Wie realistisch sieht der KI-Avatar aus?

KISS erstellt hochrealistische Avatare auf Basis eines professionellen Studio-Drehs oder als exklusiv designten virtuellen Sprecher. Die Lip-Sync-Technologie und der Mimic-Effekt sorgen für natürliche Gesichtsbewegungen.

Wo werden die Videos gespeichert?

Alle Videodaten und Avatar-Modelle werden ausschließlich auf Servern in Österreich gehostet und gesichert. DSGVO-konform, kein Transfer in Drittländer.

Kann jemand unbefugt Videos in unserem Namen erstellen?

Nein. Der Human-in-the-Loop-Freigabe-Workflow stellt sicher, dass kein Video ohne ausdrückliche Freigabe durch eine autorisierte Person veröffentlicht wird.

Was passiert, wenn wir mehr als 100 Credits pro Monat brauchen?

Bei steigendem Bedarf können zusätzliche Credits flexibel dazugebucht werden oder ein Wechsel auf ein höheres Paket erfolgen. Ungenutzte Credits verfallen nicht innerhalb des laufenden Pakets.

Was passiert, wenn wir kündigen?

Nach Vertragsende haben Sie 30 Tage Zeit, Ihre Videos herunterzuladen. Das Avatar-Modell wird innerhalb von 90 Tagen unwiderruflich gelöscht.

Wie schnell sind wir einsatzbereit?

Nach dem einmaligen Studio-Termin (ca. 2 Stunden) ist Ihr Avatar in 5–7 Werktagen einsatzbereit. Ab dann: Text eingeben, Video erhalten – in ca. 5 Minuten.

Ist KISS EU AI Act konform?

Ja. Alle Videos werden automatisch mit Content Credentials (C2PA) als KI-generierter Inhalt gekennzeichnet. Der Human-in-the-Loop-Workflow gewährleistet menschliche Kontrolle gemäß Art. 14 EU AI Act.

Die einmalige Setup-Fee beträgt EUR 2.995 netto pro Avatar. Danach EUR 495 netto pro Avatar und Monat bei 12 Monaten Mindestlaufzeit, inkl. 100 Credits (1 Credit = 5 Sek. Video, ca. 16 Videos à 30 Sek.). Alle Preise zzgl. 20% USt.

Datenschutzerklärung

gemäß Art. 13 und Art. 14 DSGVO · Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Agentur 4zu5
Herzog-Friedrich-Straße 28
A-6020 Innsbruck, Österreich

E-Mail: kontakt@4zu5.at
Website: https://4zu5.at

Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO derzeit nicht verpflichtend. Für Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

die Website https://kissavatar.com/ sowie sämtliche Subdomains und nachfolgende Domains;
die SaaS-Plattform KISS zur Erstellung von KI-generierten Avatar-Videos;
die Kommunikation per E-Mail, Kontaktformular, Telefon und Demo-Calls;
den Studio-Dreh zur Erstellung von KI-Avataren (Digital Twins);
das Video-Hosting und die Bereitstellung von Share-Links.

Soweit auf unserer Website Links zu Websites Dritter enthalten sind, übernehmen wir für deren Datenschutzpraktiken keine Verantwortung.

3. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich in Übereinstimmung mit den Grundsätzen des Art. 5 DSGVO:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz;
Zweckbindung – Erhebung nur für festgelegte, eindeutige und legitime Zwecke;
Datenminimierung – dem Zweck angemessen und auf das notwendige Maß beschränkt;
Richtigkeit – sachlich richtig und erforderlichenfalls auf dem neuesten Stand;
Speicherbegrenzung – nur so lange gespeichert, wie für den Zweck erforderlich;
Integrität und Vertraulichkeit – angemessene Sicherheit durch technische und organisatorische Maßnahmen.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

Rechtsgrundlage	DSGVO-Artikel	Anwendungsfälle
Vertragserfüllung	Art. 6 Abs. 1 lit. b	Bereitstellung des Dienstes, Avatar-Erstellung, Video-Hosting, Abrechnung
Einwilligung	Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a	Biometrische Daten (Stimme, Gesicht), Newsletter, Cookies, Launch-Zugang-Formular
Berechtigtes Interesse	Art. 6 Abs. 1 lit. f	Website-Analyse, IT-Sicherheit, Betrugsprävention, Direktwerbung an Bestandskunden
Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c	Steuerliche Aufbewahrungspflichten, EU AI Act Dokumentation, behördliche Anfragen

5. Datenverarbeitung beim Besuch der Website

5.1 Server-Logfiles

Beim Aufruf unserer Website werden automatisch folgende Daten durch den Webserver (Vercel Inc.) erhoben:

IP-Adresse des zugreifenden Geräts (anonymisiert);
Datum und Uhrzeit des Zugriffs;
aufgerufene Seite/Datei und übertragene Datenmenge;
HTTP-Statuscode;
Referrer-URL (zuvor besuchte Seite);
verwendeter Browser und Betriebssystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs und der IT-Sicherheit). Die Daten werden nach 30 Tagen automatisch gelöscht und nicht mit anderen Datenquellen zusammengeführt.

5.2 Hosting über Vercel

Unsere Website wird über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Vercel verarbeitet die in Ziffer 5.1 genannten Daten als Auftragsverarbeiter. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO). Ergänzend bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

Hinweis: Das Hosting der Website über Vercel ist von der Speicherung der Videodaten und Avatar-Modelle zu unterscheiden. Letztere werden ausschließlich auf Servern in Österreich verarbeitet und gespeichert (siehe Ziffer 8).

5.3 Launch-Zugang / Kontaktformular

Wenn Sie über das Formular auf unserer Website Ihren Launch-Zugang sichern, verarbeiten wir:

E-Mail-Adresse (Pflichtfeld).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Zusendung von Informationen zum Launch; Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), soweit dies zur Bearbeitung Ihrer Anfrage erforderlich ist. Die Daten werden für die Dauer der Bearbeitung und anschließend für die Dauer der gesetzlichen Aufbewahrungsfristen gespeichert. Bei Widerruf der Einwilligung werden die Daten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5.4 Demo-Calls

Für die Buchung und Durchführung von Demo-Calls verarbeiten wir:

Name, E-Mail-Adresse, ggf. Telefonnummer;
Unternehmen und Position;
Inhalte des Gesprächs (keine automatische Aufzeichnung ohne gesonderte Einwilligung).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

6. Cookies und Tracking-Technologien

Unsere Website verwendet technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Darüber hinaus setzen wir Cookies nur mit Ihrer ausdrücklichen Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 165 Abs. 3 TKG 2021 [Österreich]).

6.1 Technisch notwendige Cookies

Diese Cookies sind für den grundlegenden Betrieb der Website erforderlich und können nicht deaktiviert werden. Sie dienen der Sessionverwaltung, Sicherheit und Grundfunktionalität.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Speicherdauer: Sitzung (Session-Cookies) oder bis zu 12 Monate.

6.2 Analyse- und Marketing-Cookies

Analyse- und Marketing-Cookies werden nur nach ausdrücklicher Einwilligung über unser Cookie-Banner (Consent Management) gesetzt. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7. Datenverarbeitung bei Nutzung der KISS-Plattform

7.1 Kontodaten

Bei der Registrierung und Nutzung der Plattform verarbeiten wir:

Name, E-Mail-Adresse, Unternehmen, Rechnungsadresse;
Zugangsdaten (Passwort in gehashter Form);
Rolle im Freigabe-Workflow (Administrator, Freigeber, Ersteller);
Nutzungsdaten (Credit-Verbrauch, erstellte Videos, Login-Zeitpunkte).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 Texteingaben und Skripte

Die vom Kunden eingegebenen Texte und Skripte werden ausschließlich zum Zweck der Videoerstellung verarbeitet. Eine Nutzung zu Trainingszwecken der zugrundeliegenden KI-Modelle findet nicht statt. Texte werden nach Erstellung des Videos für die Vertragslaufzeit auf Servern in Österreich gespeichert und nach Vertragsende gemäß den AGB gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.3 Videodaten

Fertiggestellte KI-generierte Videos werden:

ausschließlich auf Servern in Österreich gehostet und gesichert;
mit Content Credentials (C2PA) als KI-generierter Inhalt gekennzeichnet;
über Share-Links zugänglich gemacht, die vom Kunden gesteuert werden;
30 Tage nach Vertragsende für den Download bereitgestellt und anschließend gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Verarbeitung biometrischer Daten (KI-Avatar-Erstellung)

Die Erstellung eines KI-Avatars (Digital Twin) erfordert die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO.

8.1 Erhobene Daten

Videoaufnahme des Gesichts (Gesichtsgeometrie, Mimik, Lippenbewegungen);
Audioaufnahme der Stimme (Stimmcharakteristik, Tonlage, Sprachrhythmus);
daraus abgeleitete biometrische Modelle für die KI-basierte Synthese.

8.2 Zweck und Rechtsgrundlage

Zweck: Ausschließlich die Erstellung und der Betrieb des KI-Avatars zur Videoerstellung im Rahmen des Vertrags. Die biometrischen Daten werden nicht für Identifizierungszwecke oder andere Zwecke verwendet.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die allgemeine Datenverarbeitung;
Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) für die Verarbeitung biometrischer Daten.

Die Einwilligung wird vor dem Studio-Dreh schriftlich eingeholt und umfasst eine detaillierte Information über Art, Umfang und Zweck der Verarbeitung. Die Einwilligung ist jederzeit widerrufbar (siehe Ziffer 12). Ein Widerruf hat die Löschung des KI-Avatar-Modells zur Folge.

8.3 Speicherung und Löschung

Studio-Rohmaterial (Video/Audio): Wird nach Erstellung des Avatar-Modells und Freigabe durch den Kunden gelöscht, spätestens nach 30 Tagen;
KI-Avatar-Modell: Wird für die Vertragslaufzeit auf Servern in Österreich gespeichert. Nach Vertragsende wird das Modell innerhalb von 90 Tagen unwiderruflich gelöscht;
Backup-Kopien: Werden innerhalb von 30 Tagen nach Löschung des Primärmodells aus allen Backup-Systemen entfernt.

8.4 Virtuelle Sprecher

Bei der Erstellung virtueller Sprecher (keine reale Person) werden keine biometrischen Daten im Sinne des Art. 9 DSGVO verarbeitet. Es werden synthetische Gesichter und Stimmen verwendet, die keiner identifizierbaren Person zuzuordnen sind.

9. Transparenz gemäß EU AI Act

KISS ist ein KI-System im Sinne der Verordnung (EU) 2024/1689 (EU AI Act). Im Sinne der Transparenzpflichten gemäß Art. 50 EU AI Act informieren wir wie folgt:

Kennzeichnung: Sämtliche durch KISS erstellten Videos werden automatisch mit Content Credentials (C2PA-Standard) als KI-generierte synthetische Inhalte gekennzeichnet;
KI-Technologie: Die Plattform nutzt KI-basierte Text-to-Video-Synthese, Lip-Sync-Technologie und Sprach-Übersetzung;
Human Oversight: Jedes Video durchläuft einen menschlichen Freigabe-Workflow, bevor es veröffentlicht wird;
Keine Echtzeit-Biometrie: Es findet keine biometrische Echtzeit-Fernidentifizierung im Sinne des Art. 5 EU AI Act statt;
Dokumentation: Der Anbieter führt Aufzeichnungen gemäß Art. 12 und Art. 53 EU AI Act.

10. Empfänger und Auftragsverarbeiter

Personenbezogene Daten werden an folgende Kategorien von Empfängern übermittelt:

Empfänger	Zweck	Standort	Garantie
Hosting-Provider (Video/Avatar)	Speicherung Videos, Avatare, Plattformdaten	Österreich	AVV gem. Art. 28 DSGVO
Vercel Inc.	Website-Hosting	USA	EU-US Data Privacy Framework + SCC
KI-Technologieanbieter	Avatar-Erstellung, Sprachsynthese	EU/EWR	AVV + ggf. SCC
Zahlungsdienstleister	Abrechnung und Rechnungsstellung	EU/EWR	AVV gem. Art. 28 DSGVO
E-Mail-Dienst	Versand von Transaktions-E-Mails	EU/EWR	AVV gem. Art. 28 DSGVO
Steuerberater / Behörden	Steuerliche Pflichten, behördl. Anfragen	Österreich	Gesetzliche Verpflichtung

Mit sämtlichen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen. Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet.

11. Datenübermittlung in Drittländer

Grundsätzlich werden sämtliche Videodaten, Avatar-Modelle und Kundendaten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet, konkret auf Servern in Österreich.

Soweit im Rahmen des Website-Hostings (Vercel) oder einzelner Subauftragsverarbeiter eine Datenübermittlung in die USA erfolgt, geschieht dies auf folgender Grundlage:

Angemessenheitsbeschluss gemäß Art. 45 DSGVO (EU-U.S. Data Privacy Framework), sofern der Empfänger zertifiziert ist;
Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO;
ergänzende technische Maßnahmen (Verschlüsselung, Pseudonymisierung) gemäß den Empfehlungen des EDSA.

Eine Übermittlung in andere Drittländer findet nicht statt.

12. Rechte der betroffenen Personen

Ihnen stehen gemäß DSGVO folgende Rechte zu:

Recht	Rechtsgrundlage	Erläuterung
Auskunft	Art. 15 DSGVO	Sie können Auskunft über Ihre verarbeiteten Daten verlangen.
Berichtigung	Art. 16 DSGVO	Sie können die Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
Löschung	Art. 17 DSGVO	Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung	Art. 18 DSGVO	Sie können die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit	Art. 20 DSGVO	Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
Widerspruch	Art. 21 DSGVO	Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
Widerruf der Einwilligung	Art. 7 Abs. 3 DSGVO	Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@4zu5.at

Wir werden Anfragen unverzüglich, in jedem Fall innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO).

13. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde in Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 521 52-2569
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

14. Speicherdauer

Datenkategorie	Speicherdauer	Grundlage
Kontaktanfragen / Launch-Zugang	6 Monate nach Bearbeitung bzw. bis Widerruf	Einwilligung / vorvertragliche Maßnahmen
Vertragsdaten (Kontodaten)	Vertragslaufzeit + 7 Jahre	BAO § 132
Rechnungsdaten	7 Jahre ab Ende des Geschäftsjahres	BAO § 132, UGB § 212
Studio-Rohmaterial	Max. 30 Tage nach Avatar-Erstellung	Datenminimierung
KI-Avatar-Modell	Vertragslaufzeit + 90 Tage	Vertragserfüllung / Löschpflicht
Videodaten	Vertragslaufzeit + 30 Tage	Vertragserfüllung / Löschpflicht
Server-Logfiles	30 Tage	Berechtigtes Interesse
AI-Act-Dokumentation	10 Jahre nach Ende der Bereitstellung	Art. 12 / Art. 53 EU AI Act

15. Technische und organisatorische Maßnahmen (TOMs)

Wir setzen folgende Maßnahmen gemäß Art. 32 DSGVO ein:

Zutrittskontrolle: Zugangsgesicherte Serverräume in Österreich; Zutrittsbeschränkungen bei Studio-Räumlichkeiten.
Zugangskontrolle: Passwortrichtlinien, Multi-Faktor-Authentifizierung (MFA), rollenbasiertes Berechtigungskonzept (RBAC), automatische Sessiontimeouts.
Übertragungskontrolle: TLS 1.2 oder höher; HTTPS für Website und Plattform; verschlüsselte API-Kommunikation.
Eingabekontrolle: Audit-Logging, revisionssicheres Protokoll des Freigabe-Workflows, nachvollziehbare Versionierung.
Verfügbarkeitskontrolle: Geo-redundante Backups innerhalb Österreichs; Notfallpläne und Disaster-Recovery-Konzepte.
Trennungsgebot: Logische Trennung der Kundendaten; separate Datenbanken für Produktiv- und Testumgebung.

16. Auftragsverarbeitung (B2B)

Soweit der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet, handelt der Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO. In diesem Fall wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) geschlossen.

17. Daten von Minderjährigen

Unser Dienst richtet sich ausschließlich an Unternehmen und nicht an Privatpersonen oder Minderjährige. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.

18. Automatisierte Entscheidungsfindung und Profiling

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-basierte Videogenerierung ist ein automatisierter Produktionsprozess, der keine Entscheidungen über natürliche Personen trifft.

19. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand April 2026. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder technische Änderungen anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar.

Innsbruck, April 2026
Agentur 4zu5 · Innsbruck, Österreich