Datenschutzerklärung

Peritiq – Datenschutzerklärung

Gültig ab: 27. Dezember 2025

1. Einleitung und Geltungsbereich

Die vorliegende Datenschutzerklärung beschreibt, wie Escola Amarela Servicos LTDA (im Folgenden „Anbieter", „wir", „uns" oder „unser") personenbezogene Daten im Zusammenhang mit Ihrer Nutzung unseres Peritiq-Dienstes (im Folgenden der „Dienst") erhebt, verwendet und schützt.

Diese Erklärung gilt für alle Personen, die mit dem Dienst interagieren, einschließlich Website-Besucher, Testnutzer und autorisierte Nutzer eines zahlenden Kunden (im Folgenden „Kunde", „Sie", „Ihr").

Mit dem Zugriff auf oder der Nutzung des Dienstes bestätigen Sie die in dieser Datenschutzerklärung beschriebenen Praktiken und erklären sich damit einverstanden. Diese Erklärung ist durch Bezugnahme in unsere Allgemeinen Geschäftsbedingungen einbezogen.

2. Unsere Rolle: Verantwortlicher und Auftragsverarbeiter

Wir handeln in zwei unterschiedlichen Eigenschaften gemäß der EU-Datenschutz-Grundverordnung (DSGVO) und dem brasilianischen Lei Geral de Proteção de Dados (LGPD):

  • Verantwortlicher: Wir handeln als Verantwortlicher für die personenbezogenen Daten, die wir direkt von Ihnen erheben, um Ihr Konto einzurichten und zu verwalten sowie Zahlungen abzuwickeln. Dies umfasst Kontoinformationen, Zahlungsinformationen und Sicherheitsüberwachungsdaten. Wir bestimmen die Zwecke und Mittel der Verarbeitung dieser Daten.
  • Auftragsverarbeiter: Wir handeln als Auftragsverarbeiter für die Daten, die Sie uns zur Verarbeitung über den Dienst bereitstellen. Dies umfasst „Hochgeladene Inhalte" und die daraus abgeleiteten „Generierten Inhalte". Sie sind der Verantwortliche für diese Daten. Wir verarbeiten sie ausschließlich in Ihrem Auftrag und gemäß Ihren dokumentierten Anweisungen (wie in unseren Allgemeinen Geschäftsbedingungen und dieser Erklärung festgelegt).

3. Daten, die wir als Verantwortlicher verarbeiten

Wir erheben und kontrollieren die folgenden Daten:

3.1. Kontoinformationen

  • Ihr Name, Ihre E-Mail-Adresse, Ihr Firmenname und Ihre Berufsbezeichnung (falls angegeben)
  • Ihr gehashtes Passwort (wir speichern Passwörter niemals im Klartext)
  • Ihre bevorzugte Sprache und Kommunikationspräferenzen
  • Datum der Kontoerstellung, Zeitstempel der letzten Anmeldung und Kontostatus

3.2. Zahlungs- und Abrechnungsinformationen

  • Wenn Sie einen kostenpflichtigen Plan abonnieren, erhebt unser Zahlungsdienstleister Stripe Ihre Zahlungsdaten (z. B. Kreditkartennummer, Rechnungsadresse).
  • Wir erheben oder speichern Ihre vollständigen Kartendaten nicht.
  • Wir erhalten und speichern lediglich eine eindeutige Stripe-ID (Token), die letzten vier Ziffern Ihrer Karte, das Ablaufdatum der Karte und das Abrechnungsland für die Abonnementverwaltung.

3.3. Technische Protokolldaten

  • IP-Adresse (gehasht für den Datenschutz)
  • Browser-Typ, Betriebssystem und Gerätetyp
  • Referrer-URL und aufgerufene Seiten
  • Zeitstempel von Anfragen

3.4. Geräte- und Sitzungssicherheitsdaten

  • Geräte-Fingerprints (ein aus Browser- und Geräteeigenschaften abgeleiteter Hash) zur Erkennung unbefugter Zugriffsversuche
  • Sitzungs-Tokens und CSRF-Tokens für die Sicherheit
  • Diese Daten helfen uns, Kontoübernahmen zu verhindern, verdächtige Anmeldemuster zu erkennen und Ihr Konto zu schützen.

3.5. Sicherheitsüberwachungsdaten

  • Fehlgeschlagene Anmeldeversuche (einschließlich IP-Hash, User-Agent und Zeitstempel)
  • Ratenbegrenzungsereignisse (Verfolgung übermäßiger API-Anfragen zur Missbrauchsprävention)
  • Erfolgreiche Anmeldehistorie für Sicherheitsaudits
  • Diese Daten werden ausschließlich zur Betrugsprävention, Missbrauchserkennung und Kontosicherheit verwendet.

3.6. Nutzungsmetadaten

  • Guthabenverbrauchsverfolgung (auf welche Inhalte Sie zugreifen)
  • Inhaltsdownload-Verlauf
  • Funktionsnutzungsmuster zur Dienstverbesserung
  • Wir speichern oder protokollieren den Inhalt Ihrer Chat-Nachrichten nicht.

3.7. Bewertungs- und Fragebogendaten

  • Wenn Sie Bewertungen oder Fragebögen über den Dienst ausfüllen, speichern wir Ihre Antworten in Verbindung mit Ihrem Benutzerkonto.
  • Diese Daten werden verwendet, um personalisierte Analyseergebnisse für Sie zu erstellen.
  • Ihre Antworten können zu anonymisierten, aggregierten Benchmarks beitragen (keine individuelle Identifizierung möglich).
  • Metadaten der Bewertungssitzung (Startzeit, Abschlusszeit, Status) werden für die Dienstfunktionalität aufbewahrt.

3.8. Nutzergenerierte Inhalte

  • Wenn Sie Testimonials, Rezensionen oder Empfehlungen einreichen, speichern wir: Ihre Bewertung, Titel, Kommentartext, Anzeigename (Vorname + Nachnameninitiale), Berufsbezeichnung und Firmenname.
  • Ihr vollständiger Name und Ihre E-Mail-Adresse werden gespeichert, aber nicht öffentlich angezeigt.

3.9. Freiwilliges Feedback

  • Alle Vorschläge, Rückmeldungen oder Ideen, die Sie uns freiwillig bezüglich des Dienstes mitteilen.

4. Daten, die wir als Auftragsverarbeiter verarbeiten

In Ihrem Auftrag und als Ihr Auftragsverarbeiter verarbeiten wir die folgenden Daten, für die Sie der Verantwortliche sind:

  • Hochgeladene Inhalte: Alle Dokumente, Dateien oder Daten, die Sie oder Ihre Nutzer hochladen, übermitteln oder dem Dienst anderweitig zur Verarbeitung durch das RAG-System bereitstellen.
  • Generierte Inhalte: Die KI-generierten Antworten und Daten, die vom Dienst auf Basis Ihrer hochgeladenen Inhalte erstellt werden.

Ihre Pflichten als Verantwortlicher: Sie versichern und gewährleisten, dass Sie über alle erforderlichen Rechte, Einwilligungen und eine gültige Rechtsgrundlage verfügen, um die hochgeladenen Inhalte dem Dienst zur Verarbeitung wie in dieser Erklärung und unseren Allgemeinen Geschäftsbedingungen beschrieben bereitzustellen.

Unsere Pflichten als Auftragsverarbeiter: Bei der Verarbeitung Ihrer hochgeladenen Inhalte und generierten Inhalte werden wir: a) Diese Daten ausschließlich zur Bereitstellung, Sicherung und Überwachung des Dienstes gemäß Ihren Anweisungen verarbeiten; b) Ihre hochgeladenen Inhalte oder generierten Inhalte niemals zum Training allgemeiner, öffentlicher KI-Modelle oder für andere Zwecke als die direkte Diensterbringung an Sie verwenden; c) Angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit dieser Daten ergreifen (siehe Abschnitt 8); d) Ihnen angemessene Unterstützung (auf Ihre Kosten) zur Erfüllung Ihrer Pflichten bei der Beantwortung von Betroffenenrechtsanfragen Ihrer Nutzer leisten; und e) Sicherstellen, dass unser zur Datenverarbeitung befugtes Personal strengen Vertraulichkeitsverpflichtungen unterliegt.

5. Rechtsgrundlage für die Verarbeitung (DSGVO und LGPD)

Wir verarbeiten Ihre personenbezogenen Daten (als Verantwortlicher) nur, wenn eine gültige Rechtsgrundlage vorliegt:

Verarbeitungsaktivität Verarbeitete Daten Rechtsgrundlage (DSGVO / LGPD)
Bereitstellung des Dienstes (Kontoerstellung, Authentifizierung, Verwaltung) Kontoinformationen Art. 6 Abs. 1 lit. b DSGVO / Art. 7 V LGPD (Vertragserfüllung)
Zahlungsabwicklung und Abonnementverwaltung Zahlungsinformationen, Kontoinformationen Art. 6 Abs. 1 lit. b DSGVO / Art. 7 V LGPD (Vertragserfüllung)
Plattformsicherung, Betrugsprävention und Missbrauchserkennung Technische Protokolldaten, Geräte- und Sitzungssicherheitsdaten, Sicherheitsüberwachungsdaten Art. 6 Abs. 1 lit. f DSGVO / Art. 7 IX LGPD (Berechtigtes Interesse)
Verwaltung des Guthabensystems Nutzungsmetadaten Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Erstellung personalisierter Bewertungsergebnisse Bewertungs- und Fragebogendaten Art. 6 Abs. 1 lit. b DSGVO / Art. 7 V LGPD (Vertragserfüllung)
Erstellung anonymisierter Benchmarks Bewertungsdaten (aggregiert, anonymisiert) Art. 6 Abs. 1 lit. f DSGVO / Art. 7 IX LGPD (Berechtigtes Interesse)
Anzeige von Testimonials und Bewertungen Nutzergenerierte Inhalte Art. 6 Abs. 1 lit. a DSGVO / Art. 7 I LGPD (Einwilligung)
Beantwortung Ihrer Anfragen und Nutzung Ihres Feedbacks Kontoinformationen, Feedback Art. 6 Abs. 1 lit. f DSGVO / Art. 7 IX LGPD (Berechtigtes Interesse)
Erfüllung finanz-, steuer- und sonstiger rechtlicher Verpflichtungen Zahlungsinformationen, Kontoinformationen Art. 6 Abs. 1 lit. c DSGVO / Art. 7 II LGPD (Rechtliche Verpflichtung)
Prävention von Testmissbrauch und Durchsetzung der Einmal-Testrichtlinie E-Mail-Hash (Betrugsprävention) Art. 6 Abs. 1 lit. f DSGVO / Art. 7 IX LGPD (Berechtigtes Interesse an Betrugsprävention)

6. Datenweitergabe und Unterauftragsverarbeiter

Wir verkaufen, vermieten oder verleasen Ihre personenbezogenen Daten nicht. Wir setzen die folgenden Unterauftragsverarbeiter zur Erbringung des Dienstes ein und haben mit jedem von ihnen entsprechende Auftragsverarbeitungsverträge abgeschlossen:

  • Hostinger (EU): Stellt Anwendungshosting und Nutzerdatenbankverwaltung (für Kontoinformationen) in europäischen Rechenzentren bereit.
  • Cloudflare (EU/Global): Stellt RAG-Verarbeitung, Vektorisierung und Speicherung für Ihre hochgeladenen Inhalte und generierten Inhalte hauptsächlich in europäischen Rechenzentren bereit. Cloudflare Workers können Nutzungsmetadaten und Sitzungs-Tokens in ihrem globalen Netzwerk für latenzarme Antworten verarbeiten.
  • Stripe (USA): Unser Zahlungsdienstleister. Ihre Zahlungsinformationen werden direkt an Stripe gesendet. Stripe ist gemäß dem EU-U.S. Data Privacy Framework zertifiziert.
  • Escola Amarela (Brasilien): Als Muttergesellschaft kann unser Verwaltungs-, Abrechnungs- und Supportpersonal in Brasilien auf Kontoinformationen zugreifen.

7. Internationale Datenübermittlungen

Ihre hochgeladenen Inhalte und generierten Inhalte werden ausschließlich innerhalb der Europäischen Union (EU) durch unsere Unterauftragsverarbeiter verarbeitet und gespeichert.

Ihre Kontoinformationen und Zahlungsinformationen können wie folgt international übermittelt werden:

  • Nach Brasilien: Auf Ihre Kontoinformationen kann von Brasilien aus durch unsere Muttergesellschaft zu Verwaltungs- und Supportzwecken zugegriffen werden. Diese Übermittlung wird durch die Anwendung der Standardvertragsklauseln (SCCs) der Europäischen Kommission abgesichert.
  • In die USA: Ihre Zahlungsinformationen werden von Stripe, einem US-amerikanischen Unternehmen, verarbeitet. Diese Übermittlung wird durch Standardvertragsklauseln (SCCs) und das EU-U.S. Data Privacy Framework abgesichert, die ein angemessenes Datenschutzniveau gewährleisten.

8. Datensicherheit

Wir implementieren und pflegen angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz aller personenbezogenen Daten vor unbefugtem Zugriff, Offenlegung, Änderung, Zerstörung oder Verlust. Diese Maßnahmen umfassen:

  • Verschlüsselung: Passwörter werden sicher mit bcrypt gehasht. Alle Daten werden bei der Übertragung (TLS 1.2 oder höher) und bei der Speicherung (AES-256) verschlüsselt. Sensible Felder wie E-Mail-Adressen werden auf Datenbankebene verschlüsselt.
  • Pseudonymisierung: E-Mail-Adressen werden für Suchzwecke gehasht, wodurch die Exposition im Falle eines Datenbankverstoßes reduziert wird.
  • Mandantentrennung: Ihre hochgeladenen Inhalte und generierten Inhalte werden logisch und sicher in einem eigenen dedizierten Namensraum getrennt.
  • Zugriffskontrollen: Der Zugang zu personenbezogenen Daten ist streng auf autorisiertes Personal nach dem Need-to-know-Prinzip beschränkt, und der administrative Zugang erfordert Multi-Faktor-Authentifizierung.
  • Sicherheitsüberwachung: Wir setzen automatisierte Systeme zur Erkennung und Reaktion auf verdächtige Aktivitäten ein, einschließlich Brute-Force-Anmeldeversuchen und ungewöhnlichen Zugriffsmustern.
  • CSRF-Schutz: Alle zustandsändernden Operationen erfordern gültige CSRF-Tokens zur Verhinderung von Cross-Site-Request-Forgery-Angriffen.
  • Ratenbegrenzung: API-Endpunkte unterliegen Ratenbegrenzungen zur Verhinderung von Missbrauch und Denial-of-Service-Angriffen.

9. Datenspeicherung

Wir speichern personenbezogene Daten nicht länger, als es für die Zwecke, für die sie erhoben wurden, erforderlich ist.

Datenkategorie Aufbewahrungsfrist Grundlage
Kontoinformationen Dauer des Abonnements + 7 Jahre Rechtliche Verpflichtung (Steuer-/Finanzunterlagen)
Zahlungs- und Abrechnungsdaten 10 Jahre ab Transaktionsdatum Rechtliche Verpflichtung (Steuer-/Finanzunterlagen)
Hochgeladene Inhalte und generierte Inhalte Dauer des aktiven Abonnements + 30 Tage Vertragserfüllung
Bewertungs- und Fragebogendaten Dauer des aktiven Abonnements + 30 Tage Vertragserfüllung
Technische Protokolldaten 90 Tage (rollierend) Berechtigtes Interesse (Sicherheit/Debugging)
Sicherheitsüberwachungsdaten (Anmeldeversuche, Ratenbegrenzungen) 30 Tage Berechtigtes Interesse (Sicherheit)
E-Mail-Hash (Betrugsprävention) Unbefristet Berechtigtes Interesse (Betrugsprävention)
Nutzergenerierte Inhalte (Testimonials) Bis zum Widerruf der Einwilligung oder zur Kontolöschung Einwilligung
Chat-Nachrichten WERDEN NICHT GESPEICHERT Entfällt

Backup-Aufbewahrung: In routinemäßigen Infrastruktur-Backups enthaltene Daten werden gemäß unseren üblichen Backup-Aufbewahrungszyklen gelöscht (in der Regel nicht länger als 180 Tage) und bleiben bis zur Überschreibung verschlüsselt und unzugänglich.

Betrugspräventionsdaten: Zur Durchsetzung unserer Einmal-Testrichtlinie und zur Missbrauchsprävention bewahren wir einen sicheren, einseitig kryptografischen Hash Ihrer E-Mail-Adresse auch nach der Kontolöschung auf. Wir verarbeiten diese Daten ausschließlich zur Betrugsprävention, wie nach DSGVO (Art. 6 Abs. 1 lit. f; Art. 17 Abs. 3 lit. e) und LGPD (Art. 7 IX; Art. 16 II) zulässig.

10. Ihre Betroffenenrechte (DSGVO und LGPD)

Ihre Rechte hängen von unserer Rolle als Verantwortlicher oder Auftragsverarbeiter ab:

10.1. Daten, für die wir Verantwortlicher sind (Ihre Kontodaten)

Sie haben folgende Rechte bezüglich der personenbezogenen Daten, für die wir verantwortlich sind:

  • Auskunftsrecht: Fordern Sie eine Kopie Ihrer personenbezogenen Daten an. Sie können Ihre Daten jederzeit über Ihre Kontoeinstellungen exportieren oder uns kontaktieren.
  • Recht auf Berichtigung: Fordern Sie die Korrektur unrichtiger Daten an. Sie können die meisten Informationen direkt in Ihren Kontoeinstellungen aktualisieren.
  • Recht auf Löschung („Recht auf Vergessenwerden"): Fordern Sie die Löschung Ihrer Daten an, vorbehaltlich unserer gesetzlichen Aufbewahrungspflichten. Beachten Sie, dass wir E-Mail-Hashes zur Betrugsprävention aufbewahren.
  • Recht auf Einschränkung der Verarbeitung: Fordern Sie, dass wir die Verwendung Ihrer Daten unter bestimmten Umständen einschränken.
  • Recht auf Datenübertragbarkeit: Fordern Sie Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) an.
  • Widerspruchsrecht: Widersprechen Sie unserer Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen. Wir werden die Verarbeitung einstellen, es sei denn, wir können zwingende berechtigte Gründe nachweisen.
  • Recht auf Widerruf der Einwilligung: Soweit die Verarbeitung auf einer Einwilligung beruht (z. B. Testimonials, Newsletter), können Sie die Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der vorherigen Verarbeitung berührt wird.
  • Recht auf Beschwerde: Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen (z. B. bei Ihrer örtlichen EU-Datenschutzbehörde oder der brasilianischen ANPD – Autoridade Nacional de Proteção de Dados).

Um diese Rechte auszuüben, kontaktieren Sie bitte unser Datenschutzteam unter privacy@peritiq.com. Wir werden innerhalb von 30 Tagen (oder wie nach geltendem Recht erforderlich) antworten.

10.2. Daten, für die Sie Verantwortlicher sind (Ihre hochgeladenen Inhalte)

Als Verantwortlicher für Ihre hochgeladenen Inhalte sind Sie für die Bearbeitung von Betroffenenrechtsanfragen Ihrer eigenen Nutzer (z. B. Ihrer Mitarbeiter) verantwortlich. Wenn wir eine solche Anfrage direkt erhalten, leiten wir sie an den Administrator Ihres Kontos zur Bearbeitung weiter. Wir leisten die gesetzlich erforderliche angemessene Unterstützung.

11. Cookies und Tracking-Technologien

Wir verwenden essenzielle Cookies, die für die ordnungsgemäße Funktion des Dienstes erforderlich sind:

  • Sitzungs-Cookies: Werden verwendet, um Ihren angemeldeten Status und Sicherheits-Tokens aufrechtzuerhalten. Diese sind unbedingt erforderlich und können nicht deaktiviert werden.
  • CSRF-Tokens: Werden verwendet, um Cross-Site-Request-Forgery-Angriffe zu verhindern.
  • Sprachpräferenz: Wird verwendet, um Ihre gewählte Sprache zu speichern.

Wir verwenden keine Tracking-Cookies von Drittanbietern, keine Werbe-Cookies und keine Analyse-Cookies, die Sie über Websites hinweg verfolgen. Wir nutzen den Bot-Schutz von Cloudflare (Turnstile), der zu Sicherheitszwecken Cookies setzen kann.

12. Datenschutz bei Minderjährigen

Der Dienst ist nicht für die Nutzung durch Personen unter 16 Jahren (oder dem in Ihrer Rechtsordnung geltenden Alter für die digitale Einwilligung) bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn uns bekannt wird, dass wir personenbezogene Daten eines Kindes ohne entsprechende Einwilligung erhoben haben, werden wir Schritte zur Löschung dieser Informationen unternehmen.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Praktiken oder des geltenden Rechts widerzuspiegeln. Wir werden Sie über wesentliche Änderungen informieren durch:

  • Veröffentlichung eines Hinweises im Dienst
  • Versand einer E-Mail an die mit Ihrem Konto verknüpfte Adresse
  • Aktualisierung des „Gültig ab"-Datums am Anfang dieser Erklärung

Wir empfehlen Ihnen, diese Erklärung regelmäßig zu überprüfen. Ihre fortgesetzte Nutzung des Dienstes nach dem Inkrafttreten von Änderungen gilt als Zustimmung zur aktualisierten Erklärung.

14. Kontakt

Bei Fragen zu dieser Datenschutzerklärung, Ihren personenbezogenen Daten oder zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte:

  • Datenschutzteam: privacy@peritiq.com
  • Allgemeine Anfragen: hi@peritiq.com
  • Postanschrift: Escola Amarela Serviços Ltda, Rua da Paz 1313, São Paulo - SP, Brasilien