Reimgen
Explore

DATENSCHUTZERKLÄRUNG (PRIVACY POLICY)

Stand: 30.01.2026

Diese Datenschutzerklärung erklärt, wie wir personenbezogene Daten verarbeiten, wenn Sie unsere Website und den Dienst „Reimgen“ nutzen („Dienst“). Reimgen ermöglicht u. a. das Hochladen von Bildern und die Erstellung bzw. Bearbeitung von Bildern mithilfe von KI‑gestützten Generatoren (z. B. Studio/Hair/Outfit/Styles/Luxury Creator) sowie die Verwaltung eines Nutzerkontos, eines Credit‑Systems und kostenpflichtiger Abonnements/Top‑ups.

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO) Verantwortlicher für die Datenverarbeitung ist: Michael Reimer Am Langenbach 10, 48308 Senden, Deutschland E‑Mail: support@reimgen.com Telefon: [optional]

Wenn Sie Fragen zum Datenschutz haben, können Sie sich jederzeit unter der oben genannten E‑Mail‑Adresse an uns wenden.

1.1 Datenschutzbeauftragter Ein Datenschutzbeauftragter ist nicht bestellt. Sofern bestellt: E‑Mail: —

1.2 EU‑Vertreter (nur falls Sie nicht in der EU/EEA sitzen) Sofern wir keinen Sitz in der EU/EEA haben und unser Angebot auf Nutzer in der EU/EEA ausrichten, benennen wir einen Vertreter in der EU gemäß Art. 27 DSGVO: Nicht zutreffend (Sitz in der EU/EEA).

1.3 UK‑Vertreter / Schweiz‑Vertreter (nur falls rechtlich erforderlich) Sofern wir in bestimmten Rechtsordnungen (z. B. Vereinigtes Königreich oder Schweiz) einen lokalen Vertreter benennen müssen (z. B. bei umfangreicher/regelmäßiger Verarbeitung in Verbindung mit dem Angebot an Personen in diesen Ländern), werden wir dies umsetzen und die Kontaktdaten an dieser Stelle ergänzen. Derzeit: nicht benannt.

2. Geltungsbereich Diese Datenschutzerklärung gilt für: - den Besuch unserer Website, - die Nutzung unseres Dienstes (Account, Credits, KI‑Generierung, Speicherung von Uploads/Ergebnissen), - Zahlungsabwicklung (Abos/Top‑ups), - Newsletter / Marketing‑Kommunikation (optional), - Support und Kommunikation.

3. Kategorien personenbezogener Daten Je nach Nutzung verarbeiten wir insbesondere folgende Datenkategorien:

a) Bestands- und Kontaktdaten

  • E‑Mail‑Adresse
  • interne Nutzer‑ID
  • optional: Name/Profilbild (falls bereitgestellt, z. B. via OAuth)

b) Authentifizierungs- und Sicherheitsdaten

  • Passwort‑Hash (kein Klartextpasswort)
  • Verifizierungs-/Sicherheitsdaten: Einmalcodes (als Hash gespeichert), Reset‑Token (als Hash gespeichert), Login‑Statusinformationen
  • technische Sicherheitsdaten: IP‑Adresse, User‑Agent (insb. im Rahmen von Rate‑Limiting/Abuse‑Prevention)

c) Nutzungs- und Vertragsdaten (Credits/Plan)

  • Planstatus (z. B. free/pro), Abrechnungsstatus, Laufzeit-/Renew‑Informationen
  • Credits‑Kontostände (Abo‑Credits, Top‑up‑Credits) sowie Transaktions-/Ledger‑Einträge (Zeitstempel, Betrag, Grund, Modul)

d) Zahlungs- und Abrechnungsdaten (über Stripe)

  • Stripe Customer ID, Subscription‑ID, Status, ggf. Rechnungs-/Beleginformationen
  • Zahlungsdaten (z. B. Karten-/Bankdaten) werden typischerweise direkt von Stripe verarbeitet; wir erhalten i. d. R. nur Status-/Meta‑Informationen (z. B. „bezahlt“, „fehlgeschlagen“).

e) Inhalte („Content“) – Uploads, Prompts, generierte Ergebnisse

  • von Ihnen hochgeladene Bilder (Inputs), ggf. mehrere Referenzbilder
  • von Ihnen eingegebene Texteingaben/Prompts und Einstellungen (z. B. Format, Auflösung)
  • generierte Bilder/Ergebnisse (Outputs), URLs/Dateinamen, Zeitstempel

Hinweis: Bilder können personenbezogene Daten enthalten (z. B. Gesichter, Wohnräume). Wir nutzen diese Inhalte nicht zur Identifizierung von Personen, sondern ausschließlich zur Bereitstellung der von Ihnen angeforderten Funktion.

f) Kommunikationsdaten (Support)

  • E‑Mail‑Adresse, Nachrichteninhalt, ggf. Anhänge/Screenshots, Zeitstempel

g) Website-/Gerätedaten, Cookies/ähnliche Technologien

  • Server‑Logs (z. B. IP‑Adresse, Zeitpunkt, aufgerufene Seite/Datei, Statuscodes)
  • Cookies und ähnliche Technologien (z. B. Einwilligungs‑Cookie, Session‑Cookies, ggf. Analytics‑Cookies)

h) Newsletter-/Marketingdaten (optional)

  • Status Ihrer Newsletter‑Einwilligung (Opt‑in ja/nein) und Zeitpunkte (z. B. Opt‑in‑Zeitpunkt, Bestätigungszeitpunkt)
  • ggf. Quelle/Context der Anmeldung (z. B. Registrierung, Einstellungen) und Sprache/Locale
  • technische Nachweisdaten zur Einwilligung/Bestätigung (z. B. Bestätigungs‑Token als Hash, Ablaufdatum; ggf. weitere Nachweisdaten, sofern erhoben)
  • Abmelde-/Widerspruchsstatus (Opt‑out) und Zeitpunkte
  • optional (nur sofern eingesetzt): Interaktionsdaten aus Newsletter‑E‑Mails (z. B. Öffnungen/Klicks), typischerweise über Zählpixel/Tracking‑Links

4. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO) Wir verarbeiten personenbezogene Daten nur, wenn dies erlaubt ist. Je nach Kontext stützen wir uns insbesondere auf: - Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung): Bereitstellung des Accounts, Durchführung von Generierungen, Bereitstellung von Credits, Abruf Ihrer Generations‑Historie. - Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): IT‑Sicherheit, Missbrauchs-/Betrugsprävention, Fehleranalyse, Stabilität des Dienstes, Durchsetzung von Ansprüchen. - Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): z. B. handels-/steuerrechtliche Aufbewahrung, sofern anwendbar. - Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): z. B. für nicht notwendige Cookies/Analytics, soweit eingesetzt, sowie für Newsletter/Marketing‑Kommunikation (inkl. ggf. Newsletter‑Tracking, sofern eingesetzt). Einwilligungen sind jederzeit widerrufbar (für die Zukunft).

Zusätzlich beachten wir – soweit anwendbar – die jeweiligen nationalen Vorgaben für elektronische Werbung (z. B. in Deutschland insbesondere wettbewerbsrechtliche Vorgaben; Details siehe Abschnitt 12.10).

5. Empfänger / Kategorien von Empfängern Wir geben personenbezogene Daten nur weiter, wenn dies für die Zwecke erforderlich ist oder eine Rechtsgrundlage besteht. Empfänger können insbesondere sein: - Hosting-/Infrastruktur‑Dienstleister (Betrieb der Website, Datenbank, Datei‑/Storage, CDN) - E‑Mail‑Versanddienst (transaktionale E‑Mails und Newsletter‑E‑Mails) - Zahlungsdienstleister (Abos/Top‑ups, Rechnungen, Betrugsprävention) - KI‑/Generierungs‑Dienstleister (Durchführung der Bildgenerierung) - Analyse‑Dienstleister (nur nach Einwilligung, falls aktiviert) - Behörden/öffentliche Stellen, sofern wir rechtlich dazu verpflichtet sind - Rechtsberater/Inkasso/Prüfer, soweit zur Rechtsdurchsetzung erforderlich

Mit Dienstleistern, die in unserem Auftrag Daten verarbeiten, schließen wir – soweit erforderlich – Auftragsverarbeitungsverträge nach Art. 28 DSGVO.

6. Drittlandübermittlungen (außerhalb EU/EEA) und Schutzmechanismen Einige der eingesetzten Dienstleister können Daten in Ländern außerhalb der EU/EEA verarbeiten (z. B. USA, Vereinigtes Königreich, Schweiz). In diesen Fällen stellen wir – soweit erforderlich – angemessene Schutzmechanismen sicher, insbesondere: - Angemessenheitsbeschlüsse (sofern vorhanden), - EU‑Standardvertragsklauseln (SCC) oder - EU‑US Data Privacy Framework (DPF), sofern der Empfänger entsprechend zertifiziert ist, - sowie ggf. zusätzliche Maßnahmen (z. B. Zugriffsbeschränkungen, Minimierung).

Wenn UK‑Recht (UK GDPR) oder Schweizer Recht (revDSG) anwendbar ist, setzen wir – soweit erforderlich – zusätzlich die dort vorgesehenen/anerkannten Transfermechanismen (z. B. UK‑IDTA bzw. UK‑Addendum; bzw. Schweizer Anpassungen/Ergänzungen zu SCC) ein.

Welche Mechanismen konkret greifen, hängt vom jeweiligen Dienstleister und der Konfiguration ab (siehe auch Abschnitt 12 zu einzelnen Verarbeitungsvorgängen).

7. Speicherdauer / Löschung (Art. 5 Abs. 1 lit. e DSGVO) Wir speichern personenbezogene Daten nur so lange, wie dies für die in dieser Erklärung genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Konkrete Beispiele aus unserer technischen Umsetzung:

  • E‑Mail‑Verifizierungs‑Codes: sind nur kurz gültig (typisch ca. 10 Minuten) und werden nach Ablauf/Verbrauch technisch ungültig; Datensätze können bis zur Accountlöschung in der Datenbank verbleiben.
  • Pending‑Login‑Token (Cookie/DB): kurze Gültigkeit (typisch ca. 10 Minuten), danach automatisierte Löschung abgelaufener Einträge.
  • Passwort‑Reset‑Token: kurze Gültigkeit (typisch ca. 30 Minuten); abgelaufene Tokens werden gelöscht; verbrauchte Tokens werden für einen kurzen Zeitraum zu Sicherheitszwecken vorgehalten und anschließend gelöscht.
  • Auth-/Security‑Events (Rate‑Limiting/Audit): werden für einen begrenzten Zeitraum gespeichert (typisch bis zu 30 Tage) und dann automatisiert gelöscht.
  • Newsletter‑Bestätigungs‑Tokens (Double‑Opt‑In): Bestätigungslinks sind nur für einen begrenzten Zeitraum gültig (typisch bis zu 7 Tage). Nach Nutzung werden Tokens als „verwendet“ markiert; ungenutzte Tokens laufen ab und können gelöscht werden.
  • Newsletter‑Einwilligungs‑Nachweise: Wir speichern Nachweise zur Einwilligung/Bestätigung sowie zum Widerruf so lange, wie dies zur Dokumentation und Rechtsverteidigung erforderlich ist (z. B. zur Abwehr unberechtigter Ansprüche), und löschen/anonymisieren sie anschließend. [Optional konkretisieren, z. B. „in der Regel bis zu 3 Jahre nach Widerruf/letzter Kommunikation“ – bitte final juristisch prüfen.]
  • Credits-/Ledger‑ und abrechnungsbezogene Daten: Speicherung entsprechend der Erforderlichkeit für Vertragserfüllung und ggf. gesetzliche Aufbewahrung (z. B. handels-/steuerrechtlich; in Deutschland häufig bis zu 10 Jahre – bitte final juristisch prüfen).
  • Top‑up‑Credits werden in einzelnen „Buckets“ geführt, die nach 180 Tagen ablaufen (betrifft die Nutzungslogik; die zugehörigen Transaktions-/Abrechnungsdaten können darüber hinaus aus Nachweisgründen gespeichert werden).

Hinweis zu Backups: Wir können regelmäßige Backups/Disaster‑Recovery‑Kopien vorhalten. Daten können daher in Sicherungskopien für einen begrenzten Zeitraum verbleiben und werden nach Ablauf unserer Backup‑Zyklen gelöscht/überschrieben. Backup‑Aufbewahrung: [z. B. bis zu 30/60/90 Tage] (bitte ergänzen).

8. Ihre Rechte (Betroffenenrechte) Wenn die DSGVO (insbesondere in EU/EEA/UK) anwendbar ist, haben Sie – je nach Voraussetzungen – folgende Rechte: - Auskunft (Art. 15 DSGVO) - Berichtigung (Art. 16 DSGVO) - Löschung (Art. 17 DSGVO) - Einschränkung der Verarbeitung (Art. 18 DSGVO) - Datenübertragbarkeit (Art. 20 DSGVO), soweit anwendbar - Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO) - Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der Verarbeitung bis zum Widerruf berührt wird

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: support@reimgen.com

Newsletter-Widerruf/Abmeldung: Sie können Ihre Newsletter‑Einwilligung jederzeit widerrufen (z. B. über einen Abmeldelink in der Newsletter‑E‑Mail oder über die Einstellungen in Ihrem Konto, soweit verfügbar). Der Widerruf wirkt für die Zukunft.

Beschwerderecht: Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes. Für UK und die Schweiz siehe ergänzend Abschnitt 15.1 und 15.2.

9. Pflicht zur Bereitstellung von Daten Die Bereitstellung bestimmter Daten ist für die Nutzung des Dienstes erforderlich: - Ohne E‑Mail‑Adresse und Account‑Daten können wir kein Konto bereitstellen. - Ohne Authentifizierungsdaten können wir Login/Sicherheit nicht gewährleisten. - Ohne erforderliche Inhaltsdaten (z. B. Upload‑Bilder/Prompts) können wir keine Generierung durchführen. - Ohne Zahlungsabwicklung (über Stripe) ist keine Nutzung kostenpflichtiger Pläne/Top‑ups möglich.

Newsletter: Die Newsletter‑Anmeldung ist freiwillig. Sie können den Dienst grundsätzlich auch ohne Newsletter nutzen.

Wenn Sie erforderliche Daten nicht bereitstellen, können Sie den Dienst (oder einzelne Funktionen) nicht oder nur eingeschränkt nutzen.

10. Automatisierte Entscheidungen / Profiling (Art. 22 DSGVO) Wir treffen grundsätzlich keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO. Wir setzen jedoch automatisierte Sicherheitsmechanismen ein (z. B. Rate‑Limiting, Erkennung auffälliger Login-/Reset‑Versuche, Blocken bestimmter Wegwerf‑E‑Mail‑Domains). Das kann dazu führen, dass Anfragen temporär abgelehnt werden (z. B. „zu viele Versuche“). Diese Maßnahmen dienen der Sicherheit und Missbrauchsprävention.

11. Minderjährige Unser Dienst richtet sich nicht an Kinder. Sie dürfen den Dienst nur nutzen, wenn Sie mindestens 16 Jahre alt sind (oder das nach Ihrem Recht erforderliche Mindestalter erreicht haben). Wenn Sie jünger sind, nutzen Sie den Dienst bitte nur mit Einwilligung/Unterstützung Ihrer Erziehungsberechtigten, sofern dies rechtlich erforderlich ist.

12. Einzelne Verarbeitungsvorgänge (feature‑/code‑nah)

12.1 Website‑Aufruf & Server‑Logs Daten: IP‑Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User‑Agent, Statuscodes, ggf. Fehler-/Performance‑Informationen. Zwecke: Betrieb und Auslieferung der Website, IT‑Sicherheit, Missbrauchsvermeidung, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb und Abwehr von Angriffen). Empfänger: Hosting-/Infrastruktur‑Dienstleister. Speicherdauer: [typisch 7–30 Tage, je nach Hosting] (bitte konkretisieren).

12.2 Account, Login, E‑Mail‑Verifizierung, Passwort‑Reset Daten: E‑Mail‑Adresse, Nutzer‑ID, Passwort‑Hash, Status „E‑Mail verifiziert“, technische Sicherheitsdaten (z. B. IP, User‑Agent bei Auth‑Events), Einmalcodes/Reset‑Token (als Hash gespeichert), Audit-/Rate‑Limit‑Einträge. Zwecke: Accountverwaltung, Authentifizierung, Kontosicherheit, Missbrauchsprävention. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des Accounts), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Abuse‑Prevention). Speicherdauer (Beispiele aus Implementierung): - Verifizierungs‑Codes: kurze Gültigkeit (typisch ca. 10 Minuten), danach ungültig. - Pending‑Login‑Cookie/DB‑Eintrag: kurze Gültigkeit (typisch ca. 10 Minuten), danach automatisierte Bereinigung. - Passwort‑Reset‑Link: kurze Gültigkeit (typisch ca. 30 Minuten); verbrauchte/abgelaufene Tokens werden nach kurzer Sicherheitsfrist gelöscht. - Auth‑Events (Rate‑Limiting/Audit): begrenzte Aufbewahrung (typisch bis zu 30 Tage).

12.3 E‑Mail‑Versand über Resend (transaktionale E‑Mails) Wir senden Service‑E‑Mails (z. B. Verifizierungscode, Passwort‑Reset‑Link). Daten: E‑Mail‑Adresse, Inhalte der E‑Mail (z. B. Code/Link, technische Metadaten für Zustellung). Zwecke: Zustellung von Sicherheits‑ und Service‑Kommunikation. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Account‑Bereitstellung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsprävention). Empfänger: Resend (E‑Mail‑Versanddienst) als Auftragsverarbeiter. Drittlandübermittlung: Resend kann Daten außerhalb der EU/EEA verarbeiten (z. B. USA). Schutzmechanismen: SCC/DPF (abhängig von aktuellem Setup/Verträgen).

12.4 Stripe: Abos, Top‑ups, Customer Portal, Webhooks Wenn Sie ein Abo abschließen oder Credits kaufen, erfolgt die Zahlungsabwicklung über Stripe. Daten (typisch): E‑Mail‑Adresse, Stripe Customer ID, Subscription‑Status, Produkt/Plan‑Informationen, Zahlungsstatus, Rechnungs-/Beleginformationen. Zahlungsdaten (z. B. Karten-/Bankdaten) werden typischerweise direkt von Stripe verarbeitet. Zwecke: Zahlungsabwicklung, Aboverwaltung, Betrugsprävention, Rechnungsstellung, Kundenportal (Planwechsel/Kündigung). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Zahlung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Aufbewahrungspflichten, sofern anwendbar), Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention, Nachweisbarkeit). Empfänger: Stripe (je nach Region Stripe‑Gesellschaft; Stripe kann als eigener Verantwortlicher für Zahlungsdaten auftreten und/oder als Auftragsverarbeiter für bestimmte Verarbeitungsteile). Drittlandübermittlung: Stripe kann Daten außerhalb EU/EEA verarbeiten (z. B. USA). Schutzmechanismen: SCC/DPF (abhängig von Region/Vertrag/Konfiguration). Speicherdauer: Abrechnungs- und Nachweisdaten gemäß gesetzlichen Fristen (z. B. DE oft bis zu 10 Jahre – bitte final juristisch prüfen).

12.5 Creditsystem (Abo‑Credits + Top‑up‑Credits) Daten: Credit‑Saldo, Planstatus, Transaktions-/Ledger‑Einträge (Zeitpunkt, Betrag, Grund, Modul), Top‑up‑Buckets (inkl. Ablaufdatum). Zwecke: Bereitstellung und Abrechnung von Nutzungskontingenten, Missbrauchsprävention, Nachweisbarkeit. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. f DSGVO (Betrugs-/Missbrauchsprävention, Nachweis). Besonderheit: Top‑up‑Credits können nach 180 Tagen verfallen (Ablaufdatum pro Bucket). Diese Information betrifft primär die Nutzungsbedingungen, ist aber auch für Transparenz relevant.

12.6 Uploads & generierte Bilder (Inputs/Outputs) Daten: - Upload‑Bilder (Inputs) - generierte Bilder (Outputs) - Dateinamen/URLs, Zeitstempel, ggf. Metadaten aus den Dateien Zwecke: Bereitstellung der Kernfunktion (Generierung/Bearbeitung), Anzeige von Ergebnis‑Historie, Download/erneuter Zugriff. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag – Sie fordern die Generierung an).

Wichtiger Hinweis zur „Privatsphäre“ von Bildern (technische Ausgestaltung): Unsere Anwendung stellt derzeit keine öffentliche Galerie bereit. Uploads und Outputs sind nicht „öffentlich gelistet“. Technisch können Bilder jedoch über direkte URLs abrufbar sein, wenn jemand den Link kennt oder wenn Sie ihn teilen. Behandeln Sie Links zu Bildern daher wie vertrauliche Informationen.

Speicherdauer: Solange Ihr Account besteht, speichern wir Inputs/Outputs in der Regel, damit Sie auf Ihre Inhalte erneut zugreifen können. Bei Löschung Ihres Accounts werden die zugehörigen Datenbankeinträge entfernt. Dateien/Objekte im Dateispeicher sowie Daten in Backups können aus technischen Gründen zeitverzögert gelöscht werden (siehe Abschnitt 7).

12.7 KI‑Generierung mit externen Providern (z. B. „Nano Banana Pro“, „SeeDream“, ggf. Google/Gemini) Zur Ausführung von Generierungen nutzen wir KI‑/Generierungs‑Infrastruktur über API‑Schnittstellen. Datenübermittlung an KI‑Dienstleister: - Prompt‑Texte und Einstellungen (z. B. Format, Auflösung, Anzahl Outputs) - ggf. Referenzbilder/Uploads (Inputs) - ggf. Output‑URLs bzw. Ergebnisdaten (je nach Provider‑Rückgabe)

Hinweis zur technischen Übermittlung: Je nach Provider werden Inhalte als Daten direkt übertragen und/oder dem Provider als abrufbare URL bereitgestellt, damit er die Bilder zur Generierung verarbeiten kann.

Zwecke: Ausführung der von Ihnen angeforderten Generierung/Bildbearbeitung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag). Empfänger: KI‑Dienstleister/Provider, die wir zur Generierung einsetzen. In unserer aktuellen Konfiguration können dies u. a. sein:

  • „Nano Banana Pro“ (über konfigurierte API‑URL)
  • „SeeDream“ (über konfigurierte API‑URL)
  • optional: Google Generative Language API („Gemini“), sofern die API‑URL entsprechend konfiguriert ist

Bitte ergänze hier die rechtlichen Einheiten/Anbieter, wenn Sie sie benennen können: [KI‑Provider 1: Rechtsträger/Adresse/Land] [KI‑Provider 2: Rechtsträger/Adresse/Land] [Optional Google: Google Ireland Ltd./Google LLC – je nach Setup]

Drittlandübermittlung: KI‑Provider können außerhalb EU/EEA verarbeiten. Schutzmechanismen: SCC/DPF (abhängig von Provider/Vertrag).

Training/Weiterverwendung: Ob und in welchem Umfang KI‑Provider übermittelte Inhalte zur Verbesserung/Qualitätssicherung/Training nutzen, hängt vom jeweiligen Provider und den getroffenen Vereinbarungen ab. Soweit möglich, begrenzen wir die Verarbeitung auf die Ausführung Ihres Auftrags. Bitte laden Sie keine Inhalte hoch, die Sie nicht an externe KI‑Dienstleister übermitteln möchten.

12.8 Admin‑Bereiche & interne Zugriffe Daten: Je nach Fall Zugriff auf Katalogdaten (z. B. Look‑Assets), Nutzer‑/Billing‑Status und ggf. Inhalte, soweit für Support/Moderation/Abrechnung notwendig. Zwecke: Betrieb, Wartung, Support, Missbrauchsprävention, Abrechnungs-/Fehlerklärung. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Support, Missbrauchsprävention). Zugriffsbeschränkung: Zugriffe sind rollenbasiert und auf Personen beschränkt, die sie zur Aufgabenerfüllung benötigen.

12.9 Support / Kontakt Daten: E‑Mail‑Adresse, Nachrichteninhalte, ggf. Anhänge/Screenshots, Zeitstempel. Zwecke: Bearbeitung Ihrer Anfrage, Fehleranalyse, Support. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und/oder Art. 6 Abs. 1 lit. f DSGVO (effiziente Support‑Abwicklung). Speicherdauer: [bitte festlegen, z. B. 12 Monate nach Abschluss des Vorgangs], sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

12.10 Newsletter / Marketing‑Kommunikation (optional) inkl. Double‑Opt‑In Wenn Sie sich für unseren Newsletter („Produkt‑Updates & Tipps“) anmelden, verarbeiten wir Ihre Daten, um Ihnen gelegentlich E‑Mails mit Informationen zu neuen Looks, Features, Tipps oder Aktionen zu senden.

Anmeldung / Einwilligung:

  • Die Newsletter‑Anmeldung ist freiwillig und erfolgt über ein aktives Opt‑in (z. B. Checkbox im Rahmen der Registrierung oder in den Kontoeinstellungen).
  • Für Nutzer in Deutschland setzen wir ein Double‑Opt‑In‑Verfahren ein: Nach der Anmeldung senden wir eine Bestätigungs‑E‑Mail; erst nach Klick auf den Bestätigungslink wird die Anmeldung wirksam. Dieses Verfahren können wir auch für andere Länder einsetzen.
  • Wenn Sie die Bestätigung nicht durchführen, erhalten Sie keinen Newsletter; die Anmeldung bleibt ggf. „ausstehend“ und ein Bestätigungslink kann ablaufen.

Daten (typisch):

  • E‑Mail‑Adresse
  • Status Ihrer Einwilligung (ausstehend / bestätigt / widerrufen)
  • Nachweise zur Einwilligung/Bestätigung (z. B. Zeitpunkt der Anmeldung, Zeitpunkt der Bestätigung, Bestätigungs‑Token als Hash, Ablaufdatum, Quelle/Locale; ggf. weitere Nachweisdaten, sofern erhoben)
  • optional (nur sofern eingesetzt): Interaktionsdaten (z. B. Öffnungen/Klicks) über Tracking‑Technologien in Newsletter‑E‑Mails

Zwecke:

  • Versand des Newsletters
  • Verwaltung Ihrer Einstellungen (An-/Abmeldung)
  • Nachweis der Einwilligung und Missbrauchsprävention (z. B. zur Abwehr unberechtigter Ansprüche)
  • optional (nur sofern eingesetzt): Erfolgsmessung/Optimierung des Newsletters (Öffnungen/Klicks)

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Soweit anwendbar, beachten wir zusätzlich nationale Regeln für elektronische Werbung (z. B. in Deutschland wettbewerbsrechtliche Vorgaben). Wir nutzen das Double‑Opt‑In u. a. zur Nachweisbarkeit.

Widerruf/Abmeldung:

  • Sie können den Newsletter jederzeit abbestellen (z. B. über den Abmeldelink in jeder Newsletter‑E‑Mail oder über die Kontoeinstellungen). Der Widerruf gilt für die Zukunft.

Empfänger / Versanddienst:

  • Für den Versand und die Verwaltung der Newsletter‑Empfängerlisten nutzen wir Resend. Dabei kann Ihre E‑Mail‑Adresse sowie ggf. Locale/Segment‑Zuordnung und Abmelde‑Status an Resend übermittelt werden.

Drittlandübermittlung:

  • Resend kann Daten außerhalb der EU/EEA verarbeiten (z. B. USA). Schutzmechanismen: SCC/DPF (abhängig von aktuellem Setup/Verträgen).

13. Cookies, ähnliche Technologien & Einwilligungsmanagement (§ 25 TDDDG / DSGVO) Wir verwenden Cookies und ähnliche Technologien.

13.1 Notwendige Cookies/Technologien Diese sind für den Betrieb des Dienstes erforderlich und werden ohne separate Einwilligung eingesetzt, soweit rechtlich zulässig (§ 25 Abs. 2 TDDDG). Beispiele (aus unserer Implementierung): - Einwilligungs-/Präferenz‑Cookie: „reimgen_cookie_consent“ (speichert Ihre Cookie‑Auswahl, Laufzeit typischerweise 1 Jahr) - Session-/Auth‑Cookies (z. B. durch Auth‑Framework, z. B. Session‑Token/CSRF‑Cookie) - Sicherheits‑Cookie für Pending‑Login: „__Host-reimgen_pl“ (bzw. „reimgen_pl“ außerhalb der Produktionskonfiguration; httpOnly, kurze Laufzeit, typischerweise ca. 10 Minuten) - technische Speichermechanismen zur Synchronisierung Ihrer Cookie‑Einstellung zwischen Tabs (z. B. LocalStorage‑Key)

Hinweis für UK/Schweiz: Wenn Sie sich im Vereinigten Königreich oder in der Schweiz befinden, können zusätzlich lokale Vorgaben zu Cookies/ähnlichen Technologien gelten (z. B. PECR im UK). Wir orientieren uns an den gleichen Grundprinzipien (Transparenz, Notwendigkeit, Einwilligung bei nicht notwendigen Technologien).

13.2 Analytics (nur nach Einwilligung) Sofern aktiviert und Sie einwilligst, verwenden wir Google Analytics 4 (GA4), um die Nutzung des Dienstes zu messen und zu verbessern.

Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie § 25 Abs. 1 TDDDG (Speicherung/Zugriff auf Endgerät)

Sie können Ihre Einwilligung jederzeit widerrufen (siehe 13.3).

Technischer Hinweis: Wir setzen ein Einwilligungsbanner ein. Analytics wird standardmäßig deaktiviert und erst nach Opt‑in aktiviert. Bei Widerruf versuchen wir, Analytics‑Cookies bestmöglich zu entfernen und die Datenerhebung zu stoppen.

Typische Cookie‑Namen von GA4: „_ga“ und „_ga_<…>“ (sowie ggf. weitere, abhängig von Google‑Konfiguration).

13.3 Widerruf/Änderung der Cookie‑Einwilligung Sie können Ihre Cookie‑Auswahl jederzeit über die Cookie‑Einstellungen auf der Website ändern und eine erteilte Einwilligung widerrufen. Ein Widerruf wirkt für die Zukunft.

14. Änderungen dieser Datenschutzerklärung Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienst oder Datenverarbeitung ändern. Die jeweils aktuelle Fassung ist auf unserer Website verfügbar. Das Datum unter „Stand“ zeigt den letzten Aktualisierungszeitpunkt.

15. Zusatz: Hinweise für Nutzer außerhalb der EU/EEA (weltweite Nutzung) Wenn Sie außerhalb der EU/EEA wohnen, können andere Datenschutzgesetze gelten. Wir verarbeiten Ihre Daten dennoch nach den in dieser Erklärung beschriebenen Grundsätzen (Zweckbindung, Datenminimierung, Sicherheit). Soweit lokale Gesetze zusätzliche Rechte vorsehen, versuchen wir diese im Rahmen der anwendbaren Vorgaben zu berücksichtigen.

15.1 Vereinigtes Königreich (UK) – UK GDPR / PECR Wenn Sie sich im Vereinigten Königreich befinden oder UK‑Datenschutzrecht anwendbar ist, gelten ergänzend die Regelungen der UK GDPR sowie ggf. des Data Protection Act 2018 und – für elektronische Marketing‑Kommunikation (z. B. Newsletter) – zusätzlich die Privacy and Electronic Communications Regulations (PECR). - Ihre Betroffenenrechte entsprechen im Wesentlichen den unter Abschnitt 8 genannten Rechten. - Zuständige Aufsichtsbehörde im UK ist in der Regel das Information Commissioner’s Office (ICO). - Für internationale Übermittlungen können – soweit erforderlich – UK‑spezifische Transfermechanismen (z. B. UK‑IDTA bzw. UK‑Addendum) eingesetzt werden.

15.2 Schweiz – revidiertes Datenschutzgesetz (revDSG) Wenn Sie sich in der Schweiz befinden oder Schweizer Datenschutzrecht anwendbar ist, gelten ergänzend die Regelungen des revidierten Schweizer Datenschutzgesetzes (revDSG). - Sie haben insbesondere Rechte auf Auskunft, Berichtigung sowie – je nach Voraussetzungen – Löschung/Unterlassung der Bearbeitung. - Zuständige Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). - Bei grenzüberschreitender Bekanntgabe von Personendaten stellen wir – soweit erforderlich – angemessene Garantien sicher (z. B. vertragliche Schutzmaßnahmen).