← Zurück zur Startseite

Datenschutzerklärung

Zuletzt aktualisiert: 10. April 2026

Diese Erklärung beschreibt, wie wir Ihre personenbezogenen Daten erheben, verwenden und schützen, wenn Sie Narraya und seine Dienste nutzen.

1. Verantwortlicher

Der Verantwortliche für die Datenverarbeitung ist:

Narraya di Marco Ranica

Einzelunternehmen

Email: [email protected]

Bei Fragen zum Schutz Ihrer personenbezogenen Daten kontaktieren Sie uns unter [email protected].

2. Arten der erhobenen Daten

Freiwillig bereitgestellte Daten

  • E-Mail-Adresse und Anzeigename, die bei der Registrierung angegeben werden
  • Kreative Inhalte: Texte, Kapitel, Notizen, Figurenbögen und alle anderen auf der Plattform erstellten Inhalte
  • Zahlungs- und Rechnungsdaten — werden vollständig von Stripe verarbeitet. Narraya speichert keine Kreditkartendaten
  • Texte, die zur Analyseverarbeitung an KI-Funktionen übermittelt werden
  • Dateien, die über optionale Cloud-Speicher-Integrationen (Google Drive, Dropbox) importiert werden — nur auf ausdrückliche Aktion des Nutzers

Automatisch erhobene Daten

  • Technische Zugriffs- und Sicherheitsprotokolle
  • Aggregierte und anonyme Nutzungsdaten (über Plausible Analytics, ohne Cookies)
  • Technische Informationen über Gerät und Browser

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten Ihre Daten ausschließlich zu den folgenden Zwecken, jeweils mit einer eigenen Rechtsgrundlage gemäß Art. 6 DSGVO:

ZweckRechtsgrundlage
Bereitstellung des Narraya-DienstesVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Kontoverwaltung und AuthentifizierungVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Zahlungsabwicklung und RechnungsstellungRechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) + Vertrag (Art. 6 Abs. 1 lit. b DSGVO)
KI-Verarbeitung von NutzertextenVertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Plattformsicherheit und MissbrauchspräventionBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Aggregierte und anonyme NutzungsanalyseBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Dienstbezogene MitteilungenBerechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Gesetzliche und steuerliche PflichtenRechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Narraya verkauft keine personenbezogenen Daten und führt kein Profiling zu Werbezwecken durch.

4. Einsatz künstlicher Intelligenz und Textverarbeitung

Narraya setzt Werkzeuge der künstlichen Intelligenz ein, um Textanalysefunktionen anzubieten. Es ist wichtig, zwei Fälle zu unterscheiden:

Lokale Verarbeitung (LanguageTool)

Die Grammatikprüfungsfunktionen nutzen eine LanguageTool-Instanz, die auf unseren Servern in Deutschland (EU) gehostet wird. Die analysierten Texte verlassen niemals unseren Server, und es werden keine Daten an Dritte für diese Funktion übermittelt.

Kein Drittlandtransfer. Kein Auftragsverarbeiter beteiligt.

Externe KI-APIs

Für erweiterte Analysefunktionen werden Texte ausschließlich zur Erstellung der angeforderten Analyse an die folgenden KI-Anbieter übermittelt:

Ollama Cloud (Ollama Inc., USA)

Texte werden transient verarbeitet: Sie werden nicht über die für die Anfrage erforderliche Zeit hinaus gespeichert. Ollama erklärt, dass Nutzerdaten nicht zum Training der eigenen Modelle verwendet werden.

Hinweis: Bei einigen Cloud-Modellen kann Ollama Anfragen an Drittanbieter weiterleiten. Dies stellt ein Restrisiko dar, dessen sich der Nutzer bewusst sein sollte.

Google Gemini API (Google LLC, USA)

Über die API übermittelte Texte werden von Google nicht zum Training der Basismodelle verwendet. Google kann jedoch Prompts bis zu 55 Tage zur Missbrauchsüberwachung aufbewahren, wie in der Vertex-AI-Dokumentation angegeben.

Narraya autorisiert keinen KI-Anbieter, Nutzerdaten zum Training der eigenen Modelle zu verwenden.

5. Cloud-Speicher-Integrationen

Narraya ermöglicht es Nutzern, ihr Google Drive- oder Dropbox-Konto zu verknüpfen, um Dateien in die Plattform zu importieren.

  • Die Integration ist optional und wird ausschließlich durch den Nutzer über einen standardmäßigen OAuth-Ablauf aktiviert. Narraya greift nicht automatisch auf den Speicher des Nutzers zu.
  • Narraya fordert nur die minimal erforderlichen Berechtigungen an (Lesen ausgewählter Dateien). Es werden keine Dateien im Speicher des Nutzers verändert, gelöscht oder geteilt.
  • Nur die vom Nutzer ausdrücklich ausgewählten Dateien werden importiert und auf der Plattform gespeichert. Narraya unterhält keinen dauerhaften Zugriff auf den Speicher des Nutzers über das für den Import Notwendige hinaus.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und ausdrückliche Einwilligung über OAuth-Autorisierung (Art. 6 Abs. 1 lit. a DSGVO).
  • Google Drive und Dropbox sind eigenständige Verantwortliche für die in ihren jeweiligen Diensten gespeicherten Daten. Narraya ist nur für die importierten Daten verantwortlich.
  • Der Nutzer kann die OAuth-Autorisierung jederzeit in den Einstellungen des jeweiligen Anbieters (Google-Konto, Dropbox) und/oder in den Narraya-Einstellungen widerrufen.

6. Auftragsverarbeiter und Dritte

Personenbezogene Daten können an die folgenden Dienstleister weitergegeben werden, die als Auftragsverarbeiter (Art. 28 DSGVO) tätig sind:

AnbieterDienstLandÜbermittlungsmechanismusDatenschutzerklärung
Google LLC (Firebase)AuthentifizierungUSADPF EU-USALink
Google LLC (Gemini API)KI-InferenzUSADPF EU-USALink
Stripe Inc.ZahlungenUSA/IrlandDPF EU-USALink
Cloudflare Inc.CDN + Storage (R2)USADPF EU-USALink
Ollama Inc.KI-Inferenz (Cloud)USASCC (Art. 46 DSGVO)Link
Resend Inc.Transaktionale E-MailsUSADPF EU-USALink
Google LLC (Drive)Cloud-Speicher (optional)USADPF EU-USALink
Dropbox Inc.Cloud-Speicher (optional)USADPF EU-USALink
Hetzner Online GmbHVPS, Datenbank, RedisDeutschland (EU)Entfällt (EU)Link
Hostinger International Ltd.DomainverwaltungZypern/Litauen (EU)Entfällt (EU) + SCC für SubLink

LanguageTool erscheint nicht in dieser Tabelle, da es intern auf den Servern von Narraya in Deutschland (EU) gehostet wird und keinen externen Auftragsverarbeiter darstellt.

7. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den Vereinigten Staaten. Für jede Datenübermittlung in Drittländer setzen wir die folgenden Mechanismen ein, in der Reihenfolge ihrer Priorität:

  1. DPF: Data Privacy Framework EU-USA (DPF): Angemessenheitsbeschluss der Europäischen Kommission C(2023) 4745 vom 10.07.2023, bestätigt durch das EU-Gericht im September 2025. Anwendbar auf: Google, Stripe, Cloudflare, Resend, Dropbox.
  2. SCC: Standardvertragsklauseln (SCC): Von der Europäischen Kommission genehmigte Standardvertragsklauseln (Beschluss EU 2021/914) als Schutzmaßnahme für Anbieter ohne DPF-Zertifizierung. Anwendbar auf: Ollama Inc.

Kein Drittland-Anbieter wird ohne einen erklärten und dokumentierten Übermittlungsmechanismus eingesetzt.

8. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die Zwecke, für die sie erhoben wurden, unbedingt erforderlich ist:

KategorieDauerGrund
Nutzerinhalte (Texte, Entwürfe)Kontolaufzeit + 30 Tage nach LöschungVertragserfüllung
KontodatenKontolaufzeit + 30 TageVertragserfüllung
Technische und Sicherheitsprotokolle90 TageBerechtigtes Interesse
Steuer- und Zahlungsdaten10 JahreItalienische gesetzliche Pflicht
An KI-APIs übermittelte TexteWerden von Narraya nicht gespeichert — transiente VerarbeitungEntfällt
Analysedaten (Plausible)Aggregiert und anonym — keine personenbezogenen DatenEntfällt

Nach Ablauf der Speicherdauer werden die Daten gelöscht oder unwiderruflich anonymisiert.

9. Rechte der betroffenen Person (DSGVO)

Gemäß den Artikeln 15–22 der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15): Bestätigung und Kopie Ihrer personenbezogenen Daten anfordern
  • Berichtigung (Art. 16): Unrichtige oder unvollständige Daten korrigieren
  • Löschung (Art. 17): Löschung Ihres Kontos und Ihrer Daten verlangen
  • Einschränkung (Art. 18): Einschränkung der Verarbeitung in bestimmten Fällen verlangen
  • Datenübertragbarkeit (Art. 20): Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten
  • Widerspruch (Art. 21): Der Verarbeitung auf Grundlage eines berechtigten Interesses widersprechen
  • Widerruf der Einwilligung (Art. 7 Abs. 3): Die Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird

Um Ihre Rechte auszuüben, schreiben Sie an [email protected]. Wir werden innerhalb von 30 Tagen nach Eingang Ihrer Anfrage antworten.

Sie haben außerdem das Recht, eine Beschwerde bei der italienischen Datenschutzbehörde (Garante per la Protezione dei Dati Personali — [email protected] — www.garanteprivacy.it) einzureichen.

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten, darunter:

  • TLS-Verschlüsselung bei der Übertragung für alle Kommunikation
  • Verschlüsselung im Ruhezustand für die Datenbank
  • Rollenbasierte Zugriffskontrolle und Prinzip der geringsten Berechtigung
  • Sichere Authentifizierung über JWT mit kurzlebigen Token + HttpOnly-Refresh-Token
  • Sicherheitsprotokollierung und Anomalieüberwachung
  • Regelmäßige Backups mit sicherer Aufbewahrung

Kein System ist zu 100 % immun, aber wir sind ständig bestrebt, unsere Sicherheitsmaßnahmen zu verbessern.

11. Meldung von Datenschutzverletzungen

Gemäß den Artikeln 33 und 34 der DSGVO wird Narraya bei einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt:

  • Die Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden benachrichtigen (Art. 33 DSGVO)
  • Betroffene Nutzer unverzüglich informieren, wenn die Verletzung ein hohes Risiko darstellt (Art. 34 DSGVO)
  • Mitteilen: Art der Verletzung, Kategorien der betroffenen Daten, voraussichtliche Folgen und ergriffene Maßnahmen

Wenn Sie eine Verletzung Ihrer personenbezogenen Daten vermuten, kontaktieren Sie uns umgehend unter [email protected].

12. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann aufgrund von Änderungen der Dienste oder gesetzlicher Pflichten aktualisiert werden. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren und das Datum oben auf der Seite aktualisieren.

13. Kontakt und Aufsichtsbehörde

Verantwortlicher:

Narraya di Marco Ranica

E-Mail: [email protected]

Zuständige Aufsichtsbehörde:

Garante per la Protezione dei Dati Personali

www.garanteprivacy.it[email protected]

Cookie PolicyTerms of ServiceHome