Cookie-Richtlinie

Interne Version: v2.0

Letzte Aktualisierung: 9. Mai 2026

Ersetzt: v1.x (6. Mai 2026)

>

Wesentliche Änderungen gegenüber v1.x: Diese Version spiegelt die Aktivierung des Google-Tag-Manager-Containers und der Werbe- und Analyseintegrationen von Google (Google Analytics 4 und Google Ads, einschließlich Enhanced Conversions und serverseitigem Upload von Offline Conversions vom Stripe-Webhook) wider, alle abhängig von der vorherigen Einwilligung des Nutzers über ein Cookie-Banner mit vier Kategorien. Schreibt den vorherigen Abschnitt 5 um, in dem behauptet wurde, keine Analyse-Cookies zu verwenden — eine Aussage, die nicht mehr zutreffend war.

---

Inhaltsverzeichnis

1. Was sind Cookies?
2. Cookies und Speicher, die wir verwenden
3. Zweck der Cookie-Nutzung
4. Technische und wesentliche Cookies
5. Analyse-Cookies
6. Werbe- und Konversionsmessungs-Cookies
7. Verwaltung der Einwilligung
8. Wie du Cookies deaktivieren oder löschen kannst
9. Lokaler Speicher des Browsers (localStorage)
10. Daten Dritter und Subprozessoren
11. Änderungen dieser Richtlinie
12. Kontakt

---

1. Was sind Cookies?

Cookies sind kleine Textdateien, die beim Zugriff auf eine Website auf das Gerät des Nutzers (Computer, Tablet, Mobiltelefon) heruntergeladen und gespeichert werden. Diese kleinen Datenmengen werden zwischen deinem Gerät und den Webservern übertragen, sodass die Website deine Anwesenheit erkennen und Informationen über deine Navigation speichern kann.

Cookies können dazu konzipiert sein:

• Präferenzen und Einstellungen des Nutzers zu speichern.
• Den Nutzer in sicheren Systemen zu authentifizieren.
• Informationen über die Nutzung der Website zu erheben (Analytik).
• Die Messung von Werbekonversionen zu ermöglichen.
• Funktionen sozialer Netzwerke zu integrieren.

Neben Cookies können Websites andere clientseitige Speichertechnologien wie localStorage, sessionStorage und Pixel verwenden, die ähnliche Funktionen erfüllen und auf die diese Richtlinie sinngemäß Anwendung findet.

2. Cookies und Speicher, die wir verwenden

Im Folgenden findest du den vollständigen Katalog der auf unseren Plattformen aktiven Cookies und Speicherformen, geordnet nach Kategorie und Erfordernis der Einwilligung.

2.1. Streng notwendige Cookies (ohne Einwilligung)

Name	Anbieter	Zweck	Dauer	Typ

cookie_consent_v2

Afini (eigen)

Speichert deine Wahl zu den Cookie-Kategorien und die Version der akzeptierten Richtlinie

12 Monate

HTTP-Cookie, SameSite=Lax, Secure

__cf_bm

Cloudflare (Drittanbieter)

Unterscheidung von menschlichem und automatisiertem Traffic zur Bot-Mitigation

30 Minuten

HTTP-Cookie, HttpOnly

__cf_clearance

Cloudflare (Drittanbieter)

Aufrechterhaltung der bestandenen Anti-Bot-Verifikation, um die Challenge nicht erneut auslösen zu müssen

Bis zu 1 Jahr

HTTP-Cookie, HttpOnly

__stripe_mid

Stripe (Drittanbieter)

Identifikation des Browsers zwischen Zahlungssitzungen zur Betrugsprävention

1 Jahr

HTTP-Cookie, Secure

__stripe_sid

Stripe (Drittanbieter)

Aufrechterhaltung einer aktiven Zahlungssitzung

30 Minuten

HTTP-Cookie, Secure

2.2. Präferenz-Cookies (mit optionaler Einwilligung)

Aktuell verwenden wir keine zusätzlichen Präferenz-Cookies. Die Sprachpräferenz wird in localStorage gespeichert (siehe Abschnitt 9), nicht in Cookies. Sollten wir künftig Präferenz-Cookies hinzufügen (z. B. ein geräteübergreifend persistenter Dark Mode), würden wir sie in diese Tabelle aufnehmen und eine separate Einwilligung einholen.

2.3. Analyse-Cookies (mit Einwilligung)

Diese Cookies werden nur gesetzt, wenn du der Kategorie „Analytik" im Cookie-Banner zugestimmt hast.

Name	Anbieter	Zweck	Dauer	Typ

_ga

Google (Google Analytics 4)

Identifikation des Browsers zwischen Seiten und Sitzungen für die aggregierte Nutzungsanalyse

2 Jahre

HTTP-Cookie, *first-party* (Afini-Domain)

_ga_<container_id>

Google (Google Analytics 4)

Persistenz des Sitzungszustands spezifisch für den GA4-Container

2 Jahre

HTTP-Cookie, *first-party* (Afini-Domain)

Plausible Analytics — ohne Cookies und ohne Einwilligungserfordernis: Zusätzlich verwenden wir Plausible Analytics, einen in der Europäischen Union (Estland) gehosteten Web-Analytics-Dienst, der keine Cookies setzt und keine persistenten eindeutigen Identifikatoren speichert. Plausible liefert nur aggregierte Metriken (Seitenaufrufe, Länder, Browser, Traffic-Quellen). Gemäß den EDPB-Leitlinien 03/2023 zum technischen Anwendungsbereich von Artikel 5.3 der ePrivacy-Richtlinie erfordert diese Nutzung keine vorherige Einwilligung. Wenn du nicht einmal in diesen aggregierten Metriken erscheinen möchtest, kannst du das „Do Not Track"-Signal deines Browsers aktivieren (Plausible respektiert es) oder die Domain plausible.io mit einer Erweiterung blockieren.

2.4. Werbe- und Konversionsmessungs-Cookies (mit Einwilligung)

Diese Cookies werden nur gesetzt, wenn du der Kategorie „Marketing" im Cookie-Banner zugestimmt hast.

Name	Anbieter	Zweck	Dauer	Typ

_gcl_au

Google (Google Ads — Conversion Linker)

Speicherung und Übermittlung von Informationen zu Anzeigenklicks zur Verbesserung der Konversionszuordnung

90 Tage

HTTP-Cookie, *first-party*

_gcl_aw

Google (Google Ads)

Speicherung des Werbeklick-Identifikators (GCLID)

90 Tage

HTTP-Cookie, *first-party*

_gcl_dc

Google (Google Ads / DoubleClick)

Speicherung des äquivalenten Klick-Identifikators für Display-Inventar

90 Tage

HTTP-Cookie, *first-party*

_gcl_gb

Google (Google Ads)

Zusätzliche Persistenz der Attribution

90 Tage

HTTP-Cookie, *first-party*

_gac_<gclid>

Google (Google Ads)

Kampagneninformationen, die einer bestimmten Konversion zugeordnet sind

90 Tage

HTTP-Cookie, *first-party*

Hinweis: Aktuell führen wir keine Display- oder YouTube-Kampagnen von Google durch. Würden wir diese künftig aktivieren, könnten zusätzlich Drittanbieter-Cookies wie IDE (DoubleClick) oder VISITOR_INFO1_LIVE (YouTube) gesetzt werden. Diese Richtlinie würde entsprechend aktualisiert und das Einwilligungs-Banner für die betroffenen Nutzer erneut angezeigt.

2.5. Cookies des Anbieters des KI-Modells

Anthropic (LLM-Anbieter) setzt keine Cookies in deinem Browser. Die Kommunikation mit der Anthropic-API erfolgt ausschließlich von unserem Backend aus, ohne direkten Kontakt zwischen deinem Browser und den Servern von Anthropic.

3. Zweck der Cookie-Nutzung

Afini verwendet Cookies für die folgenden Zwecke:

• Betrieb des Dienstes: Streng technische Cookies, die das ordnungsgemäße Funktionieren der Plattformen ermöglichen, einschließlich der Verwaltung sicherer Zahlungssitzungen mit Stripe, der Bot-Mitigation mit Cloudflare und der Aufzeichnung deiner Einwilligung in Bezug auf Cookies.
• Nutzungsanalytik: Aggregierte und *cookie-freie* Analyse über Plausible (ohne Einwilligung) und detaillierte Analyse über Google Analytics 4 (mit Einwilligung).
• Messung von Werbekonversionen: Zuordnung der auf unseren Plattformen getätigten Käufe zu den Google-Ads-Werbekampagnen, die sie ausgelöst haben, mittels Google-Ads-Cookies (mit Einwilligung) und zusätzlich mittels eines Server-zu-Server-Aufrufs vom Stripe-Webhook an die Google-Ads-API (Offline Conversions, abhängig von derselben Einwilligung). Zur Verbesserung der Zuordnung, wenn der Nutzer mit derselben E-Mail-Adresse bei Google identifiziert ist, wird Google ein SHA-256-Hash der E-Mail übermittelt (Enhanced Conversions) — der Hash ist ein abgeleiteter pseudonymisierter Identifikator und wird nur dann mitgesendet, wenn du der Kategorie „Marketing" zustimmst.

Was wir NICHT mit deinen Cookies tun:

• Wir verwenden Cookies nicht, um Werbeprofile auf Basis deiner Persönlichkeit, deiner Antworten auf die Tests oder deiner Werte zu erstellen.
• Wir übermitteln Google oder einem anderen Dritten weder dein kognitives Profil, deine Werte, deine Antworten noch den Inhalt deiner KI-Gespräche.
• Die Werbe-Audiences, die wir in Google Ads verwenden (einschließlich *Remarketing*, *Customer Match* und *Similar Audiences*), werden ausschließlich aus Besuchs- und Konversionsereignissen, kommerziellen E-Mail-Listen (im SHA-256-Hash-Format übermittelt) und Standard-Werbeattributen gebildet — niemals aus psychometrischen Profilen.
• Wir integrieren keine Pixel oder SDKs sozialer Netzwerke (Meta, TikTok, X/Twitter, LinkedIn etc.).
• Wir verwenden Cookies nicht für Browser-*Fingerprinting*.

4. Technische und wesentliche Cookies

Die Cookies aus Abschnitt 2.1 sind erforderlich, damit die Plattformen ordnungsgemäß funktionieren. Sie ermöglichen:

• Den Aufbau einer sicheren Sitzung zwischen deinem Gerät und unseren Servern.
• Die sichere Abwicklung von Zahlungen über Stripe.
• Die Aufrechterhaltung der Authentifizierung während der Nutzung des Dienstes (sowohl auf test.afini.ai als auch auf afini.ai).
• Die Mitigation automatisierten Traffics und von Angriffen über Cloudflare.
• Die Aufzeichnung deiner Einwilligung zu Cookies, damit wir dich nicht bei jedem Besuch erneut fragen müssen.

Diese Cookies sind für den Betrieb des Dienstes zwingend erforderlich und können nicht deaktiviert werden, ohne dass die Plattformen ihre ordnungsgemäße Funktion verlieren. Aus diesem Grund sind sie gemäß Artikel 22.2 LSSI-CE und Artikel 5.3 der ePrivacy-Richtlinie vom Erfordernis der vorherigen Einwilligung befreit.

5. Analyse-Cookies

Wir nutzen zwei Analyse-Dienste mit unterschiedlicher Behandlung:

Plausible Analytics (ohne Einwilligung): In der Europäischen Union (Estland) gehosteter Dienst, der ohne Cookies und ohne persistente eindeutige Identifikatoren arbeitet. Er liefert nur aggregierte Metriken. Seine Nutzung ist gemäß den EDPB-Leitlinien 03/2023 vom Erfordernis der vorherigen Einwilligung befreit. Google Analytics 4 (mit Einwilligung): Dienst, der die Cookies _ga und _ga_<container_id> benötigt, um den Browser zwischen Seiten und Sitzungen zu identifizieren. Wird nur aktiviert, wenn du der Kategorie „Analytik" im Cookie-Banner zustimmst. Deine IP-Adresse wird im Europäischen Wirtschaftsraum vor der Speicherung durch Google standardmäßig anonymisiert (IPv4/IPv6-Trunkierung). Die Datenaufbewahrung in GA4 ist auf 14 Monate konfiguriert.

Du kannst die Einwilligung in die Analyse-Cookies jederzeit widerrufen, indem du das Banner über den Link „Cookies verwalten" in der Fußzeile erneut öffnest.

6. Werbe- und Konversionsmessungs-Cookies

Wenn du der Kategorie „Marketing" im Cookie-Banner zustimmst, werden die Cookies aus Abschnitt 2.4 zum Zweck der Messung und Zuordnung der durch unsere Google-Ads-Kampagnen generierten Werbekonversionen aktiviert.

Technische Funktionsweise:

1. Wenn du über eine Anzeige auf die Plattform gelangst, ordnet Google deinen Besuch einem opaken Kampagnen-Identifikator (GCLID — *Google Click Identifier*) zu, der in _gcl_aw gespeichert wird.
2. Wenn du einen Kauf abschließt, sendet der Browser ein Konversionsereignis an den Google-Ads-Pixel (zusammen mit dem GCLID und dem Transaktionsbetrag).
3. Zusätzlich löst unser Backend aus dem Handler des Stripe-Webhooks checkout.session.completed einen *Server-zu-Server*-Aufruf an die Google-Ads-API (ConversionUploadService) aus und übermittelt dieselben Daten zusammen mit einem SHA-256-Hash deiner E-Mail-Adresse (Enhanced Conversions). Damit werden Fälle abgedeckt, in denen der Browser des Nutzers den clientseitigen Pixel nicht auslöst (schnelles Schließen der Tab, Pixel-Blocker etc.). Ein opaker Identifikator des Kaufs wird verwendet, um gegen das Browser-Ereignis zu deduplizieren.

Dieser zweite serverseitige Aufruf wird ausschließlich ausgeführt, wenn der Kategorie „Marketing" des Banners zugestimmt wurde. Die Einwilligung wird vom Browser an das Backend über einen Parameter weitergegeben, der dem Token des Kaufs zugeordnet ist. Werbe-Audiences, die wir nutzen können (mit deiner Einwilligung):

• Remarketing: Nutzer, die die Plattform besucht haben. Aufgebaut aus den _gcl_*-Cookies und anderen Standard-Werbeidentifikatoren von Google.
• Customer Match: Listen von E-Mail-Adressen, an Google im SHA-256-Hash-Format über die API UserDataService übermittelt. Es werden ausschließlich E-Mails verwendet, für die eine vorherige Einwilligung in die Kategorie „Marketing" vorliegt.
• Similar Audiences: Audiences, die den vorgenannten statistisch ähnlich sind, von Google automatisch ohne zusätzliche Datenübermittlung unsererseits generiert.

Rote Linie: Dein kognitives Profil, deine Persönlichkeitswerte und deine Antworten auf die Fragebögen werden niemals an Google übermittelt oder zur Segmentierung von Werbe-Audiences verwendet. Die Google-Ads-Kampagnen, die wir durchführen, werden in keinem Fall nach Inferenzen aus den Persönlichkeitstests segmentiert. Die psychometrische Qualität des kognitiven Profils ist ein Vermögenswert des Nutzers, keine Werbevariable.

7. Verwaltung der Einwilligung

7.1. Cookie-Banner

Beim ersten Zugriff auf die Plattformen zeigen wir dir ein Banner mit vier Cookie-Kategorien:

• Notwendige (immer aktiv, können nicht deaktiviert werden)
• Präferenzen (optional)
• Analytik (optional)
• Marketing (optional)

Das Banner bietet drei Schaltflächen mit derselben visuellen Prominenz (gleiche Größe, Farbe und typografische Stärke):

• Alle akzeptieren — aktiviert alle Kategorien.
• Alle ablehnen — deaktiviert alle Kategorien außer den notwendigen.
• Konfigurieren — öffnet ein Panel zur individuellen Aktivierung oder Deaktivierung jeder Kategorie.

7.2. Google Consent Mode v2

Der Google-Tag-Manager-Container wird mit allen Consent-Signalen (ad_storage, analytics_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage, security_storage) im Standardwert denied geladen. Vor deiner Einwilligungserklärung empfängt Google nur *cookieless pings* ohne Identifikatoren. Wenn du das Banner bestätigst, übermitteln wir dem Container die aktualisierten Signale (granted oder denied pro Kategorie) und ab diesem Moment werden die entsprechenden Tags aktiviert.

7.3. Persistenz und Widerruf

• Deine Einwilligung wird im eigenen Cookie cookie_consent_v2 12 Monate lang gespeichert.
• Nach Ablauf dieser Frist zeigen wir dir das Banner erneut, um deine Einwilligung zu erneuern.
• Wenn wir diese Cookie-Richtlinie wesentlich ändern (z. B. eine neue Kategorie oder einen neuen Werbeanbieter hinzufügen), erhöhen wir die interne Version und zeigen den betroffenen Nutzern das Banner erneut.
• Du kannst deine Einwilligung jederzeit widerrufen oder ändern, indem du den Link „Cookies verwalten" in der Fußzeile der Plattformen verwendest. Deine neue Wahl tritt im nächsten Ladezyklus der Seite in Kraft, deaktiviert die entsprechenden Signale im Google Consent Mode und entfernt die zugehörigen Cookies.
• Wir bewahren einen Datensatz deiner Einwilligung (akzeptierte Kategorien, Datum und Version der Richtlinie) 13 Monate lang als Nachweis der Einhaltung gemäß Artikel 7 DSGVO auf.

7.4. Nutzer aus Versionen vor dieser

Nutzer, deren Plattformen vor Inkrafttreten dieser Richtlinie besucht wurden und die noch keine Einwilligung im Rahmen des neuen Banners erklärt haben, erhalten das Banner bei ihrem nächsten Besuch.

8. Wie du Cookies deaktivieren oder löschen kannst

Über unser eigenes Banner: Das ist der schnellste Weg und der, den wir empfehlen. Öffne das Banner über „Cookies verwalten" in der Fußzeile erneut und deaktiviere die Kategorien, die du nicht autorisieren möchtest. Über deinen Browser: Die meisten modernen Webbrowser ermöglichen dir, Cookies über ihre Einstellungen zu kontrollieren:

• Google Chrome: Einstellungen → Datenschutz und Sicherheit → Cookies und andere Websitedaten.
• Mozilla Firefox: Einstellungen → Datenschutz und Sicherheit → Cookies und Website-Daten.
• Safari: Einstellungen → Datenschutz → Cookies und Website-Daten.
• Microsoft Edge: Einstellungen → Datenschutz, Suche und Dienste → Browserdaten löschen.

Über Erweiterungen: Du kannst Erweiterungen verwenden, die Cookies verwalten und blockieren, wie Privacy Badger (Electronic Frontier Foundation), uBlock Origin oder Ghostery. Über dein Google-Konto: Um die personalisierte Werbung von Google auf Ebene deines Kontos (unabhängig von den Plattformen) zu deaktivieren, rufe https://adssettings.google.com/ auf. Auswirkung auf den Dienst: Wenn du die streng notwendigen Cookies deaktivierst, können die Plattformen möglicherweise nicht ordnungsgemäß funktionieren (unsichere Zahlungen, Sitzungsverlust, Unmöglichkeit der Authentifizierung etc.). Wenn du die Analyse- oder Werbe-Cookies deaktivierst, funktioniert der Dienst genauso; es wird nur unsere Fähigkeit beeinträchtigt, die aggregierte Nutzung und die werbliche Wirksamkeit zu messen.

9. Lokaler Speicher des Browsers (localStorage)

Zusätzlich zu Cookies verwenden die Plattformen den lokalen Speicher des Browsers (localStorage), um technische Informationen zu speichern, die für den Betrieb des Dienstes erforderlich sind.

Schlüssel	Plattform	Zweck	Dauer	Kategorie

afini_session_token

test.afini.ai · afini.ai

Sitzungs-Token, das dir den Zugang zu deinem Test, deinen Ergebnissen oder deinem Konto ermöglicht

Bis zum Ende der Sitzung oder bis zum Ablauf des Tokens

Notwendig

afini_lang

test.afini.ai · afini.ai

Bevorzugte Sprache auf der Plattform

Persistent

Notwendig

afini_active_profile_label

afini.ai

Label des aktiven Profils in Plänen mit mehreren Profilen

Persistent

Notwendig

cookie_consent_v2 (Spiegel)

test.afini.ai · afini.ai

Spiegel der Cookie-Einwilligung für synchronen Zugriff vom Client aus

12 Monate

Notwendig

afini_gads_conv_<token>

test.afini.ai

Deduplizierungsmarker zwischen vom Browser ausgelöster Konversion und serverseitig gesendeter Konversion, um zu vermeiden, dass derselbe Kauf zweimal in Google Ads gezählt wird

Persistent

Marketing (wird nur gesetzt, wenn der Kategorie „Marketing" zugestimmt wurde)

LocalStorage ähnelt Cookies, hat aber eine größere Speicherkapazität und wird im Gegensatz zu Cookies nicht automatisch mit jeder HTTP-Anfrage gesendet. Du kannst localStorage jederzeit über die Einstellungen deines Browsers löschen.

10. Daten Dritter und Subprozessoren

Die in dieser Richtlinie beschriebenen Cookies und Elemente werden von den folgenden Anbietern gesetzt. Für jeden verlinken wir auf seine Datenschutzerklärung.

Anbieter	Kategorie	Datenschutzerklärung

Stripe, Inc.

Notwendig (Zahlungsabwicklung)

https://stripe.com/privacy

Cloudflare, Inc.

Notwendig (Bot-Mitigation und Infrastruktur)

https://www.cloudflare.com/privacy/

Plausible Insights OÜ

Analytik (ohne Einwilligung, *cookie-free*)

https://plausible.io/privacy

Google LLC

Analytik und Marketing (mit Einwilligung)

https://policies.google.com/privacy

Über die aufgeführten Anbieter hinaus integriert Afini keinen weiteren Dienst, der Tracking-, Analyse- oder Werbe-Cookies setzt.

11. Änderungen dieser Richtlinie

Afini behält sich das Recht vor, diese Cookie-Richtlinie jederzeit zu aktualisieren, um Änderungen der eingesetzten Technologien, der geltenden Gesetzgebung oder unserer Datenschutzpraktiken widerzuspiegeln. Wesentliche Änderungen werden klar über die Plattformen kommuniziert, und betroffene Nutzer sehen das Einwilligungs-Banner erneut, um ihre Wahl zu erneuern.

Deine fortgesetzte Nutzung der Plattformen nach wesentlichen Änderungen stellt für die streng notwendigen Cookies die Annahme der aktualisierten Version dar. Für die optionalen Cookies ist eine erneute, über das Banner erklärte Einwilligung erforderlich.

12. Kontakt

Wenn du Fragen zu dieser Cookie-Richtlinie, zur Verwaltung deiner Cookie-Präferenzen hast oder deine Datenschutzrechte ausüben möchtest, kannst du uns kontaktieren:

• E-Mail: info@afini.ai
• Postadresse: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spanien

---

*Letzte Aktualisierung: 9. Mai 2026*