Datenschutzerklärung

Zuletzt aktualisiert: 18. April 2026

Inkrafttreten: 18. April 2026

Präambel

AISnapEdit (nachstehend „AISnapEdit", „wir", „uns" oder „die Plattform") betreibt die Website https://aisnapedit.com einschließlich sämtlicher Subdomains, APIs und zugehöriger Clients (zusammen „der Dienst"); es handelt sich um eine weltweit verfügbare All-In-One-KI-SaaS-Plattform, die KI-gestützte Dienste zur Erzeugung von Bildern, Videos, Audio und Musik bereitstellt.

Diese Datenschutzerklärung (nachstehend „diese Erklärung") erläutert ausführlich, welche Informationen wir beim Zugriff auf, der Registrierung bei oder der Nutzung des Dienstes erheben, wie wir sie nutzen, an wen wir sie weitergeben, wie lange wir sie aufbewahren, welche Rechte Ihnen zustehen und wie Sie diese Rechte ausüben können.

Diese Erklärung soll zugleich den Transparenzanforderungen folgender Rechtsordnungen an die Verarbeitung personenbezogener Daten gerecht werden:

• EU-Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679)
• UK Datenschutz-Grundverordnung (UK GDPR) und Data Protection Act 2018
• Schweizer Bundesgesetz über den Datenschutz (revDSG / FADP)
• California Consumer Privacy Act / Privacy Rights Act (CCPA/CPRA)
• Virginia Consumer Data Protection Act (VCDPA)
• Colorado Privacy Act (CPA)
• Connecticut Data Privacy Act (CTDPA)
• Utah Consumer Privacy Act (UCPA)
• Texas Data Privacy and Security Act (TDPSA)
• Washington My Health My Data Act (MHMDA)
• Nevada SB220
• U.S. Children's Online Privacy Protection Act (COPPA)
• EU-KI-Verordnung (EU AI Act, Verordnung (EU) 2024/1689)
• Richtlinie über das Urheberrecht im digitalen Binnenmarkt (DSM, Richtlinie (EU) 2019/790), Art. 4 – Text- und Data-Mining (TDM)
• sonstige einschlägige Datenschutz- und Verbraucherschutzgesetze

Verhältnis der drei Dokumente: Diese Erklärung bildet zusammen mit den Nutzungsbedingungen (Terms of Service) und der Rückerstattungsrichtlinie (Refund Policy) einen einheitlichen Vertrag zwischen Ihnen und AISnapEdit. Begriffe und Querverweise werden im Text ausdrücklich gekennzeichnet; treten unmittelbare Widersprüche auf, hat diese Erklärung für Datenverarbeitungsfragen Vorrang.

Mit dem Zugriff auf oder der Nutzung des Dienstes erklären Sie, diese Erklärung gelesen, verstanden und ihr zugestimmt zu haben. Sollten Sie einzelnen Bestimmungen nicht zustimmen, nutzen Sie den Dienst bitte nicht.

1. Begriffsbestimmungen

Diese Erklärung verwendet folgende Begriffe, die mit den entsprechenden Begriffen in den Nutzungsbedingungen und der Rückerstattungsrichtlinie vollständig übereinstimmen:

Gemeinsame Begriffe (einheitlich in allen drei Dokumenten):

• Erstabonnent: eine eindeutige natürliche Person, die erstmalig eine zahlungspflichtige Leistung bezieht und durch eine Kombination aus E-Mail-Adresse, Zahlungsmittel, Geräte-Fingerabdruck, IP-Adresse und weiteren Merkmalen identifiziert wird; das Anlegen mehrerer Konten zur Umgehung dieser Definition stellt einen Verstoß dar.
• Eigenes Ermessen: eine von AISnapEdit nach sachgerechter Beurteilung getroffene, endgültige Entscheidung.
• Werktag: ein gesetzlicher Werktag auf US-Bundesebene (Montag bis Freitag, ausgenommen gesetzliche US-Bundesfeiertage), berechnet nach der pazifischen Zeitzone (PT) der Vereinigten Staaten, in der sich unser operativer Hauptsitz befindet.
• Endgültige Ausgabedatei: vom Nutzer erfolgreich durch KI erzeugte und mindestens einmal heruntergeladene, kopierte, geteilte oder exportierte Bild-, Video-, Audio- oder Textinhalte.
• Nutzung: jeder erfolgreiche API-Aufruf, jeder Verbrauch von Credits und jede Inhaltserzeugung, unabhängig davon, ob der Nutzer das Ergebnis behält.
• Credits: ein von AISnapEdit an den Nutzer ausgegebenes virtuelles Konsumgut; sie stellen weder eine Vorauszahlung noch eine Kaution, ein Guthaben oder ein vergleichbares Finanzinstrument dar.
• Durchgehende Dienstunverfügbarkeit: eine aus technischen Gründen bei uns liegende, mehr als 24 Stunden ununterbrochene Nichtverfügbarkeit des Dienstes.
• Chargeback / Rückbuchung: eine vom Nutzer unmittelbar bei der kartenausgebenden Bank eingeleitete Rückbuchungs- oder Anfechtungsanforderung.
• Sperrliste (Blocklist): der aus Verstoßgründen aufgebaute Risikodatenbestand, der u. a. E-Mail-Hashes, Karten-Fingerprints, IP-Adressen und Geräte-Fingerabdrücke enthält.

Spezifische Begriffe dieser Datenschutzerklärung:

• Personenbezogene Daten (Personal Data): nach Art. 4 Abs. 1 DSGVO Informationen, die eine natürliche Person unmittelbar oder mittelbar identifizierbar machen.
• Personal Information (CCPA/CPRA): nach § 1798.140(v) CCPA/CPRA Informationen, die mit einem bestimmten kalifornischen Einwohner in Verbindung stehen oder vernünftigerweise in Verbindung gebracht werden können.
• Sensible personenbezogene Daten (Sensitive Personal Information): die neun in § 1798.140(ae) CPRA definierten Kategorien sensibler Informationen.
• Verarbeitung (Processing): gemäß Art. 4 Abs. 2 DSGVO jeder automatisierte oder nicht automatisierte Umgang mit personenbezogenen Daten.
• Verantwortlicher (Controller): gemäß Art. 4 Abs. 7 DSGVO die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.
• Auftragsverarbeiter (Processor): gemäß Art. 4 Abs. 8 DSGVO die Stelle, die im Auftrag des Verantwortlichen Daten verarbeitet.
• Unterauftragsverarbeiter (Sub-Processor): eine vom Auftragsverarbeiter mit einer nachgelagerten Datenverarbeitung betraute Stelle.
• SCCs: Standardvertragsklauseln (Standard Contractual Clauses) in der modularen Fassung der Europäischen Kommission von 2021.
• DPF: EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795).
• GPC: Global Privacy Control – ein von Browsern oder Erweiterungen an Websites gesendetes Opt-out-Signal.
• DSFA (DPIA): Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, Art. 35 DSGVO).
• ROPA: Verzeichnis von Verarbeitungstätigkeiten (Record of Processing Activities, Art. 30 DSGVO).
• TIA: Transfer Impact Assessment (Anforderung nach Schrems II).
• LIA: Legitimate Interest Assessment (Art. 6 Abs. 1 Buchst. f DSGVO).
• ADMT: Automated Decision-Making Technology (CCPA-Regelung 2026).

2. Angaben zum Verantwortlichen

2.1 Verantwortlicher

Für den Europäischen Wirtschaftsraum (EWR), das Vereinigte Königreich, die Schweiz sowie andere Rechtsordnungen, die eine Benennung verlangen:

AISnapEdit

• Website: https://aisnapedit.com
• Datenschutz-Kontakt: [email protected]
• Allgemeine Anfragen: [email protected]
• Operativer Hauptsitz: Kalifornien, USA (pazifische Zeitzone, PT)

AISnapEdit ist für die in dieser Erklärung beschriebenen Verarbeitungstätigkeiten Verantwortlicher im Sinne der DSGVO. Wir nehmen Mitteilungen der Nutzer sowie Anträge betroffener Personen ausschließlich über die oben genannten E-Mail-Adressen entgegen; die genauen Registrierungsdaten des Rechtsträgers werden in der endgültig geltenden Fassung dieser Erklärung bekannt gegeben.

2.2 Ansprechpartner für Datenschutz

Wir überschreiten nicht die Schwellenwerte nach Art. 37 DSGVO zur zwingenden Bestellung eines Datenschutzbeauftragten (DSB) (wir verarbeiten weder in großem Umfang besondere Kategorien personenbezogener Daten noch nehmen wir eine umfangreiche systematische Überwachung vor). Wir benennen jedoch einen dedizierten Ansprechpartner für Datenschutz (Privacy Contact), der durch den Leiter Recht wahrgenommen wird und folgende Aufgaben erfüllt:

• Beantwortung von Anträgen betroffener Personen
• Koordination der Bearbeitung und Meldung von Datenschutzverletzungen
• Zusammenarbeit mit Aufsichtsbehörden bei Untersuchungen und Anfragen
• Kontakt zu EU-/UK-Vertretungen

Kontakt: [email protected]

2.3 EU-Vertreter (Art. 27 DSGVO)

Gemäß Art. 27 DSGVO hat AISnapEdit das folgende externe professionelle Dienstleistungsunternehmen innerhalb der Europäischen Union als EU-Vertreter benannt:

• Firmenname: Instant EU GDPR Representative Limited
• Eingetragene Anschrift: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
• Kontakt: über [email protected] (wir leiten Anfragen nach Eingang an unseren EU-Vertreter weiter)

Betroffene Personen innerhalb der Europäischen Union können ihre Rechte über den vorstehenden Kanal wahrnehmen; Aufsichtsbehörden können den EU-Vertreter oder AISnapEdit unter denselben Kontaktdaten erreichen.

2.4 UK-Vertreter (Art. 27 UK-DSGVO)

Der von AISnapEdit gemäß Art. 27 UK-DSGVO benannte UK-Vertreter ist dasselbe Unternehmen wie der EU-Vertreter:

• Firmenname: Instant EU GDPR Representative Limited
• Eingetragene Anschrift: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
• Kontakt: über [email protected] (wir leiten Anfragen nach Eingang an unseren UK-Vertreter weiter)

3. Welche Informationen wir erheben

Dieser Abschnitt legt nach Herkunft und Kategorie sämtliche von uns erhobenen Daten offen. Zu jeder Datenkategorie folgen Erläuterungen in § 4 (Rechtsgrundlagen), § 5 (Zwecke), § 7 (Empfänger) und § 9 (Aufbewahrungsfristen).

3.1 Von Ihnen direkt bereitgestellte Informationen

3.2 Automatisch erhobene Informationen

3.3 Informationen aus Drittquellen

3.4 Daten zur Betrugsabwehr und Kontosicherheit [neu offengelegt]

Zur Verhinderung von Zahlungsbetrug, Missbrauch durch Mehrfachkonten und Rückerstattungsmissbrauch sowie zum Schutz regelkonformer Nutzer und der Betriebskontinuität erheben, verarbeiten und bewahren wir die folgenden risikorelevanten Daten auf:

Die vorstehenden Daten entsprechen unmittelbar den in § 4 der Rückerstattungsrichtlinie offengelegten Betrugsabwehrregeln. Für geplante, aber noch nicht eingesetzte Geräte-Fingerabdrucktechnologien sagen wir zu: vor dem tatsächlichen Einsatz werden wir in dieser Erklärung den Offenlegungsumfang ausdrücklich aktualisieren und die Aufbewahrungstabelle entsprechend anpassen.

Rechtsgrundlage: Art. 6 Abs. 1 Buchst. f DSGVO – berechtigtes Interesse zur Verhinderung von Betrug, zum Schutz regelkonformer Nutzer und zur Wahrung der Betriebskontinuität. Für diese Verarbeitungstätigkeit liegt ein dokumentiertes Legitimate Interest Assessment (LIA) vor; eine Zusammenfassung des LIA können Sie über [email protected] anfordern.

3.5 Abgeleitete Daten und Inferenzen [Offenlegung gemäß CCPA/CPRA]

Auf Grundlage der in § 3.1–§ 3.4 genannten Rohdaten entstehen bei uns bestimmte abgeleitete oder inferierte Daten:

• Nutzungs-Präferenz-Inferenz: Ableitung Ihrer Modulpräferenzen anhand der Häufigkeit der Modellauswahl und der Kategorien erzeugter Inhalte zur Verbesserung der Nutzererfahrung.
• Aggregierter Risikoscore: Gesamtrisikobewertung Ihres Kontos durch das Betrugsabwehrsystem.
• Profil zu Abonnement- und Credits-Nutzung: für Funktionen wie Laufzeitablauf- und Guthaben-Erinnerungen erforderliche Statusberechnungen.

Wir erklären ausdrücklich, dass wir folgende Kategorien nicht inferieren:

• ethnische Herkunft
• politische Meinungen, religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Gesundheitsdaten
• sexuelle Orientierung oder sexuelles Verhalten
• genetische Daten oder biometrische Identifikationsvorlagen

4. Rechtsgrundlagen der Verarbeitung

Gemäß Art. 6 und Art. 9 DSGVO sowie den entsprechenden Regelungen anderer Rechtsordnungen stützen wir die Verarbeitung auf folgende Rechtsgrundlagen:

4.1 Matrix der Rechtsgrundlagen

4.2 Erklärung zu besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO)

Wir erheben nicht aktiv folgende besondere Kategorien:

• Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen
• biometrische Daten (biometrische Identifikationsvorlagen zur eindeutigen Identifizierung einer natürlichen Person)
• genetische Daten
• Gesundheitsdaten
• Daten zum Sexualleben oder zur sexuellen Orientierung

Für in hochgeladenen Bildern möglicherweise enthaltene Gesichter führen wir keine Gesichtserkennung, Identitätserkennung oder Extraktion biometrischer Vorlagen durch und bauen keine biometrischen Datenbanken auf. Zu den Grenzen unseres Produkts hinsichtlich sensibler Fähigkeiten wie Deepfakes, Face-Swap, Voice-Cloning realer Personen u. ä. siehe § 6.5.

4.3 Widerruf der Einwilligung

Soweit eine Verarbeitungstätigkeit auf Ihrer Einwilligung beruht (z. B. Marketing-E-Mails, bestimmte optionale Cookies), können Sie diese jederzeit widerrufen; der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Widerrufswege siehe § 10 (Cookie-Präferenzverwaltung) und § 11 (Ausübung der Rechte).

5. Wie wir Ihre Informationen nutzen

Dieser Abschnitt knüpft an die Spalte „Verarbeitungszweck" der Matrix in § 4 an und erläutert sie weiter.

5.1 Konto und Diensterbringung

• Anlegen und Verwalten Ihres Kontos, Verifizierung Ihrer Identität
• Erbringung der KI-Generierungsdienste (siehe § 6)
• Darstellung der endgültigen Ausgabedateien einschließlich Download, Teilen und Export
• Verwaltung von Credits-Guthaben, Abonnementstatus und Historie
• Versand kontobezogener transaktionaler Mitteilungen (Bestellbestätigung, Abonnementverlängerungshinweise, Passwortrücksetzung)

5.2 Zahlung und Betrugsabwehr

• Zahlungsabwicklung, Abonnementverlängerung, Rückerstattung
• Umsetzung der in § 4 der Rückerstattungsrichtlinie geregelten Betrugsabwehr
• Betrieb automatisierter Risikobewertungssysteme (siehe § 14.2)
• Pflege der Sperrliste zur Verhinderung der Neuregistrierung gesperrter Nutzer

5.3 Dienstverbesserung und Analyse

• Analyse des Nutzungsverhaltens zur Verbesserung von Funktionen und Nutzererfahrung
• Fehlerdiagnose anhand von Fehlerprotokollen
• Durchführung von A/B-Tests und Usability-Studien (mit anonymisierten oder pseudonymisierten Daten)
• Aggregierte statistische Analyse der Gesamtleistung

5.4 Konformität und Sicherheit

• Einhaltung geltender Gesetze, Vorschriften und behördlicher Anordnungen
• Beantwortung rechtmäßiger Anfragen, Vorladungen und gerichtlicher Anordnungen
• Schutz der Rechte, des Eigentums und der Sicherheit von AISnapEdit und anderen Nutzern
• Verhinderung von Betrug, Missbrauch und anderen rechtswidrigen Handlungen

5.5 Kommunikation und Marketing

• Versand kontobezogener und dienstbezogener transaktionaler E-Mails (auf Grundlage der Vertragserfüllung)
• Versand von Marketing-E-Mails (auf Grundlage Ihrer ausdrücklichen Einwilligung, jederzeit über den „Abmelden"-Link am Ende der E-Mail oder über [email protected] widerrufbar)
• Mitteilung wichtiger Änderungen oder Sicherheitsvorfälle über Seiten-Benachrichtigungen

6. KI-Generierung und Ihre Daten

6.1 Architektur der KI-Dienste

AISnapEdit ist bei den KI-Generierungsdiensten Verantwortlicher; wenn Sie eine KI-Aufgabe auslösen, übermitteln wir Ihre Prompts und hochgeladenen Mediendateien zur Inferenzberechnung an nachgelagerte KI-Modellanbieter (als Auftragsverarbeiter), erhalten das Ergebnis zurück und speichern es in unseren Speicherdiensten.

Wir trainieren keine eigenen KI-Modelle und führen serverseitig kein eigenes Modell-Fine-Tuning durch. Die konkrete Modellauswahl richtet sich nach der von Ihnen in der Benutzeroberfläche aktiv getroffenen Wahl.

6.2 Weitergabe an KI-Modellanbieter

Zur Bereitstellung vielfältiger Generierungsfähigkeiten (Bild, Video, Audio, Musik) leiten wir Ihre Eingabedaten je nach gewähltem Modell an die folgenden Kategorien von KI-Modellanbietern weiter:

Die tatsächlich eingesetzten KI-Modellanbieter sind (nach Funktionskategorie offengelegt, ohne namentliche Auflistung jedes Anbieters, um der Dynamik des KI-Ökosystems gerecht zu werden): Google (Gemini-Reihe), Replicate, Kie, Fal, Tuzi und weitere KI-Content-Dienste. Eine vollständige, laufend aktualisierte Liste der Modellanbieter ist auf der Modellauswahl-Seite des Dienstes einsehbar; wir planen, künftig eine eigenständige Offenlegungsseite unter /legal/ai-providers bereitzustellen und sie dort synchron zu veröffentlichen.

Hinweis: Der Dienst bietet derzeit keine KI-Chat-Funktion; entsprechende Einstiegspunkte und Chat-Routing-Dienste wie OpenRouter wurden aus dem Produkt entfernt und es werden keine Nachrichten mehr erhoben oder weitergegeben.

Jeder KI-Modellanbieter verarbeitet Ihre Daten weiter auf Grundlage seiner eigenen Datenschutzerklärung. Wir binden die genannten Anbieter vertraglich über Auftragsverarbeitungsverträge (DPAs) und leiten – unter Einsatz vertretbarer wirtschaftlicher Mittel – ausschließlich die zur Erbringung der Generierungsleistung erforderlichen Daten weiter.

6.3 Richtlinie zu Trainingsdaten

AISnapEdit verwendet Ihre Prompts oder Generierungsausgaben nicht zum Training eigener KI-Modelle (wir trainieren selbst keine Modelle).

Für nachgelagerte KI-Modellanbieter:

• Standardregelung (Opt-out): Ohne von Ihnen vorgenommene Änderung der Einstellungen können Ihre Eingaben von nachgelagerten KI-Anbietern zur Modellqualitätsverbesserung genutzt werden (gemäß den jeweiligen Standardverträgen). In den Kontoeinstellungen können Sie jederzeit wählen, Ihre Inhalte von derartiger Nutzung auszuschließen (Schalter „nicht zur Modellverbesserung verwenden"); nach dem Opt-out wird der jeweiligen Anfrage eine entsprechende „nicht zum Training"-Kennzeichnung mitgegeben.
• Von Training dauerhaft ausgeschlossene Datenkategorien: Unabhängig vom Opt-out-Status werden Inhalte mit Zahlungsdaten, Kontozugangsdaten und Betrugsabwehrdaten nicht an nachgelagerte Modelle zum Training oder zur Verbesserung weitergegeben.

Art. 4 DSM-Richtlinie (TDM-Opt-out):

Nach Art. 4 der Richtlinie (EU) 2019/790 über das Urheberrecht im digitalen Binnenmarkt steht Ihnen das Recht zu, einem Text- und Data-Mining Ihrer Werke zu widersprechen. Für diesen Dienst bedeutet dies:

• Im Stammverzeichnis der Website haben wir robots.txt und ai.txt bereitgestellt, in denen unsere TDM-Opt-out-Präferenz ausgewiesen ist und die für sämtliche Drittanbieter-Crawler und KI-Trainingssysteme gelten.
• Für Inhalte, die Sie in der Gallery oder auf der Showcase-Seite öffentlich zugänglich gemacht haben, können Sie uns über [email protected] schriftlich bitten, für bestimmte Inhalte zusätzliche Opt-out-Markierungen vorzunehmen.

6.4 Aufbewahrung bei KI-Verarbeitung

6.5 Grenzerklärung zu biometrischen Daten, Gesichtern und Deepfakes

• Wir führen keine Gesichtserkennung, Identitätserkennung, Altersschätzung, Emotionserkennung oder Extraktion biometrischer Vorlagen durch.
• Bilder mit Gesichtern, die Nutzer hochladen, werden ausschließlich als Pixeldaten zur Generierung an nachgelagerte KI-Anbieter übertragen und nach der Verarbeitung nicht zum Aufbau identifizierender Datenbanken verwendet.
• Der Dienst unterstützt nicht Face-Swap realer Personen, Voice-Cloning realer Personen oder die Erzeugung von Deepfakes, die auf identifizierbare natürliche Personen abzielen und geeignet wären, andere schwer in die Irre zu führen oder ihren Ruf erheblich zu schädigen.
• Führen wir künftig Funktionen mit biometrischer Erkennung ein, werden wir gesondert Ihre ausdrückliche Einwilligung einholen (Art. 9 Abs. 2 Buchst. a DSGVO, BIPA § 15(b), CPRA § 1798.121) und Sie vor Aktivierung deutlich über Umfang und Opt-out-Mechanismus der Verarbeitung informieren.

7. Weitergabe Ihrer Informationen

Mit Ausnahme der nachfolgend genannten Fälle geben wir Ihre personenbezogenen Daten nicht an Dritte weiter.

7.1 Dienstleister (Liste der Unterauftragsverarbeiter)

Zur Bereitstellung, Aufrechterhaltung und Verbesserung des Dienstes beauftragen wir die folgenden sorgfältig ausgewählten Dienstleister. Alle Anbieter sind durch schriftliche Auftragsverarbeitungsverträge (DPAs) vertraglich gebunden; der Verarbeitungsumfang beschränkt sich auf das zur Erbringung der jeweiligen Leistung erforderliche Mindestmaß.

Wichtige Hinweise:

• Diese Tabelle listet ausschließlich die tatsächlich aktuell eingesetzten Dienstleister. Im Code können weitere Integrationen (etwa alternative Zahlungsdienstleister, alternative Kundenservice-Tools) vorgesehen sein; nur wenn eine solche Integration in der Produktionsumgebung aktiviert ist, entsteht eine tatsächliche Datenweitergabe.
• Änderungen bei Unterauftragsverarbeitern werden wir durch Aktualisierung dieser Erklärung dynamisch offenlegen; wir planen, zukünftig unter /legal/sub-processors eine eigenständige Offenlegungsseite bereitzustellen und diese dort synchron zu veröffentlichen.

7.2 Rechtskonformität und Strafverfolgungsanfragen

In folgenden Fällen können wir Ihre Informationen im rechtlich gebotenen und angemessenen Umfang offenlegen:

• Einhaltung geltender Gesetze, Vorschriften, Gerichtsbeschlüsse oder rechtmäßiger Strafverfolgungsanordnungen
• Mitwirkung an laufenden Ermittlungen oder Gerichtsverfahren
• Schutz der Rechte, des Eigentums und der Sicherheit von AISnapEdit, unseren Nutzern oder der Öffentlichkeit
• Untersuchung, Verhinderung oder Reaktion auf mögliche rechtswidrige Handlungen oder Verstöße gegen die Nutzungsbedingungen

7.3 Unternehmensübertragungen

Im Falle einer Verschmelzung, Übernahme, Umstrukturierung, eines Vermögensverkaufs oder einer vergleichbaren unternehmerischen Transaktion können Ihre Informationen als Teil der übertragenen Vermögenswerte auf ein neues Rechtssubjekt übergehen. Wir werden Sie vor einer solchen Übertragung in geeigneter Weise informieren und sicherstellen, dass der Erwerber Ihre Informationen mindestens nach den in dieser Erklärung festgelegten Standards weiterhin schützt.

7.4 Offenlegung aufgrund Ihrer Einwilligung

Auf Ihre ausdrückliche Zustimmung können wir Ihre Informationen zu anderen, in dieser Erklärung nicht vorgesehenen Zwecken an Dritte weitergeben. Eine solche Einwilligung kann jederzeit widerrufen werden.

7.5 Kontextübergreifende Werbung und „Sharing" [CPRA-spezifisch]

Nach der erweiterten Definition von „Sharing" im kalifornischen CPRA können bestimmte Drittanbieter-Cookies (insbesondere im Zusammenhang mit Analyse und Werbung) selbst dann ein „kontextübergreifendes verhaltensbasiertes Werben" darstellen, wenn sie keinen klassischen „Verkauf (sale)" begründen.

• Wir verkaufen Ihre personenbezogenen Daten nicht gegen monetäre Gegenleistung.
• Auf Seiten, auf denen Google Analytics und Microsoft Clarity aktiv sind, kann der betreffende Datentransfer nach CPRA jedoch ein „Sharing" darstellen.
• Kalifornische Einwohner und Nutzer mit vergleichbaren Rechten können auf folgende Weise widersprechen:
  • Klick auf den Link „Do Not Sell or Share My Personal Information" in der Fußzeile der Website;
  • Aktivierung eines GPC-Signals (Global Privacy Control) über Browser oder Erweiterung – wir erkennen dieses automatisch und behandeln es als Opt-out-Anweisung;
  • E-Mail an [email protected].

7.6 Links zu Drittanbietern

Der Dienst kann Links zu Websites, Plugins oder Anwendungen Dritter enthalten. Wir üben darauf keine Kontrolle aus und tragen auch keine Verantwortung für deren Datenschutzpraktiken. Wir empfehlen Ihnen, vor dem Klick auf externe Links deren Datenschutzerklärungen zu lesen.

8. Internationale Datenübermittlung

Aufgrund der mehrregionalen Architektur des Dienstes können Ihre personenbezogenen Daten in Länder außerhalb Ihres Wohnsitzstaates übermittelt und dort verarbeitet werden.

8.1 Übermittlungsmechanismen

Für Übermittlungen aus dem EWR, dem Vereinigten Königreich oder der Schweiz an Staaten ohne Angemessenheitsbeschluss greifen wir je nach Qualifikation des Empfängers auf einen der folgenden Mechanismen zurück:

• EU-US Data Privacy Framework (EU-US DPF): sofern der Empfänger nach dem DPF zertifiziert ist (Durchführungsbeschluss (EU) 2023/1795), stützen wir uns auf das DPF als angemessene Absicherung – z. B. sind Stripe, Google, Cloudflare, AWS, Microsoft, Resend dem DPF beigetreten;
• UK-Erweiterung des DPF: für Übermittlungen aus dem Vereinigten Königreich in die USA;
• Swiss-US DPF: für Übermittlungen aus der Schweiz in die USA;
• EU-Standardvertragsklauseln (SCCs) (modulare Fassung 2021): für Empfänger, die nicht dem DPF beigetreten sind;
• UK International Data Transfer Agreement (IDTA) oder UK-Addendum zu SCCs: für Übermittlungen mit UK-Bezug;
• Angemessenheitsbeschluss: bei Übermittlung an von der Europäischen Kommission als angemessen anerkannte Länder (z. B. Japan, Republik Korea, kanadische Handelsunternehmen).

8.2 Wichtigste Empfängerregionen

Auf Grundlage der in § 7 genannten tatsächlich eingesetzten Dienstleister können Ihre Daten übermittelt werden an:

• USA: Stripe, Google, AWS, Cloudflare, Resend, Microsoft Clarity u. a.
• EU: Stripe Europe, Teile der AWS-/Cloudflare-Knoten
• Singapur, Hongkong: Inferenzknoten einzelner KI-Modellanbieter
• Vereinigtes Königreich: Teile der Cloudflare-Edge-Knoten

8.3 Ihre Rechte in Bezug auf Übermittlungen

Sie haben das Recht:

• zu erfahren, in welche Länder Ihre Daten übermittelt werden
• Einblick in die Dokumentation der für die jeweilige Übermittlung eingesetzten Schutzmaßnahmen zu verlangen (z. B. nicht geschäftssensible Teile der SCC-Kopien)
• einer bestimmten Übermittlung zu widersprechen

8.4 Transfer Impact Assessment (TIA)

Entsprechend dem Schrems-II-Urteil des Gerichtshofs der EU (C-311/18) haben wir für jeden nicht dem DPF unterliegenden US-Empfänger sowie für andere risikobehaftete Zielorte ein Transfer Impact Assessment (TIA) durchgeführt oder befinden uns im Verfahren, um zu prüfen, ob das Recht und die Schutzmaßnahmen des Empfängerlandes den Grundrechten der betroffenen Personen ausreichend Rechnung tragen. Eine Zusammenfassung des TIA können Sie über [email protected] anfordern.

9. Aufbewahrungsfristen

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es zur Erfüllung der in dieser Erklärung genannten Zwecke, zur Erfüllung gesetzlicher Pflichten, zur Beilegung von Streitigkeiten und zur Durchsetzung von Vereinbarungen erforderlich ist. Die konkreten Fristen lauten:

Hinweis zur unbefristeten Aufbewahrung der Sperrliste: Nach Art. 17 Abs. 3 Buchst. e DSGVO greift das Löschungsrecht betroffener Personen nicht, soweit die Verarbeitung „zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen" erforderlich ist. Die Sperrlistendaten sind notwendig, um (a) Ansprüche abzuwehren, die von gesperrten Nutzern unter neuer Identität geltend gemacht werden könnten; (b) zu verhindern, dass gesperrte Nutzer die Beschränkungen der Nutzungsbedingungen umgehen und neue Schäden verursachen; (c) eine branchenweite Erkennung bekannter Betrugsmuster zu unterstützen. Daher besteht keine feste Löschfrist; wir überprüfen die Erforderlichkeit der Sperrliste jährlich.

Nach Ablauf der Aufbewahrungsfrist werden die Daten sicher gelöscht oder einer nicht umkehrbaren Anonymisierung unterzogen.

10. Cookies und Tracking-Technologien

10.1 Von uns verwendete Cookie-Typen

10.2 Drittanbieter-Cookies und Widerspruch

10.3 Cookies verwalten

Sie können Cookies wie folgt steuern:

• über die Browser-Einstellungen (Cookies blockieren oder löschen)
• über das Cookie-Einwilligungsbanner des Dienstes (wird schrittweise eingeführt): für Erstbesuche aus dem EWR, dem Vereinigten Königreich und der Schweiz gilt ein Opt-in, für US-Nutzer ein Opt-out mit automatischer GPC-Erkennung
• über die jeweiligen Opt-out-Links der oben genannten Anbieter

Hinweis: Das Deaktivieren notwendiger Cookies kann dazu führen, dass eine Anmeldung oder die Nutzung von Kernfunktionen nicht möglich ist.

10.4 Do-Not-Track-Signal (DNT)

Da es für DNT-Signale keinen branchenweit einheitlichen Standard gibt, reagieren wir nicht auf browserseitige DNT-Signale; das neuere GPC-Signal berücksichtigen wir jedoch (siehe § 10.5).

10.5 Global Privacy Control (GPC) [neu – CPRA-Pflicht]

Gemäß dem kalifornischen CPRA sowie den Gesetzen Colorados, Connecticuts und weiterer Bundesstaaten erkennen wir automatisch das GPC-Signal (Global Privacy Control) und reagieren darauf. Erkennen wir, dass Ihr Browser oder Ihre Erweiterung ein GPC-Signal sendet, werten wir dieses als wirksame Opt-out-Anweisung nach CCPA/CPRA für „Verkauf / Weitergabe personenbezogener Daten" und passen Laden sowie Weitergabe von Analyse- und Werbe-Cookies entsprechend an.

11. Ihre Datenschutzrechte

11.1 Rechte nach der DSGVO (EWR, Vereinigtes Königreich, Schweiz)

Wenn Sie sich im EWR, im Vereinigten Königreich oder in der Schweiz befinden, stehen Ihnen folgende Rechte zu:

Ausnahmen vom Löschungsrecht: Nach Art. 17 Abs. 3 DSGVO kann eine Löschanforderung in folgenden Fällen abgelehnt werden:

• Rechtliche Aufbewahrungspflichten (z. B. Transaktionsdaten innerhalb der steuerrechtlichen Aufbewahrungsfrist)
• Erforderlichkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (gilt für Betrugsabwehr-Sperrlistendaten)
• Erforderlichkeit für ein öffentliches Interesse oder die wissenschaftliche Forschung

Antwortfrist: Wir antworten innerhalb von 30 Tagen nach Eingang des Antrags; bei komplexen oder zahlreichen Anfragen ist eine Verlängerung um 60 Tage möglich, die wir Ihnen innerhalb der ersten 30 Tage mitteilen.

11.2 Rechte nach CCPA/CPRA (kalifornische Einwohner)

Wenn Sie kalifornischer Einwohner sind, stehen Ihnen zu:

Kategorien sensibler personenbezogener Daten, die wir erheben (§ 1798.140(ae) CPRA):

• Kontozugangsdaten (E-Mail + Passwort / OAuth-Token)
• präzise Geolokalisierung (nur wenn Sie dem Browser eine Ortung gestatten)
• sensible Inhalte, die möglicherweise in den von Ihnen hochgeladenen Inhalten enthalten sind (in Ihrem Ermessen)

Wir verwenden diese sensiblen Daten nicht, um sensible Merkmale abzuleiten, sondern ausschließlich für die nach CPRA zulässigen Geschäftszwecke (Authentifizierung, Betrugsabwehr, Vertragserfüllung). Dieser Standardschutz besteht, ohne dass Sie gesondert das Recht auf „Nutzungseinschränkung" ausüben müssten.

Antwortfrist: Antwort innerhalb von 45 Tagen; in komplexen Fällen Verlängerung um 45 Tage möglich.

Autorisierter Vertreter: Sie können einen autorisierten Vertreter benennen, der in Ihrem Namen einen Antrag stellt, sofern eine angemessene Identitätsprüfung erfolgt.

California Shine the Light Act (§ 1798.83): siehe § 17.

11.3 Rechte nach weiteren US-Bundesstaatsgesetzen

Beschwerde: Wird Ihr Antrag abgelehnt, können Sie innerhalb von 45 Tagen Beschwerde einlegen; die Beschwerde wird von einer Fachperson überprüft.

11.4 Washington My Health My Data Act (MHMDA)

Der Dienst verarbeitet keine „Consumer Health Data" im Sinne des MHMDA, führt keine gesundheitsbezogenen Inferenzen oder Diagnosen durch und unterstützt keine medizinischen Leistungen. Sollten Sie bei der Nutzung des Dienstes eigenverantwortlich gesundheitsbezogene Inhalte hochladen, werden diese von uns nicht zu kommerziellen Zwecken verwendet oder offengelegt und ebenfalls nicht an Datenbroker oder andere Dritte verkauft.

11.5 So üben Sie Ihre Rechte aus

• Antrag per E-Mail: senden Sie eine E-Mail an [email protected] mit dem Betreff „Privacy Rights Request - [Rechtstyp]";
• Webformular: strukturierte Anfrage über /privacy/rights-request (wird schrittweise verfügbar gemacht);
• Identitätsprüfung: zur Verhinderung missbräuchlicher Anfragen können wir eine Identitätsprüfung (z. B. über die Registrierungs-E-Mail, verknüpfte Zahlungsmittel) durchführen, die ausschließlich zu Verifizierungszwecken dient;
• Antwortfrist: gemäß den für Ihren Wohnsitz geltenden gesetzlichen Fristen (DSGVO 30 Tage + Verlängerung 60 Tage; CCPA/CPRA 45 Tage + Verlängerung 45 Tage);
• Ablehnung und Beschwerde: Lehnen wir Ihren Antrag ab, werden wir die Gründe schriftlich darlegen; Sie können über [email protected] Beschwerde einlegen, die manuell geprüft und innerhalb von 5 Werktagen beantwortet wird.

11.6 Beschwerde bei der Aufsichtsbehörde

Sofern Sie der Auffassung sind, unsere Verarbeitung verstoße gegen geltendes Recht, können Sie sich an die zuständige Aufsichtsbehörde wenden:

• EWR-Einwohner: die Datenschutzbehörde Ihres Mitgliedstaats; vollständige Liste über die EDPB-Website
• UK-Einwohner: Information Commissioner's Office (ICO), https://ico.org.uk
• Schweizer Einwohner: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB / FDPIC)
• US-Einwohner: Federal Trade Commission (FTC) https://ftc.gov oder der zuständige Attorney General Ihres Bundesstaates

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen um, die dem Risiko der Verarbeitung angemessen sind, und schützen Ihre personenbezogenen Daten vor unbefugtem Zugriff, Weitergabe, Veränderung und Zerstörung.

12.1 Technische Maßnahmen

• Übertragungsverschlüsselung: TLS 1.3 für die gesamte Website;
• Verschlüsselung im Ruhezustand: AES-256 in Datenbanken und Objektspeichern;
• Zugriffskontrolle: rollenbasierte Zugriffskontrolle (RBAC), Need-to-know-Prinzip, zwingende Mehrfaktor-Authentifizierung (MFA) bei kritischen Admin-Operationen;
• Sitzungssicherheit: Sitzungsverwaltung auf Basis von Better-Auth mit kurzer Gültigkeitsdauer und Refresh-Mechanismus;
• Monitoring: 7×24-Stunden-Überwachung ungewöhnlichen Datenverkehrs und Zugriffsverhaltens;
• Regelmäßige Audits: interne und externe Sicherheitsaudits sowie regelmäßige Schwachstellenscans.

12.2 Organisatorische Maßnahmen

• Datenminimierung: Erhebung und Speicherung nur der für die Zwecke erforderlichen Daten;
• Mitarbeiterschulung: regelmäßige Datenschutz- und Sicherheitsschulungen für alle Mitarbeitenden;
• Lieferantenbewertung: Due Diligence für alle Auftragsverarbeiter und Unterauftragsverarbeiter sowie Abschluss standardisierter DPAs;
• Incident Response: dokumentierte Reaktionsprozesse und Übungsprotokolle;
• Datenlebenszyklus-Management: klar definierte Klassifizierung, Aufbewahrung und Löschung von Daten.

12.3 Benachrichtigung bei Datenschutzverletzungen

Sobald ein Ihre personenbezogenen Daten betreffender Verstoß bestätigt ist:

• Behörde: wir benachrichtigen die zuständige Datenschutzbehörde innerhalb von 72 Stunden nach erstmaliger Kenntnis (Art. 33 DSGVO);
• Betroffene Personen: ergibt sich aus dem Vorfall voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten, informieren wir Sie nach Feststellung der Betroffenheit unverzüglich, spätestens jedoch innerhalb von 72 Stunden (Art. 34 DSGVO). Die Mitteilung enthält: Art des Vorfalls, Kategorien betroffener Daten (grob), mögliche Folgen, bereits ergriffene und empfohlene Maßnahmen sowie Angaben zum Datenschutz-Ansprechpartner;
• US-Bundesstaatsrecht: Einhaltung der jeweiligen Fristen (z. B. kalifornisches § 1798.82, New Yorker SHIELD Act mit 30–45 Tagen).

13. Kinderdatenschutz

Der Dienst richtet sich an Nutzer ab 18 Jahren.

• Einheitliche Altersgrenze: Wir setzen im Einklang mit den Nutzungsbedingungen global eine Mindestaltersgrenze von 18 Jahren fest, die über den Untergrenzen anderer Rechtsordnungen liegt (COPPA USA 13 Jahre; Art. 8 DSGVO EU-Standard 16 Jahre; UK GDPR 13 Jahre).
• Keine wissentliche Erhebung: Wir erheben wissentlich keine personenbezogenen Daten Minderjähriger unter 18 Jahren.
• Altersverifizierung: Bei der Registrierung ist das Alter durch Ankreuzen zu bestätigen; wir werden künftig regional abgestimmte Altersverifizierungen ergänzen.
• Kanal für Erziehungsberechtigte: Stellen Eltern oder Erziehungsberechtigte fest, dass ein Minderjähriger ohne Zustimmung personenbezogene Daten übermittelt hat, können sie über [email protected] die Löschung verlangen; wir bearbeiten dies nach Überprüfung umgehend.

14. Automatisierte Entscheidungen und Profiling

14.1 KI-Inhaltserzeugung

Unsere KI-Inhaltserzeugung beruht vollständig auf Ihren ausdrücklichen Eingaben (dem von Ihnen gewählten Modell, den von Ihnen eingereichten Prompts und Medien). Diese Verarbeitung:

• stellt ihrem Wesen nach keine Entscheidung dar, die nach Art. 22 Abs. 1 DSGVO „ausschließlich auf einer automatisierten Verarbeitung beruht und rechtliche Wirkung oder eine vergleichbare erhebliche Beeinträchtigung entfaltet";
• stützt sich auf Art. 6 Abs. 1 Buchst. b – Vertragserfüllung + Art. 22 Abs. 2 Buchst. a – für die Vertragsdurchführung erforderlich;
• kann jederzeit eingestellt werden.

14.2 Automatisierte Entscheidungen in der Betrugsabwehr [zentrale Offenlegung – Art. 22 DSGVO]

Wir weisen ausdrücklich darauf hin: Zur Verhinderung von Zahlungsbetrug und Kontomissbrauch betreiben wir automatisierte Risikosysteme (einschließlich Stripe Radar sowie interner Regel-Engines), die in bestimmten Fällen automatisiert:

• Rückerstattungsanträge ablehnen
• Konten aussetzen oder dauerhaft sperren
• die im Konto befindlichen Credits unverzüglich verfallen lassen
• die zugehörigen E-Mail-Hashes, card fingerprints, IP-Adressen und Geräte-Fingerabdrücke auf die Sperrliste setzen

Diese Entscheidungen fallen unter automatisierte Entscheidungen nach Art. 22 DSGVO, die Ihnen gegenüber rechtliche oder ähnlich erhebliche Wirkung entfalten können.

Entscheidungslogik (überblicksartige Offenlegung):

Um keine sensiblen Details unserer Betrugsabwehrstrategien preiszugeben, die böswillig umgangen werden könnten, legen wir die Logik nur kategorial und in allgemeinen Dimensionen offen:

• Zahlungsrisiko: wiederholt fehlgeschlagene Zahlungen, häufiger Wechsel von Zahlungsmitteln innerhalb kurzer Zeit, Überschreitung interner Schwellen beim Stripe-Radar-Score;
• Kontoverbindungen: mehrdimensionale Übereinstimmungen bei E-Mail-Hash, card fingerprint, Geräte-Fingerabdruck und IP;
• Erstattungsauffälligkeiten: Erstattungsantrag innerhalb sehr kurzer Zeit (weniger Stunden) nach Kauf, mehrfache Erstattungen binnen 6 Monaten, bereits bestehende Chargeback-Historie;
• Kontoverhalten: Zugriff mittels Bots, Scrapern oder automatisierter Skripte, Verkauf oder Weitergabe von Konten und Credits, Anlegen von Mehrfachkonten zur Umgehung der Richtlinien.

Ihre Rechte nach Art. 22 Abs. 3 DSGVO:

• Recht auf menschliches Eingreifen: Sie können eine manuelle Überprüfung der automatisierten Entscheidung verlangen.
• Recht auf Darlegung des eigenen Standpunkts: Sie können Nachweise vorlegen (Nutzungsprotokolle, Zahlungsbelege, Korrespondenz, Erläuterungen zur Plausibilität Ihres Aufenthaltsortes usw.), um die Bewertung zu widerlegen.
• Beschwerderecht: nach Abschnitt 10 der Rückerstattungsrichtlinie innerhalb von 14 Tagen nach Erhalt der Entscheidung über [email protected]; die Beschwerde wird manuell geprüft und innerhalb von 5 Werktagen beantwortet.
• Recht auf Erklärung: Sie haben Anspruch auf eine allgemeine Erläuterung der Entscheidungslogik (wie in diesem Abschnitt dargestellt); aus Gründen der Wirksamkeit der Betrugsabwehr legen wir konkrete Schwellen, Gewichte oder Regelparameter nicht offen.
• Beschwerde bei der Aufsichtsbehörde: Sie haben das Recht, sich an Ihre lokale Datenschutzbehörde zu wenden (siehe § 11.6).

Rechtsgrundlage: Art. 22 Abs. 2 Buchst. a DSGVO – Erforderlichkeit zur Vertragserfüllung (Durchsetzung der in Nutzungsbedingungen und Rückerstattungsrichtlinie festgelegten Betrugsabwehrpflichten) + Art. 6 Abs. 1 Buchst. f – berechtigtes Interesse (Verhinderung von Betrug, Schutz regelkonformer Nutzer). Für diese Verarbeitung liegen ein entsprechendes Legitimate Interest Assessment (LIA) und eine Datenschutz-Folgenabschätzung (DSFA) vor (siehe § 15).

14.3 Profiling zur Dienstverbesserung

Inferenzen zu Nutzerfunktionspräferenzen auf Grundlage der Nutzungsdaten (siehe § 3.5) beeinflussen den Kontostatus nicht, sondern dienen ausschließlich der Produktverbesserung und personalisierten Empfehlung; Sie können die personalisierten Empfehlungen in den Kontoeinstellungen deaktivieren.

15. Datenschutz-Folgenabschätzung (DSFA)

Gemäß Art. 35 DSGVO haben wir für Verarbeitungstätigkeiten mit potenziell hohem Risiko für die Rechte und Freiheiten betroffener Personen DSFA durchgeführt oder führen sie derzeit durch:

• DSFA zu automatisierten Entscheidungen in der Betrugsabwehr: abgeschlossen (umfasst die in § 3.4 genannten Datenkategorien und den in § 14.2 beschriebenen Entscheidungsprozess);
• DSFA zur Missbrauchserkennung bei KI-Generierung: in Bearbeitung;
• DSFA zu geplanter Geräte-Fingerabdruck-Technologie: wird vor dem Einsatz abgeschlossen.

Die DSFA identifizieren die entsprechenden Schutzmaßnahmen (Datenminimierung, nicht umkehrbare Hashes, begrenzte Aufbewahrung, Beschwerdekanal durch Menschen etc.). Eine Zusammenfassung der DSFA (ohne Geschäftsgeheimnisse und sicherheitssensible Details) können Sie über [email protected] anfordern.

16. Konformität mit der EU-KI-Verordnung

Die Transparenzvorschriften der EU-KI-Verordnung (EU AI Act, Verordnung (EU) 2024/1689) werden ab dem 2. August 2026 schrittweise durchgesetzt. Für diesen Dienst gilt:

16.1 Risikoklassifizierung der KI-Systeme

Als nachgelagerter Betreiber von KI-Systemen stellen wir einen Dienst der generativen KI bereit, der in der Regel der Kategorie begrenztes Risiko (limited risk) der EU-KI-Verordnung zuzuordnen ist. Wir betreiben nicht:

• verbotene KI-Systeme nach Art. 5 (Social Scoring, unterschwellige Manipulation etc.);
• Hochrisiko-KI-Systeme gemäß Anhang III (Personalauswahl, Kreditwürdigkeitsprüfung, Strafverfolgungsentscheidungen etc.).

16.2 Transparenz der Trainingsdaten

Wir trainieren selbst keine KI-Modelle; die verwendeten Modelle werden von Anbietern betrieben, die die entsprechenden Transparenzpflichten erfüllen. Die Links zu den Offenlegungen der Trainingsdaten der einzelnen Anbieter werden auf der künftig verfügbaren Seite /legal/ai-providers zentral bekannt gegeben; bis zum Launch dieser Seite können Sie Offenlegungen zu bestimmten Anbietern über [email protected] anfragen.

16.3 Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2)

Für KI-erzeugte synthetische Inhalte wie Bilder, Videos oder Audio gilt:

• Wir integrieren im Rahmen dessen, was die nachgelagerten KI-Anbieter unterstützen, maschinenlesbare Kennungen (z. B. C2PA Content Credentials);
• einzelne Ausgaben können zusätzlich sichtbare Wasserzeichen enthalten;
• Sie dürfen diese Kennungen weder entfernen, verfälschen noch umgehen (siehe Nutzungsbedingungen § 5.4).

16.4 Offenlegung der KI-Interaktion (Art. 50 Abs. 1 Buchst. a)

Wenn Sie mit den KI-Generierungsfunktionen des Dienstes interagieren (u. a. Bildbearbeitung, Videogenerierung), weist die Oberfläche deutlich darauf hin, dass Sie mit einem KI-System und nicht mit einem Menschen interagieren.

16.5 Offenlegungspflicht für Deepfakes (Art. 50 Abs. 4)

Zwar unterstützt der Dienst keine Deepfake-Erzeugung, die offenkundig als reale Person, reales Ereignis oder realer Ort erkannt werden könnte (siehe Grenzerklärung § 6.5); nutzen Sie jedoch KI-erzeugte Inhalte für informationsbezogene Themen von öffentlichem Interesse (Nachrichten, Politik, Medizin etc.), haben Sie dennoch bei der Veröffentlichung eindeutig offenzulegen, dass sie KI-generiert oder -unterstützt erstellt wurden. Die vertraglichen Pflichten ergeben sich aus Nutzungsbedingungen § 5.4.

17. California Shine the Light Act

Gemäß § 1798.83 California Civil Code („Shine the Light Act") können kalifornische Einwohner Auskunft darüber verlangen, welche personenbezogenen Informationen wir Dritten für deren Direktmarketing offengelegt haben. Wir geben Ihre personenbezogenen Informationen nicht zu Direktmarketing-Zwecken Dritter weiter; entsprechende Verarbeitungs- und Auskunftsanfragen können Sie über [email protected] stellen.

18. Datenschutzrechte in Nevada

Gemäß Nevada SB220 können Einwohner Nevadas dem Verkauf ihrer personenbezogenen Informationen widersprechen. Wir verkaufen Ihre personenbezogenen Informationen nicht gegen monetäre Gegenleistung; Sie können dennoch über [email protected] einen bestätigenden Opt-out-Antrag stellen, der innerhalb von 60 Tagen beantwortet wird.

19. Änderungen dieser Erklärung

19.1 Änderungsverfahren

Wir können diese Erklärung von Zeit zu Zeit überarbeiten. Sämtliche Neufassungen werden auf dieser Seite veröffentlicht; das Datum unter „Zuletzt aktualisiert" und „Inkrafttreten" wird entsprechend aktualisiert.

19.2 Benachrichtigung bei wesentlichen Änderungen

Bei Änderungen, die Ihre Rechte wesentlich berühren (z. B. neue Verarbeitungszwecke, Änderungen bei internationalen Übermittlungen, Aufnahme neuer Kategorien von Unterauftragsverarbeitern), benachrichtigen wir Sie mindestens 30 Tage vor Inkrafttreten der Änderungen auf folgenden Wegen:

• Versand einer Benachrichtigung an die hinterlegte E-Mail-Adresse;
• gut sichtbare Veröffentlichung auf der Website;
• Hinweis beim nächsten Login über ein In-App-Banner.

19.3 Frühere Fassungen

Sämtliche Vorgängerfassungen werden künftig auf der noch verfügbaren Seite /privacy-policy/history archiviert; bis zum Launch dieser Seite können Sie frühere Fassungen über [email protected] anfordern.

19.4 Weiterverwendung gilt als Zustimmung

Die fortgesetzte Nutzung des Dienstes nach Inkrafttreten einer Änderung gilt als Ihre Zustimmung zur überarbeiteten Fassung. Sollten Sie der Änderung nicht zustimmen, stellen Sie die Nutzung bitte ein und machen Sie nach § 11 von Ihrem Löschungsrecht Gebrauch.

20. Kontakt

20.1 Dedizierte Kontakt-Postfächer

20.2 Kommunikationswege

AISnapEdit

• Website: https://aisnapedit.com
• operativer Hauptsitz: Kalifornien, USA (pazifische Zeitzone PT)
• Wir nehmen Mitteilungen, Rechteanträge und Rechtszustellungen ausschließlich per E-Mail entgegen; bitte nutzen Sie die in § 20.1 genannten Adressen.
• Die genauen Registrierungsdaten des Rechtsträgers werden in der endgültig geltenden Fassung dieser Erklärung bekannt gegeben.

20.3 EU-Vertreter / UK-Vertreter

EU-Vertreter (Art. 27 DSGVO) und UK-Vertreter (Art. 27 UK-DSGVO) werden von demselben Unternehmen wahrgenommen:

• Firmenname: Instant EU GDPR Representative Limited
• Eingetragene Anschrift: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
• Kontakt: über [email protected] (wir leiten Anfragen an unseren EU- / UK-Vertreter weiter)

Siehe im Einzelnen § 2.3 und § 2.4.

20.4 Antwortfristen

Mit der Nutzung von AISnapEdit bestätigen Sie, diese Datenschutzerklärung gelesen, verstanden und akzeptiert zu haben.

© 2026 AISnapEdit. Alle Rechte vorbehalten.