Datenschutzerklärung — DeepScript-App
Stand: 18. Mai 2026
Geltungsbereich: Diese Erklärung beschreibt die Datenverarbeitung im eingeloggten Bereich der DeepScript-App (Dashboard, Upload, Transkription, Editor, Billing, Support, API/MCP). Für die öffentliche Marketing-Webseite — also alles vor dem Login, inkl. Cookies, Google Tag Manager und Reichweitenmessung — gilt die separate Webseiten-Datenschutzerklärung.
1. Verantwortlicher
Aliru GmbH
Julius-Hatry-Straße 1
68163 Mannheim, Deutschland
Geschäftsführer: Julian Kissel
Telefon: +49 621 49088670
E-Mail: datenschutz@deepscript.com
Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht für uns derzeit nicht (Art. 37 DSGVO i. V. m. § 38 BDSG). Bei allen Datenschutz-Anliegen wenden Sie sich bitte an die obige E-Mail-Adresse.
2. Konto- und Authentifizierungsdaten
Zur Nutzung der App benötigen wir folgende Daten:
- Name (Anzeigename, frei wählbar)
- E-Mail-Adresse (verifiziert)
- Passwort — gespeichert ausschließlich als bcrypt-Hash, niemals im Klartext
- Optional: Firmenname, Rechnungsanschrift, USt-IdNr. (B2B-Rechnungen)
- Bei aktivierter Zwei-Faktor-Authentifizierung: verschlüsseltes TOTP-Secret + verschlüsselte Backup-Codes
- App-Einstellungen: Sprache, Theme, Datenaufbewahrungs-Präferenz
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: bis zur Löschung des Kontos durch Sie. Die Löschung ist direkt in den Einstellungen verfügbar; alle zugehörigen Daten (außer den gesetzlich aufzubewahrenden Rechnungs- und Buchhaltungsbelegen) werden dann unverzüglich und vollständig entfernt.
3. Login über Drittanbieter (optional)
Sie können sich optional über Google bzw. Microsoft OAuth anmelden. Übermittelt werden in diesem Fall ausschließlich die für die Kontoerstellung notwendigen Profilinformationen (Name, E-Mail, Profilbild-URL). Wir erhalten keinen Zugriff auf weitere Inhalte Ihres Google- bzw. Microsoft-Kontos und übermitteln auch keine Telemetrie an die Anbieter, solange der Login nicht aktiv durchgeführt wird.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärungen der Anbieter: Google, Microsoft.
4. Audio-/Video-Uploads und Transkriptionen
Kern der Plattform. Wir verarbeiten dabei:
- Die hochgeladene Datei (Audio/Video)
- Metadaten: Dateiname, Größe, Dauer, MIME-Typ, gewähltes Modell, gewählte Sprache
- Das Ergebnis: Text, Wort-Zeitstempel, Sprecher-Zuordnung, erkannte Sprache
- Optional von Ihnen hinterlegtes Custom Vocabulary
Wo verarbeitet: Die gesamte Verarbeitung läuft auf unserer eigenen Server-Infrastruktur in den Rechenzentren der Hetzner Online GmbH in Nürnberg und Falkenstein (Deutschland). Audio und Transkripte verlassen die EU zu keinem Zeitpunkt. Es werden keine externen Sprachverarbeitungs-Dienste (z. B. OpenAI, Anthropic, Google Cloud Speech, AWS Transcribe) eingebunden.
Keine KI-Training-Nutzung: Wir verwenden Ihre Audio-/Videodaten und die Transkriptionen niemals zum Training eigener oder fremder Modelle. Die Verarbeitung erfolgt ausschließlich zum Zweck der vertraglich vereinbarten Transkriptionsleistung.
Speicherdauer: Ohne aktives Pro-Abonnement werden Transkriptionen und die zugrundeliegenden Audio-Dateien automatisch nach 30 Tagen gelöscht (Standardwert; in den Einstellungen individuell auf 7, 90, 180 oder 365 Tage anpassbar). Mit aktivem Pro-Abo bleiben die Daten bis zur manuellen Löschung gespeichert. Sie können jede Transkription jederzeit manuell entfernen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Für Geschäftskunden, die personenbezogene Daten Dritter verarbeiten lassen (z. B. Interview-Mitschnitte), schließen wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — digital signierbar im Trust Center.
5. Zahlungsabwicklung (Stripe)
Für Guthaben-Aufladungen (Pay-per-Use) und das Pro-Abonnement nutzen wir Stripe. Beim Aufruf der Stripe-Checkout-Seite oder des Customer-Portals werden Sie auf eine Stripe-eigene Oberfläche umgeleitet. Karten-, Bank- und Wallet-Daten geben Sie ausschließlich direkt bei Stripe ein — diese werden niemals an uns übermittelt oder bei uns gespeichert.
Stripe übermittelt an uns zurück:
- Stripe-Customer-ID (Pseudonym)
- Status der Zahlung bzw. des Abonnements
- Rechnungsanschrift + ggf. USt-IdNr. (falls im Checkout angegeben)
- Bei Pro-Abo: Vertragsbeginn, nächster Abrechnungszeitpunkt, Kündigungsstatus
Anbieter: Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin, Irland. Stripe ist für die Zahlungsabwicklung eigener Verantwortlicher; Datenschutzerklärung unter stripe.com/de/privacy.
Drittlandtransfer: Eine Übermittlung in die USA findet im Rahmen einzelner Zahlungsvorgänge an Stripes US-Konzerngesellschaft statt. Grundlage: Stripes Zertifizierung unter dem EU-US Data Privacy Framework sowie ergänzend EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrung von Rechnungsbelegen nach § 147 AO, 10 Jahre).
6. Transaktionale E-Mails (Microsoft Graph)
Für transaktionale E-Mails (Bestätigung der Registrierung, Passwort-Reset, Benachrichtigungen, Rechnungen) versenden wir über die Microsoft-Graph-API der Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland). Die E-Mails werden über Microsoft-365-Infrastruktur in der EU versendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (ordnungsgemäßer Versand).
7. Support-Tickets
Bei Eröffnung eines Support-Tickets verarbeiten wir Betreff, Beschreibung, Kategorie, Priorität, ggf. die Referenz zu einer Transkription sowie den anschließenden Nachrichtenverlauf. Die Daten werden ausschließlich zur Bearbeitung Ihres Anliegens genutzt und sind mit Ihrem Konto verknüpft.
Speicherdauer: bis Sie das Ticket bzw. das Konto löschen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
8. Marketing-Attribution (übernommen aus dem Webseiten-Besuch)
Sofern Sie über eine bezahlte Anzeige (z. B. Google Ads) oder eine UTM-getaggte Kampagne auf unsere Webseite gelangt sind, werden die mitgesendeten Klick-/Kampagnen-Identifikatoren (gclid, gad_source, utm_*, msclkid, fbclid u. ä.) bei der Kontoanlage einmalig in Ihr Account-Profil übernommen (Tabelle UserAttribution). Wir nutzen diese Information ausschließlich, um die Wirksamkeit unserer eigenen bezahlten Marketing-Kanäle zu messen.
Wichtig: Innerhalb der App selbst (eingeloggter Bereich) findet keine zusätzliche Erfassung statt — Klick-IDs werden nur auf der Marketing-Webseite gelesen. Eine ausführliche Erklärung inklusive Liste aller erfassten Parameter und der Rechtsgrundlage finden Sie in der Webseiten-Datenschutzerklärung, Abschnitt 14.
Manueller Conversion-Upload an Google Ads: Periodisch laden wir manuell eine CSV-Datei mit (gclid + SHA-256-gehashte E-Mail-Adresse + Zeitpunkt + ggf. Conversion-Wert) in unsere Google-Ads-Oberfläche. Die unverschlüsselte E-Mail erhält Google nicht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Auf Anfrage an datenschutz@deepscript.com löschen wir Ihre Attributionsdaten und schließen Sie aus zukünftigen Uploads aus.
Speicherdauer: bis zur Kontolöschung (dann zusammen mit dem Konto gelöscht) oder bis Sie die Löschung gemäß obigem Absatz beantragen.
9. Audit-Log
Sicherheitsrelevante Ereignisse in Ihrem Konto (Login, Logout, Änderung der 2FA-Konfiguration, Erstellung/Widerruf von API-Schlüsseln, Datenexporte, Kontolöschung) protokollieren wir zusammen mit IP-Adresse und User-Agent. Diese Protokolle dienen ausschließlich der Nachvollziehbarkeit von Kontozugriffen und sind für Sie jederzeit in den Einstellungen einsehbar.
Speicherdauer: 12 Monate.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an der Absicherung von Kontozugriffen.
10. Technisch notwendige Cookies in der App
Im eingeloggten Bereich der App setzen wir ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge. Eine Einwilligung im Sinne von § 25 Abs. 2 TDDDG ist nicht erforderlich, da sie zur Bereitstellung des Dienstes zwingend erforderlich sind.
| Name | Zweck | Speicherdauer |
|---|---|---|
authjs.session-token | Auth-Session (NextAuth) | 30 Tage / bis Logout |
authjs.csrf-token | CSRF-Schutz | Session |
ds_locale | Bevorzugte UI-Sprache | 12 Monate (Local Storage) |
11. Was wir in der App bewusst NICHT tun
Das Tool selbst ist als datenschutzminimale Anwendung gebaut. Im eingeloggten Bereich der App werden insbesondere nicht eingesetzt:
- Kein Google Tag Manager, kein Google Analytics — die App lädt keinerlei Google-Skripte oder -Cookies. (Diese laufen ausschließlich auf der öffentlichen Marketing-Seite, nach Einwilligung.)
- Keine externen KI-Dienste — OpenAI, Anthropic, Google Gemini, Mistral u. ä. werden nicht angefragt. Transkription läuft 100 % auf eigener Infrastruktur.
- Keine US-Hyperscaler — AWS, Azure, Google Cloud Platform werden nicht genutzt; die App läuft ausschließlich auf Hetzner-Servern in Deutschland.
- Kein externer Support-Chat (Intercom, Zendesk, Drift). Support läuft über unser eigenes Ticket-System.
- Kein Marketing-Stack (HubSpot, Mailchimp, Marketo). Account-Daten fließen in keine Drittanbieter-Marketing-Tools.
- Kein Session-Recording, kein Heatmap-Tool (Hotjar, FullStory).
- Keine Profilbildung, keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.
- Kein Verkauf, keine Weitergabe an Werbenetzwerke — Ihre Daten werden nicht monetarisiert.
12. Sub-Auftragsverarbeiter
Die folgenden Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Eine stets aktuelle Liste finden Sie im Trust Center / Subprozessoren.
| Dienstleister | Sitz / Verarbeitungsort | Zweck |
|---|---|---|
| Hetzner Online GmbH | Nürnberg / Falkenstein, Deutschland | Hosting, Datenbank, Object Storage, Transkriptions-Engine |
| Stripe Payments Europe Ltd. | Dublin, Irland (Konzerngesellschaft in USA) | Zahlungsabwicklung, Abo-Verwaltung |
| Microsoft Ireland Operations Ltd. | Dublin, Irland | Transaktionaler E-Mail-Versand via Microsoft Graph |
Hinweis: Google ist in der App kein Auftragsverarbeiter — wir setzen weder Google Tag Manager, noch Google Analytics, noch Google Cloud-Dienste im eingeloggten Bereich ein. Google taucht in der separaten Webseiten-Datenschutzerklärung auf, dort ausschließlich für die Reichweitenmessung der Marketing-Seite nach ausdrücklicher Einwilligung.
13. Speicher- und Aufbewahrungsfristen
- Konto-Stammdaten: bis zur Kontolöschung durch Sie
- Transkriptionen + Audio-Dateien (ohne Pro-Abo): 30 Tage — anpassbar in den Einstellungen
- Transkriptionen + Audio-Dateien (mit Pro-Abo): bis zur manuellen Löschung
- Support-Tickets: bis zur Löschung durch Sie
- Audit-Logs: 12 Monate
- Rechnungs- und Buchhaltungsunterlagen: 10 Jahre (§ 147 AO, § 257 HGB)
14. Ihre Rechte nach der DSGVO
Die meisten Ihrer DSGVO-Rechte können Sie direkt in der App ausüben:
- Auskunft (Art. 15) + Datenübertragbarkeit (Art. 20): Vollständiger JSON-Export Ihrer Daten in den Einstellungen unter „Daten & Datenschutz".
- Berichtigung (Art. 16): Profil-Daten in den Einstellungen jederzeit editierbar.
- Löschung (Art. 17, „Recht auf Vergessenwerden"): Konto-Löschung in den Einstellungen — entfernt alle zugehörigen Daten unverzüglich und vollständig.
- Einschränkung (Art. 18), Widerspruch (Art. 21): formlos an datenschutz@deepscript.com.
- Widerruf von Einwilligungen (Art. 7 Abs. 3): mit Wirkung für die Zukunft jederzeit möglich.
- Beschwerde bei einer Aufsichtsbehörde (Art. 77): für die Aliru GmbH örtlich zuständig ist der Landesbeauftragte für den Datenschutz Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, baden-wuerttemberg.datenschutz.de.
Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
15. Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn sich die App-Funktionen, technische oder rechtliche Rahmenbedingungen ändern. Bei substanziellen Änderungen — insbesondere bei Hinzunahme neuer Sub-Auftragsverarbeiter — informieren wir aktive Nutzer per E-Mail mit einer Vorlauffrist von mindestens 30 Tagen.
Verwandte Dokumente
- → Datenschutzerklärung für die Marketing-Webseite (Server-Logs, Free-Tool, Google Tag Manager / GA4 nach Einwilligung)
- → Trust Center (Datenschutz-Prinzipien, AVV-Signatur, Zertifizierungen)
- → Vollständige Liste der Sub-Auftragsverarbeiter
- → Impressum