Datenschutz-FAQ

Ja. DeepScript ist von Anfang an DSGVO-konform aufgesetzt: Verarbeitung in Deutschland, keine Drittland-Übertragung von Inhaltsdaten, AVV gemäß Art. 28 verfügbar, dokumentierte technische und organisatorische Maßnahmen nach Art. 32, transparente Sub-Auftragsverarbeiter-Liste und vollständige Unterstützung aller Betroffenenrechte.

Beides — je nachdem, welche Daten gerade gemeint sind. Für Inhaltsdaten (Audio, Transkripte) sind wir Auftragsverarbeiter nach Art. 28 DSGVO und arbeiten ausschließlich auf Weisung unseres Kunden. Für die Verarbeitung von Account- und Abrechnungsdaten unserer Kunden selbst sind wir Verantwortlicher.

Nein. Niemals. Weder zum Training unserer eigenen Modelle noch zum Training fremder Modelle. Diese Zusicherung gilt vertraglich und ist technisch durch klar getrennte Inferenz-Pipelines abgesichert — Trainings-Prozesse haben keinen Lese-Zugriff auf produktive Kundendaten.

Ja. Den AVV kannst du auf der Trust-Center-Seite direkt online anfordern. Du bekommst innerhalb weniger Minuten einen vorausgefüllten, von uns unterzeichneten PDF-Vertrag per E-Mail. Inklusive aller vier Anlagen (TOMs, Verzeichnis der Verarbeitungstätigkeiten, Sub-Auftragsverarbeiter, KI-Compliance).

Unser Infrastruktur-Partner Hetzner ist ISO/IEC 27001 zertifiziert. DeepScript selbst arbeitet nach den Prinzipien dieses Standards, ist aber noch nicht eigenständig zertifiziert. Eine ISO-27001-Zertifizierung ist auf unserer Roadmap.

Ausschließlich in Deutschland — in den Hetzner-Rechenzentren Nürnberg und Falkenstein. Beide Standorte sind ISO/IEC 27001 zertifiziert. Anwendung, Datenbank, Transkriptions-Engine, Object Storage und Backups verbleiben innerhalb dieser Standorte.

Keine Inhaltsdaten. Die einzige Drittland-Übertragung erfolgt für die Zahlungsabwicklung über Stripe (EU → USA), abgesichert durch EU-Standardvertragsklauseln (SCCs) und Stripe's DPF-Zertifizierung. Dabei werden keine Audios oder Transkripte, sondern nur Abrechnungs-Metadaten (Name, Anschrift, Token, Betragshöhe) übertragen.

Nein. Wir nutzen keinen US-Hyperscaler für die Verarbeitung oder Speicherung von Kundendaten. Komplette Infrastruktur läuft auf Hetzner in Deutschland.

Keine. Unsere Whisper-kompatible Speech-to-Text-Engine läuft vollständig auf eigener Infrastruktur. Wir schicken keine Audios oder Transkripte an OpenAI, Anthropic, Google oder ähnliche Anbieter. KI-gestützte Zusammenfassungen erfolgen ausschließlich Client-seitig über das Model Context Protocol — der vom Kunden gewählte AI-Client (z. B. Claude Desktop) bringt seine eigene Modell-Anbindung mit.

In transit: TLS 1.3 (mindestens TLS 1.2) zwischen allen Komponenten, HSTS auf allen öffentlichen Endpunkten. At rest: AES-256 für Backups; vollverschlüsselte Datenbankvolumes. Passwörter werden mit bcrypt gespeichert; API-Keys ausschließlich als Hash.

Im Normalbetrieb niemand. Administrative Zugriffe auf Produktionssysteme erfordern Two-Factor-Auth und werden vollständig auditiert. Lese-Zugriffe auf Inhaltsdaten finden nur dann statt, wenn dies zur Fehleranalyse zwingend nötig und vom Kunden ausdrücklich angefragt ist.

Innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung enthält Art der Verletzung, betroffene Kategorien, ergriffene Maßnahmen und einen Ansprechpartner. Die Meldepflicht gegenüber Aufsichtsbehörden (Art. 33 DSGVO, 72-Stunden-Frist) verbleibt beim Verantwortlichen; wir liefern alle nötigen Informationen.

Ja. Jährlich beauftragen wir einen unabhängigen externen Sicherheitsdienstleister mit einem Penetrationstest gegen Web-Anwendung und öffentliche REST-API. Eine Executive-Summary stellen wir Geschäftskunden auf Anfrage unter NDA zur Verfügung.

Audio: gelöscht direkt nach Transkription. Transkripte: standardmäßig 30 Tage Auto-Löschung, konfigurierbar zwischen 7 und 365 Tagen — oder mit Pro-Plan dauerhaft. Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach § 147 AO / § 257 HGB). Audit-Logs: 12 Monate nach Account-Löschung.

Ja. In den Einstellungen → Daten & Datenschutz findest du Buttons für vollständigen Datenexport und Konto-Löschung. Die Löschung wird sofort wirksam. In Backups verschwinden die Daten innerhalb von 14 Tagen mit der Backup-Rotation.

Innerhalb von 30 Tagen werden sämtliche Kundendaten gelöscht. Bei Vertragsende mit aktivem Pro-Plan wird die Auto-Löschung auf 30 Tage zurückgestellt. Eine schriftliche Löschbestätigung erhältst du auf Wunsch.

Selbst-Service über die Einstellungen (Export, Löschung) — sofort wirksam. E-Mail-Anfragen an datenschutz@deepscript.com beantworten wir innerhalb von 5 Werktagen. Wenn der Verantwortliche ein Geschäftskunde ist, koordinieren wir Anfragen über dessen Datenschutzbeauftragten.

Das ist die Aufgabe des Verantwortlichen (= dich oder deines Arbeitgebers). Hinweispflichten ergeben sich aus Art. 13/14 DSGVO sowie aus Art. 50 EU AI Act für KI-gestützte Verarbeitung. Auf Anfrage stellen wir Mustertexte für Datenschutzhinweise zur Verfügung.

Der Verantwortliche muss eine rechtmäßige Grundlage (Einwilligung, berechtigtes Interesse o. ä.) für die Verarbeitung haben — auch für nur erwähnte Dritte. DeepScript prüft das nicht inhaltlich; wir verarbeiten ausschließlich auf Weisung. Im Zweifel: Daten anonymisieren oder schwärzen vor dem Upload.

Die jeweils aktuelle Liste findest du unter /datenschutz/subprozessoren. Aktuell: Hetzner (Hosting, Deutschland) und Stripe (Zahlung, EU + USA mit SCCs).

Ja. Geschäftskunden mit aktivem AVV werden mindestens 30 Tage vor der Hinzunahme eines neuen Sub-Auftragsverarbeiters mit Zugriff auf personenbezogene Daten per E-Mail informiert und können innerhalb von 14 Tagen aus wichtigem Grund widersprechen.

AVV (mit 4 Anlagen) per Online-Anforderung. TOMs als Teil des AVV (Anlage 1). Subprozessoren-Liste auf dieser Website. Datenschutzerklärung unter /datenschutzerklaerung. Penetration-Test-Summary auf Anfrage unter NDA.

Aliru GmbH, Julius-Hatry-Straße 1, 68163 Mannheim. E-Mail: datenschutz@deepscript.com. Geschäftsführer: Julian Kissel.