← Zurück
Rechtliches

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und Art. 14 der EU-Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Marcel Weissgerber
Einzelunternehmer
Lerchenweg 7
08228 Rodewisch
Deutschland
E-Mail: info@wahrspruch.de

2. Hosting und Datenresidenz

Wahrspruch wird in der Region europe-west3 (Frankfurt am Main) auf der Google Cloud Platform betrieben. Sämtliche Anwendungsdaten, hochgeladene Dokumente, Datenbankinhalte und Backups verbleiben physisch innerhalb der Europäischen Union.

Auftragsverarbeiter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Abschluss eines Auftragsverarbeitungs-Vertrages (AVV) gemäß Art. 28 DSGVO ist erfolgt.

Aufgrund der Konzernzugehörigkeit zu Google LLC (USA) kann ein theoretischer Zugriff durch US-Behörden nach dem CLOUD Act nicht vollständig ausgeschlossen werden. Wir haben technische Schutzmaßnahmen ergriffen (siehe Abschnitt 7).

3. Welche Daten wir verarbeiten

3.1 Account-Daten

DatenkategorieZweckRechtsgrundlageSpeicherdauer
Name, E-Mail, Passwort-Hash (bcrypt)Anmeldung, Identifikation des NutzerkontosArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)Bis zur Konto-Löschung
Tier-Zuordnung, Anzahl Scans, AnmeldezeitpunktLimit-Durchsetzung, AbrechnungArt. 6 Abs. 1 lit. b DSGVOBis zur Konto-Löschung

3.2 Hochgeladene Dokumente

Über den Datei-Upload werden die von Ihnen bereitgestellten Dokumente (z.B. PER, IFU, Tech-Doc, RMF) verarbeitet. Diese können personenbezogene Daten enthalten (etwa Namen interner Mitarbeiter oder klinischer Prüfer).

DatenkategorieZweckRechtsgrundlageSpeicherdauer
PDF/DOCX-Inhalt, Seitentexte, semantische Chunks, EmbeddingsAudit-Readiness-Prüfung gegen IVDR-KlauselkatalogArt. 6 Abs. 1 lit. b DSGVOBis zur Löschung durch den Nutzer; Standard-Aufbewahrung max. 90 Tage nach letztem Scan
Befunde, Zitate, Pipeline-Run-LogsReproduzierbarer Audit-TrailArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Tamper-Evidence)Wie Dokument; min. 90 Tage nach Konto-Löschung anonymisiert für Engine-Verbesserung

Hochgeladene Norm-Dateien werden mit AES-256-GCM auf Anwendungsebene verschlüsselt, bevor sie auf der Disk liegen. Der Schlüssel wird im Google Cloud Secret Manager (EU-Region) gehalten.

3.3 KI-Verarbeitung durch Drittanbieter

Zur semantischen Analyse Ihrer Dokumente nutzen wir Google Gemini API (Google Ireland Limited / Google LLC). Pro Scan werden Textauszüge Ihrer Dokumente an die Gemini-API übermittelt, dort verarbeitet und das Ergebnis zurückgesendet.

Gemäß den Google Cloud DPA werden Eingabedaten nicht zum Training der Modelle verwendet, sofern Sie nicht ausdrücklich einwilligen. Die Verarbeitung erfolgt in Rechenzentren innerhalb der EU, sofern technisch verfügbar.

Vor der ersten Nutzung in der Beta-Phase ist die ausdrückliche Zustimmung zu den Beta-Testbedingungen erforderlich. Diese Zustimmung wird mit Zeitstempel und Vertragsversion protokolliert.

3.4 Server-Logs

DatenkategorieZweckRechtsgrundlageSpeicherdauer
IP-Adresse, User-Agent, angefragte URL, Zeitstempel, HTTP-StatuscodeIT-Sicherheit, Fehleranalyse, MissbrauchserkennungArt. 6 Abs. 1 lit. f DSGVO30 Tage

3.5 Cookies

Wir setzen ausschließlich technisch notwendige Cookies. Tracking-Cookies kommen nicht zum Einsatz.

CookieZweckSpeicherdauer
ws_tokenSession-Authentifizierung (JWT, HttpOnly, Secure, SameSite=Lax)7 Tage

4. Empfänger Ihrer Daten

Folgende Auftragsverarbeiter erhalten Zugriff auf Ihre Daten:

EmpfängerDatenkategorienStandortAVV
Google Ireland Limited (Cloud Computing, Datenbank, Object Storage)AlleEU (Frankfurt)Ja (Google Cloud DPA)
Google Ireland Limited (Gemini API, KI-Verarbeitung)DokumentenausschnitteEU/USAJa (Google Cloud DPA)
1&1 IONOS SE (Domain-Registrar)Domain-Konfiguration (keine Nutzerdaten)Deutschlandn. a.

5. Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über die zu Ihnen gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen richten Sie bitte an info@wahrspruch.de.

6. Beschwerderecht

Unbeschadet weiterer Rechtsmittel haben Sie das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde, insbesondere am Ort Ihres Aufenthalts, Ihrer Arbeitsstelle oder am Ort des mutmaßlichen Verstoßes. In Deutschland ist die zuständige Aufsichtsbehörde abhängig vom Bundesland zu wählen.

7. Technische und organisatorische Maßnahmen

Wir setzen folgende Schutzmaßnahmen gemäß Art. 32 DSGVO ein:

  • TLS-Verschlüsselung (Let's Encrypt) für sämtliche Verbindungen
  • AES-256-GCM-Verschlüsselung hochgeladener Norm-Dateien auf Anwendungsebene
  • Privater VPC zwischen App-Server und Datenbank (kein Internet-Routing)
  • Append-only Audit-Log mit Hash-Verkettung (Tamper-Evidence)
  • Backups der Datenbank in EU-Region, 14 Tage Aufbewahrung
  • Mehrstufige Authentifizierung für Administratoren
  • Trennung von Anwendung und Daten (Multi-Tenant-Isolation per Row-Level-Security)

8. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, unsere Dienste oder die Datenverarbeitung ändern. Die jeweils aktuelle Fassung ist über diese Seite abrufbar.

Stand: 20.05.2026