Octopussian - Datenschutzrichtlinie
Version vom 23. April 2026
Inhaltsverzeichnis
- Präambel und Gegenstand
- Verantwortlicher und Kontakt
- Definitionen
- Zwecke und Rechtsgrundlagen der Verarbeitungen
- Kategorien verarbeiteter personenbezogener Daten
- Empfänger und Auftragsverarbeiter
- Übermittlungen außerhalb der Europäischen Union
- Speicherfristen
- Technische Protokollierung
- Rechte der betroffenen Personen
- Cookies, Tracker und Werbepixel
- Künstliche Intelligenz und kein Profiling
- Sicherheit und Meldung von Verletzungen
- Änderungen der Richtlinie
1 - Präambel und Gegenstand
1.1 Wer wir sind
Die Gesellschaft Octopussian, SAS mit einem Stammkapital von 10.000 €, mit Sitz in 78, avenue des Champs-Élysées, 75008 Paris – Frankreich, eingetragen im Handelsregister Paris unter der Nummer 981 982 358 und mit der Umsatzsteuer-Identifikationsnummer FR50 981 982 358 (nachfolgend „Octopussian", „wir", „unser", „uns"), betreibt die im SaaS-Modus zugängliche Anwendung unter der Adresse app.octopussian.com und deren Subdomains (nachfolgend die „Anwendung") sowie die Website octopussian.com (nachfolgend die „Website").
1.2 Gegenstand
Diese Datenschutzrichtlinie (nachfolgend die „Richtlinie") beschreibt, wie Octopussian personenbezogene Daten verarbeitet, die bei der Nutzung der Website oder der Anwendung erhoben werden, im Sinne der Verordnung (EU) 2016/679 vom 27. April 2016 („DSGVO") und des französischen Gesetzes Nr. 78-17 vom 6. Januar 1978 in seiner geänderten Fassung („Loi Informatique et Libertés").
Sie richtet sich an alle natürlichen Personen, deren personenbezogene Daten von uns in diesem Rahmen verarbeitet werden: Besucher der Website, Nutzer der Anwendung, Kontoinhaber, Interessenten, Personen, die uns über das Kontaktformular kontaktieren, sowie alle sonstigen betroffenen Personen im Sinne der DSGVO.
1.3 Verhältnis zu den AGB und dem DPA
Der Vertrag zwischen Octopussian und seinen Kunden wird durch die Allgemeinen Nutzungsbedingungen (nachfolgend die „AGB") und deren Anhänge geregelt, allen voran Anhang A – Data Processing Agreement (nachfolgend das „DPA"), das gemäß Artikel 28 DSGVO erstellt wurde.
Wenn ein Kunde und seine Nutzer im Rahmen ihrer eigenen Tätigkeit Daten in der Anwendung speichern (insbesondere: Kontaktkarten, im Drive gespeicherte Dateien, gemeinsame Passwörter, Chat- und Videokonferenzinhalte, Inhalte der Wissensdatenbank, Kalendereinträge, Aufgaben der Todo-Liste, signierte Dokumente), handelt Octopussian als Auftragsverarbeiter im Sinne von Artikel 4 Absatz 8 DSGVO unter der Verantwortung des Kunden, der für diese Verarbeitungen Verantwortlicher bleibt. Der dann anwendbare Rahmen ist das DPA und nicht diese Richtlinie.
Diese Richtlinie deckt hingegen die Verarbeitungen ab, für die Octopussian selbst Verantwortlicher im Sinne von Artikel 4 Absatz 7 DSGVO ist, nämlich beispielhaft und nicht abschließend: Erstellung und Verwaltung von Konten und Nutzern, Rechnungsstellung und Forderungsmanagement, technischer Support, Anwendungssicherheit und Missbrauchsprävention, kommerzielle Kommunikation, Betrieb der Website und Cookie-Verwaltung sowie die Bearbeitung von Anfragen zur Ausübung der Rechte betroffener Personen. Die detaillierte Liste der Zwecke und ihrer Rechtsgrundlagen ist in Artikel 4 dieser Richtlinie aufgeführt.
Im Falle eines Widerspruchs zwischen dieser Richtlinie und dem DPA hinsichtlich einer bestimmten Verarbeitung haben die Bestimmungen des DPA für diese Verarbeitung Vorrang.
1.4 Geltungsbereich und Kenntnisnahme
Die Nutzung der Website und der Anwendung setzt die Kenntnisnahme dieser Richtlinie voraus. Die Richtlinie ist kein Vertrag: Sie stellt für sich allein keine Rechtsgrundlage für eine Verarbeitung im Sinne von Artikel 6 DSGVO dar. Sie informiert die betroffenen Personen über die von Octopussian als Verantwortlichem durchgeführten Verarbeitungen, gemäß den Artikeln 13 und 14 DSGVO.
Die Richtlinie kann geändert werden. Die Modalitäten der Änderungsbenachrichtigung sind in Artikel 14 geregelt.
2 - Verantwortlicher und Kontakt
2.1 Verantwortlicher
Der Verantwortliche für die personenbezogenen Daten, die Gegenstand dieser Richtlinie sind, ist:
Octopussian, SAS mit einem Stammkapital von 10.000 € Sitz: 78, avenue des Champs-Élysées, 75008 Paris – Frankreich RCS Paris 981 982 358 Umsatzsteuer-Identifikationsnummer: FR50 981 982 358 Vertreten durch seinen Präsidenten, Herrn Simon-Émile Guetta
2.2 Kontaktstelle
Für alle Fragen zu dieser Richtlinie, zu den von uns durchgeführten Verarbeitungen oder zur Ausübung Ihrer Rechte gemäß DSGVO können Sie uns kontaktieren:
- per E-Mail an die Adresse
- über das Kontaktformular unter
https://octopussian.com/contact, indem Sie je nach Art Ihres Anliegens den Grund „Frage zur Datenschutzrichtlinie" oder „Meine Datenschutzrechte ausüben" auswählen; - per Post an die oben genannte Adresse des Firmensitzes.
Wir verpflichten uns, Ihre Anfrage schnellstmöglich zu bestätigen. Die detaillierten Modalitäten zur Ausübung Ihrer Rechte sind in Artikel 10 dieser Richtlinie beschrieben.
3 - Definitionen
Die folgenden Begriffe, in dieser Richtlinie groß geschrieben, haben die nachstehend definierte Bedeutung.
- Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, im Sinne von Artikel 4 Absatz 1 DSGVO.
- Verarbeitung: jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten – wie Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung, Abfrage, Verwendung, Weitergabe, Verbreitung, Löschung oder Vernichtung –, ob automatisiert oder nicht, im Sinne von Artikel 4 Absatz 2 DSGVO.
- Verantwortlicher: die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, im Sinne von Artikel 4 Absatz 7 DSGVO.
- Auftragsverarbeiter: die natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, im Sinne von Artikel 4 Absatz 8 DSGVO.
- Betroffene Person: die identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
- Empfänger: die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich um einen Dritten handelt oder nicht, im Sinne von Artikel 4 Absatz 9 DSGVO.
- Verletzung des Schutzes personenbezogener Daten: eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, im Sinne von Artikel 4 Absatz 12 DSGVO.
- CNIL: Commission nationale de l'informatique et des libertés, die französische Aufsichtsbehörde im Sinne von Artikel 51 DSGVO.
- DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
- DPA: Anhang A der AGB, der die Pflichten von Octopussian als Auftragsverarbeiter gemäß Artikel 28 DSGVO regelt.
Die Begriffe AGB, Anwendung, Website, Dienste, Kunde, Nutzer, Administrator, Kontoinhaber, Konto, Daten und Zugangsdaten haben die Bedeutung, die ihnen in Artikel 1 der AGB zugewiesen wird. Ihre Definition wird hier nicht wiederholt, um Abweichungen zwischen den Vertragsdokumenten zu vermeiden. Im Falle einer redaktionellen Abweichung hat die in den AGB enthaltene Definition Vorrang.
4 - Zwecke und Rechtsgrundlagen der Verarbeitungen
4.1 Verarbeitungen, für die Octopussian Verantwortlicher ist
Octopussian verarbeitet personenbezogene Daten für die nachstehend aufgeführten Zwecke. Für jeden Zweck wird die anwendbare Rechtsgrundlage gemäß Artikel 6 Absatz 1 DSGVO angegeben.
Wenn mehrere Rechtsgrundlagen genannt werden, begründet jede den ihr entsprechenden Teil der Verarbeitung – so stützt sich beispielsweise die Ausstellung und der Versand einer Rechnung auf die Vertragserfüllung, während deren zehnjährige Aufbewahrung auf einer gesetzlichen Verpflichtung beruht.
| Ref. | Zweck | Kurzbeschreibung | Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) |
|---|---|---|---|
| 4.1.1 | Erstellung und Verwaltung von Konten und Nutzern | Registrierung, Authentifizierung, Verwaltung von Berechtigungen und Zuordnungen zu einem oder mehreren Konten, Betriebsbereitschaft, Pseudonymisierung bei Widerruf eines Nutzers aus allen seinen Konten | (b) Vertragserfüllung und vorvertragliche Maßnahmen auf Anfrage der betroffenen Person |
| 4.1.2 | Rechnungsstellung, Zahlungsabwicklung und Buchhaltung | Ausstellung von Rechnungen, Zahlungs- und Saldoverfolgung, buchhalterischer Abgleich, Buchführung, Einziehung ausstehender Beträge | (b) Vertragserfüllung; (c) Gesetzliche Verpflichtung aufgrund der für Octopussian geltenden Buchführungs- und Steuervorschriften |
| 4.1.3 | Technischer Support | Entgegennahme, Einordnung und Bearbeitung von Support-Anfragen über das Kontaktformular und ggf. über den Self-Service-Chatbot | (b) Vertragserfüllung |
| 4.1.4 | Transaktionaler Onboarding-Prozess | Versand von Aktivierungs-, Willkommens- und Einführungs-E-Mails zur Anwendung über unseren Auftragsverarbeiter Brevo (vgl. Art. 6), mit technischer Kontrolle der Zustellbarkeit dieser Nachrichten | (b) Vertragserfüllung |
| 4.1.5 | Servicekommunikation | Information von Kunden und Nutzern über wesentliche Änderungen der Anwendung, Sicherheits- oder Verfügbarkeitsvorfälle, Überarbeitungen der AGB oder dieser Richtlinie, Abrechnungsfristen und Vertragsereignisse (Sperrung, Kündigung, Verlängerung) | (b) Vertragserfüllung; (c) Gesetzliche Verpflichtung zur Benachrichtigung über eine den Kunden betreffende Verletzung (Art. 33 Abs. 1 DSGVO über das DPA) oder über gesetzlich vorgeschriebene Änderungen |
| 4.1.6 | Anwendungssicherheit und Missbrauchsprävention | Erkennung von Eindringversuchen und ungewöhnlichem Verhalten, Betrugsprävention, Anwendung der Acceptable Use Policy (Anhang C der AGB), vorsorgende Sperrung oder Kündigung eines Kontos bei Missbrauch | (f) Berechtigtes Interesse von Octopussian an der Wahrung der Integrität und Verfügbarkeit seiner Dienste, dem Schutz anderer Nutzer und der Verhinderung missbräuchlicher Nutzung |
| 4.1.7 | Technische Protokollierung | Aufzeichnung von Vorgängen im gemeinsamen Passworttresor (Identität des Urhebers, Vorgangstyp, Zeitstempel, Zugriffsliste). Details sind in Artikel 9 beschrieben | (f) Berechtigtes Interesse von Octopussian an der Sicherstellung der Integrität des Passworttresors und dem Schutz der Nutzer vor unbefugten Vorgängen (Art. 6 Abs. 1 lit. f DSGVO) |
| 4.1.8 | Bearbeitung von Anfragen über das Kontaktformular oder per Post | Bearbeitung von Anfragen entsprechend dem gewählten Grund: kommerzielle Information, technische Information, Fragen zu dieser Richtlinie, Ausübung von DSGVO-Rechten, Meldung eines Sicherheitsvorfalls oder Missbrauchs, sonstige Anfragen | (b) Vorvertragliche Maßnahmen bei Anfragen zu kommerziellen Informationen; (c) Gesetzliche Verpflichtung bei Anfragen zur Ausübung von DSGVO-Rechten und Fragen zu dieser Richtlinie; (f) Berechtigtes Interesse von Octopussian an der Beantwortung sonstiger Anfragen seiner Korrespondenten |
| 4.1.9 | Bearbeitung von Anfragen zur Ausübung der Rechte betroffener Personen | Entgegennahme, ggf. Identitätsüberprüfung, Bearbeitung und begründete Antwort auf Anfragen zu Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, Einschränkung, Widerruf der Einwilligung sowie Anweisungen für den Todesfall | (c) Gesetzliche Verpflichtung – Artikel 12 bis 22 DSGVO und französisches Gesetz Nr. 78-17 vom 6. Januar 1978 in geänderter Fassung |
| 4.1.10 | Cookies, Tracker und Werbepixel auf der Website | Reichweitenmessung, Besuchsanalyse, Schaltung zielgerichteter Werbung auf Partnernetzwerken (Meta, Google, LinkedIn), serverseitige Konversion. Die Modalitäten, die Liste der Tracker und die Opt-out-Optionen sind in Artikel 11 beschrieben | (a) Vorherige Einwilligung für nicht streng notwendige Tracker |
| 4.1.11 | Erfüllung gesetzlicher Verpflichtungen und Wahrung unserer Rechte | Aufbewahrung von Buchhaltungs-, Vertrags- und Beweisunterlagen gemäß den gesetzlichen Fristen; Beantwortung regulärer Anfragen von Justiz-, Verwaltungs- oder Aufsichtsbehörden; Sicherung und Verwaltung von Beweismitteln bei Rechtsstreitigkeiten | (c) Gesetzliche Verpflichtung; (f) Berechtigtes Interesse für die Beweissicherung und Rechtsverteidigung |
4.2 Verarbeitungen, für die Octopussian Auftragsverarbeiter ist
Die Verarbeitungen, die der Kunde und seine Nutzer mithilfe der Anwendung im Rahmen ihrer eigenen Tätigkeit durchführen – insbesondere die Todo-Liste, Kontakte, im Drive gespeicherte Dateien, im Tresor gespeicherte gemeinsame Passwörter, Chat- und Videokonferenzinhalte, Inhalte der Wissensdatenbank, Kalendereinträge, übertragene Dateien und elektronisch signierte Dokumente – fallen nicht in den Geltungsbereich dieser Richtlinie.
Bei diesen Verarbeitungen bleibt der Kunde Verantwortlicher und legt selbst die Zwecke und die anwendbare Rechtsgrundlage fest. Octopussian führt sie als Auftragsverarbeiter unter den im DPA (Anhang A der AGB) gemäß Artikel 28 DSGVO festgelegten Bedingungen durch.
5 - Kategorien verarbeiteter personenbezogener Daten
Dieser Artikel führt nach Art gegliedert die Kategorien personenbezogener Daten auf, die Octopussian im Rahmen der in Artikel 4.1 beschriebenen Zwecke verarbeitet. Nicht alle Daten werden für alle Zwecke erhoben: Es werden nur die für den jeweiligen Zweck unbedingt erforderlichen Daten verarbeitet, gemäß dem Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c DSGVO.
5.1 Identifikations- und Kontaktdaten
Vorname, Nachname, Anrede (sofern angegeben), berufliche E-Mail-Adresse, Telefonnummer (sofern angegeben), Funktion oder Position (sofern angegeben), berufliche Postanschrift (sofern für die Rechnungsstellung erforderlich).
5.2 Konto- und Authentifizierungsdaten
Eindeutige interne Nutzer-ID (nicht aussagekräftige UUID), Kennung(en) des zugeordneten Kontos bzw. der zugeordneten Konten, Funktionsprofil (Kontoinhaber, Administrator, Nutzer), Passwort (ausschließlich als gesalzener kryptografischer Hash gespeichert – für Octopussian nicht lesbar), verschlüsseltes TOTP-Geheimnis für die Zwei-Faktor-Authentifizierung, sofern aktiviert, Datum und Zeitstempel der letzten Anmeldungen, vom Nutzer angegebene Zeitzone für den Versand von Benachrichtigungen zu gewünschten Zeiten.
5.3 Verbindungs- und technische Daten
Quell-IP-Adressen der Verbindungen, technische Sitzungskennungen, Browser-User-Agent und Betriebssystemidentifikation. Diese Daten werden in Echtzeit zur Authentifizierung und Erkennung von Verbindungsanomalien verarbeitet, jedoch nicht über die Dauer der aktiven Sitzung hinaus dauerhaft gespeichert. Die einzigen dauerhaften Aufzeichnungen sind in Artikel 9 beschrieben.
5.4 Rechnungs- und Zahlungsdaten
Firmenname, Rechtsform, Identifikationsnummer (SIREN oder gleichwertig), Umsatzsteuer-Identifikationsnummer, Rechnungsadresse, Name und E-Mail-Adresse der für die Rechnungsstellung zuständigen Person, Verlauf der ausgestellten Rechnungen, eingegangenen Zahlungen und des Kontosaldos.
Die Kreditkartennummer wird Octopussian zu keinem Zeitpunkt mitgeteilt und auf unseren Systemen gespeichert. Die Zahlung wird vollständig durch unseren Auftragsverarbeiter Stripe Payments Europe Ltd abgewickelt (vgl. Art. 6 und Art. 7). Wir speichern ausschließlich die von Stripe für Buchführungszwecke und die Dienstleistungskontinuität zurückgegebenen technischen Elemente: opake Stripe-Kundennummer, Transaktionstoken, Kartenmarke, letzte vier Ziffern der Kartennummer, Ablaufdatum, Zahlungsstatus.
5.5 An Octopussian gerichtete Anfragen
Inhalt der Nachrichten, die über das Kontaktformular, die Adresse oder per Post übermittelt werden, etwaige Anhänge, Zeitstempel, im Formular ausgewählter Grund. Diese Mitteilungen können personenbezogene Daten enthalten, die die betroffene Person uns freiwillig übermittelt hat; sie wird gebeten, uns nur die für die Bearbeitung ihrer Anfrage unbedingt erforderlichen Informationen mitzuteilen.
5.6 Deklarative B2B-Daten und Nachweise der Vertragsannahme
Bei der Kontoerstellung setzt der Kontoinhaber ein Häkchen in einem deklarativen Kästchen, in dem er sein Volljährigkeit, die Nutzung im Rahmen einer beruflichen Tätigkeit und seine Vollmacht zur Vertretung der juristischen Person bestätigt. Diese Erklärung wird zusammen mit dem Zeitstempel der Annahme, der Nutzerkennung, der IP-Adresse und der Version des angenommenen Textes gespeichert.
Zu Beweiszwecken werden außerdem Zeitstempel, Nutzerkennung und Version des angenommenen Textes für jede Annahme der AGB, des DPA und dieser Richtlinie sowie für deren spätere Überarbeitungen, die dem Kontoinhaber zur Kenntnis gebracht wurden, aufbewahrt.
5.7 Verlauf der Cookie- und Tracker-Einwilligungen
Für Tracker auf der Website, die eine vorherige Einwilligung erfordern, wird ein Verlauf der vom Besucher getroffenen Entscheidungen (Annahme, Ablehnung, Widerruf der Einwilligung) mit Zeitstempel gespeichert, um den gemäß Artikel 7 Absatz 1 DSGVO geforderten Nachweis der Einwilligung sicherzustellen. Details sind in Artikel 11 aufgeführt.
5.8 Ihre Daten in der Anwendung gehören Ihnen
Die Informationen, die Sie in der Anwendung speichern – Ihre Kontakte, die Dateien in Ihrem Drive, die im Tresor gespeicherten gemeinsamen Passwörter, Ihre Chat-Nachrichten, Ihre Videokonferenzen, Ihre Wissensdatenbanken, Ihren Kalender, Ihre Aufgaben, Ihre übertragenen Dateien und Ihre elektronisch signierten Dokumente – gehören Ihnen.
Wir hosten sie, um sie ausschließlich den Personen zugänglich zu machen, die Sie autorisiert haben. Wir nutzen sie zu keinen eigenen Zwecken: kein Weiterverkauf, keine Werbung, kein Profiling, kein Training von KI-Modellen. Wir geben sie an keine Dritten weiter, es sei denn auf Ihre Anfrage hin, zur Erfüllung einer ordnungsgemäßen Behördenanfrage oder zur Erfüllung einer für uns geltenden gesetzlichen Verpflichtung.
Der genaue Rechtsrahmen, die Sicherheitsverpflichtungen und unsere Pflichten gegenüber Ihrer Organisation sind im DPA (Anhang A der AGB) geregelt.
6 - Empfänger und Auftragsverarbeiter
6.1 Grundsatz – Need-to-know-Prinzip
Die von Octopussian verarbeiteten personenbezogenen Daten werden nur an Personen weitergegeben, die aufgrund ihrer Funktion oder ihres Auftrags berechtigt sind, davon Kenntnis zu nehmen, und nur im für die in Artikel 4 beschriebenen Zwecke unbedingt erforderlichen Umfang.
6.2 Interne Empfänger bei Octopussian
Die für die Verarbeitung personenbezogener Daten berechtigten Mitarbeiter von Octopussian – Teams aus den Bereichen Produkt, Entwicklung, Betrieb, Support, Verwaltung und Abrechnung – haben Zugang zu den für die Ausübung ihrer jeweiligen Aufgaben unbedingt erforderlichen Daten, im Rahmen einer internen Berechtigungsrichtlinie. Jeder ist zu einer professionellen Vertraulichkeitspflicht verpflichtet.
6.3 Strategische Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter für den Betrieb der Anwendung und der Website ein. Jeder von ihnen ist durch einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO gebunden.
| Auftragsverarbeiter | Unternehmen und Sitz | Zweck für Octopussian | Öffentliche DPA-Referenz |
|---|---|---|---|
| OVH | OVH SAS – 2 rue Kellermann, 59100 Roubaix, Frankreich (RCS Lille Métropole 424 761 419) | Hosting der Anwendung und der Website, Speicherung der im Drive abgelegten Dateien und der Backups; alle Rechenzentren befinden sich in der Europäischen Union | DPA vertraglich vereinbart gemäß der von OVH veröffentlichten jeweils gültigen Fassung |
| Stripe | Stripe Payments Europe Ltd – Dublin, Irland | Zahlungsabwicklung und Verwaltung von Zahlungsbelegen | https://stripe.com/legal/ssa und Data Transfers Addendum https://stripe.com/legal/dta |
| Brevo | Sendinblue SAS – 106 boulevard Haussmann, 75008 Paris, Frankreich (RCS Paris 498 019 298) | Versand von transaktionalen Onboarding-E-Mails (Aktivierung, Willkommen, Einführung) | DPA integriert in die allgemeinen Brevo-Bedingungen unter https://www.brevo.com/legal/termsofuse/ |
| Mistral AI | Mistral AI SAS – 15 rue des Halles, 75001 Paris, Frankreich (RCS Paris 952 418 325) | Bereitstellung des Sprachmodells für die KI-Funktionen; die Option zum Modelltraining ist von Octopussian vertraglich deaktiviert worden | https://legal.mistral.ai/terms/data-processing-addendum |
6.4 Sonstige technische Dienstleister
Wir setzen im Rahmen des Betriebs der Anwendung und der Website auch weitere technische Dienstleister ein, deren Rolle eher punktueller oder peripher Natur ist:
- Bereitstellung von Lehrvideos, die auf der Website veröffentlicht werden, über ein Content Delivery Network, dessen Präsenzpunkte so konfiguriert sind, dass sie innerhalb der Europäischen Union bleiben;
- Geografische Anreicherung von IP-Adressen anhand der IP-Adressnummer zur Erkennung von Verbindungsanomalien, mittels eines in der Europäischen Union ansässigen Spezialdienstleisters;
- Syntaktische Überprüfung und Zustellbarkeitsprüfung von E-Mail-Adressen, die bei der Registrierung eingegeben werden, mittels eines in der Europäischen Union ansässigen Spezialdienstleisters.
Jeder dieser Dienstleister ist durch einen Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO gebunden.
6.5 Aktuelle Auftragsverarbeiterliste
Die vollständige und stets aktuelle namentliche Liste unserer Auftragsverarbeiter ist in Anhang D der AGB enthalten. Gemäß dem DPA wird jede wesentliche Änderung dieser Liste den Kunden mit einer Vorankündigungsfrist von dreißig (30) Tagen mitgeteilt, wobei ein begründetes Widerspruchsrecht unter den im DPA vorgesehenen Bedingungen eingeräumt wird.
Der Rückgriff auf diese vertragliche Referenz – anstatt einer namentlichen Aufführung in dieser Richtlinie – ermöglicht es, die Liste der technischen Dienstleister aktuell zu halten, ohne die Richtlinie selbst wiederholt redaktionell überarbeiten zu müssen. Diese Modalität ist ausdrücklich durch Artikel 13 Absatz 1 Buchstabe e DSGVO zugelassen, der die Bezeichnung von Empfängern nach Kategorien erlaubt.
6.6 Empfänger, die als eigenständige Verantwortliche handeln
Einige unserer Auftragsverarbeiter führen neben den Verarbeitungen, die sie in unserem Auftrag vornehmen, auch Verarbeitungen durch, die sie für eigene Zwecke betreiben und bei denen sie als eigenständige Verantwortliche handeln. Diese Verarbeitungen liegen außerhalb unserer Kontrolle und unterliegen deren eigenen Richtlinien, die sie ihren Endnutzern mitteilen.
Im Interesse der Transparenz weisen wir auf folgende identifizierte Fälle hin:
- Stripe: Betrugsprävention, Erfüllung von Verpflichtungen zur Geldwäschebekämpfung und Kundenidentifizierung (AML/KYC), Verwaltung der Beziehungen zu Finanzpartnern, Produktentwicklung und -verbesserung.
- Brevo: Sicherheit und Integrität seiner Versandplattform, statistische Aggregation und Verbesserung seiner Dienste.
- ipregistry: Verbesserung eigener geografischer Datenbanken, Betrugsprävention bei eigenen Diensten.
- Mistral AI: Automatisierte Moderation und Missbrauchserkennung bei der Nutzung seiner Modelle, aggregierte Nutzungsstatistiken. Die Nutzung der Daten zum Training von Mistral AI-Modellen ist durch den von Octopussian aktivierten vertraglichen Opt-out ausgeschlossen.
6.7 Sonstige Drittempfänger
Personenbezogene Daten können im Bedarfsfall und in dem von der Situation strikt geforderten Umfang weitergegeben werden:
- an Rechtsdienstleister, die im Rahmen punktueller Aufträge tätig werden (Rechtsanwälte, Gerichtsvollzieher), die einer beruflichen Schweigepflicht unterliegen;
- an Justiz-, Verwaltungs- oder Aufsichtsbehörden, die auf rechtmäßiger Grundlage (Anforderung, Anfrage einer Aufsichtsbehörde, vollstreckbare Gerichtsentscheidung) handeln;
- an den Erwerber oder Käufer im Falle einer Veräußerung von Vermögenswerten, einer Fusion oder Übernahme, die die gesamte oder einen Teil der Geschäftstätigkeit von Octopussian betrifft, unter den in den AGB vorgesehenen Bedingungen und vorbehaltlich eines gleichwertigen Datenschutzes.
7 - Übermittlungen außerhalb der Europäischen Union
7.1 Grundsatz – Verarbeitung innerhalb der Europäischen Union
Octopussian hostet und verarbeitet personenbezogene Daten auf dem Gebiet der Europäischen Union. Die in Artikel 6.3 genannten strategischen Auftragsverarbeiter haben ihren Sitz in der Europäischen Union und betreiben Infrastrukturen, die sich in der Europäischen Union befinden.
Nur ein Fall führt zu einer direkten und strukturellen Übermittlung in ein Drittland: die Zahlungsabwicklung durch Stripe, die in Artikel 7.2 beschrieben wird. Bei den übrigen Auftragsverarbeitern können im Rahmen der Erbringung ihrer Dienste oder für eigene Zwecke Übermittlungen innerhalb ihrer eigenen Organisation stattfinden; diese Fälle sind in Artikel 7.3 erläutert.
7.2 Direkte Übermittlung an Stripe in die USA
Die Zahlungsabwicklung durch Stripe beinhaltet eine Datenweitergabe an Stripe Payments Europe Ltd (Irland) und im Rahmen ihrer internen Organisation und eigener Zwecke an Stripe, Inc. (USA) sowie andere Konzernunternehmen von Stripe.
Diese Übermittlungen sind kumulativ abgesichert durch:
- die Zertifizierung der betreffenden Stripe-Unternehmen im Rahmen des EU-US Data Privacy Framework, das Gegenstand des Angemessenheitsbeschlusses (EU) 2023/1795 der Europäischen Kommission vom 10. Juli 2023 ist;
- die von der Europäischen Kommission am 4. Juni 2021 angenommenen Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914), Module 1 und 2, die in den Stripe-Vertrag durch das unter
https://stripe.com/legal/dtaveröffentlichte Data Transfers Addendum einbezogen werden.
7.3 Mögliche Übermittlungen innerhalb unserer in der EU ansässigen Auftragsverarbeiter
Einige der in den Artikeln 6.3 und 6.4 genannten Auftragsverarbeiter können für die interne Erbringung ihrer Dienste oder für eigene Zwecke auf Verarbeitungen oder Unterauftragsverarbeiter außerhalb der Europäischen Union zurückgreifen. Diese Vorgänge unterliegen dem jeweiligen DPA der Auftragsverarbeiter, das mit Octopussian vereinbart wurde. Die in diesen DPAs vorgesehenen Absicherungsmechanismen sind folgende:
- Sendinblue SAS (Brevo) – Rückgriff auf das Data Privacy Framework und Standardvertragsklauseln für etwaige Übermittlungen außerhalb der EU im Rahmen seiner Organisation;
- Elaunira SARL (ipregistry) – Rückgriff auf Standardvertragsklauseln (Module 2 und 3) sowie auf das sogenannte UK International Data Transfer Addendum für etwaige Übermittlungen außerhalb des Europäischen Wirtschaftsraums im Rahmen seiner Organisation;
- Mistral AI SAS – standardmäßige Verarbeitung innerhalb der Europäischen Union; bei Einbindung von Unterauftragsverarbeitern außerhalb der EU Rückgriff auf Standardvertragsklauseln oder anwendbare Angemessenheitsbeschlüsse;
- CyberPanda s.r.o. (Betreiber des Dienstes EmailListVerify, Slowakei) – Rückgriff auf Standardvertragsklauseln (Module 2 und 3) für etwaige Übermittlungen außerhalb des Europäischen Wirtschaftsraums im Rahmen seiner Organisation.
Für das Content Delivery Network zur Bereitstellung der Lehrvideos auf der Website wurden die Präsenzpunkte so konfiguriert, dass sie innerhalb der Europäischen Union verbleiben. Die durch die Wiedergabe dieser Videos entstehenden Daten – insbesondere die IP-Adresse des Besuchers – werden daher innerhalb der Europäischen Union verarbeitet.
Die Liste und Identität der oben genannten Auftragsverarbeiter sind in Anhang D der AGB enthalten, der gemäß den in Artikel 6.5 beschriebenen Modalitäten aktualisiert wird. Bei wesentlichen Änderungen der von diesen Auftragsverarbeitern umgesetzten Übermittlungsabsicherungen wird diese Richtlinie unter den in Artikel 14 vorgesehenen Bedingungen aktualisiert.
8 - Speicherfristen
Octopussian speichert personenbezogene Daten nur so lange, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist, gemäß den Grundsätzen der Speicherbegrenzung und Datenminimierung nach Artikel 5 DSGVO.
| Kategorie | Frist in der aktiven Datenbank | Verfahren nach Ablauf der Frist |
|---|---|---|
| Konto- und Authentifizierungsdaten (§5.1 und §5.2) | Lebensdauer des Kontos | Pseudonymisierung: Vor- und Nachname werden durch Initialen ersetzt; E-Mail wird durch einen SHA-256-Hash mit Server-Salt ersetzt; Telefonnummern, Postanschrift, Kommentar und Avatar werden gelöscht |
| Nachweise der Vertragsannahme und B2B-Erklärungen (§5.6) | Lebensdauer des Kontos | Aufbewahrung für 5 Jahre nach Kontoschließung (quinquennale Verjährung, Art. 2224 Code civil) |
| Technische Verbindungsdaten einer aktiven Sitzung | Dauer der Sitzung | Löschung bei Ablauf der Sitzung |
| Rechnungs- und Buchführungsunterlagen (§5.4) | Vertragslaufzeit | Aufbewahrung für 10 Jahre ab Ende des Geschäftsjahres (Art. L.123-22 Code de commerce) |
| Anfragen über das Kontaktformular (§5.5) | Dauer der Anfragebearbeitung | 1 Jahr ab Abschluss des Vorgangs |
| Anfragen zur Ausübung von DSGVO-Rechten (§5.5) | Dauer der Anfragebearbeitung | 5 Jahre ab Abschluss des Vorgangs |
| Verlauf der Cookie- und Tracker-Einwilligungen (§5.7) | – | 13 Monate ab jeder getroffenen Entscheidung |
| Metadaten des gemeinsamen Passworttresors | Lebensdauer des Kontos | Löschung bei Kontoschließung (siehe §9.2) |
| Datenbankbackups | – | Maximal 72 Stunden (mehrere rotierende Sicherungssätze) |
8.1 Pseudonymisierung bei Kontoschließung
Sobald ein Nutzer keinem aktiven Konto mehr zugeordnet ist, wird seine Nutzerakte im Sinne von Artikel 4 Absatz 5 DSGVO pseudonymisiert. Folgende Vorgänge werden automatisch durchgeführt:
- Vor- und Nachname → werden durch die Initialen des Nutzers ersetzt.
- E-Mail-Adresse → wird durch einen SHA-256-Hash mit Server-Salt ersetzt, der nicht rückwärts entschlüsselt werden kann. Dieser Hash ermöglicht es Octopussian ausschließlich, die Identität einer Person zu verifizieren, die ihre E-Mail-Adresse zur Ausübung ihrer Rechte selbst vorlegt.
- Optionale identifizierende Daten (Festnetz- und Mobiltelefonnummern, Postanschrift, Kommentar, Avatar) → werden gelöscht.
- Sprache der Benutzeroberfläche → wird gespeichert (nicht identifizierende Angabe).
Dieser Vorgang bewahrt die referenzielle Integrität der Anwendungseinträge, ohne einen direkt zugänglichen Identifikator beizubehalten.
Bei einer späteren Anfrage zur Ausübung von Rechten kann die betroffene Person ihre E-Mail-Adresse vorlegen, was Octopussian ermöglicht, ihre Akte durch Überprüfung des Hash-Werts aufzufinden. Kann die Identifizierung nicht mit hinreichender Sicherheit festgestellt werden, ist Octopussian berechtigt, gemäß Artikel 11 DSGVO keine weiteren Schritte zu unternehmen, und informiert die betroffene Person darüber.
8.2 Backups
Die Datenbanken werden auf Objektspeicherinfrastrukturen gesichert, die in Frankreich gehostet werden. Mehrere rotierende Sicherungssätze werden mit einer maximalen Aufbewahrungsdauer von 72 Stunden gespeichert, nach deren Ablauf die Backups automatisch gelöscht werden. Backups werden ausschließlich zur Aufrechterhaltung der Dienste und zur Wiederherstellung nach einem Störfall eingesetzt.
9 - Technische Protokollierung
9.1 Geltungsbereich
Dieser Artikel beschreibt die einzigen von Octopussian eingesetzten technischen Aufzeichnungen, die personenbezogene Daten enthalten. Infrastrukturüberwachungslogs (Verfügbarkeit, Last, Leistung) enthalten keine personenbezogenen Daten und sind vom Geltungsbereich dieser Richtlinie ausgenommen.
9.2 Nachverfolgung von Vorgängen im gemeinsamen Passworttresor
Beim gemeinsamen Passworttresor werden die Vorgänge protokolliert, um die Nutzer vor unbefugten Änderungen oder Löschungen zu schützen.
In der Datenbank werden gespeichert: die Identität des Nutzers, der den Vorgang durchgeführt hat, die Art des Vorgangs (Erstellung, Änderung, Löschung), der Zeitstempel sowie die Liste der Nutzer, die Zugriffsrechte auf einen Eintrag haben oder hatten.
Der Inhalt der Passwörter ist für Octopussian zu keinem Zeitpunkt zugänglich. Sie werden durch einen asymmetrischen Mechanismus Ende-zu-Ende verschlüsselt: Nur Nutzer mit den entsprechenden Zugriffsrechten können sie clientseitig entschlüsseln.
Diese Aufzeichnungen werden für die gesamte Lebensdauer des Kontos gespeichert und bei dessen Schließung gelöscht.
Rechtsgrundlage: Berechtigtes Interesse von Octopussian an der Sicherstellung der Integrität des Passworttresors und dem Schutz der Nutzer vor unbefugten Vorgängen (Art. 6 Abs. 1 lit. f DSGVO).
9.3 Authentifizierung
Fehlgeschlagene Authentifizierungsversuche werden nicht dauerhaft protokolliert. Ein temporärer Zähler erfasst die Anzahl aufeinanderfolgender Fehlversuche für ein bestimmtes Konto; nach einer begrenzten Anzahl aufeinanderfolgender erfolgloser Versuche wird eine Wartezeit von zwanzig Minuten vor einem neuen Versuch auferlegt. Dieser Zähler wird bei einer erfolgreichen Anmeldung zurückgesetzt und stellt keine dauerhafte Aufzeichnung personenbezogener Daten dar.
9.4 Keine dauerhaften Zugriffslogs
Octopussian speichert keine HTTP-Zugriffslogs, keine Anwendungslogs und keine Sicherheitslogs mit personenbezogenen Daten. Verbindungsdaten (IP-Adressen, User Agents, Zeitstempel) werden in Echtzeit zur Authentifizierung und Erkennung von Anomalien verarbeitet und anschließend ohne dauerhafte Speicherung verworfen. Infrastrukturüberwachungsmetriken (CPU-Last, Arbeitsspeicher, Festplattenplatz) enthalten keine personenbezogenen Daten und sind gemäß Artikel 9.1 vom Geltungsbereich dieser Richtlinie ausgenommen.
10 - Rechte der betroffenen Personen
10.1 Anwendbare Rechte
Die DSGVO gewährt Ihnen als betroffener Person folgende Rechte hinsichtlich der personenbezogenen Daten, die wir als Verantwortlicher verarbeiten.
| Recht | Gegenstand | Bedingungen und Einschränkungen |
|---|---|---|
| Auskunft (Art. 15 DSGVO) | Bestätigung erhalten, ob Sie betreffende Daten verarbeitet werden, und eine Kopie davon erhalten | Kostenlos; bei offensichtlich exzessiven oder wiederholten Anfragen können wir angemessene Gebühren erheben oder die Bearbeitung ablehnen |
| Berichtigung (Art. 16 DSGVO) | Unrichtige oder unvollständige Daten korrigieren lassen | Sie können Ihr eigenes Nutzerprofil direkt in der Anwendung bearbeiten; für sonstige Daten richten Sie bitte eine Anfrage an uns |
| Löschung (Art. 17 DSGVO) | Löschung Ihrer Daten verlangen | Nicht anwendbar auf Daten, die wir aufgrund einer gesetzlichen Verpflichtung aufbewahren müssen (Buchführungsunterlagen, Vertragsnachweise) oder für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen |
| Datenübertragbarkeit (Art. 20 DSGVO) | Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten | Beschränkt auf Daten, die Sie bereitgestellt haben, und auf Verarbeitungen, die auf Ihrer Einwilligung oder der Vertragserfüllung beruhen; für die Anwendung kann der Kontoinhaber einen vollständigen Kontoexport anfordern |
| Widerspruch (Art. 21 DSGVO) | Einer auf berechtigtem Interesse beruhenden Verarbeitung widersprechen | Wir können die Verarbeitung aufrechterhalten, wenn wir zwingende berechtigte Gründe nachweisen – insbesondere für die Anwendungssicherheit und die Protokollierung des Passworttresors |
| Einschränkung (Art. 18 DSGVO) | Eine Verarbeitung vorübergehend aussetzen, während Sie deren Rechtmäßigkeit oder Richtigkeit bestreiten | Anwendbar in den in Artikel 18 DSGVO vorgesehenen Fällen |
| Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) | Eine zuvor erteilte Einwilligung jederzeit widerrufen | Gilt für Verarbeitungen, die auf Einwilligung beruhen (nicht wesentliche Cookies, Aktivierung von KI-Funktionen); der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitungen |
| Anweisungen für den Todesfall | Die Verwendung Ihrer Daten nach Ihrem Tod festlegen | Nach anwendbarem französischen Recht vorgesehen; richten Sie Ihre Anweisungen per Post oder an .com` |
10.2 Modalitäten der Ausübung
Um eines der in Artikel 10.1 aufgeführten Rechte auszuüben, richten Sie Ihre Anfrage über das Kontaktformular unter https://octopussian.com/contact (Grund „Meine Datenschutzrechte ausüben") oder per E-Mail an an uns.
Geben Sie Ihren Namen, Ihre in der Anwendung hinterlegte E-Mail-Adresse – oder, falls Ihr Konto geschlossen wurde, alle Angaben, die Ihre Identifizierung ermöglichen (Unternehmen, ungefährer Nutzungszeitraum) – sowie die genaue Art Ihrer Anfrage an. Wenn die Sachlage es erfordert, können wir vor der Bearbeitung einen ergänzenden Nachweis von Ihnen verlangen.
10.3 Fristen
Wir antworten innerhalb von einem Monat nach Eingang Ihrer Anfrage. Diese Frist kann bei komplexen Anfragen um zwei weitere Monate verlängert werden; in diesem Fall informieren wir Sie innerhalb des ersten Monats unter Angabe der Gründe für die Verlängerung.
Wurde Ihre Akte nach Kontoschließung pseudonymisiert und kann die Identifizierung nicht mit hinreichender Sicherheit festgestellt werden, informieren wir Sie darüber und sind nicht zur weiteren Bearbeitung verpflichtet – siehe §8.1.
10.4 Recht zur Beschwerde bei der CNIL
Wenn Sie der Ansicht sind, dass Ihre Rechte nach Kontaktaufnahme mit uns nicht gewahrt werden, können Sie eine Beschwerde bei der Commission nationale de l'informatique et des libertés (CNIL) unter https://www.cnil.fr/fr/plaintes einreichen.
10.5 Anweisungen für den Todesfall und Anfragen von Erben
Gemäß Artikel 85 des französischen Gesetzes Nr. 78-17 vom 6. Januar 1978 in geänderter Fassung kann der Nutzer an oder per Post Anweisungen über die Verwendung seiner Daten nach seinem Tod übermitteln. Diese Anweisungen betreffen ausschließlich seine persönliche Identifikations- und Kontoakte (§5.1 und §5.2); die in der Anwendung im Rahmen der beruflichen Tätigkeit des Kunden gespeicherten Daten sind davon ausgenommen und fallen in den Verantwortungsbereich des Kunden als Verantwortlichem. Die Anweisungen müssen klar und präzise in einer für Octopussian verständlichen Sprache formuliert und ohne rechtliche Auslegung ausführbar sein; andernfalls werden sie als nicht existent behandelt.
In Ermangelung ausführbarer Anweisungen oder wenn der Kunde selbst eine natürliche Person ist, die als Einzelperson ohne eigene juristische Person tätig ist, können die Rechtsnachfolger Octopussian über einen Notar oder eine gleichwertige Amtsperson nach anwendbarem Recht kontaktieren, oder direkt mit einer Erbenbescheinigung und einer Sterbeurkunde, die je nach anwendbaren Übereinkommen legalisiert oder mit einer Apostille versehen sind. Octopussian ist nicht befugt, Streitigkeiten zwischen Rechtsnachfolgern zu entscheiden oder die Wirksamkeit einer für die Tätigkeit des Verstorbenen geltenden Berufsschwiegepflicht zu beurteilen; zweifelhafte Anfragen werden an den zuständigen Notar oder die zuständige Standesorganisation verwiesen, und solche, deren Authentizität nicht mit hinreichender Sicherheit festgestellt werden kann, werden nicht bearbeitet (Artikel 11 DSGVO).
Ist der verstorbene Nutzer keinem Konto mehr zugeordnet, ist seine Akte bereits pseudonymisiert (§8.1); sofern keine Anfrage innerhalb der in Artikel A.11 des DPA vorgesehenen Frist eingeht, werden die Daten gemäß dem Zeitplan für das Vertragsende gelöscht.
11 - Cookies, Tracker und Werbepixel
11.1 Anwendungsseite ( app.octopussian.com )
Die Anwendung setzt bei der Authentifizierung ein technisches Session-Cookie. Dieses Cookie ist für den Betrieb des Dienstes unbedingt erforderlich: Es hält die Sitzung des angemeldeten Nutzers aufrecht und kann nicht abgelehnt werden, ohne die Anwendung unbrauchbar zu machen. Es unterliegt keiner Einwilligungspflicht.
11.2 Kommerzielle Website ( octopussian.com ) – Allgemeines Prinzip
Es wird kein Tracker gesetzt und keine Daten an Analyse- oder Werbepartner übermittelt, ohne vorher Ihre Einwilligung eingeholt zu haben.
Bei Ihrem ersten Besuch auf der Website wird Ihnen ein Einwilligungsdialog angezeigt. Er ermöglicht es Ihnen, alle in Artikel 11.3 beschriebenen Tracker zu akzeptieren oder abzulehnen. Ohne Annahme wird kein Tracker aktiviert. Ihre Entscheidung wird im lokalen Speicher Ihres Browsers (localStorage) für 13 Monate gespeichert; nach Ablauf dieser Frist wird Ihnen der Dialog erneut angezeigt. Sie können Ihre Entscheidung jederzeit ändern, indem Sie auf den Link „Mehr erfahren" im Dialog klicken.
11.3 Einwilligungspflichtige Tracker
Bei Annahme werden folgende Dienste aktiviert:
| Dienst | Anbieter | Zweck | Übermittlung außerhalb der EU |
|---|---|---|---|
| Google Analytics 4 | Google Ireland Ltd (Irland) | Reichweitenmessung und Analyse des Besucherverhaltens; Steuerung von Werbekampagnen (Google Ads, YouTube Ads) über den Google Consent Mode v2 | An Google LLC (USA) – EU-US Data Privacy Framework + Standardvertragsklauseln |
| LinkedIn Insight Tag | LinkedIn Ireland Unlimited Company (Irland) | Conversion-Messung und Werbetargeting auf LinkedIn | An LinkedIn Corporation (USA) – Standardvertragsklauseln |
| Meta Pixel / Conversions API | Meta Platforms Ireland Ltd (Irland) | Conversion-Messung und Werbetargeting auf den Meta-Netzwerken (Facebook, Instagram) | An Meta Platforms, Inc. (USA) – EU-US Data Privacy Framework + Standardvertragsklauseln |
Diese Dienste können für eigene Zwecke personenbezogene Daten als eigenständige Verantwortliche verarbeiten (Werbeprofiling, Produktverbesserung). Diese Verarbeitungen unterliegen ihren eigenen Datenschutzrichtlinien.
Die LinkedIn- und Meta-Kampagnen sind nicht dauerhaft aktiv. Die rechtlichen Dokumente von Octopussian decken deren etwaige Aktivierung ab, sobald Ihre Einwilligung gemäß diesem Artikel erteilt wurde.
11.4 Serverseitige Datenerfassungsinfrastruktur
Die Daten werden an die in Artikel 11.3 genannten Plattformen über einen serverseitigen Erfassungsmechanismus (server-side tagging) übermittelt, der von unserem Auftragsverarbeiter Stape Europe OÜ (Sepapaja tn 6, Tallinn, Estland) betrieben wird und in der Europäischen Union ansässig ist. Bei Ablehnung der Tracker werden über diesen Mechanismus keine Daten erfasst.
12 - Künstliche Intelligenz und kein Profiling
12.1 KI-Funktionen
Unsere intelligente Assistenzfunktion basiert auf einem KI-Modell von Mistral AI SAS (Frankreich). Diese Funktion wird nur aktiviert, wenn der Kontoinhaber sie für sein Konto ausdrücklich aktiviert hat. Standardmäßig werden die an dieses Modell gesendeten Daten innerhalb der Europäischen Union verarbeitet. Sollten Unterauftragsverarbeiter von Mistral AI außerhalb der EU in die Verarbeitungskette einbezogen werden, gewährleistet Mistral AI, dass diese Übermittlungen durch DSGVO-konforme Mechanismen abgesichert sind (Standardvertragsklauseln oder Angemessenheitsbeschluss). Die in diesem Rahmen verarbeiteten Daten werden nicht zum Training der Modelle von Mistral AI verwendet: Die Opt-out-Option für das Training wurde von Octopussian vertraglich aktiviert.
12.2 Kein Profiling und keine automatisierte Entscheidungsfindung
Octopussian führt kein Profiling von Nutzern durch und trifft keine automatisierten Entscheidungen, die rechtliche Wirkungen entfalten oder betroffene Personen in ähnlicher Weise erheblich beeinträchtigen, im Sinne von Artikel 22 DSGVO.
13 - Sicherheit und Meldung von Verletzungen
13.1 Sicherheitsmaßnahmen
Octopussian trifft geeignete technische und organisatorische Maßnahmen zur Gewährle