Datenschutzerklärung

Zuletzt aktualisiert: 8. April 2026  ·  Gültig ab: 8. April 2026

CaseStories ("wir", "uns") wird von Vento Digitale di Marco Forlani (USt-IdNr. IT03694090139), Italien, betrieben. Diese Richtlinie erläutert, wie wir Ihre personenbezogenen Daten gemäß DSGVO (EU 2016/679), dem italienischen Datenschutzgesetz, dem UK GDPR und anwendbarem Datenschutzrecht erheben, verwenden und schützen.

1. Verantwortlicher und Kontaktangaben

Verantwortlicher im Sinne der DSGVO ist:

  • Vento Digitale di Marco Forlani
  • USt-IdNr. IT03694090139 — Italien
  • Eingetragene Adresse: Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy
  • Plattform: CaseStorieswww.casestories.com
  • E-Mail: support@casestories.com

Datenschutzbeauftragter (DSB)

Gemäß Art. 37 DSGVO ist ein DSB für Behörden, Organisationen mit umfangreicher systematischer Überwachung oder Verarbeitung besonderer Datenkategorien erforderlich. Vento Digitale di Marco Forlani ist ein kleiner privater Betreiber ohne umfangreiche systematische Überwachung. Daher ist kein DSB gesetzlich vorgeschrieben. Datenschutzfragen werden direkt vom Verantwortlichen bearbeitet.

2. Erhobene Daten

2.1 Kontodaten

Bei der Registrierung erheben wir:

  • E-Mail-Adresse (erforderlich — Konto-Identifikator)
  • Vor- und Nachname (erforderlich)
  • Passwort — Argon2id-Hash (nicht umkehrbar)
  • Unternehmensname, Beschreibung, Website, Stadt, Land, Branche, Telefon (optional)
  • Unternehmenslogo (optional)
  • Bevorzugte Sprache

2.2 Inhaltsdaten

Alle Fallstudien, Projektbeschreibungen, Mediendateien und Direktnachrichten werden gespeichert und Ihrem Konto zugeordnet.

2.3 Analysedaten

2.3.1 Cookie-basierte Analyse — Matomo (Einwilligung erforderlich)

Wir verwenden Matomo, eine Open-Source-Webanalyse-Plattform, die ausschließlich auf unseren eigenen Servern innerhalb der Europäischen Union betrieben wird. Analysedaten werden niemals an Drittanbieter übermittelt. Matomo wird nur nach Ihrer Einwilligung zu Cookies über unser Cookie-Banner geladen. Wenn aktiv, erhebt Matomo:

  • Anonymisierte IP-Adresse — die letzten zwei Oktette werden vor der Speicherung maskiert (z.B. 203.0.113.0.0); die vollständige IP wird niemals gespeichert.
  • Besuchte Seiten und Zeitstempel
  • Browser und Betriebssystem
  • Verweisende URL
  • Ungefähres Land (aus der maskierten IP abgeleitet)

Wenn Sie Cookies ablehnen, wird Matomo nicht geladen und es findet kein cookie-basiertes Tracking statt.

2.3.2 Serverseitige First-Party-Analyse (keine Einwilligung erforderlich)

Unabhängig von der Cookie-Einwilligung erfasst die Plattform serverseitig Interaktionsereignisse — insbesondere Seitenaufrufe, CTA-Klicks, Shares, Suchanfragen und Klicks auf Kontaktlinks bei veröffentlichten Fallstudien. Diese Daten werden ausschließlich verarbeitet, um Fallstudien-Inhabern aggregierte Performance-Statistiken bereitzustellen. Rechtsgrundlage ist das berechtigte Interesse (Art. 6(1)(f) DSGVO).

Je Ereignis werden folgende Daten serverseitig gespeichert:

  • Ereignistyp (Aufruf, Klick, Share, Suche oder Kontaktklick)
  • SHA-256-Hash der IP-Adresse — die rohe IP wird niemals gespeichert; nur ihr Einweghashs, der nicht rückgeführt werden kann.
  • Ländercode (ISO 3166-1, 2 Buchstaben, z.B. IT, DE) — aus der IP vor dem Hashing abgeleitet.
  • Verweisende URL — der HTTP-Referer-Header, sofern vorhanden.
  • User-Agent-Zeichenfolge — die vollständige Browser- und Betriebssystemkennung, die Ihr Browser bei jeder HTTP-Anfrage sendet (z.B. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)…). Diese Zeichenfolge wird unverändert gespeichert und zur Klassifizierung von Besuchen nach Gerätetyp und Browser in aggregierten Statistiken verwendet. Obwohl die User-Agent-Zeichenfolge für sich genommen keine eindeutige Identifizierung ermöglicht, stellt sie in Kombination mit dem IP-Hash und dem Referrer ein pseudonymisiertes Datum im Sinne der DSGVO dar. Sie wird 24 Monate aufbewahrt und danach gelöscht.

Diese Verarbeitung verwendet weder Cookies noch clientseitige Speichermechanismen und fällt daher nicht in den Anwendungsbereich der ePrivacy-Richtlinie. Sie können dieser Verarbeitung jederzeit gemäß Art. 21 DSGVO widersprechen: support@casestories.works.

Wir verwenden kein Google Analytics, Meta Pixel oder sonstige Drittanbieter-Tracking-Skripte auf der Plattform oder in unseren E-Mails.

2.4 Zahlungsdaten

Paddle agiert als Merchant of Record und eigenständiger Verantwortlicher für Zahlungsdaten. Wir speichern keine Kartennummern oder CVV-Codes. Wir empfangen nur Kunden-ID, Abonnement-ID, Transaktions-ID und Zahlungsstatus.

2.5 KI-generierte Inhalte

Projekttext wird an die Anthropic-API übermittelt. Keine persönlichen Identifikatoren. Transiente Verarbeitung gemäß AVV; keine Nutzung zum Modelltraining.

2.6 OAuth-Anmeldedaten

Bei Google, LinkedIn oder Facebook erhalten wir nur E-Mail und Anzeigenamen. Wir speichern Anbietername und Benutzer-ID. Keine OAuth-Tokens oder Passwörter.

2.7 Transaktions-E-Mail-Metadaten

Für transaktionale E-Mails verarbeiten wir Ihre E-Mail-Adresse und den Zustellstatus. Wir verwenden keine Tracking-Pixel oder geklickte Links in unseren E-Mails.

3. Verwendung Ihrer Daten

  • Leistungserbringung: Kontoverwaltung, Fallstudienveröffentlichung, Zahlungsabwicklung, KI-Dienste.
  • Serviceverbesserung: Analyse aggregierter, anonymisierter Nutzungsmuster.
  • Kommunikation: Transaktionale E-Mails (Verifizierung, Passwort-Reset, Quittungen, Benachrichtigungen). Kein Marketing ohne ausdrückliche Einwilligung.
  • Sicherheit: Betrugserkennung, Rate-Limiting, Missbrauchsprävention.
  • Rechtliche Einhaltung und Buchführung: Aufbewahrung von Rechnungsunterlagen gemäß EU- und italienischem Steuerrecht.
  • Weitergabe an Behörden: Bei gesetzlicher Verpflichtung, Gerichtsbeschluss oder verbindlicher Behördenanfrage können Daten weitergegeben werden. Benachrichtigung sofern gesetzlich zulässig.
  • Support: Bearbeitung von Anfragen und Streitigkeiten.
  • Plattformadministration und -wartung: Als Plattformbetreiber können wir auf Benutzerkontodaten und Inhalte zugreifen, wenn dies für technische Wartung, Systemdiagnose, Reaktion auf Sicherheitsvorfälle oder Missbrauchsuntersuchungen unbedingt erforderlich ist. Dieser Zugriff beschränkt sich auf das Notwendige, wird protokolliert und niemals für kommerzielle Zwecke genutzt.

Wir verkaufen, vermieten oder vermarkten Ihre Daten nicht an Dritte. Wir verwenden sie nicht für Werbezwecke und teilen sie nicht mit Datenbrokern.

4. Rechtsgrundlagen (Art. 6 DSGVO)

  • Vertragserfüllung (Art. 6(1)(b)): Zur Erbringung des gebuchten Dienstes — Kontoverwaltung, Fallstudienveröffentlichung, Zahlungsabwicklung, KI-Schreiben.
  • Berechtigte Interessen (Art. 6(1)(f)): Sicherheitsüberwachung, Betrugsprävention und eigene Analyse. Eine Interessenabwägung (LIA) wurde durchgeführt: unsere Interessen werden durch datenschutzfreundliche Techniken (IP-Hashing, Anonymisierung) ausgeglichen. Sie können jederzeit widersprechen (§8).
  • Rechtliche Verpflichtung (Art. 6(1)(c)): Rechnungsaufbewahrung gemäß Steuerrecht (10 Jahre).
  • Einwilligung (Art. 6(1)(a)): Derzeit nur für die Registrierung (E-Mail-Bestätigung). Zukünftige optionale Funktionen werden als Opt-in gestaltet, mit jederzeit widerrufbarer Einwilligung.

5. Auftragsverarbeiter und Dienstleister

5.1 Paddle (Zahlungen — Eigenständiger Verantwortlicher)

Paddle.com Market Ltd (UK / Irland). Agiert als Merchant of Record — Paddle ist für Zahlungsdaten eigenständiger Verantwortlicher, kein Auftragsverarbeiter von uns. PCI-DSS-konform gemäß eigener Datenschutzrichtlinie: paddle.com/legal/privacy. Wir empfangen nur die in §2.4 genannten Metadaten.

5.2 Anthropic (KI & Übersetzung — Auftragsverarbeiter)

Anthropic, PBC (USA). Unter unterzeichnetem Auftragsverarbeitungsvertrag (AVV). Nur Projekttext übermittelt. US-Transfer per SCC (Art. 46(2)(c) DSGVO) und Zusatzmaßnahmen. TIA durchgeführt. Datenschutz: anthropic.com/privacy.

5.3 OAuth-Anbieter — Google, LinkedIn (Identität — Eigenständige Verantwortliche)

Google LLC und LinkedIn Corporation — nur bei Anmeldung über ihre Dienste. Jeder Anbieter ist eigenständiger Verantwortlicher für die OAuth-Authentifizierung. Wir empfangen nur Name und E-Mail (§2.6); keine OAuth-Tokens, Passwörter oder sonstige Profildaten. Die Anmeldung über Facebook ist ebenfalls als alternative Option verfügbar. US-Transfers per EU–US DPF Angemessenheitsbeschluss (10. Juli 2023) oder SCC.

5.4 Hosting-Infrastruktur — Amazon Web Services EU (Auftragsverarbeiter)

Alle Anwendungsserver und Datenbanken sind auf Amazon Web Services (AWS), Region Europäische Union (eu-west-1 — Irland oder eu-central-1 — Frankfurt) gehostet. Keine primären Daten werden außerhalb der Europäischen Union gespeichert. AWS hat einen Auftragsverarbeitungsvertrag (AVV) mit uns unterzeichnet und ist nach Art. 28 DSGVO verpflichtet. Die EU-Regionen von AWS sind nach ISO 27001 und SOC 2 zertifiziert und garantieren vertraglich die Datenhaltung in der EU.

5.5 Transaktions-E-Mail-Versand (Auftragsverarbeiter)

E-Mails über TLS-verschlüsseltes SMTP. Infrastruktur in der EU, durch AVV und Art. 28 DSGVO gebunden. Ihre Adresse wird nur zur Zustellung der Systembenachrichtigung verwendet.

5.6 Analyse — Matomo (Von Uns Betrieben, EU-Infrastruktur)

Wir betreiben Matomo, eine Open-Source-Webanalyse-Plattform, selbst auf unserer eigenen Infrastruktur innerhalb der Europäischen Union. Matomo ist kein Drittanbieterdienst — es läuft vollständig auf Servern, die wir kontrollieren, und es werden keine Analysedaten an Externe übermittelt. Matomo verarbeitet ausschließlich die in §2.3 beschriebenen anonymisierten Daten. Als internes Werkzeug unterliegt Matomo vollumfänglich dieser Datenschutzerklärung.

6. Cookies und ähnliche Technologien

CaseStories verwendet Cookies in zwei Kategorien:

Notwendige Cookies (keine Einwilligung erforderlich)

Diese Cookies sind für den Betrieb der Plattform unerlässlich und können nicht deaktiviert werden.

  • Session-Cookie (PHPSESSID): Hält die Anmeldung aufrecht. Läuft beim Schließen des Browsers oder nach 30 Minuten Inaktivität ab. Flags: HttpOnly, Secure, SameSite=Strict.
  • CSRF-Cookie: CSRF-Schutz. Keine Identifizierung. Flags: HttpOnly, Secure, SameSite=Strict.
  • Sprachpräferenz-Cookie: Speichert die gewählte Sprache. Keine personenbezogenen Daten. Läuft nach 1 Jahr ab.
  • Cookie-Einwilligungspräferenz: Speichert Ihre Entscheidung zur Annahme oder Ablehnung von Analyse-Cookies. Läuft nach 1 Jahr ab.

Analyse-Cookies (Einwilligung erforderlich)

Diese Cookies werden nur gesetzt, nachdem Sie über unser Cookie-Banner eingewilligt haben. Sie werden ausschließlich für die in §2.3 beschriebene aggregierte, anonymisierte Analyse verwendet (Matomo, auf unserer EU-Infrastruktur gehostet).

  • _pk_id.*: Identifiziert eine Browser-Sitzung für Matomo. Läuft nach 13 Monaten ab. Keine personenbezogenen Informationen werden gespeichert.
  • _pk_ses.*: Kurzlebiges Sitzungs-Cookie für Matomo. Läuft nach 30 Minuten ab.

Sie können Ihre Einwilligung zu Analyse-Cookies jederzeit über den Link zu den Cookie-Einstellungen in der Fußzeile widerrufen. Matomo wird von uns auf unseren EU-Servern betrieben — keine Analysedaten werden mit Dritten geteilt.

Wir verwenden keine Werbe-, Fingerprinting- oder Drittanbieter-Cookies.

7. Datenspeicherfristen

  • Kontodaten: Solange aktiv. Innerhalb 30 Tagen nach verifiziertem Löschantrag (§8) gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Fallstudien: Bis zur Löschung oder Kontoschließung. Sofort aus öffentlicher Ansicht entfernt; aus Backups innerhalb 90 Tagen gelöscht.
  • Analysedaten (gehashte IP + Statistiken): 24 Monate. IP-Hash technisch nicht umkehrbar.
  • Rechnungsunterlagen: 10 Jahre — EU-Mehrwertsteuerrichtlinie und italienisches Steuerrecht. Frühere Löschung nicht möglich.
  • Support-Nachrichten: 3 Jahre nach letztem Kontakt.
  • E-Mail-Zustellungslogs: 30 Tage, nur zur Fehlerbehebung.
  • Gelöschte Daten in Backups: Innerhalb 90 Tagen überschrieben.

8. Ihre Rechte gemäß DSGVO und anwendbarem Recht

Im EWR, UK oder der Schweiz haben Sie folgende Rechte:

  • Auskunft (Art. 15): Kopie aller gespeicherten Daten und Verarbeitungsinformationen.
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten. Meiste Felder in Kontoeinstellungen bearbeitbar.
  • Löschung — "Recht auf Vergessenwerden" (Art. 17): Löschung innerhalb 30 Tagen. Ausnahmen für gesetzlich aufzubewahrende Daten (§7).
  • Datenübertragbarkeit (Art. 20): Daten im JSON-Format. Bitte per E-Mail anfragen.
  • Einschränkung (Art. 18): Eingeschränkte Verarbeitung während Streitbeilegung.
  • Widerspruch (Art. 21): Widerspruch gegen berechtigte-Interessen-Verarbeitung. Wir hören auf, sofern keine zwingenden Gründe vorliegen.
  • Einwilligung widerrufen (Art. 7(3)): Jederzeit, ohne Rückwirkung.
  • Kein automatisiertes Entscheiden (Art. 22): Wir treffen keine Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung. Siehe §15.

Pflichtangaben vs. freiwillige Angaben (Art. 13(2)(e)): E-Mail-Adresse und Name sind für die Kontoerstellung erforderlich. Alle anderen Profilfelder sind freiwillig.

Rechtsausübung: E-Mail an support@casestories.com, Betreff "GDPR Request", oder postalisch an: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy. Antwort innerhalb 30 Tagen (60 bei komplexen Anfragen). Keine Gebühren.

Beschwerderecht: Sie können bei jeder zuständigen Aufsichtsbehörde im EU/EWR-Mitgliedstaat Ihres gewöhnlichen Aufenthalts oder Arbeitsorts Beschwerde einlegen. Federführende Behörde:
Garante per la protezione dei dati personaliwww.garanteprivacy.it
UK-Nutzer können sich auch an den ICO wenden: ico.org.uk.

9. Datensicherheit

Wir implementieren angemessene technische und organisatorische Maßnahmen (TOM) gemäß DSGVO Art. 32 und Privacy by Design/Default (Art. 25):

  • HTTPS mit TLS 1.2+; HTTP-Weiterleitungen auf HTTPS
  • Argon2id-Passwort-Hashing (nicht umkehrbar, gesalzen)
  • IP-Anonymisierung SHA-256 + Salt (Roh-IP niemals gespeichert)
  • CSRF-Token bei allen zustandsändernden Anfragen
  • Rate-Limiting bei Authentifizierungs- und API-Endpunkten
  • HttpOnly, Secure, SameSite=Strict auf Session-Cookies
  • SQL-Injection-Prävention durch Prepared Statements
  • MIME-Validierung und Speicherung außerhalb des Web-Root
  • Rollenbasierte Zugriffskontrolle nach Least-Privilege-Prinzip
  • Regelmäßige Sicherheitsüberprüfungen und Abhängigkeitsaudits
  • Verschlüsselte Backups in der EU

Kein System ist 100 % sicher. Bei einer Datenpanne: Benachrichtigung des Garante innerhalb 72 Stunden (DSGVO Art. 33) und Betroffene ohne unangemessene Verzögerung bei hohem Risiko (Art. 34).

10. Internationale Datentransfers

Alle primären Daten — Konten, Inhalte, Analysen — werden ausschließlich auf Amazon Web Services (AWS), Region Europäische Union gespeichert und verarbeitet. Wir übertragen Ihre Daten nicht für Speicher- oder primäre Verarbeitungszwecke außerhalb der EU.

Die einzigen Transfers außerhalb der EU/des EWR sind streng auf folgende Fälle begrenzt:

  • Anthropic (USA) — nur KI-Textgenerierung: SCC (DSGVO Art. 46(2)(c)) im unterzeichneten AVV, ergänzt durch TIA. Nur Projekttext übermittelt; keine persönlichen Identifikatoren.
  • OAuth-Anbieter (USA) — Google, LinkedIn: EU–US DPF Angemessenheitsbeschluss (10. Juli 2023) oder SCC. Gilt nur, wenn Sie sich aktiv über diese Anbieter anmelden.

Wir verkaufen, teilen oder übertragen personenbezogene Daten nicht zu Marketing-, kommerziellen oder technischen Zwecken an andere Parteien außerhalb der EU.

UK GDPR: UK-Nutzer fallen unter das UK GDPR. EU-Angemessenheitsbeschluss für das UK. Rechte aus §8 gelten gleichermaßen. Details auf Anfrage.

11. Datenschutz für Minderjährige

CaseStories ist eine professionelle B2B-Plattform, die nicht an Personen unter 16 Jahren (DSGVO-Mindestalter für digitale Einwilligung) gerichtet ist. Wir erheben wissentlich keine Daten von Minderjährigen unter 16 Jahren. Bei Kenntnis: bitte sofort support@casestories.com kontaktieren.

12. Datenpannenmeldung

Bei einer Datenpanne:

  • Benachrichtigung des Garante innerhalb 72 Stunden (DSGVO Art. 33), außer bei unwahrscheinlichem Risiko
  • Benachrichtigung Betroffener unverzüglich (DSGVO Art. 34) bei hohem Risiko, außer bei unlesbaren Daten
  • Meldungsinhalt: Art und Umfang der Panne, Kategorien und Anzahl Betroffener, wahrscheinliche Folgen, ergriffene Maßnahmen
  • Führung eines internen Pannenregisters (DSGVO Art. 33(5))

13. Änderungen dieser Richtlinie

Wir können diese Richtlinie aktualisieren, um Änderungen in unseren Praktiken, der Technologie oder gesetzlichen Anforderungen widerzuspiegeln.

Wesentliche Änderungen (Verarbeitungszwecke, Datenkategorien, neue Verarbeiter oder Rechteänderungen) werden Kontoinhabern mindestens 30 Tage vor Inkrafttreten per E-Mail und durch einen deutlichen Hinweis auf der Plattform mitgeteilt. Die weitere Nutzung gilt nur für unwesentliche Aktualisierungen als Akzeptanz.

Unwesentliche Änderungen (Klarstellungen, Formatierung, Kontaktdaten) können sofort in Kraft treten.

Frühere Versionen auf Anfrage erhältlich.

14. Kontakt

Für datenschutzbezogene Anfragen, Anträge oder Beschwerden:

  • E-Mail: support@casestories.com — Betreff "Privacy / GDPR"
  • Postanschrift: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy, Italien
  • Antwortzeit: 30 Tage (bei komplexen Anfragen 60 Tage, DSGVO Art. 12(3)). Eingangsbestätigung innerhalb von 5 Werktagen.

Identitätsprüfung vor der Bearbeitung. Keine Gebühren für Standardanfragen; bei offensichtlich unbegründeten oder exzessiven Anfragen kann eine angemessene Gebühr erhoben werden (DSGVO Art. 12(5)).

15. Automatisierte Entscheidungsfindung und Profiling

Gemäß DSGVO Art. 13(2)(f) und Art. 22 bestätigen wir:

  • Wir treffen keine automatisierten Einzelentscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung.
  • Wir führen kein Profiling gemäß Art. 4(4) DSGVO durch — keine automatisierte Verarbeitung zur Bewertung persönlicher Aspekte, zur Analyse oder Vorhersage von Verhalten, Präferenzen oder Interessen.
  • Eigene Analysen (§2.3) erzeugen ausschließlich aggregierte, anonymisierte Statistiken.
  • KI-Funktionen (§2.5) generieren redaktionellen Text aus Projektbeschreibungen. Keine individuelle Bewertung oder Entscheidung.
  • Rate-Limiting und Betrugserkennung umfassen automatisierte Prüfungen, aber jede Kontobeschränkung unterliegt vor der Durchsetzung einer menschlichen Überprüfung.

Bei Änderungen aktualisieren wir diesen Abschnitt und benachrichtigen Nutzer vorab.

16. Kein Verkauf oder Vermarktung personenbezogener Daten

Wir bestätigen ausdrücklich:

  • Wir verkaufen, vermieten, überlassen oder tauschen Ihre Daten niemals gegen Entgelt oder sonstige Gegenleistung an Dritte.
  • Keine Weitergabe an Datenhändler, Werbetreibende oder Werbenetzwerke.
  • Keine Nutzung für Verhaltensmarketing, interessenbasiertes Targeting oder kontextübergreifendes Tracking.
  • Keine Nutzung von Fallstudiendaten zum Training von KI-Modellen oder für andere Zwecke als die Diensteerbringung.

Dieses Bekenntnis gilt unabhängig von Ihrer Rechtsordnung.

17. Weitere Rechtsordnungen

17.1 UK GDPR

UK-Ansässige sind durch das UK GDPR und den Data Protection Act 2018 geschützt. Die Rechte aus §8 gelten vollständig. Behörde: ICO — ico.org.uk.

17.2 Brasilien — LGPD

Brasilianische Betroffene sind durch das LGPD (Gesetz 13.709/2018) geschützt. Rechte über §14 ausübbar. Behörde: ANPDgov.br/anpd.

17.3 Schweiz

Schweizer Ansässige sind durch das revidierte DSG (in Kraft seit 1. September 2023) geschützt. Behörde: EDÖBedoeb.admin.ch.

17.4 Kalifornien — CCPA/CPRA

Kalifornische Einwohner haben Rechte unter CCPA/CPRA. Wie in §16 angegeben, verkaufen oder teilen wir keine Daten. Rechte über §14.