Informationen zur Verarbeitung personenbezogener Daten

1. Verantwortlicher der Verarbeitung

Verantwortlicher der Verarbeitung ist CodeDesign S.r.l. mit Sitz in Via Nino Pesce 38, 18018 Taggia (IM), P. IVA IT01739830089 (nachfolgend "CodeDesign" oder "Anbieter").

Für jede Anfrage zur Verarbeitung personenbezogener Daten und zur Ausübung der in der DSGVO vorgesehenen Rechte kann eine Nachricht gesendet werden an: info@codedesign.it.

2. Rolle von CodeDesign und Anwendungsbereich der Informationen

Bei der Bereitstellung der Plattform Evolus handelt CodeDesign in einer Doppelrolle:

• a) als Verantwortlicher der Verarbeitung für die Daten betreffend die Erstellung und Verwaltung der Konten, die Authentifizierung, die Nutzung der Plattform, die Sicherheit, den Support und die Erfüllung gesetzlicher Pflichten;
• b) als Auftragsverarbeiter im Sinne von Art. 28 DSGVO für die personenbezogenen Daten, die im Auftrag des Kunden (der Organisation, die das Abonnement abgeschlossen hat) über die Employee AI und die Funktionen der Plattform verarbeitet werden. Diese Verarbeitung wird durch eine zwischen CodeDesign und dem Kunden unterzeichnete Auftragsverarbeitungsvereinbarung über die Verarbeitung personenbezogener Daten (DPA) geregelt, die den Kunden als Verantwortlichen dieser Daten ausweist.

Für die im Auftrag des Kunden verarbeiteten Daten obliegen die Information der betroffenen Personen und die Einholung der etwaigen Rechtsgrundlagen dem Kunden. Die vorliegenden Informationen beschreiben hauptsächlich die Verarbeitungen, bei denen CodeDesign als Verantwortlicher handelt, und schaffen Transparenz über die gesamte Verarbeitungsarchitektur der Plattform.

3. Kategorien der verarbeiteten personenbezogenen Daten

Je nach aktivierten Funktionen können die folgenden Datenkategorien verarbeitet werden:

Konto- und Profildaten

Der Zugang zum Portal erfolgt über das Identitätssystem Keycloak (identity.evolus.ai). Verarbeitet werden: Vorname, Nachname, Benutzername, E-Mail-Adresse, Rolle/Zugehörigkeitsgruppen, bevorzugte Sprache und gegebenenfalls Profilbild (Avatar).

Nutzungs- und technische Daten

Daten zur Nutzung des Dienstes, technische Protokolle, Sitzungskennungen, Diagnose- und Betriebstelemetriedaten, Audit-Trail-Aufzeichnungen der auf der Plattform durchgeführten Tätigkeiten.

In die Plattform eingebrachte Inhalte

• Inhalte von Konversationen und Nachrichten, die mit der Employee AI über Web-Chat, Instant Messaging und E-Mail ausgetauscht werden;
• Aufzeichnungen und Transkriptionen von Sprachkonversationen, sofern die Sprachfunktion aktiviert ist;
• Dokumente, Dateien und Inhalte, die zur Informationsgewinnung (RAG) in die Knowledge Base hochgeladen werden;
• Stamm- und Kontaktdaten im Adressbuch (verifizierte Kontakte) und in den von der Employee AI verwalteten Inhalten;
• vom Kunden definierte Konfigurationen, Anweisungen und Automatisierungen.

Die Inhalte können personenbezogene Daten Dritter enthalten (Mitarbeiter, Mitwirkende, Kunden und Kontakte des Kunden). Der Kunde ist für die Rechtmäßigkeit ihrer Eingabe und für die Erteilung der entsprechenden Informationen verantwortlich.

4. Cookies und Technologien zur lokalen Speicherung

Das Portal portal.evolus.ai verwendet weder Profiling-Cookies noch Werbe-Tracking-Instrumente. Für seinen Betrieb verwendet es ausschließlich Technologien zur lokalen Speicherung (localStorage) im Browser, die für die Erbringung des Dienstes unerlässlich sind:

• Authentifizierungs- und Refresh-Token, die zur Aufrechterhaltung der Anmeldesitzung erforderlich sind;
• Oberflächeneinstellungen wie das Design (hell/dunkel) und die ausgewählte Sprache;
• etwaige technische Verwaltungsparameter (zum Beispiel für die Supportfunktionen).

Diese Informationen bleiben im Browser des Nutzers gespeichert und werden nicht zu Profiling-Zwecken verwendet. Das Portal bindet weder Google Analytics noch andere Tracker von Drittanbietern ein. Zum Zweck der technischen Überwachung und der Sicherheit der Infrastruktur kann der Anbieter serverseitig aggregierte Diagnosedaten erheben.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

Die Daten werden für die folgenden Zwecke und auf der Grundlage der folgenden Rechtsgrundlagen verarbeitet:

• a) Bereitstellung der Plattform Evolus und der Funktionen von Employee AI, Verwaltung des Kontos und der Authentifizierung — Rechtsgrundlage: Erfüllung des Vertrags (Art. 6.1.b DSGVO);
• b) Hilfe und technischer Support für den Nutzer — Rechtsgrundlage: Erfüllung des Vertrags und berechtigtes Interesse (Art. 6.1.b und 6.1.f DSGVO);
• c) Sicherheit der Plattform, Missbrauchsprävention und Audit Trail (Safety Engine) — Rechtsgrundlage: berechtigtes Interesse des Anbieters an der Gewährleistung der Integrität und Sicherheit des Dienstes (Art. 6.1.f DSGVO);
• d) Erfüllung gesetzlicher, buchhalterischer und steuerlicher Pflichten — Rechtsgrundlage: rechtliche Verpflichtung (Art. 6.1.c DSGVO);
• e) Feststellung, Ausübung oder Verteidigung eines Rechts vor Gericht — Rechtsgrundlage: berechtigtes Interesse (Art. 6.1.f DSGVO).

Die Daten und Inhalte des Kunden werden von CodeDesign weder für eigene Zwecke noch zum Trainieren oder Verbessern von Modellen künstlicher Intelligenz Dritter verwendet, sofern keine ausdrückliche und gesonderte schriftliche Einwilligung des Kunden vorliegt.

6. Modalitäten der Verarbeitung und Sicherheitsmaßnahmen

Die Verarbeitung erfolgt mit automatisierten Mitteln und, soweit erforderlich, mit autorisierten manuellen Eingriffen. CodeDesign trifft angemessene technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO, darunter:

• Zugangskontrolle: auf autorisiertes Personal beschränkter Zugang zu den Daten, mit Mechanismen zur starken Authentifizierung und Rollenprofilierung;
• Verschlüsselung: Daten während der Übertragung geschützt mit TLS 1.3; ruhende Daten verschlüsselt mit AES-256;
• Infrastruktur: Hosting in zertifizierten Rechenzentren innerhalb der Europäischen Union;
• Audit Trail: Aufzeichnung und Überwachung der Datenzugriffe;
• Safety Engine: System zum Schutz vor Prompt Injection, Datenabfluss (Data Leakage) und missbräuchlicher Nutzung der KI-Werkzeuge;
• Business Continuity: tägliche Backups, Disaster Recovery mit RTO < 24 Stunden und RPO < 1 Stunde;
• regelmäßige Penetrationstests, durchgeführt von unabhängigen Dritten;
• Schulung des Personals in den Bereichen Datenschutz und Informationssicherheit.

7. Künstliche Intelligenz und Modellanbieter

Zur Bereitstellung der Konversations-, Synthese- und Automatisierungsfunktionen übermittelt die Plattform die erforderlichen Inhalte an Anbieter von Modellen künstlicher Intelligenz und von Sprachdiensten (in Abschnitt 8 angegebene Unterauftragsverarbeiter).

Die Employee AI ist ein Hilfs- und Automatisierungswerkzeug: Sie kann ungenaue oder unvollständige Ausgaben erzeugen ("Halluzinationen"). Die Ausgaben ersetzen nicht das menschliche Urteilsvermögen und müssen überprüft werden, bevor man sich bei wichtigen Entscheidungen auf sie verlässt. Die an die KI-Anbieter übermittelten Inhalte werden nicht zum Training ihrer Modelle verwendet, sofern keine ausdrückliche und gesonderte schriftliche Einwilligung des Kunden vorliegt.

8. Empfänger und Unterauftragsverarbeiter

Die Daten können an externe Dienstleister weitergegeben werden, die als Auftragsverarbeiter oder Unterauftragsverarbeiter benannt sind und unter Rechtsträgern ausgewählt werden, die angemessene Garantien im Bereich des Datenschutzes bieten und vertraglich an Pflichten gebunden sind, die denen von CodeDesign gleichwertig sind. Die derzeit eingesetzten Unterauftragsverarbeiter gehören den folgenden Kategorien an:

• Cloud-Infrastruktur, Hosting und Speicherung: Hetzner Online GmbH und Microsoft (Microsoft Azure), in Rechenzentren innerhalb der Europäischen Union;
• KI-Dienste / Sprachmodelle (LLM): Anthropic PBC, OpenAI Global LLC, OpenRouter Inc. und Google LLC;
• Dienste zur Sprachtranskription (Speech-to-Text): Deepgram Inc.;
• Dienste zur Sprachsynthese und Sprachagenten: ElevenLabs Ltd;
• vom Kunden aktivierte und autorisierte Produktivitätsintegrationen: Microsoft 365 / Microsoft Graph (E-Mail, Kalender, Teams, Dateien), Google Workspace und Meta (WhatsApp Business), beschränkt auf die für die aktivierte Funktion unbedingt erforderlichen Daten.

Das vollständige und aktualisierte Verzeichnis der Unterauftragsverarbeiter ist auf Anfrage erhältlich. CodeDesign teilt etwaige Änderungen der Unterauftragsverarbeiter mit angemessener Vorankündigung mit. Die Daten werden weder verbreitet noch an Dritte verkauft.

9. Übermittlung von Daten in Drittländer

CodeDesign verpflichtet sich, die personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums (EWR) zu halten. Sollte die Erbringung des Dienstes eine Übermittlung in Drittländer erfordern — zum Beispiel an außerhalb der EU ansässige Anbieter von KI-Diensten — erfolgt eine solche Übermittlung ausschließlich:

• a) in Länder, für die die Europäische Kommission einen Angemessenheitsbeschluss erlassen hat (Art. 45 DSGVO); oder
• b) bei Vorliegen geeigneter Garantien im Sinne von Art. 46 DSGVO, wie den Standardvertragsklauseln (Standard Contractual Clauses); oder
• c) auf Grundlage einer der in Art. 49 DSGVO vorgesehenen Ausnahmen.

10. Aufbewahrungsdauer

Die personenbezogenen Daten werden für die zur Erreichung der Zwecke, für die sie verarbeitet werden, unbedingt erforderliche Zeit aufbewahrt und in jedem Fall:

• werden die Kontodaten und die Inhalte des Kunden für die Dauer des Vertragsverhältnisses aufbewahrt; bei Beendigung werden sie nach Wahl des Kunden innerhalb von 60 Tagen sicher zurückgegeben oder gelöscht, vorbehaltlich gesetzlicher Aufbewahrungspflichten;
• werden die temporären Audit-Dateien für einen begrenzten Zeitraum (beispielhaft 24 Stunden) aufbewahrt und anschließend automatisch gelöscht;
• können die Konversationsdaten vom Nutzer direkt über die Plattform gelöscht werden; für externe Kanäle gelten die vom Kanal vorgesehenen technischen Zeitfenster (beispielhaft 24 Stunden für das WhatsApp-Konversationsfenster);
• werden die zur Erfüllung buchhalterischer und steuerlicher Pflichten verarbeiteten Daten für die in den anwendbaren Vorschriften vorgesehenen Fristen aufbewahrt.

11. Rechte der betroffenen Person

Die betroffenen Personen können jederzeit die in Art. 15-22 DSGVO vorgesehenen Rechte ausüben, insbesondere:

• Auskunft über die eigenen personenbezogenen Daten;
• Berichtigung unrichtiger Daten und Vervollständigung unvollständiger Daten;
• Löschung der Daten (Recht auf Vergessenwerden);
• Einschränkung der Verarbeitung;
• Datenübertragbarkeit;
• Widerspruch gegen die auf dem berechtigten Interesse beruhende Verarbeitung;
• Widerruf der Einwilligung, sofern die Verarbeitung auf der Einwilligung beruht, unbeschadet der Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.

Die Anfragen können an info@codedesign.it gerichtet werden; CodeDesign antwortet innerhalb eines Monats nach der Anfrage. Handelt es sich bei der betroffenen Person um einen Mitarbeiter, Mitwirkenden oder Kontakt des Kunden und werden die Daten von CodeDesign im Auftrag des Kunden verarbeitet, so wird die Anfrage ohne ungerechtfertigte Verzögerung an den Kunden als Verantwortlichen weitergeleitet.

Die betroffene Person hat ferner das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen (in Italien beim Garante per la Protezione dei Dati Personali, der italienischen Datenschutzbehörde — www.garanteprivacy.it).

12. Änderungen der Informationen

CodeDesign behält sich das Recht vor, die vorliegenden Informationen zu aktualisieren, um normative, technische oder organisatorische Änderungen widerzuspiegeln. Die aktualisierte Fassung wird auf dieser Seite unter Angabe des Datums der letzten Aktualisierung veröffentlicht. Es wird empfohlen, die Seite regelmäßig zu konsultieren.