mail; erst nach Klick auf den Bestätigungslink wird die Anmeldung aktiviert. Brevo empfiehlt hierfür die Option „Double confirmation“ (bei Brevo-Formularen) bzw. eine DOI-Automation (bei extern erstellten Formularen).
Protokollierung: Zeitpunkt/Datum der Anmeldung und Bestätigung, IP/Technik-Metadaten können zum Nachweis gespeichert werden (berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO).
Widerruf: Abmeldung jederzeit möglich, z. B. über den Abmelde-Link in jeder E-Mail. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Empfänger/Datenübermittlung: Verarbeitung durch Brevo (EU-Anbieter). Brevo stellt vertragliche Regelungen inkl. DPA und Sicherheitsmaßnahmen bereit; bei einzelnen Funktionen können Unterauftragsverarbeiter zum Einsatz kommen (Details siehe Brevo-Terms/DPA/Privacy Policy).

11. Bewerbungen als Darstellerin (Casting)

11.1. Prescreening & Castingkommunikation

Datenarten: Stammdaten (Name/Adresse werden spätestens zur Vertragserstellung benötigt), Alter (18+), Kontaktwege, körperliche Maße, Präferenzen/Rollenwünsche, verfügbare Termine, Fotos/Clips zur Eignungsprüfung.
Zweck: Vorvertragliche Prüfung, Planung, Sicherheit/Seriosität, Beweissicherung der Einwilligungen/Altersnachweise.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung) und lit. b (Anbahnung).

11.2. Besondere Kategorien (Art. 9 DSGVO)

Sofern im Restricted Casting intime Fotos/Clips/Angaben zu sexuellem Leben oder Gesundheit (z. B. STI-Test/Datum) übermittelt werden, verarbeiten wir diese ausschließlich auf Basis deiner ausdrücklichen Einwilligung (separater Checkbox-Text inkl. Zweck) nach Art. 9 Abs. 2 lit. a DSGVO. Ohne diese Einwilligung erfolgt keine Verarbeitung dieser Daten, und ein verbindliches Casting/Engagement ist ggf. nicht möglich. Widerruf ist jederzeit mit Wirkung für die Zukunft möglich; bis zum Widerruf bleibt die Verarbeitung rechtmäßig.

11.3. Anonymität & Face-Swap

Im Projekt werden Gesichter per KI (Face-Swap) verändert, um eine Wiedererkennung der Darstellerin zu verhindern; dies ist fester Bestandteil unseres Produktions-Workflows. Gleichwohl können Körpermerkmale eine Identifikation durch Dritte nicht mit absoluter Sicherheit ausschließen. Wir informieren transparent über Risiken und treffen angemessene Sicherheits- und Vertraulichkeitsmaßnahmen (Vertrags-NDAs, restriktiver Zugriff, sichere Speicherung).
Details regeln wir zusätzlich vertraglich.

11.4. Aufbewahrung & Löschung

• Bewerbungen ohne Engagement: Löschung der Prescreening-Daten (inkl. Uploads) nach spätestens 60 Tagen (sofern keine weitere Einwilligung vorliegt).
• Bei Engagement/Vertrag: Speicherung gem. gesetzlichen Aufbewahrungspflichten (z. B. steuerrechtlich bis zu 10 Jahre).
  Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag und Durchführung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

12. Selbst gehostete Videos (Galerie)

Wir binden keine Drittplattformen ein; die Videodateien liegen auf unserem Server/Hosting.
Der Videoplayer kann technisch notwendige Speicherungen (z. B. Wiedergabeposition, Lautstärkeeinstellungen) im Browser vornehmen.

Rechtsgrundlage:

§ 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für die Videofunktion) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer nutzerfreundlichen Bereitstellung von Inhalten)

13. Soziale Netzwerke

Wir verwenden keine eingebetteten Social-Plugins (z. B. „Like“-Buttons), sondern nur einfache Links zu unseren Profilen.

Erst beim Anklicken eines Links verlassen Sie unsere Website; es gelten dann die Bedingungen und Datenschutzhinweise des jeweiligen Anbieters.

14. Datenquellen, Empfänger, Drittlandübermittlungen

Auftragsverarbeiter / Empfänger:

• STRATO AG (Hosting / Server-Logs)
• ggf. E-Mail-Provider für den Versand und Empfang von E-Mails
• Brevo (Newsletterversand)
• Defiant Inc. (Wordfence – Sicherheitskomponenten)
• Google Ireland / Google LLC (reCAPTCHA, nach Einwilligung)
• ggf. Cloud-Speicher-Anbieter (Backups, wenn konfiguriert)

Drittlandübermittlungen (insb. USA):

• bei Wordfence und Google reCAPTCHA können Daten in die USA übertragen werden; Absicherung über Standardvertragsklauseln (SCC) bzw. EU-US Data Privacy Framework, nach Maßgabe der jeweiligen Anbieter.
• Bei externen Backup-Speichern oder weiteren Diensten außerhalb der EU/EWR werden – soweit erforderlich – geeignete Garantien nach Art. 46 DSGVO verwendet (z. B. SCC).

15. Speicherdauer (generell)

Wir verarbeiten personenbezogene Daten nur so lange, wie es der jeweilige Zweck erfordert, oder wie es gesetzliche Pflichten vorsehen (z. B. handels-/steuerrechtlich bis zu 10 Jahre). Danach werden die Daten gelöscht, anonymisiert oder in ihrer Verarbeitung eingeschränkt.

16. Pflicht zur Bereitstellung

Für bestimmte Prozesse (Kontaktformular, Castingformular, Vertragsabwicklung) sind einzelne Angaben erforderlich, um Ihre Anfrage bearbeiten oder einen Vertrag vorbereiten/erfüllen zu können. Ohne diese Mindestangaben ist dies nicht möglich.

Die Angabe besonderer Kategorien nach Art. 9 DSGVO (siehe Abschnitt 11.2) ist freiwillig, aber für bestimmte Engagements/Szenen notwendig. Ohne diese Angaben können wir bestimmte Rollen ggf. nicht besetzen.

17. Rechte der Betroffenen

Sie haben – im Rahmen der gesetzlichen Voraussetzungen – folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Recht, eine Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Automatisierte Entscheidungsfindung / Profiling:
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

Beschwerderecht:
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt (siehe Abschnitt 18).

18. Aufsichtsbehörde (Niedersachsen)

Landesbeauftragte*r für den Datenschutz Niedersachsen (LfD)
Prinzenstraße 5, 30159 Hannover – Postfach 221, 30002 Hannover
Tel. 0511-120-4500 – E-Mail: poststelle@lfd.niedersachsen.de – Online-Beschwerde nach Art. 77 DSGVO verfügbar.

19. Datensicherheit

Wir treffen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (u. a. TLS, Hoster-Sicherheit, Wordfence-Firewall, minimierte Zugriffsrechte, Backups).

20. Aktualität

Diese Datenschutzerklärung ist aktuell (Stand: 13.11.2025). Anpassungen erfolgen bei Änderungen von Prozessen, Tools oder Rechtslage (z. B. TDDDG/DSA-Bezug).