Malbuch
AnmeldenRegistrieren

Datenschutzerklärung

Stand: 2026-04-30

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der im Impressum genannte Betreiber von Malbuch. Die dort angegebene E-Mail-Adresse ist zugleich die zentrale Kontaktadresse für Datenschutzanfragen.

2. Kurzüberblick

Malbuch ist eine Web-App, mit der Eltern für ihre Kinder KI-gestützte Ausmalbilder erstellen, speichern, drucken und verwalten können. Kinder erhalten kein eigenes Konto; Kinderprofile werden ausschließlich unter dem Elternkonto geführt.

Wir verarbeiten personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Abrechnung, gesetzliche Pflichten, freiwillige Kommunikation oder ausdrücklich gewünschte Funktionen erforderlich ist.

3. Datenkategorien

  • Konto- und Profildaten: E-Mail-Adresse, Name, Sprache, Login-Status, technische Konto-IDs, Zeitstempel und verschlüsselt bzw. gehasht gespeicherte Authentifizierungsdaten.
  • Kinderprofile: Anzeigename, Altersgruppe, Avatar, ausgewählte Interessen, Sicherheits- und Profileinstellungen. Es werden keine eigenen Kinder-Accounts angelegt.
  • Erstellungsdaten: Bildwünsche, Themen, Stil-/Formatangaben, generierte Ausmalbilder, ausgewählte Varianten, Speicherstatus, Druck-/PDF-Ereignisse und Nutzungszähler.
  • Foto-Funktion: hochgeladene Ausgangsfotos, Dateityp und daraus abgeleitete neutrale Motivbeschreibung. Das Originalfoto wird nach Abschluss oder Fehlschlag der Generierung wieder gelöscht; das erzeugte Ausmalbild bleibt nach deiner Auswahl gespeichert.
  • Zahlungs- und Vertragsdaten: Tarif, Abo-Status, Stripe-Kunden-ID, Transaktions-/Rechnungsstatus und steuerlich/vertraglich relevante Nachweise. Vollständige Kartendaten verarbeiten wir nicht selbst.
  • Kommunikationsdaten: E-Mail-Präferenzen, Double-Opt-In-Status, Abmelde-Tokens, Versandprotokolle und Inhalte notwendiger Konto-, Sicherheits- oder Service-Mails.
  • Technische Daten: IP-Adresse, Gerät-/Browserdaten, Request-Metadaten, Fehler- und Sicherheitslogs, Rate-Limit- und Moderationsereignisse sowie cookielose Seitenaufrufstatistiken.

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung der App: Art. 6 Abs. 1 lit. b DSGVO für Registrierung, Login, Kinderprofile, Erstellung, Speicherung, Druck/PDF und Kontoverwaltung.
  • Abrechnung und gesetzliche Pflichten: Art. 6 Abs. 1 lit. b und c DSGVO für Zahlungen, Rechnungs-/Steuerpflichten, Widerrufs-/Vertragsnachweise und Missbrauchsnachweise.
  • Sicherheit und Missbrauchsschutz: Art. 6 Abs. 1 lit. f DSGVO für Logs, Rate Limits, Moderation, Eltern-PIN, Gerätevertrauen und Betrugsprävention.
  • Optionale E-Mails: Art. 6 Abs. 1 lit. a DSGVO auf Basis deiner Einwilligung. Du kannst diese Einwilligung jederzeit in den E-Mail-Einstellungen oder über Abmeldelinks widerrufen.
  • Produktanalyse: Art. 6 Abs. 1 lit. f DSGVO für cookielose Reichweitenmessung und Stabilitätsanalyse, soweit keine Einwilligung erforderlich ist.

5. Hosting, Datenbank und Speicher

Die Web-App wird über Vercel bereitgestellt. Authentifizierung, Datenbank, private Bildspeicher, Realtime-Statusupdates und einzelne Hintergrundfunktionen laufen über Supabase. Inhalte im privaten Speicher werden grundsätzlich nur authentifizierten Elternkonten bzw. serverseitigen Prozessen zugänglich gemacht; Bilder werden bei Bedarf über zeitlich begrenzte signierte URLs ausgeliefert.

6. KI-Verarbeitung

Für Moderation, Bildbeschreibung und Bildgenerierung werden deine Eingaben, ausgewählte Kontextdaten wie Altersgruppe/Stil und bei der Foto-Funktion vorübergehend das Ausgangsfoto an KI-Dienste über den Vercel AI Gateway übermittelt. Eingesetzte Anbieter können insbesondere OpenAI für Text-/Vision-Aufgaben und Black Forest Labs für Bildgenerierung sein.

Bitte lade keine sensiblen Daten hoch und gib keine Klarnamen, Adressen, Gesundheitsdaten oder vergleichbar vertraulichen Angaben in Bildwünschen ein. Wir konfigurieren die KI-Nutzung so, dass Eingaben nicht zum Training der Anbieter-Modelle verwendet werden, soweit der jeweilige Anbieter dies vertraglich ermöglicht.

7. Kinderdaten und Schutzmaßnahmen

Malbuch richtet sich an Eltern und Erziehungsberechtigte. Kinder nutzen die App nur innerhalb eines vom Elternkonto verwalteten Kinderprofils. Vor dem Einrichten von Kinderprofilen sehen wir eine Elternbestätigung bzw. Erwachsenenprüfung vor. Der Zugriff auf Einstellungen, Abrechnung und Elternbereiche wird durch Eltern-PIN und Gerätevertrauen geschützt.

Freitextwünsche werden vor der Generierung durch Keyword-Filter und KI-gestützte Moderation geprüft. Bei erkannten Risiken wird die Anfrage blockiert und ein Sicherheitsereignis protokolliert. Es gibt keine Werbung in der Kinderansicht und keine verhaltensbasierte Ansprache von Kindern.

8. Cookies, Local Storage und Analytics

Wir setzen technisch notwendige Cookies bzw. vergleichbare lokale Speicher ein, insbesondere für Login-Sitzungen, Spracheinstellungen, Eltern-PIN-/Gerätevertrauen und die Speicherung deiner Cookie-Hinweis-Auswahl. Diese Verarbeitung ist für den sicheren Betrieb erforderlich.

Zusätzlich nutzen wir Vercel Analytics für cookielose Seitenaufrufstatistiken. Dabei können URL, Referrer, Land/Region, Browser-, Betriebssystem- und Geräteinformationen sowie Zeitstempel verarbeitet werden. Wir verwenden keine Marketing-Cookies und keine Drittanbieter-Werbetracker.

9. Zahlungsabwicklung

Zahlungen, Abos, Rechnungen und das Kundenportal werden über Stripe abgewickelt. Stripe verarbeitet Zahlungsdaten je nach Vorgang als Auftragsverarbeiter oder eigener Verantwortlicher. Wir erhalten von Stripe nur Informationen, die zur Vertragsdurchführung erforderlich sind, z. B. Kunden-ID, Abo-Status, Tarif, Zahlungsstatus und Rechnungsreferenzen.

10. E-Mails und Benachrichtigungen

Notwendige Konto-Mails wie Bestätigung, Passwort-Zurücksetzung, Sicherheits- oder Abrechnungsnachrichten senden wir unabhängig von Marketing-Einwilligungen. Tipps, Onboarding-Mails, monatliche Auswertungen und Reaktivierungs-Mails versenden wir nur nach Einwilligung und Double-Opt-In. Jede nicht notwendige E-Mail enthält einen Abmeldelink.

Der konkrete SMTP-/E-Mail-Dienstleister muss vor dem Launch mit dem tatsächlich verwendeten Anbieter, dessen Datenschutzinformationen und Auftragsverarbeitungsvertrag dokumentiert werden.

11. Empfänger und Dienstleister

Wir geben Daten nur weiter, wenn dies für die genannten Zwecke erforderlich ist. Eingesetzte Dienstleister sind insbesondere Vercel (Hosting, Analytics, AI Gateway), Supabase (Auth, Datenbank, Storage, Edge Functions), Stripe (Zahlungen), Google (nur bei Login mit Google), KI-Modellanbieter wie OpenAI und Black Forest Labs sowie der konfigurierte E-Mail-/SMTP-Anbieter.

Mit Auftragsverarbeitern schließen wir, soweit erforderlich, Vereinbarungen nach Art. 28 DSGVO. Bei Übermittlungen in Drittländer stützen wir uns auf Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere zulässige Garantien nach Art. 44 ff. DSGVO.

12. Speicherdauer

  • Konto- und Vertragsdaten speichern wir für die Dauer des Nutzerkontos und anschließend nur, soweit gesetzliche Aufbewahrungsfristen oder berechtigte Nachweise dies erfordern.
  • Nicht gespeicherte generierte Bilder werden automatisiert nach 90 Tagen gelöscht. Gespeicherte Bilder und Kinderprofile bleiben bis zur Löschung durch dich oder bis zur Kontolöschung gespeichert.
  • Originalfotos aus der Foto-Funktion werden nach der Generierung oder bei Fehlern gelöscht.
  • Zahlungs-, Rechnungs- und steuerrelevante Daten können entsprechend handels- und steuerrechtlicher Pflichten bis zu 10 Jahre aufbewahrt werden.
  • Sicherheits-, Moderations-, Versand- und Missbrauchsprotokolle bewahren wir nur so lange auf, wie es für Sicherheit, Nachweis, Fehleranalyse oder Rechtsverteidigung erforderlich ist.

13. Deine Rechte

Du hast nach Maßgabe der DSGVO Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und Widerruf erteilter Einwilligungen (Art. 7 Abs. 3). Außerdem hast du das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Du kannst Kinderprofile und viele Inhalte selbst im Konto verwalten, exportieren oder löschen. Für weitergehende Anfragen kontaktiere uns über die im Impressum genannte Adresse.

14. Automatisierte Entscheidungen

Wir treffen keine automatisierten Entscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Automatisierte Moderation kann einzelne Bildwünsche blockieren, um Kinder- und Plattformschutz sicherzustellen.

15. Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Dienstleister, Rechtslage oder Datenverarbeitungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.