Datenschutz
Verständlich erklärt · Stand: 7. Juni 2026
malziME ist ein Lern-Tool für Medienkompetenz und Datenschutz-Sensibilisierung. Die KI-Profile sind erfunden und zeigen nur, was Algorithmen behaupten könnten – nichts davon ist wahr oder bewiesen.
Für Workshops können auch Stock-Fotos oder ältere Bilder verwendet werden. Kein hochgeladenes Bild wird dauerhaft gespeichert oder ist nach der Analyse abrufbar.
Verantwortlicher
malziland - learning | training | consulting e.U., Inhaber Christoph Krieger. Alle Kontaktdaten findest du im Impressum.
Datenschutz-Kontakt: datenschutz@malzi.me
Was passiert mit meinem Foto?
- Dein Browser macht den ersten Schritt. Noch bevor irgendetwas an einen Server geht, verkleinert dein Browser das Foto auf max. 1280 Pixel und komprimiert es als JPEG. Der Dateiname? Wird nicht übermittelt. GPS-Koordinaten und Aufnahmedatum? Bleiben in deinem Browser – die verlassen dein Gerät nie. Falls GPS vorhanden ist, fragt dein Browser direkt bei OpenStreetMap nach der Adresse und Karte. Unser Server bekommt davon nichts mit.
- An unseren Server geht wenig. Nur das komprimierte Bild und zwei Kamera-Infos: Hersteller und Modell. Kein GPS, kein Aufnahmedatum, kein Dateiname, kein Originalfoto.
- Dein Foto wartet kurz in einer Warteschlange. Damit auch bei vielen gleichzeitigen Uploads niemand einen Fehler bekommt, legt unser Server dein komprimiertes Bild für die kurze Wartezeit auf einem Server in der EU ab. Dort liegt es unberührt – solange es nicht an der Reihe ist, wird es nicht angesehen und nicht verarbeitet. Sobald dein Foto analysiert wurde, wird es unmittelbar und automatisch wieder gelöscht. Meist dauert das nur Sekunden, bei großem Andrang wenige Minuten.
- Mistral AI analysiert das Foto. Unser Server schickt das komprimierte Bild und die Kamera-Metadaten an den französischen KI-Anbieter Mistral AI (Sitz: Paris, EU). Mistral analysiert das Bild und erstellt daraus in einem Schritt zwei fiktive Profile (Modus „Normal“ und „Beast“) – dafür nutzen wir das leistungsfähige Modell Mistral Large. Mistral verarbeitet das Foto laut Anbieter-Zusage standardmäßig in der EU; temporäre Sub-Prozessoren können außerhalb der EU genutzt werden, in dem Fall mit DSGVO-Schutzmaßnahmen nach Art. 46 (Standardvertragsklauseln). Auf dem von uns genutzten kostenpflichtigen API-Tier werden Eingaben oder Ausgaben laut Anbieter-Zusage nicht zum Training verwendet. Mistral prüft Anfragen automatisiert auf illegale Inhalte wie Kindesmissbrauch oder Gewalt – nur wenn dieser Filter anschlägt, können Ein- und Ausgaben bis zu 30 Tage zur Missbrauchsbekämpfung aufbewahrt werden. Bei normalen Fotos passiert das nicht. Mistral kennt nur die Daten aus dem konkreten Request – nicht deine IP-Adresse, keine sonstigen Nutzerdaten. Eine Gesichtserkennung ist nicht aktiviert.
- Danach ist Schluss. Das fertige Profil landet in deinem Browser. Damit dein Browser es nach der Warteschlange abholen kann, liegt es noch kurz auf dem Server – ohne Personenbezug – und wird spätestens nach rund 2 Stunden automatisch gelöscht. Wenn du die Seite schließt, ist im Browser nichts mehr da.
Was bei uns nicht existiert
- Kein dauerhaft gespeichertes Foto – dein Bild wird nur für die kurze Verarbeitung zwischengespeichert und unmittelbar danach gelöscht (Details unter „Was passiert mit meinem Foto?“). Bei Mistral gilt dasselbe, außer der Abuse-Filter schlägt an.
- Kein dauerhaft gespeichertes Profil – das fertige Profil liegt nur kurz auf dem Server, damit dein Browser es abholen kann, und wird spätestens nach rund 2 Stunden automatisch gelöscht. Es ist mit keiner Person verknüpft.
- Kein Originalfoto – der Server bekommt nur eine verkleinerte JPEG-Version (max. 1280 px). Dein hochauflösendes Original bleibt bei dir.
- Kein Dateiname – ob dein Foto „selfie_am_strand.jpg“ heißt, erfahren wir nicht. Es wird immer als „upload.jpg“ geschickt.
- Keine GPS-Daten auf dem Server – GPS-Koordinaten werden im Browser ausgelesen und gehen nur an OpenStreetMap, nie an uns oder Google.
- Kein Account – kein Login, kein Passwort, keine E-Mail-Adresse. Wir wissen nicht, wer du bist.
- Kein Tracking – kein Cookie, kein localStorage, kein sessionStorage. Dein Browser vergisst uns genauso schnell wie wir ihn.
- Keine IP-Adresse dauerhaft – der Missbrauchsschutz merkt sich deine IP für maximal 10 Minuten im Arbeitsspeicher, dann ist sie weg.
Der Analyse-Zähler speichert ausschließlich eine einzige Zahl pro Zeitraum (Stunde, Tag, Woche, Monat, gesamt) – keine IP-Adressen, keine Bildinhalte, keine Nutzerprofile. Der Zähler dient dem Kostenschutz und der transparenten Nutzungsstatistik.
Unsere Anwendungs-Logs enthalten nur eine zufällige Anfrage-ID, den Status und technische Verarbeitungsschritte (Schritt-Name, Antwortlänge, Token-Counts) – keine Bildinhalte, keine Profile, keine IP-Adressen. Die Cloud-Functions-Infrastruktur (Google) protokolliert bei Fehlern technische Daten (IP, Zeitstempel, Statuscode) – Routine-Logs haben wir ausgeschlossen, Fehler-Logs werden nach 1 Tag gelöscht. Eine anonymisierte Fehlerzusammenfassung ohne personenbezogene Daten (nur Fehlermeldung und Häufigkeit) bleibt zur Fehlerbehebung bestehen – eine kürzere Aufbewahrung ist technisch nicht möglich.
Wer ist beteiligt?
| Dienst | Was er bekommt | Betreiber |
|---|---|---|
| Mistral AI API | Komprimiertes Foto + Kamera-Metadaten (Hersteller, Modell) für Bildbeschreibung und Profilerstellung. Keine Gesichtserkennung, keine Speicherung außer bei Abuse-Filter-Treffer. | Mistral AI SAS, 15 Rue des Halles, 75001 Paris, Frankreich (EU) |
| Firebase Hosting, Cloud Functions & Cloud Storage | Komprimiertes Foto + Kamera-Hersteller & Modell – während der Verarbeitung im Arbeitsspeicher, in der Warteschlange kurz in einem EU-Speicher zwischengelegt und unmittelbar nach der Analyse gelöscht. Statische Auslieferung von HTML/CSS/JS. | Google Ireland Ltd., EU (europe-west1) |
| Cloud Firestore | Anonymer Analyse-Zähler (nur Gesamtzahl pro Zeitraum), Maintenance-Flag und die kurzlebige Warteschlangen-Verwaltung (Status + fertiges Profil ohne Personenbezug, Löschung spätestens nach rund 2 Stunden). Keine Accounts, keine IP-Adressen. | Google Ireland Ltd., EU (europe-west1) |
| OpenStreetMap / Nominatim | GPS-Koordinaten + IP-Adresse (nur vom Browser, nur falls GPS vorhanden) | OpenStreetMap Foundation, UK |
Das Rechtliche
Dein Foto wird auf Grundlage deiner Einwilligung verarbeitet (Art. 6 Abs. 1 lit. a DSGVO) – du gibst sie, indem du ein Foto hochlädst. Kein Upload, keine Verarbeitung. Der Missbrauchsschutz (Rate Limiting) läuft über unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Mistral AI verarbeitet die Foto-Daten in unserem Auftrag als Auftragsverarbeiter (Art. 28 DSGVO). Mistral AI ist eine französische Gesellschaft (SAS) mit Sitz in Paris und unterliegt direkt der DSGVO. Die Daten werden laut Anbieter standardmäßig in der EU verarbeitet. Mistral darf die Daten nicht für eigene Zwecke nutzen, und auf dem von uns genutzten kostenpflichtigen API-Tier werden Eingaben oder Ausgaben laut Anbieter-Zusage nicht zum Training verwendet. Temporäre Sub-Prozessoren können außerhalb der EU zum Einsatz kommen, dann mit DSGVO-Schutzmaßnahmen nach Art. 46 (z. B. Standardvertragsklauseln). Eine Auflistung der Sub-Prozessoren stellt Mistral im Trust Center bereit. Grundlage: Mistral Data Processing Addendum. Kontakt zum Datenschutzbeauftragten von Mistral: DPO@mistral.ai.
Google Ireland Limited stellt nur noch die Infrastruktur bereit: Firebase Hosting für die Webseite, Cloud Functions für die Backend-Verarbeitung, Cloud Storage für die kurzzeitige Bild-Zwischenablage in der Warteschlange sowie Cloud Firestore für den anonymen Analyse-Zähler und die Warteschlangen-Verwaltung. Alle Dienste laufen auf EU-Servern (Region europe-west1, Belgien). Google verarbeitet auch diese Daten als Auftragsverarbeiter (Art. 28 DSGVO) und darf sie nicht für eigene Zwecke nutzen. Grundlage: Google Cloud Data Processing Addendum. Wichtig: Wir nutzen seit Mai 2026 KEINE Google-KI-Dienste mehr – weder Vertex AI noch Cloud Vision. Die KI-Analyse läuft ausschließlich über Mistral AI in der EU.
Die OpenStreetMap Foundation (UK) verarbeitet GPS-Koordinaten bei der Adress-Auflösung. Großbritannien hat einen Angemessenheitsbeschluss der EU-Kommission.
Was wir bewusst nicht tun
- Kein Tracking – keine Analytics, kein Facebook Pixel, kein Google Tag Manager
- Keine Werbung
- Kein Datenverkauf
- Keine Gesichtserkennung – Mistral erkennt dass ein Gesicht da ist, aber nicht wessen. Kein biometrischer Vergleich mit Datenbanken.
- Keine externen Skripte – Schriftarten, Karten und EXIF-Auswertung laufen lokal
Cookies
malziME setzt keine Tracking-Cookies. Firebase Hosting kann einen technischen Cookie (__session) für die Anfrage-Zuordnung setzen – der enthält keine persönlichen Daten.
Workshops
Die KI-Profile sind erfunden. Algorithmen behaupten – sie beweisen nichts. Es handelt sich nicht um automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.
Deine Rechte
- Auskunft (Art. 15): Was wir über dich gespeichert haben – nichts.
- Löschung (Art. 17): Schon erledigt – es gibt nichts zu löschen.
- Widerruf (Art. 7 Abs. 3): Schließ die Seite, fertig.
- Beschwerde (Art. 77): Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien (dsb.gv.at)