Datenschutz-Folgenabschätzung (DPIA)

Öffentliche Executive Summary. Das vollständige Dokument wird in der Sicherheitsdokumentation von Bilbao AI S.L. aufbewahrt und steht der Aufsichtsbehörde (spanische AEPD) auf Anfrage zur Verfügung.

1. Umfang und gesetzliche Verpflichtung

Art. 35 DSGVO verpflichtet zu einer DPIA, wenn eine Verarbeitung aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Afini.ai verarbeitet besondere Datenkategorien (Art. 9 DSGVO: psychologische Merkmale, Werte, Bindung, Humor, Zeitorientierung, Lebenskontext) und wendet darauf automatisierte Algorithmen an. Diese DPIA ist daher ein lebendiges Dokument: Sie wird mindestens jährlich überprüft sowie jedes Mal, wenn eine neue Schicht, ein neues Modell oder eine wesentliche Änderung der Rechtsgrundlage eingeführt wird.

2. Verarbeitungsübersicht

Identifikation (E-Mail, Sprache), Zahlungsdaten (von Stripe verarbeitet — Bilbao AI speichert weder PAN noch Bankdaten), Antworten auf psychometrische Fragebögen, Gespräche mit der KI, deklarierte Schichten (Vital, Rhythmen, Lebensweg, Hobbys usw.), Nutzungsmetriken des LLM-Proxys und Audit-Ereignisse. Auftragsverarbeiter: Stripe (Zahlungen), Anthropic (LLM unter DPA — verarbeitet nur, trainiert nicht mit deinen Inhalten), Resend (Transaktions-E-Mail), Holded (TicketBAI-Rechnungsstellung), Railway (europäisches Hosting), Cloudflare (CDN/WAF), Sentry (europäische Fehlerüberwachung).

3. Identifizierte Risiken

Risiko sensibler Inferenz: Die Kombination der Schichten kann nicht ausdrücklich erklärte psychologische Zustände offenbaren.
Re-Identifikationsrisiko: Pseudonymisierte Daten könnten durch Verknüpfung mit externen Quellen wieder dem Subjekt zugeordnet werden.
Risiko der Sekundärnutzung: Dritte könnten den AfiniTwin oder die Narrative zu anderen als den eingewilligten Zwecken nutzen.
Algorithmisches Verzerrungsrisiko: LLM-Modelle könnten bei der Interpretation des Profils Verzerrungen reproduzieren.
Risiko internationaler Übermittlungen: Auch wenn die Hauptverarbeitung europäisch ist, verarbeitet die Anthropic-API Inhalte unter einem DPA mit EU-Standardvertragsklauseln (SCC).

4. Abhilfemaßnahmen

Verschlüsselung bei Übertragung (TLS 1.2+) und im Ruhezustand (AES-256) auf allen Schichten; Datenbanksegregation in europäischer Infrastruktur (Railway eu-west).
Granulare und widerrufbare Einwilligung pro Schicht mit Audit-Trail jeder Änderung (siehe Reiter Einwilligungen in deinem Dashboard).
Minimierung: Jedes KI-Gespräch erhält nur die strikt notwendige Teilmenge des Profils; Inhalte werden niemals zum Training von Modellen verwendet.
Bias-Audits an Proxy-Prompts und periodische menschliche Überprüfung der erzeugten Narrative.
Aggressive Anonymisierung in Logs und Metriken: gesalzene IP-Hashes, keine Gesprächsinhalte, begrenzte Aufbewahrung (90 Tage bei Sentry, 30 Tage in Anwendungslogs).
Dokumentiertes Verfahren zur Meldung von Datenschutzverletzungen (Art. 33 DSGVO) innerhalb von 72 Stunden mit lückenloser Beweiskette.

5. Überprüfung und Governance

Die DPIA wird mindestens einmal jährlich überprüft und obligatorisch, wenn eine neue Schicht, ein neues Modell oder eine Funktion mit hoher Auswirkung (z. B. Export an Dritte) eingeführt wird. Der Verantwortliche genehmigt jede Überprüfung und das Datum wird in der Sicherheitsdokumentation protokolliert. Geschäftskunden können nach Unterzeichnung einer Vertraulichkeitsvereinbarung Zugang zur erweiterten Zusammenfassung anfordern.

Bist du Profi oder Unternehmen? Fordere den DPA an

Wenn du Daten deiner Kunden über Afini.ai verarbeitest, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (DPA). Wir senden dir die Vorlage in weniger als 48 Stunden zu.

DPA herunterladen (PDF)Bearbeitbaren DPA herunterladen (DOCX)Bei Fragen kontaktieren

Vorlage zur Gegenzeichnung vorbereitet: Lade sie herunter, trage deine Daten im Unterschriftenabschnitt ein, unterschreibe sie und sende sie an privacidad@afini.ai. Wir gegenzeichnen sie und senden dir innerhalb von 48 Stunden das gesiegelte PDF zurück.

Ergänzung v2.0 (9. Mai 2026): Werbe- und Analyse-Integrationen

Ab dem 9. Mai 2026 aktiviert Afini.ai kontrolliert die folgenden Werbe- und Analyse-Integrationen, die alle an die vorherige Einwilligung des Nutzers über das Cookie-Banner mit vier Kategorien gebunden sind (Google Consent Mode v2, Standardwert denied):

Google Tag Manager (GTM) als Tag-Container — keine Identifikatoren bis zur Einwilligung.
Google Analytics 4 (GA4) mit Cookies _ga, _ga_*; IP-Anonymisierung im EWR; 14 Monate Aufbewahrung.
Google Ads Conversion Tracking mit Cookies _gcl_au, _gcl_aw, _gcl_dc; 30-tägiges Attributionsfenster.
Google Ads Enhanced Conversions — Übermittlung des SHA-256-Hash der E-Mail-Adresse des Nutzers an Google zur Verbesserung der Attribution.
Google Ads Offline Conversions — Server-to-Server-Aufruf vom Stripe-Webhook checkout.session.completed an die Google Ads API (ConversionUploadService), abhängig von der Marketing-Einwilligung.
Werbe-Zielgruppen — Remarketing Lists for Search Ads, Customer Match (mit SHA-256-gehashter E-Mail über UserDataService) und Similar Audiences. Persönlichkeitswerte und das kognitive Profil werden niemals zur Bildung dieser Zielgruppen verwendet.
Plausible Analytics (cookielos, einwilligungsfrei) — gehostet in der Europäischen Union (Estland), aggregierte Kennzahlen ausgenommen gemäß EDPB-Leitlinien 03/2023.

Neuer Empfänger: Google LLC (USA / globales Netzwerk). Anwendbare Garantien: EU-U.S. Data Privacy Framework (DPF) + Standardvertragsklauseln (SCCs) + Transfer Impact Assessment gemäß Schrems II.

Ergebnis der DSFA-Aktualisierung: das Restrisiko bleibt moderat-niedrig. Die hinzugefügten Risikominderungen sind (1) Consent Mode v2 mit standardmäßig verweigertem Wert, (2) Server-seitiges Gate für den Stripe→Google-Ads-Aufruf basierend auf dem Marketing-Einwilligungs-Flag des Nutzers, (3) ausdrückliche Richtlinie, nicht nach Persönlichkeit zu segmentieren, (4) Cookie-Banner mit drei gleich prominenten Buttons und Widerruf jederzeit über den Footer wieder aufrufbar.

Für ausführliche Details (konkrete Cookies, Fristen, Rechtsgrundlagen, Tabelle der Empfänger und Übermittlungen) siehe die Datenschutzerklärung und die Cookie-Richtlinie in Version v2.0.

Zuletzt aktualisiert: 6. Mai 2026 (v2.0 — 9 de mayo de 2026)