Datenschutzerklärung
Stand: 1. Juni 2026 · Wir behandeln deine Daten so sorgfältig wie unsere eigenen.
Storyo ist ein Produkt der Pirates World GmbH.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Pirates World GmbHGeschäftsführer: Maximilian Anzile
Kapellenweg 6
81371 München
Deutschland
E-Mail: info@pirates-world.de
Telefon: +49 (0) 89 2727 2271
Registergericht: Amtsgericht München, HRB 216515
Für Storyo-spezifische Anfragen erreichst du uns auch unter hello@storyo-audio.com.
2. Datenschutzbeauftragter
Der Datenschutzbeauftragte der Pirates World GmbH ist:
Christian SchusterKapellenweg 6
81371 München
Telefon: +49 (0) 89 2727 2271
E-Mail: schuster@socialmediapiraten.de
3. Deine Rechte als betroffene Person
Du hast gegenüber uns folgende Rechte hinsichtlich der dich betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Du kannst Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO): Du kannst die unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkungsrecht (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen.
- Widerspruchsrecht (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen.
- Datenübertragbarkeit (Art. 20 DSGVO): Du kannst verlangen, deine Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, kannst du diese jederzeit für die Zukunft widerrufen.
- Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Die zuständige Behörde für Bayern ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Postfach 606, 91511 Ansbach — www.lda.bayern.de. Du kannst dich auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden: www.bfdi.bund.de.
Zur Ausübung deiner Rechte schreib uns an: hello@storyo-audio.com
4. Welche Daten wir erheben
Je nach Nutzung des Dienstes verarbeiten wir folgende Kategorien personenbezogener Daten:
- Account-Daten: E-Mail-Adresse, Name (optional), Passwort-Hash, Sprachpräferenz, gewählter Tarif.
- Kinder-Profile: Vorname des Kindes (von Elternteil eingegeben), Altersgruppe, Sprachpräferenz. Kein Geburtsdatum erforderlich.
- Story-Generierungsdaten: Vom Nutzer eingegebene Themen, Stichworte, hochgeladene Texte (DOCX/PDF), gewählte Stimmen und Länge — werden zur Ausführung der Anfrage an unsere KI-Anbieter übertragen.
- Generierte Audiodateien: MP3-Dateien werden auf Cloudflare R2 (EU-Region) gespeichert und dem Nutzerkonto zugeordnet.
- Zahlungsdaten: Zahlungsabwicklung erfolgt ausschließlich über Stripe. Wir erhalten nur anonymisierte Transaktions-IDs und den Zahlungsstatus — keine Kreditkartendaten.
- IP-Hash (Demo-Limit): Zur Verhinderung von Missbrauch des kostenlosen Demo-Angebots wird ein gehashter (SHA-256, gesalzen) IP-Fingerprint gespeichert. Kein Klartextbezug zur IP-Adresse.
- Server-Logfiles: Bei jedem Aufruf unserer Seiten werden automatisch Informationen übermittelt: IP-Adresse, Browser-Typ, Datum und Uhrzeit, aufgerufene Seite, Referrer-URL, HTTP-Statuscode.
- Cookies und ähnliche Technologien: Siehe Abschnitt 10.
5. Zweck und Rechtsgrundlage der Verarbeitung
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Account-Daten (E-Mail, Name) | Vertragserfüllung: Account-Erstellung, Login, Kundenkommunikation | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Kinder-Profile | Personalisierung der Story-Generierung nach Alter und Sprache | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Story-Eingaben | Übertragung an KI-Anbieter zur Generierung der Geschichte | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Audiodateien | Speicherung und Bereitstellung generierter Inhalte | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Essenzielle Cookies | Session-Management, technischer Betrieb | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Marketing-Cookies (optional) | Anonyme Nutzungsanalyse zur Produktverbesserung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| IP-Hash Demo-Limit | Schutz vor Missbrauch des kostenlosen Angebots | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Server-Logfiles | IT-Sicherheit, Fehlerbehebung, Betriebsstabilität | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Zahlungsdaten | Abwicklung von Abonnements und Zahlungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| E-Mail-Kommunikation | Transaktionale E-Mails (Bestätigungen, Rechnungen) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Newsletter | Marketing-Kommunikation nach ausdrücklicher Anmeldung | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
6. Besonderer Schutz von Kinderdaten
Storyo richtet sich an Eltern und Erziehungsberechtigte — nicht direkt an Kinder. Kinder können Storyo nur im Rahmen eines von einem Erwachsenen erstellten Familienaccounts nutzen.
Gemäß Art. 8 DSGVO und § 3 BDSG verarbeiten wir keine Daten von Kindern unter 16 Jahren ohne Einwilligung der Eltern oder Erziehungsberechtigten. Die Registrierung erfordert die Bestätigung, volljährig zu sein. Kinder-Profildaten (Vorname, Altersgruppe) werden ausschließlich auf Eingabe des Elternteils gespeichert.
Generierte Audioinhalte werden auf Alterseignung geprüft (Vault-System mit pädagogischer Kuratie). Es werden keine Daten über das Nutzungsverhalten von Kindern an Dritte weitergegeben.
7. Drittanbieter und Auftragsverarbeiter
Zur Erbringung unserer Dienste setzen wir folgende Auftragsverarbeiter ein, mit denen wir Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen haben oder die DSGVO-konform nach europäischen Standards operieren:
| Anbieter | Zweck | Sitz | DSGVO-Grundlage |
|---|---|---|---|
| ElevenLabs (Wave AI Inc.) | Text-zu-Sprache, Soundeffekte, Musik-Generierung | USA | AVV + Standardvertragsklauseln (SCC) |
| Anthropic PBC (Claude) | Story-Generierung (Premium-Nutzer) | USA | AVV + Standardvertragsklauseln (SCC) |
| Mistral AI | Story-Generierung (Standard-Tier) | Frankreich (EU) | DSGVO-nativ (EU-Unternehmen) |
| OpenAI | Story-Generierung (Fallback) | USA | AVV + Standardvertragsklauseln (SCC) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Abonnement-Verwaltung | Irland (EU) | DSGVO-konform, EU-Unternehmen |
| Supabase | Datenbank, Authentifizierung | Frankfurt, Deutschland (EU) | AVV, EU-Hosting |
| Cloudflare | CDN, Bot-Schutz, R2-Objektspeicher (EU-Region) | USA (EU-Serverstandort für Daten) | Standardvertragsklauseln (SCC), EU-DPA |
| Hetzner Online GmbH | Backend-Hosting, Server-Infrastruktur | Deutschland (EU) | DSGVO-nativ, deutsches Unternehmen |
| Resend | Transaktionale E-Mails (Bestätigungen, Rechnungen) | EU-Region | AVV, EU-Datenverarbeitung |
| fal.ai | Cover-Bild-Generierung für Hörspiele | USA | AVV + Standardvertragsklauseln (SCC) |
| GitHub (Microsoft) | Code-Hosting (nur interne Entwicklung, keine Nutzerdaten) | USA | Keine Nutzerdaten betroffen |
8. Datenübermittlung in Drittstaaten
Einige der oben genannten Anbieter haben ihren Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (USA). Bei der Übermittlung personenbezogener Daten in diese Länder bedienen wir uns der von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als geeignete Garantien.
Im Einzelnen:
- ElevenLabs, Anthropic, OpenAI, fal.ai (USA): Übermittlung auf Basis von Standardvertragsklauseln und AVV. Eingabedaten werden ausschließlich zur Erbringung der jeweils angefragten Leistung genutzt und nicht für das Training von KI-Modellen verwendet, sofern in den jeweiligen Nutzungsbedingungen (ToS) vereinbart.
- Cloudflare: Audiodateien werden in der EU-Region (R2) gespeichert. CDN-Funktionen können globale Infrastruktur nutzen; Standardvertragsklauseln liegen vor.
9. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Account-Daten | Bis zur Konto-Löschung, danach max. 30 Tage für technische Abwicklung |
| Kinder-Profile | Bis zur Löschung durch Elternteil oder Account-Löschung |
| Generierte Audiodateien | Bis zur manuellen Löschung durch Nutzer oder Account-Löschung |
| Rechnungs- und Zahlungsdaten | 10 Jahre (gesetzliche Aufbewahrungspflicht nach §§ 147 AO, 257 HGB) |
| Server-Logfiles (Hetzner) | 14 Tage, dann automatische Löschung |
| IP-Hash Demo-Limit | 24 Stunden, dann automatische Löschung |
| Newsletter-Einwilligung | Bis zum Widerruf, Dokumentation der Einwilligung 3 Jahre nach Abmeldung |
| Cookie-Einwilligung (storyo_consent) | 12 Monate |
10. Cookies
Wir setzen folgende Cookies ein:
| Name | Anbieter | Zweck | Dauer | Typ |
|---|---|---|---|---|
storyo_session |
Storyo (Supabase) | Session-Management, Login-Zustand | Session (Browserfenster) | Essenziell |
storyo_consent |
Storyo | Speicherung deiner Cookie-Einwilligung | 12 Monate | Essenziell |
storyo_demo_used |
Storyo | Anti-Missbrauch Demo-Limit (1 Demo = 1 Sitzung) | 24 Stunden | Essenziell |
storyo_kids |
Storyo | Kinder-Profil-Präferenzen (localStorage, kein Cookie) | Persistent (bis Löschung) | Essenziell · localStorage |
cf_clearance |
Cloudflare | Bot-Schutz, Sicherheitsprüfung | 30 Monate | Essenziell |
Derzeit setzen wir keine Marketing- oder Tracking-Cookies ein. Falls in Zukunft anonyme Analytics-Cookies hinzukommen, werden diese nur nach ausdrücklicher Einwilligung gesetzt.
Du kannst die Cookie-Einstellungen jederzeit über den Link "Cookies verwalten" im Footer dieser Seite anpassen oder Cookies in deinen Browser-Einstellungen löschen.
11. Server-Logfiles
Unser Hosting-Anbieter Hetzner Online GmbH erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die dein Browser automatisch übermittelt:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgte (Referrer-URL)
- Verwendeter Browser und Betriebssystem
- Name des Internet-Service-Providers
- HTTP-Statuscode
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb). Logfiles werden nach 14 Tagen automatisch gelöscht.
12. Newsletter und E-Mail-Kommunikation
Wenn du unseren Newsletter abonnierst, erheben wir deine E-Mail-Adresse und (optional) deinen Vornamen. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach der Eingabe erhältst du eine Bestätigungs-E-Mail und musst die Anmeldung durch einen Klick bestätigen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
E-Mails werden über Resend (EU-Region) versendet. Du kannst den Newsletter jederzeit über den Abmelde-Link in jeder E-Mail oder per E-Mail an hello@storyo-audio.com abbestellen.
Transaktionale E-Mails (Registrierungsbestätigung, Rechnungen, Passwort-Reset) sind vertragsnotwendig und können nicht abbestellt werden, solange ein aktives Konto besteht.
13. Zahlungsabwicklung via Stripe
Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe Payments Europe Ltd., C/O A&L Goodbody, Ifsc, North Wall Quay, Dublin 1, Irland.
Bei Abschluss eines kostenpflichtigen Abonnements werden die für die Zahlung notwendigen Daten (Name, E-Mail, Zahlungsmitteldetails) direkt an Stripe übermittelt und dort verarbeitet. Wir selbst speichern keine Kreditkarten- oder Kontodaten. Stripe ist PCI-DSS-zertifiziert und verarbeitet Daten im Rahmen seiner Datenschutzrichtlinie: stripe.com/de/privacy.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist als EU-Unternehmen DSGVO-konform.
14. KI-Datenverarbeitung
Zur Generierung von Geschichten und Audioinhalt übertragen wir von dir eingegebene Story-Themen, Stichworte und ggf. hochgeladene Texte an unsere KI-Anbieter (Mistral AI, Anthropic/Claude, OpenAI als Fallback). Zur Generierung von Audioinhalt werden KI-generierte Texte an ElevenLabs übertragen.
Was wir sicherstellen:
- Deine Eingaben werden ausschließlich zur Erbringung der angefragten Leistung genutzt.
- Kein Anbieter trainiert seine Modelle mit deinen Daten (soweit in den jeweiligen Enterprise-/API-Bedingungen vereinbart).
- Wir übertragen keine personenbezogenen Daten (Name, E-Mail, Account-Informationen) als Teil der Story-Anfragen an KI-Anbieter.
- Bitte keine sensiblen persönlichen Informationen (Adressen, Telefonnummern, medizinische Daten) in Story-Eingaben aufnehmen.
Rechtsgrundlage für die Übertragung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Drittstaaten-Übermittlung an US-Anbieter erfolgt auf Basis von Standardvertragsklauseln.
15. Technische und organisatorische Maßnahmen (TOM)
Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:
- Transportverschlüsselung: Alle Daten werden ausschließlich über TLS 1.2/1.3 (HTTPS) übertragen.
- Speicherverschlüsselung: Daten in der Datenbank (Supabase/PostgreSQL) werden AES-256 verschlüsselt at-rest gespeichert.
- Zugriffsrechte: Zugriff auf Produktionsdaten ist auf das notwendige Minimum beschränkt (Least-Privilege-Prinzip).
- Passwörter: Passwörter werden ausschließlich als bcrypt-Hashes gespeichert, keine Klartextpasswörter.
- Backups: Tägliche automatisierte Backups mit verschlüsselter Speicherung.
- Clouflare WAF: Web Application Firewall zum Schutz vor bekannten Angriffsmustern.
16. Konto-Löschung und Datenlöschung
Du kannst dein Konto und alle damit verbundenen Daten jederzeit selbst löschen. Die Löschung ist über die Account-Einstellungen in der App verfügbar. Nach Bestätigung werden deine Daten innerhalb von maximal 30 Tagen vollständig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (z.B. für Rechnungsdaten) bestehen.
Alternativ kannst du die Löschung per E-Mail an hello@storyo-audio.com beantragen. Wir bestätigen die Löschung innerhalb von 30 Tagen.
17. Beschwerderecht bei Aufsichtsbehörden
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten durch uns zu beschweren.
Zuständige Behörde für Bayern:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
www.lda.bayern.de
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI):
Graurheindorfer Str. 153
53117 Bonn
www.bfdi.bund.de
Stand dieser Datenschutzerklärung: 1. Juni 2026. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
Hinweis: Diese Datenschutzerklärung wurde sorgfältig erstellt, ersetzt jedoch keine Rechtsberatung. Empfehlenswert ist eine anwaltliche Prüfung vor dem Go-Live.