AnmeldenRegistrieren

Datenschutzerklärung

Unsere Datenschutzerklärung und die Verwendung Ihrer Daten

Stand: März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung von Gorilia ist:

Kracht Media GmbH
Wiesboden 14
2820 Walpersbach, Österreich
Firmenbuchnummer: 667233
UID: ATU82908908
Vertretungsbefugt: Tobias Hübl

E-Mail: admin@kracht.at

Website: https://kracht.at

Datenschutzbeauftragte/r: Es wurde kein Datenschutzbeauftragter bestellt.

2. Allgemeine Hinweise

Gorilia ist eine cloudbasierte KI-Plattform (Software as a Service), über die Nutzer mit verschiedenen KI-Sprachmodellen unterschiedlicher Anbieter chatten und arbeiten können. Die Plattform richtet sich insbesondere an Personen in der Kreativbranche. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten beim Besuch unserer Website, bei der Registrierung, im laufenden Betrieb und bei der Nutzung aller Plattformfunktionen.

Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der geltenden Datenschutzvorschriften, insbesondere der DSGVO und des österreichischen Datenschutzgesetzes (DSG). Sofern wir für Verarbeitungen Ihre Einwilligung einholen, informieren wir Sie an der jeweiligen Stelle gesondert.

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten vorschreiben.

3. Verarbeitete Datenkategorien

Je nach Art der Nutzung verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Zugangsdaten: E-Mail-Adresse, Passwort-Hash, Authentifizierungstoken
  • Profildaten: Anzeigename, optional Profilbild
  • Nutzungsdaten: Chat-Inhalte, Eingaben an KI-Modelle, KI-Ausgaben, Zeitstempel
  • Team-/Workspace-Daten: Workspace-Name, Mitgliederlisten, Rollenzuweisungen, Einladungs-E-Mails
  • Zahlungsdaten: Rechnungsadresse, Zahlungsmethode (tokenisiert durch Stripe), Transaktionshistorie
  • Kommunikationsdaten: Inhalte von Kontaktanfragen
  • Waitlist-Daten: E-Mail-Adresse bei Vorregistrierung
  • Technische Daten: IP-Adresse, Browser-Typ, Betriebssystem, Referrer-URL, Geräteinformationen, Session-Identifikatoren, Zeitstempel
  • Analyse-/Ereignisdaten: Pseudonymisierte Ereignis-Daten zur Produktanalyse (nur nach Einwilligung, PostHog)

4. Besuch der Website

Beim Aufrufen unserer Website werden durch den Webserver und unseren Hosting-Anbieter Vercel automatisch technische Zugriffsdaten erfasst. Dazu gehören IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Seite, HTTP-Statuscode, übertragene Datenmenge und Referrer-URL. Diese Daten werden zur Gewährleistung des technischen Betriebs, zur Angriffserkennung und zur Systemstabilität verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Betrieb). Speicherdauer der Server-Logs: 3 Monate.

5. Kontaktformular

Wenn Sie unser Kontaktformular nutzen, verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht, um Ihre Anfrage zu bearbeiten und zu beantworten. Der Versand dieser Nachrichten erfolgt über Resend (Resend Inc., 2261 Market Street #5409, San Francisco, CA 94114, USA) als Auftragsverarbeiter.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage die Vorbereitung oder Durchführung eines Vertrags betrifft. Speicherdauer: 3 Monate nach abschließender Bearbeitung der Anfrage.

6. Waitlist (Vorregistrierung)

Vor dem offiziellen Start der Plattform besteht die Möglichkeit, sich über ein Vorregistrierungsformular in eine Warteliste einzutragen. Dabei erfassen wir Ihre E-Mail-Adresse, um Sie über den Start von Gorilia zu informieren.

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie uns eine E-Mail senden an: admin@kracht.at. Nach Widerruf wird Ihre E-Mail-Adresse aus der Warteliste gelöscht.

Speicherdauer: 3 Monate, längstens bis zur Überführung in ein reguläres Nutzerkonto nach Plattformstart oder bis zum Widerruf Ihrer Einwilligung.

7. Registrierung und Account-Nutzung

Zur Nutzung der Gorilia-Plattform ist die Erstellung eines Benutzerkontos erforderlich. Dabei erheben wir mindestens Ihre E-Mail-Adresse und ein Passwort. Optional können Sie einen Anzeigenamen und ein Profilbild hinterlegen.

Die Authentifizierung erfolgt über Supabase Auth. Unterstützt werden passwortbasierte Anmeldung sowie Anmeldung per Magic Link. Passwörter werden ausschließlich als Hash gespeichert und sind für uns nicht im Klartext einsehbar.

Profilbilder werden in Supabase Storage gespeichert. Der Zugriff erfolgt über signierte URLs und ist auf autorisierte Nutzer beschränkt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Löschung des Accounts, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Eine automatisierte Frist zur Account-Löschung ist derzeit nicht definiert; die Löschung erfolgt auf Anfrage.

8. KI-Funktionen und externe Modellanbieter

Die Kernfunktion von Gorilia besteht darin, Chat-Eingaben der Nutzer an externe KI-Modellanbieter zu übermitteln und deren Antworten im Interface darzustellen. Dabei können Eingaben (Prompts) und Kontextdaten an folgende externe Anbieter übermittelt werden:

  • Anthropic, PBC (USA) – Bereitstellung von Claude-Modellen
  • OpenAI, LLC (USA) – Bereitstellung von GPT-Modellen
  • Google LLC (USA) – Bereitstellung von Gemini-Modellen

Die Weiterleitung von Anfragen an diese Anbieter erfolgt über das Vercel AI Gateway (Vercel Inc., USA), das als technischer Vermittler dient.

Wichtig: Gorilia nutzt Ihre Eingaben und die erzeugten KI-Ausgaben nicht zum Training von KI-Modellen. Ob und in welchem Umfang die jeweiligen Modellanbieter übermittelte Daten verarbeiten oder für eigene Zwecke nutzen, richtet sich nach deren eigenen Datenschutzbestimmungen und ggf. abgeschlossenen DPAs. Wir empfehlen, keine sensiblen personenbezogenen Daten in KI-Prompts einzugeben.

Die Übermittlung an diese US-Anbieter erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO). Rechtsgrundlage für die Übermittlung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 49 Abs. 1 lit. b DSGVO (Übermittlung zur Vertragserfüllung).

Chat-Verläufe werden in Supabase (EU-Region) gespeichert (siehe Abschnitt 11). Eine Speicherdauer nach Account-Löschung ist derzeit nicht abschließend definiert; es erfolgt Löschung auf Anfrage.

9. Team-Accounts und Einladungen

Gorilia unterstützt gemeinsame Team-Workspaces. Wenn Sie einen Team-Workspace erstellen, können Sie weitere Personen per E-Mail einladen. Dabei wird die E-Mail-Adresse der einzuladenden Person verarbeitet, um die Einladung zuzustellen und die Mitgliedschaft im Workspace zu verwalten.

Workspace-Mitglieder können innerhalb des Workspaces auf geteilte Inhalte zugreifen, je nach zugewiesener Rolle und Berechtigung. Administratoren eines Team-Accounts haben Einblick in Logs, Analytics sowie Teamdaten im Rahmen ihrer Administratorrolle.

Teamdaten gehören dem jeweiligen Team-Account. Bei Löschung des Team-Inhabers werden zugehörige Team-Daten gelöscht (Cascade Delete). Bei Einladung von Dritten trägt der einladende Nutzer die Verantwortung dafür, dass er zur Weitergabe der E-Mail-Adresse berechtigt ist.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Kollaborationsfunktionen).

10. Zahlungsabwicklung über Stripe

Die Zahlungsabwicklung für kostenpflichtige Abonnements erfolgt über den Dienst Stripe (Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irland, sowie Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA).

Für die Abwicklung von Zahlungen übermitteln wir die notwendigen Zahlungs- und Bestelldaten (insbesondere Name, E-Mail-Adresse, Rechnungsadresse und Transaktionsdaten) an Stripe. Vollständige Zahlungsmittelinformationen werden ausschließlich bei Stripe gespeichert und nicht auf unseren Servern gehalten.

Stripe ist als eigenständig Verantwortlicher tätig. Informationen zur Datenschutzpraxis: https://stripe.com/de/privacy. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Für US-Übermittlungen: EU-U.S. Data Privacy Framework + Standardvertragsklauseln.

11. Datenverarbeitung durch Supabase

Die Plattform nutzt Supabase (Supabase Inc., 970 Toa Payoh North, #07-04, Singapur 318992) als Backend-Infrastruktur für Datenbank, Authentifizierung und Objektspeicher (Storage).

Supabase verarbeitet in unserem Auftrag alle gespeicherten Nutzerdaten. Supabase ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig; ein Auftragsverarbeitungsvertrag (DPA) liegt vor.

Datenbankregion: EU (innerhalb der Europäischen Union). Eine Drittlandübermittlung im Sinne der DSGVO findet insoweit nicht statt. Weitere Informationen: https://supabase.com/privacy.

12. Hosting über Vercel

Die Gorilia-Website und -Anwendung wird auf der Infrastruktur von Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Vercel verarbeitet dabei technische Verbindungsdaten als Auftragsverarbeiter; ein DPA liegt vor. Die Übermittlung von Daten in die USA erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission. Vercel Speed Insights und Vercel Analytics werden nicht eingesetzt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem zuverlässigen und leistungsfähigen Hosting). Speicherdauer der Serverprotokolle: 3 Monate.

13. E-Mail-Versand

Für den Versand transaktionaler E-Mails (z. B. Registrierungsbestätigung, Passwort-Reset, Team-Einladungen, Waitlist-Bestätigungen) nutzen wir den Dienst Resend (Resend Inc., 2261 Market Street #5409, San Francisco, CA 94114, USA). Resend ist als Auftragsverarbeiter tätig; ein DPA liegt vor. Die Übermittlung in die USA erfolgt auf Basis der Standardvertragsklauseln. Weitere Informationen: https://resend.com/privacy.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Systemkommunikation).

14. Produktanalyse über PostHog

Diese Plattform nutzt PostHog (PostHog Inc., 965 Market St, Ste 950, San Francisco, CA 94103, USA) zur Erfassung von Nutzungsereignissen und zur Produktanalyse. PostHog wird in unserem Auftrag auf EU-Servern (eu.posthog.com) betrieben; eine Drittlandübermittlung findet insoweit nicht statt.

PostHog erfasst pseudonymisierte Ereignis-Daten zu Ihrer Interaktion mit der Plattform (aufgerufene Seiten, verwendete Funktionen, Sitzungsdauer, Geräteinformationen). Die IP-Adresse wird vor Speicherung anonymisiert.

PostHog wird erst nach Ihrer ausdrücklichen Einwilligung initialisiert. Klicken Sie im Cookie-Banner auf „Nur notwendige", werden keine Analyse-Daten erfasst.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 165 TKG 2021. Sie können Ihre Einwilligung jederzeit über den Cookie-Banner oder durch Löschen des Consent-Cookies widerrufen (siehe Cookie-Richtlinie). Speicherdauer der Analyse-Daten: 3 Monate.

15. Cookies und ähnliche Technologien

Unsere Website und Anwendung verwendet Cookies sowie ähnliche Technologien (Local Storage). Wir unterscheiden zwischen:

  • Technisch notwendige Cookies/Speicher: Für den Betrieb zwingend erforderlich, z. B. Supabase Auth-Session-Token. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO sowie § 165 Abs. 3 TKG 2021.
  • Funktionale Cookies: Speichern von Nutzereinstellungen (zuletzt gewähltes Team, Sidebar-Status, Layout). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Analyse-Cookies/-Speicher: PostHog setzt Cookies und/oder Local-Storage-Einträge nach Einwilligung. Rechtsgrundlage: § 165 Abs. 1 TKG 2021 i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Detaillierte Informationen zu den eingesetzten Cookies, deren Speicherdauer und Opt-out-Möglichkeiten finden Sie in unserer Cookie-Richtlinie.

16. In-App-Benachrichtigungen

Gorilia kann In-App-Benachrichtigungen anzeigen, z. B. über Workspace-Ereignisse oder Team-Einladungen. Benachrichtigungen werden in der Datenbank gespeichert und sind auf den jeweiligen Account beschränkt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

17. Drittlandübermittlungen

Folgende Dienstleister übermitteln Daten in Drittstaaten außerhalb der EU/des EWR:

AnbieterZweckSchutzmaßnahme
Vercel Inc. (USA)Hosting / AI GatewayStandardvertragsklauseln (SCC)
Stripe Inc. (USA)ZahlungsabwicklungEU-U.S. DPF + SCC
Resend Inc. (USA)E-Mail-VersandSCC
Anthropic, PBC (USA)KI-ModellverarbeitungSCC / Art. 49 Abs. 1 lit. b DSGVO
OpenAI, LLC (USA)KI-ModellverarbeitungSCC / Art. 49 Abs. 1 lit. b DSGVO
Google LLC (USA)KI-ModellverarbeitungSCC / Art. 49 Abs. 1 lit. b DSGVO
Supabase Inc. (EU-Region)Datenbank / Auth / StorageKein Drittland (EU-Hosting)
PostHog Inc. (EU-Instanz)ProduktanalyseKein Drittland (EU-Hosting via eu.posthog.com)

Standardvertragsklauseln (SCC) sind Mustervertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO.

18. Empfänger und Auftragsverarbeiter

Wir übermitteln personenbezogene Daten nur in dem Umfang an Dritte, wie es für die Bereitstellung der Plattform erforderlich ist und eine Rechtsgrundlage vorliegt:

  • Vercel Inc. – Hosting, Auftragsverarbeiter
  • Supabase Inc. – Datenbank, Auth, Storage, Auftragsverarbeiter
  • Stripe Payments Europe / Stripe Inc. – Zahlungsabwicklung, eigenständig Verantwortlicher
  • PostHog Inc. – Produktanalyse, Auftragsverarbeiter
  • Resend Inc. – E-Mail-Versand, Auftragsverarbeiter
  • Anthropic, OpenAI, Google (via Vercel AI Gateway) – KI-Modellverarbeitung, eigenständig Verantwortliche und/oder Auftragsverarbeiter je nach vertraglicher Grundlage
  • Behörden und Gerichte, soweit gesetzlich verpflichtet

Eine Weitergabe von Daten zu Werbezwecken an Dritte erfolgt nicht.

19. Speicherdauer

  • Account-Daten: Bis zur Löschung des Accounts auf Anfrage. Eine automatisierte Löschfrist ist derzeit nicht definiert.
  • Chat-Verläufe / KI-Inhalte: Bis zur Account-Löschung oder auf Anfrage.
  • Rechnungs- und Zahlungsdaten: 7 Jahre gemäß österreichischem Steuerrecht (§ 132 BAO).
  • Waitlist-Daten: 3 Monate oder bis zum Widerruf der Einwilligung.
  • Kontaktanfragen: 3 Monate nach abschließender Bearbeitung.
  • Server-/Zugriffslogs: 3 Monate.
  • Analyse-Daten (PostHog): 3 Monate.
  • Session-Tokens: Bis zum Ablauf der Sitzung oder zur Abmeldung.
  • Consent-Cookie: 1 Jahr.

20. Ihre Rechte als betroffene Person

Ihnen stehen nach Maßgabe der DSGVO folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO) – gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: admin@kracht.at.

21. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.

Zuständige Aufsichtsbehörde für uns ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien, Österreich
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder des Orts des mutmaßlichen Verstoßes wenden.

22. Aktualität und Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig (Stand: März 2026). Wir behalten uns vor, diese Erklärung anzupassen, wenn sich rechtliche Anforderungen oder die technische Infrastruktur ändern. Die jeweils aktuelle Version ist unter https://gorilia.app/privacy-policy abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail oder über einen Hinweis beim nächsten Login informiert.