Zum Inhalt springen
Zurück

Datenschutzerklärung

Letzte Aktualisierung: 1. Januar 2025

1. Verantwortliche Stelle

Shoodio.ai wird betrieben von:

Puristo GmbH Waldbach 51 4816 Gschwandt bei Gmunden Österreich

Firmenbuch: FN 346897v, Landesgericht Wels Geschäftsführerin: Kornelia Steiner Kontakt: info@shoodio.ai

Datenschutzbeauftragter: Nicht erforderlich (Teamgröße < 20 Personen gemäß Art. 37 DSGVO)

2. Überblick

Shoodio ist eine KI-gestützte Plattform zur Erstellung von Fashion-Model-Fotoshootings mit synthetischen, KI-generierten Models. Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang zur Bereitstellung unserer Dienste.

Wichtig: Alle KI-generierten Models sind synthetisch und stellen keine realen Personen dar. Es werden keine biometrischen Daten verarbeitet.

3. Welche personenbezogenen Daten wir erheben

3.1 Account-Daten

Bei der Registrierung erheben wir:

  • E-Mail-Adresse (erforderlich)
  • Passwort (gehasht, nicht lesbar)
  • Display-Name (erforderlich)
  • Profilbild (optional)
  • Spracheinstellung

3.2 OAuth-Anmeldung (Google)

Wenn du dich über Google anmeldest:

  • E-Mail-Adresse
  • Display-Name
  • Profilbild (optional)

3.3 Generierte Inhalte

  • Text-Prompts für KI-Generierung
  • KI-generierte Bilder und Videos
  • Kampagnen-Konfigurationen und Workspace-Daten

3.4 Zahlungsdaten

Werden ausschließlich von Paddle (unserem Zahlungsanbieter) verarbeitet:

  • Transaktions-ID
  • Betrag und Währung
  • Zahlungsstatus
  • Paddle Customer ID

Wir speichern KEINE Kreditkartennummern oder Zahlungsdetails.

3.5 Technische Daten

  • Session-Cookies (Supabase Auth)
  • Access-Tokens (1 Stunde Gültigkeit)
  • Authentifizierungs-Logs
  • Sprach- und UI-Einstellungen

4. Rechtsgrundlagen und Zwecke

| Zweck | Rechtsgrundlage | DSGVO-Referenz | | ---------------------------------------- | ---------------------- | ---------------- | | Account-Verwaltung und Authentifizierung | Vertragserfüllung | Art. 6(1)b DSGVO | | KI-Content-Generierung | Vertragserfüllung | Art. 6(1)b DSGVO | | Zahlungsabwicklung | Vertragserfüllung | Art. 6(1)b DSGVO | | Plattform-Verbesserungen und Analysen | Berechtigtes Interesse | Art. 6(1)f DSGVO | | Marketing-E-Mails (mit Einwilligung) | Einwilligung | Art. 6(1)a DSGVO |

Du kannst deine Einwilligung für Marketing-E-Mails jederzeit über den Abmeldelink in jeder E-Mail oder in deinen Account-Einstellungen widerrufen.

5. Empfänger deiner Daten und Drittanbieter

Wir geben deine personenbezogenen Daten nur an folgende Dienstleister weiter:

5.1 Supabase (Cloud-Hosting & Datenbank)

  • Zweck: Account-Verwaltung, Authentifizierung, Datenbank-Hosting
  • Standort: EU (Region Frankfurt verfügbar)
  • Verarbeitete Daten: Account-Daten, Session-Daten, Metadaten generierter Inhalte
  • Sicherheit: AES-256-Verschlüsselung im Ruhezustand, Row Level Security
  • Auftragsverarbeitungsvertrag: Vorhanden

5.2 Paddle (Zahlungsabwicklung)

  • Zweck: Verarbeitung von Abonnements und Credit-Käufen (Merchant of Record)
  • Standort: UK (Paddle.com Market Limited)
  • An Paddle weitergegebene Daten:
    • Deine E-Mail-Adresse
    • Rechnungsadresse (falls angegeben)
    • Transaktions-ID und Betrag
    • Gewählter Plan und Abrechnungszeitraum
  • Von Paddle in unserer Datenbank gespeicherte Daten:
    • Paddle Customer ID (verknüpft deinen Shoodio-Account mit Paddle)
    • Paddle Subscription ID (für Abo-Verwaltung)
    • Transaktionsstatus und Zeitstempel
  • Zahlungskartendaten: Werden NUR von Paddle verarbeitet, NIEMALS von uns gespeichert
  • Internationale Übermittlungen: Paddle verarbeitet Daten in UK/EU, einige Zahlungsvorgänge in den USA unter Standardvertragsklauseln (SCCs)
  • Paddle Datenschutzerklärung: https://www.paddle.com/legal/privacy
  • Auftragsverarbeitungsvertrag: https://www.paddle.com/legal/gdpr
  • Hinweis: Paddle agiert als Merchant of Record, was bedeutet, dass sie alle Zahlungsabwicklungen, Steuer-Compliance und Abo-Abrechnung in unserem Auftrag übernehmen

5.3 Resend (E-Mail-Versand)

  • Zweck: Transaktions-E-Mails und Newsletter (mit Einwilligung)
  • Standort: USA
  • Internationaler Transfer: Standardvertragsklauseln (SCCs)
  • Verarbeitete Daten: E-Mail-Adressen, E-Mail-Inhalte
  • Speicherdauer: E-Mail-Logs 30 Tage
  • Auftragsverarbeitungsvertrag: Vorhanden

Alle Dienstleister sind vertraglich zur DSGVO-Konformität verpflichtet.

6. Speicherfristen

| Datenart | Speicherdauer | | ------------------------------- | --------------------------------------------- | | Account-Daten | Bis zur Löschung durch dich | | Session-Daten | 30 Tage | | Authentifizierungs-Logs | 90 Tage | | Generierte Inhalte (Basic-Plan) | 90 Tage (automatische Löschung) | | Generierte Inhalte (Pro+ Pläne) | Max. 365 Tage oder bis zur manuellen Löschung | | Zahlungsdaten | 10 Jahre (gesetzliche Pflicht in Österreich) | | E-Mail-Logs | 30 Tage |

Hinweis: Generierte Inhalte im Basic-Plan werden nach 90 Tagen automatisch gelöscht. Pro+-Nutzer können Inhalte bis zu 365 Tage behalten oder früher manuell löschen.

7. Cookies und Tracking

7.1 Essentielle Cookies

Wir verwenden Session-Cookies für die Authentifizierung (Supabase Auth):

  • Session-Cookies: Gültig bis zum Schließen des Browsers
  • Persistent-Cookies: Gültig bis zum Logout
  • Access-Tokens: 1 Stunde Gültigkeit
  • Refresh-Tokens: Einmalige Verwendung, bei jeder Session-Erneuerung erneuert

7.2 Analytics- und Marketing-Cookies

Derzeit verwenden wir keine Analytics- oder Marketing-Cookies. Falls sich das ändert, werden wir diese Richtlinie aktualisieren und deine Einwilligung über einen Cookie-Banner einholen.

8. Internationale Datenübermittlungen

  • Supabase: EU-Hosting (Frankfurt) - keine internationale Übermittlung
  • Paddle: Primär UK/EU, einige Zahlungsvorgänge in den USA - geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)
  • Resend: USA - geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)

Alle Übermittlungen entsprechen den Anforderungen von Kapitel V der DSGVO. Für UK-Übermittlungen nach dem Brexit verlassen wir uns auf den Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigte Königreich (gültig bis Juni 2025, Verlängerung erwartet).

9. Deine Rechte gemäß DSGVO

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Du kannst eine Kopie aller von uns gespeicherten personenbezogenen Daten anfordern.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Du kannst unrichtige Daten in deinen Profileinstellungen korrigieren.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Du kannst die Löschung deines Accounts und deiner personenbezogenen Daten beantragen. Hinweis: Es gilt eine 30-tägige Cooling-Period zur Wiederherstellung.

9.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du kannst deine Daten im JSON- oder CSV-Format erhalten, einschließlich:

  • Account-Informationen: E-Mail, Display-Name, Einstellungen
  • Abonnement-Verlauf: Plan-Änderungen, Abrechnungszeiträume, Status-Änderungen
  • Zahlungstransaktionen: Kaufbeträge, Daten, Transaktions-IDs (Kreditkartendetails ausgeschlossen)
  • Metadaten generierter Inhalte: Prompts, Kampagnen-Konfigurationen, Asset-Referenzen
  • Hochgeladene Nutzerinhalte: Metadaten zu Models, Apparel, Backgrounds

Der Export enthält NICHT die KI-generierten Bilder/Videos selbst (Dateigrößen-Limit), sondern stellt Download-Links bereit, die 30 Tage nach dem Export gültig bleiben.

9.5 Widerspruchsrecht (Art. 21 DSGVO)

Du kannst der Datenverarbeitung auf Grundlage berechtigter Interessen oder zu Marketingzwecken widersprechen.

9.6 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst unter bestimmten Bedingungen eine Einschränkung der Datenverarbeitung verlangen.

Implementierungsstatus: Datenexport- und Account-Löschfunktionen befinden sich derzeit in der Entwicklung (geplante Veröffentlichung: Q1 2025). Bis dahin kontaktiere bitte info@shoodio.ai zur Ausübung dieser Rechte.

10. Sicherheitsmaßnahmen

Wir setzen modernste Sicherheitsmaßnahmen ein:

  • Verschlüsselung bei Übertragung: HTTPS/TLS für alle Datenübertragungen
  • Verschlüsselung im Ruhezustand: AES-256-Verschlüsselung (Supabase)
  • Passwort-Sicherheit: Branchenübliches Hashing (Supabase Auth)
  • Zugriffskontrolle: Row Level Security (RLS) Policies
  • Sichere Verarbeitung: Edge Functions für KI-Generierung mit isolierten Umgebungen

11. Altersbeschränkung

Shoodio steht nur Nutzern ab 16 Jahren zur Verfügung (gemäß Art. 8 DSGVO).

Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Falls du glaubst, dass wir versehentlich solche Daten erhoben haben, kontaktiere uns bitte umgehend unter info@shoodio.ai.

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Folgendes widerzuspiegeln:

  • Neue Funktionen oder Dienste
  • Gesetzliche oder regulatorische Änderungen
  • Sicherheitsverbesserungen

Du wirst über wesentliche Änderungen informiert durch:

  • E-Mail-Benachrichtigung
  • Login-Benachrichtigungs-Banner
  • Changelog verfügbar unter /privacy

Die fortgesetzte Nutzung von Shoodio nach Änderungen gilt als Zustimmung zur aktualisierten Richtlinie.

13. Kontakt und Beschwerden

Fragen oder Bedenken?

Kontaktiere uns unter: info@shoodio.ai

Beschwerde einreichen

Du hast das Recht, bei deiner lokalen Datenschutzbehörde Beschwerde einzulegen.

Österreichische Datenschutzbehörde: Barichgasse 40-42 1030 Wien, Österreich E-Mail: dsb@dsb.gv.at Website: https://www.dsb.gv.at/

14. Rechtliche Grundlagen - Zusammenfassung

Diese Datenschutzerklärung basiert auf:

  • DSGVO (Datenschutz-Grundverordnung) - Verordnung (EU) 2016/679
  • Österreichisches Datenschutzgesetz (DSG)
  • ePrivacy-Richtlinie - Richtlinie 2002/58/EG

Vielen Dank, dass du Shoodio mit deinen Daten vertraust. Wir verpflichten uns, deine Privatsphäre zu schützen.

Für die englische, spanische, italienische oder französische Version dieser Datenschutzerklärung wähle bitte deine Sprache in der Fußzeile.