Datenschutzerklärung
(profilfoto-ki.de – Stand: 22.05.2026)
1. Verantwortlicher
Profilfoto KI
Inhaber: Safak Tepecik
Heidestraße 2, 58239 Schwerte
Deutschland
E-Mail: info@profilfoto-ki.de
2. Allgemeine Hinweise
Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Personenbezogene Daten werden auf dieser Website ausschließlich im Rahmen der geltenden Datenschutzvorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO), verarbeitet.
3. Hosting der Website
Diese Website wird statisch über Netlify Inc. (2325 3rd Street, Suite 215, San Francisco, CA 94107, USA) bereitgestellt. Beim Aufruf der Website werden technisch notwendige Daten (z. B. IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Dateien) verarbeitet.
Netlify nutzt ein weltweit verteiltes CDN. Dabei kann es zu einer Verarbeitung von Daten in Drittländern, insbesondere den USA, kommen. Die Übermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Mit Netlify besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb)
4. Nutzerkonten & Authentifizierung
Zur Nutzung des Dienstes ist die Erstellung eines Nutzerkontos erforderlich. Verarbeitete Daten:
- E-Mail-Adresse
- optional: Name (bei Google-Login)
- technische Metadaten (Zeitpunkt der Registrierung, Session-Token)
Die Authentifizierung erfolgt über Supabase Auth (Supabase Inc., 970 Toa Payoh North, Singapur). Die Daten werden auf Servern in der Europäischen Union (Frankfurt am Main, AWS eu-central-1) gespeichert. Mit Supabase besteht ein AVV gemäß Art. 28 DSGVO.
Alternativ ist ein Login über Google OAuth (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) möglich. Dabei übermittelt Google lediglich Name und E-Mail-Adresse an unseren Dienst. Weitere Daten werden von uns nicht abgerufen. Für Übermittlungen in die USA gilt der EU-US Data Privacy Framework.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
4a. Service- und Hinweis-E-Mails
a) Vertrags- und Onboarding-Mails (ohne gesonderte Einwilligung)
Im Rahmen des durch die Registrierung begründeten Nutzungsverhältnisses (siehe AGB § 3 Abs. 3) versenden wir folgende Service-Mails, die für die Erbringung der vereinbarten Leistung erforderlich sind:
- Bestätigung der Registrierung und des Logins durch unseren Auth-Anbieter
- Bestellbestätigung, Rechnung und Zahlungsbelege bei kostenpflichtigen Käufen
- Sicherheits- und systemkritische Mitteilungen
- Erinnerung an noch offene Onboarding-Schritte, namentlich das Hochladen eines Selfies sowie die Auslösung der ersten Bildgenerierung mit dem kostenlosen Credit (maximal zwei Hinweise pro Account)
Jede dieser Mails enthält einen Abmeldelink, mit dem Sie den Versand weiterer Onboarding-Hinweise dauerhaft unterbinden können.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht)
b) Werbe- und Aktions-Mails (nur mit ausdrücklicher Einwilligung)
Sofern der Nutzer bei der Registrierung oder zu einem späteren Zeitpunkt die entsprechende Checkbox aktiviert hat, senden wir gelegentlich Hinweise auf kostenpflichtige Angebote, neue Funktionen oder Aktionen — beispielsweise eine Erinnerung an verfügbare Paket-Upgrades nach Abschluss des kostenlosen Tests. Jede dieser E-Mails enthält einen Abmeldelink. Mit einem Klick widerrufen Sie die Einwilligung dauerhaft. Datum und Zeitpunkt der Einwilligung werden dokumentiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf jederzeit möglich gemäß Art. 7 Abs. 3 DSGVO.
5. Upload von Selfie-Bildern
Zur Erstellung von KI-Profilfotos laden Nutzer Porträtfotos (PNG, JPG, WebP) hoch. Die Nutzung dieser Funktion setzt ein aktives Nutzerkonto voraus. Mit Abschluss der Registrierung und Akzeptanz der Nutzungsbedingungen erklärt der Nutzer sein Einverständnis mit der beschriebenen Bildverarbeitung.
Speicherung
Die Bilddateien werden in einem privaten, zugriffsgeschützten Speicherbereich bei Supabase (EU-Server, Frankfurt am Main) gespeichert. Ein öffentlicher Zugriff auf die Dateien ist nicht möglich; der Abruf erfolgt ausschließlich über zeitlich begrenzte, signierte URLs (Gültigkeit: 1 Stunde).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
6. KI-gestützte Bildverarbeitung
Zur Generierung der Profilfotos werden die hochgeladenen Bilder über eine automatisierte Verarbeitungs-Pipeline an folgende Dienste übermittelt:
- n8n GmbH (Joachimsthaler Str. 12, 10719 Berlin, Deutschland) — Workflow-Automatisierung, koordiniert den Verarbeitungsablauf. Datenverarbeitung erfolgt in der EU. Mit n8n besteht ein AVV gemäß Art. 28 DSGVO.
- Google LLC / Google Gemini API (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — KI-Bildgenerierungsmodell (Gemini Image Generation). Die hochgeladenen Bilder werden zur Erstellung der Profilfotos an die Google AI API übertragen. Die Übermittlung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie des EU-US Data Privacy Framework. Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Google Cloud Data Processing Addendum). Google verwendet die übermittelten Daten ausschließlich zur Erbringung des API-Dienstes und nicht zur Verbesserung eigener Produkte, sofern keine abweichende Konfiguration vorliegt.
Die Übermittlung erfolgt ausschließlich zur Erbringung der vom Nutzer angeforderten Leistung. Es werden keine biometrischen Profile, Gesichtserkennungs-Vektoren oder dauerhaften Personenmerkmale bei den Unterauftragsverarbeitern gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 9 Abs. 2 lit. a DSGVO; Art. 28 DSGVO (Auftragsverarbeitung)
7. Speicherung und Löschung
Hochgeladene Selfies werden spätestens nach 90 Tagen automatisch gelöscht — unabhängig davon, ob der Nutzer aktiv ist. Die Löschung erfolgt täglich automatisiert und umfasst sowohl die Datei im Speichersystem als auch den zugehörigen Datenbankeintrag. Nutzer werden in der App durch ein Ablaufdatum je Selfie transparent über die verbleibende Speicherdauer informiert. Bei Kontolöschung werden alle gespeicherten Selfies und generierten Fotos sofort und unwiederbringlich aus unseren Systemen entfernt.
Nutzer können die sofortige Löschung sämtlicher gespeicherter Daten jederzeit per E-Mail an info@profilfoto-ki.de oder direkt über die Konto-Einstellungen beantragen.
Rechnungs- und Transaktionsdaten werden gemäß § 147 AO für 10 Jahre aufbewahrt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 17 DSGVO (Recht auf Löschung)
8. Zahlungsabwicklung
Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland). Wir erhalten keine Kreditkarten- oder Bankdaten. In unserer Datenbank werden lediglich Transaktions-Referenz-IDs und der Zahlungsstatus gespeichert. Stripe verfügt über einen AVV gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
9. Tracking und Cookies
Analyse-Tools (Google Analytics 4) werden nur nach ausdrücklicher Einwilligung über den Cookie-Banner eingesetzt. Ohne Zustimmung werden keine Tracking-Cookies gesetzt und keine entsprechenden Skripte geladen. Session-Cookies zur Authentifizierung sind technisch notwendig und erfordern keine gesonderte Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Analyse-Cookies); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse für technisch notwendige Session-Cookies)
10. Auftragsverarbeiter und Drittländer-Übermittlungen
Personenbezogene Daten werden an folgende Auftragsverarbeiter übermittelt:
| Dienstleister | Zweck | Standort | AVV / Grundlage |
|---|---|---|---|
| Supabase Inc. | Datenbank, Auth, Storage | EU (Frankfurt) | AVV vorhanden |
| Netlify Inc. | Website-Hosting, CDN | USA (EU-Edge) | AVV + SCC |
| n8n GmbH | Workflow-Automatisierung | EU (Berlin) | AVV vorhanden |
| Google LLC (Gemini API) | KI-Bildgenerierung | USA | AVV + SCC + DPF |
| Stripe Payments Europe | Zahlungsabwicklung | Irland (EU) | AVV vorhanden |
| Google LLC (Analytics) | Website-Analyse | USA | Nur nach Einwilligung; AVV + DPF |
SCC = EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO); DPF = EU-US Data Privacy Framework
11. Rechte der betroffenen Personen
Sie haben jederzeit folgende Rechte:
- Auskunft (Art. 15 DSGVO) — welche Daten wir von Ihnen verarbeiten
- Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren lassen
- Löschung (Art. 17 DSGVO) — Löschung jederzeit über die App oder per E-Mail
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) jederzeit für die Zukunft
Anfragen richten Sie bitte an: info@profilfoto-ki.de
Zudem besteht ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde. Für NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Kavalleriestr. 2–4, 40213 Düsseldorf, www.ldi.nrw.de.
12. Aktualität
Diese Datenschutzerklärung wird bei technischen oder rechtlichen Änderungen aktualisiert. Der aktuelle Stand ist oben angegeben.