Verbindliche Sprachfassung
Die englische Fassung dieses Dokuments ist die einzig rechtlich gültige und verbindliche Version. Alle nicht englischen Fassungen sind KI-generierte Übersetzungen, die nur der Vereinfachung dienen. Falls eine übersetzte Fassung von der englischen Fassung abweicht, hat die englische Fassung Vorrang.
Diese Datenschutzerklärung beschreibt, wie Erphitea OÜ (handelnd unter dem Namen Katalo), eine in Estland eingetragene private Gesellschaft mit beschränkter Haftung (Reg.-Nr. 17272613, USt-IdNr. EE102940097), Ahtri tn 12, 15551 Tallinn, Estland ("Katalo", "wir", "unser" oder "uns"), Ihre personenbezogenen Daten erhebt, verwendet, speichert und offenlegt, wenn Sie Folgendes nutzen:
- die Katalo-Website unter katalo.ai ("Website")
- die Katalo-Webanwendung ("App")
- den manuellen AI-Virtual-Staging-Service von Katalo ("Manueller Service")
- die Katalo-API ("API")
(zusammen die "Dienste")
Durch den Zugriff auf die Dienste oder deren Nutzung bestätigen Sie, dass Sie diese Datenschutzerklärung gelesen und verstanden haben, und stimmen den hierin beschriebenen Praktiken zu, soweit Einwilligung die anwendbare Rechtsgrundlage ist. Wenn Sie nicht einverstanden sind, nutzen Sie die Dienste bitte nicht.
Diese Datenschutzerklärung ist zusammen mit unseren Allgemeinen Geschäftsbedingungen und unseren Cookie-Richtlinien zu lesen.
1. Wer wir sind (Verantwortlicher)
Für die Zwecke der Datenschutz-Grundverordnung (DSGVO) und der britischen DSGVO ist Erphitea OÜ (handelnd unter dem Namen Katalo) der Verantwortliche für die über die Dienste erhobenen personenbezogenen Daten.
Kontakt:
E-Mail: info@katalo.ai
Telefon: +420 776 309 578
Adresse: Ahtri tn 12, 15551 Tallinn, Estland
Für datenschutzbezogene Anfragen schreiben Sie bitte an info@katalo.ai mit dem Betreff "Privacy Request".
2. Informationen, die wir erheben
2.1 Informationen, die Sie uns direkt mitteilen
| Kategorie | Beispiele | Zeitpunkt der Erhebung |
|---|---|---|
| Identitätsdaten | Vorname, Nachname | Wartelistenformular für frühen Zugang; Kontoerstellung |
| Kontaktdaten | E-Mail-Adresse; Telefonnummer (optional) | Wartelistenformular für frühen Zugang; Kontoerstellung; Support |
| Kontozugangsdaten | Passwort (in gehashter Form gespeichert) | Kontoerstellung |
| Zahlungsdaten | Rechnungsname, Rechnungsadresse, teilweise Kartendaten | Kauf / Abo-Anmeldung |
| Benutzerinhalte | Von Ihnen hochgeladene Immobilienfotos und Bilder | Bei Nutzung der App, des Manuellen Services oder der API |
| Kommunikation | Nachrichten, Feedback, Supportanfragen | Wenn Sie uns kontaktieren |
| Berufliche Daten | Firmenname, Rolle (falls angegeben) | Kontoerstellung oder API-Anmeldung |
Früher Zugang / Warteliste: Das Formular auf katalo.ai erfasst Ihren vollständigen Namen, Ihre E-Mail-Adresse und optional Ihre Telefonnummer, um Sie zu informieren, sobald der Zugang freigeschaltet wird, und um mit Ihnen über die Dienste zu kommunizieren. Die Angabe der Telefonnummer ist freiwillig.
Wichtiger Hinweis zu Zahlungsdaten: Vollständige Zahlungsdaten der Karte (Kartennummer, CVV) werden ausschließlich von Lemon Squeezy (unserem Zahlungsdienstleister / Merchant of Record) erhoben und verarbeitet. Wir speichern keine vollständigen Kartendaten in unseren Systemen.
2.2 Automatisch erhobene Informationen
Wenn Sie die Website besuchen oder die App nutzen, können wir und unsere Dienstleister automatisch Folgendes erfassen:
| Kategorie | Beispiele |
|---|---|
| Nutzungsdaten | Besuchte Seiten, verwendete Funktionen, Verweildauer, Klickmuster |
| Gerätedaten | Browsertyp, Betriebssystem, Bildschirmauflösung, Gerätetyp |
| Netzwerkdaten | IP-Adresse, ungefähre, aus der IP abgeleitete Standortdaten |
| Sitzungsdaten | An- und Abmeldezeiten, Sitzungsdauer |
| Bildinteraktionsdaten | Auswahl von Raumtyp, Stil und Modus, Bewertung der Ausgabequalität |
| Werbe-/Analysedaten | Anzeigenklick-IDs (GCLID), Conversion-IDs, Zielgruppen-Segmente - falls wir Google Ads oder ähnliche Tools später mit Ihrer Einwilligung aktivieren |
Weitere Informationen zu Cookies und ähnlichen Tracking-Technologien finden Sie in unseren Cookie-Richtlinien.
2.3 Technische / System-Logdaten
Wir und unsere Infrastruktur-Anbieter (Vercel, Convex, UploadThing) erfassen automatisch Server-Logs zu Zwecken der Sicherheitsüberwachung, Fehlerdiagnose und Infrastrukturpflege. Dazu gehören IP-Adressen, Zeitstempel, HTTP-Anfragetypen, Fehlercodes und Referrer-URLs. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden nicht für Profiling oder Marketing verwendet.
2.4 Informationen von Dritten
Wir können Informationen über Sie von folgenden Stellen erhalten:
- Lemon Squeezy - Bestätigung des Zahlungsstatus, Transaktions-IDs
- Authentifizierungsanbietern - wenn Sie sich über einen Drittanbieter-SSO-Dienst registrieren, erhalten wir grundlegende Profildaten (Name, E-Mail) von diesem Anbieter
3. Wie wir Ihre Daten verwenden und unsere Rechtsgrundlage (DSGVO)
Die folgende Tabelle zeigt die Zwecke, für die wir personenbezogene Daten verarbeiten, sowie die Rechtsgrundlage nach Art. 6 DSGVO und gegebenenfalls Art. 9 für besondere Kategorien personenbezogener Daten.
| Zweck | Verwendete Daten | Rechtsgrundlage |
|---|---|---|
| Verarbeitung von Wartelistenanmeldungen für frühen Zugang | Identitätsdaten (Name), Kontaktdaten (E-Mail, optionale Telefonnummer) | Einwilligung - Sie senden das Formular freiwillig; Sie können die Einwilligung widerrufen, indem Sie an info@katalo.ai schreiben (Art. 6 Abs. 1 lit. a) |
| Erstellung und Verwaltung Ihres Kontos | Identitätsdaten, Kontaktdaten, Zugangsdaten | Vertrag - erforderlich, um die Dienste bereitzustellen (Art. 6 Abs. 1 lit. b) |
| Bereitstellung der Dienste (App, Manueller Service, API) | Identitätsdaten, Kontaktdaten, Benutzerinhalte (Bilder) | Vertrag - erforderlich, um die Dienste bereitzustellen (Art. 6 Abs. 1 lit. b) |
| Verarbeitung und Verwaltung von Zahlungen und Abonnements | Identitätsdaten, Kontaktdaten, Zahlungsdaten | Vertrag - erforderlich zur Durchführung der Zahlungstransaktion (Art. 6 Abs. 1 lit. b) |
| AI-Verarbeitung hochgeladener Bilder zur Generierung von Staging-Ausgaben | Benutzerinhalte (Bilder) | Vertrag - die Verarbeitung Ihrer Bilder ist der Kernzweck der Dienste (Art. 6 Abs. 1 lit. b) |
| Verbesserung unserer AI-Workflows anhand aggregierter Analysen und Feedback aus der Nutzung | Bildinteraktionsdaten, Nutzungsdaten, aggregierte/anonymisierte Bildmetadaten | Berechtigte Interessen - die Verbesserung der Produktqualität kommt allen Nutzern zugute; wir verwenden Ihre identifizierbaren Bilder nicht zum Training neuer AI-Modelle (Art. 6 Abs. 1 lit. f) |
| Kundensupport und Bearbeitung von Beschwerden | Identitätsdaten, Kontaktdaten, Kommunikation | Vertrag / berechtigte Interessen (Art. 6 Abs. 1 lit. b/f) |
| Versand transaktionaler und servicebezogener E-Mails | Kontaktdaten | Vertrag - erforderlich für die Kommunikation von Service-Updates (Art. 6 Abs. 1 lit. b) |
| Versand von Marketing- und Werbenachrichten | Kontaktdaten | Einwilligung - nur mit Ihrer ausdrücklichen Opt-in-Einwilligung; Sie können diese jederzeit widerrufen (Art. 6 Abs. 1 lit. a) |
| Zielgerichtete Werbung (falls aktiviert) | Kontaktdaten, Nutzungsdaten, Cookie-Daten | Einwilligung - nur wenn wir sie künftig über unseren Consent-Manager aktivieren (Art. 6 Abs. 1 lit. a) |
| Webanalyse und Produktanalyse | Nutzungsdaten, Gerätedaten, Netzwerkdaten | Einwilligung - über das Cookie-Banner, sofern und sobald solche Tools aktiviert werden (Art. 6 Abs. 1 lit. a) |
| Werbemessung & Conversion-Tracking (Google Ads) | Werbedaten, Nutzungsdaten, Cookie-Daten | Einwilligung - falls Google Ads später aktiviert wird; misst, welche Kampagnen zu Anmeldungen führen (Art. 6 Abs. 1 lit. a) |
| Personalisierte Werbung / Remarketing (Google Ads) | Nutzungsdaten, Cookie-Daten, Zielgruppen-Segmente | Einwilligung - falls Google Ads später aktiviert wird; zeigt früheren Besuchern relevante Anzeigen auf Drittplattformen (Art. 6 Abs. 1 lit. a) |
| Verhaltensanalyse und Session Replay (Microsoft Clarity) | Nutzungsdaten, Gerätedaten, Mausbewegungen, Heatmaps | Einwilligung - falls Microsoft Clarity später aktiviert wird; zur Identifikation von UX-Problemen und zur Verbesserung der Dienste (Art. 6 Abs. 1 lit. a) |
| Betrugsprävention und Sicherheit | Identitätsdaten, Netzwerkdaten, Sitzungsdaten | Berechtigte Interessen - Schutz von Nutzern und Diensten (Art. 6 Abs. 1 lit. f) |
| Erfüllung gesetzlicher Pflichten (Steuerunterlagen, behördliche Anfragen) | Identitätsdaten, Zahlungsdaten, Transaktionsdaten | Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) |
| Durchsetzung unserer AGB | Alle relevanten Daten | Berechtigte Interessen (Art. 6 Abs. 1 lit. f) |
Abwägung der berechtigten Interessen: Soweit wir uns auf berechtigte Interessen stützen, haben wir geprüft, dass unsere Interessen Ihre Rechte und Freiheiten nicht überwiegen. Eine Kopie unserer Interessenabwägung können Sie unter info@katalo.ai anfordern.
Keine automatisierte Entscheidungsfindung: Wir führen keine ausschließlich automatisierte Entscheidungsfindung oder Profiling durch, das rechtliche oder ähnlich erhebliche Auswirkungen auf Sie hat, wie in Art. 22 DSGVO beschrieben. Die AI-Verarbeitung Ihrer Bilder erzeugt visuelle Ausgaben auf Ihren ausdrücklichen Wunsch; sie trifft keine Entscheidungen über Sie als Person.
4. AI-Verarbeitung Ihrer Bilder
Wenn Sie Bilder in die Dienste hochladen, werden diese Bilder an Googles AI-Dienste (über Google Cloud / Vertex AI) übertragen, ausschließlich um die von Ihnen angeforderten Staging-Ausgaben zu erzeugen. Die verwendeten Gemini-Modelle umfassen Bildgenerierung und Textmodelle von Google LLC. Wir besitzen oder trainieren diese AI-Modelle nicht - wir nutzen vorhandene Google-Modelle über deren APIs.
Insbesondere:
- Ihre Bilder werden von Google LLC in unserem Auftrag als Auftragsverarbeiter nach DSGVO verarbeitet. Google verarbeitet Bilddaten im Einklang mit dem Cloud Data Processing Addendum und den geltenden SCCs.
- Ihre Bilder werden von Google nicht zum Training allgemeiner AI-Modelle verwendet, soweit unsere API-Bedingungen gelten (die Bedingungen von Google Cloud / Vertex AI verbieten die Nutzung von API-Eingaben für Modelltraining ohne Einwilligung).
- Wir verwenden aggregierte Analysen und Feedback (z. B. welche Ausgaben positiv bewertet wurden, welche Stile am besten funktionierten), um unsere eigene Orchestrierung zu verbessern. Diese Verarbeitung nutzt Metadaten und Interaktionssignale, nicht Ihre Rohbilder in identifizierbarer Form.
- Von Googles Modellen generierte Ausgabebilder werden an Sie zurückgegeben und in unserem Backend (UploadThing von T3 Tools, Inc.) gespeichert, bis Sie sie herunterladen oder Ihr Konto geschlossen wird.
5. Wie wir Ihre Daten weitergeben
Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben sie nur in den folgenden Fällen weiter:
5.1 Dienstleister (Auftragsverarbeiter)
Wir geben Daten an vertrauenswürdige Drittanbieter weiter, die diese in unserem Auftrag und nach unseren Weisungen verarbeiten:
| Anbieter | Zweck | Standort | Schutz |
|---|---|---|---|
| Lemon Squeezy (LS Tech Inc.) | Zahlungsabwicklung / Merchant of Record | USA | SCCs |
| Google LLC (Google Cloud / Vertex AI) | AI-Bildverarbeitung und Staging-Generierung (Gemini-Modelle) | USA | SCCs über Cloud DPA |
| Vercel Inc. | Website- und Domain-Hosting, Edge-Netzwerk | USA | SCCs |
| Convex Inc. | Backend-Infrastruktur, Datenbank, Serverless-Funktionen | USA | SCCs |
| T3 Tools, Inc. (UploadThing) | Speicherung und Auslieferung von Bilddateien | USA | SCCs |
| Google LLC (Google Workspace / Gmail) | Transaktionale und operative E-Mails | USA | SCCs |
| PostHog | Web- und Produktanalyse | USA / EU | Einwilligung + SCCs |
| Zukünftige Google Analytics 4 / Google Ads / Microsoft Clarity-Tools | Webanalyse, Werbemessung oder Verhaltensanalyse, falls diese Tools später aktiviert werden | USA | Einwilligung + SCCs |
5.2 Gesetzliche Anforderungen
Wir können Ihre Daten offenlegen, um geltendes Recht, Verordnungen, gerichtliche Anordnungen oder andere rechtliche Verfahren zu erfüllen oder wenn wir der Ansicht sind, dass dies zum Schutz der Rechte, des Eigentums oder der Sicherheit von Katalo, unseren Nutzern oder der Öffentlichkeit erforderlich ist.
5.3 Durchsetzung
Wir können Informationen offenlegen, um unsere AGB durchzusetzen, vermutete Verstöße zu untersuchen oder auf Behauptungen zu reagieren, dass Ihre Nutzung der Dienste Rechte Dritter verletzt.
5.4 Unternehmensübertragung
Wenn Erphitea OÜ oder Katalo (nach Gründung) an einer Fusion, Übernahme, einem Asset Sale oder einer Umstrukturierung beteiligt ist, können Ihre Daten Teil der übertragenen Vermögenswerte sein. Wir informieren Sie per E-Mail und/oder durch einen gut sichtbaren Hinweis innerhalb der Dienste, bevor Ihre Daten einer anderen Datenschutzerklärung unterliegen.
6. Internationale Datenübermittlungen
Erphitea OÜ hat ihren Sitz in Estland (EU). Wenn wir Ihre personenbezogenen Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln - z. B. an US-Anbieter wie Lemon Squeezy - stellen wir geeignete Garantien sicher, darunter:
- Standardvertragsklauseln (SCCs) der Europäischen Kommission oder
- Angemessenheitsbeschlüsse, wenn das Zielland von der EU als datenschutzrechtlich angemessen anerkannt ist
Informationen zu den konkreten Übermittlungsmechanismen können Sie unter info@katalo.ai anfordern.
7. Datenspeicherung
Wir speichern Ihre personenbezogenen Daten so lange, wie es zur Erfüllung der in dieser Datenschutzerklärung beschriebenen Zwecke erforderlich ist, einschließlich zur Erfüllung gesetzlicher Pflichten, zur Beilegung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen.
| Datentyp | Aufbewahrungsdauer |
|---|---|
| Kontodaten (Identität, Kontakt) | Laufzeit des Kontos + 2 Jahre nach Schließung |
| Zahlungsunterlagen | 7 Jahre (estnische Buchhaltungspflicht) |
| Hochgeladene Bilder (Benutzerinhalte) | Laufzeit des Kontos + 30 Tage nach Schließung; frühere Löschung auf Anfrage möglich |
| AI-Ausgabebilder | Laufzeit des Kontos + 30 Tage oder bis vom Nutzer heruntergeladen und gelöscht |
| Nutzungs-/Analysedaten | Bis zu 24 Monate |
| Support-Kommunikation | 3 Jahre ab Abschluss |
| Einwilligungsnachweise | 3 Jahre ab Widerruf oder Kontoschließung |
Wenn wir Ihre Daten nicht mehr benötigen, löschen oder anonymisieren wir sie sicher. Aggregierte, nicht identifizierbare Daten können unbegrenzt gespeichert werden.
8. Ihre Rechte
8.1 Rechte nach der DSGVO (EWR und Estland)
Wenn Sie sich im EWR befinden, haben Sie nach der DSGVO folgende Rechte:
| Recht | Bedeutung |
|---|---|
| Auskunft (Art. 15) | Eine Kopie der über Sie gespeicherten personenbezogenen Daten anfordern |
| Berichtigung (Art. 16) | Uns bitten, unrichtige oder unvollständige Daten zu korrigieren |
| Löschung / "Recht auf Vergessenwerden" (Art. 17) | Uns bitten, Ihre Daten zu löschen, vorbehaltlich gesetzlicher Aufbewahrungspflichten |
| Einschränkung der Verarbeitung (Art. 18) | Uns bitten, die Verarbeitung unter bestimmten Umständen vorübergehend auszusetzen |
| Datenübertragbarkeit (Art. 20) | Ihre Daten in einem maschinenlesbaren Format erhalten oder an einen anderen Verantwortlichen übertragen lassen |
| Widerspruch gegen die Verarbeitung (Art. 21) | Der auf berechtigten Interessen oder Direktwerbung beruhenden Verarbeitung widersprechen |
| Widerruf der Einwilligung (Art. 7 Abs. 3) | Eine erteilte Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu berühren |
| Beschwerderecht (Art. 77) | Beschwerde bei Ihrer zuständigen Datenschutzaufsichtsbehörde einreichen |
Zur Ausübung dieser Rechte kontaktieren Sie uns unter info@katalo.ai (Betreff: "Data Rights Request"). Wir antworten innerhalb von 30 Tagen oder innerhalb von 3 Monaten bei komplexen Anfragen (wir informieren Sie, falls eine Verlängerung nötig ist).
Estnische Aufsichtsbehörde:
Data Protection Inspectorate (Andmekaitse Inspektsioon - AKI)
Web: aki.ee | E-Mail: info@aki.ee | Telefon: +372 627 4135
8.2 Rechte nach der britischen DSGVO (Vereinigtes Königreich)
Wenn Sie sich im Vereinigten Königreich befinden, haben Sie entsprechende Rechte nach der UK GDPR. Zuständige Aufsichtsbehörde ist:
Information Commissioner's Office (ICO)
Web: ico.org.uk | Telefon: 0303 123 1113
8.3 Rechte nach CCPA / CPRA (Kalifornien, USA)
Wenn Sie in Kalifornien wohnen, haben Sie nach dem California Consumer Privacy Act (CCPA) und dem California Privacy Rights Act (CPRA) folgende Rechte:
- Recht zu erfahren, welche personenbezogenen Daten wir erheben, verwenden, offenlegen und verkaufen
- Recht auf Löschung Ihrer personenbezogenen Daten, vorbehaltlich Ausnahmen
- Recht auf Berichtigung unrichtiger personenbezogener Daten
- Recht, dem Verkauf oder der Weitergabe zu widersprechen
- Recht, die Nutzung sensibler personenbezogener Daten zu beschränken
- Recht auf Nichtdiskriminierung bei Ausübung Ihrer CCPA-Rechte
Wir verkaufen keine personenbezogenen Daten. Wir geben sie nicht ohne Einwilligung für Cross-Context Behavioral Advertising weiter.
Um Ihre CCPA-Rechte auszuüben, kontaktieren Sie uns unter info@katalo.ai. Wir antworten innerhalb von 45 Tagen (verlängerbar um weitere 45 Tage mit Benachrichtigung).
8.4 Widerspruch gegen Direktmarketing
Sie können Marketing-E-Mails jederzeit abbestellen, indem Sie auf den Abmeldelink in einer Marketing-E-Mail klicken oder uns unter info@katalo.ai schreiben. Transaktions- / Service-E-Mails zu Ihrem Konto oder aktiven Abo sind davon nicht betroffen.
9. Cookies und Tracking-Technologien
Wir verwenden Cookies und ähnliche Technologien auf der Website und in der App. Weitere Details - einschließlich der verwendeten Cookie-Kategorien, Drittanbieter-Cookies und der Verwaltung Ihrer Präferenzen - finden Sie in unseren Cookie-Richtlinien.
Nach DSGVO und ePrivacy-Richtlinie werden nicht notwendige Cookies (Analyse, Marketing, Funktionalität) nur mit Ihrer vorherigen Einwilligung gesetzt. Sie können die Einwilligung über unser Cookie-Banner erteilen. Wenn Sie Ihre Auswahl später erneut festlegen möchten, löschen Sie bitte Ihre Browser-Cookies und besuchen Sie die Website erneut, damit das Banner wieder erscheint.
Verwendete Tracking-Tools
Derzeit ist unser Analyse-Setup begrenzt, und nicht notwendige Tools werden nur aktiviert, wenn Sie zustimmen und sie tatsächlich in der Produktion eingeschaltet sind. Künftige Tools werden vor ihrer Nutzung hier und in den Cookie-Richtlinien ergänzt.
10. Sicherheit
Wir setzen technische und organisatorische Maßnahmen ein, die dem Risiko angemessen sind, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung zu schützen. Dazu gehören verschlüsselte Datenübertragung (HTTPS/TLS), gehashte Passwortspeicherung, Zugriffskontrollen und Sicherheitsprüfungen von Dienstleistern.