Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Lukas Maier, LUKAS LEERTASTE FOTOGRAF, Freibühlstr. 13, 78224 Singen, Telefon: +49 151 20030165, E-Mail: info@lukasleertaste.de

2. Überblick über die Datenverarbeitung

TeamportrAIt.ai verarbeitet personenbezogene Daten ausschließlich zur Erbringung des Dienstes: der Erstellung KI-generierter Business Portraits. Wir verarbeiten nur die Daten, die für diesen Zweck erforderlich sind, und löschen sie nach Erfüllung des Zwecks.

3. Erhobene Daten und Rechtsgrundlagen

3.1 Bestandsdaten des Auftraggebers (HR)

Daten: E-Mail-Adresse, Unternehmensname, Konfigurationseinstellungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Für die Dauer des Vertragsverhältnisses, danach gemäß gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre für steuerrelevante Daten gemäß § 147 AO).

3.2 Mitarbeiterdaten

Daten: Name, E-Mail-Adresse, Geschlecht (zur Kleidungsanpassung), Selfie-Fotos (biometrische Daten im Sinne von Art. 9 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. a in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung des Mitarbeiters). Die Einwilligung wird vor dem Upload der Fotos über eine Checkbox eingeholt.

3.3 Technische Daten beim Websitebesuch

Beim Besuch der Website werden durch den Hosting-Anbieter automatisch Serverlogfiles erstellt (IP-Adresse, Browsertyp, Zeitpunkt des Zugriffs). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Website). Diese Daten werden nicht mit anderen Datenquellen zusammengeführt.

3.4 Kontaktanfragen (Demo-Formular)

Daten: Name, E-Mail-Adresse, optional Unternehmensname und Nachricht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Speicherdauer: Bis zur Erledigung der Anfrage, maximal 6 Monate.

4. Speicherdauer und Löschung

Selfie-Fotos: Die zum KI-Training hochgeladenen Fotos werden spätestens zwei Stunden nach Abschluss des Trainings automatisch von den Servern des Verarbeitungsdienstleisters (fal.ai) gelöscht. Dies wird durch eine vom Anbieter gesetzte technische Ablauf-Kennung (Time-to-Live) sichergestellt.

KI-Modell (LoRA): Das trainierte Modell wird nach Abschluss der Generierung von fal.ai auf die EU-Server des Anbieters (Supabase, Frankfurt) übertragen. Bei Einzelprojekten wird es 30 Tage nach Projektabschluss automatisch gelöscht. Bei aktivem Cloud-Abo bleibt das Modell bis zur Kündigung gespeichert.

Generierte Portraits: Werden auf EU-Servern des Anbieters gespeichert. Bei Einzelprojekten 30 Tage ab Fertigstellung verfügbar, bei Cloud-Abo für die Dauer des Abonnements. Nach Kündigung 30 Tage Download-Frist, danach Löschung.

E-Mail-Adressen der Mitarbeiter: Werden nach Projektabschluss gelöscht, sofern kein aktives Abo besteht.

DSGVO-Löschprotokoll: Der Anbieter dokumentiert jede automatische Löschung in einer internen Protokolldatenbank (ohne Fotoinhalte, nur Metadaten zu Zeitpunkt, Mitarbeiter-ID und Verarbeitungsschritt), um die Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO zu erfüllen.

5. Eingesetzte Dienstleister (Auftragsverarbeiter)

5.1 fal.ai (KI-Training und Bildgenerierung)

Zweck: Training eines personenbezogenen KI-Modells (LoRA-Finetune) und Generierung der Portraits. Die hochgeladenen Selfie-Fotos werden zur Verarbeitung an fal.ai übermittelt. Betreiber: fal – Features & Labels, Inc., 2261 Market St. Suite 10467, San Francisco, CA 94114, USA. Standort der Verarbeitung: USA.

Vertragliche Zusicherung zur Nicht-Verwendung für Modell-Training: fal.ai hat sich in den API Services Supplemental Terms (Abschnitt „Use of Client Content", abrufbar unter https://fal.ai/legal/api-services) verpflichtet, übermittelte Kundendaten nicht zur Erstellung, zum Training oder zur Entwicklung eigener Produkte oder Services zu verwenden — weder direkt noch indirekt.

Technische Speicher-Begrenzung: Zusätzlich zur vertraglichen Zusicherung setzen wir technische Maßnahmen ein, um eine Speicherung über die Verarbeitung hinaus zu verhindern. Die an fal.ai übermittelten Selfie-Fotos werden spätestens zwei Stunden nach Abschluss der Verarbeitung automatisch gelöscht (TTL-Parameter, Time-to-Live). Zusätzlich wird über den Header X-Fal-Store-IO: 0 die serverseitige Speicherung von Eingabe- und Ausgabedaten unterbunden.

Nutzungsdaten: fal.ai behält sich laut seinen Terms of Service (Abschnitt 6 c) vor, anonymisierte und aggregierte Nutzungsdaten (z. B. technische Metriken über die Modellperformance) zur Verbesserung der Dienste zu verwenden. Diese Nutzungsdaten sind nicht personenbezogen und lassen keine Rückschlüsse auf einzelne Nutzer oder Selfies zu.

Rechtsgrundlage für die Übermittlung in Drittländer: EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 gemäß Art. 45 DSGVO) sowie die vorstehend beschriebenen vertraglichen und technischen Schutzmaßnahmen. Der Abschluss eines individuellen Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO ist bei dem Anbieter derzeit im Rahmen seiner Standardkonditionen nicht vorgesehen; die Einordnung als Auftragsverarbeiter bzw. Unterauftragsverarbeiter wird laufend geprüft.

5.2 Supabase (Datenbank)

Zweck: Speicherung von Projekt- und Mitarbeiterdaten, Status-Tracking. Standort: EU (Frankfurt). Grundlage: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

5.3 Resend (E-Mail-Versand)

Zweck: Versand von Einladungs-E-Mails, Portrait-Zustellungen und Benachrichtigungen. Grundlage: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

5.4 Vercel (Hosting)

Zweck: Betrieb und Bereitstellung der Webanwendung. Standort: Vercel Inc., USA, mit Edge-Netzwerk in der EU. Grundlage: EU-US Data Privacy Framework.

5.5 Cloudflare (CDN und DNS)

Zweck: Bereitstellung der Domain teamportrait.ai, DDoS-Schutz, Content Delivery. Standort: Cloudflare Inc., USA, mit Rechenzentren weltweit. Grundlage: EU-US Data Privacy Framework.

5.6 Stripe (Zahlungsabwicklung)

Zweck: Abwicklung der Zahlungen bei Beauftragung von Einzelprojekten, Nachbuchungen und Cloud-Abos. Verarbeitete Daten: Name, E-Mail-Adresse, Firmenanschrift, USt-ID, Zahlungsmitteldaten. Betreiber: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland. Standort: EU (Irland), mit Untervereinbarungen an Stripe Inc. (USA). Grundlage: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Stripe Data Processing Agreement), EU-Standardvertragsklauseln sowie EU-US Data Privacy Framework. Rechnungen werden automatisch über Stripe erzeugt und per E-Mail zugestellt.

6. Datenübermittlung in Drittländer

Soweit Dienstleister Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten (insbesondere fal.ai, Vercel und Cloudflare in den USA), erfolgt die Übermittlung auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO) oder auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

7. Rechte der betroffenen Personen

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem maschinenlesbaren Format verlangen.

Recht auf Widerspruch (Art. 21 DSGVO): Soweit wir personenbezogene Daten auf Grundlage berechtigter Interessen verarbeiten, können Sie der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen.

Widerrufsrecht (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@lukasleertaste.de

8. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.

9. Cookies und lokale Speicherung

Diese Website verwendet keine Tracking-Cookies und keine Analyse-Tools (kein Google Analytics oder vergleichbare Dienste).

Zur Dokumentation der Einwilligung in den Einsatz etwaiger nicht notwendiger Cookies wird beim Aufruf der Website ein Cookie-Hinweisbanner eingeblendet. Die Entscheidung des Nutzers wird in einem Eintrag im lokalen Speicher (localStorage) des Browsers unter dem Schlüssel tpai_cookies gespeichert. Diese Speicherung ist technisch erforderlich, um eine wiederholte Anzeige des Banners zu vermeiden (§ 25 Abs. 2 Nr. 2 TTDSG), und findet ausschließlich im Browser des Nutzers statt; eine Übermittlung an den Anbieter erfolgt nicht.

Ferner wird die vom Kunden im Konfigurator vorgenommene Auswahl (Fotostile, Hintergründe, Kleidung etc.) zwischenzeitlich im localStorage gespeichert, damit der Kunde den Konfigurationsprozess bei Unterbrechung fortsetzen kann. Auch diese Daten verlassen den Browser nicht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist auf teamportrait.ai/datenschutz einsehbar.