— Erklärung gemäß Art. 13-14 DSGVO —

Datenschutzerklärung

Letzte Aktualisierung: 4. Juli 2026 — Version 1.2

Die vorliegende Erklärung beschreibt die Modalitäten der Verarbeitung personenbezogener Daten der Nutzer der Website dallamaga.com („der Dienst“) gemäß Art. 13 und 14 der DSGVO (Verordnung (EU) 2016/679) sowie dem italienischen Gesetzesvertretenden Dekret Nr. 196/2003 (Codice Privacy — italienisches Datenschutzgesetzbuch) in der durch das Dekret Nr. 101/2018 geänderten Fassung. Der Dienst wird auf anonymer Basis angeboten: Es sind weder ein Nutzerkonto noch eine Registrierung noch ein Profiling vorgesehen.

— Verantwortlicher für die Datenverarbeitung —
Bezeichnung
Akula Dev Team
Sitz
Montecatini Terme (PT) — Italien
USt-IdNr. (Partita IVA)
IT02135800478
Kontakt-E-Mail
[email protected]
Datenschutzbeauftragter
Nicht benannt (die Voraussetzungen einer Benennungspflicht nach Art. 37 DSGVO liegen nicht vor)

Zum Schutz der Privatsphäre des Inhabers sind der vollständige Vor- und Nachname sowie die vollständige Anschrift des Sitzes jederzeit auf Anfrage erhältlich, per E-Mail an [email protected]. Die Anfrage wird umgehend beantwortet.

— Inhaltsverzeichnis —
  1. Kategorien der erhobenen Daten
  2. Zwecke und Rechtsgrundlagen
  3. Speicherdauer der Daten
  4. Flüchtige Natur der Sitzungen
  5. Empfänger und Subprozessoren
  6. Übermittlungen außerhalb der EU
  7. Cookies und ähnliche Technologien
  8. Sicherheit der Verarbeitung
  9. Rechte der betroffenen Person
  10. Minderjährige
  11. Beschwerde bei der Aufsichtsbehörde
  12. Änderungen dieser Erklärung

01 Kategorien der erhobenen Daten

Der Dienst ist darauf ausgelegt, die Erhebung personenbezogener Daten zu minimieren (Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO). Es werden ausschließlich die folgenden Kategorien verarbeitet:

Navigationsdaten (technische Daten)

IP-Adresse, User-Agent des Browsers, Typ und Version des Betriebssystems, eingestellte Sprache, Zugriffszeitstempel, besuchte Seiten, Verweis (HTTP-Referer). Diese Daten werden von den IT-Systemen automatisch erhoben, für das ordnungsgemäße Funktionieren des Dienstes, für aggregierte statistische Zwecke und für Sicherheitszwecke (Missbrauchserkennung, Betrugs- und Bot-Prävention).

Sitzungsdaten

Technische Sitzungskennung (flüchtiges, clientseitig gespeichertes Token), gewählte Sibilla, Interaktionsmodus (Sprache/Text), Zeitstempel von Beginn und Ende der Sitzung, Restdauer des erworbenen Guthabens.

Inhalt der Gespräche

Vom Nutzer eingegebener Text, Sprachtranskription (im Sprachmodus), von der künstlichen Intelligenz erzeugte Antworten, gezogene symbolische Karten. Diese Inhalte werden in Echtzeit und ausschließlich für die zur Erzeugung der Antwort unbedingt erforderliche Zeit verarbeitet. Einzelheiten zur Speicherdauer enthält Abschnitt 03.

Sprachdaten (Sprachmodus)

Im Sprachmodus erfordert der Start der Sitzung die Erlaubnis des Browsers zum Zugriff auf das Mikrofon. Der erfasste Audiostream wird in Echtzeit in verschlüsselter Form an die KI-Anbieter übertragen, ausschließlich zum Zweck des Speech-to-Text (automatische Echtzeit-Transkription) und des Text-to-Speech (Synthese der Sprachantwort).

Die Stimme des Nutzers wird ausschließlich für die vorgenannten Zwecke verarbeitet und nicht zur eindeutigen Identifizierung des Nutzers verwendet: Sie stellt daher gemäß Art. 4 Nr. 14 DSGVO und den EDSA-Leitlinien 3/2019 kein biometrisches Datum dar und fällt nicht unter die besonderen Datenkategorien nach Art. 9 DSGVO. Der Audiostream wird weder aufgezeichnet, gespeichert oder archiviert noch zum Training von Sprachmodellen oder zu Profilingzwecken verwendet.

Aus Gründen, die der Funktionsweise des Mikrofons innewohnen, kann der Stream Hintergrundgeräusche, Stimmen anwesender Dritter, Klingeltöne oder Audioinhalte anderer Geräte erfassen. Solche Inhalte werden, sofern unbeabsichtigt erfasst, nach derselben Flüchtigkeitslogik behandelt wie die Stimme des Nutzers. Die Verantwortung für ihre Rechtmäßigkeit (Einwilligung der anwesenden Dritten) liegt gemäß den Nutzungsbedingungen ausschließlich beim Nutzer.

Zahlungsdaten

Rechnungs-E-Mail (freiwillig, beim Kauf des Pakets angegeben), erworbenes Paket, Betrag, Kennung der Stripe-Transaktion, Ergebnis der Zahlung. Die Kreditkartendaten laufen nicht über die Server des Verantwortlichen: Sie werden direkt von Stripe Payments Europe Limited als eigenständigem Verantwortlichen erhoben, verwahrt und verarbeitet.

Steuerdaten (gegebenenfalls)

Im Fall der Anforderung einer elektronischen Rechnung: Bezeichnung oder Vor- und Nachname, Steuernummer und/oder USt-IdNr., Empfängercode oder zertifizierte E-Mail-Adresse (PEC), Rechnungsanschrift.

Direkte Mitteilungen an den Verantwortlichen

Vom Nutzer an die Adresse [email protected] gesendete E-Mails: Inhalt der Nachricht, etwaige Anhänge, E-Mail-Adresse des Absenders.

Daten, die der Verantwortliche NICHT erhebt und NICHT erhalten möchte. Der Dienst verlangt keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung) und möchte solche auch nicht erhalten, ebenso wenig Daten über strafrechtliche Verurteilungen oder Straftaten (Art. 10 DSGVO). Der Nutzer wird gebeten, solche Informationen während der Sitzungen nicht mitzuteilen; in jedem Fall gewährleistet die flüchtige Natur der Verarbeitung (siehe Abschnitt 03), dass jeglicher Kontakt des Verantwortlichen mit solchen Daten rasch endet.

02 Zwecke und Rechtsgrundlagen

Die erhobenen Daten werden für die folgenden Zwecke verarbeitet, jeweils gestützt auf eine spezifische Rechtsgrundlage gemäß Art. 6 DSGVO:

Diensterbringung
Bereitstellung der vom Nutzer angeforderten Beratungssitzungen, Verwaltung der technischen Sitzung, Erzeugung der Antworten. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO).
Zahlungen
Abwicklung der Zahlungen für die erworbenen Pakete, Verwaltung von Erstattungen und Beanstandungen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b) DSGVO).
Steuerliche Pflichten
Ausstellung von Quittungen oder Rechnungen, Aufbewahrung der steuerlichen und buchhalterischen Unterlagen. Rechtsgrundlage: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO — ital. D.P.R. 633/1972, Art. 2220 des italienischen Zivilgesetzbuchs).
Sicherheit
Verhinderung von Betrug, Missbrauch, Cyberangriffen und automatisierter Nutzung des Dienstes. Rechtsgrundlage: berechtigtes Interesse des Verantwortlichen am Schutz des Dienstes und der Nutzer (Art. 6 Abs. 1 lit. f) DSGVO).
Aggregierte Statistiken
Aggregierte und anonyme statistische Analysen zur Nutzung des Dienstes zu Verbesserungszwecken. Rechtsgrundlage: berechtigtes Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f) DSGVO).
Rechtsverteidigung
Feststellung, Ausübung oder Verteidigung eines Rechts des Verantwortlichen vor Gericht oder außergerichtlich. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO).
Servicekommunikation
Beantwortung der vom Nutzer gesendeten Kontakt-E-Mails. Rechtsgrundlage: Durchführung vorvertraglicher Maßnahmen auf Anfrage des Nutzers (Art. 6 Abs. 1 lit. b) DSGVO) oder berechtigtes Interesse.

Die Bereitstellung der für die Erbringung des Dienstes unbedingt erforderlichen Daten ist verpflichtend: Die Verweigerung führt dazu, dass der Dienst nicht genutzt werden kann. Die Bereitstellung der Daten für die elektronische Rechnungsstellung ist freiwillig und erfolgt nur auf ausdrückliche Anforderung des Nutzers.

03 Speicherdauer der Daten

Die personenbezogenen Daten werden nur so lange aufbewahrt, wie es zur Erreichung der Zwecke, für die sie erhoben wurden, unbedingt erforderlich ist, gemäß den folgenden Höchstfristen:

Gespräche
Dauer der Sitzung. Der Text- und Sprachinhalt der Beratungen wird in Echtzeit verarbeitet und bei Sitzungsende gelöscht (siehe Abschnitt 04).
Technische Logs
Bis zu 30 Tage ab ihrer Erzeugung, für Zwecke der Sicherheit, Betrugsprävention und Diagnostik.
Sitzungsdaten
Bis zum Verbrauch des Guthabens oder für 60 Tage ab Kauf des Pakets; danach verfällt das Guthaben.
Zahlungsdaten
10 Jahre ab dem Datum der Transaktion, gemäß den zivil- und steuerrechtlichen Pflichten (Art. 2220 des italienischen Zivilgesetzbuchs, ital. D.P.R. 600/1973).
Steuerdaten
10 Jahre ab Ausstellung des Steuerdokuments, gemäß den steuerrechtlichen Vorschriften.
Empfangene E-Mails
Bis zu 24 Monate ab Eingang, vorbehaltlich der Notwendigkeit einer längeren Aufbewahrung zu Zwecken der Rechtsverteidigung.
Nachweis der AGB-Annahme
Bis zu 10 Jahre ab der Annahme, zu Beweiszwecken des Vertragsschlusses (Art. 2946 des italienischen Zivilgesetzbuchs).

Nach Ablauf dieser Fristen werden die Daten gelöscht oder unumkehrbar anonymisiert.

04 Flüchtige Natur der Sitzungen

Der Dienst ist nach dem Grundsatz des Datenschutzes durch Technikgestaltung (Privacy by Design, Art. 25 DSGVO) konzipiert, um die Speicherung des Gesprächsinhalts strukturell zu minimieren:

Diese Architektur hat eine wichtige Konsequenz für den Nutzer: Der Inhalt einer vergangenen Sitzung kann nicht wiederhergestellt werden. Nutzer, die eine Aufzeichnung ihrer Sitzung aufbewahren möchten, werden gebeten, während der Sitzung selbstständig eine Kopie zu sichern (Screenshot oder manuelle Abschrift), unter Beachtung der Bestimmungen in Art. 9 der Nutzungsbedingungen über das geistige Eigentum an den erzeugten Inhalten.

Diese Gestaltungsentscheidung ist dadurch begründet, dass die Gespräche mit den Sibillen persönliche und intime Themen berühren können: Die strukturelle Nicht-Speicherung gewährleistet dem Nutzer die größtmögliche Vertraulichkeit, weit über das hinaus, was die Rechtsvorschriften unbedingt verlangen.

05 Empfänger und Subprozessoren

Für die Erbringung des Dienstes bedient sich der Verantwortliche qualifizierter Dritter, die als Auftragsverarbeiter (Art. 28 DSGVO) oder als eigenständige Verantwortliche tätig sind, jeweils geregelt durch eine entsprechende Vereinbarung (Data Processing Agreement oder gleichwertig). Die zum Datum dieser Fassung eingesetzten Subprozessoren sind:

Stripe Payments Europe Limited

Rolle: Abwicklung elektronischer Zahlungen.

Sitz: Irland (Europäische Union).

Einordnung: eigenständiger Verantwortlicher für die Zahlungsdaten im Sinne seiner eigenen Datenschutzerklärung.

Datenschutz: stripe.com/privacy
Anbieter künstlicher Intelligenz

Rolle: Erzeugung der Text- und Sprachantworten auf der Grundlage der Eingaben des Nutzers.

Sitz: Vereinigte Staaten von Amerika (außerhalb der Europäischen Union).

Einordnung: Auftragsverarbeiter gemäß Art. 28 DSGVO für die über die kommerzielle API übermittelten Daten.

Der Verantwortliche wählt Anbieter aus, die zum Datum dieser Fassung in ihren für den kommerziellen API-Kanal geltenden Bedingungen erklären: (a) die übermittelten Ein- und Ausgaben nicht zum Training ihrer Modelle zu verwenden; (b) Richtlinien einer begrenzten technischen Datenaufbewahrung anzuwenden, die ausschließlich der Sicherheit des Dienstes dient; (c) die Konformität mit der DSGVO durch von der Europäischen Kommission genehmigte Standardvertragsklauseln zu gewährleisten.

Die aktuelle Liste der derzeit eingesetzten KI-Anbieter ist auf Anfrage per E-Mail an [email protected] erhältlich. Der Verantwortliche überprüft regelmäßig den Fortbestand der vorgenannten Bedingungen.

Öffentliche Referenzen der KI-Richtlinien: privacy.claude.com (Anthropic) — x.ai/legal (xAI)
Cloudflare, Inc.

Rolle: CDN, DDoS-Schutz, Netzwerkoptimierung, DNS.

Sitz: Vereinigte Staaten von Amerika.

Übermittlung außerhalb der EU: Standardvertragsklauseln gemäß Art. 46 DSGVO; automatisch anwendbares Data Processing Addendum von Cloudflare.

Hosting- und Infrastrukturanbieter

Rolle: Hosting der Anwendungsserver des Dienstes.

Sitz: Europäische Union (Italien — Rechenzentrum Mailand).

Einordnung: Auftragsverarbeiter gemäß Art. 28 DSGVO.

Der Verantwortliche behält sich das Recht vor, Subprozessoren zu ändern, zu ersetzen oder hinzuzufügen; bei wesentlichen Änderungen teilt er dies vorab durch Aktualisierung dieser Erklärung mit einer Frist von mindestens 30 Tagen mit. Ein Nutzer, der einem neuen Subprozessor begründet widerspricht, kann die Beendigung des Dienstes und die Erstattung des nicht genutzten Restguthabens verlangen.

06 Übermittlungen außerhalb der EU

Einige Subprozessoren (Cloudflare, Anbieter künstlicher Intelligenz) haben ihren Sitz in den Vereinigten Staaten von Amerika, einem Land außerhalb des Europäischen Wirtschaftsraums. Die Übermittlung personenbezogener Daten an diese Stellen erfolgt auf der Grundlage der folgenden Garantien gemäß Kapitel V DSGVO:

No-Training-Politik der KI-Anbieter

Besondere Aufmerksamkeit gilt den Anbietern künstlicher Intelligenz, deren für den kommerziellen API-Kanal geltende Bedingungen zum Datum dieser Fassung ausdrücklich vorsehen, dass die übermittelten Daten (Ein- und Ausgaben, in Text- und Sprachform) nicht zum Training der Modelle verwendet werden, außer bei ausdrücklichem Opt-in des Kunden. Der Verantwortliche hat ein solches Opt-in für den Dienst nicht erteilt und wird es nicht erteilen. Die technische Aufbewahrung der Prompts bei den KI-Anbietern ist auf kurze Zeiträume beschränkt, die ausschließlich der Sicherheit des Dienstes und der Erkennung von Missbrauch dienen.

Übermittlung der Audiostreams in Echtzeit

Sitzungen im Sprachmodus beinhalten die Echtzeit-Übertragung von Audiostreams an die Anbieter künstlicher Intelligenz mit Sitz in den Vereinigten Staaten. Diese Übermittlung erfolgt in verschlüsselter Form (TLS 1.2 oder höher), mit denselben rechtlichen Garantien, wie sie für Textdaten vorgesehen sind (Standardvertragsklauseln nach Art. 46 DSGVO, gegebenenfalls Data Privacy Framework). Der Audiostream wird im Streaming verarbeitet: Weder die eingehende noch die ausgehende Audiodatei wird von den Anbietern länger aufbewahrt, als es für den Speech-to-Text- und Text-to-Speech-Dienst unbedingt erforderlich ist, wie in deren anwendbaren Richtlinien erklärt.

Der Nutzer kann eine Kopie der angewandten Garantien (Standardvertragsklauseln, Nachweise der Teilnahme am Data Privacy Framework) per E-Mail an [email protected] anfordern.

08 Sicherheit der Verarbeitung

Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, darunter:

Trotz der ergriffenen Maßnahmen kann kein IT-System als absolut sicher gelten: Im Fall einer Verletzung, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen kann, wird der Verantwortliche die in Art. 33 und 34 DSGVO vorgesehenen Meldungen und Benachrichtigungen vornehmen.

09 Rechte der betroffenen Person

Der Nutzer kann als betroffene Person im Sinne der DSGVO jederzeit und unentgeltlich die folgenden Rechte ausüben:

Art. 15 — Auskunft
Bestätigung der Verarbeitung und eine Kopie der ihn betreffenden personenbezogenen Daten erhalten.
Art. 16 — Berichtigung
Die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten verlangen.
Art. 17 — Löschung
Die Löschung der Daten in den gesetzlich vorgesehenen Fällen verlangen (sog. „Recht auf Vergessenwerden“).
Art. 18 — Einschränkung
Die Einschränkung der Verarbeitung in den vorgesehenen Fällen verlangen.
Art. 20 — Datenübertragbarkeit
Die Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten.
Art. 21 — Widerspruch
Der auf das berechtigte Interesse des Verantwortlichen gestützten Verarbeitung widersprechen.
Art. 22 — Automatisierte Entscheidungen
Nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung mit rechtlichen Wirkungen unterworfen zu werden. Der Dienst trifft keine solchen Entscheidungen.
Art. 7 — Widerruf der Einwilligung
Eine etwaig erteilte Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zur Ausübung seiner Rechte kann der Nutzer an die Adresse [email protected] schreiben und dabei angeben: (a) die Art des ausgeübten Rechts; (b) die Elemente, die die Identifizierung seiner Position als betroffene Person ermöglichen (zum Beispiel die beim Kauf verwendete E-Mail-Adresse, die Kennung der Stripe-Transaktion, Datum und ungefähre Uhrzeit der Sitzung). Der Verantwortliche antwortet innerhalb von 30 Tagen nach Eingang; diese Frist kann bei besonderer Komplexität um weitere 60 Tage verlängert werden, worüber die betroffene Person informiert wird.

Technische Grenze der Rechtsausübung bei Gesprächen. Da der Inhalt der Beratungen nicht aufbewahrt wird (siehe Abschnitt 04), ist der Verantwortliche nach dem Ende der Sitzung faktisch nicht in der Lage, eine Kopie oder die Löschung dieser Inhalte bereitzustellen, da sie in seinen Systemen bereits nicht mehr vorhanden sind. Bei den aufbewahrten Daten (Transaktionen, technische Logs, E-Mail-Kommunikation) sind die Rechte im gesetzlichen Rahmen uneingeschränkt ausübbar.

10 Minderjährige

Der Dienst ist ausschließlich Personen vorbehalten, die die Volljährigkeit nach dem anwendbaren italienischen Recht erreicht haben. Der Verantwortliche erhebt wissentlich keine personenbezogenen Daten Minderjähriger.

Erlangt der Verantwortliche Kenntnis davon, dass eine minderjährige Person den Dienst unter Abgabe unwahrer Erklärungen bei der Annahme der Bedingungen genutzt hat, wird er unverzüglich alle auf diese Person bezogenen Daten löschen, vorbehaltlich der Aufbewahrung der Daten, die zur Erfüllung gesetzlicher Pflichten und zur Rechtsverteidigung unbedingt erforderlich sind.

Eltern oder Inhaber der elterlichen Verantwortung, die annehmen, dass ihr minderjähriges Kind den Dienst genutzt hat, werden gebeten, dies umgehend an die Adresse [email protected] zu melden.

11 Beschwerde bei der Aufsichtsbehörde

Der Nutzer, der der Auffassung ist, dass die Verarbeitung seiner personenbezogenen Daten gegen die DSGVO verstößt, hat das Recht, Beschwerde bei der italienischen Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) — der für den Verantwortlichen zuständigen Aufsichtsbehörde — einzulegen, nach den in Art. 77 DSGVO und im italienischen Gesetzesvertretenden Dekret Nr. 196/2003 festgelegten Modalitäten und Fristen.

Garante per la protezione dei dati personali

Sitz: Piazza Venezia 11, 00187 Roma

Telefonzentrale: +39 06 696771

E-Mail: [email protected]PEC: [email protected]

Website: www.garanteprivacy.it

Nutzer mit Wohnsitz in einem anderen Mitgliedstaat der Europäischen Union können Beschwerde bei der Aufsichtsbehörde ihres Wohnsitzlandes, ihres Arbeitsorts oder des Orts des mutmaßlichen Verstoßes einlegen. Insbesondere können sich Nutzer mit Wohnsitz in Deutschland an die Datenschutzbehörde ihres Bundeslandes (Landesdatenschutzbeauftragte bzw. Landesdatenschutzbehörde) oder an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit — BfDI (bfdi.bund.de) wenden; für Frankreich ist die CNIL — Commission Nationale de l'Informatique et des Libertés (cnil.fr) zuständig.

12 Änderungen dieser Erklärung

Die vorliegende Datenschutzerklärung kann jederzeit geändert werden, um sie an neue rechtliche Anforderungen, die Weiterentwicklung des Dienstes oder die Einführung neuer Subprozessoren anzupassen. Änderungen werden auf dieser Seite unter Angabe des Datums des Inkrafttretens und der neuen Version veröffentlicht.

Bei wesentlichen Änderungen, die die Rechte der betroffenen Personen erheblich berühren, wird der Verantwortliche dies durch einen deutlich sichtbaren Hinweis auf der Website mindestens 30 Tage vor dem Inkrafttreten mitteilen.

Der Nutzer wird gebeten, diese Erklärung regelmäßig einzusehen, um stets über die Modalitäten der Verarbeitung seiner Daten informiert zu sein.