Privacy Policy
How we handle your data, images, and personal information.
How we handle your data, images, and personal information.
The German version is the legally binding version pursuant to the EU General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG). The English translation is provided for convenience only.
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Philipp Schlüter
Grabbestraße 5
33189 Schlangen
Deutschland
E-Mail: [email protected]
autokeyworder ist eine Chrome-Erweiterung, die mithilfe künstlicher Intelligenz Metadaten (Titel, Schlüsselwörter, Kategorien, Beschreibungen) für Stockfotos und -videos generiert. Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir im Rahmen der Nutzung unseres Dienstes erheben, verarbeiten und speichern.
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes, zur Vertragserfüllung oder aufgrund gesetzlicher Verpflichtungen erforderlich ist.
3.1 Kontodaten
Bei der Registrierung erheben wir Ihre E-Mail-Adresse sowie ein gehashtes Passwort (bei E-Mail-Registrierung) oder ein OAuth-Token (bei Google-Anmeldung). Zusätzlich speichern wir das Datum der Kontoerstellung und eine eindeutige Benutzer-ID.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
3.2 Zahlungsdaten
Zahlungen werden über Stripe, Inc. abgewickelt. Wir selbst speichern keine Kreditkartennummern oder Bankverbindungen. Auf unseren Servern werden lediglich Stripe-Sitzungs-IDs, Transaktionsbeträge und Zeitstempel gespeichert, um Guthabenbuchungen zu dokumentieren.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
3.3 Nutzungsdaten
Wir speichern Ihr Guthaben, Auftragsprotokoll (Bild-Asset-IDs, generierte Metadaten, Zeitstempel), Guthabenhistorie (Käufe, Verbrauch, Einlösungen) und Empfehlungsdaten (Empfehlungscode, Empfehlungsstatus).
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
3.4 Bilddaten
Zur Generierung von Metadaten werden die ausgewählten Bilder (bzw. bei Videos einige wenige Einzelbilder) zunächst an unser eigenes Backend und von dort zur Analyse an spezialisierte KI-Bildanalyse-Anbieter (derzeit OpenAI, Google und Anthropic) übertragen. Die Bildübertragung umfasst die Bilddaten selbst, nicht nur eine Bild-URL. Weder wir noch die eingesetzten KI-Anbieter speichern die Bilder dauerhaft. Die Verarbeitung erfolgt unter Zero-Retention- bzw. No-Training-Bedingungen — die Bilder werden nach Rückgabe der Antwort verworfen und nicht zum Training von KI-Modellen verwendet.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
3.5 Technische Daten
Bei der Nutzung unseres Dienstes werden automatisch technische Informationen erfasst: IP-Adresse, Browsertyp und Zeitpunkt des Zugriffs. Im Rahmen des Empfehlungsprogramms verarbeiten wir zudem ein aus allgemeinen Geräte- und Browsereigenschaften abgeleitetes, pseudonymes Gerätemerkmal, um Mehrfach- und Missbrauchsanmeldungen zu erkennen (Betrugsprävention). Dieses Merkmal dient ausschließlich der Missbrauchserkennung und wird nicht für Werbung, Profilbildung oder seitenübergreifendes Tracking verwendet.
Rechtsgrundlage: Berechtigtes Interesse an der Betrugsprävention und Systemsicherheit (Art. 6 Abs. 1 lit. f DSGVO).
3.6 Portfolio- und Stildaten (optional)
Wenn Sie die optionale Stilabgleich-Funktion aktiv nutzen, liest die Erweiterung über Ihre bestehende, im Browser angemeldete Sitzung Eckdaten Ihres Anbieter-Portfolios (z.B. vorhandene Titel und Stichwörter Ihrer eigenen Uploads) aus und übermittelt diese an unser Backend, damit künftig generierte Metadaten Ihrem bisherigen Stil entsprechen. Diese Verarbeitung findet nur statt, wenn Sie die Funktion selbst auslösen.
Rechtsgrundlage: Vertragserfüllung bzw. Ihre Einwilligung (Art. 6 Abs. 1 lit. b bzw. lit. a DSGVO).
Zur Erbringung unseres Dienstes setzen wir folgende Drittanbieter als Auftragsverarbeiter ein:
Sitz: San Francisco, Kalifornien, USA
Zweck: Authentifizierung, Datenbankhaltung (Kontodaten, Guthaben, Aufträge)
Daten: E-Mail, gehashtes Passwort, Guthaben, Auftragshistorie
Garantien: Auftragsverarbeitungsvertrag (AVV) abgeschlossen. EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Sitz: San Francisco, Kalifornien, USA
Zweck: KI-gestützte Bildanalyse zur Generierung von Metadaten
Daten: Skalierte Bilder (vorübergehend), keine personenbezogenen Daten im engeren Sinne
Garantien: Zero-Retention-Richtlinie für API-Nutzung. EU-Standardvertragsklauseln (SCCs). Bilder werden nach der Verarbeitung sofort gelöscht und nicht für das Training eingesetzt.
Sitz: San Francisco, Kalifornien, USA
Zweck: Zahlungsabwicklung für Guthabenkäufe
Daten: E-Mail-Adresse, Zahlungsinformationen (Kreditkarte/Bankverbindung)
Garantien: PCI DSS Level 1 zertifiziert. Auftragsverarbeitungsvertrag (AVV) abgeschlossen. EU-Standardvertragsklauseln (SCCs). Stripe agiert als eigenständiger Verantwortlicher für Zahlungsdaten.
Sitz: San Francisco, Kalifornien, USA
Zweck: KI-gestützte Bildanalyse und Qualitätsprüfung der generierten Metadaten
Daten: Skalierte Bilder bzw. Videoframes (vorübergehend)
Garantien: Zero-Retention- bzw. No-Training-Bedingungen für API-Nutzung. EU-Standardvertragsklauseln (SCCs).
Sitz: Mountain View, Kalifornien, USA
Zweck: (a) Google OAuth-Authentifizierung (nur bei Google-Anmeldung); (b) KI-gestützte Bildanalyse als Ausweich-/Ergänzungsdienst
Daten: Google-Konto-E-Mail und OAuth-Token (nur bei Anmeldung); skalierte Bilder (vorübergehend, bei Bildanalyse)
Garantien: Zero-Retention- bzw. No-Training-Bedingungen für die API-Bildanalyse. EU-Standardvertragsklauseln (SCCs).
Sitz: San Francisco, Kalifornien, USA
Zweck: Bot- und Missbrauchsschutz (Turnstile) bei Registrierung und Anmeldung
Daten: IP-Adresse, allgemeine Browser-/Geräteinformationen während der Sicherheitsprüfung
Garantien: EU-Standardvertragsklauseln (SCCs).
Sitz: USA
Zweck: Betrieb unseres Backends (Hosting) sowie technische Vermittlung der Anfragen an die o.g. KI-Anbieter (API-Gateway)
Daten: alle zur Diensterbringung übermittelten Daten, einschließlich vorübergehender Bilddaten
Garantien: Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln (SCCs).
Daneben rufen wir beim Start der Erweiterung eine öffentlich zugängliche, gemeinschaftlich gepflegte Sperrliste für Wegwerf-E-Mail-Adressen ab (Auslieferung über GitHub); dabei wird technisch bedingt Ihre IP-Adresse an den Auslieferungsdienst übermittelt.
Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z.B. auf Anordnung eines Gerichts oder einer Behörde). Wir verkaufen Ihre personenbezogenen Daten nicht.
Unsere Auftragsverarbeiter haben ihren Sitz in den USA, einem Land ohne angemessenes Datenschutzniveau im Sinne der DSGVO. Die Datenübermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Wir überprüfen regelmäßig, ob die Garantien unserer Auftragsverarbeiter dem aktuellen Schutzniveau entsprechen (Transfer Impact Assessment).
Die autokeyworder-Website (autokeyworder.com) verwendet keine Werbe- oder Analyse-Cookies und kein werbliches bzw. seitenübergreifendes Tracking. Zur Betrugsprävention im Empfehlungsprogramm wird ein pseudonymes Gerätemerkmal verarbeitet (siehe § 3.5); zum Schutz vor Bots kommt bei Anmeldung/Registrierung Cloudflare Turnstile zum Einsatz (siehe § 4).
Die Chrome-Erweiterung verwendet chrome.storage.local zur Speicherung von Authentifizierungstoken (Access Token, Refresh Token) auf Ihrem Gerät. Diese Daten verlassen Ihr Gerät nur zur Authentifizierung gegenüber unserem Backend. Es handelt sich nicht um Cookies im Sinne der ePrivacy-Richtlinie, sondern um technisch notwendige lokale Speicherung.
Auf unterstützten Plattformen (u.a. Adobe Stock, Shutterstock, Zedge, Displate, TeePublic, Etsy, Dreamstime, Freepik/Magnific) liest die Erweiterung das von Ihnen ausgewählte Bild bzw. Video sowie vorhandene Formular-/Listings-Daten von der Seite und schreibt KI-generierte Metadaten (Titel, Stichwörter, Kategorie, Beschreibung) in die Eingabefelder der Plattform. An unsere Server übermittelt werden dabei die für die Analyse erforderlichen Bilddaten (siehe § 3.4) und — bei aktiver Nutzung der Stilabgleich-Funktion — Portfolio-Eckdaten (siehe § 3.6). Darüber hinausgehende Seiteninhalte werden nicht an unsere Server übertragen.
Stripe kann im Rahmen des Checkout-Prozesses eigene Cookies setzen. Hierfür verweisen wir auf die Datenschutzerklärung von Stripe.
Die Generierung von Metadaten erfolgt mittels künstlicher Intelligenz (bildverarbeitende KI-Modelle der in § 4 genannten Anbieter). Dies stellt eine automatisierte Verarbeitung von Bilddaten dar, jedoch keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Die generierten Metadaten sind Vorschläge, die Sie vor dem Speichern auf der jeweiligen Plattform überprüfen und bearbeiten können.
Nach der DSGVO stehen Ihnen folgende Rechte zu:
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
www.ldi.nrw.de
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.
Stand: Juni 2026
Die Erweiterung fordert nur die zur Funktion erforderlichen Berechtigungen an:
The controller within the meaning of the General Data Protection Regulation (GDPR) is:
Philipp Schlüter
Grabbestraße 5
33189 Schlangen
Germany
Email: [email protected]
autokeyworder is a Chrome extension that uses artificial intelligence to generate metadata (titles, keywords, categories, descriptions) for stock photos and videos. This privacy policy informs you about which personal data we collect, process, and store in connection with our service.
We only process personal data to the extent necessary to provide a functioning service, to fulfil contractual obligations, or due to legal requirements.
3.1 Account Data
During registration, we collect your email address and a hashed password (for email registration) or an OAuth token (for Google sign-in). We also store the date of account creation and a unique user ID.
Legal basis: Contract performance (Art. 6(1)(b) GDPR).
3.2 Payment Data
Payments are processed through Stripe, Inc. We do not store credit card numbers or bank details. We only store Stripe session IDs, transaction amounts, and timestamps on our servers to document credit additions.
Legal basis: Contract performance (Art. 6(1)(b) GDPR).
3.3 Usage Data
We store your credit balance, job records (image asset IDs, generated metadata, timestamps), credit history (purchases, consumption, redemptions), and referral data (referral code, referral status).
Legal basis: Contract performance (Art. 6(1)(b) GDPR).
3.4 Image Data
To generate metadata, the selected images (or, for videos, a few individual frames) are first transmitted to our own backend and from there to specialised AI image-analysis providers (currently OpenAI, Google, and Anthropic) for analysis. The transmission includes the image data itself, not merely an image URL. Neither we nor the AI providers used store images permanently. Processing is carried out under zero-retention / no-training terms — images are discarded after the response is returned and are not used for AI model training.
Legal basis: Contract performance (Art. 6(1)(b) GDPR).
3.5 Technical Data
When using our service, technical information is automatically collected: IP address, browser type, and time of access. As part of the referral program, we also process a pseudonymous device characteristic derived from general device and browser properties in order to detect duplicate or abusive sign-ups (fraud prevention). This characteristic is used solely for abuse detection and is not used for advertising, profiling, or cross-site tracking.
Legal basis: Legitimate interest in fraud prevention and system security (Art. 6(1)(f) GDPR).
3.6 Portfolio and Style Data (optional)
If you actively use the optional style-matching feature, the extension reads summary data from your provider portfolio (e.g., existing titles and keywords of your own uploads) via your existing browser session and transmits it to our backend so that future generated metadata matches your prior style. This processing only occurs when you trigger the feature yourself.
Legal basis: Contract performance or your consent (Art. 6(1)(b) or (a) GDPR).
We use the following third-party providers as data processors to deliver our service:
Location: San Francisco, California, USA
Purpose: Authentication, database hosting (account data, balances, jobs)
Data: Email, hashed password, credit balance, job history
Safeguards: Data processing agreement (DPA) in place. EU Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR.
Location: San Francisco, California, USA
Purpose: AI-powered image analysis for metadata generation
Data: Scaled images (transient), no personal data in the strict sense
Safeguards: Zero-retention policy for API usage. EU Standard Contractual Clauses (SCCs). Images are deleted immediately after processing and are not used for training.
Location: San Francisco, California, USA
Purpose: Payment processing for credit purchases
Data: Email address, payment information (credit card/bank details)
Safeguards: PCI DSS Level 1 certified. Data processing agreement (DPA) in place. EU Standard Contractual Clauses (SCCs). Stripe acts as an independent data controller for payment data.
Location: San Francisco, California, USA
Purpose: AI-powered image analysis and quality verification of generated metadata
Data: Scaled images or video frames (transient)
Safeguards: Zero-retention / no-training terms for API usage. EU Standard Contractual Clauses (SCCs).
Location: Mountain View, California, USA
Purpose: (a) Google OAuth authentication (only for Google sign-in); (b) AI-powered image analysis as a fallback/supplementary service
Data: Google account email and OAuth token (sign-in only); scaled images (transient, for image analysis)
Safeguards: Zero-retention / no-training terms for the API image analysis. EU Standard Contractual Clauses (SCCs).
Location: San Francisco, California, USA
Purpose: Bot and abuse protection (Turnstile) during registration and sign-in
Data: IP address, general browser/device information during the security check
Safeguards: EU Standard Contractual Clauses (SCCs).
Location: USA
Purpose: Operating our backend (hosting) and technically routing requests to the AI providers listed above (API gateway)
Data: all data transmitted to deliver the service, including transient image data
Safeguards: Data processing agreements and EU Standard Contractual Clauses (SCCs).
In addition, on extension startup we fetch a publicly available, community-maintained blocklist of disposable email domains (delivered via GitHub); for technical reasons your IP address is transmitted to the delivery service in the process.
Personal data is not shared with any other third parties unless we are legally obligated to do so (e.g., by court order or regulatory authority). We do not sell your personal data.
Our sub-processors are based in the USA, a country without an adequate level of data protection within the meaning of the GDPR. Data transfers are based on EU Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR.
We regularly assess whether the safeguards provided by our sub-processors meet the current level of protection (Transfer Impact Assessment).
The autokeyworder website (autokeyworder.com) does not use advertising or analytics cookies and does not employ advertising or cross-site tracking. To prevent fraud in the referral program, a pseudonymous device characteristic is processed (see § 3.5); to protect against bots, Cloudflare Turnstile is used during sign-up/sign-in (see § 4).
The Chrome extension uses chrome.storage.local to store authentication tokens (access token, refresh token) on your device. This data only leaves your device for authentication with our backend. This is not a cookie within the meaning of the ePrivacy Directive but technically necessary local storage.
When active on a supported platform (including Adobe Stock, Shutterstock, Zedge, Displate, TeePublic, Etsy, Dreamstime, Freepik/Magnific), the extension reads the image or video you selected and existing form/listing data from the page and writes AI-generated metadata (title, keywords, category, description) into the platform's input fields. The data transmitted to our servers consists of the image data required for analysis (see § 3.4) and — when you actively use the style-matching feature — portfolio summary data (see § 3.6). No page content beyond this is transmitted to our servers.
Stripe may set its own cookies during the checkout process. For details, please refer to Stripe's privacy policy.
Metadata generation is performed by artificial intelligence (image-processing AI models from the providers listed in § 4). This constitutes automated processing of image data but does not constitute automated decision-making with legal effect within the meaning of Art. 22 GDPR. Generated metadata are suggestions that you can review and edit before saving on the respective platform.
Under the GDPR, you have the following rights:
To exercise your rights, please contact: [email protected]
You have the right to lodge a complaint with a data protection supervisory authority regarding the processing of your personal data. The supervisory authority responsible for us is:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestraße 2–4
40213 Düsseldorf
www.ldi.nrw.de
We reserve the right to update this privacy policy to reflect changes in legal requirements or changes to our service. The current version is always available on this page. For material changes, we will notify you by email.
Last updated: June 2026
The extension requests only the permissions required for its function: