Datenschutzerklärung

Diese Datenschutzerklärung erläutert, wie personenbezogene Daten bei der Nutzung von bitbi.ai verarbeitet werden. Sie umfasst das öffentliche Browsen, Kontofunktionen, KI-Generierung, gespeicherte Assets, öffentliche Galerien, Credits, Zahlungen, Kontaktformulare und administrative Supportfunktionen.

Verantwortlicher ist Stefan van Ark, Schwarzwaldstraße 20, 78647 Trossingen, Deutschland. Kontakt: [email protected]. Weitere Angaben finden Sie im Impressum.

Stand: 3. Mai 2026.

Öffentliche Seiten und öffentliche Galerien können ohne Konto besucht werden. Technische Anfragedaten wie IP-Adresse, User-Agent, Referrer, angeforderte URL, Zeitstempel, Header sowie Fehler- und Sicherheitssignale können durch Cloudflare, GitHub Pages und die jeweils genutzten Cloudflare Worker verarbeitet werden, um die Website bereitzustellen, Missbrauch zu verhindern, Rate Limits durchzusetzen und Fehler zu untersuchen.

Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. f DSGVO: unser berechtigtes Interesse an einer sicheren, zuverlässigen und performanten Bereitstellung des Dienstes. Soweit die Verarbeitung zur Bereitstellung einer von Ihnen angeforderten Funktion erforderlich ist, kann auch Art. 6 Abs. 1 lit. b DSGVO einschlägig sein.

Die aktuelle öffentliche Website ist nicht darauf ausgelegt, aktive Analyse- oder Werbetracker auszuführen. Falls optionale Analyse- oder Marketing-Skripte später aktiviert werden, sollten sie über den vorhandenen Einwilligungsmechanismus gesteuert werden.

Wenn Sie ein Konto erstellen oder nutzen, verarbeiten wir Konto- und Authentifizierungsdaten wie E-Mail-Adresse, Passwort-Hash, E-Mail-Bestätigungsstatus, Hashes für Passwort-Zurücksetzungs- und Bestätigungstoken, Sitzungsdatensätze, Login- und Sicherheitszeitpunkte, Profilkennungen, Rollen sowie Sicherheitsstatus wie Admin-MFA, soweit einschlägig.

Sitzungscookies halten Sie angemeldet. Das Haupt-Sitzungscookie ist HTTP-only und soll nicht durch Frontend-JavaScript gelesen werden. Sitzungs- und Token-Datensätze werden in Cloudflare D1 gespeichert. Passwort-Zurücksetzungs- oder Bestätigungstoken werden, soweit erforderlich, per E-Mail versandt und serverseitig nur als Hash gespeichert.

Diese Verarbeitung ist für Kontoerstellung, Anmeldung, Kontosicherheit, Betrugsprävention und Mitgliederfunktionen erforderlich. Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. f und, soweit gesetzliche Aufbewahrungspflichten bestehen, Art. 6 Abs. 1 lit. c DSGVO.

Optionale Profildaten können Anzeigename, Avatar, öffentliche Profilmetadaten, Favoriten und Veröffentlichungsentscheidungen für Medien umfassen. Wenn Sie eine Wallet verbinden oder verifizieren, verarbeiten wir Wallet-Adresse, Netzwerk-/Chain-Informationen, Nonce-/Challenge-Status und Signaturprüfungsmetadaten, die für Wallet-Funktionen erforderlich sind.

Organisations- und Teamfunktionen können, soweit aktiviert, Organisationsnamen, Slugs, Eigentümer-/Mitgliedsrollen, Einladungen, Abrechnungssitze und zugehörige Verwaltungsmetadaten verarbeiten.

Anzeigename und Avatar können für andere Nutzer oder die Öffentlichkeit sichtbar werden, wenn Sie Inhalte veröffentlichen. Favoriten und private Kontoeinstellungen sind nicht dazu bestimmt, private Medien allein dadurch öffentlich zu machen.

Bei der Nutzung von KI-Funktionen verarbeiten wir die Eingaben und Einstellungen, die zur gewünschten Generierung erforderlich sind. Je nach Funktion gehören dazu Prompts, Negative Prompts, Stilbeschreibungen, Liedtexte, Referenzbilder oder hochgeladene Dateien, Modellauswahl, Dauer, Qualität, Seitenverhältnis, Seed, Generierungsoptionen und erzeugte Ergebnisse wie Bilder, Videos, Audio/Musik, Text, Poster und Thumbnails.

KI-Anfragen werden über Cloudflare Workers verarbeitet und können an Cloudflare Workers AI, Cloudflare AI Gateway, Cloudflare Images, den separaten AI Worker für Admin-/interne Abläufe sowie an Modellanbieter gesendet werden, die von den ausgewählten Funktionen genutzt werden, zum Beispiel PixVerse, Vidu, MiniMax, Black Forest Labs/FLUX über Cloudflare Workers AI und andere konfigurierte Modellanbieter. Der konkrete Empfänger hängt vom gewählten Modell und Feature ab.

Bitte geben Sie keine sensiblen personenbezogenen Daten, vertraulichen Informationen oder personenbezogenen Daten Dritter in Prompts oder Uploads ein, sofern Sie nicht über die erforderlichen Rechte verfügen und verstanden haben, dass die Daten zur Erstellung des angeforderten Ergebnisses durch Infrastruktur- und Modellanbieter verarbeitet werden müssen. Aufbewahrung und weitere Nutzung durch Anbieter hängen von den jeweiligen Verträgen und Einstellungen ab und sind aus dem öffentlichen Website-Code nicht vollständig ersichtlich.

Von Mitgliedern erzeugte oder hochgeladene Medien können als private Assets im Konto gespeichert werden. Dazu gehören Bilder, Videos, Musik/Audio, Textassets, Thumbnails, Poster, Coverbilder, Ordner, Dateinamen, Größen, MIME-Typen, Abmessungen, Generierungsmetadaten, Veröffentlichungsstatus und Löschstatus.

Asset-Metadaten werden hauptsächlich in Cloudflare D1 gespeichert. Mediendateien und Derivate werden je nach Funktion in Cloudflare R2 oder Cloudflare Images gespeichert. Private gespeicherte Assets sollen nur für das jeweilige Konto und autorisierte administrative oder Support-Abläufe zugänglich sein. Eine öffentliche Bereitstellung ist nur vorgesehen, wenn Sie dafür geeignete Inhalte ausdrücklich veröffentlichen.

Das Löschen oder Zurücknehmen einer Veröffentlichung wirkt sich auf die Sichtbarkeit in der Anwendung aus. Die technische Speicherbereinigung kann jedoch asynchrone Lifecycle-, Derivat- oder Audit-/Archivprozesse umfassen. Das Löschen von Backups, Logs, Derivaten oder Archiven kann zusätzliche Zeit erfordern, soweit solche Systeme betroffen sind.

bitbi.ai enthält öffentliche Galeriebereiche für veröffentlichte Mitgliedermedien, darunter Mempics, Memvids und Memtracks. Wenn Sie geeignete Medien veröffentlichen, können das Medium selbst und ausgewählte Metadaten wie Titel, Vorschaubild, Medientyp, Erstellungs-/Veröffentlichungszeitpunkt sowie Anzeigename oder Avatar/Ersatzidentität des Veröffentlichenden für alle sichtbar sein, auch für nicht angemeldete Besucher.

Unveröffentlichte/private Medien sollen nicht in öffentlichen Galerie-Endpunkten erscheinen. Wenn Sie Inhalte depublizieren, sollten sie aus der öffentlichen Liste verschwinden, vorbehaltlich normaler Caching- und technischer Propagationszeiten. Personen, die Inhalte während der Veröffentlichung aufgerufen haben, können diese außerhalb unseres Einflussbereichs gesehen oder zwischengespeichert haben.

Mitgliederfunktionen verwenden Kontocredits. Wir verarbeiten Credit-Guthaben, Reservierungen, Abbuchungen, Erstattungen/Rückbuchungen soweit einschlägig, Quota-/Rate-Limit-Ereignisse, Generierungsversuche, Transaktionsdatensätze, Ledger-Einträge, Kaufdatensätze und abrechnungsbezogene Kontometadaten, um kostenpflichtige Funktionen bereitzustellen und Missbrauch oder Doppelbelastungen zu verhindern.

Zahlungen werden durch Stripe abgewickelt. Wir speichern Stripe-Checkout-/Session-/Customer-/Payment-Kennungen, Produkt-/Paketmetadaten, Transaktionsstatus, Webhook-Verarbeitungsmetadaten und zugehörige Abrechnungsdatensätze. Nach der aktuellen Implementierung werden vollständige Kartennummern oder komplette Zahlungsdaten durch Stripe verarbeitet und nicht durch bitbi.ai gespeichert.

Stripe verarbeitet Zahlungsdaten nach eigenen Datenschutz- und Sicherheitsbedingungen. Wir verarbeiten Zahlungsmetadaten zur Vertragserfüllung, Betrugsprävention, Buchhaltung und Erfüllung gesetzlicher Pflichten auf Grundlage von Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. f und Art. 6 Abs. 1 lit. c DSGVO.

Wenn Sie uns über das Kontaktformular kontaktieren, verarbeiten wir Name, E-Mail-Adresse, Betreff, Nachricht sowie technische Anti-Spam- und Rate-Limit-Signale, die für Empfang und Beantwortung erforderlich sind. Der Kontakt Worker prüft die Anfrage und versendet die Nachricht über Resend.

Kontaktanfragen werden verarbeitet, um Ihre Anfrage zu beantworten und das Formular vor Missbrauch zu schützen. Je nach Inhalt kommen Art. 6 Abs. 1 lit. b, Art. 6 Abs. 1 lit. f und Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlagen in Betracht. Nachrichten können in Mailboxen oder Supportunterlagen aufbewahrt werden, soweit dies für Nachverfolgung, Nachweis oder gesetzliche Pflichten erforderlich ist.

Wir verwenden notwendige Cookies und Browserspeicher, um Anmeldung, Sicherheit, Einwilligungseinstellungen, Navigationskontinuität, Medienwiedergabe, Wallet-/Organisationseinstellungen und Admin-/UI-Zustände bereitzustellen. Im Code gefundene Beispiele sind Sitzungscookies, Cookie-Consent-Einstellungen, Audio-Player-Zustand, aktive Organisationsauswahl, Wallet-Verbindungsstatus, ausstehende Homepage-Kategorie-/Scroll-Wiederherstellung und Admin-AI-Lab-UI-Zustand.

Diese Technologien speichern Informationen auf Ihrem Endgerät oder greifen darauf zu. Notwendige Speicherung erfolgt auf Grundlage von § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b oder Art. 6 Abs. 1 lit. f DSGVO. Optionale Analyse- oder Marketing-Speicherung, sofern aktiviert, sollte eine Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO erfordern und kann über die Cookie-Einstellungen verwaltet werden.

Sie können Cookies und localStorage über Ihren Browser löschen. Dies kann Sie abmelden, Einstellungen zurücksetzen, gespeicherten Wiedergabestatus entfernen oder Mitgliederfunktionen beeinträchtigen.

Der Dienst nutzt Cloudflare für Pages, Workers, D1, R2, Queues, Durable Objects, Images, Workers AI und AI Gateway; GitHub für Quellcodehosting/statische Bereitstellung; Stripe für Zahlungen; Resend für E-Mail-Versand; sowie KI-/Modellanbieter, soweit dies für ausgewählte Generierungsfunktionen erforderlich ist.

Diese Anbieter können Daten je nach Infrastruktur und Produktkonfiguration in der EU, den USA oder anderen Staaten verarbeiten. Bei Übermittlungen außerhalb des EWR sollten geeignete Garantien wie Auftragsverarbeitungsverträge, Standardvertragsklauseln, Angemessenheitsbeschlüsse oder andere von den Anbietern bereitgestellte Mechanismen greifen. Wir geben nicht an, dass jede Verarbeitung ausschließlich in der EU erfolgt.

Relevante Anbieterinformationen sind unter anderem die Cloudflare Datenschutzerklärung, das GitHub Datenschutz Statement, die Stripe Datenschutzerklärung und die Resend Datenschutzerklärung.

Administrative Werkzeuge und Backend-Systeme können Kontodatensätze, Medienmetadaten, Generierungslogs, Transaktionsdatensätze, Rate-Limit-Ereignisse, Audit-Logs, Aktivitätszusammenfassungen sowie Fehler- und Sicherheitsereignisse verarbeiten. Der Zugriff ist für autorisierte Administration, Support, Missbrauchsprävention, Abrechnungssupport, Sicherheitsuntersuchungen und Betriebswartung vorgesehen.

Im Code sichtbare Sicherheitskontrollen umfassen Authentifizierungsprüfungen, Admin-Routenschutz, CSRF-/Same-Origin-Schutz für sensitive Routen, Session-Hashing, Rate Limiting, Eigentumsprüfungen für private Medien, signierte/interne Worker-zu-Worker-Aufrufe und Größen-/Typprüfung bei Medienverarbeitung.

Wir speichern personenbezogene Daten so lange, wie es für Konto und angeforderte Funktionen, Sicherheit, Abrechnung/Buchhaltung, Streitbeilegung, gesetzliche Pflichten und Lifecycle-/Exportprozesse erforderlich ist. Einige Token und Sitzungen haben definierte Ablaufzeiten; bestimmte Aktivitäts-/Auditdaten werden durch geplante Lifecycle-Prozesse archiviert oder gelöscht.

Werkzeuge für Nutzerdatenexport und Lifecycle-/Löschprozesse bestehen, einschließlich Archivablauf und kontrollierter Bereinigung. Einige neuere Abrechnungs-, Organisations- und medienbezogene Datensätze können jedoch zusätzliche Prüfung erfordern, bevor ein konkreter Zeitplan für eine vollständige physische Löschung zugesagt werden kann. Anfragen zu Auskunft, Export, Berichtigung oder Löschung können an [email protected] gesendet werden.

Je nach Funktion erfolgt die Verarbeitung zur Vertragserfüllung oder für vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO), aufgrund berechtigter Interessen wie Sicherheit und Betrieb des Dienstes (Art. 6 Abs. 1 lit. f DSGVO), aufgrund gesetzlicher Pflichten wie Buchhaltung oder Compliance (Art. 6 Abs. 1 lit. c DSGVO) oder auf Grundlage einer Einwilligung, soweit optionale Speicherung oder Kommunikation dies erfordert (Art. 6 Abs. 1 lit. a DSGVO).

Ihnen können Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) zustehen. Zudem haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig für den Sitz des Verantwortlichen ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), baden-wuerttemberg.datenschutz.de.

KI-Generierungsfunktionen erstellen automatisiert Medien oder Texte auf Grundlage Ihrer Eingaben. Diese Funktionen sind nicht dazu bestimmt, automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO zu treffen. Credit-Prüfungen, Rate Limits, Betrugsschutz und administrative Sicherheitsprüfungen sind regelbasierte betriebliche Kontrollen für die Nutzung des Dienstes.

Wir können diese Datenschutzerklärung aktualisieren, wenn sich Dienst, Anbieter, Datenflüsse oder rechtliche Anforderungen ändern. Die aktuelle Fassung ist auf dieser Seite verfügbar.

Stand: 3. Mai 2026