Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13-14 der Verordnung (EU) 2016/679 (DSGVO).

Letzte Überarbeitung: 3. Juni 2026 — Version 1.4.5

1. Verantwortlicher

Tune Mates di Olivari Marco (Einzelunternehmen) — USt-IdNr. IT03340720212
Eingetragener Sitz: Via Aurelio Nicolodi, 5 — 39100 Bozen (BZ), Italien
E-Mail: support@easybordero.it

2. Verarbeitete Datenkategorien und Zwecke

2.1 Kontodaten

Name, E-Mail, Passwort-Hash (bcrypt), Registrierungsdatum, Abonnementplan, bevorzugte Sprache.
Zweck: Diensterbringung, Authentifizierung, technische Kommunikation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Vertrags.

2.2 Steuer- und Rechnungsdaten

Steuernummer, USt-IdNr., Firmenname, Adresse (Straße, PLZ, Ort, Provinz, Land), Rechtsform, SDI-Empfängercode, PEC, REA-Nummer. Steuernummer und USt-IdNr. werden mit AES-256-GCM at-rest verschlüsselt (serverseitig verwalteter Schlüssel, Schlüsselrotation unterstützt).
Zweck: Obligatorische elektronische Rechnungsstellung über SDI für jede Zahlung und Steuererfüllung gemäß dem italienischen Präsidialdekret (D.P.R.) 633/72.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung + Art. 6 Abs. 1 lit. b — Erfüllung des Vertrags.

2.3 SIAE-Anmeldedaten

Benutzername und Passwort des SIAE-Portals, verschlüsselt mit AES-256-GCM (Schlüsselrotation und benutzerspezifische AAD). Das SIAE-Sitzungstoken wird ausschließlich in Redis mit einer maximalen TTL von 45 Minuten gespeichert und nicht in der Datenbank persistiert.
Zweck: automatisierte Übermittlung von Musikmeldungen (Vertragsgegenstand).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 SIAE-E-Mail-Hash (Missbrauchsverhinderung)

Deterministischer SHA-256-Hash der normalisierten SIAE-E-Mail, gespeichert in siae_accounts.email_hash und users.first_siae_email_hash. Ermöglicht die pseudonymisierte Identifikation der Eindeutigkeit der Verknüpfung Benutzer↔SIAE ohne Entschlüsselung der Klartext-E-Mail. Aufbewahrung: Vertragsdauer + Audit-Aufbewahrung (siehe §5).
Zweck: Verhinderung des Missbrauchs der Testphase und Bindung 1 Benutzer = 1 SIAE-Konto.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (LIA dokumentiert) + Art. 6 Abs. 1 lit. b — Erfüllung des Vertrags.

2.5 Anti-Missbrauchs-Audit und Anwendungsprotokolle

Protokolle blockierter SIAE-Verbindungsversuche (Kollision, nicht autorisierter Wechsel), verbrauchter/wiederhergestellter Stripe-Trial, Admin-Transfers, Anmeldungen, Änderungen des Kontostatus. Enthält: IP/User-Agent der Anfrage, maskierter Hash, maskierte user_ids. Aufbewahrung 365 Tage (konfigurierbar über audit_log_retention_days).
Zweck: Sicherheit, Betrugsprävention, DSGVO Art. 32 Rechenschaftspflicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse.

2.6 Nutzungsdaten

Playlist-Importe, Musikprogramme, importierte Tracks, generierte Meldungen, SIAE-Übermittlungsergebnisse.
Zweck: Diensterbringung; aggregierte anonyme Statistiken.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.7 KI-gestütztes Matching (Google Gemini)

Zur Verbesserung der Genauigkeit des Matchings zwischen importierten Tracks und dem SIAE-Katalog verwendet EasyBorderò Google Gemini (Modell gemini-2.5-flash). An Gemini gesendete Daten beschränken sich auf: Künstler, Titel, Dauer des Tracks. Es werden keine personenbezogenen Daten des Benutzers gesendet. Es wird keine Audiodatei übertragen. Anfragen erfolgen über Google im Modus "API ohne Training": Gemini verwendet diese Daten nicht zum Training seiner Modelle (vgl. Google AI Terms of Service for API). Funktion vom Admin aktivierbar/deaktivierbar (ai_search_enabled).
Zweck: Verbesserung der SIAE-Match-Qualität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Vertrags. US-Übermittlung über SCC (siehe §6).

2.8 Automatisches Triage von Support-E-Mails (Anthropic Claude)

An support@easybordero.it gesendete E-Mails werden vom automatischen Support-Agent gelesen, der lokales Pre-Scrubbing anwendet, um die folgenden sensiblen Daten aus dem E-Mail-Body vor dem Senden an Claude zu entfernen/ersetzen: E-Mail-Adressen (durch Platzhalter ersetzt), Steuernummern, USt-IdNr., IBAN, Stripe-Identifikatoren (cus_…, sub_…, pi_…, in_…), Kreditkartennummern, Passwörter. Nur der "scrubbed" Text wird an Anthropic Claude zur Klassifikation des Tickets und Generierung eines Antwortentwurfs gesendet. Der Entwurf wird lokal in IMAP unter dem Ordner "Entwürfe" gespeichert und nicht automatisch veröffentlicht. Keine Daten werden an Claude zum Fine-Tuning gesendet (vgl. Anthropic DPA).
Zweck: operative Effizienz des Kundensupports.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse. US-Übermittlung über SCC (siehe §6).

2.9 Zahlungsdaten

Zahlungen werden von Stripe Inc. verarbeitet — EasyBorderò speichert keine Kreditkartendaten. Wir bewahren auf: Stripe-Kunden-ID, Abonnement-ID, Abonnementstatus, Betrag, MwSt. Die Metadaten Customer.metadata.eb_used_trial = "true" werden an Stripe gesendet, um die Eindeutigkeit der kostenlosen Testphase auch im Falle einer Datenbank-Disaster-Recovery zu gewährleisten.
Zweck: Abonnementverwaltung, Abrechnung und Verhinderung von Trial-Missbrauch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO + Art. 6 Abs. 1 lit. f — berechtigtes Interesse (Anti-Missbrauch). US-Übermittlung über SCC.

2.10 Elektronische SDI-Rechnungsstellung

Steuerdaten (Steuernummer, USt-IdNr., Firmenname, Adresse, SDI/PEC, REA) werden über Stripe an ACube S.r.l. (eingetragen in Italien, EU) übermittelt, welche als Aussteller elektronischer Rechnungen an das Austauschsystem der italienischen Steuerbehörde (SDI) auftritt.
Zweck: Steuerverpflichtungen gemäß D.P.R. 633/72 und Ministerialdekret 30/04/2018.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung.

2.11 Cookies und Analytics

Technische JWT-Cookies zur Authentifizierung. Microsoft Clarity Verhaltensanalyse (anonymisiert, nur mit ausdrücklicher Einwilligung). Plausible Analytics Traffic-Analyse (datenschutzfreundlich, ohne Cookies, berechtigtes Interesse). Marketing-/Retargeting-Cookies und -Pixel Meta Pixel (Facebook/Instagram), aktiviert ausschließlich nach ausdrücklicher Einwilligung in die Kategorie "Marketing" des Cookie-Banners. Weitere Details in §8.

2.12 Anti-Bot-Überprüfung (Cloudflare Turnstile)

Nach einer begrenzten Anzahl fehlgeschlagener Anmeldeversuche verlangt die Plattform die Erfüllung einer Cloudflare Turnstile-Challenge (unsichtbarer CAPTCHA). Cloudflare empfängt: IP, User-Agent, ein Sitzungstoken und Browser-Anti-Fraud-Signale. Funktion vom Admin aktivierbar/deaktivierbar.
Zweck: Schutz vor automatisierten Credential-Stuffing-Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Infrastruktursicherheit. US-Übermittlung über SCC.

2.13 Überprüfung kompromittierter Passwörter (HIBP — k-Anonymität)

Bei Registrierung und Passwort-Reset überprüft die Plattform, ob das vom Benutzer gewählte Passwort in öffentlichen Datenbanken geleakter Anmeldedaten erscheint, indem der Dienst "Have I Been Pwned" Pwned Passwords API im k-Anonymitäts-Modus konsultiert wird: SHA-1 des Passworts wird berechnet und nur die ersten 5 Zeichen des Hashes werden an HIBP gesendet, das alle Hashes zurückgibt, die mit diesem Präfix beginnen; der Vergleich erfolgt dann lokal. Das Klartext-Passwort verlässt niemals unsere Server.
Zweck: Schutz des Benutzerkontos.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse.

2.14 Referral-Analytics (Links /r/<Code>)

Wenn ein Besucher auf einen von einem unserer Benutzer verteilten Referral-Link klickt, protokollieren wir: Zeitstempel, Hash der IP gekürzt auf /24 (IPv4) oder /64 (IPv6) mit geheimem Salt (niemals Klartext-IP), User-Agent, Referer (ohne Query-String und Fragment). Es werden keine Cookies gesetzt. Automatische Löschung nach 180 Tagen.
Zweck: Messung der Effektivität von Referral-Kampagnen und Betrugsprävention.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (LIA dokumentiert).

2.15 Veröffentlichung auf Social-Media-Kanälen (optional)

Auf Initiative des Benutzers kann EasyBorderò Inhalte (Cover des Reports, Bilder, Text) auf Social-Media-Seiten veröffentlichen, die im Besitz des Benutzers sind und mit der Plattform verbunden sind (z.B. Meta — Facebook und Instagram). Die Veröffentlichung erfolgt nur mit ausdrücklicher Genehmigung des Benutzers und über die offiziellen Meta-Graph-APIs. EasyBorderò veröffentlicht nichts ohne ausdrücklichen Befehl des Benutzers.
Zweck: Förderung der professionellen Aktivitäten des Benutzers.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — ausdrückliche Einwilligung + Art. 6 Abs. 1 lit. b — Erfüllung des Vertrags.

2.16 Registrierungs-Einwilligung

Zum Zeitpunkt der Registrierung wird die ausdrückliche Einwilligung in die Servicebedingungen und die Datenschutzerklärung über ein Kontrollkästchen verlangt. Zeitstempel und Version der Einwilligung werden in der Datenbank aufgezeichnet.
Rechtsgrundlage: Art. 7 DSGVO — überprüfbare Einwilligung.

2.17 E-Mail-Kommunikation und Rechtsgrundlagen (NEU in v1.4)

EasyBorderò sendet verschiedene Kategorien von E-Mails an seine Benutzer, jede mit einer spezifischen Rechtsgrundlage und unterschiedlichen Mechanismen zur Verwaltung der Präferenzen.

2.17.1 Transaktionale und Service-E-Mails (SYSTEM)

Umfasst: Kontoverifizierung (Bestätigungs-E-Mail der Registrierung), Passwort-Reset, Zahlungsbestätigungen und Quittungen, Benachrichtigungen zum Zahlungsstatus (z.B. fehlgeschlagene Zahlung), Benachrichtigungen zum Planwechsel, Sicherheitswarnungen für das Konto, technische Benachrichtigungen, die für den Servicebetrieb wesentlich sind.
Zweck: Erfüllung des Servicevertrags.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Vertrags. Da es sich um Kommunikation handelt, die für die Erbringung des erworbenen Dienstes unbedingt erforderlich ist, unterliegen sie keinem Opt-out; die einzige Möglichkeit, sie nicht mehr zu erhalten, ist die Löschung des Kontos.

2.17.2 Produkt-Updates (PRODUCT_UPDATE)

Umfasst: Ankündigungen neuer Funktionen, signifikante UX-Verbesserungen, operative Tipps zur korrekten Servicenutzung, Deprecation-Hinweise, Änderungen bei Preisen oder Richtlinien. Umfasst keine kommerziellen Angebote, Rabatte, Promotionen oder Werbeinhalte von Drittanbietern (diese fallen unter §2.17.3 MARKETING).
Zweck: den Benutzer über die Entwicklung des erworbenen Dienstes auf dem Laufenden zu halten (Kontinuität des Vertragswerts, Informationspflicht des Anbieters).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse des Verantwortlichen, anerkannt durch Erwägungsgrund 47 DSGVO für Produktkommunikation an bestehende Kunden. Standardmäßig aktiv für alle registrierten Benutzer. Die Legitimate Interest Assessment (LIA) ist in docs/GDPR_LIA_EMAIL_PRODUCT_UPDATE.md dokumentiert und auf Anfrage verfügbar.
Opt-out: sofort, kostenlos und technisch konform gewährleistet (RFC 8058 One-Click) über den Link Abmelden im Footer jeder PRODUCT_UPDATE-E-Mail sowie über das Präferenzzentrum (§9bis). Der Opt-out hat sofortige Wirkung; es werden keine E-Mails "Wir bearbeiten Ihre Anfrage" gesendet.
Typische Häufigkeit: maximal 2-3 Sendungen pro Monat, mit automatisch angewandtem Anti-Fatigue-System.

2.17.3 Direktmarketing (MARKETING)

Umfasst: kommerzielle Angebote, saisonale Promotionen, Bildungsinhalte mit Kauf-/Upgrade-Call-to-Actions, Partnerschaftsankündigungen, redaktionelle Inhalte für Re-Engagement-Zwecke.
Zweck: kommerzielle Akquise und Bindung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — ausdrückliche Einwilligung der betroffenen Person + Art. 130 des italienischen Gesetzesdekrets 196/2003 (italienisches Datenschutzgesetz). Standardmäßig inaktiv: ohne ausdrückliche Einwilligung, die über das Präferenzzentrum oder ein dediziertes Kontrollkästchen (nicht vorangekreuzt) zum Zeitpunkt der Registrierung eingeholt wird, wird keine MARKETING-E-Mail gesendet.
Nachweispflicht der Einwilligung: Jede Änderung des Einwilligungsstatus (Opt-in, Opt-out, Änderung) wird unveränderlich mit UTC-Zeitstempel, Version der zum Zeitpunkt aktiven Datenschutzerklärung, angezeigtem Kontrollkästchen-Text und zitierter Rechtsgrundlage gemäß Art. 7 DSGVO erfasst.
Widerruf: Die Einwilligung kann jederzeit mit der gleichen Leichtigkeit widerrufen werden, mit der sie erteilt wurde (Art. 7 Abs. 3 DSGVO), über den Link Abmelden in jeder E-Mail oder über das Präferenzzentrum.

2.17.4 E-Mail-Auftragsverarbeiter

E-Mails werden tatsächlich über Brevo SAS (Frankreich, EU) versendet — E-Mail-Verarbeiter. Die Nachvollziehbarkeit der Zustellung (delivered, bounce, complaint) erfolgt über signiertes Brevo-Webhook. Die Brevo-Plattform ist mit globaler Anonymisierung von Öffnungs-Pixeln und Click-Tracking konfiguriert: Solche Ereignisse werden aggregiert, aber in den Brevo-Logs nicht auf einen bestimmten Benutzer zurückgeführt. Nur für Benutzer, die ausdrücklich dem Engagement-Tracking zugestimmt haben (Standardmäßig aus), ermöglicht ein benutzerdefinierter EasyBorderò-Link-Tracker das Aufzeichnen von Klicks in personenbezogener Form ausschließlich zum Zweck der aggregierten Engagement-Analyse. Weitere Details in §8.

2.18 IP-Hash-Aufbewahrung für E-Mails (Anti-Fraud-Unsubscribe) (NEU in v1.4)

Für jeden E-Mail-Versand wird die IP-Adresse der Interaktion mit Abmelde-Links und Präferenzzentrum in pseudonymisierter Form als SHA-256-Hash mit einem geheimen jährlich rotierten Salt erfasst. Der Zweck ist die Verhinderung automatisierter Missbräuche von Opt-out-Mechanismen (z.B. Bots, die E-Mails anderer Benutzer abmelden) und die Identifizierung von Mustern des betrügerischen Missbrauchs. Die Klartext-IP-Adresse wird niemals gespeichert; der jährlich rotierte Salt verhindert zwischenzeitliche Korrelationen. Aufbewahrung: 90 Tage für IP-Hash, abgestimmt mit E-Mail-Versandprotokoll (siehe §5bis).
Zweck: Integrität des Abmeldemechanismus, Verhinderung von automatisiertem Betrug.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Sicherheit des Opt-out-Mechanismus.

3. Rechtsgrundlage der Verarbeitung (Zusammenfassung)

• Art. 6 Abs. 1 lit. b — Erfüllung des Vertrags: Kontodaten, SIAE-Anmeldedaten, Nutzungsdaten, AI Track-Matching, Zahlungen, autorisierte Social-Media-Veröffentlichung, SYSTEM Transaktions-E-Mails.
• Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung: Rechnungsdaten und SDI elektronische Rechnungen, aufbewahrt für 10 Jahre (D.P.R. 633/72).
• Art. 6 Abs. 1 lit. f — Berechtigtes Interesse: Zugriffs- und Audit-Protokolle, SIAE Anti-Missbrauch, Support-Agent AI, Cloudflare Turnstile, Überprüfung kompromittierter Passwörter, Referral-Analytics, Plausible, PRODUCT_UPDATE E-Mails (mit dokumentierter LIA), Anti-Fraud-Unsubscribe IP-Hash.
• Art. 6 Abs. 1 lit. a — Einwilligung: Microsoft Clarity, Meta Pixel (Conversion-Messung und Marketing/Retargeting, Kategorie "Marketing" des Cookie-Banners), Social-Media-Veröffentlichung, Annahme der Bedingungen und der Datenschutzerklärung bei der Registrierung, MARKETING-E-Mails (ausdrückliche Einwilligung + Art. 130 des italienischen Gesetzesdekrets 196/2003).

4. Auftragsverarbeiter (Sub-Processors)

Anbieter	Rolle	Sitz	DPA / Datenschutz
Stripe Payments Europe Ltd	EU Merchant of Record für Checkout/Abonnements (Controller-Entität für EU-Kunden)	Irland (EU)	stripe.com/legal/dpa
↳ Stripe Inc.	Technische Zahlungsabwicklung (Sub-Auftragsverarbeiter von Stripe Payments Europe Ltd, PCI/DSS-Prozessor)	USA (SCC + EU-US DPF)	stripe.com/legal/dpa
ACube S.r.l.	Ausstellung elektronischer SDI-Rechnungen (Stripe App Integration)	Italien (EU)	acubeapi.com
Brevo SAS	Zustellung von Transaktions-, PRODUCT_UPDATE- und MARKETING-E-Mails. Globale Pixel-/Click-Anonymisierung aktiv. Brevo-Sub-Processors unten detailliert.	Frankreich (EU)	brevo.com/legal/termsofuse (DPA in Appendix 3)
↳ OVH	Hosting der Brevo-Infrastruktur (Brevo-Sub-Processor)	Frankreich (EU)	ovhcloud.com/personal-data-protection
↳ Google Cloud Platform	Hosting der Brevo-Infrastruktur (Server in Belgien)	Server BE (EU) — Anbieter USA (SCC + EU-US DPF)	cloud.google.com/terms/dpa
↳ Cloudflare	CDN und WAF der Brevo-Infrastruktur (Data Localization Suite aktiv)	USA (SCC + EU-US DPF)	cloudflare.com/cloudflare-customer-dpa
↳ Zendesk	Brevo interner Ticketing-/Support-Tool	USA (SCC + BCR)	zendesk.com/dpa
↳ Omni	Brevo interne Dashboards	USA (SCC + EU-US DPF) — EU-Server	Brevo-Sub-Processor, siehe Brevo DPA Appendix 3 Annex 2
↳ Brevo GmbH	Customer Experience & Maintenance (Brevo-Gruppenunternehmen)	Deutschland (EU)	Siehe Brevo DPA Appendix 3 Annex 2
↳ Brevo CRM Solution	Customer Experience & Maintenance (Brevo-Gruppenunternehmen, Indien)	Indien (SCC + zusätzliche Maßnahmen)	Siehe Brevo DPA Appendix 3 Annex 2
↳ Sendinblue Inc.	Customer Experience & Maintenance (Brevo-Gruppenunternehmen, USA)	USA (SCC + EU-US DPF)	Siehe Brevo DPA Appendix 3 Annex 2
Aruba S.p.A.	IMAP-Postfach support@easybordero.it (Lesen von E-Mails für Triage). IMAP-Postfach dmarc@easybordero.it (Empfang von DMARC-Berichten). SMTP für manuelle E-Mails des Verantwortlichen.	Italien (EU)	aruba.it/informativa-privacy
Hetzner Online GmbH	Server-Hosting und Cloud-Infrastruktur	Deutschland (EU)	hetzner.com/legal/privacy-policy
Google LLC — Gemini API	SIAE Track AI Matching + automatische Übersetzung redaktioneller Inhalte	USA (SCC)	cloud.google.com/terms/dpa
Google LLC — OAuth	"Mit Google anmelden" Authentifizierung (optional)	USA (SCC)	policies.google.com/privacy
Google LLC — Fonts	Laden typografischer Schriften (self-hosted über Next.js)	USA	policies.google.com/privacy
Anthropic PBC	AI-Triage von Support-E-Mails (Claude). Lokales Pre-Scrubbing von IBAN/Steuernummer/USt-IdNr./Stripe-IDs/Karten/Passwörtern vor dem Senden.	USA (SCC)	anthropic.com/legal/dpa
Cloudflare, Inc. — Turnstile	Anti-Bot-CAPTCHA bei verdächtigen Anmeldeversuchen	USA (SCC)	cloudflare.com/cloudflare-customer-dpa
Microsoft Corporation	Clarity Analytics (Benutzerverhalten, nach Einwilligung)	USA (SCC)	aka.ms/DPAClarity
Plausible Analytics	Web-Traffic-Analyse (datenschutzfreundlich, ohne Cookies)	EU	plausible.io/data-policy
Have I Been Pwned (Pwned Passwords API)	Überprüfung kompromittierter Passwörter im k-Anonymitäts-Modus (5 SHA-1 Zeichen)	UK / Cloudflare	haveibeenpwned.com/Privacy
Meta Platforms, Inc.	Inhaltsveröffentlichung auf Facebook/Instagram (nur wenn der Benutzer ein Konto verbindet und die Veröffentlichung autorisiert)	USA (SCC)	facebook.com/legal/dataprocessingterms
Meta Platforms Ireland Limited	Meta Pixel — Conversion-Messung (Registrierungen zur kostenlosen Testphase) + Marketing/Retargeting (Meta-Werbe-Audiences), nach Einwilligung. Weiterübermittlung (onward transfer) an Meta Platforms, Inc. (USA)	Irland (EU); onward USA (EU-US DPF + SCC)	facebook.com/legal/dataprocessingterms

Hinweise v1.4: Die mit dem Präfix "↳" hervorgehobenen Brevo-Sub-Processors sind indirekte Anbieter, auf die sich Brevo zur Erbringung seines Dienstes stützt. Die Liste stammt aus Annex 2 des Brevo-DPA (Appendix 3 der Brevo Terms of Service) und unterliegt autonomen Aktualisierungen durch Brevo, das sich verpflichtet, uns über jede Änderung zu benachrichtigen; in diesem Fall werden wir diese Tabelle aktualisieren und etwaige Änderungen spätestens 30 Tage nach der Benachrichtigung anwenden. Brevo optionale Sub-Processors (SMS-Routing, AI-Anbieter, Salesforce-Plugin, Convrrt, Integry) sind auf unserem Konto nicht aktiviert und erhalten daher keine personenbezogenen Daten unserer Benutzer.

5. Aufbewahrungsfristen

• Aktive Konten: Vertragsdauer + 30 Tage.
• Inaktive Konten: Hinweis nach 12 Monaten; Löschung nach weiteren 30 Tagen.
• Zugriffs- und Anwendungsaudit-Protokolle: 365 Tage (admin konfigurierbar), dann automatische Löschung.
• Rechnungsdaten und SDI-Rechnungen: 10 Jahre (D.P.R. 633/72).
• SIAE-Sitzungstoken: 45 Minuten (Redis TTL).
• Referral-Click-Logs: 180 Tage, dann automatische Löschung.
• Support-Agent-Antwortentwürfe: Keine Aufbewahrung bei Claude/Anthropic; Entwürfe verbleiben im IMAP-Postfach bis zum Senden/manuellen Löschen.

5bis Aufbewahrung von E-Mail-Logs und Tracking (NEU in v1.4)

• E-Mail-Versandprotokoll (email_send_log): 90 Tage, abgestimmt mit Anwendungsaudit-Protokoll. Enthält: user_id, campaign_id, Versand-Zeitstempel, aggregierter Zustellstatus (sent/bounced/spam/unsubscribed). Automatische Löschung.
• Anbieter-Zustellereignisse (email_event): 18 Monate für Compliance-Audit und Fraud-Monitoring. Enthält: Zeitstempel, Ereignistyp (delivered, bounce, complaint), E-Mail-Referenz. Automatische Löschung.
• Click-Ereignisse (email_link_event): 18 Monate, erfasst nur für Benutzer, die ausdrücklich dem Engagement-Tracking zugestimmt haben (Standardmäßig aus für Privacy-by-Default). Für Benutzer ohne Einwilligung: nur anonymes Aggregat (Kampagne + Linkposition).
• E-Mail-Einwilligungshistorie (email_consent_history): Permanente Aufbewahrung gemäß Art. 7 DSGVO (Nachweispflicht der Einwilligung). Enthält: Ereignistyp (Opt-in/Opt-out), UTC-Zeitstempel, aktive Datenschutzversion, aktive T&C-Version, Text des angezeigten Kontrollkästchens, zitierte Rechtsgrundlage. Append-only, unveränderlich, auch nach Kontolöschung erhalten (über E-Mail-Hash für RTBF).
• Kampagnenempfänger-Snapshots (email_campaign_recipient): 6 Monate nach Versandende, dann Anonymisierung (Entfernung der user_id, nur Aggregate beibehalten).
• Sperrliste (email_suppression): Permanente Aufbewahrung zur Verhinderung von Sendungen nach Abmeldung. Bidirektional mit Brevo synchronisiert.
• E-Mail Anti-Fraud-Unsubscribe IP-Hash: 90 Tage, abgestimmt mit Versandprotokoll (siehe §2.18).

6. Datenübermittlungen außerhalb der EU

Auftragsverarbeiter mit Sitz in den USA (Stripe, Google, Anthropic, Microsoft, Cloudflare, Meta, Brevo USA Sub-Processors wie Cloudflare, Sendinblue Inc., Zendesk, Omni) arbeiten auf der Grundlage der Standardvertragsklauseln (SCC — EU-Beschluss 2021/914) und, falls anwendbar, der von der Europäischen Kommission unter dem EU-US Data Privacy Framework gewährten Angemessenheit (Angemessenheitsbeschluss vom 10/07/2023). Insbesondere werden die vom Meta Pixel erhobenen Daten von Meta Platforms Ireland Limited (Irland, EU) verarbeitet und im Wege der Weiterübermittlung (onward transfer) an Meta Platforms, Inc. (USA) übermittelt, die unter dem EU-US Data Privacy Framework zertifiziert ist; als zusätzliche Garantie finden die Standardvertragsklauseln (SCC) Anwendung. Brevo-Sub-Processors in Indien (Brevo CRM Solution) arbeiten auf der Grundlage von SCC + zusätzlichen Maßnahmen, die von Brevo dokumentiert sind. ACube, Brevo SAS, Aruba, Hetzner, OVH, Plausible sind EU — keine zusätzlichen Übermittlungsmaßnahmen erforderlich. Die vollständige Brevo DPA-Überprüfung ist in docs/legal/brevo_dpa_review_notes.md dokumentiert und auf Anfrage verfügbar.

7. Ihre Rechte

Als betroffene Person haben Sie das Recht auf:

• Auskunft (Art. 15): eine Kopie der Sie betreffenden Daten zu erhalten, einschließlich E-Mail-Einwilligungshistorie und Versandprotokolle (für einwilligende Benutzer).
• Berichtigung (Art. 16): ungenaue oder unvollständige Daten zu korrigieren, einschließlich E-Mail-Kommunikationspräferenzen (Präferenzzentrum).
• Löschung (Art. 17): die Löschung Ihrer Daten zu beantragen ("Recht auf Vergessenwerden"), innerhalb der Grenzen, die mit den Steuerverpflichtungen und der Nachweispflicht der Einwilligung vereinbar sind (Art. 7 DSGVO — die Einwilligungshistorie wird in pseudonymisierter Form über E-Mail-Hash erhalten).
• Datenübertragbarkeit (Art. 20): Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
• Widerspruch (Art. 21): der Verarbeitung aufgrund berechtigten Interesses zu widersprechen, einschließlich PRODUCT_UPDATE E-Mails über den Abmelden-Link in jeder E-Mail oder das Präferenzzentrum.
• Einschränkung (Art. 18): die Verarbeitung unter bestimmten Umständen einzuschränken, einschließlich vorübergehender Aussetzung der E-Mail-Präferenzen.
• Widerruf der Einwilligung (Art. 7 Abs. 3): erteilte Einwilligungen (z.B. MARKETING, Microsoft Clarity, Meta Pixel, Social-Media-Veröffentlichung) jederzeit zu widerrufen, mit der gleichen Leichtigkeit, mit der sie erteilt wurden. Beim Meta Pixel erfolgt der Widerruf über den Link "Cookie-Einstellungen" im Footer: Bei Widerruf wird der Pixel gestoppt und die Cookies _fbp/_fbc werden gelöscht.

Im Bereich Konto > Datenschutz können Sie alle Ihre Daten exportieren (Art. 20) und Ihr Konto eigenständig löschen (Art. 17). Im Bereich Konto > E-Mail-Einstellungen können Sie Ihre Kommunikationspräferenzen verwalten (siehe §9bis). Für andere Anfragen schreiben Sie an support@easybordero.it. Wir werden innerhalb von 30 Tagen antworten. Sie können auch eine Beschwerde bei der italienischen Datenschutzbehörde (Garante per la protezione dei dati personali) einreichen.

8. Cookie-Richtlinie und E-Mail-Tracking

• Technische Cookies (notwendig): JWT-Token für die Authentifizierung. Keine Einwilligung erforderlich.
• Analytische Cookies (Microsoft Clarity): anonyme Daten zum Verhalten. Aktiviert nur mit ausdrücklicher Einwilligung über Banner. Sie können die Einwilligung jederzeit über den Link "Cookie-Einstellungen" im Footer widerrufen.
• Plausible Analytics: datenschutzfreundliche Traffic-Analyse, ohne Cookies. Verwendet auf Basis berechtigten Interesses (Art. 6 Abs. 1 lit. f).
• Marketing-Cookies und -Pixel (Meta Pixel) (NEU in v1.4.5): Wir binden den Meta Pixel (Skript fbevents.js, geladen von connect.facebook.net) von Meta Platforms Ireland Limited zur Conversion-Messung (Registrierungen zur kostenlosen Testphase) und zu Marketing-/Retargeting-Zwecken (Erstellung von Meta-Werbe-Audiences) ein. Der Pixel setzt folgende First-Party-Cookies: _fbp (pseudonymer Browser-Identifikator, Dauer ~90 Tage) und _fbc (Click-ID, nur gesetzt bei Vorhandensein des Parameters fbclid in der URL, Dauer ~90 Tage). Meta verarbeitet: pseudonyme Identifikatoren (_fbp/_fbc), Standard-Ereignisse (PageView, CompleteRegistration), die Seiten-URL, die IP-Adresse (von Meta erhoben), Browser-/Geräteinformationen. Wir verwenden kein Advanced Matching: Wir übermitteln an Meta weder E-Mail, Name, Telefonnummer noch sonstige direkten Identifikationsdaten. Der Pixel wird ausschließlich nach Einwilligung in die Kategorie "Marketing" des Cookie-Banners geladen (Art. 6 Abs. 1 lit. a DSGVO) und wird niemals geladen auf Seiten, die Einmal-Token in der URL enthalten (Passwort-Reset, E-Mail-Verifizierung, Abschluss der Google-Registrierung, E-Mail-Abmeldung), um die Übermittlung solcher Token an Dritte zu vermeiden. Sie können die Einwilligung jederzeit über den Link "Cookie-Einstellungen" im Footer widerrufen: Bei Widerruf wird der Pixel gestoppt und die Cookies _fbp/_fbc werden gelöscht. Die US-Übermittlung (onward an Meta Platforms, Inc.) ist durch EU-US DPF + SCC abgedeckt (siehe §6).
• Brevo E-Mail-Tracking-Pixel (NEU in v1.4): Brevo (unser E-Mail-Verarbeiter) fügt automatisch ein Tracking-Pixel in E-Mails ein, um Öffnungen und Klicks zu erkennen. Auf unserem Konto haben wir globale Anonymisierung aktiviert: Solche Ereignisse werden aggregiert, aber in den Brevo-Logs nicht auf einen bestimmten Benutzer zurückgeführt. Dies gilt für alle E-Mail-Kategorien (SYSTEM, PRODUCT_UPDATE, MARKETING).
• Benutzerdefinierter EasyBorderò Link-Tracker (NEU in v1.4): nur für PRODUCT_UPDATE und MARKETING E-Mails werden die Links im E-Mail-Body neu geschrieben, um durch eine benutzerdefinierte Weiterleitung (/api/v1/email/r/{token}) zu passieren. Diese Weiterleitung erfasst den Klick in personenbezogener Form (auf einen bestimmten Benutzer zurückführbar) nur wenn der Benutzer ausdrücklich der Engagement-Tracking zugestimmt hat; ansonsten wird nur anonymes Aggregat erfasst. Der Token ist HMAC multi-kid signiert, um Manipulationen zu verhindern. Das Vorhandensein der Weiterleitung verändert nicht das endgültige Ziel des Links.

9. Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO: At-Rest-Verschlüsselung von Steuerdaten und SIAE-Anmeldedaten (AES-256-GCM mit Schlüsselrotation), bcrypt-Hashing von Benutzerpasswörtern, TLS 1.2+ für alle Kommunikationen, Netzwerksegregation, 365-Tage Audit-Log, verschlüsselte Backups auf Remote-Zielen, automatische Überwachung von Sicherheitsanomalien, Überprüfung kompromittierter Passwörter, Rate-Limiting und CAPTCHA zur Verhinderung automatisierter Angriffe. (v1.4) Für E-Mail-Kommunikation wenden wir zusätzlich an: DKIM ausgerichtet mit der Absenderdomäne (Aruba-Selektor a1 und Brevo brevo1/brevo2), DMARC p=quarantine für Anti-Spoofing/Phishing-Schutz, HMAC multi-kid Link-Tracker für Link-Integrität, tägliche DMARC-Aggregator-Überwachung.

(v1.4.4) Fallback-Kanal für Servicekontinuität: Um die Servicekontinuität bei vorübergehender Nichtverfügbarkeit des primären E-Mail-Anbieters (Brevo) zu gewährleisten — beschränkt auf kritische Service-Kommunikationen (SYSTEM und interne technische ADMIN_OPS-Benachrichtigungen) — kann das System einen technischen Alert an den Verantwortlichen über einen alternativen Messaging-Kanal (Telegram FZ-LLC, Vereinigte Arabische Emirate — Bot API) senden. Solche Alerts enthalten keine personenbezogenen Daten der Betroffenen und sind durch folgende technische Maßnahmen by-design geschützt: (i) keine E-Mail-Adresse, keine Nutzeridentifikatoren (user_id, Stripe customer_id, Abonnement-IDs), keine Nutzer-Payload-Inhalte werden über den Kanal übermittelt; (ii) etwaige interne Kampagnenkennungen (campaign_id) werden vor dem Versand gekürzt oder pseudonymisiert; (iii) der Kanal unterliegt Rate-Limiting und Dedup, um Side-Channel-Wiedererkennung durch zeitliche Muster zu verhindern. Telegram ist somit kein Empfänger der Nutzer-E-Mails, sondern ausschließlich ein technischer Monitoring-Kanal zum Verantwortlichen, der nur in operativen Notfallszenarien aktiviert wird. Konfiguration und Mechanismen für Rate-Limiting / Dedup dieses Kanals sind in internen technischen Runbooks dokumentiert und werden regelmäßig überprüft. Aktualisierungsvorbehalt: Sollte dieser Kanal künftig personenbezogene Daten der Betroffenen — auch indirekt — vermitteln, wird Telegram FZ-LLC als Auftragsverarbeiter in §4 aufgenommen und diese Erklärung gemäß Art. 14 Abs. 3 lit. c DSGVO aktualisiert.

9bis E-Mail-Präferenzzentrum (NEU in v1.4)

Im Bereich Konto > E-Mail-Einstellungen (auch erreichbar über den Link Einstellungen verwalten im Footer jeder PRODUCT_UPDATE oder MARKETING E-Mail) können Sie:

• Den Status Ihrer E-Mail-Einwilligungen pro Kategorie anzeigen und ändern:
  • SYSTEM (Transaktions-E-Mails): immer aktiv, kann nicht deaktiviert werden (Kontolöschung erforderlich).
  • PRODUCT_UPDATE (Produktaktualisierungen): standardmäßig aktiv auf Basis berechtigten Interesses, jederzeit deaktivierbar.
  • MARKETING (Angebote und Promotionen): standardmäßig inaktiv, erfordert ausdrückliche Opt-in.
• Den Verlauf der letzten 20 erhaltenen E-Mails anzeigen (sichtbar nur für diejenigen mit Engagement-Tracking-Einwilligung).
• Das Widerspruchsrecht (Art. 21 DSGVO) mit einem Klick ausüben — die Wirkung ist sofort und kostenlos, konform mit dem RFC 8058-Standard (One-Click-Unsubscribe).
• Das Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) für die Kategorien mit ausdrücklicher Einwilligung (MARKETING) ausüben.

Die Einwilligungshistorie (Opt-in/Opt-out) wird unveränderlich aufbewahrt, um die Nachweispflicht der Einwilligung gemäß Art. 7 DSGVO zu erfüllen (siehe §5bis).

10. Kontakt

Tune Mates di Olivari Marco (Einzelunternehmen) — USt-IdNr. IT03340720212
Via Aurelio Nicolodi, 5 — 39100 Bozen (BZ), Italien
E-Mail: support@easybordero.it

11. Änderungen dieser Erklärung

Im Falle wesentlicher Änderungen werden registrierte Benutzer per E-Mail mit einer Vorankündigung von mindestens 14 Tagen informiert und — wo die Art der Änderung dies erfordert — wird eine neue ausdrückliche Einwilligung zum Zeitpunkt des nächsten Zugangs zur Plattform verlangt.

Die rechtlich verbindliche Version dieser Erklärung ist die italienischsprachige. Eventuelle Übersetzungen in andere Sprachen (Deutsch, Englisch) werden als Höflichkeit bereitgestellt und stellen keine eigenständige Quelle der Informationsverpflichtung dar: Wesentliche Änderungen am italienischen Text lösen die Informationspflichten nach Art. 13-14 DSGVO aus und, wo die Änderung die Rechtsgrundlagen oder Zwecke der Verarbeitung betrifft, eine neue Einwilligungserklärung nach Art. 6 und 7 DSGVO. Im Falle von Abweichungen zwischen den Versionen hat die italienische Version Vorrang.

Änderungsprotokoll v1.4.4 → v1.4.5 (3. Juni 2026)

• Einführung des Meta Pixel (fbevents.js von connect.facebook.net) von Meta Platforms Ireland Limited zur Conversion-Messung (Registrierungen zur kostenlosen Testphase) und zu Marketing-/Retargeting-Zwecken. Der Pixel wird ausschließlich nach Einwilligung in die Kategorie "Marketing" des Cookie-Banners aktiviert (Art. 6 Abs. 1 lit. a DSGVO) und setzt die First-Party-Cookies _fbp und _fbc (Dauer ~90 Tage).
• Aktualisiert wurden §2.11 (Erwähnung des Meta Pixel nach Einwilligung), §3 (Meta Pixel unter Art. 6 Abs. 1 lit. a Einwilligung), §7 (Meta Pixel unter den widerrufbaren Einwilligungen gemäß Art. 7 Abs. 3 mit Widerruf über "Cookie-Einstellungen") und §8 (dedizierter Meta-Pixel-Eintrag anstelle des bisherigen Wortlauts "Werbecookies von Drittanbietern: nicht verwendet", der nicht mehr zutrifft).
• Hinzugefügt in §4 die Sub-Processor-Zeile Meta Platforms Ireland Limited (Irland, EU) für den Meta Pixel, mit Weiterübermittlung (onward transfer) an Meta Platforms, Inc. (USA). Aktualisiert wurde §6 mit der Garantie für die Drittlandsübermittlung EU-US Data Privacy Framework (Meta zertifiziert) + SCC.
• Dokumentiert wurden die Datenminimierungs- und By-Design-Maßnahmen des Pixels: kein Advanced Matching (keine Übermittlung von E-Mail/Name/Telefonnummer an Meta) und Ausschluss des Ladens auf Seiten mit Einmal-Token in der URL (Passwort-Reset, E-Mail-Verifizierung, Abschluss der Google-Registrierung, E-Mail-Abmeldung).
• Wesentliche Änderung im Sinne der Art. 13-14 DSGVO, beschränkt auf die Einführung einer neuen, auf Einwilligung gestützten Verarbeitung (Art. 6 Abs. 1 lit. a) und eines neuen Empfängers außerhalb der EU: Ohne ausdrückliche Opt-in-Einwilligung der betroffenen Person wird weder eine MARKETING-E-Mail noch ein Marketing-Cookie aktiviert.

Änderungsprotokoll v1.4.3 → v1.4.4 (2. Juni 2026)

• Neufassung des Betriebshinweises am Anfang des Dokuments zur Wiedergabe des aktuellen Status des progressiven Cutover des Email-Campaigns-Moduls: die Foundation-Komponenten (SYSTEM, Präferenzzentrum §9bis, One-Click-Unsubscribe nach RFC 8058, Custom-Link-Tracker EasyBorderò, IP-Hash-Schutz §2.18) sind seit 31. Mai 2026 operativ; der tatsächliche Versand der Kategorien PRODUCT_UPDATE und MARKETING bleibt an eine spätere ausdrückliche Aktivierung durch den Verantwortlichen geknüpft, mit ausdrücklicher Benachrichtigung der Nutzer zum Go-Live.
• Hinzugefügt in §9 Sicherheit ein Absatz zum Telegram FZ-LLC Fallback-Kanal (Bot API), der ausschließlich für technische Betriebsbenachrichtigungen an den Verantwortlichen bei Nichtverfügbarkeit des primären E-Mail-Anbieters verwendet wird, mit ausdrücklicher Erklärung der technischen By-Design-Maßnahmen (keine E-Mail-Adresse, keine Nutzerkennung, kein Nutzer-Payload, campaign_id gekürzt/pseudonymisiert, Rate-Limiting + Dedup) und Aktualisierungsvorbehalt gemäß Art. 14 Abs. 3 lit. c DSGVO, falls der Kanal künftig auch indirekt personenbezogene Daten vermitteln sollte.
• Nicht-wesentliche Änderung gemäß Art. 14 Abs. 4 DSGVO (informative Angleichung an den Betriebsstatus des Systems und Formalisierung einer bereits technisch vorgesehenen Servicekontinuitätsmaßnahme): Sie wirkt sich nicht auf Rechtsgrundlagen, Zwecke, Datenkategorien, nutzerseitige Sub-Processor oder Rechte der Betroffenen aus. Keine neue Einwilligung und keine vorherige Benachrichtigung der Nutzer erforderlich.

Änderungsprotokoll v1.4.2 → v1.4.3 (30. Mai 2026)

• Aktualisierung von §1 Verantwortlicher und §10 Kontakt mit der vollständigen Bezeichnung des Verantwortlichen: Tune Mates di Olivari Marco (Einzelunternehmen). Die vorherige Formulierung "Tune Mates" identifizierte zwar dieselbe Einheit, ließ jedoch die Rechtsform und den Nachnamen des tatsächlichen Inhabers aus; die aktuelle Formulierung entspricht dem Transparenzgrundsatz gemäß Art. 5 Abs. 1 Buchst. a) und der Pflicht zur Angabe der "Identität des Verantwortlichen" gemäß Art. 13 Abs. 1 Buchst. a) DSGVO.
• Hinzufügung des Länderpräfixes "IT" zur USt-IdNr. (IT03340720212) zur Kohärenz mit der VIES-Darstellung und mit allen B2B-Unterlagen (SDI, elektronische Rechnungen, DPA). Keine wesentliche Änderung: Es handelt sich um dieselbe italienische USt-IdNr.
• Nicht wesentliche Änderung gemäß Art. 14 Abs. 4 DSGVO (redaktionelle Klarstellung): betrifft weder Rechtsgrundlagen, Zwecke, Datenkategorien, Sub-Auftragsverarbeiter noch Betroffenenrechte. Erfordert keine neue Einwilligung oder vorherige Benachrichtigung der Nutzer.

Änderungsprotokoll v1.4.1 → v1.4.2 (26. Mai 2026)

• Aktualisierung der Aufbewahrungsdauer für IP-Hash der Anti-Fraud-E-Mail von 30 Tagen auf 90 Tage (§2.18 und §5bis). Anpassung an die technische Umsetzung des E-Mail-Versandprotokolls (email_send_log), das eine 90-tägige Aufbewahrung zur Kohärenz mit dem Analysefenster für Zustellungsanomalien, Bounce-Muster und automatisierten Unsubscribe-Missbrauch übernimmt. Die Pseudonymisierung (SHA-256 mit jährlich rotierendem Salt) und die Unmöglichkeit, die Klartext-IP abzuleiten, bleiben unverändert.

Änderungsprotokoll v1.3 → v1.4 (25. Mai 2026)

• Hinzugefügt §2.17 E-Mail-Kommunikation und Rechtsgrundlagen mit 4 Unterabschnitten (SYSTEM, PRODUCT_UPDATE, MARKETING, E-Mail-Sub-Processor).
• Hinzugefügt §2.18 E-Mail IP-Hash-Aufbewahrung Anti-Fraud-Unsubscribe.
• Aktualisiert §3 Zusammenfassung der Rechtsgrundlagen mit Verweisen auf neue E-Mail-Kategorien.
• Aktualisiert §4 Sub-Processors: Brevo-Detail + Liste der Brevo indirekten Sub-Processors (OVH, GCP, Cloudflare, Zendesk, Omni, Brevo-Gruppe). Aruba-Nutzung aktualisiert (IMAP dmarc@ und SMTP für manuelle E-Mails hinzugefügt).
• Hinzugefügt §5bis Aufbewahrung von E-Mail-Logs und Tracking.
• Aktualisiert §6 Datenübermittlungen außerhalb der EU mit Verweis auf Brevo DPA + Indien-Sub-Processor.
• Aktualisiert §7 Ihre Rechte mit expliziten Verweisen auf E-Mail-Präferenzen + Einwilligungshistorie.
• Aktualisiert §8 Cookies mit dediziertem Abschnitt über Brevo E-Mail-Tracking-Pixel + benutzerdefinierten EasyBorderò Link-Tracker.
• Aktualisiert §9 Sicherheit mit E-Mail-spezifischen DKIM/DMARC/HMAC-Maßnahmen.
• Hinzugefügt §9bis E-Mail-Präferenzzentrum.
• Keine wesentlichen Änderungen an den Rechtsgrundlagen oder Zwecken der bestehenden Verarbeitung — die Neuerungen betreffen die Formalisierung von E-Mail-Verarbeitungen, die bereits operativ waren (Transaktional) oder durch das neue interne Email Campaigns-Modul erweitert werden. Die Kontinuität der Verarbeitung ist gewährleistet; das Widerspruchsrecht Art. 21 DSGVO wird erweitert und durch das neue Präferenzzentrum granularer gemacht.

Letzte Überarbeitung: 3. Juni 2026 — Version 1.4.5