Cogoleto
DE
Datenschutz

Datenschutzerklärung

Wie wir personenbezogene Daten auf cogole.to verarbeiten.

Zuletzt aktualisiert: 8. Juni 2026 · Version: 2026-06-08-v4

Dieser Hinweis beschreibt, wie cogole.to die personenbezogenen Daten der Nutzer gemäß der Verordnung (EU) 2016/679 (DSGVO) und dem italienischen Gesetzesdekret 196/2003 in der jeweils geltenden Fassung verarbeitet.

1. Verantwortlicher

Die Website cogole.to ist ein unabhängiger Reiseführer für das Dorf Cogoleto (Italien), der privat von einer in der Schweiz (Kanton Aargau) wohnhaften Privatperson auf nicht-professioneller, gemeinnütziger Basis betrieben wird. Für datenschutzbezogene Anfragen steht der Kontakt über die Seite Kontakt oder unter [email protected] zur Verfügung.

Der Verantwortliche ist in der Schweiz (einem Drittland im Verhältnis zur Europäischen Union) niedergelassen, bietet den Dienst aber auch Nutzern in der EU an: Die Verarbeitung fällt daher gemäß Art. 3 Abs. 2 DSGVO in den Anwendungsbereich der DSGVO, und auf den Verantwortlichen findet zudem das schweizerische Bundesgesetz über den Datenschutz (DSG) Anwendung. Für die Schweiz besteht ein Angemessenheitsbeschluss der Europäischen Kommission, sodass Datenflüsse aus der EU an den Verantwortlichen in ein Land mit angemessenem Schutzniveau erfolgen (Art. 45 DSGVO).

Da es sich um eine kleinmaßstäbliche, nicht systematische Verarbeitung handelt, die keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und keine Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) umfasst, sind die Voraussetzungen des Art. 37 DSGVO für die Benennung eines Datenschutzbeauftragten (DSB) nicht erfüllt. Der Inhaber bleibt direkter Ansprechpartner für alle Datenschutzangelegenheiten unter [email protected].

Da die Verarbeitung nicht rein gelegentlich erfolgt (Postkarten, Bewertungen, Umfragen, Moderation und Kontozugriff), führt der Verantwortliche das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, das auf Verlangen der zuständigen Aufsichtsbehörde vorgelegt wird.

2. Erhobene Daten und Zwecke

Wir verarbeiten ausschließlich die Daten, die für den Betrieb der Website und für die von den Nutzern angeforderten Interaktionen unbedingt erforderlich sind:

2.1 Anonyme Besucher (ohne Konto)

  • Webserver-Protokolle: IP-Adresse, User-Agent, aufgerufene Seiten, Sprache, Referrer. Zweck: Sicherheit, Diagnose, Missbrauchsprävention. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: 30 Tage.
  • Technische Cookies (Status des Cookie-Banners, Sprache, Sitzung): keine Einwilligung erforderlich.
  • Aggregierte Statistiken (Google Analytics 4): nur mit ausdrücklicher Einwilligung. Speicherdauer: 24 Monate (GA4-Standard).

2.2 Registrierte Nutzer

  • Identität: E-Mail, Anzeigename, optionales Profilbild vom OAuth-Anbieter (Google, Facebook, Instagram, Apple) oder per E-Mail-Magic-Link.
  • Anbieter: Anbieterkennung und — nur bei Instagram — öffentlicher Benutzername (z. B. @username).
  • Von Nutzern erstellte Inhalte: Postkarten (Foto + Bildunterschrift), Bewertungen, Umfragestimmen, Kontrollpunkte der Schnitzeljagd, erworbene Abzeichen.
  • Sitzungen: serverseitige Sitzungs-ID, gehashte IP und gehashter User-Agent (zur Missbrauchserkennung).
  • Einwilligungsverzeichnis: Jede Erteilung/jeder Widerruf der Cookie-Einwilligung wird mit Zeitstempel, Richtlinienversion sowie gehashter IP+UA erfasst.
  • Audit-Protokoll: jede nennenswerte Aktion (Anmeldung, Exportanfrage, Kontolöschung usw.).

Rechtsgrundlage für registrierte Nutzer:

  • Erfüllung eines angeforderten Dienstes (Art. 6 Abs. 1 lit. b DSGVO) für Postkarten, Bewertungen, Umfragen, Schnitzeljagd.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Statistiken und nicht-technische Cookies.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für technische Protokolle, Missbrauchsabwehr, Moderation.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Audit- und Moderationsaufzeichnungen, die zur Einhaltung rechtlicher Vorgaben aufbewahrt werden.

2.3 Postkartenfotos

Als „Postkarten aus Cogoleto" hochgeladene Fotos werden vorab moderiert: Es wird nichts ohne Freigabe veröffentlicht. EXIF-Metadaten (einschließlich GPS-Koordinaten) werden beim Hochladen entfernt, um die Veröffentlichung Ihres Standorts zu vermeiden.

2.4 Speicherfristen

  • Serverprotokolle: 30 Tage.
  • Statistiken (GA4): 24 Monate.
  • Kontoidentität und von Nutzern erstellte Inhalte: aufbewahrt, solange das Konto aktiv ist; innerhalb von 30 Tagen nach der Löschung entfernt (siehe § 5).
  • Einwilligungsverzeichnis: als Nachweis der Einwilligung für die gesamte Lebensdauer des Kontos zuzüglich der geltenden Verjährungsfrist aufbewahrt.
  • Audit- und Moderationsaufzeichnungen: zu Zwecken der Rechtskonformität bis zu 12 Monate aufbewahrt.

3. Cookies

Wir unterteilen Cookies in fünf Kategorien:

  • Notwendig (immer aktiv): cogoleto_consent (merkt sich Ihre Banner-Auswahl), __Host-cogoleto (Sitzung bei Anmeldung), cogoleto-lang (bevorzugte Sprache), cogoleto-theme (helles/dunkles Design).
  • Statistik (Opt-in): _ga, _ga_* von Google Analytics 4 — Speicherdauer 24 Monate.
  • Präferenzen (Opt-in): lokale Cookies für Layout, erworbene Abzeichen usw.
  • Schnellanmeldung mit Google (One Tap) (Opt-in, standardmäßig deaktiviert): lädt das Skript von Google Identity Services, um die Karte „Mit Google anmelden" automatisch anzuzeigen, während Sie surfen. Bereits ohne Klick übermittelt das Laden des Skripts Ihre IP-Adresse, die Seiten-URL, den User-Agent und — sofern Sie bereits bei Google angemeldet sind — die Identität Ihres Google-Kontos an Google. Einzelheiten siehe § 3a der Cookie-Richtlinie.
  • Marketing: wir verwenden keine Werbe-Cookies. Die Kategorie wird aus Transparenzgründen ausgewiesen und könnte künftig nur mit ausdrücklicher Einwilligung aktiviert werden.

Jede Formularübermittlung (Kontakt, Anmeldung, Umfragestimmen) ist durch Google reCAPTCHA v3 als notwendige Missbrauchsabwehr-/Sicherheitsmaßnahme geschützt; es setzt das technische Cookie _GRECAPTCHA auf der Domain google.com und berechnet einen Anti-Spam-Score. Rechtsgrundlage: berechtigtes Interesse an der Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Einzelheiten siehe Cookie-Richtlinie.

Alle Einzelheiten in der Cookie-Richtlinie. Sie können Ihre Auswahl jederzeit ändern, indem Sie im Fußbereich auf „Cookies verwalten" klicken.

4. Empfänger und Übermittlungen

Die Daten werden vom Verantwortlichen und von den folgenden Dritten ausschließlich zu den beschriebenen Zwecken verarbeitet:

  • Cloudflare, Inc. (USA / Irland) — CDN, DNS, DDoS-Schutz. Stützt sich auf die EU-Standardvertragsklauseln 2021/914.
  • Google Ireland Ltd. und Google LLC (USA) — nur sofern autorisiert: Google Analytics 4, Mit Google anmelden, Google One Tap (Schnellanmeldung), Google reCAPTCHA v3. US-Übermittlungen: EU-US Data Privacy Framework (Google ist selbstzertifiziert) mit den EU-Standardvertragsklauseln 2021/914 als zusätzliche Absicherung.
  • Meta Platforms Ireland Ltd. — nur wenn Sie Mit Facebook anmelden oder Mit Instagram anmelden verwenden.
  • Apple Distribution International Ltd. (Irland) — nur wenn Sie Mit Apple anmelden verwenden.
  • Hosting: selbst gehostete Infrastruktur im Eigentum des Verantwortlichen, gelegen in der Schweiz (einem von einem EU-Angemessenheitsbeschluss erfassten Land — Art. 45 DSGVO).

Übermittlungen außerhalb der Europäischen Union: nur in Drittländer mit Angemessenheitsbeschluss oder auf Grundlage der EU-Standardvertragsklauseln (Beschluss 2021/914). Keine Übermittlungen auf Grundlage anderer Garantien.

5. Ihre Rechte (DSGVO Art. 15–22)

Sie können jederzeit die folgenden Rechte ausüben:

Recht Wie es ausgeübt wird
Auskunft (Art. 15) Fordern Sie unter Mein Profil → Meine Daten einen vollständigen ZIP-Export Ihrer Daten an. Lieferung per E-Mail innerhalb von 7 Tagen.
Berichtigung (Art. 16) Bearbeiten Sie Ihren Namen, Ihre E-Mail und Ihr Foto direkt unter Mein Profil oder schreiben Sie uns eine E-Mail.
Löschung (Art. 17 — Recht auf Vergessenwerden) Klicken Sie auf der Profilseite auf „Mein Konto löschen". Ihr Konto wird sofort gesperrt und nach 30 Tagen (Abkühlphase) endgültig gelöscht. Eine sofortige Löschung können Sie per E-Mail beantragen.
Einschränkung (Art. 18) „Mein Konto pausieren" auf der Profilseite. Wir bewahren Ihre Daten auf, stellen die Verarbeitung jedoch ein, bis Sie das Konto wieder aktivieren.
Datenübertragbarkeit (Art. 20) Derselbe Export wie bei Art. 15 erfolgt in offenem JSON, maschinenlesbar und anderweitig wiederverwendbar.
Widerspruch (Art. 21) Klicken Sie auf der Profilseite auf „Statistik und Marketing widersprechen" oder widerrufen Sie Ihre Einwilligung über das Cookie-Banner.
Beschwerde Sie haben das Recht, bei der zuständigen Aufsichtsbehörde Beschwerde einzulegen: in Italien bei der italienischen Datenschutzbehörde (Garante) oder bei der Behörde Ihres EU-Wohnsitzlandes (Art. 77 DSGVO). Für Angelegenheiten nach schweizerischem Recht ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die zuständige Behörde.

Über das Nutzerpanel gestellte Anfragen werden innerhalb von Sekunden automatisch ausgeführt (mit einer Bestätigung per E-Mail). Per E-Mail an [email protected] gesendete Anfragen werden innerhalb von 30 Tagen beantwortet, wie in Art. 12 Abs. 3 DSGVO gefordert.

6. Automatisierte Entscheidungen

Wir setzen keine automatisierte Entscheidungsfindung oder kein Profiling ein, das rechtliche Wirkung gegenüber der betroffenen Person entfaltet (Art. 22 DSGVO).

7. Sicherheit

Technische und organisatorische Maßnahmen, die wir anwenden:

  • TLS 1.2/1.3 auf jeder Subdomain erzwungen, mit HSTS-Preload.
  • Sitzungscookies sind HttpOnly, Secure, SameSite=Lax, mit dem Präfix __Host-.
  • SHA-256-Hashing von IP-Adresse und User-Agent in den Anwendungsprotokollen (keine Klartextspeicherung).
  • Keine Endnutzer-Passwörter: Die Authentifizierung erfolgt über OAuth/Magic-Link, kein Passwort zu merken.
  • Verschlüsselte tägliche Backups, an zwei getrennten Standorten aufbewahrt.
  • Vollständiges Audit-Protokoll der Sicherheitsereignisse, überwacht.

8. Mindestalter

Der Dienst richtet sich nicht an Kinder unter 16 Jahren (Schwelle für die digitale Einwilligung in Deutschland, § 25 Abs. 1 TTDSG i. V. m. Art. 8 DSGVO). Wenn Sie Elternteil sind und der Ansicht sind, dass Ihr Kind ein Konto erstellt hat, kontaktieren Sie uns bitte zwecks sofortiger Löschung.

9. Änderungen

Dieser Hinweis ist versioniert. Bei wesentlichen Änderungen bitten wir Sie über das Banner erneut um Ihre Einwilligung. Frühere Versionen bleiben auf Anfrage unter [email protected] verfügbar.