Aller au contenu principal
AIFORYA

Datenschutzerklärung

1. Einleitung und Verpflichtung

AIFORYA verpflichtet sich, die Privatsphäre seiner Nutzer und Kunden zu schützen. Die vorliegende Datenschutzerklärung (nachfolgend „die Erklärung“) beschreibt, wie AIFORYA Ihre personenbezogenen Daten erhebt, verwendet, schützt, aufbewahrt und weitergibt. Der Ansatz ist minimalistisch und respektiert die Grundsätze von „Privacy by Design“.

Diese Erklärung entspricht den Anforderungen der Datenschutz-Grundverordnung (DSGVO, Verordnung EU 2016/679), der UK General Data Protection Regulation (UK GDPR), des California Consumer Privacy Act (CCPA) und des Lei Geral de Proteção de Dados (LGPD) in Brasilien.

2. Verantwortlicher und Datenschutzbeauftragter (DSB)

  • Verantwortlicher: AIFORYA (Einzelunternehmen), 1 rue de Stockholm, 75008 Paris, Frankreich. SIREN 498 592 104.
  • DSB: Es wurde ein Datenschutzbeauftragter benannt. Kontakt: dpo@aiforya.fr.

3. Erhobene personenbezogene Daten – minimalistischer Ansatz

AIFORYA erhebt nur die Daten, die für die nachstehend definierten Zwecke unbedingt erforderlich sind.

| Zweck | Datenkategorien | Rechtsgrundlage | Aufbewahrung | | :--- | :--- | :--- | :--- | | Kontoverwaltung und Abonnements | E-Mail, Name, gehashtes Passwort, Abonnementtyp, Transaktionsverlauf | Vertragserfüllung | Dauer des Abonnements + 3 Jahre | | Rechnungsstellung und Buchhaltung | Postanschrift, Land, Umsatzsteuer-Identifikationsnummer (falls zutreffend) | Gesetzliche Verpflichtung | 10 Jahre | | Kundensupport | Inhalt des Austauschs, Kunden-ID, Problemverlauf | Vertragserfüllung / Berechtigtes Interesse | 5 Jahre nach der letzten Interaktion | | Sicherheit und Wartung | Verbindungsprotokolle (IP, User-Agent, Datum, Schlüsselaktionen) | Berechtigtes Interesse | 12 Monate | | Reichweitenmessung (anonymisiert) | Anonymisierte Navigationsdaten | Einwilligung | 13 Monate | | Newsletter | E-Mail-Adresse | Einwilligung | Bis zur Abmeldung |

4. Was NIEMALS erhoben wird (Privacy by Design)

  • Die API-Schlüssel von Drittanbietern (BYOK): Die API-Schlüssel, die der Kunde für KI-Anbieter (Anthropic, OpenAI, Google usw.) verwendet, werden verschlüsselt in seiner WordPress-Installation gespeichert und gelangen niemals auf die Server von AIFORYA. AIFORYA hat keinen Zugriff darauf.
  • Die über die Erweiterungen generierten Inhalte: Die an die KI-Modelle gesendeten Prompts und die Antworten werden direkt zwischen dem Server des Kunden und dem KI-Anbieter ausgetauscht. AIFORYA fängt diese Inhalte niemals ab, liest, speichert oder analysiert sie.
  • Die vollständigen Zahlungsdaten: Kreditkarteninformationen werden direkt von Stripe verarbeitet. AIFORYA speichert niemals Kartennummern oder CVV-Codes.
  • Die Inhalte der CMS-Websites: AIFORYA greift niemals auf die redaktionellen Inhalte (Artikel, Seiten, Nutzerdaten) der Kunden-Websites zu, liest oder speichert sie.

5. Empfänger und internationale Übermittlungen

Die Daten werden nur an die folgenden wesentlichen Auftragsverarbeiter weitergegeben:

| Auftragsverarbeiter | Land | Rolle | Übermittlungsgarantie | | :--- | :--- | :--- | :--- | | Stripe Inc. | USA / Irland | Zahlungen und Abonnementverwaltung | EU-US Data Privacy Framework (DPF) / CCT | | Vercel Inc. | USA | Frontend-Hosting, Reichweitenmessung nach Einwilligung | EU-US DPF / CCT | | Railway Corp | USA | Backend-Hosting | Clauses Contractuelles Types (CCT) | | Supabase Inc. | USA | Datenbank | EU-US DPF / CCT | | Axeptio (Sirdata) | Frankreich (EU) | Consent Management Platform (CMP) | DSGVO — keine Übermittlung außerhalb der EU | | Resend, Inc. | USA | Versand von Transaktions-E-Mails (Kontaktbestätigung, Newsletter) | EU-US DPF / CCT |

AIFORYA stellt sicher, dass jede Übermittlung außerhalb des Europäischen Wirtschaftsraums in Übereinstimmung mit den gesetzlichen Anforderungen (CCT der Europäischen Kommission oder EU-US DPF) erfolgt.

6. Datensicherheit

  • Verschlüsselung: TLS für die gesamte Kommunikation, Verschlüsselung sensibler Daten im Ruhezustand.
  • Zugriffskontrollen: Prinzip der geringsten Rechte.
  • Hashing: Passwörter werden mit robusten, nicht umkehrbaren Algorithmen gehasht.
  • Audits: Regelmä��ige Penetrationstests und Sicherheitsaudits.
  • Sicherungen: Sicherungs- und Wiederherstellungsverfahren.

7. Rechte gemäß DSGVO / UK GDPR

  • Auskunftsrecht (Art. 15): Eine Kopie der gespeicherten Daten erhalten.
  • Recht auf Berichtigung (Art. 16): Ungenaue Daten korrigieren.
  • Recht auf Löschung (Art. 17): Daten löschen lassen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18).
  • Recht auf Datenübertragbarkeit (Art. 20).
  • Widerspruchsrecht (Art. 21).

Zur Ausübung dieser Rechte: dpo@aiforya.fr. Eine Antwort erfolgt innerhalb eines Monats (verlängerbar um 2 Monate bei Komplexität). Ein Identitätsnachweis kann verlangt werden.

Sie haben das Recht, eine Beschwerde bei der CNIL (der französischen Datenschutzbehörde) einzureichen: www.cnil.fr.

8. Spezifische Rechte (CCPA, LGPD)

  • Kalifornien (CCPA): Rechte auf Auskunft, Löschung und Nichtdiskriminierung. AIFORYA verkauft keine personenbezogenen Daten und respektiert „Do Not Track“-Signale.
  • Brasilien (LGPD): Ähnliche Rechte wie die DSGVO.

Kontakt: dpo@aiforya.fr.

9. Spezifische Klauseln zu generativer KI und dem BYOK-Modell

AIFORYA arbeitet nach einem Bring Your Own Key (BYOK)-Modell. Die Aufrufe an generative KI-Dienste werden von der Erweiterung direkt vom Server des Kunden an den KI-Anbieter unter Verwendung des API-Schlüssels des Kunden getätigt.

  • Datenfluss: Die Prompts und Antworten der KI gelangen niemals auf die Server von AIFORYA.
  • Verantwortung: Der Kunde ist allein verantwortlich für die Daten, die er an KI-Anbieter übermittelt, und für die generierten Inhalte. Er muss sicherstellen, dass seine Nutzung den Richtlinien der Anbieter und den geltenden Gesetzen entspricht.

10. Anmeldung über Google (Google Sign-In) — Use of Google User Data

AIFORYA bietet optional die Anmeldung in seiner Webanwendung über Google Sign-In (OAuth 2.0 / OpenID Connect) an. Dieser Abschnitt beschreibt umfassend und in Übereinstimmung mit der Google API Services User Data Policy (einschließlich der Limited Use-Anforderungen), wie AIFORYA auf Google-Benutzerdaten zugreift, sie verwendet, speichert und teilt.

10.1. Angeforderte Bereiche (Scopes)

AIFORYA fordert ausschließlich die drei standardmäßigen, nicht sensiblen OpenID-Connect-Scopes an:

  • openid — stabile Google-Benutzerkennung (sub-Claim)
  • email — primäre E-Mail-Adresse des Google-Kontos
  • profile — vollständiger Name, Vorname, Nachname, Sprache und URL des Profilbilds

Es werden keine sensiblen oder eingeschränkten Scopes angefordert. AIFORYA greift nicht auf Gmail, Drive, Calendar, Contacts, YouTube, Photos oder eine andere Google-Produkt-API mit Benutzerdaten zu.

10.2. Tatsächlich erhobene Daten

Bei der Anmeldung erhebt AIFORYA von Google ausschließlich:

  • die Google-Subjektkennung (sub),
  • die verifizierte E-Mail-Adresse,
  • den Anzeigenamen und gegebenenfalls die URL des öffentlichen Profilbilds.

10.3. Verwendungszweck (Data Usage)

Diese Daten werden ausschließlich verwendet, um:

  • den Nutzer in der AIFORYA-Webanwendung zu authentifizieren (Identitätsprüfung beim Login);
  • das entsprechende AIFORYA-Konto zu erstellen oder aufzufinden;
  • den Namen und die E-Mail-Adresse des Nutzers in seinem Dashboard und auf der Seite "Mein Konto" anzuzeigen.

Google-Benutzerdaten werden niemals für Werbezwecke, Profiling über die Authentifizierung hinaus, Erstellung von Kontaktlisten, Bonitätsprüfung oder zum Trainieren eines generalisierten KI/ML-Modells verwendet. Sie werden nicht an Marketingpartner weitergegeben.

10.4. Aufbewahrung und Speicherung

Google-Benutzerdaten werden in einer von Supabase verwalteten PostgreSQL-Datenbank gespeichert (EU-Region — Frankfurt, eu-central-1), mit Verschlüsselung im Ruhezustand und Row-Level Security. Die Aufbewahrungsdauer entspricht der Lebensdauer des Nutzerkontos. Der Nutzer kann sein Konto und alle zugehörigen Daten jederzeit über https://www.aiforya.fr/de/mon-compte löschen; die Löschung wird innerhalb von 30 Tagen wirksam.

10.5. Weitergabe und Auftragsverarbeiter

Google-Benutzerdaten werden niemals verkauft, vermietet, übertragen oder weitergegeben an Dritte zu Werbezwecken oder anderen, nicht mit dem oben beschriebenen Verwendungszweck zusammenhängenden Zwecken. Der einzige Auftragsverarbeiter mit potenziell beiläufigem Zugriff ist unser Datenbank-Hosting-Anbieter (Supabase, EU), unter einem DSGVO-konformen Datenverarbeitungsvertrag.

10.6. Limited-Use-Konformität

Die Verwendung und Übertragung der von Google APIs erhaltenen Informationen durch AIFORYA an andere Anwendungen entspricht strikt der Google API Services User Data Policy, einschließlich der Limited Use-Anforderungen.

10.7. Nutzerkontrolle

Nutzer können jederzeit:

  • den AIFORYA gewährten Zugriff über die Google-Kontoberechtigungsseite widerrufen: https://myaccount.google.com/permissions;
  • alle von AIFORYA gespeicherten Daten über die In-App-Seite "Mein Konto" löschen;
  • ihre DSGVO-Rechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch) durch Kontaktaufnahme mit dpo@aiforya.fr ausüben (siehe Abschnitt 7).

11. Cookies und Tracker

Die Website aiforya.fr verwendet Cookies und ähnliche Technologien (insbesondere localStorage) für ihren ordnungsgemäßen Betrieb, die Reichweitenmessung und die Verbesserung des Nutzererlebnisses.

11.1. Consent Management Platform (CMP)

Die Einwilligungsverwaltung wird durch Axeptio, eine zertifizierte französische CMP, sichergestellt. Das Banner wird beim ersten Zugriff auf die Website angezeigt und ermöglicht es dem Nutzer, seine Auswahl nach Kategorien zu akzeptieren, abzulehnen oder anzupassen. Die Schaltfläche „Alle ablehnen“ ist genauso sichtbar und zugänglich wie die Schaltfläche „Alle akzeptieren“ (CNIL-konform). Die Auswahl wird 6 Monate lang gespeichert und kann jederzeit über den Link „Meine Tracker verwalten“ in der Fußzeile geändert werden.

Der Google Consent Mode v2 ist im „Basic“-Modus implementiert: Alle Einwilligungssignale (analytics_storage, ad_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage) sind standardmäßig auf denied gesetzt, bis der Nutzer seine Wahl trifft.

11.2. Notwendige Tracker (unbedingt erforderlich)

Von der Einwilligung ausgenommen (Artikel 82 Loi Informatique et Libertés), da für den Betrieb unerlässlich: Benutzersitzung, Spracheinstellungen, Speicherung der Einwilligungswahl selbst, Speicherung des Themas (hell/dunkel), selbst gehostete Web-Schriftarten (keine Übertragung der IP-Adresse an Drittanbieter-CDNs).

11.3. Reichweitenmessung (Analytics)

Unterliegt der ausdrücklichen Einwilligung: Vercel Analytics (anonymisierte Messung des Datenverkehrs, ohne persönliche Kennung, Dauer maximal 13 Monate). Diese Tracker werden erst nach ausdrücklicher Annahme der Kategorie „Reichweitenmessung“ im Axeptio-Banner aktiviert.

11.4. Marketing und Werbung

Auf aiforya.fr werden derzeit keine Werbe- oder Remarketing-Tracker verwendet. Diese Kategorie ist für zukünftige Kampagnen (Google Ads, LinkedIn Ads) reserviert, die ebenfalls vor jeglicher Platzierung der Einwilligung bedürfen würden.

12. Änderungen der Datenschutzerklärung

AIFORYA behält sich das Recht vor, diese Erklärung jederzeit zu ändern. Jede Änderung wird auf dieser Seite mit einem neuen Aktualisierungsdatum veröffentlicht. Im Falle einer wesentlichen Änderung erfolgt eine Information per E-Mail oder durch eine sichtbare Benachrichtigung auf der Website.

Politique de confidentialité | AIFORYA