Wir kümmern uns um die Sicherheit, damit dein Team es nicht muss

Ja. Photoroom verfügt über eine SOC 2 Typ 2-Bescheinigung, die sich auf unseren API-Dienst bezieht. Der aktuellste Bericht (April 2026) und die aktuellen Kontrollen sind im Trust Center verfügbar. Falls dein Einkauf Nachweise für einen anderen Geltungsbereich benötigt, wende dich frühzeitig an das Vertriebsteam.

Ja, beides trifft zu. Wir arbeiten nach den Grundsätzen der DSGVO, mit einer dokumentierten Liste von Sub-Prozessoren, einem definierten Prozess zur Meldung von Datenschutzverletzungen und der Anonymisierung personenbezogener Daten vor jedem Modelltraining. Für Enterprise-Kunden ist eine Vereinbarung zur Auftragsverarbeitung über dein Account-Team verfügbar.

Das hängt von deinem Vertrag ab.

• Enterprise-Verträge: standardmäßig nein. Training findet nur statt, wenn dies ausdrücklich schriftlich vereinbart wurde.

• Self-Service-API-Tarife: standardmäßig ja, mit einer vom Kunden gesteuerten Opt-out-Möglichkeit in den Kontoeinstellungen.

• Alle Tarife: Trainingsdaten und Produktionsdaten werden getrennt gespeichert. Der Zugriff auf Trainingsdaten ist auf Mitglieder des ML-Teams beschränkt und jeder Zugriff wird protokolliert.

Unsere Infrastruktur läuft auf der Google Cloud Platform und Amazon Web Services in den USA. Daten werden während der Übertragung mit TLS 1.2 oder höher verschlüsselt (verwaltet über Cloudflare). Daten im Ruhezustand werden auf Infrastrukturebene von GCP und AWS verschlüsselt. Eine ausschließliche Datenresidenz in der EU ist derzeit nicht verfügbar. Wenn regionale Datenresidenz eine Vertragsanforderung ist, sprich das frühzeitig mit dem Vertriebsteam an.

Bilder, die über die Sync-API verarbeitet werden, werden sofort nach der Antwort gelöscht. Bilder aus der Async-API werden kurzzeitig gespeichert, solange der Auftrag läuft, und danach gelöscht. Betriebsprotokolle werden nach 15 Tagen gelöscht. API-Zugriffsprotokolle werden ein Jahr lang aufbewahrt und stehen für Sicherheitsuntersuchungen und Prüfungsanfragen zur Verfügung.

GCP und AWS für Hosting und Speicherung, Cloudflare für CDN, Sicherheit und DNS, Datadog für Ereignisprotokollierung und API-Parameterprotokolle sowie Vercel für Hosting. Die aktuelle Liste findest du im Trust Center.

Ein Vorfall ist dokumentiert (Oktober 2024): eine 30-minütige Unterbrechung der Serviceverfügbarkeit. Es wurden keine Kundendaten kompromittiert. Das Ereignis wurde dokumentiert und im Rahmen unseres Incident-Response-Prozesses überprüft.

Ja. Du kannst in den Kontoeinstellungen festlegen, dass deine Daten nicht zur Verbesserung des Modells beitragen. Wenn Daten für das Training verwendet werden, werden persönliche Daten vorher anonymisiert. Hinweis: Dies ist getrennt von der API-Kundenregelung, bei der der Standard vertraglich festgelegt ist (Enterprise: standardmäßig nein; Self-Service: Opt-out möglich).