Datenschutzerklärung

gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 (DSGVO)

Zuletzt aktualisiert: 07.02.2026

1. Verantwortlicher

Culturae Heritage Services srls (im Folgenden auch „Verantwortlicher“), mit Sitz in Via dei Banchi 6, 50123 Florenz (FI), Italien, Umsatzsteuer-Identifikationsnummer IT07519170489, Steuernummer 07519170489, REA FI-709102.

Datenschutzbeauftragter: legal@vatican.museum

Der Verantwortliche hat keinen Datenschutzbeauftragten (DSB) benannt, da er nicht unter die in Artikel 37 DSGVO festgelegten Pflichtfälle fällt (der Verantwortliche führt weder eine Verarbeitung besonderer Datenkategorien in großem Umfang noch eine regelmäßige und systematische Überwachung in großem Umfang durch). Für Anfragen bezüglich des Schutzes personenbezogener Daten wenden Sie sich bitte an die oben angegebene Adresse.

2. Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie der Verantwortliche die personenbezogenen Daten von Nutzern (im Folgenden „Nutzer“ oder „betroffene Person“) verarbeitet, die die Website vatican.museum (im Folgenden die „Website“) sowie die anderen Websites im Besitz des Verantwortlichen besuchen und mit diesen interagieren.

Diese Erklärung gilt für alle über die Website durchgeführten Verarbeitungen, einschließlich Kontaktformulare, Registrierungssysteme, statistische Analysedienste (Analytics), Werbe- und Conversion-Mess-Tools, Anti-Spam- und Sicherheitssysteme sowie Kommunikationsdienste (Newsletter, Transaktions-E-Mails), die – sofern gesetzlich vorgeschrieben – ausschließlich mit der vorherigen Einwilligung des Nutzers über die in die Website integrierte Consent Management Platform (CMP) aktiviert werden.

Die Website hat redaktionellen und informativen Charakter. Der Verantwortliche ist kein Reiseveranstalter, Reisebüro oder Reisevermittler im Sinne des geltenden Rechts. Weitere Einzelheiten zur Art der Dienstleistung entnehmen Sie bitte dem Haftungsausschluss und den Nutzungsbedingungen.

3. Arten der verarbeiteten Daten

3.1 Navigations- und technische Daten

Während des normalen Browsens erfassen die für den Betrieb der Website verwendeten Computersysteme und Softwareverfahren automatisch bestimmte Daten, deren Übermittlung bei der Nutzung von Internet-Kommunikationsprotokollen implizit erfolgt. Zu diesen Daten gehören: IP-Adresse, Browsertyp und -version, Betriebssystem, Sprache, angeforderte URLs, Datum und Uhrzeit der Anfragen, HTTP-Methode, Server-Antwortcode, technische Sitzungskennungen, Sicherheitsereignisse.

3.2 Vom Nutzer freiwillig bereitgestellte Daten

Zu den personenbezogenen Daten, die der Nutzer freiwillig über Kontaktformulare, Registrierungsformulare oder per E-Mail angibt, können gehören:

Vorname und Nachname;
E-Mail-Adresse;
Telefonnummer;
Herkunftsland;
Inhalt von Freitextnachrichten;
Anmeldedaten (E-Mail-Adresse und Passwort) im Falle einer Registrierung;
alle weiteren Informationen, die der Nutzer freiwillig angibt.

3.3 Durch Cookies und ähnliche Technologien erhobene Daten

Die Website verwendet Cookies und ähnliche Technologien (lokaler Speicher, Pixel, Tags), um Online-Identifikatoren und Informationen über die Nutzung der Website zu erfassen, entsprechend den vom Nutzer über das CMP geäußerten Präferenzen. Ausführliche Informationen finden Sie in der Cookie-Richtlinie.

3.4 Daten im Zusammenhang mit Werbekampagnen und Partnerschaften

Im Rahmen digitaler Marketingaktivitäten können Kampagnen-Tracking-Parameter (z. B. gclid, fbclid, msclkid, ttclid, utm_*-Parameter) und aggregierte Conversion-Messungen erfasst werden, stets in Übereinstimmung mit den vom Nutzer erteilten Einwilligungen.

3.5 Daten im Zusammenhang mit Buchungen

Wenn der Nutzer über die Website eine Tour oder ein Erlebnis bucht, können Daten im Zusammenhang mit der Transaktion (Buchungsstatus, Gutscheinreferenzen) vom Verantwortlichen ausschließlich zum Versand von Transaktionsmitteilungen (z. B. Buchungsbestätigung, Statusänderungen, Verfügbarkeit von Gutscheinen) verarbeitet werden. Zahlungsdaten (Kreditkarten, Bankdaten, Sicherheitscodes) werden vom Verantwortlichen niemals erfasst, verarbeitet oder gespeichert, da diese ausschließlich von dem für die Zahlungsabwicklung zuständigen Drittpartner verwaltet werden (siehe Abschnitt 7).

3.6 Daten im Zusammenhang mit Newslettern und kommerziellen Mitteilungen

Wenn der Nutzer den Newsletter abonniert, erfasst der Verantwortliche die E-Mail-Adresse des Nutzers sowie etwaige thematische Präferenzen. Das Abonnement ist freiwillig und erfolgt ausschließlich mit der ausdrücklichen vorherigen Zustimmung des Nutzers.

3.7 Obligatorischer oder fakultativer Charakter der Datenbereitstellung

Die Bereitstellung von Browsing-Daten ist für den technischen Betrieb der Website erforderlich. Die Angabe von Daten in Kontakt- und Registrierungsformularen ist freiwillig; die Nichtangabe der als obligatorisch gekennzeichneten Daten (z. B. Name, E-Mail-Adresse) kann es dem Verantwortlichen jedoch unmöglich machen, auf die Anfrage des Nutzers zu reagieren, das Konto zu erstellen oder die angeforderte Dienstleistung zu erbringen.

Die Einwilligung zu Cookies sowie zu Analyse-, Marketing- und Profiling-Technologien ist vollkommen freiwillig, und die Verweigerung einer solchen Einwilligung hat keinerlei Auswirkungen auf die Nutzung der Website oder den Zugriff auf deren Inhalte.

4. Zwecke, Rechtsgrundlagen und Aufbewahrungsfristen

Der Verantwortliche verarbeitet personenbezogene Daten zu den in der nachstehenden Tabelle beschriebenen Zwecken. Soweit angegeben, erfolgt die Verarbeitung ausschließlich mit der vorherigen ausdrücklichen Einwilligung des Nutzers.

Die angegebenen Aufbewahrungsfristen sind angemessene Höchstwerte und können unter Anwendung des Grundsatzes der Speicherbegrenzung (Artikel 5 Absatz 1 Buchstabe e DSGVO) verkürzt werden.

Soweit die Verarbeitung auf dem berechtigten Interesse des Verantwortlichen beruht (Art. 6 Abs. 1 Buchstabe f DSGVO), hat der Verantwortliche eine Abwägungsprüfung (Legitimate Interest Assessment – LIA) durchgeführt, um sicherzustellen, dass sein berechtigtes Interesse die Rechte und Grundfreiheiten der betroffenen Personen nicht überwiegt. Der Nutzer kann eine Kopie dieser Prüfung anfordern, indem er sich schriftlich an die in Abschnitt 1 angegebenen Kontaktadressen wendet.

Zweck	Daten	Rechtsgrundlage	Aufbewahrungsfrist	Anmerkungen
Betrieb der Website, technische Funktionsfähigkeit, Sicherheit, Betrugs- und Missbrauchsbekämpfung	Browsing-Daten, technische Protokolle, IP	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – LIA durchgeführt	Bis zu 12 Monate	Verlängerbar im Falle von Ermittlungen oder Rechtsstreitigkeiten
Bearbeitung von Anfragen über das Kontaktformular oder per E-Mail	Vom Nutzer bereitgestellte Daten	Erfüllung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Buchstabe b) oder berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f) – LIA durchgeführt	Bis zu 24 Monate ab der letzten Interaktion	Vorbehaltlich gesetzlicher Verpflichtungen oder anhängiger Rechtsstreitigkeiten
Kontoanmeldung und Verwaltung des reservierten Bereichs	Vorname, Nachname, E-Mail-Adresse, Passwort, Telefonnummer, Land	Erfüllung des Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)	Für die Dauer des Kontos + 12 Monate	Löschung auf Anfrage des Nutzers
Transaktionsbezogene Mitteilungen im Zusammenhang mit Buchungen	E-Mail, Buchungsdaten, Gutscheinstatus	Vertragsdurchführung (Art. 6 Abs. 1 Buchstabe b) und berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f) – LIA durchgeführt	Bis zu 24 Monate ab Buchung	Nur transaktionsbezogene E-Mails, kein Marketing
Rechtliche und steuerliche Verpflichtungen, Prozessmanagement	Daten, die für rechtliche Verpflichtungen und die Rechtsverteidigung erforderlich sind	Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchstabe c) und/oder berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f)	Bis zu 10 Jahre oder geltende Verjährungsfrist
Statistische Analyse und Messung (Google Analytics, Hotjar, Microsoft Clarity) – nur mit Einwilligung	Cookies/IDs, Nutzungsereignisse, technische Daten	Einwilligung (Art. 6 Abs. 1 Buchstabe a DSGVO)	Gemäß Cookie-Richtlinie (in der Regel 14–26 Monate)	Jederzeit widerrufbar
Werbung, Remarketing, Conversions (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) – nur mit Einwilligung	Cookies/IDs, Ereignisse, Kampagnenparameter	Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)	Marketing: bis zu 24 Monate; Profiling: bis zu 12 Monate	Jederzeit widerrufbar
Anti-Spam- und Anti-Bot-Sicherheit (Google reCAPTCHA v3)	IP, Verhaltensdaten, _GRECAPTCHA-Cookie	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – LIA durchgeführt	Dauer der Verifizierungssitzung	Ab dem 2. April 2026 fungiert Google als Auftragsverarbeiter. Technisches/notwendiges Cookie.
Newsletter und kommerzielle Mitteilungen – nur mit Einwilligung	E-Mail, thematische Präferenzen	Einwilligung (Art. 6 Abs. 1 Buchstabe a DSGVO)	Bis zum Widerruf der Einwilligung	Bereinigung der Liste nach 24 Monaten Inaktivität
Erhebung und Veröffentlichung von Bewertungen	Name/Spitzname, Text der Bewertung, Datum	Einwilligung (Art. 6 Abs. 1 lit. a) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f)	Für die Dauer der Veröffentlichung auf der Website	Löschung auf Anfrage des Nutzers

Zweck

Daten

Rechtsgrundlage

Aufbewahrungsfrist

Anmerkungen

Betrieb der Website, technische Funktionsfähigkeit, Sicherheit, Betrugs- und Missbrauchsbekämpfung

Browsing-Daten, technische Protokolle, IP

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – LIA durchgeführt

Bis zu 12 Monate

Verlängerbar im Falle von Ermittlungen oder Rechtsstreitigkeiten

Bearbeitung von Anfragen über das Kontaktformular oder per E-Mail

Vom Nutzer bereitgestellte Daten

Erfüllung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Buchstabe b) oder berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f) – LIA durchgeführt

Bis zu 24 Monate ab der letzten Interaktion

Vorbehaltlich gesetzlicher Verpflichtungen oder anhängiger Rechtsstreitigkeiten

Kontoanmeldung und Verwaltung des reservierten Bereichs

Vorname, Nachname, E-Mail-Adresse, Passwort, Telefonnummer, Land

Erfüllung des Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO)

Für die Dauer des Kontos + 12 Monate

Löschung auf Anfrage des Nutzers

Transaktionsbezogene Mitteilungen im Zusammenhang mit Buchungen

E-Mail, Buchungsdaten, Gutscheinstatus

Vertragsdurchführung (Art. 6 Abs. 1 Buchstabe b) und berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f) – LIA durchgeführt

Bis zu 24 Monate ab Buchung

Nur transaktionsbezogene E-Mails, kein Marketing

Rechtliche und steuerliche Verpflichtungen, Prozessmanagement

Daten, die für rechtliche Verpflichtungen und die Rechtsverteidigung erforderlich sind

Rechtliche Verpflichtung (Art. 6 Abs. 1 Buchstabe c) und/oder berechtigtes Interesse (Art. 6 Abs. 1 Buchstabe f)

Bis zu 10 Jahre oder geltende Verjährungsfrist

Statistische Analyse und Messung (Google Analytics, Hotjar, Microsoft Clarity) – nur mit Einwilligung

Cookies/IDs, Nutzungsereignisse, technische Daten

Einwilligung (Art. 6 Abs. 1 Buchstabe a DSGVO)

Gemäß Cookie-Richtlinie (in der Regel 14–26 Monate)

Jederzeit widerrufbar

Werbung, Remarketing, Conversions (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) – nur mit Einwilligung

Cookies/IDs, Ereignisse, Kampagnenparameter

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Marketing: bis zu 24 Monate; Profiling: bis zu 12 Monate

Jederzeit widerrufbar

Anti-Spam- und Anti-Bot-Sicherheit (Google reCAPTCHA v3)

IP, Verhaltensdaten, _GRECAPTCHA-Cookie

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – LIA durchgeführt

Dauer der Verifizierungssitzung

Ab dem 2. April 2026 fungiert Google als Auftragsverarbeiter. Technisches/notwendiges Cookie.

Newsletter und kommerzielle Mitteilungen – nur mit Einwilligung

E-Mail, thematische Präferenzen

Einwilligung (Art. 6 Abs. 1 Buchstabe a DSGVO)

Bis zum Widerruf der Einwilligung

Bereinigung der Liste nach 24 Monaten Inaktivität

Erhebung und Veröffentlichung von Bewertungen

Name/Spitzname, Text der Bewertung, Datum

Einwilligung (Art. 6 Abs. 1 lit. a) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f)

Für die Dauer der Veröffentlichung auf der Website

Löschung auf Anfrage des Nutzers

5. Cookies und Consent Management Platform (CMP)

Die Website nutzt eine Consent Management Platform (CMP), die mit dem Google Consent Mode v2 konform ist (für europäische Werbetreibende ab März 2024 verpflichtend), die es dem Nutzer ermöglicht:

Kategorien von nicht-technischen Cookies und Tools zu akzeptieren, abzulehnen oder anzupassen;
seine Einstellungen jederzeit über das auf der Website verfügbare Tool „Cookie-Einstellungen verwalten“ zu ändern;
darüber informiert zu werden, dass Analyse-, Marketing- und Profiling-Cookies sowie entsprechende Technologien erst nach Erhalt einer gültigen Einwilligung aktiviert werden.

Vorbeugende Blockierung: Es werdenkeine Cookies oder nicht unbedingt erforderlichen Technologien auf dem Gerät des Nutzers installiert, bevor dieser seine Einwilligung über die CMP erteilt hat. Ohne Einwilligung sind nur technische/notwendige Cookies aktiv.

Widerruf der Einwilligung: Der Nutzer kann seine Einwilligung jederzeit ebenso einfach widerrufen, wie er sie erteilt hat, und zwar über das auf der Website verfügbare Tool „Cookie-Einstellungen verwalten“, ohne dass dies die Rechtmäßigkeit der Verarbeitung auf der Grundlage der vor dem Widerruf erteilten Einwilligung beeinträchtigt (Art. 7 Abs. 3 DSGVO).

Technische/notwendige Cookies (einschließlich des _GRECAPTCHA-Cookies von Google reCAPTCHA) erfordern keine Einwilligung und sind standardmäßig aktiv, da sie für den Betrieb und die Sicherheit der Website unerlässlich sind.

Ausführliche Informationen, einschließlich der vollständigen Liste der verwendeten Cookies, finden Sie in der Cookie-Richtlinie.

6. Datenempfänger

Personenbezogene Daten können an folgende Parteien weitergegeben werden, die als Auftragsverarbeiter (Art. 28 DSGVO), eigenständige Verantwortliche oder befugte Personen auftreten:

IT- und Hosting-Dienstleister

OVH SAS (OVHcloud): Hosting, dedizierte Server, Infrastruktur – Rechenzentrum in Limburg, Deutschland (EWR). Handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Anbieter von Analyse-, Werbe- und Sicherheitsdiensten (aktiviert gemäß CMP-Einwilligungen)

Google Ireland Ltd / Google LLC: Google Tag Manager, Google Analytics 4, Google Ads (Conversions/Remarketing), Google reCAPTCHA v3.
Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads (UET), Microsoft Clarity.
Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
Hotjar Ltd: Verhaltensanalyse und Heatmaps.

Kommunikationsdienstleister

Amazon Web Services EMEA SARL (AWS): Amazon SES und SNS für Transaktions-E-Mails und Newsletter – Region eu-west-1 (Irland, EWR). Agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Geschäftspartner (unabhängige Verantwortliche)

Viator Inc. (Tripadvisor-Gruppe): Partner für die Buchung und Bezahlung von Touren und Erlebnissen über Iframe-Integration. Viator fungiert als unabhängiger Verantwortlicher für Zahlungsdaten und für die Erbringung der touristischen Dienstleistung.
GetYourGuide Deutschland GmbH: Affiliate-Partner für Touren und Erlebnisse.
LivTours: Affiliate-Partner für Touren und Erlebnisse.

Wenn der Nutzer auf Websites von Drittpartnern weitergeleitet wird (Affiliate-Marketing), unterliegt die Verarbeitung der personenbezogenen Daten des Nutzers den Datenschutzbestimmungen des jeweiligen Partners.

Sonstige Empfänger

Rechts-, Steuer- und Wirtschaftsberater als Auftragsverarbeiter oder befugte Personen.
Zuständige Behörden, sofern gesetzlich vorgeschrieben.

Der Verantwortliche verkauft keine personenbezogenen Daten der Nutzer.

7. Zahlungen über einen Drittanbieter (Viator)

Die Website bietet die Möglichkeit, Touren und Erlebnisse direkt über ihre Seiten zu buchen. Der Zahlungsvorgang erfolgt vollständig über ein integriertes Modul (iframe), das von Viator Inc. (Tripadvisor-Gruppe) bereitgestellt wird.

Der Verantwortliche erhebt, verarbeitet oder speichert die Zahlungsdaten der Nutzer in keiner Weise (Kreditkartennummern, Bankdaten, Sicherheitscodes). Diese Daten werden ausschließlich von Viator erhoben, verarbeitet und gespeichert, das als unabhängiger Verantwortlicher für Zahlungsdaten und für die Erbringung der touristischen Dienstleistung fungiert.

Der Verantwortliche erhält von Viator ausschließlich:

aggregierte und statistische Daten zu Konversionen;
Informationen zum Buchungsstatus (zum Versand von Transaktionsmitteilungen an den Nutzer);
Provisionen.

Die Rechnung und der Gutschein für die gebuchte Reise werden direkt von Viator ausgestellt.

Informationen zur Verarbeitung von Zahlungsdaten finden Sie in der Datenschutzerklärung von Viator.

8. Datenübermittlungen außerhalb des EWR

Bei einigen Anbietern (insbesondere bei Konzernen mit Sitz in den Vereinigten Staaten) kann es zur Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) kommen. In solchen Fällen trifft der Verantwortliche angemessene Schutzmaßnahmen gemäß Artikel 44 ff. der DSGVO, darunter:

Standardvertragsklauseln (SCCs) der Europäischen Kommission (Art. 46 Abs. 2 Buchstabe c DSGVO) in der aktualisierten Fassung (Q2 2025) sowie, soweit erforderlich, Folgenabschätzungen zur Datenübermittlung (TIA) und ergänzende Maßnahmen gemäß den Empfehlungen 01/2020 des EDPB;
Angemessenheitsbeschlüsse der Europäischen Kommission, sofern verfügbar (z. B. EU-US-Datenschutzrahmen für zertifizierte Stellen in den USA);
zusätzliche technische und organisatorische Maßnahmen (Datenminimierung, Pseudonymisierung, Verschlüsselung während der Übertragung und im Ruhezustand, Zugriffstrennung).

Zu den wichtigsten Anbietern, die Datenübermittlungen außerhalb des EWR vornehmen, gehören: Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc.

Der Nutzer kann Informationen zu den spezifischen getroffenen Schutzmaßnahmen sowie eine Kopie der geltenden Standardvertragsklauseln anfordern, indem er sich schriftlich an die in Abschnitt 1 angegebenen Kontakte wendet.

9. Rechte der betroffenen Person

Der Nutzer kann jederzeit die in den Artikeln 15–22 der DSGVO vorgesehenen Rechte ausüben:

Recht auf Auskunft über personenbezogene Daten (Art. 15);
Recht auf Berichtigung und Aktualisierung (Art. 16);
Recht auf Löschung („Recht auf Vergessenwerden“), sofern zutreffend (Art. 17);
Recht auf Einschränkung der Verarbeitung (Art. 18);
Recht auf Datenübertragbarkeit, sofern anwendbar (Art. 20);
Widerspruchsrecht, insbesondere gegen eine Verarbeitung auf der Grundlage eines berechtigten Interesses (Art. 21); im Falle eines Widerspruchs darf der Verantwortliche die Daten nicht weiter verarbeiten, es sei denn, er kann zwingende berechtigte Gründe nachweisen;
Recht, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruhen, einschließlich Profiling (Art. 22);
Recht auf jederzeitigen Widerruf der Einwilligung, und zwar ebenso einfach, wie sie erteilt wurde, ohne dass dies die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung beeinträchtigt (Art. 7 Abs. 3).

Um Ihre Rechte auszuüben, wenden Sie sich bitte schriftlich an: legal@vatican.museum

Der Verantwortliche antwortet in der Regel innerhalb eines Monats nach Eingang des Antrags; diese Frist kann in Fällen besonderer Komplexität oder bei einer hohen Anzahl von Anträgen auf bis zu drei Monate verlängert werden (Art. 12 DSGVO). Im Falle einer Verlängerung wird der Nutzer innerhalb eines Monats informiert. Die Ausübung der Rechte ist kostenlos, es sei denn, die Anträge sind offensichtlich unbegründet oder übertrieben (Art. 12 Abs. 5 DSGVO).

9.1 Automatisierte Entscheidungsprozesse

Der Verantwortliche führt keine vollautomatisierten Entscheidungsprozesse, einschließlich Profiling, durch, die rechtliche Wirkungen für den Nutzer haben oder ihn in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Die von der Website verwendeten Analyse- und Marketing-Tools dienen ausschließlich aggregierten statistischen und werblichen Zwecken und führen nicht zu automatisierten Einzelentscheidungen.

9.2 Beschwerde bei der Aufsichtsbehörde

Der Nutzer hat das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen.

Für Italien:

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 — 00187 Rom (RM), Italien

Website: www.garanteprivacy.it

PEC: protocollo@pec.gpdp.it

Telefon: (+39) 06 696771

Es wird außerdem darauf hingewiesen, dass die im November 2025 veröffentlichte Verordnung (EU) 2025/2518, die 15 Monate nach ihrer Veröffentlichung in Kraft tritt, neue Verfahrensregeln zur Verbesserung der Zusammenarbeit zwischen den europäischen Datenschutzbehörden in grenzüberschreitenden Fällen einführt und damit weitere Garantien für die Rechte der betroffenen Personen bietet.

10. Google reCAPTCHA v3 – Spezifischer Hinweis

Die Website nutzt Google reCAPTCHA v3, einen von Google Ireland Ltd / Google LLC bereitgestellten Dienst zum Schutz vor Spam und Bots, der ausschließlich auf Seiten mit Formularen aktiviert ist.

Ab dem 2. April 2026 funktioniert reCAPTCHA gemäß der Ankündigung von Google nach einem Modell, bei dem Google als Auftragsverarbeiter auftritt und der Verantwortliche der Website der Verantwortliche für die über reCAPTCHA erhobenen Daten ist.

Das bedeutet, dass:

Verweise auf die Datenschutzerklärung und die Nutzungsbedingungen von Google in Bezug auf reCAPTCHA nicht mehr gültig sind und von der Website entfernt wurden;
die Verarbeitung der von reCAPTCHA erhobenen Daten unterliegt dieser Datenschutzerklärung und dem Google Cloud-Zusatz zur Datenverarbeitung;
reCAPTCHA setzt für seine Risikoanalyse ein notwendiges Cookie (_GRECAPTCHA), das als technisches/notwendiges Cookie eingestuft ist und keiner Einwilligung bedarf.

Zu den von reCAPTCHA erfassten Daten können gehören: IP-Adresse, Verhaltensdaten (Mausbewegungen, Interaktionsmuster), Browser- und Geräteinformationen. Diese Daten werden ausschließlich zu Sicherheits- und Betrugsbekämpfungszwecken verwendet.

11. Minderjährige

Die Website richtet sich nicht an Personen unter 16 Jahren (Altersgrenze gemäß Art. 2-quinquies des Gesetzesdekrets 196/2003 für Italien). Der Verantwortliche beabsichtigt nicht, wissentlich personenbezogene Daten von Minderjährigen zu erheben. Wenn ein Elternteil oder Erziehungsberechtigter der Ansicht ist, dass Daten eines Minderjährigen ohne die erforderliche Einwilligung erhoben wurden, kann er sich unter den in Abschnitt 1 angegebenen Kontaktdaten an den Verantwortlichen wenden, um die unverzügliche Löschung zu beantragen.

12. Sicherheitsmaßnahmen

Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen (Art. 32 DSGVO), darunter: verschlüsselte Kommunikation (HTTPS/TLS), authentifizierter Zugriff mit minimalen Berechtigungen, regelmäßige Datensicherungen, Sicherheitsupdates, Zugriffsüberwachung sowie Verfahren zum Management von Sicherheitsvorfällen.

13. Änderungen dieser Datenschutzerklärung

Der Verantwortliche behält sich das Recht vor, diese Datenschutzerklärung jederzeit zu aktualisieren. Das Datum der letzten Aktualisierung ist oben angegeben. Wesentliche Änderungen werden durch einen Hinweis auf der Website und, soweit möglich, per E-Mail an registrierte Nutzer mitgeteilt. Der Nutzer wird gebeten, diese Seite regelmäßig zu konsultieren.

14. Anwendbares Recht und Gerichtsstand

Diese Datenschutzerklärung unterliegt der Verordnung (EU) 2016/679 (DSGVO), der Richtlinie 2002/58/EG (E-Privacy), den italienischen Datenschutzgesetzen (Gesetzesdekret 196/2003, geändert durch das Gesetzesdekret 101/2018) sowie den geltenden Bestimmungen und Leitlinien der italienischen Datenschutzbehörde (Garante per la Protezione dei Dati Personali) und des EDPB.

Für alle Streitigkeiten im Zusammenhang mit der Auslegung oder Anwendung dieser Richtlinie ist das Gericht von Florenz zuständig, sofern nicht zwingende Verbraucherschutzbestimmungen etwas anderes vorsehen.