Datenschutzerklärung

Zuletzt aktualisiert: 4. April 2026  ·  Gültig ab: 4. April 2026

CaseStories ("wir", "uns") wird von Vento Digitale di Marco Forlani (USt-IdNr. IT03694090139), Italien, betrieben. Diese Richtlinie erläutert, wie wir Ihre personenbezogenen Daten gemäß DSGVO (EU 2016/679), dem italienischen Datenschutzgesetz, dem UK GDPR und anwendbarem Datenschutzrecht erheben, verwenden und schützen.

1. Verantwortlicher und Kontaktangaben

Verantwortlicher im Sinne der DSGVO ist:

Datenschutzbeauftragter (DSB)

Gemäß Art. 37 DSGVO ist ein DSB für Behörden, Organisationen mit umfangreicher systematischer Überwachung oder Verarbeitung besonderer Datenkategorien erforderlich. Vento Digitale di Marco Forlani ist ein kleiner privater Betreiber ohne umfangreiche systematische Überwachung. Daher ist kein DSB gesetzlich vorgeschrieben. Datenschutzfragen werden direkt vom Verantwortlichen bearbeitet.

2. Erhobene Daten

2.1 Kontodaten

Bei der Registrierung erheben wir:

  • E-Mail-Adresse (erforderlich — Konto-Identifikator)
  • Vor- und Nachname (erforderlich)
  • Passwort — Argon2id-Hash (nicht umkehrbar)
  • Unternehmensname, Beschreibung, Website, Stadt, Land, Branche, Telefon (optional)
  • Unternehmenslogo (optional)
  • Bevorzugte Sprache

2.2 Inhaltsdaten

Alle Fallstudien, Projektbeschreibungen, Mediendateien und Direktnachrichten werden gespeichert und Ihrem Konto zugeordnet.

2.3 Eigene Analysedaten

Wir erheben:

  • Gehashte IP — sofort gehasht (SHA-256 + Salt); Roh-IP niemals gespeichert. Hash max. 24 Monate, technisch nicht umkehrbar.
  • Besuchte Seiten und Zeitstempel
  • Browser und OS
  • Verweisende URL
  • Land (aus IP abgeleitet; Roh-IP sofort verworfen)

Wir verwenden kein Google Analytics, Meta Pixel oder Drittanbieter-Tracking auf der Plattform oder in unseren E-Mails.

2.4 Zahlungsdaten

Paddle agiert als Merchant of Record und eigenständiger Verantwortlicher für Zahlungsdaten. Wir speichern keine Kartennummern oder CVV-Codes. Wir empfangen nur Kunden-ID, Abonnement-ID, Transaktions-ID und Zahlungsstatus.

2.5 KI-generierte Inhalte

Projekttext wird an die Anthropic-API übermittelt. Keine persönlichen Identifikatoren. Transiente Verarbeitung gemäß AVV; keine Nutzung zum Modelltraining.

2.6 OAuth-Anmeldedaten

Bei Google, LinkedIn oder Facebook erhalten wir nur E-Mail und Anzeigenamen. Wir speichern Anbietername und Benutzer-ID. Keine OAuth-Tokens oder Passwörter.

2.7 Transaktions-E-Mail-Metadaten

Für transaktionale E-Mails verarbeiten wir Ihre E-Mail-Adresse und den Zustellstatus. Wir verwenden keine Tracking-Pixel oder geklickte Links in unseren E-Mails.

3. Verwendung Ihrer Daten

  • Leistungserbringung: Kontoverwaltung, Fallstudienveröffentlichung, Zahlungsabwicklung, KI-Dienste.
  • Serviceverbesserung: Analyse aggregierter, anonymisierter Nutzungsmuster.
  • Kommunikation: Transaktionale E-Mails (Verifizierung, Passwort-Reset, Quittungen, Benachrichtigungen). Kein Marketing ohne ausdrückliche Einwilligung.
  • Sicherheit: Betrugserkennung, Rate-Limiting, Missbrauchsprävention.
  • Rechtliche Einhaltung und Buchführung: Aufbewahrung von Rechnungsunterlagen gemäß EU- und italienischem Steuerrecht.
  • Weitergabe an Behörden: Bei gesetzlicher Verpflichtung, Gerichtsbeschluss oder verbindlicher Behördenanfrage können Daten weitergegeben werden. Benachrichtigung sofern gesetzlich zulässig.
  • Support: Bearbeitung von Anfragen und Streitigkeiten.

Wir verkaufen, vermieten oder vermarkten Ihre Daten nicht an Dritte. Wir verwenden sie nicht für Werbezwecke und teilen sie nicht mit Datenbrokern.

4. Rechtsgrundlagen (Art. 6 DSGVO)

  • Vertragserfüllung (Art. 6(1)(b)): Zur Erbringung des gebuchten Dienstes — Kontoverwaltung, Fallstudienveröffentlichung, Zahlungsabwicklung, KI-Schreiben.
  • Berechtigte Interessen (Art. 6(1)(f)): Sicherheitsüberwachung, Betrugsprävention und eigene Analyse. Eine Interessenabwägung (LIA) wurde durchgeführt: unsere Interessen werden durch datenschutzfreundliche Techniken (IP-Hashing, Anonymisierung) ausgeglichen. Sie können jederzeit widersprechen (§8).
  • Rechtliche Verpflichtung (Art. 6(1)(c)): Rechnungsaufbewahrung gemäß Steuerrecht (10 Jahre).
  • Einwilligung (Art. 6(1)(a)): Derzeit nur für die Registrierung (E-Mail-Bestätigung). Zukünftige optionale Funktionen werden als Opt-in gestaltet, mit jederzeit widerrufbarer Einwilligung.

5. Auftragsverarbeiter und Dienstleister

5.1 Paddle (Zahlungen — Eigenständiger Verantwortlicher)

Paddle.com Market Ltd (UK / Irland). Agiert als Merchant of Record — Paddle ist für Zahlungsdaten eigenständiger Verantwortlicher, kein Auftragsverarbeiter von uns. PCI-DSS-konform gemäß eigener Datenschutzrichtlinie: paddle.com/legal/privacy. Wir empfangen nur die in §2.4 genannten Metadaten.

5.2 Anthropic (KI & Übersetzung — Auftragsverarbeiter)

Anthropic, PBC (USA). Unter unterzeichnetem Auftragsverarbeitungsvertrag (AVV). Nur Projekttext übermittelt. US-Transfer per SCC (Art. 46(2)(c) DSGVO) und Zusatzmaßnahmen. TIA durchgeführt. Datenschutz: anthropic.com/privacy.

5.3 OAuth-Anbieter (Identität — Eigenständige Verantwortliche)

Google LLC, LinkedIn Corporation, Meta Platforms Inc. — nur bei Anmeldung über ihre Dienste. Jeder Anbieter ist eigenständiger Verantwortlicher für OAuth-Authentifizierung. Wir empfangen nur Name und E-Mail (§2.6). US-Transfers per EU–US DPF Angemessenheitsbeschluss oder SCC.

5.4 Hosting-Infrastruktur (Auftragsverarbeiter)

Alle Server in der EU. Kein US-Cloud für Primärspeicher. Alle Hosting-Anbieter haben AVVs nach Art. 28 DSGVO unterzeichnet.

5.5 Transaktions-E-Mail-Versand (Auftragsverarbeiter)

E-Mails über TLS-verschlüsseltes SMTP. Infrastruktur in der EU. Etwaige SMTP-Relays sind in der EU, durch AVV und Art. 28 DSGVO gebunden. Ihre Adresse wird nur zur Zustellung der Systembenachrichtigung verwendet.

6. Cookies und ähnliche Technologien

CaseStories verwendet ausschließlich notwendige Cookies. Gemäß ePrivacy-Richtlinie (2002/58/EG) ist hierfür kein Einwilligungsbanner erforderlich.

  • Session-Cookie (PHPSESSID): Hält die Anmeldung aufrecht. Läuft beim Schließen des Browsers oder nach 30 Minuten Inaktivität ab. Flags: HttpOnly, Secure, SameSite=Strict.
  • CSRF-Cookie: CSRF-Schutz. Keine Identifizierung. Flags: HttpOnly, Secure, SameSite=Strict.
  • Sprachpräferenz-Cookie: Speichert die gewählte Sprache. Keine personenbezogenen Daten. Läuft nach 1 Jahr ab.

Wir verwenden keine Analyse-, Werbe-, Fingerprinting- oder Drittanbieter-Cookies. Keine Cookie-Daten werden an externe Parteien weitergegeben.

7. Datenspeicherfristen

  • Kontodaten: Solange aktiv. Innerhalb 30 Tagen nach verifiziertem Löschantrag (§8) gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
  • Fallstudien: Bis zur Löschung oder Kontoschließung. Sofort aus öffentlicher Ansicht entfernt; aus Backups innerhalb 90 Tagen gelöscht.
  • Analysedaten (gehashte IP + Statistiken): 24 Monate. IP-Hash technisch nicht umkehrbar.
  • Rechnungsunterlagen: 10 Jahre — EU-Mehrwertsteuerrichtlinie und italienisches Steuerrecht. Frühere Löschung nicht möglich.
  • Support-Nachrichten: 3 Jahre nach letztem Kontakt.
  • E-Mail-Zustellungslogs: 30 Tage, nur zur Fehlerbehebung.
  • Gelöschte Daten in Backups: Innerhalb 90 Tagen überschrieben.

8. Ihre Rechte gemäß DSGVO und anwendbarem Recht

Im EWR, UK oder der Schweiz haben Sie folgende Rechte:

  • Auskunft (Art. 15): Kopie aller gespeicherten Daten und Verarbeitungsinformationen.
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten. Meiste Felder in Kontoeinstellungen bearbeitbar.
  • Löschung — "Recht auf Vergessenwerden" (Art. 17): Löschung innerhalb 30 Tagen. Ausnahmen für gesetzlich aufzubewahrende Daten (§7).
  • Datenübertragbarkeit (Art. 20): Daten im JSON-Format. Bitte per E-Mail anfragen.
  • Einschränkung (Art. 18): Eingeschränkte Verarbeitung während Streitbeilegung.
  • Widerspruch (Art. 21): Widerspruch gegen berechtigte-Interessen-Verarbeitung. Wir hören auf, sofern keine zwingenden Gründe vorliegen.
  • Einwilligung widerrufen (Art. 7(3)): Jederzeit, ohne Rückwirkung.
  • Kein automatisiertes Entscheiden (Art. 22): Wir treffen keine Entscheidungen ausschließlich auf Basis automatisierter Verarbeitung. Siehe §15.

Pflichtangaben vs. freiwillige Angaben (Art. 13(2)(e)): E-Mail-Adresse und Name sind für die Kontoerstellung erforderlich. Alle anderen Profilfelder sind freiwillig.

Rechtsausübung: E-Mail an support@casestories.com, Betreff "GDPR Request", oder postalisch an: Vento Digitale di Marco Forlani, [ADDRESS]. Antwort innerhalb 30 Tagen (60 bei komplexen Anfragen). Keine Gebühren.

Beschwerderecht: Sie können bei jeder zuständigen Aufsichtsbehörde im EU/EWR-Mitgliedstaat Ihres gewöhnlichen Aufenthalts oder Arbeitsorts Beschwerde einlegen. Federführende Behörde:
Garante per la protezione dei dati personaliwww.garanteprivacy.it
UK-Nutzer können sich auch an den ICO wenden: ico.org.uk.

9. Datensicherheit

Wir implementieren angemessene technische und organisatorische Maßnahmen (TOM) gemäß DSGVO Art. 32 und Privacy by Design/Default (Art. 25):

  • HTTPS mit TLS 1.2+; HTTP-Weiterleitungen auf HTTPS
  • Argon2id-Passwort-Hashing (nicht umkehrbar, gesalzen)
  • IP-Anonymisierung SHA-256 + Salt (Roh-IP niemals gespeichert)
  • CSRF-Token bei allen zustandsändernden Anfragen
  • Rate-Limiting bei Authentifizierungs- und API-Endpunkten
  • HttpOnly, Secure, SameSite=Strict auf Session-Cookies
  • SQL-Injection-Prävention durch Prepared Statements
  • MIME-Validierung und Speicherung außerhalb des Web-Root
  • Rollenbasierte Zugriffskontrolle nach Least-Privilege-Prinzip
  • Regelmäßige Sicherheitsüberprüfungen und Abhängigkeitsaudits
  • Verschlüsselte Backups in der EU

Kein System ist 100 % sicher. Bei einer Datenpanne: Benachrichtigung des Garante innerhalb 72 Stunden (DSGVO Art. 33) und Betroffene ohne unangemessene Verzögerung bei hohem Risiko (Art. 34).

10. Internationale Datentransfers

Primärdaten auf EU-Servern. Bestimmte Verarbeiter außerhalb der EU/EWR:

  • Anthropic (USA): SCC (DSGVO Art. 46(2)(c)) im unterzeichneten AVV, ergänzt durch TIA. Nur KI-Textgenerierung; keine persönlichen Identifikatoren.
  • OAuth-Anbieter (USA) — Google, LinkedIn, Meta: EU–US DPF Angemessenheitsbeschluss (10. Juli 2023) oder SCC.

UK GDPR: UK-Nutzer fallen unter das UK GDPR. Transfers in das UK sind durch den EU-Angemessenheitsbeschluss für das UK abgedeckt. Rechte aus §8 gelten gleichermaßen für UK-Betroffene.

Details der Schutzmaßnahmen auf Anfrage.

11. Datenschutz für Minderjährige

CaseStories ist eine professionelle B2B-Plattform, die nicht an Personen unter 16 Jahren (DSGVO-Mindestalter für digitale Einwilligung) gerichtet ist. Wir erheben wissentlich keine Daten von Minderjährigen unter 16 Jahren. Bei Kenntnis: bitte sofort support@casestories.com kontaktieren.

12. Datenpannenmeldung

Bei einer Datenpanne:

  • Benachrichtigung des Garante innerhalb 72 Stunden (DSGVO Art. 33), außer bei unwahrscheinlichem Risiko
  • Benachrichtigung Betroffener unverzüglich (DSGVO Art. 34) bei hohem Risiko, außer bei unlesbaren Daten
  • Meldungsinhalt: Art und Umfang der Panne, Kategorien und Anzahl Betroffener, wahrscheinliche Folgen, ergriffene Maßnahmen
  • Führung eines internen Pannenregisters (DSGVO Art. 33(5))

13. Änderungen dieser Richtlinie

Wir können diese Richtlinie aktualisieren, um Änderungen in unseren Praktiken, der Technologie oder gesetzlichen Anforderungen widerzuspiegeln.

Wesentliche Änderungen (Verarbeitungszwecke, Datenkategorien, neue Verarbeiter oder Rechteänderungen) werden Kontoinhabern mindestens 30 Tage vor Inkrafttreten per E-Mail und durch einen deutlichen Hinweis auf der Plattform mitgeteilt. Die weitere Nutzung gilt nur für unwesentliche Aktualisierungen als Akzeptanz.

Unwesentliche Änderungen (Klarstellungen, Formatierung, Kontaktdaten) können sofort in Kraft treten.

Frühere Versionen auf Anfrage erhältlich.

14. Kontakt

Für datenschutzbezogene Anfragen, Anträge oder Beschwerden:

  • E-Mail: support@casestories.com — Betreff "Privacy / GDPR"
  • Postanschrift: Vento Digitale di Marco Forlani, [ADDRESS], Italien
  • Antwortzeit: 30 Tage (bei komplexen Anfragen 60 Tage, DSGVO Art. 12(3)). Eingangsbestätigung innerhalb von 5 Werktagen.

Identitätsprüfung vor der Bearbeitung. Keine Gebühren für Standardanfragen; bei offensichtlich unbegründeten oder exzessiven Anfragen kann eine angemessene Gebühr erhoben werden (DSGVO Art. 12(5)).

15. Automatisierte Entscheidungsfindung und Profiling

Gemäß DSGVO Art. 13(2)(f) und Art. 22 bestätigen wir:

  • Wir treffen keine automatisierten Einzelentscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung.
  • Wir führen kein Profiling gemäß Art. 4(4) DSGVO durch — keine automatisierte Verarbeitung zur Bewertung persönlicher Aspekte, zur Analyse oder Vorhersage von Verhalten, Präferenzen oder Interessen.
  • Eigene Analysen (§2.3) erzeugen ausschließlich aggregierte, anonymisierte Statistiken.
  • KI-Funktionen (§2.5) generieren redaktionellen Text aus Projektbeschreibungen. Keine individuelle Bewertung oder Entscheidung.
  • Rate-Limiting und Betrugserkennung umfassen automatisierte Prüfungen, aber jede Kontobeschränkung unterliegt vor der Durchsetzung einer menschlichen Überprüfung.

Bei Änderungen aktualisieren wir diesen Abschnitt und benachrichtigen Nutzer vorab.

16. Kein Verkauf oder Vermarktung personenbezogener Daten

Wir bestätigen ausdrücklich:

  • Wir verkaufen, vermieten, überlassen oder tauschen Ihre Daten niemals gegen Entgelt oder sonstige Gegenleistung an Dritte.
  • Keine Weitergabe an Datenhändler, Werbetreibende oder Werbenetzwerke.
  • Keine Nutzung für Verhaltensmarketing, interessenbasiertes Targeting oder kontextübergreifendes Tracking.
  • Keine Nutzung von Fallstudiendaten zum Training von KI-Modellen oder für andere Zwecke als die Diensteerbringung.

Dieses Bekenntnis gilt unabhängig von Ihrer Rechtsordnung.

17. Weitere Rechtsordnungen

17.1 UK GDPR

UK-Ansässige sind durch das UK GDPR und den Data Protection Act 2018 geschützt. Die Rechte aus §8 gelten vollständig. Behörde: ICO — ico.org.uk.

17.2 Brasilien — LGPD

Brasilianische Betroffene sind durch das LGPD (Gesetz 13.709/2018) geschützt. Rechte über §14 ausübbar. Behörde: ANPDgov.br/anpd.

17.3 Schweiz

Schweizer Ansässige sind durch das revidierte DSG (in Kraft seit 1. September 2023) geschützt. Behörde: EDÖBedoeb.admin.ch.

17.4 Kalifornien — CCPA/CPRA

Kalifornische Einwohner haben Rechte unter CCPA/CPRA. Wie in §16 angegeben, verkaufen oder teilen wir keine Daten. Rechte über §14.