Inhaltsverzeichnis

Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

BCM LABS

Anton-Platner-str 25
86316 Friedberg

E-Mail: support@appkivio.de

Telefon: 017621780428

Vertreten durch: Bahri Caliskan

2. Erhobene Daten

Im Rahmen der Nutzung unserer Plattform verarbeiten wir folgende personenbezogene Daten:

2.1 Bestandsdaten

Bei der Registrierung erheben wir deinen Namen und deine E-Mail-Adresse. Diese Daten sind zur Vertragserfüllung erforderlich.

Daten: Name, E-Mail-Adresse
Zweck: Kontoerstellung, Authentifizierung, Kommunikation
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Kontolöschung durch den Nutzer

2.2 Nutzungsdaten

Wir speichern Informationen über deine Nutzung der Plattform, insbesondere generierte Inhalte und Credit-Transaktionen.

Daten: Generierte Bilder und Videos, verwendete Prompts, Credit-Transaktionen, Content-Pläne
Zweck: Erbringung der vertraglich vereinbarten Dienstleistung, Archivfunktion
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer: Bis zur Kontolöschung durch den Nutzer

2.3 Technische Daten

Beim Zugriff auf unsere Plattform werden automatisch technische Daten erhoben.

Daten: IP-Adresse, Browsertyp und -version, Betriebssystem, Gerätetyp, Zeitpunkt des Zugriffs
Zweck: Gewährleistung der technischen Funktionsfähigkeit, Sicherheit, Missbrauchsschutz
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes)
Speicherdauer: 30 Tage in Server-Logdateien

2.4 Zahlungsdaten

Bei Kaufvorgängen werden Zahlungsinformationen ausschließlich durch unseren Zahlungsdienstleister Stripe verarbeitet.

Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkarte, SEPA)
Zweck: Abwicklung von Credit-Paket-Käufen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Hinweis: Zahlungsdaten werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert

2.5 Eingabedaten (KI-Prompts)

Die von dir eingegebenen Prompts zur KI-Generierung werden an externe KI-Dienstleister weitergeleitet.

Daten: Texteingaben (Prompts), optional hochgeladene Referenzbilder, Unternehmensprofildaten (sofern vom Nutzer freigegeben)
Zweck: KI-gestützte Bild-, Video- und Textgenerierung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Weitergabe: An OpenAI, Inc. und/oder Google LLC (siehe Abschnitt 5)

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten auf unserer Plattform erfolgt auf Grundlage folgender Rechtsgrundlagen der DSGVO:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für Push-Benachrichtigungen. Die Einwilligung kann jederzeit in den Profileinstellungen widerrufen werden.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Kontoerstellung, Authentifizierung, KI-Content-Generierung, Zahlungsabwicklung und Archivfunktion. Diese Datenverarbeitungen sind für die Erbringung unserer vertraglichen Leistungen erforderlich.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigte Interessen): Für die Erhebung technischer Daten zum Zweck der Plattformsicherheit, Missbrauchsverhinderung und Gewährleistung der technischen Funktionsfähigkeit sowie für die Einbindung von CDN-Diensten zur Gewährleistung einer einheitlichen, performanten Darstellung.

4. Cookies und Sitzungsverwaltung

Unsere Plattform verwendet ausschließlich technisch notwendige Cookies. Wir setzen keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern ein. Ein Cookie-Consent-Banner ist daher nicht erforderlich (vgl. TTDSG § 25 Abs. 2 Nr. 2).

Session-Cookie: Technisch notwendig für die Sitzungsverwaltung (Flask-Session). Wird beim Schließen des Browsers gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit).
Remember-Me Cookie: Persistenter Login-Cookie, der dich bei erneutem Besuch automatisch anmeldet. Gültigkeitsdauer: 30 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Benutzerfreundlichkeit).
CSRF-Token: Technisch notwendig zum Schutz vor Cross-Site-Request-Forgery-Angriffen. Session-gebunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit).

5. KI-Dienste und Auftragsverarbeiter (Art. 28 DSGVO)

Für die Erbringung unserer KI-gestützten Dienstleistungen arbeiten wir mit folgenden Auftragsverarbeitern zusammen. Mit allen genannten Anbietern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

Dienst	Anbieter	Zweck	Verarbeitete Daten	Rechtsgrundlage
GPT (Textgenerierung)	OpenAI, Inc., San Francisco, USA	Textgenerierung, Prompt-Optimierung, Content-Planung	Prompt-Texte, Unternehmensprofil	Art. 6 Abs. 1 lit. b DSGVO, EU-US Data Privacy Framework
gpt-image-1.5 (Bildgenerierung)	OpenAI, Inc., San Francisco, USA	Generierung von Social-Media-Bildern	Prompt-Texte, Referenzbilder	Art. 6 Abs. 1 lit. b DSGVO, EU-US DPF
Sora 2 (Videogenerierung)	OpenAI, Inc., San Francisco, USA	Generierung von Kurzvideos	Prompt-Texte	Art. 6 Abs. 1 lit. b DSGVO, EU-US DPF
Imagen 4 (Bildgenerierung)	Google LLC, Mountain View, USA	Generierung von Social-Media-Bildern	Prompt-Texte	Art. 6 Abs. 1 lit. b DSGVO, EU-US DPF
Veo 3.1 (Videogenerierung)	Google LLC, Mountain View, USA	Generierung von Kurzvideos	Prompt-Texte	Art. 6 Abs. 1 lit. b DSGVO, EU-US DPF

Drittlandtransfer: OpenAI, Inc. und Google LLC haben ihren Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Data Privacy Framework (DPF) vom 10. Juli 2023 gemäß Art. 45 DSGVO. Beide Unternehmen sind unter dem DPF zertifiziert.

Datenschutzerklärungen der KI-Anbieter:

OpenAI: https://openai.com/policies/privacy-policy
Google: https://cloud.google.com/terms/cloud-privacy-notice

6. Zahlungsabwicklung

Für die Zahlungsabwicklung beim Kauf von Credit-Paketen nutzen wir den Dienst Stripe.

Anbieter: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA
Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsinformationen (Kreditkarte, SEPA-Lastschrift)
Zweck: Sichere Abwicklung von Online-Zahlungen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Drittlandtransfer: USA, abgesichert durch EU-US Data Privacy Framework
Datenschutzerklärung: https://stripe.com/de/privacy

Hinweis: Zahlungsdaten (Kreditkartennummern, Bankverbindungen) werden ausschließlich von Stripe verarbeitet und zu keinem Zeitpunkt auf unseren Servern gespeichert. Wir erhalten von Stripe lediglich eine Bestätigungs-ID und den Zahlungsstatus.

7. CDN und externe Dienste

7.1 Google Fonts

Unsere Plattform nutzt die Schriftarten DM Sans und Plus Jakarta Sans von Google Fonts, die über die Server von Google (Google LLC, Mountain View, USA) geladen werden.

Übertragene Daten: IP-Adresse des Nutzers an Google-Server
Zweck: Einheitliche, typografisch hochwertige Darstellung der Plattform
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung)
Datenschutzerklärung: https://policies.google.com/privacy

Hinweis: Bei der Einbindung von Google Fonts wird deine IP-Adresse an Server von Google in den USA übertragen. Das Landgericht München I hat in seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung einen Verstoß gegen die DSGVO darstellen kann. Eine Selbsthosting-Lösung, die diese Datenübertragung eliminieren würde, ist derzeit in Planung.

7.2 jsDelivr CDN

Für die Bereitstellung von CSS-Frameworks (DaisyUI, Tailwind CSS) nutzen wir das Content Delivery Network jsDelivr.

Anbieter: Prospect One, Zagreb, Kroatien (EU)
Übertragene Daten: IP-Adresse des Nutzers
Zweck: Performante Auslieferung von CSS-Frameworks
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an performanter und zuverlässiger Bereitstellung)
Hinweis: jsDelivr wird von Prospect One mit Sitz in der EU betrieben. Eine Datenübermittlung in Drittländer findet im Rahmen der CDN-Infrastruktur statt.

7.3 E-Mail-Versand

Für den Versand von Verifizierungs-E-Mails, Passwort-Zurücksetzungen und Benachrichtigungen nutzen wir einen SMTP-Dienstleister.

Anbieter: [E-Mail-Provider wird noch festgelegt]
Übertragene Daten: E-Mail-Adresse des Empfängers, E-Mail-Inhalte (Verifizierungscodes, Benachrichtigungen)
Zweck: Versand transaktionaler E-Mails (Verifizierung, Passwort-Zurücksetzung, Benachrichtigungen)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

8. Deine Rechte (Art. 15-21 DSGVO)

Als betroffene Person hast du gegenüber dem Verantwortlichen folgende Rechte hinsichtlich deiner personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO): Du hast das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst Informationen über die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger und die geplante Speicherdauer.
Recht auf Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner personenbezogenen Daten verlangen, sofern nicht gesetzliche Aufbewahrungspflichten oder berechtigte Interessen dem entgegenstehen. Du kannst dein Konto jederzeit über die Profileinstellungen löschen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung deiner Daten verlangen.
Recht auf Datenportabilität (Art. 20 DSGVO): Du hast das Recht, die dich betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Widerspruchsrecht (Art. 21 DSGVO): Sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht, hast du das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen.
Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf deiner Einwilligung beruht (z.B. Push-Benachrichtigungen), kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren.

Zur Ausübung deiner Rechte wende dich bitte an: support@appkivio.de

9. Datensicherheit (Art. 32 DSGVO)

Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um deine personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen:

Transportverschlüsselung: Sämtliche Daten werden über HTTPS/TLS verschlüsselt übertragen.
API-Key-Verschlüsselung: Alle gespeicherten API-Schlüssel werden mit Fernet (AES-128-CBC) verschlüsselt abgelegt.
CSRF-Schutz: Alle Formulare und zustandsändernde Anfragen sind durch CSRF-Token geschützt.
Rate-Limiting: Zugriffsbegrenzung zum Schutz vor Brute-Force- und Denial-of-Service-Angriffen.
Sichere Passwortspeicherung: Passwörter werden ausschließlich als bcrypt-Hashes gespeichert und niemals im Klartext.
Rollenbasierte Zugangskontrolle: Zugriff auf administrative Funktionen ist auf autorisierte Personen beschränkt.
Zeitkonstanter Vergleich: Sicherheitskritische Vergleiche (z.B. Verifizierungscodes) erfolgen mittels zeitkonstanter Algorithmen zum Schutz vor Timing-Angriffen.

7.4 Instagram-Integration (Meta Platforms Ireland)

Wenn du deinen Instagram-Business- oder Creator-Account mit Kivio verbindest, verarbeiten wir im Auftrag und mit Unterstützung von Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland) Daten aus deinem Instagram-Konto. Die Verknüpfung ist freiwillig und erfolgt nur nach deiner ausdrücklichen Einwilligung.

Verarbeitete Datenkategorien:

Instagram-Nutzer-ID, Nutzername und öffentliche Profil-Metadaten
Deine veröffentlichten Beiträge (Captions, Medien-IDs, Zeitstempel)
Insights-Kennzahlen (Impressions, Reach, Engagement, Saves, Shares)
Account-Metriken (Follower, Following, tägliche Reach der letzten 30 Tage)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — dokumentiert im internen Consent-Log gemäß Art. 7 DSGVO.
Drittlandtransfer: Die Verarbeitung kann in den USA erfolgen. Mit Meta Platforms Ireland haben wir die EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO abgeschlossen. Der konzerninterne Transfer zu Meta Platforms, Inc. (USA) erfolgt zudem auf Grundlage des EU-US Data Privacy Framework.
Aufbewahrung: Nach Trennung der Instagram-Verknüpfung oder Löschung deines Kivio-Kontos werden alle Instagram-Daten innerhalb von 90 Tagen vollständig entfernt.
Widerrufsrecht: Du kannst die Einwilligung jederzeit in deinem Profil unter „Instagram trennen" widerrufen. Der Widerruf wirkt ab dem Zeitpunkt der Trennung; die Rechtmäßigkeit der vorherigen Verarbeitung bleibt unberührt.
Datenschutzerklärung Meta: https://www.facebook.com/privacy/policy

7.5 Zahlungsdienstleister: Stripe Payments Europe, Ltd.

Für Abo-Zahlungen und Einzelkauf-Credits arbeiten wir zusätzlich mit Stripe Payments Europe, Ltd. (North Wall Quay, Dublin, Irland) als europäischer Stripe-Niederlassung zusammen. Stripe verarbeitet in unserem Auftrag Zahlungsdaten (Rechnungsadresse, Zahlungsmethode, Transaktions-Metadaten).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Drittlandtransfer: Stripe-interne Übermittlungen in die USA sind durch EU-Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert.
Weitere Informationen: https://stripe.com/de/privacy

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung findest du stets auf dieser Seite. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail oder durch eine Benachrichtigung auf der Plattform informiert.

Aktuelle Version: März 2026