Akte 03Rechtliches

Datenschutzerklärung

Stand: 25. März 2026

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Zusammenhang mit OKTA Studio ist der Betreiber, der im Impressum genannt ist.

Datenschutzanfragen, Auskunftsersuchen und sonstige Betroffenenanfragen richten Sie bitte an die dort angegebene Kontaktadresse.

2. Welche Daten wir verarbeiten

2.1 Konto- und Stammdaten

Wenn Sie ein Konto anlegen oder sich anmelden, verarbeiten wir insbesondere Ihre E-Mail-Adresse, Ihren Namen, Ihr Profilbild (falls angegeben) sowie Account- und Authentifizierungsinformationen. Die Authentifizierung wird technisch über Clerk abgewickelt.

2.2 Vertrags-, Zahlungs- und Nutzungsdaten

Zur Bereitstellung der Plattform verarbeiten wir Informationen zu Ihrem Tarif, Credit-Käufen, Transaktionen, genutzten Funktionen, Modellen, Organisationen, Projekten, Ordnern und Zeitpunkten der Nutzung. Vollständige Zahlungsdaten werden nicht von uns, sondern von Stripe verarbeitet.

2.3 Hochgeladene Dateien, Prompts und generierte Inhalte

Wenn Sie Bilder, Videos oder sonstige Dateien hochladen, speichern wir diese in unserer Infrastruktur auf Servern von Convex. Soweit dies für die gewählte Funktion erforderlich ist, werden Dateien, Prompts, Masken, Analyseinhalte, Referenzbilder und Generierungsparameter zusätzlich an eingebundene KI-Dienstleister wie fal.ai oder Google übermittelt, damit die angeforderte Verarbeitung ausgeführt werden kann.

Ihre Dateien sind innerhalb der Anwendung grundsätzlich nur Ihrem Konto zugeordnet und für andere Nutzer nicht frei einsehbar. Als Betreiber haben wir technisch-administrativen Zugriff auf gespeicherte Dateien und zugehörige Metadaten. Ein solcher Zugriff erfolgt nur, soweit dies für Wartung, Fehlerbehebung, Sicherheit, Missbrauchsprävention oder Support erforderlich ist.

Wir verkaufen Ihre Inhalte nicht, geben sie nicht an andere Nutzer weiter und verwenden hochgeladene Dateien nicht zum Training eigener OKTA-AI-Modelle. Bei externen KI-Dienstleistern richtet sich die Verarbeitung nach deren vertraglichen, technischen und von uns gewählten Einstellungen.

Soweit externe KI- oder Upload-Dienste eingebunden sind, können dort für die Dauer der Verarbeitung zusätzliche technische Kopien, Upload-URLs oder Protokolle nach der jeweiligen Anbieter-Systemlogik entstehen. Diese Speichervorgänge liegen teilweise außerhalb unserer direkten Infrastruktur.

2.4 Technische Protokoll-, Sicherheits- und Supportdaten

Bei der Nutzung unserer Dienste fallen technische Informationen an, etwa Browsertyp, Betriebssystem, Zeitstempel, Request-/Response-Daten, IP-Adresse, Fehlermeldungen, Geräte- und Umgebungsdaten. Diese Daten verarbeiten wir, soweit dies zur sicheren Bereitstellung der Plattform, zur Fehleranalyse, zur Missbrauchsabwehr oder zur Bearbeitung von Support-Anfragen erforderlich ist.

2.5 Optionale Analyse- und Conversion-Daten

Wenn Sie der Analyse zustimmen, verarbeiten wir zusätzliche Ereignisdaten zu Nutzungspfaden und Conversions, etwa Landing-Funnel- IDs, CTA-IDs, Zielpfade, Modell- und Generierungstypen sowie ergänzende Diagnoseinformationen. Ohne Ihre Einwilligung werden diese optionalen Analyseereignisse nicht ausgelöst.

Bitte laden Sie nur Inhalte hoch, für deren Verarbeitung Sie berechtigt sind. Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO sollten nur verarbeitet werden, wenn dafür eine gesonderte rechtliche Grundlage besteht.

3. Zwecke und Rechtsgrundlagen

  • Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO: Bereitstellung des Kontos, Durchführung von Uploads, KI- Verarbeitungen, Speicherung Ihrer Projekte und Dateien, Abrechnung von Leistungen und Bereitstellung gekaufter Funktionen.
  • Rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO: Erfüllung handels- und steuerrechtlicher Aufbewahrungs- und Nachweispflichten.
  • Berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO: Gewährleistung der IT-Sicherheit, Stabilität, Fehlerdiagnose, Missbrauchsprävention, Verteidigung gegen Ansprüche sowie Bearbeitung von Supportfällen.
  • Einwilligung, Art. 6 Abs. 1 lit. a DSGVO: Optionale Analyse- und Conversion-Auswertung sowie zusätzliche clientseitige Diagnosedaten, soweit Sie diese im Consent-Banner freigeben.
  • Endgeraetezugriff in Deutschland: Das Speichern oder Auslesen von Informationen auf Ihrem Endgerät erfolgt auf Basis von § 25 Abs. 2 TDDDG, soweit dies technisch erforderlich ist, und im Übrigen auf Basis Ihrer Einwilligung nach § 25 Abs. 1 TDDDG.

4. Empfänger und eingesetzte Dienstleister

Wir setzen Dienstleister als Auftragsverarbeiter oder eigenständige Empfänger ein, soweit dies für den Betrieb unserer Dienste erforderlich ist. Dazu gehören insbesondere:

Clerk

Zweck: Authentifizierung, Nutzerkonto, Login-Sessions und Accountverwaltung.

Datenkategorien: E-Mail-Adresse, Name, Profilbild, Login- und Account-Metadaten.

Convex

Zweck: Datenbank, Dateispeicher, Projekte, Mediathek, Nutzerobjekte und Anwendungslogik.

Datenkategorien: Accountdaten, Dateien, Generierungsmetadaten, Projekte, Ordner, Nutzungsobjekte.

Stripe

Zweck: Zahlungsabwicklung, Rechnungsbezug, Fraud-Checks und Transaktionsverwaltung.

Datenkategorien: Zahlungs- und Transaktionsdaten, Rechnungsangaben, Kaufhistorie.

fal.ai

Zweck: Ausfuehrung von Bild-, Video- und Editing-Workflows sowie temporaere Upload-Verarbeitung.

Datenkategorien: Hochgeladene Dateien, Prompts, Generierungsparameter und Ergebnis-URLs.

Google Gemini / Google GenAI

Zweck: Prompt-Verbesserung, Analyse, Identifikation und einzelne KI-Hilfsfunktionen.

Datenkategorien: Prompts, hochgeladene Bilder, Analysekontext und Modellantworten.

Sentry

Zweck: Fehlerdiagnose, Betriebsstabilitaet und - nur bei Einwilligung - optionale Analyse-/Diagnosedaten.

Datenkategorien: Fehler- und Diagnosedaten, technische Umgebungsdaten und bei Analyse-Einwilligung Funnel-/Conversion-Ereignisse.

5. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Pflichten dies verlangen. Für OKTA Studio gelten nach aktueller Implementierung insbesondere folgende Speicherlogiken:

  • hochgeladene und generierte Dateien werden in der Mediathek gespeichert und auf Ihr Speicherkontingent angerechnet
  • wird das Speicherkontingent länger als 7 Tage überschritten, werden die ältesten Dateien automatisch gelöscht, bis das Kontingent wieder eingehalten wird
  • Projekte, Ordner und sonstige Kontoinhalte bis zur Löschung durch Sie oder bis zur Kontolöschung
  • steuer- und abrechnungsrelevante Daten regelmäßig bis zu 10 Jahre

Dateien oberhalb des Speicherkontingents werden nach der genannten Frist chronologisch bereinigt. Sie können Dateien grundsätzlich jederzeit selbst löschen. Bei Kontolöschung entfernen oder sperren wir kontobezogene Inhalte im Rahmen unserer technischen Prozesse, soweit keine gesetzlichen, abrechnungsbezogenen, organisationsbezogenen oder technischen Aufbewahrungsgründe entgegenstehen. Daten, die wir aus rechtlichen Nachweis- oder Sicherheitsgründen weiter benötigen, bleiben bis zum Ablauf der jeweiligen Pflicht oder bis zur technischen Bereinigung gespeichert.

Soweit wir abrechnungs- oder nachweisrelevante Historien weiter benötigen, werden verbleibende Referenzen nach Möglichkeit auf eine pseudonymisierte Form reduziert.

6. Cookies, Local Storage und Consent-Management

Wir verwenden notwendige Cookies und vergleichbare Speichertechniken, um Ihre Session, Authentifizierung, Sicherheit und die Speicherung Ihrer Consent-Entscheidung zu ermöglichen. Ihre Consent-Auswahl wird im Browser und ergänzend in einem Cookie gespeichert, damit wir diese serverseitig beachten können.

Optionale Analyse- und Conversion-Verarbeitungen aktivieren wir erst, wenn Sie diese ausdrücklich freigeben. Eine einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft in den Cookie-Einstellungen widerrufen.

7. Drittlanduebermittlungen

Ein Teil unserer Dienstleister sitzt in den USA oder verarbeitet Daten dort bzw. in anderen Drittstaaten. In diesen Fällen achten wir auf geeignete Garantien nach Kapitel V DSGVO, insbesondere Auftragsverarbeitungsverträge, Standardvertragsklauseln, ergänzende technische und organisatorische Maßnahmen sowie, soweit anwendbar, anerkannte Transfermechanismen der jeweiligen Anbieter.

Bitte beachten Sie, dass einzelne KI-Dienste technisch bedingt auch außerhalb der EU ausgeführt werden können. Wenn Sie solche Funktionen nutzen, ist eine entsprechende internationale Datenübermittlung Teil der Leistungserbringung.

8. Ihre Rechte

Ihnen stehen im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte zu:

  • Auskunft nach Art. 15 DSGVO
  • Berichtigung nach Art. 16 DSGVO
  • Loeschung nach Art. 17 DSGVO
  • Einschraenkung der Verarbeitung nach Art. 18 DSGVO
  • Datenuebertragbarkeit nach Art. 20 DSGVO
  • Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO nach Art. 21 DSGVO
  • Widerruf erteilter Einwilligungen mit Wirkung fuer die Zukunft
  • Beschwerde bei einer Datenschutz-Aufsichtsbehoerde

9. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen unbefugten Zugriff, Verlust, Manipulation und Missbrauch zu schützen. Dazu gehören insbesondere rollenbasierte Zugriffsbeschränkungen, verschlüsselte Übertragungen, Infrastruktur-Sicherheitsmaßnahmen, automatisierte Bereinigung abgelaufener Dateien und Monitoring zur Erkennung von Störungen und Sicherheitsvorfällen.

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich unsere Dienste, Verarbeitungen oder die rechtlichen Anforderungen ändern. Es gilt jeweils die auf dieser Seite veröffentlichte aktuelle Fassung.

Datenschutzerklaerung - OKTA Studio