# Datenschutzerklärung

Gemäß Art. 13 und Art. 14 DSGVO · Stand: April 2026

## 1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) und sonstiger datenschutzrechtlicher Bestimmungen ist:

**Agentur 4zu5**
Herzog-Friedrich-Straße 28
A-6020 Innsbruck, Österreich

- E-Mail: kontakt@4zu5.at
- Website: https://4zu5.at

Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO derzeit nicht verpflichtend. Für Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

## 2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

- die Website https://kissavatar.com sowie sämtliche Subdomains und nachfolgende Domains
- die SaaS-Plattform KISS zur Erstellung von KI-generierten Avatar-Videos
- die Kommunikation per E-Mail, Kontaktformular, Telefon und Demo-Calls
- den Studio-Dreh zur Erstellung von KI-Avataren (Digital Twins)
- das Video-Hosting und die Bereitstellung von Share-Links

Soweit auf unserer Website Links zu Websites Dritter enthalten sind, übernehmen wir für deren Datenschutzpraktiken keine Verantwortung.

## 3. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich in Übereinstimmung mit den Grundsätzen des Art. 5 DSGVO:

- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung – Erhebung nur für festgelegte, eindeutige und legitime Zwecke
- Datenminimierung – dem Zweck angemessen und auf das notwendige Maß beschränkt
- Richtigkeit – sachlich richtig und erforderlichenfalls auf dem neuesten Stand
- Speicherbegrenzung – nur so lange gespeichert, wie für den Zweck erforderlich
- Integrität und Vertraulichkeit – angemessene Sicherheit durch technische und organisatorische Maßnahmen

## 4. Rechtsgrundlagen der Verarbeitung

| Rechtsgrundlage | DSGVO-Artikel | Anwendungsfälle |
|---|---|---|
| Vertragserfüllung | Art. 6 Abs. 1 lit. b | Bereitstellung des Dienstes, Avatar-Erstellung, Video-Hosting, Abrechnung |
| Einwilligung | Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a | Biometrische Daten (Stimme, Gesicht), Newsletter, Cookies, Launch-Zugang-Formular |
| Berechtigtes Interesse | Art. 6 Abs. 1 lit. f | Website-Analyse, IT-Sicherheit, Betrugsprävention, Direktwerbung an Bestandskunden |
| Rechtliche Verpflichtung | Art. 6 Abs. 1 lit. c | Steuerliche Aufbewahrungspflichten, EU AI Act Dokumentation, behördliche Anfragen |

## 5. Datenverarbeitung beim Besuch der Website

### 5.1 Server-Logfiles

Beim Aufruf unserer Website werden automatisch folgende Daten durch den Webserver (Vercel Inc.) erhoben: IP-Adresse (anonymisiert), Datum und Uhrzeit des Zugriffs, aufgerufene Seite, HTTP-Statuscode, Referrer-URL, Browser und Betriebssystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden nach 30 Tagen automatisch gelöscht und nicht mit anderen Datenquellen zusammengeführt.

### 5.2 Hosting über Vercel

Unsere Website wird über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, gehostet. Vercel verarbeitet die in Ziffer 5.1 genannten Daten als Auftragsverarbeiter. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO). Ergänzend bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

**Hinweis:** Das Hosting der Website über Vercel ist von der Speicherung der Videodaten und Avatar-Modelle zu unterscheiden. Letztere werden ausschließlich auf Servern in Österreich verarbeitet und gespeichert (siehe Ziffer 8).

### 5.3 Launch-Zugang / Kontaktformular

Wenn Sie über das Formular auf unserer Website Ihren Launch-Zugang sichern, verarbeiten wir Ihre E-Mail-Adresse (Pflichtfeld). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Bei Widerruf der Einwilligung werden die Daten unverzüglich gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

### 5.4 Demo-Calls

Für die Buchung und Durchführung von Demo-Calls verarbeiten wir Name, E-Mail-Adresse, Telefonnummer, Unternehmen und Position sowie Inhalte des Gesprächs. Keine automatische Aufzeichnung ohne gesonderte Einwilligung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

## 6. Cookies und Tracking-Technologien

Unsere Website verwendet technisch notwendige Cookies, die für den Betrieb der Website erforderlich sind. Darüber hinaus setzen wir Cookies nur mit Ihrer ausdrücklichen Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 165 Abs. 3 TKG 2021).

### 6.1 Technisch notwendige Cookies

Diese Cookies sind für den grundlegenden Betrieb der Website erforderlich und können nicht deaktiviert werden. Speicherdauer: Sitzung oder bis zu 12 Monate.

### 6.2 Analyse- und Marketing-Cookies

Werden nur nach ausdrücklicher Einwilligung über unser Cookie-Banner gesetzt. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

## 7. Datenverarbeitung bei Nutzung der KISS-Plattform

### 7.1 Kontodaten

Bei der Registrierung und Nutzung der Plattform verarbeiten wir Name, E-Mail-Adresse, Unternehmen, Rechnungsadresse, Zugangsdaten (Passwort gehasht), Rolle im Freigabe-Workflow und Nutzungsdaten (Credit-Verbrauch, erstellte Videos, Login-Zeitpunkte). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

### 7.2 Texteingaben und Skripte

Die vom Kunden eingegebenen Texte und Skripte werden ausschließlich zum Zweck der Videoerstellung verarbeitet. Eine Nutzung zu Trainingszwecken der zugrundeliegenden KI-Modelle findet nicht statt. Texte werden nach Erstellung des Videos für die Vertragslaufzeit auf Servern in Österreich gespeichert und nach Vertragsende gemäß den AGB gelöscht.

### 7.3 Videodaten

Fertiggestellte KI-generierte Videos werden ausschließlich auf Servern in Österreich gehostet und gesichert, mit Content Credentials (C2PA) gekennzeichnet und über Share-Links zugänglich gemacht. 30 Tage nach Vertragsende für Download bereitgestellt, anschließend gelöscht.

## 8. Verarbeitung biometrischer Daten (KI-Avatar-Erstellung)

Die Erstellung eines KI-Avatars (Digital Twin) erfordert die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO.

### 8.1 Erhobene Daten

- Videoaufnahme des Gesichts (Gesichtsgeometrie, Mimik, Lippenbewegungen)
- Audioaufnahme der Stimme (Stimmcharakteristik, Tonlage, Sprachrhythmus)
- daraus abgeleitete biometrische Modelle für die KI-basierte Synthese

### 8.2 Zweck und Rechtsgrundlage

Zweck: Ausschließlich die Erstellung und der Betrieb des KI-Avatars zur Videoerstellung im Rahmen des Vertrags. Die biometrischen Daten werden nicht für Identifizierungszwecke oder andere Zwecke verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Die Einwilligung wird vor dem Studio-Dreh schriftlich eingeholt. Die Einwilligung ist jederzeit widerrufbar. Ein Widerruf hat die Löschung des KI-Avatar-Modells zur Folge.

### 8.3 Speicherung und Löschung

- **Studio-Rohmaterial:** Löschung nach Erstellung des Avatar-Modells, spätestens nach 30 Tagen
- **KI-Avatar-Modell:** Speicherung für die Vertragslaufzeit, Löschung 90 Tage nach Vertragsende
- **Backup-Kopien:** Entfernung innerhalb von 30 Tagen nach Löschung des Primärmodells

### 8.4 Virtuelle Sprecher

Bei der Erstellung virtueller Sprecher werden keine biometrischen Daten im Sinne des Art. 9 DSGVO verarbeitet. Es werden synthetische Gesichter und Stimmen verwendet, die keiner identifizierbaren Person zuzuordnen sind.

## 9. Transparenz gemäß EU AI Act

KISS ist ein KI-System im Sinne der Verordnung (EU) 2024/1689 (EU AI Act). Im Sinne der Transparenzpflichten gemäß Art. 50 EU AI Act:

- **Kennzeichnung:** Sämtliche Videos werden automatisch mit Content Credentials (C2PA) als KI-generierte synthetische Inhalte gekennzeichnet
- **KI-Technologie:** Text-to-Video-Synthese, Lip-Sync-Technologie, Sprach-Übersetzung
- **Human Oversight:** Menschlicher Freigabe-Workflow vor Veröffentlichung
- **Keine Echtzeit-Biometrie:** Keine biometrische Echtzeit-Fernidentifizierung gemäß Art. 5 EU AI Act
- **Dokumentation:** Aufzeichnungen gemäß Art. 12 und Art. 53 EU AI Act

## 10. Empfänger und Auftragsverarbeiter

| Empfänger | Zweck | Standort | Garantie |
|---|---|---|---|
| Hosting-Provider (Video/Avatar) | Speicherung Videos, Avatare, Plattformdaten | Österreich | AVV gem. Art. 28 DSGVO |
| Vercel Inc. | Website-Hosting | USA | EU-US Data Privacy Framework + SCC |
| KI-Technologieanbieter | Avatar-Erstellung, Sprachsynthese | EU/EWR | AVV + ggf. SCC |
| Zahlungsdienstleister | Abrechnung und Rechnungsstellung | EU/EWR | AVV gem. Art. 28 DSGVO |
| E-Mail-Dienst | Versand von Transaktions-E-Mails | EU/EWR | AVV gem. Art. 28 DSGVO |
| Steuerberater / Behörden | Steuerliche Pflichten, behördl. Anfragen | Österreich | Gesetzliche Verpflichtung |

Mit sämtlichen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.

## 11. Datenübermittlung in Drittländer

Grundsätzlich werden sämtliche Videodaten, Avatar-Modelle und Kundendaten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet, konkret auf Servern in Österreich.

Soweit im Rahmen des Website-Hostings (Vercel) eine Datenübermittlung in die USA erfolgt, geschieht dies auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO (EU-US Data Privacy Framework), der Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO und ergänzender technischer Maßnahmen.

## 12. Rechte der betroffenen Personen

| Recht | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Auskunft | Art. 15 DSGVO | Auskunft über verarbeitete Daten |
| Berichtigung | Art. 16 DSGVO | Berichtigung unrichtiger Daten |
| Löschung | Art. 17 DSGVO | Löschung Ihrer Daten (mit Aufbewahrungs-Vorbehalten) |
| Einschränkung | Art. 18 DSGVO | Einschränkung der Verarbeitung |
| Datenübertragbarkeit | Art. 20 DSGVO | Datenexport in maschinenlesbarem Format |
| Widerspruch | Art. 21 DSGVO | Widerspruch bei berechtigten Interessen |
| Widerruf der Einwilligung | Art. 7 Abs. 3 DSGVO | Widerruf für die Zukunft |

Zur Ausübung Ihrer Rechte: kontakt@4zu5.at

Bearbeitung innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO).

## 13. Beschwerderecht bei der Aufsichtsbehörde

Zuständige Aufsichtsbehörde in Österreich:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 521 52-2569
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

## 14. Speicherdauer

| Datenkategorie | Speicherdauer | Grundlage |
|---|---|---|
| Kontaktanfragen / Launch-Zugang | 6 Monate nach Bearbeitung bzw. bis Widerruf | Einwilligung / vorvertragliche Maßnahmen |
| Vertragsdaten (Kontodaten) | Vertragslaufzeit + 7 Jahre | BAO § 132 |
| Rechnungsdaten | 7 Jahre ab Ende des Geschäftsjahres | BAO § 132, UGB § 212 |
| Studio-Rohmaterial | Max. 30 Tage nach Avatar-Erstellung | Datenminimierung |
| KI-Avatar-Modell | Vertragslaufzeit + 90 Tage | Vertragserfüllung / Löschpflicht |
| Videodaten | Vertragslaufzeit + 30 Tage | Vertragserfüllung / Löschpflicht |
| Server-Logfiles | 30 Tage | Berechtigtes Interesse |
| AI-Act-Dokumentation | 10 Jahre nach Ende der Bereitstellung | Art. 12 / Art. 53 EU AI Act |

## 15. Technische und organisatorische Maßnahmen (TOMs)

- **Zutrittskontrolle:** Zugangsgesicherte Serverräume in Österreich, Zutrittsbeschränkungen bei Studio-Räumlichkeiten
- **Zugangskontrolle:** Passwortrichtlinien, Multi-Faktor-Authentifizierung (MFA), rollenbasiertes Berechtigungskonzept (RBAC), automatische Sessiontimeouts
- **Übertragungskontrolle:** TLS 1.2+, HTTPS für Website und Plattform, verschlüsselte API-Kommunikation
- **Eingabekontrolle:** Audit-Logging, revisionssicheres Protokoll des Freigabe-Workflows, nachvollziehbare Versionierung
- **Verfügbarkeitskontrolle:** Geo-redundante Backups innerhalb Österreichs, Notfallpläne und Disaster-Recovery-Konzepte
- **Trennungsgebot:** Logische Trennung der Kundendaten, separate Datenbanken für Produktiv- und Testumgebung

## 16. Auftragsverarbeitung (B2B)

Soweit der Anbieter personenbezogene Daten im Auftrag des Kunden verarbeitet, handelt der Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO. In diesem Fall wird ein gesonderter Auftragsverarbeitungsvertrag (AVV) geschlossen.

## 17. Daten von Minderjährigen

Unser Dienst richtet sich ausschließlich an Unternehmen und nicht an Privatpersonen oder Minderjährige. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.

## 18. Automatisierte Entscheidungsfindung und Profiling

Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-basierte Videogenerierung ist ein automatisierter Produktionsprozess, der keine Entscheidungen über natürliche Personen trifft.

## 19. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand April 2026. Wir behalten uns vor, sie an geänderte Rechtslagen oder technische Änderungen anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website abrufbar.

Innsbruck, April 2026
Agentur 4zu5 · Innsbruck, Österreich