Zum Inhalt springen
Zurück

Datenschutzerklärung

Letzte Aktualisierung: 23. April 2026

1. Verantwortliche Stelle

Shoodio.ai wird betrieben von:

Puristo GmbH Waldbach 51 4816 Gschwandt bei Gmunden Österreich

Firmenbuch: FN 346897v, Landesgericht Wels Geschäftsführerin: Kornelia Steiner Kontakt: info@shoodio.ai

Datenschutzbeauftragter: Nicht erforderlich (Teamgröße < 20 Personen gemäß Art. 37 DSGVO)

2. Überblick

Shoodio ist eine KI-gestützte Plattform zur Erstellung von Fashion-Model-Fotoshootings mit synthetischen, KI-generierten Models. Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang zur Bereitstellung unserer Dienste.

Wichtig: Alle KI-generierten Models sind synthetisch und stellen keine realen Personen dar. Es werden keine biometrischen Daten verarbeitet.

3. Welche personenbezogenen Daten wir erheben

3.1 Account-Daten

Bei der Registrierung erheben wir:

  • E-Mail-Adresse (erforderlich)
  • Passwort (gehasht, nicht lesbar)
  • Display-Name (erforderlich)
  • Profilbild (optional)
  • Spracheinstellung

3.2 OAuth-Anmeldung (Google)

Wenn du dich über Google anmeldest:

  • E-Mail-Adresse
  • Display-Name
  • Profilbild (optional)

3.3 Generierte Inhalte

  • Text-Prompts für KI-Generierung
  • KI-generierte Bilder und Videos
  • Kampagnen-Konfigurationen und Workspace-Daten

3.4 Zahlungsdaten

Werden ausschließlich von Paddle (unserem Zahlungsanbieter) verarbeitet:

  • Transaktions-ID
  • Betrag und Währung
  • Zahlungsstatus
  • Paddle Customer ID

Wir speichern KEINE Kreditkartennummern oder Zahlungsdetails.

3.5 Technische Daten

  • Session-Cookies (Supabase Auth)
  • Access-Tokens (1 Stunde Gültigkeit)
  • Authentifizierungs-Logs
  • Sprach- und UI-Einstellungen

4. Rechtsgrundlagen und Zwecke

| Zweck | Rechtsgrundlage | DSGVO-Referenz | | ---------------------------------------------------- | ---------------------- | ---------------- | | Account-Verwaltung und Authentifizierung | Vertragserfüllung | Art. 6(1)b DSGVO | | KI-Content-Generierung | Vertragserfüllung | Art. 6(1)b DSGVO | | Zahlungsabwicklung | Vertragserfüllung | Art. 6(1)b DSGVO | | Aggregierte Plattform-Analytik (ohne Nutzer-Inhalte) | Berechtigtes Interesse | Art. 6(1)f DSGVO | | Marketing-E-Mails (mit Einwilligung) | Einwilligung | Art. 6(1)a DSGVO |

Du kannst deine Einwilligung für Marketing-E-Mails jederzeit über den Abmeldelink in jeder E-Mail oder in deinen Account-Einstellungen widerrufen.

5. Empfänger deiner Daten und Drittanbieter

Wir geben deine personenbezogenen Daten nur an folgende Dienstleister weiter:

5.1 Supabase (Cloud-Hosting & Datenbank)

  • Zweck: Account-Verwaltung, Authentifizierung, Datenbank-Hosting
  • Standort: EU (Region Frankfurt verfügbar)
  • Verarbeitete Daten: Account-Daten, Session-Daten, Metadaten generierter Inhalte
  • Sicherheit: AES-256-Verschlüsselung im Ruhezustand, Row Level Security
  • Auftragsverarbeitungsvertrag: Vorhanden

5.2 Paddle (Zahlungsabwicklung)

  • Zweck: Verarbeitung von Abonnements und Credit-Käufen (Merchant of Record)
  • Standort: UK (Paddle.com Market Limited)
  • An Paddle weitergegebene Daten:
    • Deine E-Mail-Adresse
    • Rechnungsadresse (falls angegeben)
    • Transaktions-ID und Betrag
    • Gewählter Plan und Abrechnungszeitraum
  • Von Paddle in unserer Datenbank gespeicherte Daten:
    • Paddle Customer ID (verknüpft deinen Shoodio-Account mit Paddle)
    • Paddle Subscription ID (für Abo-Verwaltung)
    • Transaktionsstatus und Zeitstempel
  • Zahlungskartendaten: Werden NUR von Paddle verarbeitet, NIEMALS von uns gespeichert
  • Internationale Übermittlungen: Paddle verarbeitet Daten in UK/EU, einige Zahlungsvorgänge in den USA unter Standardvertragsklauseln (SCCs)
  • Paddle Datenschutzerklärung: https://www.paddle.com/legal/privacy
  • Auftragsverarbeitungsvertrag: https://www.paddle.com/legal/gdpr
  • Hinweis: Paddle agiert als Merchant of Record, was bedeutet, dass sie alle Zahlungsabwicklungen, Steuer-Compliance und Abo-Abrechnung in unserem Auftrag übernehmen

5.3 Resend (E-Mail-Versand)

  • Zweck: Transaktions-E-Mails und Newsletter (mit Einwilligung)
  • Standort: USA
  • Internationaler Transfer: Standardvertragsklauseln (SCCs)
  • Verarbeitete Daten: E-Mail-Adressen, E-Mail-Inhalte
  • Speicherdauer: E-Mail-Logs 30 Tage
  • Auftragsverarbeitungsvertrag: Vorhanden

5.4 KI-Rendering-Anbieter

Um die Bilder und Videos zu generieren, die du anforderst, werden deine Uploads und Prompts durch die folgenden KI-Anbieter verarbeitet. Die Daten werden ausschließlich zum Zeitpunkt der Generierung übertragen und werden von den Anbietern nicht länger als zur Erfüllung deines Auftrags nötig gespeichert.

Fal.ai (KI-Bildgenerierung)

  • Zweck: Ausführung deiner Bildgenerierungs-Aufträge (Model + Hintergrund + Kleidung Kombination)
  • Standort: USA
  • Internationaler Transfer: Standardvertragsklauseln (SCCs)
  • Verarbeitete Daten: Hochgeladene Referenzbilder (Produktfotos, Kleidung, Hintergründe), Text-Prompts, Generierungsparameter
  • Speicherung durch Fal.ai: Nur für die Dauer des Generierungs-Jobs; keine Nutzung für Training
  • Auftragsverarbeitungsvertrag: Vorhanden

OpenAI (Vision-Analyse & Prompt-Optimierung)

  • Zweck: Analyse hochgeladener Kleidung zur Erkennung von Kategorie / Farbe / Material sowie Optimierung von Prompts für die Generierung
  • Standort: USA
  • Internationaler Transfer: Standardvertragsklauseln (SCCs)
  • Verarbeitete Daten: Thumbnail-Versionen hochgeladener Kleidungsfotos, Text-Prompts
  • Speicherung durch OpenAI: Verarbeitung über API mit Zero-Retention-Vereinbarung (OpenAI speichert API-Inhalte nicht länger als 30 Tage zur Missbrauchs-Überwachung und trainiert keine Modelle mit API-Inhalten)
  • Auftragsverarbeitungsvertrag: Vorhanden

Bunny CDN (Medien-Speicherung & Auslieferung)

  • Zweck: Speicherung deiner hochgeladenen Assets und generierten Bilder, Auslieferung an deinen Browser
  • Standort: Globale CDN-Edge-Nodes; primäre Speicherung in USA (New York)
  • Internationaler Transfer: Standardvertragsklauseln (SCCs)
  • Verarbeitete Daten: Hochgeladene Produktfotos, generierte Bilder und Videos
  • Speicherdauer: Gemäß Tarif-Speicherrichtlinie (Basic: 90 Tage, Pro+: 365 Tage oder manuelle Löschung)
  • Auftragsverarbeitungsvertrag: Vorhanden

5.5 Kein KI-Training mit deinen Inhalten

Wir verwenden deine hochgeladenen Produktfotos, Kleidungsbilder, Prompts oder generierten Inhalte nicht zum Training oder Fine-Tuning von KI-Modellen — weder unsere eigenen noch die Modelle unserer Drittanbieter. Jegliche „Plattform-Verbesserungen" basieren ausschließlich auf aggregierten, anonymisierten Nutzungsmetriken (z. B. Generierungs-Anzahl, Latenz-Statistiken, Fehlerraten) und enthalten niemals deine Inhalte.

Alle Dienstleister sind vertraglich zur DSGVO-Konformität verpflichtet.

6. Speicherfristen

| Datenart | Speicherdauer | | ------------------------------- | --------------------------------------------- | | Account-Daten | Bis zur Löschung durch dich | | Session-Daten | 30 Tage | | Authentifizierungs-Logs | 90 Tage | | Generierte Inhalte (Basic-Plan) | 90 Tage (automatische Löschung) | | Generierte Inhalte (Pro+ Pläne) | Max. 365 Tage oder bis zur manuellen Löschung | | Zahlungsdaten | 10 Jahre (gesetzliche Pflicht in Österreich) | | E-Mail-Logs | 30 Tage |

Hinweis: Generierte Inhalte im Basic-Plan werden nach 90 Tagen automatisch gelöscht. Pro+-Nutzer können Inhalte bis zu 365 Tage behalten oder früher manuell löschen.

7. Cookies und Tracking

Wir verwenden ein Cookie-Consent-Banner, mit dem du deine Einstellungen verwalten kannst. Du kannst deine Einstellungen jederzeit über „Cookie-Einstellungen" in deinen Kontoeinstellungen ändern.

7.1 Essentielle Cookies (immer aktiv)

| Cookie | Anbieter | Zweck | Dauer | | ----------------- | -------- | ---------------------------------------- | ------ | | sb-*-auth-token | Supabase | Authentifizierung und Session-Verwaltung | 1 Jahr | | shoodio-consent | Shoodio | Speichert deine Cookie-Einstellungen | 1 Jahr | | shoodio-lang | Shoodio | Speichert deine Spracheinstellung | 1 Jahr |

7.2 Funktionale Cookies (optional)

Diese Cookies können über das Cookie-Banner deaktiviert werden.

| Cookie | Anbieter | Zweck | Dauer | | ---------- | -------- | -------------------------------------------------- | ------- | | paddle_* | Paddle | Zahlungsverarbeitung (Checkout, Betrugsprävention) | Session |

7.3 Analytics- und Marketing-Cookies

Derzeit verwenden wir keine Analytics- oder Marketing-Cookies. Falls sich das ändert, werden wir diese Richtlinie aktualisieren und deine Einwilligung über das Cookie-Banner einholen.

8. Internationale Datenübermittlungen

  • Supabase: EU-Hosting (Frankfurt) - keine internationale Übermittlung
  • Paddle: Primär UK/EU, einige Zahlungsvorgänge in den USA - geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)
  • Resend: USA - geschützt durch von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs)

Alle Übermittlungen entsprechen den Anforderungen von Kapitel V der DSGVO. Für UK-Übermittlungen nach dem Brexit verlassen wir uns auf den Angemessenheitsbeschluss der Europäischen Kommission für das Vereinigte Königreich (gültig bis Juni 2025, Verlängerung erwartet).

9. Empfehlungs- & Partnerprogramm

9.1 Daten, die wir verarbeiten

Wenn du am Shoodio Empfehlungs- oder Partnerprogramm teilnimmst, verarbeiten wir:

  • Empfehlungscodes und Zuordnung (wer hat wen empfohlen)
  • IP-Adresse bei der Registrierung (nur zur Betrugsprävention, nach 90 Tagen gelöscht)
  • Provisionsbeträge und Zeitstempel
  • Bei Partnern: Name, Unternehmensdaten, Steuer-ID, Bank-/PayPal-Daten, Social-Media-Links

9.2 Rechtsgrundlage

  • Vertragserfüllung (Art. 6(1)(b) DSGVO) für Partnervereinbarungen
  • Berechtigtes Interesse (Art. 6(1)(f) DSGVO) für das Tracking von Nutzerempfehlungen

9.3 Speicherfristen

  • Finanzdaten (Provisionen, Auszahlungen): 10 Jahre (§ 132 BAO, Bundesabgabenordnung)
  • Empfehlungszuordnung: bis zur Account-Löschung (danach anonymisiert)
  • IP-Adressen: 90 Tage

9.4 Account-Löschung

  • Empfehlungsdatensätze werden anonymisiert (nicht gelöscht), um steuerliche Aufbewahrungspflichten zu erfüllen
  • Finanzdaten werden für den gesetzlichen Zeitraum aufbewahrt
  • Auszahlungsdaten von Partnern werden sofort gelöscht

10. Deine Rechte gemäß DSGVO

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

9.1 Auskunftsrecht (Art. 15 DSGVO)

Du kannst eine Kopie aller von uns gespeicherten personenbezogenen Daten anfordern.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Du kannst unrichtige Daten in deinen Profileinstellungen korrigieren.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Du kannst die Löschung deines Accounts und deiner personenbezogenen Daten beantragen. Hinweis: Es gilt eine 30-tägige Cooling-Period zur Wiederherstellung.

9.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Du kannst deine Daten im JSON- oder CSV-Format erhalten, einschließlich:

  • Account-Informationen: E-Mail, Display-Name, Einstellungen
  • Abonnement-Verlauf: Plan-Änderungen, Abrechnungszeiträume, Status-Änderungen
  • Zahlungstransaktionen: Kaufbeträge, Daten, Transaktions-IDs (Kreditkartendetails ausgeschlossen)
  • Metadaten generierter Inhalte: Prompts, Kampagnen-Konfigurationen, Asset-Referenzen
  • Hochgeladene Nutzerinhalte: Metadaten zu Models, Apparel, Backgrounds

Der Export enthält NICHT die KI-generierten Bilder/Videos selbst (Dateigrößen-Limit), sondern stellt Download-Links bereit, die 30 Tage nach dem Export gültig bleiben.

9.5 Widerspruchsrecht (Art. 21 DSGVO)

Du kannst der Datenverarbeitung auf Grundlage berechtigter Interessen oder zu Marketingzwecken widersprechen.

9.6 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Du kannst unter bestimmten Bedingungen eine Einschränkung der Datenverarbeitung verlangen.

Implementierungsstatus: Datenexport- und Account-Löschfunktionen befinden sich derzeit in der Entwicklung (geplante Veröffentlichung: Q1 2025). Bis dahin kontaktiere bitte info@shoodio.ai zur Ausübung dieser Rechte.

11. Sicherheitsmaßnahmen

Wir setzen modernste Sicherheitsmaßnahmen ein:

  • Verschlüsselung bei Übertragung: HTTPS/TLS für alle Datenübertragungen
  • Verschlüsselung im Ruhezustand: AES-256-Verschlüsselung (Supabase)
  • Passwort-Sicherheit: Branchenübliches Hashing (Supabase Auth)
  • Zugriffskontrolle: Row Level Security (RLS) Policies
  • Sichere Verarbeitung: Edge Functions für KI-Generierung mit isolierten Umgebungen

12. Altersbeschränkung

Shoodio steht nur Nutzern ab 16 Jahren zur Verfügung (gemäß Art. 8 DSGVO).

Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Falls du glaubst, dass wir versehentlich solche Daten erhoben haben, kontaktiere uns bitte umgehend unter info@shoodio.ai.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Folgendes widerzuspiegeln:

  • Neue Funktionen oder Dienste
  • Gesetzliche oder regulatorische Änderungen
  • Sicherheitsverbesserungen

Du wirst über wesentliche Änderungen informiert durch:

  • E-Mail-Benachrichtigung
  • Login-Benachrichtigungs-Banner
  • Changelog verfügbar unter /privacy

Die fortgesetzte Nutzung von Shoodio nach Änderungen gilt als Zustimmung zur aktualisierten Richtlinie.

14. Kontakt und Beschwerden

Fragen oder Bedenken?

Kontaktiere uns unter: info@shoodio.ai

Beschwerde einreichen

Du hast das Recht, bei deiner lokalen Datenschutzbehörde Beschwerde einzulegen.

Österreichische Datenschutzbehörde: Barichgasse 40-42 1030 Wien, Österreich E-Mail: dsb@dsb.gv.at Website: https://www.dsb.gv.at/

15. Rechtliche Grundlagen - Zusammenfassung

Diese Datenschutzerklärung basiert auf:

  • DSGVO (Datenschutz-Grundverordnung) - Verordnung (EU) 2016/679
  • Österreichisches Datenschutzgesetz (DSG)
  • ePrivacy-Richtlinie - Richtlinie 2002/58/EG

Vielen Dank, dass du Shoodio mit deinen Daten vertraust. Wir verpflichten uns, deine Privatsphäre zu schützen.

Für die englische, spanische, italienische oder französische Version dieser Datenschutzerklärung wähle bitte deine Sprache in der Fußzeile.