Datenschutzerklärung

Verantwortlicher

Grundsätze

Wir verarbeiten personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Login, Abrechnung, Bild-Erstellung, Support oder gesetzliche Pflichten erforderlich ist. Original-Uploads werden nach erfolgreicher Bild-Erstellung entfernt. Fertige Bilder bleiben grundsätzlich 14 Tage verfügbar und werden danach gelöscht.

Kategorien personenbezogener Daten

• Kontodaten: E-Mail-Adresse, Nutzer-ID, Login-Status, Profil- und Adminstatus.
• Nutzungsdaten: gebuchte Pläne, Herztaler-Stand, Testbilder, Bildwunsch-Typ, Status von Bild-Erstellungen und Zeitpunkte.
• Bilddaten: hochgeladene Originalbilder, ausgewählte Bildoptionen, Prompt-Informationen und erzeugte Ergebnisbilder. Bilder können personenbezogene oder sensible Informationen enthalten, zum Beispiel Gesichter, Gesundheitsbezüge oder private Lebensumstände.
• Zahlungsdaten: Abo-Plan, Stripe-Kundennummer, Stripe-Abo-ID, Zahlungsstatus, Rechnungs- und Checkout-Informationen. Vollständige Zahlungsdaten wie Kartennummern speichern wir nicht.
• Technische Daten: IP-Adresse, Browser-/Geräteinformationen, Server-Logs, Sicherheitsereignisse und notwendige Cookies.
• Kommunikationsdaten: Nachrichten, Supportanfragen und E-Mail-Kommunikation.

Login und Konto

Der Login erfolgt per E-Mail-Link. Dafür werden E-Mail-Adresse, Authentifizierungsdaten und notwendige Sitzungs-Cookies verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit der Login für dein Konto erforderlich ist, und Art. 6 Abs. 1 lit. f DSGVO für Sicherheit und Missbrauchsschutz.

Bild-Uploads und KI-Bild-Erstellung

Besondere Kategorien personenbezogener Daten

Bilder können besondere Kategorien personenbezogener Daten erkennen lassen, zum Beispiel Gesundheitsinformationen, religiöse Kleidung, ethnische Herkunft oder besonders private Lebensumstände. Solche Bilder solltest du nur hochladen, wenn die Verarbeitung für deinen Bildwunsch erforderlich ist und du ausdrücklich damit einverstanden beziehungsweise bei Bildern anderer Personen rechtlich dazu berechtigt bist.

Speicherfristen für Bilder

• Original-Uploads werden nach erfolgreicher Bild-Erstellung gelöscht.
• Nicht verwendete vorbereitete Uploads werden nach 24 Stunden bereinigt.
• Erzeugte Ergebnisbilder bleiben 14 Tage verfügbar und werden anschließend gelöscht.
• Metadaten zu Bild-Erstellungen, Abrechnung, Sicherheit und Nachvollziehbarkeit können länger gespeichert werden, soweit dies für Vertrag, Abrechnung, Missbrauchsschutz oder gesetzliche Pflichten erforderlich ist.

Abos, Herztaler und Zahlungen

Zahlungen, wiederkehrende Abo-Abrechnung und Rechnungsstellung werden über Stripe beziehungsweise Link verarbeitet. Stripe kann abhängig von Land, Gerät und Zahlungsart eigene Zahlungsdienste wie Karten, Link, Apple Pay oder andere verfügbare Methoden anbieten. Wir erhalten von Stripe nur die Informationen, die für Abo-Status, Rechnungszuordnung, Rechnungsstellung und Freischaltung der Herztaler erforderlich sind.

Technischer Betrieb und Hosting

Die App wird über Vercel betrieben. Datenbank, Authentifizierung und private Bildablage werden über Supabase genutzt. E-Mails für Login-Links werden über den in Supabase eingebundenen SMTP-Anbieter versendet. Derzeit ist dafür ALL-INKL.COM beziehungsweise KASServer vorgesehen. Diese Anbieter verarbeiten Daten nur, soweit dies für Betrieb, Sicherheit und Bereitstellung der App erforderlich ist.

Cookies und lokale Speicherung

Wir verwenden nur technisch notwendige Cookies und vergleichbare Speichertechniken, insbesondere für Login, Sicherheit, Sitzungsverwaltung, Zugriffskontrolle und die gewünschte App-Nutzung. Analyse-, Marketing- oder Tracking-Cookies setzen wir aktuell nicht ein. Deshalb zeigen wir derzeit kein Cookie-Banner an. Falls später optionale Dienste wie Analyse oder Marketing eingebunden werden, werden diese erst nach einer wirksamen Einwilligung geladen.

Schriftarten und externe Skripte

Herzensbilder lädt derzeit keine externen Webfonts wie Google Fonts und keine Analyse- oder Marketing-Skripte. Die Website nutzt lokale beziehungsweise systemeigene Schriftarten. Externe Skripte und externe Schriftquellen werden zusätzlich durch technische Sicherheitsheader eingeschränkt.

Server-Logs und Sicherheit

Zur Sicherung der App können technische Zugriffsdaten, Fehlerdaten, Rate-Limit-Daten und sicherheitsrelevante Ereignisse verarbeitet werden. Dies dient dem Schutz vor Missbrauch, Angriffen, unberechtigten Zugriffen und der Stabilität der App. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung, Konto, Abos, Bild-Erstellung und Bereitstellung digitaler Leistungen.
• Art. 6 Abs. 1 lit. c DSGVO: gesetzliche Pflichten, insbesondere steuerliche und handelsrechtliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse an Sicherheit, Missbrauchsschutz, Fehlerbehebung und wirtschaftlichem Betrieb.
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung, soweit du eine Einwilligung erteilst, etwa für die Verarbeitung besonders sensibler Bildinhalte oder falls später optionale Dienste wie Analyse oder Marketing aktiviert werden.
• Art. 9 Abs. 2 lit. a DSGVO: ausdrückliche Einwilligung, soweit ein von dir hochgeladenes Bild besondere Kategorien personenbezogener Daten enthält und keine andere tragfähige Rechtsgrundlage einschlägig ist.

Empfänger und Dienstleister

• Supabase: Authentifizierung, Datenbank und private Storage-Buckets.
• Vercel: Hosting, Auslieferung und technische Serverumgebung.
• Stripe: Zahlungsabwicklung, Abo-Verwaltung, Rechnungs- und Checkout-Funktionen.
• OpenAI: KI-Bildgenerierung aus deinen Bild- und Texteingaben.
• ALL-INKL.COM beziehungsweise KASServer: Versand von Login-Links und System-E-Mails, sofern dieser SMTP-Anbieter produktiv eingebunden ist.

Auftragsverarbeitung und Anbieterprüfung

Soweit Dienstleister als Auftragsverarbeiter eingesetzt werden, stützen wir dies auf Verträge zur Auftragsverarbeitung, Datenschutzbedingungen oder vergleichbare Vereinbarungen. Eingesetzte Anbieter werden vor Einsatz geprüft und dokumentiert.

Drittlandübermittlungen

Einige Dienstleister können Daten auch außerhalb der EU/des EWR verarbeiten, insbesondere in den USA. Soweit erforderlich, stützen wir solche Übermittlungen auf Angemessenheitsbeschlüsse, Standardvertragsklauseln, Auftragsverarbeitungsverträge oder andere geeignete Garantien nach der DSGVO.

Automatisierte Entscheidungen

Herzensbilder trifft keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen. Automatische Prüfungen können aber eingesetzt werden, um Missbrauch zu verhindern, technische Fehler zu erkennen, Rate Limits einzuhalten oder unzulässige Bildwünsche abzulehnen.

Deine Rechte

• Auskunft über verarbeitete personenbezogene Daten.
• Berichtigung unrichtiger Daten.
• Löschung, soweit keine gesetzlichen oder vertraglichen Aufbewahrungsgründe entgegenstehen.
• Einschränkung der Verarbeitung.
• Datenübertragbarkeit.
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig kann insbesondere der Hessische Beauftragte für Datenschutz und Informationsfreiheit sein.

Kontakt für Datenschutzfragen

Datenschutzanfragen kannst du per E-Mail an hi@herzensbilder.net senden. Bitte nutze dabei möglichst die E-Mail-Adresse deines Kontos, damit wir die Anfrage sicher zuordnen können.