Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Die Verarbeitung erfolgt je nach Zweck auf Grundlage von Art. 6 Abs. 1 lit. b, f DSGVO sowie – bei biometrischen Daten – Art. 9 Abs. 2 lit. a DSGVO.

Wer ist verantwortlich für die Datenerfassung?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber:

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei handelt es sich um:

• Kontaktdaten: E-Mail-Adresse und Vorname.
• Inhaltsdaten: Ihre hochgeladenen Fotos.
• Präferenzen: Die von Ihnen gewählten Einstellungen für die Bildgenerierung (z.B. gewünschter Hintergrund, Stil, „Briefing“).

Andere Daten werden automatisch beim Besuch der Website durch unsere IT-Systeme erfasst (z.B. IP-Adresse, Browser, Uhrzeit).

Wofür nutzen wir Ihre Daten?

• Vertragsabwicklung: Um die Zahlung abzuwickeln und Ihnen den Zugang zum Generator bereitzustellen.
• Dienstleistung (Kern): Um aus Ihrem Foto mittels KI ein Bewerbungsbild zu generieren.
• Qualitätssicherung: Um unser Angebot basierend auf Ihrem Feedback zu verbessern.
• Sicherheit: Um Missbrauch zu verhindern und die Stabilität der Website zu gewährleisten.

2. Hosting und Content Delivery Networks (CDN)

Cloudflare (Pages, Workers, R2, D1)

Wir hosten unsere Website und die Datenbanken bei dem Dienstleister Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA.

Cloudflare bietet ein weltweit verteiltes Content Delivery Network (CDN) und Sicherheitsfunktionen. Technisch bedingt werden Anfragen an unsere Seite über die Server von Cloudflare geleitet. Hierbei werden Verkehrsdaten (u.a. Ihre IP-Adresse) verarbeitet, um Angriffe (DDoS) abzuwehren und die Ladezeiten zu optimieren.

Speicherort: Wir haben unsere Systeme so konfiguriert, dass die persistente Speicherung Ihrer hochgeladenen und generierten Bilder (R2 Storage) sowie der Datenbankinhalte (D1) explizit in Rechenzentren innerhalb der Europäischen Union erfolgt.

US-Datentransfer: Da Cloudflare ein US-Unternehmen ist, kann im Rahmen von Support-Maßnahmen oder durch die globale Struktur des CDN ein Zugriff aus den USA technisch nicht zu 100% ausgeschlossen werden. Cloudflare ist jedoch unter dem „EU-US Data Privacy Framework“ (DPF) zertifiziert, womit ein angemessenes Datenschutzniveau garantiert wird. Zusätzlich haben wir einen Auftragsverarbeitungsvertrag (AVV) mit Cloudflare geschlossen.

3. Allgemeine Hinweise und Pflichtinformationen

Datensicherheit

Wir nutzen SSL- bzw. TLS-Verschlüsselung. Zudem sind die Download-Links zu Ihren Bildern durch kryptische, nicht erratbare Kennungen (UUIDs) geschützt und nicht durch Suchmaschinen auffindbar (NoIndex).

Speicherdauer & Automatische Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Zwecke erforderlich ist.

Besonderheit bei Bilddaten: Ihr hochgeladenes Originalbild sowie die generierten KI-Bilder und die damit verknüpften Metadaten werden automatisch 30 Tage nach Erstellung unwiderruflich gelöscht.

Daten, die wir aufgrund gesetzlicher Aufbewahrungsfristen (z.B. steuerrechtliche Pflichten für Rechnungen) speichern müssen, werden erst nach Ablauf dieser Fristen (in der Regel 10 Jahre) gelöscht.

Feedback und Bewertungen

Wenn Sie unsere freiwillige Feedback-Funktion nutzen (Sterne-Bewertung und Kommentar), speichern wir diese Angaben verknüpft mit Ihrer Bestellung in unserer Datenbank. Dies dient der Qualitätssicherung und Verbesserung unseres KI-Algorithmus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Optimierung unseres Angebots).

4. Verarbeitung besonderer Kategorien von Daten (Biometrie & KI)

Das Kernstück unseres Dienstes ist die Generierung von Bildern mittels Künstlicher Intelligenz. Hierbei verarbeiten wir biometrische Daten (Gesichtsmerkmale) aus den von Ihnen hochgeladenen Fotos (Art. 9 Abs. 1 DSGVO). Die Bildgenerierung erfolgt automatisiert mittels KI. Es findet jedoch keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt, die rechtliche Wirkungen entfaltet oder den Nutzer in vergleichbarer Weise erheblich beeinträchtigt.

Art und Zweck der Verarbeitung

Die von Ihnen hochgeladenen Bilder werden analysiert, um Gesichtsstrukturen zu erkennen und diese in ein neues, generiertes Bild zu übertragen. Dabei werden auch Ihre gewählten Stil-Vorgaben (Briefing) berücksichtigt. Die Bilder und die Vorgaben werden hierfür an unseren KI-Provider übermittelt.

Eingesetzte KI-Technologie: Google Gemini

Wir nutzen für die Bildgenerierung die Schnittstellen (API) von Google (Google Cloud / Vertex AI). Anbieter ist die Google Ireland Limited (für Nutzer im EWR) bzw. Google LLC (USA).

Ihre Bilder werden an Google-Server übermittelt und dort verarbeitet. Google verarbeitet die Daten ausschließlich zur Erbringung der Dienstleistung und löscht sie nach Abschluss des Prozesses gemäß den vertraglichen Vereinbarungen. Google nutzt diese Daten nicht zum Training eigener Modelle (Opt-Out aktiv).

Rechtsgrundlage

Die Verarbeitung Ihrer biometrischen Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie vor dem Upload per Checkbox erteilt haben.

Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z.B. per E-Mail). Da die Daten ohnehin nach 30 Tagen gelöscht werden, führt ein Widerruf zur sofortigen vorzeitigen Löschung Ihrer Bilder.

5. Zahlungsabwicklung

Zur Abwicklung der kostenpflichtigen Dienste binden wir den Zahlungsdienstleister Stripe ein (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland).

Wenn Sie bezahlen, werden Ihre Zahlungsdaten (z.B. Kreditkartennummer, Kaufbetrag) direkt an Stripe übermittelt. Wir selbst speichern keine vollständigen Kreditkartendaten, sondern erhalten von Stripe lediglich eine Bestätigung über die erfolgreiche Zahlung sowie eine Transaktions-ID.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandtransfer: Daten können an die Muttergesellschaft Stripe, Inc. in den USA übertragen werden. Stripe ist nach dem Data Privacy Framework zertifiziert.

6. Automatisierung & Kommunikation

n8n (Workflow-Automatisierung)

Zur Steuerung unserer Prozesse (z.B. "Wenn Zahlung erfolgreich -> Sende E-Mail -> Starte KI") nutzen wir das Tool n8n. Anbieter ist die n8n GmbH, Berlin. Wir nutzen die Cloud-Version des Anbieters. Hierbei werden E-Mail-Adressen und Status-Informationen verarbeitet, um den Dienst bereitzustellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

E-Mail-Versand (Netcup)

Transaktions-E-Mails (z.B. Ihr Download-Link) werden über die SMTP-Server unseres E-Mail-Providers netcup GmbH, Daimlerstraße 25, 76185 Karlsruhe, Deutschland, versendet.

Wir haben mit Netcup einen Auftragsverarbeitungsvertrag geschlossen. Die im Rahmen der E-Mail-Kommunikation verarbeiteten Daten werden gelöscht, sobald sie für die Vertragsabwicklung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen.

7. Cookies und lokale Speicherung

Unsere Website verzichtet auf Werbe-Cookies von Drittanbietern (wie Google Analytics oder Facebook Pixel).

Wir setzen lediglich technologisch notwendige Speicherungen im Browser (Local Storage / Session Storage) ein:

• Bestellprozess & Analyse: Wir speichern eine temporäre Session-ID und den Status im Bestellprozess, um Ihre Uploads dem Warenkorb zuzuordnen und technische Fehler im Ablauf zu erkennen (First-Party-Analyse). Diese Daten werden beim Schließen des Browsers automatisch gelöscht.
• Sicherheit: Cookies von Zahlungsdienstleistern (Stripe) und Sicherheitsdiensten (Cloudflare) zur Betrugsprävention.

Der Zugriff auf Ihren Browser ist technisch erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG). Die statistische Auswertung zur Optimierung des Shops erfolgt auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO).

8. Ihre Rechte als Betroffener

Sie haben jederzeit das Recht:

• Auskunft über Ihre bei uns gespeicherten Daten zu erhalten (Art. 15 DSGVO).
• Die Berichtigung falscher Daten zu verlangen (Art. 16 DSGVO).
• Die Löschung Ihrer Daten zu fordern (Art. 17 DSGVO), sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
• Widerspruch gegen die Verarbeitung Ihrer Daten, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 21 DSGVO).
• Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen.
• Sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Zuständig für uns: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen).