AutoAlt.ai-Logo mit einem stilisierten roten „A“ neben dem Text „AutoAlt.ai“ in Grau auf schwarzem Hintergrund. Hervorhebung der automatischen Alternativtextgenerierung.
DSGVO Konform

Datenschutzerklärung

Stand: [30. Dez. 2025]

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO, des BDSG und sonstiger datenschutzrechtlicher Bestimmungen ist:

webAufstieg GmbH
Anton-Huber-Str. 20
73430 Aalen, Deutschland

 

Geschäftsführer: Alexander Flach
Handelsregister: AG Ulm, HRB 732541
USt-IdNr.: DE294961679

 

Telefon: +49 7361 6339046
E-Mail: info@autoalt.ai

Da wir weniger als 20 Mitarbeiter beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG). Bei Fragen zum Datenschutz wenden Sie sich an: datenschutz@autoalt.ai

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt ausschließlich auf Basis einer gesetzlichen Erlaubnis:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung des Nutzers
  • Art. 6 Abs. 1 lit. b DSGVO –Erfüllung eines Vertrages oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen

3. Hosting & Infrastruktur

Unsere Website und der AutoAlt.ai-Dienst werden bei Timmehosting (Timme Hosting GmbH & Co. KG, Waldstr. 23, 21465 Reinbek, Deutschland) gehostet. Die Server befinden sich in Deutschland. Bei jedem Zugriff werden automatisch Informationen in Server-Logfiles gespeichert:

  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer URL
  • -Adresse des zugreifenden Rechners (anonymisiert)
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Wir haben einen Auftragsverarbeitungsvertrag (AVV) mit Timmehosting geschlossen. Die Datenverarbeitung erfolgt ausschließlich in Deutschland. Es findet kein Drittlandtransfer Ihrer Hosting-Daten statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Bereitstellung und Sicherheit).

4. Datenverarbeitung beim Website-Besuch

Kontaktformular

Wenn Sie uns per Kontaktformular oder E-Mail kontaktieren, werden Ihre Angaben (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung Ihrer Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Gratis SEO & Compliance Check

Wenn Sie unseren kostenlosen SEO & Compliance Check nutzen, geben Sie die URL Ihres Online-Shops ein. Wir verarbeiten diese URL ausschließlich zur Durchführung der technischen Analyse. Es werden keine personenbezogenen Daten der Besucher des analysierten Shops erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5. Kundenkonto & Registrierung

Bei der Registrierung erheben wir:

  • E-Mail-Adresse (Pflichtfeld)
  • Passwort (verschlüsselt gespeichert)
  • Firmenname (optional)
  • USt-IdNr. (optional, für B2B-Rechnungsstellung)
  • Rechnungsadresse (bei kostenpflichtigen Leistungen)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. KI-Bildverarbeitung (Kernfunktion von AutoAlt.ai)

Zusammenfassung für Eilige

Zur Erzeugung von Alt-Texten werden ausschließlich Bilddaten (die Bilddatei selbst) an unsere KI-Unterauftragnehmer (OpenAI und Google) übermittelt. Es werden keine personenbezogenen Daten, keine EXIF-Daten, keine Metadaten, keine Dateinamen und keine Kunden-Identifikatoren an die KI-Anbieter weitergegeben. Die Bilder werden nach der Verarbeitung nicht gespeichert und nicht zum Training von KI-Modellen verwendet.

6.1 Art der verarbeiteten Daten

DatentypAn KI übermittelt?Details
Bilddatei (Pixel-Daten)✅ JaTechnisch notwendig zur Bilderkennung und Alt-Text-Generierung
EXIF-Daten (GPS, Kamera etc.)❌ NeinWerden vor Übermittlung serverseitig entfernt (Stripping)
Dateiname❌ NeinWird nicht an KI-Anbieter übermittelt
E-Mail / Account-ID❌ NeinKeinerlei Verknüpfung zwischen Bild und Kundenkonto
Shop-URL / Domain❌ NeinWird nicht an KI-Anbieter übermittelt
Personenbezogene Daten❌ NeinGrundsätzlich keine personenbezogenen Daten übermittelt

6.2 KI-Unterauftragnehmer

a) OpenAI, L.L.C.

  • Dienst: GPT-4 Vision API (Bildanalyse und Textgenerierung)
  • Sitz: San Francisco, CA, USA
  • Verarbeitung: Bilddaten werden über die OpenAI API analysiert und nach Abschluss nicht dauerhaft gespeichert
  • Kein Training: API-Daten werden nicht zum Training von OpenAI-Modellen verwendet (Zero Data Retention)
  • Drittlandtransfer: SCCs gem. Art. 46 Abs. 2 lit. c DSGVO, EU-US Data Privacy Framework gem. Art. 45 DSGVO
  • DPA: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO besteht

b) Google LLC (Google Cloud / Gemini API)

  • Dienst: Gemini Vision API (Bildanalyse und Textgenerierung)
  • Sitz: Mountain View, CA, USA
  • Verarbeitung: Bilddaten werden über die Gemini API analysiert. Kundendaten werden nicht zum Training generativer KI-Modelle verwendet
  • Drittlandtransfer: SCCs gem. Art. 46 Abs. 2 lit. c DSGVO, EU-US Data Privacy Framework gem. Art. 45 DSGVO
  • DPA: Data Processing Addendum gemäß Art. 28 DSGVO besteht mit Google Cloud

6.3 Rechtsgrundlage der KI-Verarbeitung

Die Verarbeitung der Bilddaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Alt-Text-Generierung ist die vertraglich geschuldete Hauptleistung. Zusätzlich stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Da ausschließlich Bilddaten ohne Personenbezug übermittelt werden, überwiegen die Interessen unserer Kunden nicht.

6.4 Besondere Hinweise zu Produktbildern

AutoAlt.ai ist für E-Commerce-Produktbilder konzipiert. Sollten Ihre Bilder erkennbare Personen zeigen (z.B. Model-Fotos), beachten Sie:

  • Die KI analysiert das Bild ausschließlich zur Inhaltsbeschreibung
  • Keine biometrische Identifizierung findet statt
  • Das Bild wird nach Verarbeitung nicht dauerhaft gespeichert
  • Sie als Verantwortlicher müssen die erforderlichen Rechtsgrundlagen für abgebildete Personen sicherstellen

6.5 Technische Schutzmaßnahmen

  • EXIF-Stripping: Alle Metadaten werden vor KI-Übermittlung serverseitig entfernt
  • Verschlüsselte Übertragung: Ausschließlich über TLS 1.2/1.3
  • Keine Konto-Verknüpfung: API-Anfragen enthalten keine Absender-Informationen
  • Keine dauerhafte Speicherung: Weder durch uns noch durch KI-Anbieter
  • Kein KI-Training: Vertraglich mit OpenAI und Google sichergestellt

6.6 Auftragsverarbeitungsvertrag (AVV/DPA)

Für Kunden, die AutoAlt.ai als Auftragsverarbeiter einsetzen (z.B. Agenturen), stellen wir einen AVV gemäß Art. 28 DSGVO in Deutsch, Englisch und Französisch bereit. Anforderung: datenschutz@autoalt.ai

7. Zahlungsabwicklung

7.1 Stripe

Für Zahlungen nutzen wir Stripe, Inc. (510 Townsend Street, San Francisco, CA / Stripe Payments Europe, Ltd., Dublin, Irland). Zahlungsdaten werden direkt an Stripe übermittelt. Wir haben keinen Zugriff auf vollständige Zahlungsdaten. Stripe ist PCI DSS Level 1 zertifiziert.

  • Daten: Zahlungsdaten, Transaktionsdaten, Rechnungsadresse, E-Mail, ggf. USt-IdNr.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer: SCCs, EU-US Data Privacy Framework
  • Datenschutz: stripe.com/de/privacy

7.2 Steuerberechnung

Stripe Tax berechnet die korrekte Umsatzsteuer. Die IP-Adresse dient zur Standortbestimmung, USt-IdNr. wird über VIES validiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.

8. Cookies & Tracking

8.1 Technisch notwendige Cookies

CookieZweckLaufzeitRechtsgrundlage
session_idSession-Management / LoginSitzungArt. 6 Abs. 1 lit. f DSGVO
csrf_tokenCSRF-SchutzSitzungArt. 6 Abs. 1 lit. f DSGVO
cookie_consentCookie-Präferenz12 MonateArt. 6 Abs. 1 lit. c DSGVO

8.2 Google Analytics 4

Diese Website nutzt Google Analytics 4 (Google Ireland Limited, Dublin, Irland). GA4 anonymisiert IP-Adressen standardmäßig.

  • Daten: Anonymisierte IP, Seitenaufrufe, Verweildauer, Geräte-/Browserinfos, Referrer, ungefährer Standort
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
  • Drittlandtransfer: SCCs, EU-US Data Privacy Framework
  • DPA: Auftragsverarbeitungsvertrag mit Google besteht
  • Opt-Out: Einwilligung im Cookie-Banner verweigern oder Browser-Add-On installieren: tools.google.com/dlpage/gaoptout

Hinweis: Google Analytics wird nur nach ausdrücklicher Einwilligung über unseren Cookie-Banner aktiviert. Ohne Zustimmung findet kein Tracking statt.

9. Google reCAPTCHA

Wir nutzen Google reCAPTCHA (Google Ireland Limited, Dublin, Irland) zum Schutz vor automatisierten Zugriffen (Bots, Spam, DDoS).

  • Daten: IP-Adresse, Referrer URL, Betriebssystem, Cookies, Mausbewegungen, Verweildauer, Geräteeinstellungen
  • Zweck: Unterscheidung menschlicher Nutzer von Bots
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor missbräuchlichen Zugriffen)
  • Drittlandtransfer: SCCs, EU-US Data Privacy Framework

Weitere Informationen: Google Datenschutzerklärung

10. Übermittlung in Drittländer

DienstleisterSitzZweckSchutzmaßnahmen
OpenAI, L.L.C.USAKI-Bildanalyse (nur Bilddaten)SCCs + EU-US DPF + DPA + kein KI-Training
Google LLCUSA / IrlandKI-Bildanalyse, Analytics, reCAPTCHASCCs + EU-US DPF + DPA
Stripe, Inc.USA / IrlandZahlungsabwicklungSCCs + EU-US DPF + DPA + PCI DSS

Hinweis: Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (10. Juli 2023) bildet eine zusätzliche Rechtsgrundlage. Alle Anbieter sind DPF-zertifiziert. Ergänzend bestehen SCCs als sekundäre Absicherung. Ihr Hosting bei Timmehosting erfolgt ausschließlich auf deutschen Servern.

11. Ihre Rechte als betroffene Person

  • Auskunft (Art. 15 DSGVO): Recht auf Auskunft über verarbeitete Daten
  • Berichtigung (Art. 16 DSGVO): Recht auf Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): Recht auf Löschung, sofern keine Aufbewahrungspflichten bestehen
  • Einschränkung (Art. 18 DSGVO): Recht auf Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Recht auf maschinenlesbares Format
  • Widerspruch (Art. 21 DSGVO): Recht auf Widerspruch gegen die Verarbeitung
  • Widerruf (Art. 7 Abs. 3 DSGVO): Einwilligungen jederzeit widerrufbar

Kontakt: datenschutz@autoalt.ai

Beschwerderecht bei einer Aufsichtsbehörde

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

12. Speicherdauer & Löschung

DatenkategorieSpeicherdauerBegründung
KontodatenBis Kontolöschung + 30 TageVertragserfüllung
Rechnungsdaten10 Jahre§ 147 AO, § 257 HGB
Bilddaten (KI)Unmittelbar nach Generierung gelöschtKeine Speicherung
Generierte Alt-TexteBis Löschung durch KundenVertragserfüllung
Server-Logfiles14 TageSicherheit
Google Analytics14 MonateGA4-Einstellung
Kontaktanfragen6 Monate nach AbschlussBerechtigtes Interesse

13. Datensicherheit

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO:

  • TLS 1.2/1.3-Verschlüsselung aller Übertragungen
  • HSTS (HTTP Strict Transport Security)
  • Verschlüsselte Passwort-Speicherung (bcrypt/argon2)
  • Regelmäßige Sicherheitsupdates
  • Zugangskontrollen und Berechtigungskonzepte
  • EXIF-Stripping aller Bilder vor KI-Übermittlung
  • Keine dauerhafte Speicherung von Bilddaten
  • Hosting auf deutschen Servern (Timmehosting, Reinbek)
  • Auftragsverarbeitungsverträge mit allen Unterauftragsverarbeitern

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Rechtsänderungen oder Änderungen des Dienstes anzupassen. Bei wesentlichen Änderungen informieren wir registrierte Kunden per E-Mail.

Letzte Aktualisierung: Februar 2026