EdMyPic
Diese Übersetzung dient nur zur Orientierung. Maßgeblich ist die englische Fassung. Englische Fassung lesen

Datenschutzerklärung

Stand: 22. April 2026

Diese Datenschutzerklärung beschreibt, wie EdMyPic („wir", „uns", „unser") Ihre Informationen erhebt, verwendet und schützt, wenn Sie unseren KI-Fotobearbeitungsdienst auf edmypic.com nutzen - einschließlich jeder eingebetteten Version des Editors auf Drittseiten.

Soweit zutreffend bezeichnet „DSGVO" die Verordnung (EU) 2016/679; „EU-KI-Verordnung" die Verordnung (EU) 2024/1689; „DSA" die Verordnung (EU) 2022/2065.

1. Erhobene Informationen

Kontodaten. Bei der Kontoerstellung erheben wir Ihren Namen, Ihre E-Mail-Adresse und (bei Anmeldung über Google oder einen anderen OAuth-Anbieter) die grundlegenden Profilfelder, die der Anbieter an uns übermittelt. Wir speichern eine gehashte Kennung - Ihr OAuth-Passwort erhalten wir niemals.

Abrechnungsdaten. Wir speichern Ihre Kartendaten NICHT. Sämtliche Kartendaten werden direkt an unseren PCI-DSS-konformen Zahlungsdienstleister (derzeit Stripe, Inc.) übertragen; wir bewahren lediglich auf: Plan-Stufe, gezahlten Betrag, Transaktions-ID, Kaufdatum sowie maskierte Marke/letzte 4 Stellen für Belege.

Eingabe-Bilder. Fotos, die Sie zur Bearbeitung hochladen, werden an unsere Server übermittelt und an externe KI-Modellanbieter weitergeleitet (siehe §4). Wir speichern Eingabe-Bilder nicht über das Ende der Bearbeitungssitzung hinaus, mit Ausnahme eines kurzlebigen Verarbeitungs-Caches (bis zu 24 Stunden), der zur Auslieferung des erzeugten Ergebnisses an Ihren Browser erforderlich ist.

KI-Prompts. Die von Ihnen eingegebenen Prompt-Texte werden mit Ihrem Konto verknüpft gespeichert, um Ihren Verlauf anzuzeigen, Credits zu berechnen und - soweit gesetzlich erforderlich - Verstöße gegen Richtlinien zu untersuchen. Einzelheiten zur Prompt-Moderation siehe §5.

Ausgabe-Bilder. KI-generierte Bilder werden mit Ihrem Konto verknüpft gespeichert, solange dieses aktiv ist, damit Sie sie aus Ihrem Dashboard erneut herunterladen können. Sie können jedes Ergebnis jederzeit aus Ihrem Verlauf löschen.

Nutzungs- und technische Daten. Standardmäßige Server-Logs (IP-Adresse, User Agent, Referer, Zeitstempel), Funktionsnutzungs-Ereignisse (gewähltes Werkzeug, eingesetztes Modell, Credit-Kosten) und Crash-/Fehler-Telemetrie. IP-Adressen werden nach 30 Tagen pseudonymisiert (mit rotierendem Secret gehasht), sofern die Aufbewahrung nicht für eine laufende Missbrauchs-Untersuchung erforderlich ist.

Cookies und lokaler Speicher. Ein Sitzungs-Cookie zur Anmeldungsbeibehaltung; ein Theme-Cookie zur Speicherung der Hell-/Dunkel-Präferenz; lokaler Speicher für eine clientseitige Favoritenliste. Werbe-Cookies Dritter setzen wir nicht ein.

2. Rechtsgrundlage der Verarbeitung (DSGVO Art. 6)

  • Bereitstellung des Editors in Ihrem Browser - Vertrag (Art. 6 Abs. 1 lit. b)
  • Kontoverwaltung, Abrechnung, Belege - Vertrag + rechtliche Verpflichtung (Art. 6 Abs. 1 lit. b, c)
  • Betrugs-/Missbrauchsprävention, Moderation - Berechtigte Interessen (Art. 6 Abs. 1 lit. f)
  • Statistische Produktanalyse - Berechtigte Interessen (Art. 6 Abs. 1 lit. f)
  • Marketing-E-Mails (bei Opt-in) - Widerrufliche Einwilligung (Art. 6 Abs. 1 lit. a)
  • Gesetzliche Meldungen (z. B. CSAM an NCMEC) - Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c)

Wenn Sie sich in einer Rechtsordnung befinden, die „berechtigte Interessen" nicht anerkennt, stützen wir uns auf Ihre Annahme dieser Bedingungen als Ihre Einwilligung in die beschriebene Verarbeitung.

3. Biometrische und sensible personenbezogene Daten (DSGVO Art. 9)

Fotos identifizierbarer Gesichter sind biometrische Daten, wenn sie von Machine-Learning-Systemen verarbeitet werden. Gemäß Art. 9 DSGVO verarbeiten wir solche Daten AUSSCHLIESSLICH auf Grundlage Ihrer ausdrücklichen Einwilligung, die Sie durch das freiwillige Hochladen des Fotos in den Editor erteilen.

Wir bauen KEINE Gesichtsdatenbank auf, trainieren KEINE Modelle mit Ihren Fotos, führen KEINE Identitätserkennung über Sitzungen hinweg durch und teilen biometrische Daten NICHT mit Werbetreibenden.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die betreffenden Bilder aus Ihrem Konto löschen. Der Widerruf berührt nicht die Rechtmäßigkeit der bereits erfolgten Verarbeitung.

Sonderregel für Fotos anderer Personen. Sie sind verantwortlich für die Einholung der Einwilligung jeder identifizierbaren dritten Person, deren Gesicht in einem hochgeladenen Foto erscheint. Das Hochladen von Fotos anderer Personen - insbesondere Minderjähriger - ohne deren (oder die Einwilligung des Sorgeberechtigten) verstößt gegen diese Bedingungen und kann in Ihrer Rechtsordnung rechtswidrig sein.

4. Externe KI-Modellanbieter

Die KI-Bilderzeugung und -Bearbeitung wird durch externe Modellanbieter ausgeführt. Zum Stand der letzten Aktualisierung umfasst dies (Änderungen ohne Vorankündigung möglich):

  • Replicate, Inc. (USA) - Bilderzeugung und -Bearbeitung
  • Black Forest Labs (DE) - FLUX-Modellfamilie
  • fal.ai (USA) - Bildverarbeitungs-Pipelines
  • Together AI (USA) - Sprachmodelle zur Prompt-Optimierung
  • Google / DeepMind (USA) - Bildmodelle für Image-to-Prompt

Jeder Anbieter hat eine eigene Datenschutzerklärung; mit der Nutzung von EdMyPic akzeptieren Sie, dass Ihr Prompt und (sofern zutreffend) Ihr hochgeladenes Bild ausschließlich zur Erfüllung Ihrer Anfrage an den gewählten Anbieter übertragen werden. Wir gestatten Anbietern nicht, Ihre Inhalte für eigenes Training zu verwenden, können deren interne Praktiken aber nicht einseitig garantieren - bitte konsultieren Sie deren Richtlinien, falls Sie stärkere Garantien benötigen.

5. Inhaltsmoderation

Zur Einhaltung des Rechts und zum Schutz anderer Nutzer wird jeder eingereichte Prompt vor der Übertragung an ein Modell gegen eine automatisierte Sperrliste geprüft. Jedes erzeugte Bild wird vor Rückgabe durch einen automatisierten NSFW-/Sicherheits-Klassifikator geprüft. Schlägt eine Prüfung fehl:

  • Der Prompt oder die Ausgabe kann blockiert werden und ein Grund wird Ihnen angezeigt.
  • Ein Moderationsereignis wird gespeichert mit: Ihrer Nutzer-ID, der Kategorie der ausgelösten Regel (z. B. „Inhalte für Erwachsene"), einem SHA-256-Hash des Prompts, dem Zeitstempel und der Locale.
  • Den vollständigen Prompt protokollieren wir bei einem erstmaligen Treffer geringer Schwere NICHT in diesem Eintrag. Bei Treffern hoher Schwere (z. B. CSAM-Verdacht) werden der vollständige Inhalt sowie Konto- und IP-Metadaten für die in §7 beschriebene gesetzliche Meldung aufbewahrt.

Die vollständige Liste verbotener Inhalte siehe Richtlinie zur akzeptablen Nutzung.

6. Kennzeichnung KI-erzeugter Inhalte (EU-KI-Verordnung Art. 50)

Von EdMyPic erzeugte Bilder sind KI-generiert oder KI-bearbeitet. Soweit die EU-KI-Verordnung auf Ihre Nutzung Anwendung findet (z. B. Sie sind Nutzer in der EU oder verbreiten das Ergebnis an EU-Nutzer), sind Sie verpflichtet, beim Veröffentlichen offenzulegen, dass der Inhalt KI-generiert ist, sofern keine gesetzliche Ausnahme greift. EdMyPic kann kryptografische Metadaten (C2PA / IPTC) in exportierte Bilder einbetten, um diese Offenlegung zu unterstützen; das Entfernen solcher Metadaten erfolgt auf Ihr Risiko.

7. Gesetzlich vorgeschriebene Meldungen

Bestimmte Inhaltskategorien lösen nicht-disponible Meldepflichten aus, auf die wir auch mit Ihrer Einwilligung nicht verzichten können:

  • Material sexuellen Missbrauchs an Minderjährigen (CSAM). Wir sind verpflichtet, offensichtliches CSAM an das US National Center for Missing & Exploited Children (NCMEC, 18 U.S.C. § 2258A) bzw. die zuständige Behörde Ihrer Rechtsordnung (z. B. IWF in UK, vergleichbare Stellen in EU-Mitgliedstaaten) zu melden. Wir bewahren die einschlägigen Daten zudem mindestens 90 Tage zur Unterstützung der Ermittlungen auf.
  • Nicht-einvernehmliche intime Bilder (NCII) / sexuelle „Deepfake"-Inhalte. Nach der US „Take It Down Act" (2025) und vergleichbaren Gesetzen in UK (Online Safety Act 2023) und EU-Mitgliedstaaten (Richtlinie (EU) 2024/1385) entfernen wir solche Inhalte nach gültiger Mitteilung und können verpflichtet sein, Daten an Strafverfolgungsbehörden weiterzugeben.
  • Drohungen, Terrorismus, Aufrufe zu Gewalt. Werden den Strafverfolgungsbehörden gemeldet, soweit gesetzlich erforderlich.

8. Zahlungsdaten

Die gesamte Kartenverarbeitung erfolgt durch unseren Zahlungsdienstleister, derzeit Stripe, Inc. (USA - PCI-DSS Level 1). Wir erhalten ausschließlich tokenisierte Referenzen; Klartext-Kartennummern, CVVs oder Bankdaten speichern wir niemals. Bei einem Anbieterwechsel werden gleichwertige Sicherheits- und Datenschutzstandards eingehalten.

9. Aufbewahrungsfristen

  • Konto-Profil - Lebensdauer des Kontos; Löschung binnen 30 Tagen nach Schließung.
  • Abrechnungsunterlagen - 7 Jahre (gesetzliche/steuerliche Pflicht).
  • Hochgeladene Eingabe-Bilder - Bis zu 24 Stunden (Verarbeitungs-Cache).
  • Erzeugte Ausgabe-Bilder - Lebensdauer des Kontos oder bis zur Löschung aus dem Verlauf.
  • Prompts (Verlauf) - Lebensdauer des Kontos oder bis zur Löschung aus dem Verlauf.
  • Moderationsereignisse (geringe Schwere) - 12 Monate (gehasht).
  • Moderationsereignisse (hohe Schwere) - 5 Jahre oder gesetzlich vorgegeben.
  • Server-Logs / IP-Adressen - Roh: 30 Tage; pseudonymisierte Aggregate: bis zu 24 Monate.

10. Internationale Übermittlungen

Unsere Server und Auftragsverarbeiter befinden sich in den USA und in der Europäischen Union. Bei Übermittlungen personenbezogener Daten aus EWR/UK in die USA stützen wir uns auf Standardvertragsklauseln (SCCs) bzw. den EU-USA Data Privacy Framework, soweit anwendbar.

11. Ihre Rechte

Nach der DSGVO und vergleichbaren Regimen haben Sie das Recht: auf Auskunft, Berichtigung oder Löschung Ihrer Daten; auf Einschränkung oder Widerspruch gegen die Verarbeitung; auf Datenübertragbarkeit; auf Beschwerde bei einer Aufsichtsbehörde. Nach kalifornischem CCPA/CPRA haben Sie zusätzlich Auskunfts-, Lösch-, Berichtigungs- und Opt-out-Rechte beim „Verkauf" oder „Teilen" - wir verkaufen oder teilen keine personenbezogenen Daten für kontextübergreifendes Verhaltens-Targeting.

Zur Geltendmachung wenden Sie sich von der hinterlegten E-Mail-Adresse an [email protected]. Wir antworten innerhalb von 30 Tagen (bei komplexen Anfragen bis zu 90 Tage).

12. Drittanbieter-Embeds

Der EdMyPic-Editor kann auf externen Webseiten über unsere Embed-Funktion eingebettet werden. Wir sind für die Datenschutzpraktiken Drittanbieter-Webseiten, die unseren Editor einbetten, NICHT verantwortlich. Ihre Interaktion mit dem Editor unterliegt weiterhin dieser Erklärung; die einbettende Seite kann unabhängig Analysen Ihres Besuchs erheben.

13. Kinder

EdMyPic ist nicht für Nutzer unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie meinen, ein Kind habe ein Konto erstellt, schreiben Sie an [email protected]; wir löschen das Konto.

14. Änderungen dieser Erklärung

Wir können diese Erklärung jederzeit aktualisieren. Wesentliche Änderungen (neuer Auftragsverarbeiter, neue Datenkategorie, Änderung der Rechtsgrundlage) werden in der Anwendung mindestens 14 Tage vor Wirksamkeit angekündigt. Das Datum der letzten Aktualisierung steht oben auf dieser Seite. Die fortgesetzte Nutzung nach dem Wirksamkeitsdatum gilt als Annahme.

15. Kontakt

Support: [email protected] Datenanfragen: [email protected] (Betreff: „Data Request") EU-/UK-Datenschutzanfragen: [email protected]