Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten nach Art. 13 DSGVO · Version 1.2 · Stand: April 2026
1. Verantwortlicher und Kontakt
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Artify Moments UG (haftungsbeschränkt)
Gustav-Schönleber-Str. 10
74321 Bietigheim-Bissingen
Deutschland
Vertreten durch: Felix Blumberg (Geschäftsführer)
Handelsregister: Amtsgericht Stuttgart, HRB 805394
USt-IdNr.: DE4623875054
E-Mail: info@artify-moments.com
Kontakt allgemein: info@artify-moments.com
Telefon: +49 155 1365275
Website: https://artify-moments.com
1.1 Datenschutzbeauftragter
Artify Moments ist zum Zeitpunkt der Erstellung dieser Datenschutzerklärung nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (§ 38 BDSG). Anfragen zum Datenschutz richten Sie bitte an info@artify-moments.com. Bei Einführung einer Pflicht zur Bestellung wird diese Erklärung entsprechend aktualisiert.
2. Allgemeine Grundsätze und Rechtsgrundlagen
2.1 Geltungsbereich
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen unserer Website artify-moments.com und der darüber angebotenen Leistungen. Sie gilt für alle Besucher der Website, registrierte Kunden und Personen, die mit uns in sonstiger Weise in Kontakt treten.
2.2 Begriffsbestimmungen
Diese Erklärung verwendet die Begriffe der DSGVO. Insbesondere sind „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine „Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Art. 4 Nr. 2 DSGVO).
2.3 Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung, etwa für nicht zwingend erforderliche Cookies, Webanalyse, Newsletter und Wartelisten-Benachrichtigungen.
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen, etwa für Registrierung, Bestellung, Bereitstellung digitaler Inhalte und Druckprodukte.
Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung, etwa für steuer- und handelsrechtliche Aufbewahrungspflichten (§ 147 AO, § 257 HGB).
Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen, etwa für IT-Sicherheit, Betrugsprävention und Verbesserung der Website.
Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung, soweit unsere KI-Verarbeitung biometrische Daten zur eindeutigen Identifizierung erzeugt (siehe Ziffer 6).
2.4 Keine Pflicht zur Bereitstellung
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind jedoch zur Nutzung unserer Leistungen verpflichtet, uns bestimmte Daten (z.B. E-Mail-Adresse, Name, Zahlungsdaten) zur Verfügung zu stellen, da wir ohne diese Daten den Vertrag nicht erfüllen können.
3. Übersicht der Verarbeitungen
Die nachfolgende Übersicht gibt Ihnen einen schnellen Überblick über die wichtigsten Verarbeitungen. Details finden Sie in den jeweiligen Abschnitten.
Zweck
Rechtsgrundlage
Website-Bereitstellung und Logfiles
Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
Cookie-Consent-Banner
§ 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig)
Google Analytics 4 (Webanalyse)
§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Kundenkonto / Registrierung
Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Bild-Upload und KI-Verarbeitung
Art. 6 Abs. 1 lit. b DSGVO (Vertrag), ergänzend Art. 9 Abs. 2 lit. a DSGVO bei biometrischer Verarbeitung
Zahlungsabwicklung (Stripe)
Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Herstellung und Lieferung Druckprodukte
Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Hochskalierung der Kauf-Datei (Replicate, USA)
Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Transaktionale E-Mails (Bestellung, Download)
Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Warteliste bei nicht aktivem Land
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Newsletter (falls abonniert)
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Aufbewahrung von Rechnungen
Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO, § 257 HGB)
Betrugsprävention, Missbrauchsabwehr
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Geltendmachung von Rechtsansprüchen
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO wird eingehalten: Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind. So fragen wir die Lieferadresse erst beim Kauf eines physischen Druckprodukts ab, nicht bereits bei der Registrierung.
4. Website-Nutzung und Hosting
4.1 Hosting durch Vercel
Unsere Website wird durch die Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA gehostet. Wir nutzen Vercel-Edge-Funktionen und CDN in der Region Frankfurt (fra1); Builds und persistente Logspeicherung erfolgen jedoch zwingend in der Region iad1 (Washington D.C., USA). Eine vollständige Verarbeitung ausschließlich in der EU ist daher technisch nicht gegeben.
Folgende Daten werden in Server-Logs verarbeitet:
IP-Adresse des anfragenden Geräts
Datum und Uhrzeit des Zugriffs
Name und URL der abgerufenen Datei
Referrer-URL (zuvor besuchte Seite)
Verwendeter Browser, ggf. Betriebssystem und Provider
HTTP-Statuscode der Anfrage
Speicherdauer der Logs: Standardmäßig kurz (in unserer Tarif-Konfiguration bis zu 3 Tage Runtime-Logs, Audit-Logs bis 90 Tage). Wir bewahren Logs nur so lange auf, wie dies zur Aufrechterhaltung der IT-Sicherheit, Fehleranalyse und Missbrauchsabwehr erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung eines stabilen Website-Betriebs und der Abwehr von Angriffen.
Drittlandtransfer USA — Vercel
Vercel Inc. hat ihren Sitz in den USA. Vercel ist nach unserer Prüfung unter dem EU-US Data Privacy Framework zertifiziert (Participant ID, Aktualität abrufbar unter https://www.dataprivacyframework.gov). Ergänzend sind Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 Bestandteil der DPA. Ein Transfer-Impact-Assessment (TIA) liegt bei uns vor.
4.2 Cookies und Consent-Management
Wir setzen auf unserer Website Cookies und vergleichbare Technologien (z.B. LocalStorage) ein. Wir unterscheiden zwischen technisch notwendigen Cookies und Cookies, die einer vorherigen Einwilligung bedürfen.
Für technisch nicht erforderliche Cookies (z.B. Analyse-Cookies) setzen wir ein Cookie-Consent-Banner ein. Dieses Banner wird beim ersten Besuch unserer Website eingeblendet, bevor nicht-erforderliche Cookies gesetzt werden. Sie können dort aktiv zwischen folgenden Optionen wählen:
„Alle akzeptieren" — alle Cookies und Analyse-Tools werden aktiviert
„Alle ablehnen" — nur technisch notwendige Cookies werden gesetzt (gleichwertig prominent dargestellt)
„Individuelle Einstellungen" — granulare Auswahl nach Cookie-Kategorien
Ihre Einwilligung erfolgt durch das aktive Anklicken einer Schaltfläche und wird in einem technisch notwendigen Cookie bei Ihnen lokal gespeichert. Die Wahl bleibt für 12 Monate gespeichert; danach erscheint das Banner erneut. Vor Erteilung der Einwilligung werden weder Google Analytics geladen noch sonstige nicht erforderliche Skripte ausgeführt.
Rechtsgrundlage für das Setzen der Cookies: § 25 Abs. 1 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, in Kraft seit 14.05.2024, ersetzt das frühere TTDSG) i.V.m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich).
4.3 Widerruf und Änderung Ihrer Einwilligung
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen oder anpassen. Hierzu finden Sie im Footer unserer Website einen dauerhaft erreichbaren Link „Cookie-Einstellungen ändern". Alternativ können Sie die Cookies in Ihren Browser-Einstellungen löschen.
Die Rechtmäßigkeit der bis zum Widerruf aufgrund der Einwilligung erfolgten Verarbeitung bleibt vom Widerruf unberührt (Art. 7 Abs. 3 DSGVO).
4.4 Technisch erforderliche Cookies
Folgende technisch erforderliche Cookies setzen wir ohne Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG):
Cookie-Name
Zweck
Speicherdauer
sb-access-token
Anmelde-Session (Supabase Auth)
1 Stunde (Rotation)
sb-refresh-token
Verlängerung der Session (Supabase Auth)
30 Tage
csrf-token
Schutz vor Cross-Site Request Forgery
Session-Ende
cookie_consent
Speichert Ihre Cookie-Einstellungen
12 Monate
4.5 Google Analytics 4
Wir nutzen den Webanalyse-Dienst Google Analytics 4 (GA4) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irland („Google"). Google Analytics hilft uns, die Nutzung unserer Website zu analysieren, um unser Angebot zu verbessern.
4.5.1 Zweck und Funktionsweise
Google Analytics verwendet Cookies und ähnliche Technologien, um das Verhalten unserer Besucher zu analysieren — insbesondere welche Seiten aufgerufen werden, wie lange Besucher auf der Website bleiben, welche Interaktionen durchgeführt werden und woher die Besucher kommen.
4.5.2 Rechtsgrundlage
Die Nutzung von Google Analytics erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO. Ohne Ihre Einwilligung wird Google Analytics nicht geladen, und es werden keine Daten an Google übertragen. Sie erteilen die Einwilligung über unseren Cookie-Consent-Banner. Der von Google bereitgestellte „Consent Mode v2" ersetzt diese Einwilligung nicht; er ist lediglich ein technisches Hilfsmittel zur korrekten Übermittlung des Einwilligungsstatus.
4.5.3 Verarbeitete Daten
IP-Adresse (in GA4 standardmäßig nicht dauerhaft gespeichert; für EU-Traffic werden IP-Adressen automatisch verworfen, ohne dass die Funktion abschaltbar wäre)
Besuchte Seiten (URLs) und Zeitpunkt des Besuchs
Verweilzeit pro Seite und Scrolltiefe
Klicks, Formular-Interaktionen, Events (z.B. Registrierung, Kauf)
Herkunftsseite (Referrer)
Technische Informationen: Browser, Betriebssystem, Bildschirmauflösung, Sprache
Ungefährer Standort auf Länder- oder Stadtebene
Pseudonyme Client-ID (Cookie-basierte eindeutige Kennung)
Wir verwenden keine Google Signals und keine geräteübergreifende Verfolgung. Eine Zusammenführung mit anderen Google-Diensten (z.B. Google Ads) findet nicht statt. Eine Verknüpfung der Analyse-Daten mit Ihrem Kundenkonto erfolgt nicht.
Hinweis zur Pseudonymität
Nach dem EuGH-Urteil vom 04.09.2025 (Rs. C-413/23 P, EDSB/SRB) ist der Personenbezug pseudonymisierter Daten relativ aus Sicht des jeweiligen Empfängers zu beurteilen. Wir behandeln die GA4-Client-IDs daher konsequent als personenbezogene Daten und unterstellen sie den vollen Schutzpflichten der DSGVO.
4.5.4 Drittlandtransfer USA — Google
Google Ireland Limited leitet Daten an die Muttergesellschaft Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA weiter. Rechtsgrundlagen des Drittlandtransfers:
Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert (Adäquanzbeschluss der EU-Kommission vom 10.07.2023, Durchführungsbeschluss (EU) 2023/1795). Aktuelle Zertifikats-Prüfung: https://www.dataprivacyframework.gov.
Zusätzlich sind mit Google Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) abgeschlossen.
Als zusätzliche technische Maßnahme nutzt GA4 die unmittelbare IP-Verwerfung für EU-Traffic.
Ein Transfer-Impact-Assessment (TIA) nach Erwägungsgrund 109 DSGVO und den EDSA-Empfehlungen 01/2020 liegt vor.
Risikohinweis EU-US Data Privacy Framework
Der EU-US Data Privacy Framework-Adäquanzbeschluss wurde durch das Urteil des EuG vom 03.09.2025 (Rs. T-553/23, Latombe / Kommission) bestätigt und ist im April 2026 weiterhin gültig. Wir beobachten die weitere politische und gerichtliche Entwicklung — insbesondere das fehlende Quorum des US Privacy and Civil Liberties Oversight Board (PCLOB) seit Januar 2025 sowie die anstehende Reauthorisierung von Section 702 FISA — und führen unsere TIA in regelmäßigen Abständen fort.
4.5.5 Speicherdauer bei Google
Wir haben die Datenaufbewahrung in Google Analytics aktiv auf 14 Monate konfiguriert (der GA4-Default beträgt seit Februar 2024 nur 2 Monate; Maximum in einer Standard-Property sind 14 Monate). Nach Ablauf dieses Zeitraums werden die Daten von Google automatisch anonymisiert bzw. gelöscht. Berichte auf aggregierter Ebene ohne Personenbezug können darüber hinaus bestehen bleiben.
4.5.6 Auftragsverarbeitung
Mit Google ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen (Google Ads Data Processing Terms / Google Analytics Controller-to-Processor Terms).
4.5.7 Widerspruchsmöglichkeiten
Keine Einwilligung erteilen: Klicken Sie im Cookie-Banner auf „Alle ablehnen" oder deaktivieren Sie die Kategorie „Statistik".
Einwilligung widerrufen: Nutzen Sie den Footer-Link „Cookie-Einstellungen ändern".
Browser-Add-on: https://tools.google.com/dlpage/gaoptout
Weitere Informationen: https://policies.google.com/privacy und https://support.google.com/analytics/answer/6004245.
5. Kundenkonto und Registrierung
5.1 Zweck und Datenkategorien
Für die Nutzung unserer Leistungen ist ein Kundenkonto erforderlich. Bei der Registrierung erheben wir folgende personenbezogene Daten:
Vorname und Nachname
E-Mail-Adresse
Passwort (nur als Hash, nicht im Klartext gespeichert)
Land (zur Länderlogik und Fulfillment-Prüfung)
Zeitpunkt und Version der angenommenen AGB, Altersbestätigung, Kenntnisnahme dieser Datenschutzerklärung
5.2 Authentifizierungs-Dienstleister
Für Registrierung und Anmeldung nutzen wir den Dienst Supabase Auth der Supabase, Inc., einer Delaware Corporation mit Sitz in 970 Toa Payoh North #07-04, Singapur 318992 (Hauptbüros in den USA und Singapur). Die Datenbank- und Storage-Inhalte werden in der AWS-Region eu-central-1 (Frankfurt am Main, Deutschland) verarbeitet.
Wichtige Klarstellung zur EU-Datenresidenz von Supabase
Customer-Daten der Datenbank-Projekte (Profile, Token-Stand, Bestellungen, Storage-Inhalte) verbleiben in der EU-Region eu-central-1. Operative Telemetrie-, Log- und Support-Daten werden hingegen außerhalb der EU verarbeitet, namentlich durch US-amerikanische Sub-Prozessoren (z.B. Sentry, Hex Technologies, AWS-Konzernservices) sowie durch Mitarbeiter der Supabase, Inc. (USA) und der Supabase Pte. Ltd. (Singapur) im „follow-the-sun"-Support-Modell. Eine vollständige Verarbeitung ausschließlich in der EU besteht somit nicht.
Drittlandtransfers in die USA und nach Singapur stützen wir auf Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914, Modul 2 (Auftragsverarbeitungs-DPA in der Fassung vom 14.03.2025, abrufbar unter https://supabase.com/legal/dpa). Eine Zertifizierung von Supabase, Inc. unter dem EU-US Data Privacy Framework liegt nicht vor.
5.3 Verifizierung der E-Mail-Adresse
Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen eine Bestätigungs-E-Mail mit einem Einmal-Link. Erst nach Bestätigung Ihrer E-Mail-Adresse ist Ihr Konto nutzbar. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, ergänzt durch unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO am Schutz vor Fake-Registrierungen.
5.4 Speicherdauer
Ihre Kontodaten verarbeiten wir, solange das Kundenkonto besteht. Nach Löschung des Kontos werden die Daten im Regelfall innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (§ 147 AO, § 257 HGB — bis zu 10 Jahre für rechnungsrelevante Daten).
5.5 Schutz gegen kompromittierte Passwörter
Wir prüfen bei der Registrierung und beim Passwortwechsel gegen die Datenbank des Projekts „Have I Been Pwned" (haveibeenpwned.com), ob Ihr gewähltes Passwort in bekannten Datenlecks vorkommt. Hierzu wird ein partieller Hash (SHA-1, erste 5 Zeichen) Ihres Passworts k-anonymisiert an den Dienst übermittelt. Ihr tatsächliches Passwort wird nicht übertragen. Passwort-Hashes werden bei Supabase Auth mit Bcrypt und zufälligem Salt gespeichert. Rechtsgrundlage: Art. 32 Abs. 1 DSGVO i.V.m. Art. 6 Abs. 1 lit. f DSGVO.
6. Bild-Upload und KI-gestützte Verarbeitung
Dieser Abschnitt beschreibt ausführlich die Verarbeitung der von Ihnen hochgeladenen Bilder und die anschließende KI-Verarbeitung. Wir informieren Sie hier mit besonderer Transparenz, da die KI-Verarbeitung in den USA stattfindet und somit ein Drittlandtransfer vorliegt — und da hierbei besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO berührt sein können.
6.1 Zweck und Ablauf
Wenn Sie ein Bild zur KI-Verarbeitung hochladen, führen wir folgende Verarbeitungsschritte durch:
Speicherung des Originalbildes in einem privaten Bereich unseres Storage-Systems (Supabase Storage, EU-Region Frankfurt).
Erstellung eines kryptografischen Hashes (SHA-256) zur Duplikaterkennung.
Übermittlung des Bildes an OpenAI (siehe Ziffer 6.5) zur KI-gestützten Erstellung eines stilisierten Bildmotivs.
Rückübertragung des generierten Bildes an unseren Server.
Erstellung einer Vorschau (mit Wasserzeichen) und einer hochauflösenden Master-Datei (ohne Wasserzeichen, erst nach Kauf zugänglich).
Speicherung beider Versionen in privaten Storage-Bereichen.
Nach einem Kauf (Download oder Druckprodukt): Hochskalierung der Master-Datei auf eine höhere Auflösung durch einen spezialisierten KI-Dienst (siehe Ziffer 6.8).
6.2 Kategorien verarbeiteter Daten
Bilddaten: das von Ihnen hochgeladene Originalbild — ggf. mit erkennbaren Personen, Gesichtern, Orten, persönlichen Gegenständen
Metadaten: Dateiformat, Auflösung, Dateigröße, Upload-Zeitpunkt, ggf. EXIF-Daten
Verknüpfungsdaten: Ihre User-ID, der gewählte Stil, das gewählte Format, der verbrauchte Token
Technische Daten: Uploadzeitstempel, Verarbeitungs-ID, Prompt-Snapshot (interne Beschreibung des Stils)
6.3 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Rechtsgrundlage Art. 9 Abs. 2 lit. a DSGVO
Soweit unsere KI-Verarbeitung aus Ihrem hochgeladenen Foto biometrische Templates oder Face-Embeddings zur eindeutigen Identifizierung erzeugt, handelt es sich um biometrische Daten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO. Rechtsgrundlage ist insoweit Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Sie im Upload-Prozess durch eine separate, klar benannte Bestätigung erteilen und jederzeit mit Wirkung für die Zukunft widerrufen können.
Wir führen weder eine automatisierte Gesichtserkennung noch eine Identitätsprüfung oder ein biometrisches Matching gegen externe Datenbanken durch. Die KI erstellt ausschließlich ein künstlerisch stilisiertes Bild; eine Zuordnung zu einer bestimmten Person auf Basis biometrischer Merkmale ist weder Zweck noch Ergebnis der Verarbeitung. Soweit jedoch im technischen Generierungsprozess kurzzeitig biometrische Merkmale extrahiert werden, qualifizieren wir dies vorsorglich als Verarbeitung im Sinne des Art. 9 DSGVO.
6.4 Bilder mit erkennbaren Personen (§§ 22, 23 KunstUrhG)
Falls im Bild erkennbare Personen abgebildet sind, gilt: Sie versichern bei Upload, dass eine Einwilligung der abgebildeten Person nach § 22 KunstUrhG vorliegt oder eine sonstige rechtliche Befugnis besteht (§§ 22, 23 KunstUrhG, in Verbindung mit der Öffnungsklausel des Art. 85 DSGVO und der ständigen BGH-Rechtsprechung, vgl. BGH vom 07.07.2020 — VI ZR 246/19, 250/19 und 445/19). Rechtsgrundlage der Verarbeitung ist insoweit Art. 6 Abs. 1 lit. b DSGVO (Vertrag zwischen uns und Ihnen) sowie, hinsichtlich der abgebildeten Person, Ihre vertragliche Zusicherung der Einwilligung. Bei Minderjährigen gilt zusätzlich Art. 8 DSGVO.
6.5 Einsatz von OpenAI — Drittlandtransfer USA
Zur KI-Verarbeitung setzen wir den Dienst OpenAI API ein. Verantwortlicher für EWR- und Schweiz-Nutzer ist die OpenAI Ireland Limited, 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland. Konzernmuttergesellschaft und technischer Anbieter des zugrundeliegenden Modells ist die OpenAI OpCo, LLC, 1455 Third Street, San Francisco, CA 94158, USA (vormals OpenAI, L.L.C.). Die Übermittlung Ihres Bildes an OpenAI erfolgt über die OpenAI-API. Soweit verfügbar, nutzen wir den EU-Datenresidenz-Endpunkt eu.api.openai.com mit Zero Data Retention.
Wichtige Details zur OpenAI-Verarbeitung
OpenAI verarbeitet API-Anfragen nach dem DPA (Data Processing Addendum), das wir abgeschlossen haben. Nach den vertraglichen Zusicherungen gilt:
API-Daten werden im Standardfall maximal 30 Tage zur Missbrauchserkennung gespeichert.
API-Daten werden standardmäßig nicht für das Training von OpenAI-Modellen verwendet.
Wir nutzen — soweit für unsere Modelle verfügbar — die EU-Datenresidenz mit automatischer Zero Data Retention; in diesem Fall werden Inhalte nach der unmittelbaren Verarbeitung verworfen und nicht persistent gespeichert.
Sub-Processing erfolgt insbesondere an Microsoft Azure, AWS, Oracle Cloud, CoreWeave und Google Cloud (aktuelle Liste: https://openai.com/policies/sub-processor-list/).
Hinweis zu gerichtlichen Anordnungen: Aufgrund einer einstweiligen Verfügung in dem in den USA anhängigen Verfahren The New York Times Company v. Microsoft / OpenAI (US District Court for the Southern District of New York, Mai 2025) muss OpenAI bestimmte Output-Logs entgegen der Standardregel über die 30 Tage hinaus aufbewahren, bis das Verfahren abgeschlossen ist. Wir tragen diesem Risiko durch die EU-Datenresidenz mit Zero Data Retention sowie durch unsere Auswahl der API-Endpunkte Rechnung, soweit dies technisch möglich ist.
6.6 Rechtliche Grundlage des Drittlandtransfers (OpenAI)
Die USA gelten nach Art. 44 ff. DSGVO als Drittland. Wir stützen den Transfer primär auf:
Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) — als primäres Transferinstrument, da der DPF-Status von OpenAI nicht eindeutig dokumentiert ist;
zusätzliche technische und organisatorische Maßnahmen, insbesondere die EU-Datenresidenz mit Zero Data Retention, soweit verfügbar;
ein Transfer-Impact-Assessment (TIA) nach Erwägungsgrund 109 DSGVO und EDSA-Empfehlungen 01/2020.
Der EU-US Data Privacy Framework-Adäquanzbeschluss (Durchführungsbeschluss (EU) 2023/1795 vom 10.07.2023, vom EuG mit Urteil vom 03.09.2025 in der Rs. T-553/23 bestätigt) wirkt — sofern OpenAI im offiziellen DPF-Verzeichnis gelistet sein sollte — ergänzend; primäres Transferinstrument bleibt jedoch die SCC-Lösung.
6.7 Risiken des Drittlandtransfers
Trotz der rechtlichen Absicherungen verbleibt ein Restrisiko: US-Behörden können nach Section 702 FISA und Executive Order 12333 unter bestimmten Voraussetzungen auf Daten zugreifen, die bei US-Anbietern gespeichert sind. Betroffene EU-Bürger haben nach dem Data Privacy Framework ein eingeschränktes Rechtsbehelfsverfahren über das Data Protection Review Court (DPRC). Die politische Stabilität dieses Mechanismus ist seit Anfang 2025 (PCLOB ohne Quorum) eingeschränkt. Wir halten die Risiken durch die konkrete Art der Verarbeitung (keine Identifizierungsdaten, kein Gesichtsabgleich, kurze bzw. keine Speicherung) für begrenzt.
6.8 Hochskalierung des Kaufbildes durch Replicate — Drittlandtransfer USA
Nach dem Kauf eines Downloads oder eines Druckprodukts wird das generierte Master-Bild zur Erhöhung der Auflösung (Hochskalierung/Upscaling) verarbeitet, damit es in großen Formaten und im Druck gestochen scharf wiedergegeben wird. Diese Verarbeitung wird ausschließlich nach einem Kauf ausgelöst — bei der kostenlosen, wasserzeichenbehafteten Vorschau findet keine Hochskalierung statt.
Anbieter und Ablauf
Für die Hochskalierung nutzen wir die API der Plattform Replicate der Replicate, Inc., San Francisco, Kalifornien, USA, über die ein spezialisiertes KI-Modell zur Bildhochskalierung (Topaz Labs) betrieben wird. Wir übermitteln hierzu ausschließlich das bereits KI-stilisierte Werk (die Master-Datei); Ihr hochgeladenes Originalfoto wird nicht übermittelt. Das hochskalierte Ergebnis wird an unseren Server zurückübertragen und in einem privaten Storage-Bereich (Supabase, EU-Region Frankfurt) gespeichert.
Kategorien übermittelter Daten
Übermittelt werden die generierte Bilddatei (das stilisierte Werk) sowie eine technische Vorgangs-Kennung. Ein Personenbezug kann bestehen, soweit das stilisierte Werk eine erkennbare Person zeigt. Kontakt-, Zahlungs- oder Kontodaten werden nicht an Replicate übermittelt.
Speicherdauer bei Replicate
Die Übermittlung erfolgt ausschließlich über die Replicate-API. Nach den öffentlich dokumentierten Vorgaben von Replicate werden bei Verarbeitungen über die API sämtliche Eingabeparameter, Ausgabewerte, Ausgabedateien und Protokolle standardmäßig automatisch spätestens eine Stunde nach der Verarbeitung entfernt (Replicate, „Data retention", https://replicate.com/docs/topics/predictions/data-retention). Eine dauerhafte Speicherung Ihres Bildes bei Replicate findet damit nicht statt; die dauerhafte Ablage erfolgt ausschließlich bei uns (Supabase, EU-Region Frankfurt). Nach eigenen Angaben verwendet Replicate über die API verarbeitete Inhalte nicht zum Training eigener Modelle.
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der hochauflösenden Kauf-Datei bzw. der Druckvorlage).
Drittlandtransfer USA
Die USA sind ein Drittland nach Art. 44 ff. DSGVO. Wir stützen den Transfer auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) sowie ein Auftragsverarbeitungs-Addendum nach Art. 28 DSGVO. Ergänzend führen wir ein Transfer-Impact-Assessment; die unter Ziffer 6.7 beschriebenen Restrisiken eines US-Transfers gelten entsprechend, werden hier aber durch die kurze, automatische Löschung der Daten bei Replicate (siehe „Speicherdauer bei Replicate") sowie dadurch, dass ausschließlich das stilisierte Werk und keine Konto-, Kontakt- oder Zahlungsdaten übermittelt werden, deutlich abgemildert.
Keine besondere Kategorie, keine automatisierte Entscheidung
Über die in Ziffer 6.3 beschriebene Verarbeitung hinaus findet keine weitere Verarbeitung besonderer Kategorien statt. Die Hochskalierung dient allein der technischen Bildaufbereitung und trifft keine Entscheidung mit rechtlicher Wirkung Ihnen gegenüber.
6.9 Speicherdauer bei Artify Moments
Ihre Original-Bilder (Input) werden bei uns 30 Tage nach Upload automatisch gelöscht, sofern nicht ein darauf basierender Kauf erfolgt ist. Nach einem Kauf werden Master-, Preview- und — soweit erstellt — die hochskalierte Datei gemäß unseren AGB für 90 Tage ab Bereitstellung vorgehalten und danach gelöscht; bei Druckprodukt-Käufen bleiben die zur Herstellung notwendigen Dateien bis zum Abschluss des Fulfillment-Prozesses gespeichert.
6.10 Keine automatisierte Entscheidung im Einzelfall (Art. 22 DSGVO)
Die KI-Verarbeitung ist keine ausschließlich automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO, weil sie keine rechtlichen Wirkungen gegenüber Ihrer Person entfaltet und Sie jederzeit entscheiden können, ob Sie das generierte Bild kaufen möchten oder nicht. Sie können die KI-Ausgabe vorab in Form einer Vorschau prüfen.
Transparenz nach Art. 50 EU AI Act
Das generierte Bild ist ein KI-generiertes Werk im Sinne der Verordnung (EU) 2024/1689 (KI-Verordnung / EU AI Act). Artify Moments ist Betreiber („Deployer") des KI-Systems, OpenAI ist technischer Anbieter. Art. 50 EU AI Act ist gemäß Art. 113 lit. b der Verordnung erst ab dem 02.08.2026 anwendbar. Wir kennzeichnen unsere KI-generierten Werke bereits jetzt freiwillig in den Datei-Metadaten (EXIF/C2PA), in der Kaufbestätigungs-E-Mail sowie auf https://artify-moments.com/ki-transparenz. Soweit erforderlich werden wir die Kennzeichnung bis zum Stichtag 02.08.2026 an die finalen Vorgaben des AI-Office-Code-of-Practice on Transparency anpassen.
7. Zahlungsabwicklung
7.1 Stripe als Zahlungsdienstleister
Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe Checkout der Stripe Payments Europe Limited (SPEL), One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irland (Companies Registration Office Irland, Reg.-Nr. 513174). Konzernmuttergesellschaft ist die Stripe, LLC (vormals Stripe, Inc.) mit Sitz in den USA. Wenn Sie eine Zahlung auslösen, werden Sie auf die Website von Stripe weitergeleitet. Ihre Zahlungsdaten (Kreditkartennummer, IBAN etc.) werden ausschließlich bei Stripe verarbeitet — wir haben auf diese Daten keinen Zugriff.
7.2 Verarbeitete Daten
Bei Stripe: Zahlungsdaten (Kreditkarte, SEPA, PayPal etc.), Name, Rechnungsadresse, E-Mail-Adresse, IP-Adresse, Transaktionsbetrag und -zeitpunkt
Bei uns (Artify Moments): Stripe-Customer-ID, Stripe-Session-ID, Stripe-Payment-Intent-ID, Transaktionssumme, Steuerbetrag, Zahlungsstatus, Rechnungs- und Lieferadresse, Bestellinhalt
7.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Übermittlung Ihrer Daten an Stripe ist erforderlich, damit der Zahlungsvorgang durchgeführt werden kann.
7.4 Stripe Tax
Wir nutzen Stripe Tax zur automatisierten Berechnung der Umsatzsteuer. Hierbei werden Ihre Rechnungsadresse und Transaktionsdaten an Stripe übermittelt, um die korrekte Umsatzsteuer zu ermitteln. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 6 Abs. 1 lit. c DSGVO (Umsatzsteuerpflicht).
7.5 Rechnungserstellung über Lexware Office
Die Erstellung gesetzeskonformer Rechnungen (§ 14 UStG) erfolgt über den Dienst Lexware Office der Haufe-Lexware GmbH & Co. KG mit Sitz in Freiburg im Breisgau, Deutschland. Hierzu übermitteln wir die zur Rechnungsstellung erforderlichen Daten (Name, Rechnungsanschrift, Bestellpositionen, Netto-/Bruttobeträge, Steuerbetrag, Bestell- und Rechnungsdatum) an Lexware. Die Verarbeitung findet innerhalb der EU statt; ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Pflichten) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Rechnungen werden gemäß § 147 AO und § 257 HGB für 10 Jahre aufbewahrt.
7.6 Drittlandtransfer USA — Stripe
Die europäische Stripe-Gesellschaft (SPEL, Irland) leitet Zahlungsdaten an die Muttergesellschaft Stripe, LLC mit Sitz in den USA weiter. Stripe, LLC ist nach dem EU-US Data Privacy Framework zertifiziert (Participant ID a2zt0000000TQOUAA4, abrufbar unter https://www.dataprivacyframework.gov). Zusätzlich sind Standardvertragsklauseln (Module 1 und 2 im DPA, Modul 3 im Data Transfers Addendum) abgeschlossen. Ein Transfer-Impact-Assessment liegt bei uns vor.
7.7 Betrugsprävention durch Stripe Radar
Stripe nutzt zur Betrugserkennung den Dienst Stripe Radar, der maschinelles Lernen einsetzt. Hierbei werden Zahlungsdaten, Geräte-Fingerprint, IP-Adresse, ungefährer Standort, E-Mail-Domain und Transaktionsmuster analysiert. Stripe Radar liefert dabei einen Risk-Score; die finale Entscheidung über das Akzeptieren oder Ablehnen einer Zahlung treffen wir (mit menschlicher Überprüfung bei auffälligen Fällen). Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO liegt damit nicht vor. Sie haben gleichwohl jederzeit das Recht auf Darlegung Ihres Standpunkts und auf Anfechtung einer Entscheidung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Betrug). Details: https://stripe.com/de/privacy.
8. Herstellung und Versand von Druckprodukten
8.1 Zweck
Wenn Sie ein physisches Druckprodukt bestellen, übermitteln wir Ihre Bestelldaten an einen Fulfillment-Dienstleister (Druckerei), der das Produkt herstellt und direkt an Sie versendet.
8.2 Fulfillment-Dienstleister Prodigi
Herstellung und Versand der Druckprodukte erfolgen über den Print-on-Demand-Dienstleister Prodigi mit Sitz im Vereinigten Königreich, der über ein internationales Netzwerk von Produktionspartnern (u. a. innerhalb der EU) fertigt und die Ware direkt an Sie versendet. Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss (EU) 2021/1772 vom 28.06.2021), sodass die Übermittlung ohne zusätzliche Garantien zulässig ist. Erfolgt die Produktion an einem Standort außerhalb der EU und des Vereinigten Königreichs, ist der Transfer durch Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor.
8.3 Übermittelte Daten
Name und Lieferadresse
Bestellnummer und Bestellinhalt (gewähltes Format, Größe, Rahmen, Mount)
Die hochauflösende Bilddatei für die Produktion (soweit erstellt, die nach Ziffer 6.8 hochskalierte Master-Datei)
E-Mail-Adresse für Versandbenachrichtigungen (optional)
8.4 Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8.5 Speicherdauer beim Fulfillment-Dienstleister
Nach den Vereinbarungen mit dem Fulfillment-Dienstleister werden die Produktionsdaten und das Druckbild nach vollständiger Abwicklung des Auftrags binnen 30 Tagen gelöscht. Adressdaten werden längstens für handels- und steuerrechtliche Aufbewahrungsfristen gespeichert.
8.6 Versanddienstleister
Der Versand erfolgt durch vom Fulfillment-Dienstleister ausgewählte Versandunternehmen (DHL, DPD, UPS oder vergleichbar). Für Tracking-Nachrichten werden Ihre Kontaktdaten an den jeweiligen Versanddienstleister übermittelt.
9. E-Mail-Kommunikation
9.1 Transaktionale E-Mails
Im Rahmen der Vertragsdurchführung versenden wir folgende transaktionale E-Mails an die von Ihnen angegebene E-Mail-Adresse:
E-Mail-Bestätigung bei Registrierung (Double-Opt-In)
Willkommens-E-Mail nach Bestätigung mit Hinweis auf Start-Token
Bestätigung eines Token-Einsatzes mit Widerrufsverlust-Hinweis
Benachrichtigung über fehlgeschlagene Generierung und Token-Gutschrift
Bestellbestätigung für Token-Pakete, Downloads, Druckprodukte
Download-Bereitstellungs-E-Mail mit Signed URL
Versandbestätigung mit Tracking-Code
Rückerstattungsbestätigung
Rechnungs-E-Mail mit PDF-Anhang
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Diese E-Mails sind für die Vertragsdurchführung erforderlich und werden ohne separate Einwilligung versendet.
9.2 E-Mail-Versanddienstleister
Zum Versand transaktionaler E-Mails nutzen wir den Dienst Resend der Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA. E-Mails an EU-Empfänger versenden wir aus der Versandregion Dublin (eu-west-1).
Wichtige Klarstellung zur EU-Datenresidenz von Resend
Die Region-Auswahl bei Resend steuert ausschließlich, woher die E-Mails versendet werden. Account- und Metadaten, Versandprotokolle (Logs), Bounces, Abuse-Reports und API-Datensätze werden unabhängig von der gewählten Versandregion in den USA gespeichert. Eine Zertifizierung von Plus Five Five, Inc. unter dem EU-US Data Privacy Framework liegt nicht vor; die Übermittlung in die USA wird durch Standardvertragsklauseln (EU) 2021/914, Modul 2 und ergänzende technische und organisatorische Maßnahmen abgesichert. Auftragsverarbeitung nach Art. 28 DSGVO ist abgeschlossen (https://resend.com/legal/dpa).
Folgende Daten werden im Zuge des E-Mail-Versands verarbeitet:
Empfänger-E-Mail-Adresse
Absender-E-Mail-Adresse und Name (no-reply@artify-moments.com)
E-Mail-Inhalt (Betreff, Textkörper, Anhänge wie Rechnungen)
Versandzeitpunkt, Zustellstatus, Bounces, Abuse-Reports
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
9.3 Kontaktanfragen
Wenn Sie uns per E-Mail oder Kontaktformular anschreiben, werden Ihre Angaben einschließlich der von Ihnen dort angegebenen Kontaktdaten zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Diese Daten werden nach Erledigung der Anfrage gelöscht, spätestens nach 6 Monaten — sofern keine längeren Aufbewahrungspflichten bestehen.
10. Warteliste für nicht freigeschaltete Länder
10.1 Zweck
Zum Zeitpunkt der Veröffentlichung dieser Erklärung ist Artify Moments ausschließlich in Deutschland vollständig nutzbar. Nutzer aus anderen Ländern können sich in eine Warteliste eintragen und werden per E-Mail benachrichtigt, sobald ihr Land freigeschaltet wird.
10.2 Double-Opt-In
Ein Eintrag in die Warteliste wird erst wirksam, nachdem Sie über einen Bestätigungslink in einer an Sie versandten E-Mail Ihre Einwilligung bestätigt haben (Double-Opt-In).
10.3 Verarbeitete Daten
E-Mail-Adresse
Land
Zeitpunkt der Einwilligung und der Bestätigung
Bestätigungs-Token (zur einmaligen Bestätigung)
IP-Adresse und Zeitstempel (zur Nachweisführung nach § 7 UWG)
10.4 Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung). Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, etwa über den Abmeldelink in jeder Benachrichtigungs-E-Mail oder durch Mitteilung an info@artify-moments.com.
10.5 Speicherdauer
Ihre Daten werden so lange gespeichert, bis Sie sich von der Warteliste abmelden oder das Land freigeschaltet wurde und Sie benachrichtigt wurden, längstens aber 24 Monate nach der letzten aktiven Interaktion.
11. Newsletter (optional)
11.1 Hinweis
Zum Zeitpunkt der Veröffentlichung dieser Erklärung betreiben wir keinen Newsletter. Bei späterer Einführung gilt: Anmeldung erfolgt ausschließlich über Double-Opt-In, es werden nur die E-Mail-Adresse und der Zeitpunkt der Anmeldung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 7 Abs. 2 UWG.
11.2 Werbung an Bestandskunden
§ 7 Abs. 3 UWG erlaubt uns, Sie als Bestandskunden über ähnliche Produkte zu informieren, sofern Sie dem Erhalt solcher Informationen nicht widersprochen haben und die Voraussetzungen der Vorschrift erfüllt sind. Ein Widerspruch ist jederzeit möglich über den in jeder Mail enthaltenen Abmeldelink oder durch Mitteilung an info@artify-moments.com.
12. Übersicht der Empfänger / Auftragsverarbeiter
Die folgende Tabelle zeigt alle Dienstleister, denen wir im Rahmen der beschriebenen Verarbeitungen personenbezogene Daten übermitteln. Mit allen Auftragsverarbeitern haben wir Verträge nach Art. 28 DSGVO abgeschlossen.
Dienstleister
Zweck
Sitz / Status
Supabase, Inc. (Delaware, USA)
Datenbank, Auth, Storage
USA / Hosting eu-central-1; Telemetrie/Support USA & Singapur — SCC, kein DPF
Vercel Inc. (Covina, CA, USA)
Website-Hosting (Edge & Functions Frankfurt; Builds USA)
USA — DPF + SCC
OpenAI Ireland Limited / OpenAI OpCo, LLC
KI-Bildverarbeitung
Irland (EU-Verantwortlicher) / USA (Konzern) — primär SCC
Stripe Payments Europe Limited / Stripe, LLC
Zahlungsabwicklung
Irland / USA-Konzern — DPF + SCC
Plus Five Five, Inc. (Resend)
Transaktionale E-Mails
USA / Versand Dublin, Account-Daten USA — SCC, kein DPF
Google Ireland Limited / Google LLC
Webanalyse (Google Analytics 4)
Irland / USA (Konzern) — DPF + SCC
[FULFILLMENT-DIENSTLEISTER]
Druck und Versand
[STANDORT EINTRAGEN]
DHL / DPD / UPS
Versanddienstleister
Je nach Produkt
Drittlandtransfer — Gesamtüberblick
Folgende Dienstleister verarbeiten Daten in den USA bzw. übermitteln dorthin: Vercel (Builds und Logs in iad1/USA, DPF+SCC), OpenAI (KI-Verarbeitung, primär SCC + EU-Datenresidenz/ZDR), Stripe (Konzernmuttergesellschaft, DPF+SCC), Resend / Plus Five Five, Inc. (Account- und Metadaten in den USA, SCC, kein DPF), Supabase, Inc. (Telemetrie, Support, Sub-Prozessoren, SCC, kein DPF) und Google (Konzernmuttergesellschaft GA4, DPF+SCC). Bei Bedarf stellen wir Ihnen die abgeschlossenen SCC zur Einsicht zur Verfügung — Anfrage per E-Mail an info@artify-moments.com.
13. Speicherdauern
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies verlangen.
Datenkategorie
Speicherdauer
Server-Logfiles (Vercel)
Bis zu 3 Tage Runtime-Logs, bis zu 90 Tage Audit-Logs (tarifabhängig)
Cookie-Consent (eigener Cookie)
12 Monate
Google Analytics 4 — Nutzerdaten
14 Monate (aktiv konfiguriert; Default wäre 2 Monate)
Google Analytics 4 — Aggregierte Berichte
unbegrenzt (ohne Personenbezug)
Kontodaten (Profil, E-Mail)
bis zur Kontolöschung, danach max. 30 Tage
Hochgeladene Bilder (Input)
30 Tage nach Upload (oder bis zum Kauf)
KI-Masterbilder (nach Kauf)
90 Tage nach erstmaliger Bereitstellung
Vorschaubilder (mit Wasserzeichen)
bis zur Kontolöschung
Token-Transaktionen
10 Jahre (finanzrelevante Daten)
Bestellungen, Rechnungen
10 Jahre (§ 147 AO, § 257 HGB)
Legal Events (Einwilligungsbelege)
3 Jahre nach Ende des Vertrags (§ 195 BGB)
Wartelisten-Einträge
max. 24 Monate nach letzter Interaktion
E-Mail-Versandprotokolle (email_outbox)
12 Monate
Kontaktanfragen
6 Monate nach Erledigung
14. Ihre Rechte als betroffene Person
Nach der DSGVO stehen Ihnen folgende Rechte zu. Für die Ausübung genügt eine formlose E-Mail an info@artify-moments.com.
14.1 Auskunftsrecht (Art. 15 DSGVO)
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir Sie betreffende personenbezogene Daten verarbeiten, sowie Auskunft über diese Daten und weitere Informationen nach Art. 15 DSGVO.
14.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger Daten und die Vervollständigung unvollständiger Daten verlangen.
14.3 Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, soweit die Voraussetzungen des Art. 17 DSGVO vorliegen. Gesetzliche Aufbewahrungspflichten können einer sofortigen Löschung entgegenstehen.
14.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, unter den Voraussetzungen des Art. 18 DSGVO die Einschränkung der Verarbeitung zu verlangen.
14.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, soweit dies technisch möglich ist.
14.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
Besonderer Hinweis zum Widerruf von Einwilligungen
Eine erteilte Einwilligung — einschließlich der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO bei biometrischer Verarbeitung — können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt (Art. 7 Abs. 3 DSGVO).
14.7 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Für Artify Moments ist zuständig:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Heilbronner Straße 35
70191 Stuttgart
Postfach 10 29 32, 70025 Stuttgart
Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Website: https://www.baden-wuerttemberg.datenschutz.de
Sie können Ihr Beschwerderecht auch bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen.
15. Keine automatisierte Entscheidung im Einzelfall
Wir nutzen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.
Die KI-gestützte Bildverarbeitung (siehe Ziffer 6) ist zwar automatisiert, entfaltet aber keine rechtliche Wirkung gegenüber Ihnen. Sie entscheiden jederzeit selbst, ob Sie das generierte Ergebnis nach Ansicht der Vorschau kaufen möchten oder nicht.
Stripe Radar liefert lediglich einen Risk-Score zur Betrugsabwehr (vgl. Ziffer 7.7); die finale Entscheidung über das Akzeptieren oder Ablehnen einer Zahlung treffen wir mit menschlicher Überprüfung. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO liegt nicht vor.
16. Technische und organisatorische Maßnahmen (TOM)
Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:
Transportverschlüsselung aller Website- und API-Kommunikation (TLS 1.3 / HTTPS)
Verschlüsselung sensibler Daten at Rest (AES-256 in Supabase Storage und Postgres)
Passwort-Hashes nach Branchenstandard (Bcrypt mit zufälligem Salt, Supabase Auth)
Abgleich gegen kompromittierte Passwörter (HIBP-Integration mit k-Anonymität)
Zugriffsbeschränkungen über Row-Level-Security auf Datenbankebene
Rate-Limiting und Schutz vor Brute-Force-Angriffen
Regelmäßige Sicherheits-Updates aller eingesetzten Systeme
Getrennte Umgebungen für Entwicklung, Test und Produktion
Private Storage-Buckets mit Signed URLs (kurze Gültigkeit) statt öffentlicher Links
Protokollierung sicherheitsrelevanter Ereignisse
Tägliche automatische Backups mit Aufbewahrung von 7 Tagen
Vertraulichkeitsverpflichtung aller mit Daten in Kontakt kommenden Personen
Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit allen Dienstleistern
17. Hinweis zu Minderjährigen
Unser Angebot richtet sich ausschließlich an volljährige Personen (18 Jahre und älter). Bei der Registrierung bestätigen Sie Ihre Volljährigkeit ausdrücklich. Wir erheben nicht wissentlich Daten von Minderjährigen. Sollten Sie feststellen, dass ein Minderjähriger Daten an uns übermittelt hat, bitten wir um Mitteilung an info@artify-moments.com, damit wir die Daten unverzüglich löschen können.
18. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen, etwa bei Änderungen unserer Leistungen, eingesetzter Dienstleister oder gesetzlicher Rahmenbedingungen. Die jeweils aktuelle Version finden Sie auf https://artify-moments.com/datenschutz. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.
Diese Datenschutzerklärung wurde zuletzt im April 2026 aktualisiert (Version 1.2).