Datenschutzerklärung
Zuletzt aktualisiert: March 2026
1. Verantwortlicher
Verantwortlicher für deine personenbezogenen Daten ist Polishly (Kontakt: support@polishly.com). Für alle datenschutzbezogenen Anfragen kannst du uns unter der oben genannten E-Mail-Adresse kontaktieren.
2. Welche Daten wir erheben
Wir erheben die folgenden Kategorien personenbezogener Daten: (a) Kontodaten — deine E-Mail-Adresse und die Kennung deines Google-Kontos, erhoben, wenn du dich über Google OAuth anmeldest; (b) Nutzungsdaten — eine zufällige Geräte-ID, die unser Server dir bei deinem ersten Besuch über ein HttpOnly-Cookie zuweist und die zusammen mit einer pseudonymen Netzwerkkennung verwendet wird, die aus deiner IP-Adresse per HMAC-SHA256-Hashing abgeleitet wird (wir speichern niemals deine rohe IP-Adresse), um Ratenlimits, Freemium-Kontingente durchzusetzen und dir auch ohne Konto sicheren Zugriff auf deine Fotos zu gewähren; Metadaten zu Verbesserungsaufträgen (Servicetyp, Einstellungen, Zeitstempel, Verarbeitungsstatus) sowie Aufzeichnungen zu Credit-Transaktionen; (c) Zahlungsdaten — Stripe verarbeitet deine Kartendaten direkt. Wir erhalten nur eine Stripe-Sitzungskennung und die Anzahl der gekauften Credits. Wir sehen oder speichern niemals deine Kartennummer, CVV oder Rechnungsadresse; (d) Präferenzdaten — deine zuletzt verwendeten Einstellungen für die Verbesserung (Kategorie, Seitenverhältnis, Auflösung), gespeichert in einem Cookie.
3. Rechtsgrundlage der Verarbeitung
Wir verarbeiten deine Daten auf Grundlage der folgenden Rechtsgrundlagen gemäß Art. 6 DSGVO: (a) Vertragserfüllung (Art. 6 Abs. 1 lit. b) — die Verarbeitung deiner Verbesserungsaufträge und die Verwaltung deines Credit-Guthabens sind erforderlich, um den von dir angeforderten Dienst bereitzustellen; (b) Berechtigte Interessen (Art. 6 Abs. 1 lit. f) — missbrauchsverhindernde Maßnahmen auf Geräte- und Netzwerkebene, einschließlich Ratenbegrenzung, Durchsetzung des Free-Tiers, Fehlerüberwachung über Sentry und sitzungsbasierter Betrugserkennung. Die missbrauchsverhindernde Maßnahme auf Netzwerkebene verwendet eine pseudonyme Kennung, die aus deiner IP-Adresse per HMAC-SHA256-Hashing abgeleitet wird; wir speichern niemals deine rohe IP-Adresse; (c) Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) — Aufzeichnungen über Credit-Transaktionen, die mit Stripe-Sitzungskennungen verknüpft sind, werden nach der Kontolöschung 10 Jahre lang aufbewahrt, um italienische steuerrechtliche Vorgaben einzuhalten. Diese Aufzeichnungen sind pseudonymisiert (deine user_id wird bei Löschung entfernt), aber im Sinne der DSGVO nicht anonym, da sie über die Aufzeichnungen von Stripe mit deiner Identität verknüpft werden können.
4. Wie wir deine Daten verwenden
Deine Daten werden ausschließlich verwendet, um: den Verbesserungsdienst bereitzustellen und zu verbessern; Zahlungen zu verarbeiten und Credit-Guthaben zu verwalten; Ratenlimits und Free-Tier-Kontingente mithilfe pseudonymer Kennungen auf Geräte- und Netzwerkebene durchzusetzen, um einen fairen Zugang sicherzustellen; dir sicheren Zugriff auf deine anonymen Uploads zu gewähren; transaktionale Mitteilungen zu senden (z. B. wenn du den Support kontaktierst); gesetzlichen Verpflichtungen nachzukommen. Wir verkaufen deine Daten nicht, verwenden sie nicht für Werbung und teilen sie nicht mit Dritten, außer mit den in Abschnitt 5 genannten Auftragsverarbeitern. Deine hochgeladenen Fotos werden niemals zum Training von KI-Modellen verwendet.
5. Datenverarbeiter von Drittanbietern
Wir setzen die folgenden Unterauftragsverarbeiter ein, um den Dienst zu betreiben: Supabase Inc. (USA) — Datenbank, Authentifizierung und Dateispeicherung, soweit verfügbar in EU-Regionen gehostet; Stripe Inc. (USA) — Zahlungsabwicklung, geregelt durch Stripes eigene Datenschutzrichtlinie und PCI-DSS-Konformität; Google LLC (USA) — KI-gestützte Bildverbesserung über die Gemini-API. Dein hochgeladenes Bild und zugehörige Prompt-Daten werden zur Verarbeitung an die Server von Google übertragen. Gemäß den Richtlinien für Googles Gemini-API werden API-Eingaben und -Ausgaben nicht genutzt, um Gemini-Modelle für allgemeine Modellverbesserungen zu trainieren oder feinzujustieren; Google kann Prompts, Kontextinformationen und Ausgaben jedoch für einen begrenzten Zeitraum zur Missbrauchsüberwachung und Durchsetzung von Richtlinien speichern; Functional Software Inc. / Sentry (USA) — Fehlerüberwachung, bei der begrenzte technische Diagnosedaten und Anfragemetadaten erfasst werden können; Upstash Inc. (USA) — Redis-basiertes Rate Limiting, das pseudonyme Kennungen wie Geräte-IDs, gehashte Netzwerkkennungen aus IP-Adressen sowie Benutzer-IDs zur Missbrauchsverhinderung verarbeitet; Cloudflare, Inc. (USA) — Turnstile-Botschutz, der überprüft, dass Interaktionen von Menschen und nicht von automatisierten Missbrauchssystemen stammen. Alle Verarbeiter wurden im Hinblick auf angemessene Datenschutzmaßnahmen ausgewählt, und soweit zutreffend werden für Übermittlungen außerhalb der EU/des EWR Standardvertragsklauseln oder gleichwertige Schutzmaßnahmen verwendet.
6. Speicherdauer
Wir wenden strenge Aufbewahrungsfristen an: hochgeladene Bilder (Eingabe und Ausgabe) werden 48 Stunden nach der Verarbeitung dauerhaft gelöscht; wenn ein Antrag auf Kontolöschung nach Ablauf der geltenden Schonfrist bearbeitet wird, werden Kontodaten (E-Mail, Google-ID, Credit-Guthaben) unverzüglich gelöscht; Device-ID-Cookies verfallen nach 1 Jahr oder können vom Nutzer jederzeit über die Browsereinstellungen gelöscht werden; Nachweise über die Zustimmung zu den Nutzungsbedingungen werden zusammen mit deinem Konto gelöscht; Aufzeichnungen über Credit-Transaktionen werden bei Kontolöschung pseudonymisiert (user_id wird, soweit zutreffend, auf NULL gesetzt) und für 10 Jahre aufbewahrt, um rechtliche und steuerliche Pflichten zu erfüllen. Du kannst jederzeit auf deiner Kontoseite einen vollständigen Export deiner Daten anfordern.
7. Deine Rechte nach der DSGVO
Als betroffene Person nach der DSGVO hast du folgende Rechte: Recht auf Auskunft (Art. 15) — lade einen vollständigen Export deiner personenbezogenen Daten über deine Kontoseite herunter; Recht auf Berichtigung (Art. 16) — kontaktiere uns, um unrichtige Daten korrigieren zu lassen; Recht auf Löschung (Art. 17) — beantrage die Kontolöschung über deine Kontoseite. Dein Konto und die zugehörigen Daten werden innerhalb von 30 Tagen dauerhaft gelöscht. Steuerbezogene Transaktionsaufzeichnungen sind gemäß Art. 17 Abs. 3 lit. b von der Löschung ausgenommen; Recht auf Datenübertragbarkeit (Art. 20) — dein Datenexport wird in einem maschinenlesbaren JSON-Format bereitgestellt; Widerspruchsrecht (Art. 21) — du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen, indem du uns kontaktierst; Recht auf Einschränkung der Verarbeitung (Art. 18) — du kannst verlangen, dass wir die Verarbeitung deiner Daten einschränken, während ein Streitfall geklärt wird; Beschwerderecht — du hast das Recht, eine Beschwerde bei der italienischen Datenschutzbehörde (Garante per la protezione dei dati personali) unter www.garanteprivacy.it einzureichen.
8. Cookies und lokaler Speicher
Wir verwenden zwei First-Party-Cookies: (1) "polishly-device" ist ein HttpOnly-Cookie, das eine zufällige Kennung (UUID) enthält, die unser Server dir bei deinem ersten Besuch zuweist. Es wird zusammen mit einer pseudonymen Netzwerkkennung verwendet, die serverseitig aus deiner IP-Adresse per HMAC-SHA256-Hashing abgeleitet wird (wir speichern niemals die rohe IP-Adresse), um Ratenlimits und Free-Tier-Kontingente durchzusetzen und anonymen Zugriff auf deine verbesserten Fotos zu gewähren. Da das Cookie HttpOnly ist, kann es nicht von JavaScript in deinem Browser gelesen oder verändert werden. Es verfällt nach 1 Jahr oder kann jederzeit über deine Browsereinstellungen gelöscht werden. (2) "polishly-prefs" speichert deine UI-Präferenzen (Kategorie, Seitenverhältnis, Auflösung) für 12 Monate. Es wird nicht für seitenübergreifendes Tracking, Profiling oder Werbung verwendet. Außerdem verwenden wir Cloudflare Turnstile als Sicherheitsmaßnahme, um menschliche Nutzer von automatisierten Missbrauchssystemen zu unterscheiden. Für authentifizierte Nutzer setzt Supabase HttpOnly-Sitzungscookies, die für die Kontofunktionalität zwingend erforderlich sind. Wir verwenden weder Werbe-Cookies noch Drittanbieter-Marketing-Tracker.
9. Kontakt und Aktualisierungen
Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte kontaktiere uns unter support@polishly.com. Wir antworten innerhalb von 30 Tagen. Diese Richtlinie kann aktualisiert werden, um Änderungen unserer Praktiken oder rechtlicher Anforderungen abzubilden. Wesentliche Änderungen werden dir beim nächsten Login im Rahmen des Akzeptanzprozesses für die Nutzungsbedingungen mitgeteilt.