DeepScript

Datenschutzerklärung

Stand: 14. Mai 2026

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Aliru GmbH
Julius-Hatry-Straße 1
68163 Mannheim
Deutschland

Geschäftsführer: Julian Kissel
Telefon: +49 621 49088670
E-Mail: datenschutz@deepscript.com

Wir betreiben den Transkriptionsdienst unter der Marke DeepScript (im Folgenden auch „der Dienst" oder „die Plattform"). Diese Datenschutzerklärung gilt für die Webseitedeepscript.com (einschließlich aller Subdomains) und die zugehörigen Schnittstellen (REST-API, MCP-Server).

2. Datenschutzbeauftragter

Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht für uns derzeit nicht (Art. 37 DSGVO i. V. m. § 38 BDSG). Bei allen Anliegen zum Datenschutz wenden Sie sich bitte an: datenschutz@deepscript.com.

3. Grundlegendes

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, BDSG, TDDDG). In dieser Erklärung informieren wir Sie über Art, Umfang und Zweck der Verarbeitung im Rahmen unseres Angebots.

Die für die Verarbeitung herangezogenen Rechtsgrundlagen sind insbesondere:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. ausdrücklicher Verzicht auf das Widerrufsrecht beim Pro-Abonnement).
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen (Anlegen eines Kontos, Transkription, Abrechnung).
  • Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (insb. handels- und steuerrechtliche Aufbewahrungspflichten gemäß § 257 HGB, § 147 AO).
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Sicherheit, Missbrauchsabwehr, Server-Logs, Audit-Logs).

4. Verarbeitung beim Aufruf der Webseite (Server-Logs)

Beim Aufruf von deepscript.com erhebt unser Reverse-Proxy (Caddy) automatisch folgende Informationen, die der Browser Ihres Endgeräts übermittelt:

  • IP-Adresse (gekürzt bzw. pseudonymisiert)
  • Datum und Uhrzeit des Zugriffs (UTC)
  • Aufgerufene URL / HTTP-Methode / Antwort-Statuscode
  • Referrer-URL (sofern der Browser eine sendet)
  • User-Agent-Kennung (Browser- und Betriebssystem-Typ)

Diese Daten werden für maximal 14 Tage zu Sicherheits- und Stabilitätszwecken gespeichert (Erkennung und Abwehr von Angriffen, Fehleranalyse) und danach automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen oder eine Profilbildung findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an einem sicheren und stabilen Betrieb.

5. Registrierung und Konto

Zur Nutzung des Dienstes (über die ersten drei kostenlosen Transkriptionen hinaus) ist die Anlage eines Kontos erforderlich. Verarbeitet werden:

  • Name (frei wählbar / Anzeigename)
  • E-Mail-Adresse (verifiziert)
  • Passwort (gespeichert ausschließlich als bcrypt-Hash, niemals im Klartext)
  • Optional: Firmenname, Rechnungsanschrift, USt-IdNr. (für B2B-Rechnungen)
  • Bei aktivierter Zwei-Faktor-Authentifizierung: verschlüsseltes TOTP-Secret + verschlüsselte Backup-Codes
  • Spracheinstellung, bevorzugte Darstellung (Theme), Datenaufbewahrungs-Einstellung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Ohne diese Angaben können wir keinen Zugang zum Dienst gewähren.

Speicherdauer: bis zur Löschung des Kontos durch Sie. Sie können Ihr Konto jederzeit in den Einstellungen löschen — alle zugehörigen Daten (außer den nachfolgend genannten gesetzlich aufzubewahrenden Buchhaltungsunterlagen) werden dann sofort und vollständig entfernt.

6. Login über Drittanbieter (OAuth)

Optional können Sie sich über die OAuth-Verfahren von Google oder Microsoft anmelden. Übermittelt werden in diesem Fall nur die für die Kontoerstellung notwendigen Profilinformationen (Name, E-Mail-Adresse, Profilbild-URL). Wir erhalten keinen Zugriff auf weitere Inhalte Ihres Google- oder Microsoft-Kontos.

Der jeweilige OAuth-Anbieter (Google Ireland Limited bzw. Microsoft Ireland Operations Limited) ist für die Verarbeitung im Rahmen des Anmeldevorgangs eigener Verantwortlicher im Sinne der DSGVO. Die Datenschutzerklärungen finden Sie unter:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Audio-/Video-Uploads und Transkriptionen

Kern unseres Dienstes ist die Umwandlung von Audio- oder Videodateien in Text. Hierbei verarbeiten wir:

  • Die hochgeladene Datei (Audio/Video)
  • Metadaten (Dateiname, Größe, Dauer, MIME-Typ, gewähltes Modell, gewählte Sprache)
  • Das Transkriptions-Ergebnis (Text, Wort-Zeitstempel, Sprecher-Zuordnung, erkannte Sprache)
  • Optional von Ihnen hinterlegtes Custom Vocabulary

Die Verarbeitung läuft vollständig auf unserer eigenen Server-Infrastruktur bei der Hetzner Online GmbH in Deutschland. Die Audio-/Videodatei wird zu keinem Zeitpunkt an externe Sprachverarbeitungs-Dienste (z. B. OpenAI, Google, AWS) weitergegeben.

Speicherdauer: Ohne aktives Pro-Abonnement löschen wir Transkriptionen und die zugrundeliegenden Audio-Dateien automatisch 30 Tage nach Erstellung. Mit Pro-Abo speichern wir die Daten dauerhaft bis zu Ihrer Kündigung bzw. ausdrücklichen Löschung. Sie können jede Transkription jederzeit manuell löschen.

Keine KI-Training-Nutzung: Wir verwenden Ihre Audio-/Videodaten und die Transkriptionen niemals zum Training oder zur Verbesserung unserer Modelle oder der Modelle Dritter. Die Verarbeitung erfolgt ausschließlich zum Zweck der vertraglich vereinbarten Transkriptionsleistung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Für Geschäftskunden, die personenbezogene Daten Dritter verarbeiten lassen (z. B. Mitschnitte von Interviews), schließen wir auf Anfrage einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; siehe Trust Center.

8. Free-Tool / Gast-Transkriptionen

Unter /free-transcription bieten wir eine kostenlose Transkriptionsmöglichkeit ohne Registrierung an. Dabei wird in Ihrem Browser ein anonymes Session-Token (zufällige Zeichenkette) als HttpOnly-Cookie gesetzt, um Ihnen den Zugriff auf das Ergebnis bis zum Abschluss zu ermöglichen.

Es werden keine personenbezogenen Daten von Ihnen erhoben. Datei und Ergebnis werden automatisch nach 24 Stunden gelöscht, sofern Sie nicht zwischenzeitlich ein Konto anlegen und die Transkription Ihrem Konto zuordnen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme).

9. Zahlungsabwicklung (Stripe)

Für die Abwicklung von Guthaben-Aufladungen (Pay-per-Use) und des Pro-Abonnements nutzen wir den Dienstleister Stripe. Beim Aufruf der Stripe-Checkout-Seite oder des Customer-Portals werden Sie auf eine Stripe-eigene Oberfläche umgeleitet; Zahlungsdaten (Karten-, Bank-, Wallet-Daten) geben Sie ausschließlich direkt bei Stripe ein und werden zu keinem Zeitpunkt an uns übermittelt oder bei uns gespeichert.

Wir erhalten von Stripe folgende Informationen zurück:

  • Stripe-Customer-ID (Pseudonym)
  • Status der Zahlung / des Abonnements
  • Rechnungsanschrift + ggf. USt-IdNr. (sofern im Checkout angegeben)
  • Bei Pro-Abo: Vertragsbeginn, nächster Abrechnungszeitpunkt, Kündigungsstatus

Stripe-Anbieter im EU-Raum ist die Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe ist für die Zahlungsabwicklung eigener Verantwortlicher; die Datenschutzerklärung finden Sie unter stripe.com/de/privacy. Eine Datenübermittlung in die USA findet im Rahmen einzelner Zahlungsvorgänge auf Grundlage von Stripes Zertifizierung unter dem EU-US Data Privacy Framework sowie auf Basis der EU-Standardvertrags- klauseln statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrung von Rechnungsbelegen nach § 147 AO, 10 Jahre).

10. E-Mail-Versand

Für transaktionale E-Mails (Bestätigung der Registrierung, Passwort-Reset, Benachrichtigungen, Rechnungen) nutzen wir Microsoft Graph der Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland) über einen freigegebenen Postfachzugang. Die E-Mails werden über Microsoft-365-Infrastruktur in der EU versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am ordnungsgemäßen Versand).

11. Support-Tickets

Wenn Sie ein Support-Ticket eröffnen, verarbeiten wir Betreff, Beschreibung, Kategorie, Priorität, ggf. die Referenz zu einer Transkription sowie den anschließenden Nachrichtenverlauf. Die Daten werden ausschließlich zur Bearbeitung des Anliegens genutzt und bleiben mit dem Konto verknüpft, bis Sie das Ticket bzw. das Konto löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

12. Sicherheits-/Audit-Log

Sicherheitsrelevante Ereignisse in Ihrem Konto (Login, Logout, Änderung der 2FA-Konfiguration, Erstellung/Widerruf von API-Schlüsseln, Datenexporte, Kontolöschung) protokollieren wir zusammen mit IP-Adresse und User-Agent. Diese Protokolle dienen ausschließlich der Nachvollziehbarkeit von Kontozugriffen und können von Ihnen jederzeit in den Einstellungen eingesehen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Nachvollziehbarkeit und Absicherung von Kontozugriffen.

13. Cookies und vergleichbare Technologien

Wir verwenden ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge:

NameZweckSpeicherdauer
authjs.session-tokenAuth-Session (NextAuth)30 Tage / bis Logout
authjs.csrf-tokenCSRF-SchutzSession
ds_guest_sessionAnonymes Token für /free-transcription24 Stunden
ds_cookie_consentSpeichert die Kenntnisnahme des Cookie-Banners12 Monate (Local Storage)
ds_localeBevorzugte Sprache (UI)12 Monate (Local Storage)

Wir setzen keine Tracking-, Marketing- oder Profiling-Cookies und nutzen kein Google Analytics, Meta Pixel o. ä. Eine Einwilligung im Sinne von § 25 TDDDG ist für die genannten Cookies nicht erforderlich, da sie technisch notwendig sind.

14. Übersicht der Auftragsverarbeiter

Die nachfolgenden Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO). Eine stets aktuelle Liste finden Sie auch im Trust Center.

DienstleisterSitz / VerarbeitungsortZweck
Hetzner Online GmbHNürnberg / Falkenstein, DeutschlandServer-Hosting, Datenbank, Object Storage, Transkriptions-Engine
Stripe Payments Europe Ltd.Dublin, Irland (Subunternehmer in USA)Zahlungsabwicklung, Rechnungsstellung, Abo-Verwaltung
Microsoft Ireland Operations Ltd.Dublin, IrlandTransaktionaler E-Mail-Versand via Microsoft Graph

15. Datenübermittlung in Drittländer

Ihre Daten werden grundsätzlich ausschließlich innerhalb der Europäischen Union verarbeitet. Eine Übermittlung in die USA findet ausschließlich im Rahmen der Zahlungsabwicklung über Stripe statt; Grundlage hierfür ist Stripes aktive Zertifizierung unter dem EU-US Data Privacy Framework sowie ergänzend die EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

16. Speicher- und Aufbewahrungsfristen

  • Konto-Stammdaten: bis zur Kontolöschung durch Sie
  • Transkriptionen + Audio-Dateien ohne Pro-Abo: 30 Tage, dann automatische Löschung
  • Transkriptionen + Audio-Dateien mit Pro-Abo: bis zur manuellen Löschung bzw. Kontolöschung
  • Server-Logs: 14 Tage
  • Audit-Logs: 12 Monate
  • Rechnungs- und Buchhaltungsunterlagen: 10 Jahre (§ 147 AO, § 257 HGB)
  • Guest-Transkriptionen (Free Tool ohne Account): 24 Stunden

17. Ihre Rechte nach der DSGVO

  • Art. 15 — Auskunft: Welche Daten wir über Sie verarbeiten.
  • Art. 16 — Berichtigung: Korrektur unrichtiger oder unvollständiger Daten.
  • Art. 17 — Löschung („Recht auf Vergessenwerden"). Sie können Ihr Konto mitsamt aller zugehörigen Daten jederzeit in den Einstellungen löschen.
  • Art. 18 — Einschränkung der Verarbeitung.
  • Art. 20 — Datenübertragbarkeit: vollständiger JSON-Export Ihrer Daten ist jederzeit in den Einstellungen verfügbar.
  • Art. 21 — Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Art. 7 Abs. 3 — Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
  • Art. 77 — Beschwerde bei einer Aufsichtsbehörde.

Zur Wahrnehmung Ihrer Rechte genügt eine formlose E-Mail an datenschutz@deepscript.com. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

18. Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde Ihrer Wahl. Für die Aliru GmbH örtlich zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: +49 711 615541-0
Web: baden-wuerttemberg.datenschutz.de

19. Automatisierte Entscheidungsfindung

Wir setzen keine automatisierten Verfahren im Sinne von Art. 22 DSGVO ein, die Ihnen gegenüber eine rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

20. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich technische oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar. Bei substanziellen Änderungen informieren wir aktive Nutzer per E-Mail.

21. Auftragsverarbeitung für Geschäftskunden

Geschäftskunden, die in eigener Verantwortlichkeit personenbezogene Daten Dritter (z. B. Mitarbeiter, Interviewpartner) zur Transkription übermitteln, schließen mit uns einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Der AVV kann digital im Trust Center signiert werden.

Datenschutzerklärung | DeepScript