Datenschutzerklärung
Stand: Mai 2026
1. Datenschutz auf einen Blick
Die folgenden Hinweise geben einen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diesen Dienst nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
2. Verantwortlicher
Verantwortlich für die Datenverarbeitung in diesem Dienst ist:
Contaxx GmbH
An de Dreew 19, 47839 Krefeld
Geschäftsführer: Andreas Habeck
Telefon: +49 (2151) 328 - 110
E-Mail: info@contaxx.net
3. Auftragsverarbeiter
Zum Betrieb dieses Dienstes setzen wir folgende Auftragsverarbeiter ein (Art. 28 DSGVO). Mit allen Anbietern bestehen Auftragsverarbeitungsverträge oder Standardvertragsklauseln (SCC) für Datenübermittlungen in Drittländer:
- Vercel Inc. – Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA – Hosting der Webanwendung. Verarbeitet IP-Adresse, Browser- und Geräteinformationen, Zeitpunkt des Zugriffs (Server-Logs).
- Supabase Inc. – Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 – Datenbank, Authentifizierung und Datei-Speicher. Verarbeitet E-Mail-Adresse, hochgeladene Fotos, generierte Bilder, Session-Daten.
- Google Ireland Ltd. – Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland – KI-Modell Gemini 3.1 Flash Image. Übermittelt werden Ihr hochgeladenes Foto und der textuelle Prompt zur Bildgenerierung. Google verarbeitet die Daten ausschließlich zur Erfüllung der API-Anfrage; eine Speicherung über die Verarbeitungsdauer hinaus erfolgt nach Auskunft von Google nicht (zur Bestätigung siehe Google Cloud Data Processing Addendum).
- Stripe Payments Europe Ltd. – Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland – Zahlungsabwicklung (Karte, Apple Pay, Google Pay, PayPal). Bei einer Bestellung werden Bestellsumme, Bezahlart und für die Zahlungsabwicklung notwendige Daten an Stripe übermittelt. Wir selbst speichern keine vollständigen Karten- oder Kontodaten.
- Twilio Inc. – Twilio Inc., 101 Spear Street, Floor 1, San Francisco, CA 94105, USA – Versand von SMS-Codes (Phone-OTP-Login), sofern Sie sich per Handynummer anmelden.
4. Verarbeitete Daten und Zwecke
a) Account / Login
Beim Login speichern wir Ihre E-Mail-Adresse oder Handynummer. Die Authentifizierung erfolgt passwortlos per Magic-Link oder SMS-Code. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
b) Hochgeladene Fotos
Die von Ihnen hochgeladenen Fotos werden in Ihrem Account gespeichert (Supabase Storage) und für die KI-Bildgenerierung an Google übermittelt. Sie können hochgeladene Fotos jederzeit selbst aus Ihrem Account löschen (Generator → Foto-Übersicht → ✕-Symbol). Rechtsgrundlage: Vertragserfüllung und Ihre Einwilligung mit dem Upload (Art. 6 Abs. 1 lit. b und a DSGVO).
c) Generierte Bilder
Die KI-generierten Bilder werden in Ihrem Account gespeichert, damit Sie sie später erneut herunterladen können. Auch hier ist eine Löschung jederzeit selbst möglich. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
d) Zahlungs- und Bestelldaten
Bei Kauf eines Credit-Pakets speichern wir die Bestellnummer, das gewählte Paket, den Betrag und die Stripe-Transaktions-ID. Rechtsgrundlage: Vertragserfüllung und steuerrechtliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. b und c DSGVO).
e) Server-Logs
Der Hoster (Vercel) erhebt automatisch IP-Adresse, Browsertyp, Betriebssystem, Referrer und Zeitpunkt des Zugriffs. Rechtsgrundlage: berechtigtes Interesse an stabilem Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
5. Ihre Rechte
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21 DSGVO)
- Beschwerde bei der Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2–4, 40213 Düsseldorf
Für sämtliche Anliegen kontaktieren Sie uns bitte unter info@contaxx.net.
6. Speicherdauer im Detail
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
- Hochgeladene Fotos (Source-Photos): bis zur eigenständigen Löschung durch Sie oder bis zur Account-Löschung — Sie können sie jederzeit selbst entfernen.
- Generierte Bilder: bis zur eigenständigen Löschung durch Sie oder bis zur Account-Löschung.
- Account-Daten (E-Mail, Login): bis zur Account-Löschung. Inaktive Accounts ohne Credit-Bestand werden nach 24 Monaten nach Vorankündigung (mind. 30 Tage) automatisch entfernt.
- Bestell- und Zahlungsdaten: 10 Jahre gemäß § 257 HGB / § 147 AO (gesetzliche Aufbewahrungspflicht).
- Server-Logs (Vercel): in der Regel 14–30 Tage, danach automatische Löschung.
- Qualitätscheck-Ergebnisse (Score, Ampel, Issue-Liste): als Metadaten zum jeweiligen Foto — gehen mit der Foto-Löschung verloren.
- Voucher-Visit-Tracking (Influencer-Programm): 12 Monate ab letztem Besuch zur Auswertung der Kampagnen, danach anonymisiert / gelöscht.
7. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Bei jedem Upload eines Quellfotos führt der Anbieter automatisiert einen KI-gestützten Qualitätscheck durch. Hierbei kommt das Vision-Modell der Google-Gemini-Familie zum Einsatz, das das Foto nach Bildausschnitt, Beleuchtung, Hintergrund, Gesichtssichtbarkeit, Schärfe und Auflösung bewertet und einer von drei Ampel-Stufen zuordnet:
- Grün – Foto ist freigegeben, Generierung möglich.
- Gelb – Foto weist Mängel auf; eine Generierung ist nur möglich, wenn Sie den Reklamationsverzicht (siehe AGB § 7c) ausdrücklich bestätigen.
- Rot – Foto wird systemseitig nicht zur Generierung freigegeben (rechtliche Wirkung im Sinne von Art. 22 Abs. 1 DSGVO).
Rechtsgrundlage der Verarbeitung: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO sowie Ihre Einwilligung mit dem Upload nach Art. 6 Abs. 1 lit. a / Art. 9 Abs. 2 lit. a DSGVO (biometrische Merkmale). Verarbeiter: Google Ireland Ltd. (siehe Abschnitt 3).
Sie haben das Recht, einer Ablehnung durch den automatisierten Quality-Check zu widersprechen und eine manuelle Überprüfung durch eine natürliche Person zu verlangen (Art. 22 Abs. 3 DSGVO). Senden Sie hierzu bitte eine E-Mail mit der Foto-ID an support@aiprofilestudio.de.
8. Kennzeichnung KI-generierter Inhalte (EU AI Act)
Die von uns generierten Bilder werden mit unsichtbaren Wasserzeichen (sog. SynthID) sowie metadatenseitigen Hinweisen versehen, sofern das eingesetzte KI-Modell dies technisch unterstützt. Sie erhalten zusätzlich einen klaren Hinweis in der Anwendung, dass es sich um ein KI-generiertes Bild handelt. Damit setzen wir die Transparenzpflichten nach Art. 50 EU-KI-Verordnung (EU AI Act) um.
9. Cookies
Wir verwenden ausschließlich technisch notwendige Cookies zur Aufrechterhaltung Ihrer Login-Session. Tracking- oder Analyse-Cookies setzen wir nicht ein. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 TDDDG).
10. Änderung dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Wesentliche Änderungen werden Ihnen vor Wirksamwerden über einen Banner zur Bestätigung vorgelegt.