{"id":"legal-dede-privacy-policy-2026041","type":"PRIVACY_POLICY","version":"2026.05.1","locale":"de-DE","title":"Aria-Datenschutzerklärung","content":"# Aria-Datenschutzerklärung\n\n**Version 2026.05.1 — de-DE**\n\n> **Entwurf zur juristischen Prüfung.** Dieses Dokument ist eine operative Vorlage für Aria und muss vor Veröffentlichung gegenüber Öffentlichkeit, Kunden, Arbeitnehmern oder Auftragnehmern von qualifizierten Rechtsanwälten geprüft werden.\n\n## 1. Wer wir sind, Rollen und materieller Anwendungsbereich\n\nDiese Erklärung beschreibt, wie Aria Tecnologia Ltda., deren verbundene Unternehmen, Rechtsnachfolger oder im Vertrag genannte Betriebseinheiten personenbezogene Daten im Rahmen von Website, Admin-Konsole, APIs, mobile App, Feldmodule, Integrationen, transaktionale Kommunikation und zugehörige Dienste der Aria-Plattform. verarbeitet.\n\nIn **B2B**-Beziehungen ist der **Kunde (Tenant)** in der Regel **Verantwortlicher** für Daten zu seinen Nutzern, Arbeitnehmern, Außendienst-Auftragnehmern und Endkunden, die über die Plattform erfasst oder überwacht werden. **Aria** handelt überwiegend als **Auftragsverarbeiter** und führt Verarbeitungen durch, die zur Erbringung des vertraglich geschuldeten Dienstes erforderlich sind, gestützt auf Anweisungen, die mit dem Recht und den Konsoleneinstellungen vereinbar sind.\n\nAria kann **eigenständige Verantwortliche** sein, wenn sie Daten für **eigene Zwecke** verarbeitet, etwa Abrechnung, Betrugsprävention, Informationssicherheit, gesetzliche Compliance, Geschäftsbeziehung, Produktverbesserung in aggregierter oder anonymisierter Form soweit möglich sowie Beantwortung behördlicher Anfragen.\n\n## 2. Kategorien personenbezogener Daten\n\nJe nach gebuchten Modulen und Nutzung der Plattform können wir unter anderem folgende Kategorien verarbeiten:\n- **Identifikation und Registrierung:** Name, E-Mail, Telefon, Dokumente, Unternehmen, Rolle, Konto- und Tenant-Kennungen.\n- **Steuer-Identifikation (Dienstleister — App):** CPF, sofern bei der Registrierung über die mobile App erforderlich, normalisiert gespeichert und **plattformweit eindeutig**, um doppelte Dienstleisterkonten zu vermeiden, außer bei speziellen gesetzlichen oder vertraglichen Regelungen.\n- **Ausweisdokumente (optional im Ablauf):** Dokumentbilder, OCR, Metadaten und extrahierte Daten, wenn der Dienstleister sie hochlädt; das Unterlassen des Uploads entbindet nicht von produktseitig geforderten Kennungen (z. B. gültige CPF).\n- **Authentifizierung und Sicherheit:** Zugangsdaten, Sitzungs-Tokens, Login-Protokolle, IP, Gerätetyp und Sicherheitsereignisse.\n- **Außendienst und Vermögenswerte:** Arbeitsaufträge, Checklisten, Signaturen, Fotos, kurze Videos, Audio- oder Sprachnotizen, Strichcode-Reads, Geolokalisierung (einschließlich Hintergrund, falls aktiviert), Geofences, Zeiterfassung und Stempelereignisse.\n- **Biometrie (Gesicht):** Vorlagen oder Messwerte **nur**, wenn der Kunde die Funktion aktiviert und Rechtsgrundlage sowie Transparenz gegenüber Betroffenen bestehen.\n- **Abonnement-Abrechnungsdaten:** für Rechnungen, Steuerbelege und Planverwaltung erforderliche Angaben (über Zahlungsdienstleister, falls zutreffend).\n- **Kommunikation:** transaktionale, In-App-, E-Mail- und Push-Benachrichtigungen.\n- **Telemetrie und Diagnose:** technische Protokolle, Ausfälle, Leistung und Nutzungsmetriken für Zuverlässigkeit und Support.\n- **KI und Berichte:** Eingaben an vom Kunden konfigurierte KI-Funktionen und im Produkt angezeigte Ergebnisse, innerhalb der Produktgrenzen.\n\n## 2.1. Gesichtsdaten und Gesichtserkennung (App)\n\nWenn der Kunde Biometrie, Stempeluhr mit Selfie, Gesichts-Checklisten oder Dienstleister-KYC aktiviert, kann die App **Gesichtsdaten** wie folgt verarbeiten:\n- **Erhebung:** Fotos mit Gesicht (Referenz-Selfies, Stempel- und Aufgabenfotos); **biometrische Vorlagen** (Embeddings) durch **CompreFace (FaceMatch)**; Verifizierungsmetadaten (Ähnlichkeit, Zeitstempel, Motor, Audit).\n- **Nicht erhoben:** **Face ID** / **Touch ID**-Vorlagen des Geräts. Echtzeit-Gesichtserkennung (ML Kit) nur zur Ausrichtung, **ohne** lokale Vorlagenspeicherung.\n- **Zwecke:** Identität bei Zeiterfassung; Anwesenheit bei Aufträgen/Checklisten; KYC; Betrugsprävention und Audit. **Keine** Werbung oder Datenverkauf.\n- **Weitergabe:** Auftraggeber (Tenant); Lansolver-Server; **CompreFace** als Auftragsverarbeiter; optional **OpenAI Vision** nur für Selfie-Qualität bei Registrierung.\n- **Aufbewahrung:** Referenzen solange das Konto aktiv; Löschung/Anonymisierung nach Schließung. **dpo@lansolver.com** oder Kontolöschung in der App.\n- **Rechtsgrundlage und Hinweis:** besondere Daten (LGPD Art. 11); Einwilligung und/oder Vertrag/berechtigtes Interesse. In-App **BIOMETRIC_NOTICE** wenn erforderlich.\n\n## 3. Besondere Daten und arbeitsmedizinische / Arbeitssicherheitsaspekte\n\nBestimmte Formulare oder Abläufe können **besonders schützenswerte Daten** (einschließlich Gesundheits- oder Arbeitssicherheitsdaten in einigen Szenarien) **auf Entscheidung und Konfiguration des Kunden** erfassen. In diesen Fällen informiert der Kunde Betroffene, wendet anwendbare Rechtsgrundlagen (einschließlich Tatbestände des Art. 11 LGPD) an und setzt Minimierung und Aufbewahrungsfristen um. Aria beschränkt internen Zugriff auf das strikt Erforderliche und setzt logische Mandantentrennung durch.\n\n## 4. Zwecke der Verarbeitung\n\nWir verarbeiten Daten zur Bereitstellung und zum Betrieb der Plattform; zur Authentifizierung; zur Registrierung und Validierung von Dienstleistern in der App (einschließlich CPF-Eindeutigkeit und Onboarding-Abläufen); zur Offline-Synchronisierung; zum Nachweis der Leistungserbringung; zur Betrugs- und Missbrauchsprävention; zu transaktionalen Mitteilungen; zum Support; zur Vertragserfüllung; zur Rechnungsstellung; zur Erfüllung behördlicher oder regulatorischer Anforderungen; zu Prüfungen und Rechtsverteidigung; zur Verbesserung von Leistung, Stabilität und Sicherheit; sowie gegebenenfalls zur Aktivierung von Standort, Biometrie, KI und vom Kunden autorisierten Integrationen.\n\n## 5. Rechtsgrundlagen (LGPD und Entsprechungen)\n\nJe nach Rolle (Verantwortlicher/Auftragsverarbeiter) und Kontext können Tatbestände des Art. 7 LGPD gelten, einschließlich Vertragserfüllung; gesetzliche Verpflichtung; regelmäßige Rechtsausübung; Lebensschutz; Gesundheitsschutz; berechtigtes Interesse (mit Interessenabwägung); Kreditwürdigkeit; und Einwilligung, wenn erforderlich. Für **besondere Datenkategorien** gilt Art. 11 LGPD. Für Betroffene in der Europäischen Union können GDPR-Grundlagen ergänzend gelten, unbeschadet des auf den Vertrag anwendbaren brasilianischen Rechts.\n\n## 6. Cookies und ähnliche Technologien\n\nWebsites und Web-Apps können Cookies, Local Storage und ähnliche Technologien gemäß der separaten **Cookie-Richtlinie** einsetzen. Nicht unbedingt erforderliche Cookies folgen den Einwilligungseinstellungen der öffentlichen Oberfläche oder des Onboardings, soweit implementiert.\n\n## 7. Empfänger, Weitergabe und Subprozessoren\n\nWir können Daten mit **Subprozessoren** und Lieferanten teilen, die Infrastruktur (Cloud, Datenbank, CDN), Karten, Push, E-Mail, Objektspeicher, Zahlungen, E-Signatur, Biometrie (falls aktiviert), KI, Observability und Support ermöglichen. Wir verlangen Datenschutzklauseln und Trennung. Wir **verkaufen** keine personenbezogenen Daten im Sinne eines entgeltlichen Verkaufs für eigenständiges Drittanbieter-Marketing. Wir können Daten gegenüber **Behörden** aufgrund gültiger rechtlicher Verfahren oder zur Rechtsverteidigung offenlegen.\n\n## 8. Internationale Übermittlungen\n\nTeile der Infrastruktur oder Subprozessoren können **außerhalb Brasiliens** stehen. Bei internationalen Übermittlungen setzen wir Instrumente und Maßnahmen um, die mit der LGPD vereinbar sind (einschließlich Standardklauseln, Risikobewertung und technischer Garantien). Wo die DSGVO gilt, beachten wir gleichwertige Übermittlungsanforderungen.\n\n## 9. Aufbewahrung und Löschung\n\nWir bewahren Daten so lange auf, wie es für die beschriebenen Zwecke, gesetzliche Pflichten, Streitbeilegung und Rechtsverteidigung erforderlich ist. Spezifische Fristen je Kategorie (z. B. Roh-Standorttelemetrie vs. Beweismittel) sind in der **Aufbewahrungsrichtlinie** geregelt. Nach Vertragsende löschen, anonymisieren oder geben wir Daten gemäß Vereinbarung und dokumentierten Weisungen des Kunden zurück, vorbehaltlich gesetzlicher Ausnahmen.\n\n## 10. Rechte der Betroffenen und Kontaktwege\n\nNach LGPD können Betroffene Bestätigung der Verarbeitung, Auskunft, Berichtigung, Anonymisierung, Sperrung oder Löschung, Datenübertragbarkeit (soweit anwendbar), Auskunft über Weitergaben, Information über die Möglichkeit, keine Einwilligung zu erteilen, und deren Folgen, Widerruf der Einwilligung und Prüfung automatisierter Entscheidungen (soweit anwendbar) verlangen. In **B2B**-Kontexten bearbeitet viele Anfragen der **Kunde als Verantwortlicher**; Aria leistet angemessene Unterstützung innerhalb gesetzlicher Fristen. Aria-Kanal: **dpo@lansolver.com**. Betroffene können sich auch an die **nationale Datenschutzbehörde Brasiliens (ANPD)** wenden, wie das Gesetz vorsieht.\n\n## 11. Sicherheit und Vorfälle\n\nWir setzen risikoangemessene technische und organisatorische Maßnahmen um, einschließlich logischer Mandantentrennung, Zugriffskontrollen, Ereignisprotokollierung, Verschlüsselung während der Übertragung, sicherer Entwicklungspraxis, Backups und Monitoring. Tritt ein relevanter Vorfall mit Kundendaten ein, benachrichtigen wir den Kunden gemäß Gesetz und Vertrag mit zumutbar verfügbaren Informationen zur Unterstützung der Pflichten des Verantwortlichen gegenüber Betroffenen und Behörden.\n\n## 12. Automatisierte Verarbeitung, Profiling und KI\n\nKI oder automatisierte Regeln können Routen vorschlagen, Felder vorbefüllen, operatives Risiko klassifizieren oder bei der Triagierung helfen, **je nach Produktkonfiguration**. Entscheidungen mit rechtlicher oder vergleichbarer erheblicher Wirkung beachten anwendbare Schutzmaßnahmen, einschließlich Transparenz und gegebenenfalls menschlicher Prüfung oder Informationen zur Logik auf hoher Ebene. Der Kunde hat Auswirkungen auf Arbeitnehmer, Auftragnehmer und Endkunden zu prüfen, wenn er solche Funktionen aktiviert.\n\n## 13. Kinder und Jugendliche\n\nDie Plattform **richtet sich nicht** an Kinder unter 16 Jahren als Zielgruppe. Kunden dürfen Daten Minderjähriger nicht ohne spezifische Rechtsgrundlage, gegebenenfalls einwilligungsunterstützte Verfahren und angemessene interne Richtlinien erfassen.\n\n## 14. Änderungen dieser Erklärung\n\nWir können diese Erklärung anpassen, um rechtliche, produkt- oder risikobezogene Änderungen abzubilden. **Wesentliche** Änderungen teilen wir angemessen mit (einschließlich Konsole, institutioneller E-Mail oder In-App-Einwilligungsflüssen). Veröffentlichte Versionen können dokumentierte Zustimmung erfordern, wenn die Art der Änderung dies erfordert, gemäß den Compliance-Einstellungen der Umgebung.\n\n---\n\n**Juristischer Datenschutzkontakt:** dpo@lansolver.com","isActive":true,"publishedAt":"2026-05-20T11:18:52.922Z","effectiveFrom":"2026-05-06T00:00:00.000Z","reviewStatus":"PUBLISHED","reviewedBy":"compliance-script@lansolver.com","reviewedAt":"2026-05-20T11:18:52.922Z","archivedAt":null,"changeSummary":"v2026.05.2: Abschnitt Gesichtsdaten (Erhebung, CompreFace, Aufbewahrung, Face ID); v2026.05.1: CPF Dienstleister; v2026.04.2 LGPD B2B.","audience":"ALL","platform":"ALL","jurisdiction":"BR","legalBasis":"LGPD","requiresAcceptance":true,"blocking":true,"createdBy":"admin@lansolver.com","tenantId":null,"sectorCode":null,"createdAt":"2026-05-07T16:28:35.319Z","updatedAt":"2026-05-20T11:18:52.922Z"}