legal.back

Datenschutzerklärung

Letzte Aktualisierung: 20. März 2026

Inhaltsverzeichnis

  1. Verantwortlicher für die Verarbeitung und geografischer Geltungsbereich
  2. Datenschutzbeauftrager
  3. Welche Daten wir erfassen
  4. Wofür wir deine Daten nutzen (Verarbeitungszwecke)
  5. Rechtsgrundlage der Verarbeitung
  6. Empfänger der Daten
  7. Internationale Datenübertragungen
  8. Datenaufbewahrungszeitraum
  9. Deine Rechte
  10. Daten von Minderjährigen
  11. Besonders sensible Daten und spezielle Kategorien
  12. Automatisierte Entscheidungsfindung, Profilbildung und künstliche Intelligenz
  13. Verarbeitungsprinzipien und Datenschutz-Folgenabschätzung
  14. Technische und organisatorische Sicherheitsmaßnahmen
  15. Cookies-Richtlinie und lokaler Browserspeicher
  16. Links zu Dritten
  17. Jurisdiktionsspezifische Informationen
  18. Änderungen dieser Richtlinie
  19. Anwendbares Recht und Jurisdiktion
  20. Kontakt

1. Verantwortlicher für die Verarbeitung und geografischer Geltungsbereich

Der Verantwortliche für die Verarbeitung deiner personenbezogenen Daten ist:

  • Unternehmensname: Bilbao AI S.L.
  • Steuernummer (CIF): B-13759758
  • Geschäftssitz: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spanien
  • E-Mail: info@afini.ai
  • Websites: https://test.afini.ai · https://afini.ai

Bilbao AI S.L. (im Folgenden „Afini", „wir" oder „die Plattformen") ist Eigentümer und Verantwortlicher für die Dienste zur Bewertung von Persönlichkeit und kognitives Profil, die über diese Websites zugänglich sind.

Geografischer Geltungsbereich: Afini bietet seine Dienste Nutzern aus der ganzen Welt an. Diese Datenschutzerklärung wurde so konzipiert, dass sie mit der in jeder Jurisdiktion geltenden Datenschutzgesetzgebung konform ist, in der wir tätig sind, einschließlich — ohne Einschränkung — die Europäische Union, den Europäischen Wirtschaftsraum, das Vereinigte Königreich, die Vereinigten Staaten, Kanada, Brasilien, Australien und Japan. Bei Konflikten zwischen Bestimmungen verschiedener Jurisdiktionen gilt die Norm, die den größeren Schutz für den Nutzer bietet.

2. Datenschutzbeauftrager

Da die Größe der Organisation und die Art der verarbeiteten Daten es nicht erfordern, ein Datenschutzbüro (DPB/DPO) gemäß Artikel 37 der DSGVO zu ernennen. Nicht weniger kannst du dich bei Fragen im Zusammenhang mit dem Schutz deiner personenbezogenen Daten unter folgendem kontaktieren: info@afini.ai.

3. Welche Daten wir erfassen

Wir erfassen und verarbeiten die folgenden Kategorien von personenbezogenen Daten, je nach genutztem Dienst und Interaktionszeitpunkt:

3.1. Daten bereitgestellt beim Kauf oder beim Starten eines Tests (test.afini.ai)

  • Name oder Pseudonym
  • E-Mail-Adresse
  • Alter (optional)
  • Biologisches Geschlecht (optional, für normative Kalibrierung)
  • Geschlecht (optional)
  • Land des Wohnortes (optional)
  • Pronomen-Präferenz (optional)

3.2. Daten bereitgestellt bei der Registrierung (afini.ai)

  • E-Mail-Adresse (erforderlich, für Authentifizierung via Magic Link)
  • Name oder Pseudonym (erforderlich)
  • Demografische Kalibrierungsdaten (Alter, biologisches Geschlecht, Land — optional, für normative Genauigkeit)

3.3. Daten während der Bewertungsdurchführung generiert

  • Einzelne Antworten auf jeden Fragebogeneintrag (Likert-Skala 1-5)
  • Zeitstempel des Anfangs und Endes jeder Bewertung
  • Version und Art der durchgeführten Bewertung

3.4. Ergebnis- und kognitives Profildaten

  • Punktzahlen der 5 großen Persönlichkeitsmerkmale (Offenheit, Gewissenhaftigkeit, Extraversion, Verträglichkeit, emotionale Stabilität)
  • Punktzahlen der 30 Persönlichkeitsfacetten (in Erweitert- und Vollständig-Versionen)
  • Punktzahlen zusätzlicher Instrumente in afini.ai (Bindungsskalen, Humorstile und andere gemäß Plattformentwicklung)
  • Kompiliertes kognitives Profil (JSON-Struktur, die die Punktzahlen aller bewerteten Schichten integriert)
  • Kompilierter System-Prompt (Textversion des Profils, die für die Injektion in das KI-Modell verwendet wird)
  • Narrativer Persönlichkeitsbericht durch KI generiert

3.5. KI-Interaktionsdaten (afini.ai)

  • Inhalt von Gesprächen mit dem KI-Modell (Nutzernachrichten und Systemantworten)
  • Nutzungskontabilität: Anzahl der pro Monat verbrauchten Output-Tokens (technisches Datum für Plan-Quota-Kontrolle). Input-Tokens zählen nicht zu monatlichen Limits
  • Anzahl täglicher Anfragen an den KI-Dienst
Wichtig: Afini speichert den Inhalt von KI-Gesprächen maximal 90 Tage nach der Extraktion des kognitiven Profils, um eine Rekalibrierung mit verbesserten Modellen zu ermöglichen. Nach Ablauf dieser Frist werden die Transkriptionen automatisch gelöscht. Der Nutzer kann die sofortige Löschung jederzeit anfordern. KI-Gespräche werden nicht zur Schulung von KI-Modellen verwendet und werden nicht mit dem KI-Modellprovider (Anthropic) zu Trainingszwecken geteilt.

3.6. Zahlungsdaten

Afini SPEICHERT, VERARBEITET ODER HAT ZUGRIFF auf deine Kreditkarten-, Debitkarten-, Bankkontonummern oder andere finanzielle Daten NICHT.

Zahlungen werden vollständig von Stripe, Inc. verwaltet, die als unabhängiger Zahlungsprozessor fungiert und für die Verarbeitung von Finanzdaten gemäß ihrer eigenen Datenschutzrichtlinie und PCI-DSS-Norm verantwortlich ist.

Afini erhält von Stripe nur eine Bestätigung erfolgreicher Zahlungen (Transaktionsstatus und Stripe-Session-Identifier). Wir erhalten nicht die Kartendaten noch die Zahlungsmitteldaten.

3.7. Technische Daten, die wir NICHT erfassen

Afini SPEICHERT NICHT dauerhaft:

  • IP-Adresse des Nutzers (wird vorübergehend im Arbeitsspeicher für Rate Limiting verarbeitet, ohne dauerhafte Speicherung in der Datenbank)
  • Browser-Fingerabdruck
  • Präzise Geolokalisierungsdaten
  • Geräte-Identifikatoren
  • Navigations- oder Browsing-Historien innerhalb oder außerhalb der Plattformen
  • Tracking-, Analytics- oder Werbe-Cookies

4. Wofür wir deine Daten nutzen (Verarbeitungszwecke)

Wir verarbeiten deine personenbezogenen Daten ausschließlich für die folgenden Zwecke:

ZweckVerwendete DatenRechtsgrundlage
-------------------------------------------
Generiere dein Big Five-PersönlichkeitsprofilTest-Antworten, Test-VersionVertragserfüllung
Generiere und sende dir deinen ErgebnisberichtName, E-Mail, PunktzahlenVertragserfüllung
Ermögliche dir, auf deine Ergebnisse über persönlichen Link zuzugreifenE-Mail, Session-TokenVertragserfüllung
Verarbeite die Zahlungen des Dienstes (über Stripe)ZahlungsbestätigungVertragserfüllung
Einlösung eines Einladungscodes (Voucher)Voucher-Code, Name, E-MailVertragserfüllung
Kompiliere dein mehrschichtiges kognitives Profil (afini.ai)Punktzahlen aller durchgeführten BewertungenVertragserfüllung
Injiziere dein Profil in das KI-Modell, um die Interaktion zu personalisieren (afini.ai)Kompiliertes kognitives ProfilVertragserfüllung + Zustimmung
Quantifiziere die KI-Service-Nutzung zur Quota-Kontrolle (afini.ai)Verbrauchte Tokens, tägliche AnfragenVertragserfüllung
Verwalte dein Abonnement (afini.ai)E-Mail, Plan, AbonnementstatusVertragserfüllung
Authentifiziere dich über Magic Link (afini.ai)E-MailVertragserfüllung
Antworte auf deine Anfragen oder AnfragenE-Mail, NameBerechtigtes Interesse
Erfülle gesetzliche und steuerliche VerpflichtungenRechnungsdatenGesetzliche Verpflichtung

Das, was wir NICHT mit deinen Daten machen:

  • VERKAUFEN deine Daten nicht an Dritte. Niemals. Unter keinen Umständen.
  • TEILEN dein Persönlichkeitsprofil, deine Antworten, deine Ergebnisse oder dein kognitives Profil nicht mit Dritten.
  • FÜHREN NICHT Werbe-Profilbildung oder kommerzielle Segmentierung basierend auf deiner Persönlichkeit durch.
  • NUTZEN deine Daten nicht, um dir Werbung, Newsletter oder unaufgeforderte kommerzielle Mitteilungen zu senden.
  • ERSTELLEN nicht Verhaltensprofile basierend auf deiner Navigation.
  • GEBEN deine Daten nicht an Werbenetzwerke, Datenhändler oder Marketing-Plattformen ab.
  • NUTZEN deine Daten nicht zum Trainieren von KI-Modellen oder für Forschung ohne deine explizite und unabhängige Zustimmung.
  • TEILEN den Inhalt deiner KI-Gespräche nicht mit dem Modellprovider oder mit Dritten.

5. Rechtsgrundlage der Verarbeitung

Die Verarbeitung deiner Daten basiert auf den folgenden Rechtsgrundlagen gemäß Artikel 6.1 der DSGVO:

a) Vertragserfüllung (Art. 6.1.b DSGVO): Die Verarbeitung ist notwendig für die Erbringung des von dir in Anspruch genommenen Dienstes: die Durchführung von Persönlichkeitsbewertungen, die Generierung von Berichten, die Kompilierung des kognitiven Profils und die personalisierte KI-Interaktion. Der Kauf des Tests, die Einlösung eines Einladungscodes (Voucher) oder die Kontraktierung eines Abonnements stellen die Annahme des Dienstes dar. b) Zustimmung (Art. 6.1.a DSGVO): Für optionale demografische Daten (Alter, Geschlecht, Land) ist die Rechtsgrundlage deine freie, spezifische, informierte und unmissverständliche Zustimmung, manifestiert, indem du sie freiwillig bereitstellst. Die Injektion des kognitiven Profils in das KI-Modell erfordert zusätzlich deine ausdrückliche Zustimmung, die separat angefordert wird, wenn du den KI-Interaktionsdienst aktivierst. Du kannst diese Zustimmung jederzeit durch Schreiben an info@afini.ai widerrufen, ohne dass dies die Rechtmäßigkeit der Verarbeitung basierend auf vorherigen Zustimmung beeinflusst. c) Berechtigtes Interesse (Art. 6.1.f DSGVO): Für die Bearbeitung von Anfragen und Anfragen, die du per E-Mail sendest, basierend auf unserem berechtigten Interesse, eine angemessene Kommunikation mit den Nutzern unseres Dienstes aufrechtzuerhalten. d) Gesetzliche Verpflichtung (Art. 6.1.c DSGVO): Für die Erfüllung von Steuer- und Buchhaltungsverpflichtungen gemäß geltender spanischer Gesetzgebung (Allgemeines Steuerrecht, Handelsgesetzbuch).

6. Empfänger der Daten

Deine personenbezogenen Daten können an die folgenden Empfänger kommuniziert werden, ausschließlich soweit es für die beschriebenen Zwecke notwendig ist:

EmpfängerZweckStandortGarantien
----------------------------------------------
Stripe, Inc.ZahlungsverarbeitungUSA / EUData Privacy Framework (DPF), Standardvertragsklauseln
Railway Corp.Hosting von API und PostgreSQL-DatenbankUSA / EUStandardvertragsklauseln, zusätzliche technische Maßnahmen
Cloudflare, Inc.Hosting und Verbreitung der Frontend-Website (Cloudflare Workers)USA / Globales NetzData Privacy Framework (DPF), Standardvertragsklauseln
Anthropic PBCKI-Modellprovider (LLM) für Berichtsgenerierung und personalisierte InteraktionUSAData Privacy Framework (DPF), Standardvertragsklauseln, Anthropic Usage Policy (Daten nicht zum Trainieren verwendet)
Resend, Inc.Versand von transaktionalen E-MailsUSAStandardvertragsklauseln
Verarbeitung durch Anthropic: Wenn das KI-Modell dein kognitives Profil verarbeitet oder einen Bericht generiert, wird der Inhalt an die Server von Anthropic zum Echtzeitverarbeitung gesendet. Anthropic BEHÄLT NICHT Anfrage-Inhalte zum Trainieren seiner Modelle bei, wenn die kommerzielle API verwendet wird (gemäß ihrer Usage Policy). Das Profil wird mit jeder Anfrage gesendet und nach der Generierung der Antwort von Anthropic verworfen. Wir teilen deine Daten mit keinem anderen Dritten. Wir nutzen keine Web-Analytics-Dienste (wie Google Analytics), verwenden keine Werbenetzwerke, integrieren keine Tracking-SDKs und geben Daten an keinen anderen Dienste-Provider, Konzernunternehmen oder Geschäftspartner ab.

Falls eine administrative oder Justizbehörde uns gemäß geltender Gesetzgebung zur Kommunikation von Daten verlangt, werden wir dies ausschließlich innerhalb des geltenden rechtlichen Rahmens tun.

7. Internationale Datenübertragungen

Einige unserer Dienste-Provider können Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten. In allen Fällen garantieren wir, dass solche Übertragungen angemessene Garantien gemäß Kapitel V der DSGVO haben:

  • Stripe, Inc. (USA): Adhärent zum EU-U.S. Data Privacy Framework (DPF), Adäquationsbeschluss der Europäischen Kommission vom 10. Juli 2023. Zusätzlich wendet Stripe von der Europäischen Kommission genehmigte Standardvertragsklauseln (SCCs) an.
  • Railway Corp. (USA): Übertragungen gemäß Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss 2021/914 der Europäischen Kommission, ergänzt durch zusätzliche technische Maßnahmen (Verschlüsselung in Transit und im Ruhezustand).
  • Cloudflare, Inc. (USA / Globales Netz): Adhärent zum EU-U.S. Data Privacy Framework (DPF). Zusätzlich wendet Cloudflare Standardvertragsklauseln (SCCs) und ergänzende technische Maßnahmen an.
  • Anthropic PBC (USA): Adhärent zum EU-U.S. Data Privacy Framework (DPF). An die kommerzielle API von Anthropic gesendete Daten werden in Echtzeit verarbeitet und nicht zum Trainieren aufbewahrt. Zusätzliche Garantien: Verschlüsselung in Transit (TLS 1.3), Verarbeitung ohne Persistierung von API-Anfrage-Daten.
  • Resend, Inc. (USA): Übertragungen gemäß Standardvertragsklauseln (SCCs).

Afini hat eine Transfer Impact Assessment (TIA) gemäß der Doktrin des Europäischen Gerichtshofs (Fall C-311/18, Schrems II) für jede der beschriebenen Übertragungen durchgeführt und festgestellt, dass die implementierten vertraglichen und technischen Garantien ein der DSGVO entsprechend wesentlich äquivalentes Schutzniveau bieten. Diese Bewertungen werden regelmäßig überprüft und stehen der Aufsichtsbehörde auf Anfrage zur Verfügung.

In keinem Fall werden Daten in Länder übertragen, denen ein angemessenes Schutzniveau fehlt, ohne die von der DSGVO geforderten Garantien.

Für Nutzer des Vereinigten Königreichs: Datenübertragungen außerhalb des Vereinigten Königreichs werden durch das UK International Data Transfer Agreement (IDTA) und/oder das UK Addendum zu den EU-SCCs, gemäß der vom Information Commissioner's Office (ICO) erfassten Vorgaben, gedeckt. Das Vereinigte Königreich erkennt die EU-U.S. Data Privacy Framework Extension als Grundlage für Übertragungen zu den USA an. Für Nutzer aus Kanada: Datenübertragungen außerhalb Kanadas erfolgen gemäß der Prinzipien von PIPEDA (Abschnitt 4.1.3), um sicherzustellen, dass Dienste-Provider ein vergleichbares Schutzniveau durch bindende Verträge bieten. Für Nutzer aus Brasilien: Internationale Übertragungen werden durch die Garantien von Artikel 33 der LGPD abgedeckt, einschließlich spezifischer Vertragsklauseln und der Einhaltung von durch die ANPD zertifizierten angemessenen Schutznormen.

8. Datenaufbewahrungszeitraum

Wir bewahren deine Daten für die folgenden Zeiträume auf:

DatentypAufbewahrungszeitraumGrund
-------------------------------------------
Einzelne Test-Antworten (test.afini.ai)Werden nach Berichtsgenerierung vom Server gelöscht. Nicht dauerhaft gespeichert.Dataminimierung
Bewertungsantworten (afini.ai)Aufbewahrt, während das Nutzerkonto aktiv ist, um Profilkalibrierung zu ermöglichen. Löschung auf Anfrage.Vertragserfüllung
Aggregierte Punktzahlen und ErgebnisseWährend du deinen Zugangslink aktiv hältst (test.afini.ai) oder dein Konto aktiv (afini.ai). Du kannst die Löschung jederzeit anfordern.Vertragserfüllung
Kompiliertes kognitives Profil (afini.ai)Während das Nutzerkonto aktiv ist. Gelöscht 90 Tage nach Kontokündigung.Vertragserfüllung
Kompilierter System-Prompt (afini.ai)Identisch mit kognitives Profil.Vertragserfüllung
KI-Gesprächsinhalte (afini.ai)Maximal 90 Tage nach der Extraktion des kognitiven Profils, für die Rekalibrierung mit verbesserten Modellen. Sofortige Löschung auf Anfrage des Nutzers verfügbar. Automatische Löschung nach 90 Tagen.Einwilligung + Datenminimierung
Token-Kontabilität (afini.ai)12 Monate ab Registrierung, erneuerbar nach Abonnement-Periode.Vertragserfüllung
PersönlichkeitsberichtWährend du deinen Zugangslink aktiv hältst oder dein Konto aktiv.Vertragserfüllung
Name und E-Mail-AdresseHöchstens 12 Monate nach Test-Durchführung (test.afini.ai) oder nach Kontokündigung (afini.ai), es sei denn, du forderst vorher die Löschung.Vertragserfüllung
Rechnungs- / Zahlungsbestätigungsdaten5 Jahre ab Transaktionsdatum.Gesetzliche Verpflichtung (Art. 30 Handelsgesetzbuch; Art. 70 Allgemeines Steuerrecht)
Voucher- / Einladungsdaten12 Monate ab Einlösung oder Ablauf.Berechtigtes Interesse (Audit und Kontrolle)

Nach Ablauf der angegebenen Zeiträume werden die Daten sicher gelöscht oder auf irreversible Weise anonymisiert.

Dataminimierungsprinzip: Wir bewahren nur die für jeden Zweck absolut notwendigen Daten und nur für den Minimum-notwendigen Zeitraum auf. Vorzeitige Löschung: Unabhängig von den oben angegebenen Zeiträumen kannst du die Löschung deiner Daten jederzeit anfordern, indem du info@afini.ai kontaktierst, ohne auf die Ablauf der angegebenen Zeiträume zu warten. Wir werden deine Anfrage innerhalb eines Monats bearbeiten. Kontolöschung (afini.ai): Beim Anfordern der Löschung deines Kontos werden gelöscht: dein kognitives Profil, der kompilierte System-Prompt, deine Bewertungspunktzahlen und deine Identifikationsdaten. Rechnungsdaten werden für den erforderlichen gesetzlichen Zeitraum aufbewahrt (5 Jahre).

9. Deine Rechte

Gemäß der DSGVO (Artikel 15 bis 22) und der LOPDGDD (Artikel 12 bis 18) hast du die folgenden Rechte:

a) Zugangsrecht (Art. 15 DSGVO): Erhalten von Bestätigung, ob wir deine Daten verarbeiten und gegebenenfalls auf sie und Informationen über die Verarbeitung zugreifen. b) Berichtigungsrecht (Art. 16 DSGVO): Anfrage der Korrektur von ungenauen oder unvollständigen personenbezogenen Daten. c) Löschungsrecht (Recht auf Vergessenheit) (Art. 17 DSGVO): Anfrage der Löschung deiner Daten, wenn sie, unter anderen Gründen, nicht mehr für die Zwecke erforderlich sind, für die sie erfasst wurden, du deine Zustimmung widerrufen hast, oder die Daten unrechtmäßig verarbeitet wurden. d) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Anfrage der Einschränkung der Verarbeitung deiner Daten in bestimmten Umständen (z.B. während die Genauigkeit deiner Daten oder die Rechtmäßigkeit der Verarbeitung überprüft wird). e) Recht auf Datenportabilität (Art. 20 DSGVO): Erhalten deiner personenbezogenen Daten in strukturiertem, häufig verwendetem und maschinenlesbarem Format (JSON oder CSV), und deren Übertragung an einen anderen Datenverantwortlichen. Bei afini.ai umfasst dieses Recht die Möglichkeit, dein kognitives Profil in tragbarem JSON-Format zu erhalten. f) Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung deiner Daten aus Gründen, die mit deiner Situation verbunden sind, wenn die Verarbeitung auf berechtigtem Interesse basiert. g) Recht, nicht Gegenstand automatisierter Entscheidungen zu sein (Art. 22 DSGVO): Nicht Gegenstand einer ausschließlich auf automatisierter Verarbeitung basierenden Entscheidung zu sein, einschließlich Profilbildung, die rechtliche oder dich ähnlich erheblich beeinflussende Auswirkungen hat. h) Recht, die Zustimmung zur KI-Profileinjektion zurückzuziehen (spezifisch für afini.ai): Du kannst jederzeit anfordern, dass dein kognitives Profil nicht länger in das KI-Modell injiziert wird, wobei der Zugriff auf andere Funktionalitäten deines Kontos erhalten bleibt.

Wie du deine Rechte ausübst:

  • Sende eine E-Mail an info@afini.ai und gib das Recht an, das du ausüben möchtest, zusammen mit einer Kopie deiner ID, deines Passes oder eines anderen Dokuments, das deine Identität bestätigt.
  • Wir werden deine Anfrage innerhalb maximal einem Monat ab ihrem Empfang beantworten (erweiterbar auf zwei Monate bei besonderer Komplexität, gemäß Art. 12.3 DSGVO).
  • Die Ausübung dieser Rechte ist kostenlos, es sei denn, die Anfragen sind offensichtlich unbegründet oder exzessiv (Art. 12.5 DSGVO).

Recht, bei der Aufsichtsbehörde eine Beschwerde einzureichen:

Wenn du glaubst, dass die Verarbeitung deiner Daten gegen Datenschutzgesetzgebung verstößt, hast du das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde deines Wohnsitzlandes einzureichen:

  • Spanien — AEPD (Agencia Española de Protección de Datos): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
  • Vereinigtes Königreich — ICO (Information Commissioner's Office): ico.org.uk
  • Europäische Union — Andere DPAs: Konsultiere die Aufsicht deines Mitgliedstaats unter edpb.europa.eu
  • Brasilien — ANPD: www.gov.br/anpd
  • Kanada — OPC: www.priv.gc.ca
  • Australien — OAIC: www.oaic.gov.au
  • Vereinigte Staaten — FTC: www.ftc.gov
  • Japan — PPC: www.ppc.go.jp

Für jede andere Jurisdiktion kontaktiere uns unter info@afini.ai und wir werden dir die entsprechende zuständige Behörde mitteilen.

10. Daten von Minderjährigen

Der Dienst von Afini IST NICHT FÜR MINDERJÄHRIGE UNTER 16 JAHREN AUSGERICHTET. Wir erfassen nicht absichtlich Daten von Minderjährigen unter 16 Jahren. Wenn du unter 16 Jahren alt bist, nutze diesen Dienst nicht und stelle uns keine personenbezogenen Daten bereit.

Wenn du Elternteil oder Erziehungsberechtigter bist und feststellst, dass ein unter deiner Verantwortung stehender Minderjähriger unter 16 Jahren personenbezogene Daten bei Afini bereitgestellt hat, kontaktiere uns unter info@afini.ai und wir werden diese Daten sofort löschen.

Das Alter von 16 Jahren ist gemäß Artikel 7 der LOPDGDD festgelegt, das in Spanien das Mindestalter für die Zustimmung auf 14 Jahre setzt. Wegen der besonders sensiblen Natur der Persönlichkeitsdaten wendet Afini jedoch einheitlich einen verstärkten Schutzschwellenwert von 16 Jahren an.

Hinweis auf internationale Schwellen: Verschiedene Jurisdiktionen setzen unterschiedliche Mindestalter für digitale Zustimmung fest (13 Jahre in den USA gemäß COPPA, 13 Jahre in Kanada gemäß PIPEDA, 16 Jahre in den Niederlanden und Deutschland, 15 Jahre in Frankreich, 14 Jahre in Österreich und Italien, etc.). Afini wendet einheitlich den Schwellenwert von 16 Jahren für alle Jurisdiktionen an und garantiert dadurch das maximale Schutzniveau unabhängig von der Nutzerposition.

11. Besonders sensible Daten und spezielle Kategorien

Daten, die sich aus Persönlichkeitsbewertungen und kognitiven Profilen ergeben, könnten je nach ihrer Interpretation und Kontext der Kategorie von Daten bezüglich psychologischer Gesundheit oder psychologisches Profil näherkommen, Kategorien, die verstärkte Schutzmaßnahmen gemäß Artikel 9 der DSGVO genießen.

Afini wendet einen Ansatz der maximalen Vorsicht an:

  • Wir behandeln die Ergebnisse von Persönlichkeitsbewertungen und das kompilierte kognitive Profil mit einem Schutzmaß äquivalent zu speziellen Datenkategorien, unabhängig davon, ob sie technisch als solche qualifiziert werden.
  • Die Ergebnisse deiner Bewertungen und dein kognitives Profil sind streng privat: Nur du hast Zugriff durch deinen persönlichen Link oder dein Benutzerkonto.
  • Wir teilen, verkaufen, geben ab oder stellen deine Persönlichkeitsergebnisse oder dein kognitives Profil unter keinen Umständen Dritten zur Verfügung.
  • Wir nutzen die Ergebnisse oder das Profil nicht, um Entscheidungen zu treffen, die dich beeinflussen (Arbeit, Versicherung, Kreditwürdigkeit oder jeglicher anderer Natur).
  • Wir aggregieren oder anonymisieren Persönlichkeitsdaten nicht, um Studien, Statistiken oder abgeleitete Produkte ohne explizite und unabhängige Nutzerzustimmung zu erstellen.
  • Das in das KI-Modell injizierte kognitive Profil wird ausschließlich verwendet, um die Interaktion des Nutzers zu personalisieren, nie um ihn zu klassifizieren, zu segmentieren oder automatisierte Entscheidungen zu treffen, die ihn beeinflussen.

12. Automatisierte Entscheidungsfindung, Profilbildung und künstliche Intelligenz

12.1. Automatisierte Persönlichkeits-Profilbildung

Der Dienst von Afini generiert Persönlichkeitsprofile automatisch auf Basis deiner Antworten zu psychometrischen Fragebögen. Diese Profile basieren auf validierten wissenschaftlichen Modellen (Big Five, Bindungstheorie, Humorstile, etc.) und werden durch standardisierte und öffentlich dokumentierte statistische Punktzahl-Algorithmen berechnet.

12.2. Kompiliertes kognitives Profil und KI-Injektion (afini.ai)

Auf der Plattform afini.ai werden die Ergebnisse aller Bewertungen in ein strukturiertes kognitives Profil (JSON-Format) kompiliert. Dieses Profil wird in einen System-Prompt (Kontextanweisungen) konvertiert, der in jedes Gespräch mit dem KI-Modell injiziert wird, um die Interaktion zu personalisieren.

Transparenz zum Betrieb:
  • Du kennst jederzeit die Dimensionen, die dein Profil ausmachen (Merkmale, Facetten, Bindungsskalen, Humorstile, etc.) und seinen Vollständigkeitsgrad.
  • Das Profil wird als Systemkontext in das KI-Modell mit aktivierter Prompt-Caching-Technik injiziert, um die Nutzung von Tokens zu optimieren und Interaktionskosten zu reduzieren.
  • Das KI-Modell empfängt die Personalisierungsanweisungen, behält aber nicht das Profil zwischen Sitzungen.
  • Du kannst dein Profil jederzeit konsultieren, herunterladen und die Löschung anfordern.

12.3. Umfang der automatisierten Entscheidung

  • Die generierten Profile haben einen ausschließlich informativen und zur Selbsterkenntnis bestimmten Zweck. Sie werden nicht verwendet, um eine Entscheidung zu treffen, die rechtliche Auswirkungen auf dich hat oder dich ähnlich erheblich beeinflusst.
  • Profile werden nicht verwendet für: Personalauswahl, Kreditevaluierung, Versicherungsprämien-Bestimmung, Zugang zu Dienstleistungen oder jeden anderen Entscheidungsprozess, der deine Rechte oder Interessen beeinflussen könnte.
  • Es gibt kein System von Scoring, Klassifizierung, Ranking oder Benutzerkategorisierung über die Generierung des individuellen Selbsterkenntnis-Profils hinaus.

12.4. Deine Rechte bezüglich automatisierter Entscheidungen und KI-Nutzung

Gemäß Artikel 22 der DSGVO hast du das Recht:

  • Erhalte menschliche Intervention zur Überprüfung deines Profils.
  • Äußere deinen Standpunkt zu den Ergebnissen.
  • Bestreite die Ergebnisse des generierten Profils.
  • Fordere an, dass dein Profil nicht in das KI-Modell injiziert wird (behalte Zugriff auf andere Funktionalitäten).
  • Erhalte eine Erklärung der Bedeutung jeder Dimension deines Profils und wie sie die KI-Interaktion beeinflusst.

Das Ergebnis, das du erhältst, ist ausschließlich informativer Natur und hat keinen bindenden, diagnostischen oder klinischen Wert. Du bist frei darin, es zu nutzen, zu ignorieren oder zu interpretieren, wie du es für angemessen hältst.

Zur Ausübung dieser Rechte kontaktiere uns unter info@afini.ai.

13. Verarbeitungsprinzipien und Datenschutz-Folgenabschätzung

13.1. Leitende Prinzipien (Art. 5 DSGVO)

Die Verarbeitung deiner Daten unterliegt jederzeit den folgenden Prinzipien:

  • Rechtmäßigkeit, Lauterkeit und Transparenz: Wir verarbeiten deine Daten rechtmäßig, lauterlich und transparent und informieren dich jederzeit, wie und warum wir sie nutzen.
  • Zweckbegrenzung: Deine Daten werden nur zu bestimmten, expliziten und rechtmäßigen Zwecken erfasst und nicht auf unvereinbare Weise verarbeitet.
  • Dataminimierung: Wir erfassen nur die angemessenen, relevanten und streng notwendigen Daten für die Verarbeitungszwecke.
  • Genauigkeit: Wir halten deine Daten aktuell und treffen angemessene Maßnahmen, um ungenaue Daten ohne Verzögerung zu löschen oder zu berichtigen.
  • Speicherbegrenzung: Wir bewahren deine Daten nur so lange auf, wie es für die Verarbeitungszwecke erforderlich ist.
  • Integrität und Vertraulichkeit: Wir verarbeiten deine Daten mit angemessener Sicherheit, einschließlich Schutz vor nicht autorisierter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder zufälligem Schaden.

13.2. Datenschutz-Folgenabschätzung (DPIA)

Da die Verarbeitung von Persönlichkeits- und kognitiven Profildaten ein erhöhtes Risiko für die Rechte und Freiheiten der Betroffenen darstellen kann, hat Afini eine Datenschutz-Folgenabschätzung (DPIA) gemäß Artikel 35 der DSGVO durchgeführt. Diese Bewertung deckt sowohl den Dienst test.afini.ai als auch den KI-gestützten kognitiven Profil-Dienst afini.ai ab.

Die Bewertung hat festgestellt, dass das Residualrisiko der Verarbeitung moderat-gering ist, dank der folgenden Risikominderungsmaßnahmen: Löschung einzelner Antworten nach Berichtsgenerierung (test.afini.ai), ausschließlicher Nutzerzugriff auf seine Ergebnisse und sein Profil, fehlende Teilung mit Dritten, Verschlüsselung in Transit und im Ruhezustand durch die Infrastruktur, begrenzte Aufbewahrung von Gesprächen (maximal 90 Tage) mit Self-Service-Löschung, Nicht-Trainings-Richtlinie des KI-Providers (Anthropic Commercial API) und Transparenz zur Profil-Komposition und -Injektion.

14. Technische und organisatorische Sicherheitsmaßnahmen

Afini implementiert angemessene technische und organisatorische Maßnahmen gemäß Artikel 32 der DSGVO, um ein dem Risiko angemessenes Sicherheitsniveau zu garantieren:

Technische Maßnahmen:

  • Verschlüsselung aller Kommunikationen mittels HTTPS/TLS 1.2+ (Verschlüsselung in Transit).
  • Verschlüsselung im Ruhezustand durch den Infrastrukturanbieter (Railway/PostgreSQL). Afini evaluiert regelmäßig zusätzliche Verschlüsselung auf Spaltenebene.
  • Eingeschränkter Datenbankzugriff durch sichere Anmeldedaten und verschlüsselte Verbindungen.
  • Logische Trennung der Daten jedes Nutzers (Session-Isolation).
  • Eindeutige und nicht vorhersehbare Zugangs-Tokens für Zugriff auf Ergebnisse.
  • Keine Speicherung von Finanzdaten (vollständig an Stripe delegiert).
  • Self-Service-Löschung von Konto und Daten (DSGVO Art. 17).
  • Authentifizierung mittels Magic Link mit Rate Limiting (afini.ai) — keine gespeicherten Passwörter.
  • Kommunikation mit der Anthropic API verschlüsselt Ende-zu-Ende (TLS 1.3).
  • Token-Kontabilität durch atomare Datenbankoperationen (Vermeidung von Raceconditions).

Organisatorische Maßnahmen:

  • Zugang zu Verwaltungssystemen begrenzt ausschließlich auf autorisiertes Personal.
  • Dataminimierungsprinzip: Nur absolut notwendige Daten werden erfasst und aufbewahrt.
  • Zweckbegrenzungsprinzip: Daten werden nur für deklarierte Zwecke genutzt.
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen.
  • Sicherheitsverletzungs-Benachrichtigungsprotokoll gemäß Artikel 33 und 34 der DSGVO: Im Fall einer Verletzung benachrichtigen wir die AEPD innerhalb maximal 72 Stunden und, falls angemessen, dich ohne unnötige Verzögerung.

15. Cookies-Richtlinie und lokaler Browserspeicher

Für detaillierte Informationen zur Cookie-Nutzung auf diesen Websites konsultiere bitte unsere Cookies-Richtlinie.

15.1. Cookies

Die Plattformen verwenden eine minimale Menge an Cookies, begrenzt auf das absolut Notwendigste für die Dienst-Funktionalität und sichere Zahlungsverarbeitung:

  • Wir verwenden keine eigenen Tracking-Cookies.
  • Wir verwenden keine Analytics-Cookies (es gibt Google Analytics, Hotjar, Mixpanel noch andere Analytics-Dienste).
  • Wir verwenden keine Werbe- oder Retargeting-Cookies.
  • Wir verwenden keine Social Media-Cookies.
  • Stripe, unser Payment-Gateway, kann technische Cookies während des Zahlungsprozesses zur Betrugsprävention setzen.

15.2. Lokaler Browserspeicher (localStorage)

Wir nutzen lokalen Browserspeicher (localStorage) ausschließlich für:

  • Speicherung deines Session-Tokens, der dir ermöglicht, auf deinen laufenden Test, deine Ergebnisse und dein Benutzerkonto zuzugreifen.
  • Speicherung deiner Sprachpräferenz.
  • Diese Tokens sind für die Dienst-Funktionalität notwendige technische Identifikatoren und enthalten keine persönlichen Daten.
  • Wir nutzen localStorage nicht zum Tracking, Profilbildung oder anderen Zwecken als der essenziellen Dienst-Funktionalität.

15.3. Do Not Track (DNT)

Afini respektiert das Do Not Track (DNT)-Signal deines Browsers. Da wir jedoch keinerlei Tracking oder Rastrierung durchführen, hat dieses Signal keine zusätzliche praktische Auswirkung auf unseren Dienst.

16. Links zu Dritten

Die Plattformen können Links zu Drittanbieter-Websites enthalten (z.B. Stripe für Zahlungsverarbeitung, Anthropic als KI-Technologieprovider). Afini ist nicht verantwortlich für die Datenschutzpraktiken oder Inhalte dieser externen Websites. Wir empfehlen dir, die Datenschutzrichtlinien jeder von dir besuchten Drittanbieter-Website zu konsultieren.

17. Jurisdiktionsspezifische Informationen

Dieser Abschnitt enthält zusätzliche Informationen, die von der Gesetzgebung bestimmter Jurisdiktionen gefordert werden. Wenn du in einem der unten angegebenen Länder oder Regionen wohnst, gelten die Bestimmungen dieses Abschnitts zusätzlich zu (und nicht als Ersatz für) die allgemeinen Bestimmungen dieser Datenschutzerklärung.

17.1. Vereinigtes Königreich (UK GDPR + Data Protection Act 2018)

Unter der Gesetzgebung des Vereinigten Königreichs (UK GDPR und Data Protection Act 2018) sind deine Datenschutzrechte äquivalent zu den in der DSGVO vorgesehenen. Rechtsgrundlage, Datenspeicherung und Zugangsrechte gelten gemäß britischem Recht. Du kannst Beschwerden beim ICO (Information Commissioner's Office) einreichen.

17.2. Vereinigte Staaten von Amerika

Für Nutzer in den Vereinigten Staaten gelten zusätzlich zu dieser Datenschutzerklärung die Children's Online Privacy Protection Act (COPPA) für Minderjährige unter 13 Jahren sowie staatliche Datenschutzgesetze Kaliforniens (CCPA/CPRA), Virginias (VCDPA), Colorados (CPA) und Connecticuts (CTDPA), unter anderen. Du hast das Recht, auf deine Daten zuzugreifen, sie zu berichtigen und zu löschen sowie dich gegen die Verarbeitung zu widersetzen. Afini verkauft personenbezogene Informationen nicht gemäß CCPA/CPRA-Definition.

17.3. Kanada (PIPEDA und provinzielle Gesetzgebung)

Für Nutzer in Kanada werden deine Daten gemäß PIPEDA (Personal Information Protection and Electronic Documents Act) und geltender provinzieller Gesetzgebung (einschließlich Loi 25 Quebecs) verarbeitet. Du hast das Recht, auf deine Daten zuzugreifen, ihre Berichtigung anzufordern und zu erfahren, wie sie genutzt werden.

17.4. Brasilien (LGPD — Lei Geral de Proteção de Dados)

Für Nutzer in Brasilien werden deine Daten gemäß der LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018) verarbeitet. Du hast das Recht, auf deine Daten zuzugreifen, ihre Berichtigung, Portabilität und Löschung anzufordern. Du kannst Beschwerden bei der ANPD (Autoridade Nacional de Proteção de Dados) einreichen.

17.5. Australien (Privacy Act 1988 + APPs)

Für Nutzer in Australien werden deine Daten gemäß der Privacy Act 1988 (Cth) und den Australian Privacy Principles (APPs) verarbeitet. Du hast das Recht, auf deine Daten zuzugreifen, ihre Berichtigung anzufordern und Beschwerden beim OAIC (Office of the Australian Information Commissioner) einzureichen.

17.6. Japan (APPI — Act on the Protection of Personal Information)

Für Nutzer in Japan werden deine Daten gemäß der APPI (Act on the Protection of Personal Information) verarbeitet. Du hast das Recht, Zugriff zu erhalten, Daten zu berichtigen, zu löschen und die Einschränkung ihrer Verarbeitung anzufordern. Du kannst Beschwerden bei der PPC (Personal Information Protection Commission) einreichen.

18. Änderungen dieser Richtlinie

Afini behält sich das Recht vor, diese Datenschutzerklärung jederzeit zu ändern, um sie an gesetzliche oder richterliche Neuerungen oder unsere eigene Geschäftspraxis anzupassen.

Substanzielle Änderungen werden über die Plattformen mitgeteilt (durch einen sichtbaren Hinweis auf der Website) und, wenn wir deine E-Mail-Adresse haben, per informativer E-Mail.

Das Datum der letzten Aktualisierung wird immer am Anfang dieses Dokuments angegeben. Wir empfehlen dir, diese Richtlinie regelmäßig zu konsultieren.

19. Anwendbares Recht und Jurisdiktion

Diese Datenschutzerklärung unterliegt spanischer und europäischer Gesetzgebung als primäre Regelung und zusätzlich der in jeder Jurisdiktion anwendbaren Datenschutzgesetzgebung, in der unsere Nutzer wohnen:

Primäre Normgebung (Sitz des Verantwortlichen):

  • Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 (Allgemeine Datenschutzverordnung — DSGVO).
  • Gesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Garantie digitaler Rechte (LOPDGDD).
  • Gesetz 34/2002 vom 11. Juli über Dienste der Informationsgesellschaft und Elektronischen Handel (LSSI-CE).
  • Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates (KI-Verordnung).

Zusätzlich anwendbare Normgebung je nach Nutzer-Jurisdiktion:

  • Vereinigtes Königreich: UK General Data Protection Regulation (UK GDPR) und Data Protection Act 2018.
  • Vereinigte Staaten: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); und andere geltende staatliche Datenschutzgesetze. Children's Online Privacy Protection Act (COPPA) bezüglich Minderjähriger.
  • Kanada: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); und geltende provinzielle Gesetzgebung.
  • Brasilien: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
  • Australien: Privacy Act 1988 (Cth) und Australian Privacy Principles (APPs).
  • Japan: Act on the Protection of Personal Information (APPI).

Bei Konflikten zwischen Bestimmungen verschiedener Jurisdiktionen gilt die Norm, die den größeren Schutz für den Nutzer bietet.

Für jede Kontroverse, die sich aus dieser Richtlinie ergibt, sind die Gerichte und Tribunale von Bilbao zuständig, mit ausdrücklichem Verzicht auf jeden anderen Gerichtsstand, der den Parteien zukommen könnte, ohne Beeinträchtigung der Rechte, die geltende Gesetzgebung Verbrauchern und Nutzern in ihren jeweiligen Wohnsitz-Jurisdiktionen anerkennt, einschließlich des unveräußerlichen Rechts, die Tribunale ihres Domizils in Jurisdiktionen zu besuchen, wo das Gesetz es vorsieht.

20. Kontakt

Für Anfragen, Antrag auf Rechteausübung oder Beschwerden zum Schutz deiner personenbezogenen Daten:

  • E-Mail: info@afini.ai
  • Postadresse: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Spanien

*Letzte Aktualisierung: 20. März 2026*

legal.lastUpdated: legal.date

privacy.pageTitle