Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

S.E.C. GmbH
Rathausweg 10
49661 Cloppenburg
E-Mail: hello@vintedboost.de
Telefon: 04471 / 964 438 0103

2. Erhobene Daten und Verarbeitungszwecke

2.1 Registrierung und Nutzerkonto

Bei der Registrierung erheben wir Ihren Namen, Ihre E-Mail-Adresse und ein Passwort (gespeichert als bcrypt-Hash). Diese Daten sind für die Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich.

2.2 Zahlungsdaten

Zahlungen werden über Stripe, Inc. abgewickelt. Wir speichern keine vollständigen Zahlungsmittel­daten (Kreditkartennummern o. Ä.). Stripe verarbeitet diese Daten als eigenverantwortlicher Anbieter. Näheres finden Sie in der Datenschutzerklärung von Stripe. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 Hochgeladene Bilder und KI-Verarbeitung

Zum Zweck der Erstellung von KI-generierten Produktfotos werden hochgeladene Kleidungsbilder vorübergehend in unserem System verarbeitet und an folgende KI-Anbieter übertragen:

  • Google LLC (Gemini API) – Analyse des Kleidungsstücks. Google ist als Auftragsverarbeiter gemäß Art. 28 DSGVO durch den Google Cloud Data Processing Addendum (DPA) gebunden, der automatisch für API-Nutzer gilt. Die Datenübertragung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Datenschutzinformationen: policies.google.com/privacy.
    Google verwendet Eingabedaten über die Gemini API nicht zum Training seiner Modelle (gemäß Gemini API Additional Terms of Service).
  • OpenAI, LLC – Bildgenerierung (gpt-image-1). OpenAI ist als Auftragsverarbeiter durch das OpenAI Data Processing Addendum gebunden (abrufbar und akzeptierbar über die API-Plattformeinstellungen). Die Datenübertragung in die USA erfolgt auf Basis von EU-Standardvertragsklauseln.
    OpenAI verwendet API-Eingabedaten standardmäßig nicht zum Training seiner Modelle (gemäß OpenAI API Data Usage Policy, Stand Mai 2026).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die generierten Bilder werden in unserer Datenbank gespeichert und sind Ihrem Konto zugeordnet.

2.4 Server-Logs und technische Daten

Beim Aufruf unserer Website werden automatisch technische Daten (IP-Adresse, Browser, Betriebssystem, Zeitstempel) im Server-Log gespeichert. Diese werden nach spätestens 7 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Betriebs).

2.5 Analyse (pseudonymisiert, nur mit Einwilligung)

Mit Ihrer Einwilligung (Cookie-Banner) setzen wir eine selbst gehostete Analysefunktion ein, die Seitenaufrufe, Herkunftsland, Browsertyp und Geräteart pseudonymisiert erfasst. Es werden keine IP-Adressen dauerhaft gespeichert und keine Daten an Dritte weitergegeben. Die Analyse-Daten werden nach 30 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Cookie-Banner widerrufen.

3. Hosting

Unsere Website wird auf einem eigenen Server in Deutschland betrieben. Die Schriftarten (Poppins) werden lokal von unserem Server ausgeliefert – es findet keine Übertragung von IP-Adressen an Google Fonts statt.

4. Drittanbieter und Datenweitergabe

Wir geben Daten nur an Dritte weiter, soweit dies zur Vertragserfüllung erforderlich ist, Sie eingewilligt haben oder eine gesetzliche Grundlage besteht. Eine Weitergabe zu Werbezwecken oder an sonstige Dritte ohne Ihre ausdrückliche Einwilligung findet nicht statt.

Bei der Übermittlung von Daten in Drittländer (z. B. USA an Google oder OpenAI) erfolgt dies auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

5. Cookies und lokale Speicherung

Wir verwenden folgende Technologien zur Datenspeicherung:

  • Session-Cookie (notwendig): Von NextAuth zur Verwaltung Ihrer Anmeldesitzung gesetzt. Ohne diesen Cookie ist eine Anmeldung nicht möglich. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG.
  • Einwilligungsspeicher (localStorage): Ihre Cookie-Präferenz wird im lokalen Speicher Ihres Browsers gespeichert, damit der Banner nicht bei jedem Besuch erscheint. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG.

6. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange wie erforderlich:

  • Nutzerkonto (E-Mail, Name, Passwort-Hash): Bis zur Kontolöschung. Sie können Ihr Konto jederzeit selbst im Dashboard unter „Einstellungen → Konto löschen" löschen. Alle Daten werden dabei unwiderruflich entfernt.
  • Hochgeladene Eingangsbilder: Werden nach der KI-Verarbeitung nicht dauerhaft gespeichert (nur während der Verarbeitung im Arbeitsspeicher).
  • Generierte Ausgabebilder: Gespeichert bis zur Kontolöschung oder bis Sie das einzelne Foto im Dashboard löschen.
  • Kaufdaten (Transaktionen): Bis zur Kontolöschung. Stripe führt eigene Transaktionsaufzeichnungen gemäß seiner Aufbewahrungspflicht.
  • Analyse-Daten (Seitenaufrufe): Automatisch nach 30 Tagen gelöscht.
  • Server-Logs: Automatisch nach 7 Tagen gelöscht.

7. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben.
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten.
  • Löschung (Art. 17 DSGVO): Löschung Ihrer Daten, soweit keine Aufbewahrungspflichten entgegenstehen.
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung.
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt Ihrer Daten in maschinenlesbarem Format.
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen.
  • Widerruf (Art. 7 DSGVO): Widerruf erteilter Einwilligungen.

Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an: hello@vintedboost.de

8. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für die S.E.C. GmbH ist die Landesbeauftragte für Datenschutz Niedersachsen (LfD Niedersachsen), Prinzenstraße 5, 30159 Hannover.