Datenschutzerklärung

Der Dienst wird betrieben von VSB Serviços de Informação e Tecnologia Ltda. (CNPJ 36.997.903/0001-36), einer juristischen Person des Privatrechts mit Sitz in Brasilien. Wir handeln als Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne des brasilianischen Datenschutzgesetzes (LGPD, Gesetz Nr. 13.709/2018) und als Verantwortlicher im Sinne der Verordnung (EU) 2016/679 (DSGVO). Für Datenschutzfragen, Ausübung von Rechten, Anfragen oder Beschwerden schreibe an contact@bigduckai.com. Unser Datenschutzbeauftragter (DPO/Data Protection Officer) ist unter derselben Adresse erreichbar.

Wir verarbeiten personenbezogene Daten je nach Fall auf folgenden Rechtsgrundlagen: (a) Vertragserfüllung (LGPD Art. 7º, V; DSGVO Art. 6 Abs. 1 lit. b), zur Bereitstellung und zum Betrieb des Dienstes, zur Bearbeitung von Anfragen und zur Zahlungsabwicklung; (b) berechtigte Interessen (LGPD Art. 7º, IX; DSGVO Art. 6 Abs. 1 lit. f), einschließlich Plattformsicherheit, Betrugs- und Missbrauchsprävention, Produktverbesserung, aggregierter Analytik, nicht aufdringlicher Direktwerbung, Verteidigung in gerichtlichen und behördlichen Verfahren sowie Entwicklung neuer Funktionen; (c) Einwilligung (LGPD Art. 7º, I; DSGVO Art. 6 Abs. 1 lit. a) für nicht notwendige Cookies, verhaltensbasierte Werbung, erweiterte Personalisierung und E-Mail-Marketing; (d) Erfüllung rechtlicher oder regulatorischer Pflichten (LGPD Art. 7º, II; DSGVO Art. 6 Abs. 1 lit. c), einschließlich steuerlicher Aufbewahrung und Auskünften an Behörden; (e) Geltendmachung von Rechten in gerichtlichen, behördlichen oder Schiedsverfahren (LGPD Art. 7º, VI). Wenn wir uns auf berechtigte Interessen stützen, führen wir eine Abwägung durch, und du kannst jederzeit widersprechen, wie nachfolgend beschrieben.

Wir verarbeiten folgende Datenkategorien: (a) Nutzungs- und Interaktionsdaten: Testantworten, berechnete Scores, Navigationsereignisse, Sitzungsdauer, Klickmuster, Traffic-Quellen, Sprache und Region; (b) Technische Identifikatoren: IP-Adresse, User Agent, Geräte-IDs, Browsertyp und -version, Betriebssystem, Bildschirmauflösung, Zeitzone, Cookie-IDs, Werbe-IDs (Google Ad ID, IDFA wo zutreffend), anonymer Browser-Fingerprint; (c) Kontodaten, sofern angelegt: E-Mail, Name, Passwort-Hash, Präferenzen, Test-Verlauf, Anmeldedaten; (d) Zahlungsdaten, sofern zutreffend: Transaktionsdaten, Status, Gateway, Identifikator, Betrag, Währung, letzte 4 Ziffern und Kartenmarke (vollständige Kreditkartendaten speichern wir nicht); (e) Kommunikationsdaten: an contact@bigduckai.com gesendete E-Mails, optionales Test-Feedback, Support-Tickets; (f) Abgeleitete und aggregierte Daten: aus deinen Nutzungsmustern abgeleitete Merkmale, berechnete Persönlichkeitsprofile, Marketing-Segmente; (g) Sicherheitsprotokolle: Authentifizierungsdaten, verdächtige Aktivitäten, Betrugsversuche. Testergebnisse stellen keine besonderen Datenkategorien, keine Gesundheitsdaten und keine biometrischen Daten im Sinne von DSGVO Art. 9 oder LGPD Art. 5º, II dar, da sie aus Selbstauskunft mittels Selbstreflexionsinstrumenten gewonnen werden und keine klinische Diagnose darstellen.

Wir nutzen Daten, um: (i) den Dienst zu betreiben, instand zu halten, bereitzustellen und zu personalisieren, einschließlich der Erstellung von Ergebnissen und Berichten; (ii) Betrug, Missbrauch, Spam, Angriffe und Verletzungen der Bedingungen zu verhindern; (iii) die Sicherheit der Plattform, der Nutzer und unserer Infrastruktur zu gewährleisten; (iv) aggregierte Analysen, A/B-Tests, Produktmetriken und die Entwicklung neuer Funktionen durchzuführen; (v) Inhalte, Empfehlungen und Nutzererlebnis zu personalisieren; (vi) kontextuelle Werbung und, mit Einwilligung, verhaltensbasierte Werbung anzuzeigen; (vii) Direktmarketing für unsere eigenen Produkte und Dienste auf Grundlage berechtigter Interessen durchzuführen, mit jederzeitiger kostenfreier Widerspruchsmöglichkeit; (viii) mit dir über Dienst-Updates, Änderungen der Bedingungen oder dieser Erklärung, Betriebshinweise und Antworten auf Anfragen zu kommunizieren; (ix) gesetzliche, steuerliche, buchhalterische und regulatorische Pflichten zu erfüllen und Aufzeichnungen für die gesetzlich vorgesehenen Zeiträume aufzubewahren; (x) interne Modelle zur Inhaltserzeugung, zum Scoring, zur Testqualität und zur Mustererkennung mit aggregierten oder anonymisierten Daten zu trainieren, zu validieren und zu verbessern; (xi) Rechte in gerichtlichen, behördlichen oder Schiedsverfahren zu verteidigen; (xii) interne Forschung und statistische Studien mit anonymisierten oder aggregierten Daten durchzuführen; (xiii) Rechte gerichtlich oder außergerichtlich zu begründen, auszuüben oder zu verteidigen.

Wir nutzen Erst- und Drittanbieter-Cookies, Web Beacons, Pixel, Local Storage, Session Storage und ähnliche Tracking-Technologien. Kategorien: (a) Strikt notwendig: für den Betrieb des Dienstes erforderlich, einschließlich Authentifizierung, Sicherheit, Betrugsprävention, Lastverteilung, Aufzeichnung von Einwilligungen, Bot-Mitigation, Barrierefreiheitseinstellungen und Kernfunktionen. Diese erfordern keine vorherige Einwilligung gemäß Art. 5(3) der ePrivacy-Richtlinie 2002/58/EG; (b) Analyse: messen aggregierte Nutzung und Performance, einschließlich Google Tag Manager, PostHog und Sentry. In Rechtsräumen, die vorherige Einwilligung verlangen, werden sie erst nach deiner Erlaubnis aktiviert; (c) Werbung: ermöglichen Anzeige, Personalisierung und Messung von Anzeigen, einschließlich Google AdSense, AdSense Offerwall, Google Ads, Meta Pixel sofern zutreffend, Ezoic und programmatische Partner. Werden nur mit ausdrücklicher Einwilligung aktiviert; (d) Personalisierung: speichern Präferenzen und Verlauf zur Anpassung von Inhalten, Empfehlungen und Erlebnis. Werden mit Einwilligung aktiviert. Du kannst Präferenzen jederzeit über das Einwilligungsbanner ändern, das beim ersten Besuch oder über einen Footer-Link erscheint. Einige Funktionen können eingeschränkt sein, wenn du nicht notwendige Cookies ablehnst. Wir arbeiten unter Google Consent Mode v2 und unterstützen das IAB Transparency and Consent Framework (TCF) v2.3, sofern Partnernetzwerke dies erfordern.

Mit deiner Einwilligung zeigen wir Anzeigen, die unter anderem von folgenden Partnern bereitgestellt werden: Google AdSense (einschließlich Auto Ads, In-Content und Offerwall), Google Ads, Ezoic sowie weitere programmatische Netzwerke und Header-Bidding-Partner, die hinzukommen können, gemäß unserer aktualisierten Auftragsverarbeiter-Liste. Diese Partner können Daten erheben (IP, User Agent, Werbe-IDs, Surfverhalten, Seitenkontext) zwecks Personalisierung, Frequency Capping, Messung, Attribution und Betrugsprävention. Mit deiner Einwilligung können wir anonymisierte Hashes (SHA-256) von E-Mail-Adressen mit Werbepartnern teilen, um Lookalike-Zielgruppen, Remarketing-Listen und Customer Match aufzubauen. Du kannst personalisierte Werbung von Google unter adssettings.google.com, von der NAI unter optout.networkadvertising.org, von der DAA unter optout.aboutads.info und von der EDAA unter youronlinechoices.eu deaktivieren. Kontextbezogene, nicht personalisierte Werbung kann auf Grundlage berechtigter Interessen auch ohne Einwilligung ausgespielt werden, sofern das lokale Recht für diese Modalität keine vorherige Einwilligung verlangt.

Wir geben personenbezogene Daten, soweit erforderlich, an folgende Kategorien Dritter weiter: (a) Anbieter von Infrastruktur, Hosting, CDN, Datenbank und Speicher (insbesondere Vercel, Coolify, MongoDB Atlas, Cloudflare, Amazon Web Services); (b) Anbieter von Transaktions-E-Mails und Messaging (insbesondere Resend, Nodemailer, SMTP-Provider); (c) Analyse- und Observability-Anbieter (insbesondere Google, PostHog, Sentry, Vercel Analytics); (d) Zahlungsdienstleister (insbesondere Stripe, MercadoPago und ähnliche); (e) Werbenetzwerke und Medienprozessoren (Google AdSense, Google Ads, Ezoic, Meta und weitere programmatische Partner); (f) Anbieter von KI- und Inhaltsverarbeitung (insbesondere OpenAI, Anthropic und gleichwertige Partner); (g) Anbieter für Betrugsprävention und Sicherheit; (h) Rechts-, Steuer- und Buchhaltungsberater unter Verschwiegenheitspflicht; (i) öffentliche, regulatorische oder gerichtliche Behörden, sofern gesetzlich, gerichtlich oder zur Verteidigung berechtigter Rechte erforderlich; (j) Erwerber, Rechtsnachfolger oder Investoren bei Fusion, Übernahme, Umstrukturierung, Asset-Verkauf, Insolvenz oder ähnlichen Prozessen. Internationale Übermittlungen in Länder außerhalb Brasiliens oder des Europäischen Wirtschaftsraums erfolgen auf Grundlage eines Angemessenheitsbeschlusses, von der Europäischen Kommission genehmigter Standardvertragsklauseln (SCC) oder anderer nach geltendem Recht vorgesehener Garantien. Die aktuelle Liste der Unterauftragsverarbeiter ist auf E-Mail-Anfrage verfügbar.

Wir speichern personenbezogene Daten so lange, wie es zur Erfüllung der genannten Zwecke und zur Einhaltung gesetzlicher Pflichten erforderlich ist. Typische Speicherfristen: (a) anonyme Nutzungs- und Interaktionsdaten: bis zu 38 Monate, gemäß Standardzeiträumen für Analytik; (b) Konto- und Profildaten: solange das Konto aktiv ist, sowie bis zu 5 Jahre nach Inaktivität oder Kündigung, zur Verteidigung möglicher Ansprüche und zur Erfüllung gesetzlicher Pflichten; (c) Transaktions-, Zahlungs- und Steuerdaten: 5 Jahre ab der Transaktion, gemäß brasilianischem Gesetz Nr. 9.430/96, Decreto Nr. 9.580/2018 (RIR) und entsprechenden EU-Vorschriften; (d) Einwilligungsnachweise: für die Gültigkeitsdauer der Einwilligung sowie 5 Jahre nach deren Widerruf, zur Beweissicherung in etwaigen Streitigkeiten; (e) E-Mails und Kommunikation: 3 Jahre ab dem letzten Kontakt; (f) Sicherheits- und Betrugsverhinderungsprotokolle: 12 Monate, verlängerbar bei laufender Untersuchung; (g) Daten, die einer behördlich angeordneten Sperre oder Aufbewahrung unterliegen: für den geforderten Zeitraum. Nach Ablauf dieser Fristen anonymisieren oder löschen wir die Daten. Eine unwiderrufliche Anonymisierung gilt im Sinne dieser Erklärung als der Löschung gleichwertig, wie von der LGPD und Erwägungsgrund 26 der DSGVO anerkannt.

Du hast nach geltendem Recht folgende Rechte über deine personenbezogenen Daten: (a) Bestätigung der Verarbeitung; (b) Auskunft; (c) Berichtigung unvollständiger, unrichtiger oder veralteter Daten; (d) Anonymisierung, Sperrung oder Löschung unnötiger oder übermäßiger oder rechtswidrig verarbeiteter Daten; (e) Datenübertragbarkeit, beschränkt auf von dir aktiv bereitgestellte Daten in einem strukturierten, gängigen Format; (f) Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen, vorbehaltlich unseres Rechts, die Verarbeitung fortzusetzen, wenn wir zwingende schutzwürdige Gründe nachweisen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich; (g) jederzeitiger Widerruf der Einwilligung ohne Rückwirkung, unbeschadet der Rechtmäßigkeit vorheriger Verarbeitung; (h) Information über öffentliche und private Stellen, an die wir Daten weitergeben; (i) Überprüfung automatisierter Entscheidungen, die deine Interessen betreffen, gemäß LGPD Art. 20; (j) Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde. Zur Ausübung dieser Rechte sende eine E-Mail an contact@bigduckai.com und identifiziere dich so, dass eine angemessene Verifizierung möglich ist. Wir antworten innerhalb der gesetzlichen Fristen: bis zu 15 Tage für die meisten Anträge nach LGPD und bis zu einem Monat nach DSGVO, verlängerbar um bis zu zwei Monate in komplexen Fällen mit begründeter Mitteilung. Offensichtlich unbegründete, exzessive oder wiederholte Anträge können abgelehnt oder mit einer angemessenen Gebühr für administrative Kosten belegt werden, im maximalen Umfang nach DSGVO Art. 12 Abs. 5 und entsprechender Gesetzgebung. Dem Recht auf Löschung kommen wir vorzugsweise durch unwiderrufliche Anonymisierung nach, sofern dies dem Antragsziel entspricht und technisch angemessen ist; aggregierte Protokolle, gesetzlich erforderliche Aufzeichnungen und für die Rechtsausübung notwendige Daten bleiben bestehen.

Der Dienst richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 ohne Zustimmung der Erziehungsberechtigten. Für Nutzer in Brasilien erfolgt die Verarbeitung von Daten von Kindern (unter 12) gemäß LGPD Art. 14 mit spezifischer und hervorgehobener Einwilligung mindestens eines Elternteils oder gesetzlichen Vertreters; die Verarbeitung von Daten Jugendlicher beachtet das Kindeswohl. Im Europäischen Wirtschaftsraum variiert das Mindestalter für eine Einwilligung ohne Zustimmung der Eltern zwischen 13 und 16 Jahren je nach Mitgliedstaat (DSGVO Art. 8); wir wenden vorsorglich 16 Jahre an. Solltest du einen unzulässigen Verarbeitungsvorgang von Minderjährigendaten erkennen, kontaktiere contact@bigduckai.com; wir treffen in angemessener Zeit Maßnahmen zur Anonymisierung oder Löschung.

Wir können diese Erklärung jederzeit nach unserem alleinigen Ermessen aktualisieren, um Änderungen am Dienst, an unseren Praktiken, Partnern oder gesetzlichen Anforderungen Rechnung zu tragen. Änderungen werden zum oben angegebenen Datum unter 'Zuletzt aktualisiert' wirksam. Wesentliche Änderungen werden im Dienst durch einen prominenten Hinweis oder per E-Mail an Kontoinhaber mindestens 30 Tage vor Inkrafttreten angekündigt, sofern das Gesetz keinen anderen Zeitraum vorschreibt. Die fortgesetzte Nutzung des Dienstes nach dem Wirksamkeitsdatum gilt als stillschweigende Annahme der Änderungen. Bist du nicht einverstanden, beende die Nutzung vor dem Wirksamkeitsdatum und übe gegebenenfalls deine Rechte gemäß dieser Erklärung aus. Frühere Versionen sind auf E-Mail-Anfrage erhältlich.

Bei Fragen zum Datenschutz, zur Ausübung von Rechten, bei Anfragen oder Beschwerden kontaktiere uns unter contact@bigduckai.com. Unbeschadet einer direkten Klärung kannst du eine Beschwerde bei der zuständigen Behörde einreichen: in Deutschland beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) oder bei der zuständigen Landesdatenschutzbehörde; in Österreich bei der Datenschutzbehörde (DSB); in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB); in Brasilien bei der Autoridade Nacional de Proteção de Dados (ANPD) unter gov.br/anpd; in Frankreich bei der Commission Nationale de l'Informatique et des Libertés (CNIL); in Italien beim Garante per la protezione dei dati personali; in Spanien bei der Agencia Española de Protección de Datos (AEPD); in Portugal bei der Comissão Nacional de Proteção de Dados (CNPD); in Japan bei der Personal Information Protection Commission (PPC); oder bei der Datenschutzbehörde deines Mitgliedstaats oder gewöhnlichen Aufenthaltslandes.