Lädt...
Stand: Juni 2026
Aiplify GmbH
Georg Jochum, Sean Hornecker (Geschäftsführer)
Franz-Josef-Straße 11
80801 München, Deutschland
E-Mail: info@speisekarteai.de
Die Aiplify GmbH ist aufgrund ihrer Größe nicht zur Benennung eines Datenschutzbeauftragten verpflichtet. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Plattform und der damit verbundenen Dienste erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Die folgenden Rechtsgrundlagen kommen zum Einsatz:
Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein verschlüsseltes Passwort. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Sie laden Fotos Ihrer Speisen hoch, die durch unsere KI in Studio-Qualität umgewandelt werden. Original- und transformierte Bilder werden in Ihrem Account gespeichert. Zur Transformation werden die Bilder an die Google Gemini API übermittelt (siehe Abschnitt 4.2). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Zahlungen werden über Stripe (Stripe Technology Europe, Ltd., Irland / Stripe, Inc., USA) abgewickelt. Wir speichern keine Kreditkartendaten. Stripe erhält die für die Zahlungsabwicklung notwendigen Daten (E-Mail-Adresse, Zahlungsinformationen). Weitere Informationen: Stripe Datenschutzerklärung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
Bei jedem Zugriff auf unsere Plattform werden automatisch folgende Daten erfasst: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite, Browsertyp und -version, Betriebssystem. Diese Daten werden ausschließlich zur Sicherstellung des Betriebs und zur Fehlerdiagnose verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Wir setzen die folgenden Dienstleister ein. Mit den Auftragsverarbeitern im Sinne von Art. 28 DSGVO besteht jeweils ein Auftragsverarbeitungsvertrag (AVV bzw. Data Processing Agreement, DPA). Bei einzelnen Marketing-Diensten (Google Ads, Meta) besteht für die Erhebung der Daten eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO mit dem jeweiligen Anbieter — siehe die betreffenden Abschnitte.
Anbieter: Supabase, Inc., San Francisco, USA
Zweck: Authentifizierung, Datenbank, Dateispeicherung
Serverstandort: EU (Frankfurt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
DPA: Supabase DPA
Anbieter: Google Ireland Ltd., Irland / Google LLC, USA
Zweck: KI-gestützte Umwandlung von Speisefotos in Studio-Qualität
Verarbeitete Daten: Hochgeladene Bilder werden zur Transformation an Google-Server übermittelt
Auftragsverarbeitung & kein KI-Training: Wir nutzen die kostenpflichtige Gemini API (Paid Tier). Google verarbeitet die Bilder ausschließlich weisungsgebunden als Auftragsverarbeiter und verwendet sie nicht zum Training seiner KI-Modelle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Datenschutz: Google Datenschutzerklärung
Drittlandtransfer: Siehe Abschnitt 5
Anbieter: Vercel, Inc., San Francisco, USA
Zweck: Hosting und Bereitstellung der Plattform
Verarbeitete Daten: IP-Adresse, Zeitstempel, aufgerufene Seiten (Server-Logs)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
DPA: Vercel DPA
Drittlandtransfer: Siehe Abschnitt 5
Anbieter: Resend, Inc., San Francisco, USA — wir nutzen die EU-Region (Frankfurt am Main, Deutschland)
Zweck: Versand transaktionaler E-Mails (z.B. Authentifizierungs-Mails, Zahlungsbestätigungen, Benachrichtigung bei fertigen Bildern), Versand von Newsletter und Lifecycle-Mails (Welcome, Free-Trial-Reminder, Inaktivitäts-Reactivation), Versand von „Bilder per Mail"-Sharing, Webhook-basiertes Tracking von Zustellbarkeit (Bounces, Spam-Beschwerden, Abmeldungen)
Verarbeitete Daten: E-Mail-Adresse, Mail-Inhalte mit Projekt-/Bild-Bezug, IP-Adressen-Hash, Versand-Status
Rechtsgrundlage:
— Transaktionale Mails: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
— Newsletter: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung mit Double-Opt-In, jederzeit widerrufbar via Unsubscribe-Link)
— Lifecycle-Mails: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, granular abschaltbar in den Einstellungen)
— Bestandskundenwerbung: Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 3 UWG — als Kunde erhalten Sie ggf. E-Mails zu eigenen, ähnlichen Produkten; Sie können dem jederzeit widersprechen (Abmelde-Link in jeder Mail bzw. in den Konto-Einstellungen)
Datenschutz: Resend Privacy Policy
Drittlandtransfer: Da wir die EU-Region nutzen, verlassen die Mail-Daten regelmäßig nicht den Europäischen Wirtschaftsraum. Resend, Inc. als US-Unternehmen unterliegt zwar US-Gesetzen — der Auftragsverarbeitungsvertrag enthält jedoch die EU-Standardvertragsklauseln.
Zweck: Wir speichern in eigenen Datenbank-Tabellen Audit- und Frequency-Cap-Daten zum Mail-Versand (email_send_log), Newsletter-Anmeldungen mit Double-Opt-In (newsletter_subscribers_doi) sowie Sharing-Audit-Daten (share_sends).
Verarbeitete Daten: SHA-256-Hash der Empfänger-Adresse (kein Klartext, PII-Safe), Mail-Typ, Versand-Zeitpunkt, Resend-Tracking-ID, Empfänger-Status. Bei share_sends: Empfänger-E-Mail im Klartext (notwendig für Zustellung), Projekt-ID, ZIP-Größe, Ablaufdatum. Bei newsletter_subscribers_doi: E-Mail-Adresse, Confirm-Token (zufällig 256-bit), Source der Anmeldung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Compliance + Anti-Spam-Schutz)
Speicherdauer: Email-Send-Log: max 6 Monate; Share-Bundles: 7 Tage automatische Löschung; nicht bestätigte Newsletter-Tokens: 7 Tage; bestätigte Newsletter-Anmeldungen bis zur Abmeldung.
Zweck: Beim Versand von Bildern per Mail („Bilder per Mail"-Funktion) erstellen wir ein ZIP-Archiv und legen es in einem privaten Storage-Bucket ab. Der Empfänger erhält einen signierten Download-Link mit 7-tägiger Gültigkeit.
Verarbeitete Daten: Generierte Bild-Dateien, Sender-User-ID, Projekt-ID
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Speicherdauer: Automatische Löschung nach 7 Tagen via täglicher Cron-Job
Anbieter: Stripe Technology Europe, Ltd., Dublin, Irland / Stripe, Inc., USA
Zweck: Zahlungsabwicklung
Verarbeitete Daten: E-Mail-Adresse, Zahlungsinformationen (siehe Abschnitt 3.3)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
DPA: Stripe DPA
Drittlandtransfer: Stripe verarbeitet Zahlungsdaten primär über die europäische Tochtergesellschaft in Irland. Für Transfers in die USA siehe Abschnitt 5.
Anbieter: Google Ireland Ltd., Irland / Google LLC, USA
Zweck: Messung der Wirksamkeit von Werbekampagnen (Conversion-Tracking), Remarketing
Verarbeitete Daten: IP-Adresse, Geräteinformationen, Seitenaufrufe, Conversion-Events (z.B. Kaufabschluss)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner)
Datenschutz: Google Datenschutzerklärung
Opt-out: Google Anzeigeneinstellungen
Gemeinsame Verantwortlichkeit: Für die Erhebung der Daten über den Werbe-Tag besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und Google.
Drittlandtransfer: Siehe Abschnitt 5
Anbieter: Functional Software, Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA — wir nutzen die EU-Region (Frankfurt am Main, Deutschland), Daten werden ausschließlich auf europäischen Servern verarbeitet.
Zweck: Erkennung und Diagnose technischer Fehler in Browser und Server (Stabilität), Performance-Monitoring zur Identifikation langsamer Funktionen (z.B. KI-Bildverarbeitung), Source-Map-basierte Stack-Traces für schnelle Bug-Behebung.
Verarbeitete Daten: Pseudonymisierte Nutzer-Kennung (gehashter Identifier — KEINE E-Mail, KEINE echte UUID), Fehler-Meldungen, Stack-Traces, HTTP-Request-Metadaten (Methode, Route, Status-Code, Dauer), Browser- und Betriebssystem-Version, ungefähre Geo-Region (Land, abgeleitet aus IP — IP selbst wird VOR der Speicherung verworfen).
Was wir NICHT übermitteln: E-Mail-Adressen (vor Versand auf Hash-Wert reduziert), Authentifizierungs-Tokens, Cookies, Request-Bodies, sensitive Query-Parameter (Tokens, Secrets werden vor Versand maskiert). Die Filter-Logik (beforeSend-Hook) ist Open-Source-tauglich nachvollziehbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unseres Dienstes — überwiegt das Schutzinteresse, weil alle PII vor Versand pseudonymisiert wird).
Datenschutz: Sentry Privacy Policy
DPA: Sentry Data Processing Addendum
Drittlandtransfer: Daten werden in der EU-Region Frankfurt verarbeitet — kein laufender Transfer in die USA. Die Muttergesellschaft hat ihren Sitz in den USA und unterliegt US-Recht; etwaige administrative Zugriffe sind durch Standardvertragsklauseln (SCCs) im DPA abgesichert (siehe Abschnitt 5).
Speicherdauer: 30 Tage (Free-Tier-Default), anschließend automatische Löschung.
Anbieter: Meta Platforms Ireland Ltd., Dublin, Irland / Meta Platforms, Inc., USA
Zweck: Messung der Wirksamkeit von Werbekampagnen auf Facebook und Instagram, Remarketing
Verarbeitete Daten: IP-Adresse, Geräteinformationen, Seitenaufrufe, Conversion-Events (z.B. Kaufabschluss)
Conversion API (CAPI): Zur Verbesserung der Mess-Genauigkeit (z.B. bei aktivem Ad-Blocker) wird ein Teil dieser Conversion-Events zusätzlich serverseitig über die Meta Conversion API übermittelt. Personenbezogene Identifikatoren (E-Mail) werden dabei vor der Übertragung mit SHA-256 gehasht — Klartext verlässt unseren Server nicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner)
Datenschutz: Meta Datenschutzrichtlinie
Opt-out: Facebook Werbeeinstellungen
Gemeinsame Verantwortlichkeit: Für die Erhebung der Daten über das Meta Pixel besteht eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen uns und Meta (Meta-Controller-Addendum).
Drittlandtransfer: Siehe Abschnitt 5
Wenn Sie Speisekarte.ai als Progressive Web App (PWA) nutzen, können Sie optional Push-Benachrichtigungen abonnieren, um z.B. über fertige Bild-Transformationen informiert zu werden.
Anbieter: Push-Notifications werden über die Web-Push-Protokoll-Endpoints Ihres Browser-Herstellers zugestellt:
— Apple Inc. (Safari/iOS) — Apple Push Notification Service, USA
— Google LLC (Chrome/Android) — Firebase Cloud Messaging, USA
— Mozilla Corporation (Firefox) — Mozilla Push Service, USA
Verarbeitete Daten: Push-Endpoint-URL, kryptographische Schlüssel (p256dh, auth), Zeitzone (für Quiet-Hours 22-7 Uhr), Sendezeit + Status pro Push.
Zweck:Zustellung von App-Notifications wie "Bild fertig" oder "Free-Trial geht zu Ende".
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Browser-Permission-Dialog + opt-in in den Settings).
Speicherdauer: Push-Subscription wird gelöscht sobald Sie die Erlaubnis im Browser widerrufen oder die App deinstallieren. Inaktive Subscriptions (kein erfolgreicher Push in 90 Tagen) werden durch einen automatischen Cleanup-Job entfernt. Push-Send-Log wird nach 30 Tagen gelöscht.
Hard-Limits zum Schutz vor Spam: Maximal 3 Push-Notifications pro Nutzer pro Tag, keine Pushes zwischen 22:00 und 07:00 Uhr (Ortszeit des Nutzers).
Widerruf: jederzeit über die Browser-Einstellungen (Notification-Berechtigung entziehen) oder in den App-Settings (Kategorie-spezifisches Opt-out).
Anbieter: PostHog, Inc. — Verarbeitung im EU-Rechenzentrum (Frankfurt, eu.i.posthog.com)
Zweck: Reichweiten- und Produkt-Analyse (welche Seiten aufgerufen werden, woher Besucher kommen, an welchen Schritten Nutzer abbrechen), um Angebot und App zu verbessern.
Verarbeitung im cookielosen Standard-Modus: PostHog läuft standardmäßig im cookielosen Modus — es werden keine Cookies und keine Daten auf Ihrem Endgerät gespeichert oder ausgelesen. Es wird kein dauerhafter Identifier vergeben; die Zählung erfolgt anonym pro Sitzung. Verarbeitet werden aufgerufene Seiten, Referrer, ausgelöste Events (z.B. "Bild hochgeladen", "Kauf abgeschlossen") sowie anonymisierte Geräte-/Browser-Informationen; Ihre IP-Adresse wird anonymisiert.
Rechtsgrundlage (Standard): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung). Da keine Informationen auf dem Endgerät gespeichert oder abgerufen werden, ist § 25 Abs. 1 TDDDG nicht einschlägig; eine Einwilligung ist hierfür nicht erforderlich. Dem können Sie jederzeit widersprechen (Art. 21 DSGVO).
Erweiterung mit Einwilligung: Erteilen Sie über den Cookie-Banner Ihre Einwilligung, nutzen wir zusätzlich Cookies bzw. lokalen Speicher für eine genauere Sitzungs- und Besucher-Zuordnung sowie eine pseudonyme Nutzer-ID (SHA-256-Hash, kein Klartext). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG; Widerruf jederzeit über die Cookie-Einstellungen (Art. 7 Abs. 3 DSGVO).
Drittlandtransfer: Verarbeitung erfolgt im EU-Rechenzentrum (Frankfurt).
Datenschutz: PostHog Privacy Policy
Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage folgender Garantien:
Die Datenbank und Dateispeicherung (Supabase) erfolgt auf Servern in der EU (Frankfurt). Ihre Bilder und Projektdaten verlassen die EU nur zur Verarbeitung durch die Google Gemini API.
Soweit Sie Push-Benachrichtigungen aktivieren (Abschnitt 4.9), werden die technischen Zustell-Endpunkte über die Push-Dienste von Apple, Google und Mozilla abgewickelt. Apple und Google sind unter dem EU-US Data Privacy Framework zertifiziert; im Übrigen greifen Standardvertragsklauseln gemäß Art. 46 DSGVO.
Wir verwenden technisch notwendige Cookies für die Authentifizierung (Session-Cookies von Supabase Auth). Diese Cookies sind für den Betrieb der Plattform unerlässlich und können nicht deaktiviert werden. Rechtsgrundlage: § 25 Abs. 2 TDDDG.
Folgende Cookies und Tracking-Technologien werden nur nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner gesetzt (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG):
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen in Ihrem Browser zurücksetzen oder den gespeicherten Consent-Eintrag löschen.
Schriftarten:Wir verwenden die Schriftart "Fredoka" als selbst gehostete Datei über Next.js Font Optimization. Es werden keine externen Anfragen an Google Fonts oder andere Schriftarten-Dienste gesendet.
Externe Ressourcen: Abgesehen von den oben genannten Tracking-Diensten (nur nach Einwilligung) werden alle statischen Dateien (Bilder, Schriftarten, Stylesheets) von unserer eigenen Domain ausgeliefert.
Sie haben gemäß DSGVO jederzeit folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Zur Ausübung Ihrer Rechte wenden Sie sich an: info@speisekarteai.de. Wir werden Ihre Anfrage innerhalb eines Monats beantworten.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten gemäß Art. 32 DSGVO:
Ihre Daten werden so lange gespeichert, wie Ihr Account besteht. Bei Löschung Ihres Accounts werden alle zugehörigen Daten (Projekte, Bilder, Zahlungsinformationen) innerhalb von 30 Tagen gelöscht.
Gesetzliche Aufbewahrungspflichten (z.B. steuerrechtliche Aufbewahrungsfristen nach § 147 AO: 10 Jahre für Rechnungen) bleiben von der Account-Löschung unberührt.
Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Die KI-Bildtransformation ist eine rein technische Verarbeitung ohne Bewertung oder Kategorisierung Ihrer Person.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Dienstes anzupassen. Die aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.