Die vorliegende Erklärung beschreibt die Modalitäten der Verarbeitung personenbezogener Daten der Nutzer der Website dallamaga.com („der Dienst“) gemäß Art. 13 und 14 der DSGVO (Verordnung (EU) 2016/679) sowie dem italienischen Gesetzesvertretenden Dekret Nr. 196/2003 (Codice Privacy — italienisches Datenschutzgesetzbuch) in der durch das Dekret Nr. 101/2018 geänderten Fassung. Der Dienst wird auf anonymer Basis angeboten: Es sind weder ein Nutzerkonto noch eine Registrierung noch ein Profiling vorgesehen.
Zum Schutz der Privatsphäre des Inhabers sind der vollständige Vor- und Nachname sowie die vollständige Anschrift des Sitzes jederzeit auf Anfrage erhältlich, per E-Mail an [email protected]. Die Anfrage wird umgehend beantwortet.
Der Dienst ist darauf ausgelegt, die Erhebung personenbezogener Daten zu minimieren (Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO). Es werden ausschließlich die folgenden Kategorien verarbeitet:
IP-Adresse, User-Agent des Browsers, Typ und Version des Betriebssystems, eingestellte Sprache, Zugriffszeitstempel, besuchte Seiten, Verweis (HTTP-Referer). Diese Daten werden von den IT-Systemen automatisch erhoben, für das ordnungsgemäße Funktionieren des Dienstes, für aggregierte statistische Zwecke und für Sicherheitszwecke (Missbrauchserkennung, Betrugs- und Bot-Prävention).
Technische Sitzungskennung (flüchtiges, clientseitig gespeichertes Token), gewählte Sibilla, Interaktionsmodus (Sprache/Text), Zeitstempel von Beginn und Ende der Sitzung, Restdauer des erworbenen Guthabens.
Vom Nutzer eingegebener Text, Sprachtranskription (im Sprachmodus), von der künstlichen Intelligenz erzeugte Antworten, gezogene symbolische Karten. Diese Inhalte werden in Echtzeit und ausschließlich für die zur Erzeugung der Antwort unbedingt erforderliche Zeit verarbeitet. Einzelheiten zur Speicherdauer enthält Abschnitt 03.
Im Sprachmodus erfordert der Start der Sitzung die Erlaubnis des Browsers zum Zugriff auf das Mikrofon. Der erfasste Audiostream wird in Echtzeit in verschlüsselter Form an die KI-Anbieter übertragen, ausschließlich zum Zweck des Speech-to-Text (automatische Echtzeit-Transkription) und des Text-to-Speech (Synthese der Sprachantwort).
Die Stimme des Nutzers wird ausschließlich für die vorgenannten Zwecke verarbeitet und nicht zur eindeutigen Identifizierung des Nutzers verwendet: Sie stellt daher gemäß Art. 4 Nr. 14 DSGVO und den EDSA-Leitlinien 3/2019 kein biometrisches Datum dar und fällt nicht unter die besonderen Datenkategorien nach Art. 9 DSGVO. Der Audiostream wird weder aufgezeichnet, gespeichert oder archiviert noch zum Training von Sprachmodellen oder zu Profilingzwecken verwendet.
Aus Gründen, die der Funktionsweise des Mikrofons innewohnen, kann der Stream Hintergrundgeräusche, Stimmen anwesender Dritter, Klingeltöne oder Audioinhalte anderer Geräte erfassen. Solche Inhalte werden, sofern unbeabsichtigt erfasst, nach derselben Flüchtigkeitslogik behandelt wie die Stimme des Nutzers. Die Verantwortung für ihre Rechtmäßigkeit (Einwilligung der anwesenden Dritten) liegt gemäß den Nutzungsbedingungen ausschließlich beim Nutzer.
Rechnungs-E-Mail (freiwillig, beim Kauf des Pakets angegeben), erworbenes Paket, Betrag, Kennung der Stripe-Transaktion, Ergebnis der Zahlung. Die Kreditkartendaten laufen nicht über die Server des Verantwortlichen: Sie werden direkt von Stripe Payments Europe Limited als eigenständigem Verantwortlichen erhoben, verwahrt und verarbeitet.
Im Fall der Anforderung einer elektronischen Rechnung: Bezeichnung oder Vor- und Nachname, Steuernummer und/oder USt-IdNr., Empfängercode oder zertifizierte E-Mail-Adresse (PEC), Rechnungsanschrift.
Vom Nutzer an die Adresse [email protected] gesendete E-Mails: Inhalt der Nachricht, etwaige Anhänge, E-Mail-Adresse des Absenders.
Daten, die der Verantwortliche NICHT erhebt und NICHT erhalten möchte. Der Dienst verlangt keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung) und möchte solche auch nicht erhalten, ebenso wenig Daten über strafrechtliche Verurteilungen oder Straftaten (Art. 10 DSGVO). Der Nutzer wird gebeten, solche Informationen während der Sitzungen nicht mitzuteilen; in jedem Fall gewährleistet die flüchtige Natur der Verarbeitung (siehe Abschnitt 03), dass jeglicher Kontakt des Verantwortlichen mit solchen Daten rasch endet.
Die erhobenen Daten werden für die folgenden Zwecke verarbeitet, jeweils gestützt auf eine spezifische Rechtsgrundlage gemäß Art. 6 DSGVO:
Die Bereitstellung der für die Erbringung des Dienstes unbedingt erforderlichen Daten ist verpflichtend: Die Verweigerung führt dazu, dass der Dienst nicht genutzt werden kann. Die Bereitstellung der Daten für die elektronische Rechnungsstellung ist freiwillig und erfolgt nur auf ausdrückliche Anforderung des Nutzers.
Die personenbezogenen Daten werden nur so lange aufbewahrt, wie es zur Erreichung der Zwecke, für die sie erhoben wurden, unbedingt erforderlich ist, gemäß den folgenden Höchstfristen:
Nach Ablauf dieser Fristen werden die Daten gelöscht oder unumkehrbar anonymisiert.
Der Dienst ist nach dem Grundsatz des Datenschutzes durch Technikgestaltung (Privacy by Design, Art. 25 DSGVO) konzipiert, um die Speicherung des Gesprächsinhalts strukturell zu minimieren:
Diese Architektur hat eine wichtige Konsequenz für den Nutzer: Der Inhalt einer vergangenen Sitzung kann nicht wiederhergestellt werden. Nutzer, die eine Aufzeichnung ihrer Sitzung aufbewahren möchten, werden gebeten, während der Sitzung selbstständig eine Kopie zu sichern (Screenshot oder manuelle Abschrift), unter Beachtung der Bestimmungen in Art. 9 der Nutzungsbedingungen über das geistige Eigentum an den erzeugten Inhalten.
Diese Gestaltungsentscheidung ist dadurch begründet, dass die Gespräche mit den Sibillen persönliche und intime Themen berühren können: Die strukturelle Nicht-Speicherung gewährleistet dem Nutzer die größtmögliche Vertraulichkeit, weit über das hinaus, was die Rechtsvorschriften unbedingt verlangen.
Für die Erbringung des Dienstes bedient sich der Verantwortliche qualifizierter Dritter, die als Auftragsverarbeiter (Art. 28 DSGVO) oder als eigenständige Verantwortliche tätig sind, jeweils geregelt durch eine entsprechende Vereinbarung (Data Processing Agreement oder gleichwertig). Die zum Datum dieser Fassung eingesetzten Subprozessoren sind:
Rolle: Abwicklung elektronischer Zahlungen.
Sitz: Irland (Europäische Union).
Einordnung: eigenständiger Verantwortlicher für die Zahlungsdaten im Sinne seiner eigenen Datenschutzerklärung.
Rolle: Erzeugung der Text- und Sprachantworten auf der Grundlage der Eingaben des Nutzers.
Sitz: Vereinigte Staaten von Amerika (außerhalb der Europäischen Union).
Einordnung: Auftragsverarbeiter gemäß Art. 28 DSGVO für die über die kommerzielle API übermittelten Daten.
Der Verantwortliche wählt Anbieter aus, die zum Datum dieser Fassung in ihren für den kommerziellen API-Kanal geltenden Bedingungen erklären: (a) die übermittelten Ein- und Ausgaben nicht zum Training ihrer Modelle zu verwenden; (b) Richtlinien einer begrenzten technischen Datenaufbewahrung anzuwenden, die ausschließlich der Sicherheit des Dienstes dient; (c) die Konformität mit der DSGVO durch von der Europäischen Kommission genehmigte Standardvertragsklauseln zu gewährleisten.
Die aktuelle Liste der derzeit eingesetzten KI-Anbieter ist auf Anfrage per E-Mail an [email protected] erhältlich. Der Verantwortliche überprüft regelmäßig den Fortbestand der vorgenannten Bedingungen.
Rolle: CDN, DDoS-Schutz, Netzwerkoptimierung, DNS.
Sitz: Vereinigte Staaten von Amerika.
Übermittlung außerhalb der EU: Standardvertragsklauseln gemäß Art. 46 DSGVO; automatisch anwendbares Data Processing Addendum von Cloudflare.
Rolle: Hosting der Anwendungsserver des Dienstes.
Sitz: Europäische Union (Italien — Rechenzentrum Mailand).
Einordnung: Auftragsverarbeiter gemäß Art. 28 DSGVO.
Der Verantwortliche behält sich das Recht vor, Subprozessoren zu ändern, zu ersetzen oder hinzuzufügen; bei wesentlichen Änderungen teilt er dies vorab durch Aktualisierung dieser Erklärung mit einer Frist von mindestens 30 Tagen mit. Ein Nutzer, der einem neuen Subprozessor begründet widerspricht, kann die Beendigung des Dienstes und die Erstattung des nicht genutzten Restguthabens verlangen.
Einige Subprozessoren (Cloudflare, Anbieter künstlicher Intelligenz) haben ihren Sitz in den Vereinigten Staaten von Amerika, einem Land außerhalb des Europäischen Wirtschaftsraums. Die Übermittlung personenbezogener Daten an diese Stellen erfolgt auf der Grundlage der folgenden Garantien gemäß Kapitel V DSGVO:
Besondere Aufmerksamkeit gilt den Anbietern künstlicher Intelligenz, deren für den kommerziellen API-Kanal geltende Bedingungen zum Datum dieser Fassung ausdrücklich vorsehen, dass die übermittelten Daten (Ein- und Ausgaben, in Text- und Sprachform) nicht zum Training der Modelle verwendet werden, außer bei ausdrücklichem Opt-in des Kunden. Der Verantwortliche hat ein solches Opt-in für den Dienst nicht erteilt und wird es nicht erteilen. Die technische Aufbewahrung der Prompts bei den KI-Anbietern ist auf kurze Zeiträume beschränkt, die ausschließlich der Sicherheit des Dienstes und der Erkennung von Missbrauch dienen.
Sitzungen im Sprachmodus beinhalten die Echtzeit-Übertragung von Audiostreams an die Anbieter künstlicher Intelligenz mit Sitz in den Vereinigten Staaten. Diese Übermittlung erfolgt in verschlüsselter Form (TLS 1.2 oder höher), mit denselben rechtlichen Garantien, wie sie für Textdaten vorgesehen sind (Standardvertragsklauseln nach Art. 46 DSGVO, gegebenenfalls Data Privacy Framework). Der Audiostream wird im Streaming verarbeitet: Weder die eingehende noch die ausgehende Audiodatei wird von den Anbietern länger aufbewahrt, als es für den Speech-to-Text- und Text-to-Speech-Dienst unbedingt erforderlich ist, wie in deren anwendbaren Richtlinien erklärt.
Der Nutzer kann eine Kopie der angewandten Garantien (Standardvertragsklauseln, Nachweise der Teilnahme am Data Privacy Framework) per E-Mail an [email protected] anfordern.
Der Dienst verwendet ausschließlich technische Cookies und gleichgestellte Technologien (sessionStorage, localStorage), die für das Funktionieren der Website und die Erbringung des vom Nutzer angeforderten Dienstes unbedingt erforderlich sind. Für solche Cookies ist gemäß Art. 122 des italienischen Gesetzesvertretenden Dekrets Nr. 196/2003 und den Leitlinien der italienischen Datenschutzaufsichtsbehörde (Garante) vom 10. Juni 2021 (in Deutschland entsprechend § 25 Abs. 2 TDDDG) keine vorherige Einwilligung des Nutzers erforderlich.
Der Dienst verwendet keine Profiling-Cookies, Werbe-Cookies, Tracking-Cookies von Drittanbietern oder Marketing-Pixel. Es ist kein einwilligungspflichtiger Analytics-Tracker von Drittanbietern vorhanden.
Die Nutzung des Sprachmodus erfordert die Erlaubnis des Browsers zum Zugriff auf das Mikrofon. Diese Erlaubnis wird direkt vom Betriebssystem und vom Browser des Nutzers verwaltet, der bei der ersten Nutzung eine native Abfrage anzeigt. Der Verantwortliche hat außerhalb der vom Nutzer ausdrücklich gestarteten Sprachsitzung keinen Zugriff auf das Mikrofon. Die Berechtigung kann jederzeit in den Datenschutzeinstellungen des Browsers widerrufen werden (Bereich „Website-Berechtigungen“ oder vergleichbar).
Der Nutzer kann Cookies jederzeit über die Einstellungen seines Browsers verwalten oder löschen. Die Deaktivierung technischer Cookies kann das Funktionieren des Dienstes beeinträchtigen.
Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, darunter:
Trotz der ergriffenen Maßnahmen kann kein IT-System als absolut sicher gelten: Im Fall einer Verletzung, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen kann, wird der Verantwortliche die in Art. 33 und 34 DSGVO vorgesehenen Meldungen und Benachrichtigungen vornehmen.
Der Nutzer kann als betroffene Person im Sinne der DSGVO jederzeit und unentgeltlich die folgenden Rechte ausüben:
Zur Ausübung seiner Rechte kann der Nutzer an die Adresse [email protected] schreiben und dabei angeben: (a) die Art des ausgeübten Rechts; (b) die Elemente, die die Identifizierung seiner Position als betroffene Person ermöglichen (zum Beispiel die beim Kauf verwendete E-Mail-Adresse, die Kennung der Stripe-Transaktion, Datum und ungefähre Uhrzeit der Sitzung). Der Verantwortliche antwortet innerhalb von 30 Tagen nach Eingang; diese Frist kann bei besonderer Komplexität um weitere 60 Tage verlängert werden, worüber die betroffene Person informiert wird.
Technische Grenze der Rechtsausübung bei Gesprächen. Da der Inhalt der Beratungen nicht aufbewahrt wird (siehe Abschnitt 04), ist der Verantwortliche nach dem Ende der Sitzung faktisch nicht in der Lage, eine Kopie oder die Löschung dieser Inhalte bereitzustellen, da sie in seinen Systemen bereits nicht mehr vorhanden sind. Bei den aufbewahrten Daten (Transaktionen, technische Logs, E-Mail-Kommunikation) sind die Rechte im gesetzlichen Rahmen uneingeschränkt ausübbar.
Der Dienst ist ausschließlich Personen vorbehalten, die die Volljährigkeit nach dem anwendbaren italienischen Recht erreicht haben. Der Verantwortliche erhebt wissentlich keine personenbezogenen Daten Minderjähriger.
Erlangt der Verantwortliche Kenntnis davon, dass eine minderjährige Person den Dienst unter Abgabe unwahrer Erklärungen bei der Annahme der Bedingungen genutzt hat, wird er unverzüglich alle auf diese Person bezogenen Daten löschen, vorbehaltlich der Aufbewahrung der Daten, die zur Erfüllung gesetzlicher Pflichten und zur Rechtsverteidigung unbedingt erforderlich sind.
Eltern oder Inhaber der elterlichen Verantwortung, die annehmen, dass ihr minderjähriges Kind den Dienst genutzt hat, werden gebeten, dies umgehend an die Adresse [email protected] zu melden.
Der Nutzer, der der Auffassung ist, dass die Verarbeitung seiner personenbezogenen Daten gegen die DSGVO verstößt, hat das Recht, Beschwerde bei der italienischen Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) — der für den Verantwortlichen zuständigen Aufsichtsbehörde — einzulegen, nach den in Art. 77 DSGVO und im italienischen Gesetzesvertretenden Dekret Nr. 196/2003 festgelegten Modalitäten und Fristen.
Sitz: Piazza Venezia 11, 00187 Roma
Telefonzentrale: +39 06 696771
E-Mail: [email protected] — PEC: [email protected]
Website: www.garanteprivacy.it
Nutzer mit Wohnsitz in einem anderen Mitgliedstaat der Europäischen Union können Beschwerde bei der Aufsichtsbehörde ihres Wohnsitzlandes, ihres Arbeitsorts oder des Orts des mutmaßlichen Verstoßes einlegen. Insbesondere können sich Nutzer mit Wohnsitz in Deutschland an die Datenschutzbehörde ihres Bundeslandes (Landesdatenschutzbeauftragte bzw. Landesdatenschutzbehörde) oder an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit — BfDI (bfdi.bund.de) wenden; für Frankreich ist die CNIL — Commission Nationale de l'Informatique et des Libertés (cnil.fr) zuständig.
Die vorliegende Datenschutzerklärung kann jederzeit geändert werden, um sie an neue rechtliche Anforderungen, die Weiterentwicklung des Dienstes oder die Einführung neuer Subprozessoren anzupassen. Änderungen werden auf dieser Seite unter Angabe des Datums des Inkrafttretens und der neuen Version veröffentlicht.
Bei wesentlichen Änderungen, die die Rechte der betroffenen Personen erheblich berühren, wird der Verantwortliche dies durch einen deutlich sichtbaren Hinweis auf der Website mindestens 30 Tage vor dem Inkrafttreten mitteilen.
Der Nutzer wird gebeten, diese Erklärung regelmäßig einzusehen, um stets über die Modalitäten der Verarbeitung seiner Daten informiert zu sein.