Datenschutzerklaerung – ThinkLab

1. Verantwortlicher

Verantwortlich fuer die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Mader Studio GmbH
Seewandstrasse 4, 9900 Lienz, Oesterreich
Firmenbuchnummer: FN 59204 s (Landesgericht Innsbruck)
UID: ATU30677906
Geschaeftsfuehrer: Mag. Christoph Mader
E-Mail: christoph@maderstudio.at
Telefon: +43 650 811 5778

ThinkLab ist ein Produkt der Mader Studio GmbH. Bei Fragen zum Datenschutz koennen Sie sich jederzeit unter den oben genannten Kontaktdaten an uns wenden.

2. Ueberblick der Verarbeitungen

Im Rahmen von ThinkLab verarbeiten wir personenbezogene Daten in den folgenden Zusammenhaengen:

• Aufruf der Website und der Veranstaltungsseiten (technisch notwendige Daten, Server-Logs)
• KI-gestuetzte Bildgenerierung an interaktiven Stationen (Eingabe-Text der Besucher)
• Kontaktaufnahme ueber das Kontaktformular
• Registrierung und Verwaltung von Nutzerkonten (fuer Organisations- und Administrationszwecke)
• Schutz vor Missbrauch (Inhaltsmoderation, Begrenzung der Anfragehaeufigkeit)

Die einzelnen Verarbeitungen, ihre Rechtsgrundlagen und Speicherdauern werden nachstehend im Detail beschrieben.

3. Aufruf der Website und Server-Protokolle

Beim Aufruf unserer Website werden automatisch Daten an unseren Server uebertragen und voruebergehend in Protokolldateien gespeichert. Erfasst werden insbesondere:

• IP-Adresse des anfragenden Geraets
• Datum und Uhrzeit des Zugriffs
• aufgerufene Inhalte sowie technische Angaben zum Browser/Betriebssystem

Diese Verarbeitung ist zur Bereitstellung, Stabilitaet und Sicherheit des Dienstes erforderlich. Rechtsgrundlage ist unser berechtigtes Interesse am sicheren und stoerungsfreien Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

Wichtiger Hinweis zu Protokollinhalten: In den Server-Protokollen koennen neben IP-Adressen auch E-Mail-Adressen (z. B. beim Mailversand) sowie der von Besuchern an den KI-Stationen eingegebene Freitext enthalten sein.

Speicherdauer der Protokolle: Die Protokolle werden im Rahmen der Standard-Aufbewahrung der eingesetzten Hosting-Plattform (Microsoft Azure) gespeichert und danach automatisch geloescht.

4. KI-gestuetzte Bildgenerierung an Stationen

An interaktiven Stationen koennen Besucher ein KI-generiertes Bild erzeugen. Dazu geben sie einen kurzen Text (z. B. ein Thema, eine Idee oder ein Stichwort) ein. Aus dieser Eingabe wird ein Bild erzeugt sowie optional ein kurzer Begleittext.

Welche Daten verarbeitet werden: Verarbeitet wird ausschliesslich der von der Person eingegebene Text. Es werden keine Fotos oder Abbildungen realer Personen hochgeladen oder verarbeitet (reine Text-zu-Bild-Erzeugung). Eine Eingabe des Namens ist nicht vorgesehen; das System speichert keinen Namen der erzeugenden Person.

Hinweis fuer Besucher: Bitte geben Sie in das Eingabefeld keine personenbezogenen Daten (z. B. Namen) ein, da der eingegebene Text zur Bilderzeugung an einen Dienstleister uebermittelt wird (siehe Abschnitt 8).

Eingesetzte KI-Modelle: Zur Bilderzeugung wird die Gemini API von Google eingesetzt (Modelle der Gemini-2.5-/3.1-Flash-Image-Familie); fuer die Erstellung von Begleittexten und die Inhaltsmoderation wird Gemini 2.5 Flash eingesetzt. Einzelheiten zum Anbieter und zur Datenuebermittlung in die USA finden Sie in Abschnitt 8.

Rechtsgrundlage: Die Verarbeitung erfolgt auf Grundlage der Einwilligung der teilnehmenden Person bzw. – bei Minderjaehrigen – der Erziehungsberechtigten oder der verantwortlichen Lehrkraefte (Art. 6 Abs. 1 lit. a DSGVO). Bei Veranstaltungen mit Minderjaehrigen gelten die Hinweise in Abschnitt 9.

Speicherdauer der erzeugten Bilder: Die erzeugten Bilder werden bis 30 Tage nach Ende der jeweiligen Veranstaltung gespeichert und danach automatisch geloescht.

5. Kontaktformular

Wenn Sie uns ueber das Kontaktformular kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten, um Ihre Anfrage zu bearbeiten. Erfasst werden:

• Name
• E-Mail-Adresse
• Inhalt Ihrer Nachricht
• IP-Adresse (zur Abwehr von Missbrauch / Spam)

Rechtsgrundlage ist die Bearbeitung Ihrer Anfrage bzw. vorvertragliche Massnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der Abwehr missbraeuchlicher Eingaben (Art. 6 Abs. 1 lit. f DSGVO).

Speicherdauer: Wir speichern Ihre Anfrage bis zur abschliessenden Bearbeitung, laengstens 6 Monate, sofern nicht eine Geschaeftsbeziehung entsteht oder gesetzliche Aufbewahrungspflichten bestehen.

6. Registrierung und Nutzerkonten

Fuer administrative Zwecke (z. B. Organisations- und Veranstaltungsverwaltung) koennen Nutzerkonten angelegt werden. Dabei verarbeiten wir insbesondere E-Mail-Adresse und Vorname sowie zur Anmeldung erforderliche Daten.

Rechtsgrundlage ist die Erfuellung des Nutzungsverhaeltnisses (Art. 6 Abs. 1 lit. b DSGVO).

Speicherdauer: Die Kontodaten werden fuer die Dauer des bestehenden Nutzungsverhaeltnisses gespeichert und nach Loeschung des Kontos bzw. auf Verlangen der betroffenen Person entfernt.

7. Schutz vor Missbrauch (Moderation und Anfragebegrenzung)

Zum Schutz des Dienstes vor missbraeuchlicher Nutzung setzen wir eine zweistufige Inhaltsmoderation sowie eine Begrenzung der Anfragehaeufigkeit ein. Dabei werden IP-Adressen sowie der eingegebene Freitext (ohne Namen) kurzfristig verarbeitet bzw. protokolliert, um unzulaessige Eingaben zu erkennen und zu blockieren.

Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit und Funktionsfaehigkeit des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

8. Auftragsverarbeiter und Datenuebermittlung

Wir setzen sorgfaeltig ausgewaehlte Dienstleister ein, die Daten in unserem Auftrag und nach unseren Weisungen verarbeiten (Auftragsverarbeitung gemaess Art. 28 DSGVO). Mit diesen bestehen entsprechende Vertraege zur Auftragsverarbeitung.

8.1 Hosting – Microsoft Azure

Unsere Anwendung, die Datenbank und die Bildspeicherung werden bei Microsoft (Microsoft Azure) betrieben. Die Datenhaltung erfolgt in einem Rechenzentrum in der Region West-Europa (Niederlande, EU).

8.2 E-Mail-Versand – IONOS

Fuer den Versand von E-Mails (z. B. Benachrichtigungen, Einladungen, Kontaktbestaetigungen) nutzen wir den Dienst des Anbieters IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland). Der Anbieter ist in der EU ansaessig.

8.3 KI-Bilderzeugung – Google (Gemini API)

Fuer die KI-gestuetzte Bilderzeugung und Texterstellung uebermitteln wir den eingegebenen Text an die Gemini API von Google (Google LLC bzw. Google Ireland Limited). Dabei werden Daten in die USA uebermittelt.

Wir nutzen die Gemini API im kostenpflichtigen Tarif (Paid Services). Nach den Bedingungen von Google gilt hierfuer:

• Die uebermittelten Eingaben und Ergebnisse werden nicht zur Verbesserung bzw. zum Training der Google-Modelle verwendet.
• Die Verarbeitung erfolgt auf Grundlage des Auftragsverarbeitungs-Zusatzes von Google (Data Processing Addendum), der fuer die Datenuebermittlung in Drittlaender Standardvertragsklauseln (Standard Contractual Clauses) vorsieht.
• Google protokolliert Eingaben und Ergebnisse fuer eine begrenzte Zeit ausschliesslich zur Erkennung und Verhinderung von Missbrauch sowie zur Erfuellung rechtlicher Pflichten; diese Daten koennen dabei voruebergehend auch in anderen Laendern zwischengespeichert werden.

Grundlage fuer den Drittlandtransfer sind die genannten Standardvertragsklauseln gemaess Art. 46 DSGVO. Trotz dieser Garantien besteht bei einer Uebermittlung in die USA grundsaetzlich das Risiko eines Zugriffs durch US-Behoerden.

9. Minderjaehrige

ThinkLab wird unter anderem bei Bildungs- und Schulveranstaltungen eingesetzt, an denen Minderjaehrige teilnehmen koennen. In Oesterreich ist eine datenschutzrechtliche Einwilligung von Minderjaehrigen erst ab Vollendung des 14. Lebensjahres wirksam (§ 4 Abs. 4 oesterreichisches DSG).

Bei Veranstaltungen mit minderjaehrigen Teilnehmern unter 14 Jahren holen wir vor der Nutzung der KI-Stationen eine Einwilligung der Erziehungsberechtigten bzw. der verantwortlichen Lehrkraefte ein. Diese Einwilligung umfasst insbesondere die KI-Verarbeitung der Eingaben und die damit verbundene Datenuebermittlung an Google in die USA (Abschnitt 8.3).

10. Ihre Rechte

Ihnen stehen hinsichtlich der Sie betreffenden personenbezogenen Daten folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Loeschung (Art. 17 DSGVO)
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenuebertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf jederzeitigen Widerruf einer erteilten Einwilligung mit Wirkung fuer die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausuebung Ihrer Rechte genuegt eine formlose Mitteilung an die in Abschnitt 1 genannten Kontaktdaten.

Beschwerderecht: Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehoerde zu beschweren. Die in Oesterreich zustaendige Behoerde ist die Oesterreichische Datenschutzbehoerde (Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at).

11. Eingebundene Drittinhalte (CDN)

Zur Auslieferung bestimmter technischer Komponenten (z. B. Darstellungs- und Skript-Bibliotheken) koennen Inhalte ueber ein Content Delivery Network (cdn.jsdelivr.net) geladen werden. Dabei wird technisch bedingt die IP-Adresse Ihres Geraets an den Anbieter des Netzwerks uebertragen.

12. Aenderungen dieser Datenschutzerklaerung

Wir passen diese Datenschutzerklaerung an, sobald Aenderungen der Verarbeitung dies erforderlich machen. Es gilt jeweils die aktuelle, auf dieser Website veroeffentlichte Fassung.

Stand: 2. Juni 2026

Zurueck