🔒 DSGVO-konform · Stand: März 2026

Datenschutzerklärung

velth verarbeitet so wenig Daten wie möglich. Dokumente werden analysiert, aber nicht gespeichert. Ihr Unternehmen gehört Ihnen — nicht uns.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für diese Website und den velth-Dienst ist:

Alihan Sencan

Connollystraße 3, 80809 München

E-Mail: alihan.sencan@tum.de

2. Grundsatz: Minimale Datenverarbeitung

Privacy by Design (Art. 25 DSGVO): velth ist so konzipiert, dass auf Serverseite so wenig wie möglich gespeichert wird. Dokumentinhalte, Firmennamen und Projektnamen verlassen nach der Analyse unsere Server nicht dauerhaft. Ihr Vault (verschlüsselter Firmenspeicher) liegt auf Ihrem Gerät — nicht bei uns.

Dieses Prinzip gilt ohne Ausnahme: Auch wenn eine Funktion technisch mehr Daten speichern könnte, tut sie das nicht. Die Minimierung ist im Code verankert, nicht nur in dieser Erklärung.

3. Was wird gespeichert — und was nicht

Anonyme Nutzung (ohne Login)

Bei der Analyse ohne Konto werden keinerlei personenbezogenen Daten gespeichert. Kein Dokumentinhalt, kein Dateiname, kein Firmenname, keine IP-Adresse.

Für interne Qualitätssicherung und Produktverbesserung erfassen wir ausschließlich vollständig anonyme Statistiken gemäß Art. 6(1)(f) DSGVO (berechtigtes Interesse):

Branchenkennung— z.B. "safebau" oder "safehaccp" (keine Firmendaten)
Gefährdungstypen— vordefinierte Codes aus unserem Katalog, z.B. "Absturzsicherung" (kein Dokumentinhalt, keine Textstellen)
Anzahl erkannter Gefährdungen — eine Zahl, kein Inhalt
Dateiformat— z.B. "pdf" (kein Dateiname)

✗ Nicht gespeichert: Dokumentinhalt, Textstellen, Firmenname, Dateiname, IP-Adresse, Nutzer-ID, alle personen- oder unternehmensbezogenen Informationen.

Registrierte Nutzer (mit Konto)

Für eingeloggte Nutzer speichern wir ausschließlich folgende anonymisierte Metadaten für Credit-Tracking und Analyseverlauf:

Feld	Inhalt	Zweck
user_id	Anonyme UUID	Credit-Zuordnung
vertical_id	z.B. "safebau"	Branche (kein Name)
file_type	z.B. "pdf"	Dateiformat (kein Name)
file_size	Bytes-Zahl	Rate-Limiting
total_hazards	Zahl	Qualitätssicherung
risk_level	Zahl 1–5	Aggregat-Statistiken
hazard_ids	Codes z.B. "Absturz"	Validierung Scoring-Modell (Art. 6(1)(f))
created_at	Zeitstempel	Verlauf

✗ Nicht gespeichert: Dateiinhalt, Dateiname, Projektname, Firmenname, Textstellen aus Dokumenten, E-Mail-Adresse im GBU-Datensatz, Kundeninformationen jeglicher Art.

IP-Adressen

IP-Adressen werden für das Rate-Limiting technisch benötigt, jedoch nie im Klartext gespeichert. Es wird ausschließlich ein SHA-256-Hash (16 Zeichen) der IP verwendet, der keine Rückrechnung auf die ursprüngliche Adresse erlaubt. Dieser Hash wird nur im flüchtigen Arbeitsspeicher gehalten (kein DB-Insert) und verfällt nach max. 1 Stunde.

4. Dokument-Uploads & KI-Verarbeitung

Hochgeladene Dokumente werden ausschließlich für die Dauer der Analyse im Arbeitsspeicher verarbeitet. Der Originaltext wird nicht in unserer Datenbank gespeichert. Nach der Analyse werden alle temporären Dateien sofort gelöscht.

Der Textinhalt Ihres Dokuments wird zur KI-Analyse an die Anthropic Claude API übermittelt (siehe Abschnitt 10). Dort wird er für die Dauer der Anfrage verarbeitet und anschließend gemäß Anthropics Zero-Retention-Policy nicht dauerhaft gespeichert.

In der Datenbank gespeichert werden ausschließlich: Die erkannten Gefährdungsklassen (z.B. „Absturzgefahr"), Risikostufen und Maßnahmentypen — ohne jegliche Textstellen, Zitate oder sonstige Inhalte aus dem Originaldokument.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — die KI-Verarbeitung ist notwendig, um den angeforderten Dienst zu erbringen.

5. Bild-Uploads & Vision-KI

Sie können Fotos und Bilder (JPG, PNG, WEBP) hochladen. Bilder werden nicht als Text extrahierbar sein, daher kommt ein gesondertes Verfahren zum Einsatz:

Das Bild wird als Base64 an die Anthropic Claude Vision API übermittelt
Die KI beschreibt sichtbare Arbeitsbedingungen, Gefährdungen und lesbare Texte (Schilder, Beschriftungen) auf Deutsch
Dieses Beschreibungstext wird analysiert wie ein hochgeladenes Dokument — kein Bildinhalt wird gespeichert
Das Originalbild verlässt nach der Verarbeitung unsere Server nicht dauerhaft

Bitte laden Sie keine Bilder mit erkennbaren Personen hoch, sofern keine entsprechende Einwilligung der abgebildeten Personen vorliegt (Art. 9 DSGVO / BDSG).

6. Vault — verschlüsselter Firmenspeicher

Der Vault ist zero-knowledge: Ihre Unternehmensdaten werden clientseitig verschlüsselt, bevor sie Ihr Gerät verlassen. velth hat keinen Zugriff auf den Inhalt. Die Passphrase verlässt Ihr Gerät nie.

Technischer Ablauf

Layer 1 (Firmenprofil) wird mit AES-256 verschlüsselt, Schlüssel = Passphrase-Hash + Server-Key
Layer 2 (Firmenwissen) wird separat verschlüsselt und nur zur Laufzeit im RAM entschlüsselt
Die Passphrase selbst wird niemals auf dem Server gespeichert oder geloggt
Vault-Transfers (15-Minuten-Token) werden nach Ablauf automatisch gelöscht

Was im Vault gespeichert werden kann

Der Vault gehört Ihnen. Sie können darin beliebige Firmendaten speichern —velth-Server sehen nur verschlüsselte Bytes. Die .vlth-Datei können Sie lokal herunterladen, sichern und löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — die Vault-Nutzung ist vollständig optional und erfolgt auf Initiative des Nutzers.

7. WhatsApp-Integration

velth kann Analyse-Ergebnisse als Links über WhatsApp teilen. Dabei gilt:

Keine Telefonnummern werden gespeichert — weder von Absender noch von Empfänger
Der geteilte Link enthält eine anonyme Workspace-ID und ein zeitlich begrenztes Zugriffstoken (48 Stunden)
Die WhatsApp-Funktion öffnet die offizielle wa.me-URL im Browser/App — es besteht keine direkte Verbindung zwischen velth und WhatsApp
Empfänger benötigen keinen velth-Account — der Link ist öffentlich zugänglich bis zum Ablauf des Tokens
Wer auf einen Link zugreift, hinterlässt auf velth-Seite nur einen gehashten Rate-Limit-Eintrag (keine IP im Klartext, kein Personenbezug)

Die Verarbeitung von Daten durch Meta/WhatsApp beim Öffnen der wa.me-URL unterliegt der Datenschutzerklärung von Meta Platforms Ireland Ltd.

8. Workspaces (48-Stunden-Links)

Wenn Sie Analyseergebnisse als Workspace teilen, gilt:

Workspaces werden für maximal 48 Stunden auf unseren Servern vorgehalten und danach automatisch vollständig gelöscht
Workspace-Inhalt: Gefährdungsklassen, Risikostufen, Maßnahmen — kein Originaltext aus Ihrem Dokument
Zugang nur über signiertes Token — ohne Token kein Zugriff
Bestätigungen („Gelesen & verstanden") werden als Zeitstempel gespeichert, ohne die Identität des Bestätigenden (kein Name, keine IP)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — die temporäre Speicherung ist für die Bereitstellung des geteilten Links technisch notwendig.

9. Browser-Speicher (localStorage / sessionStorage)

velth speichert folgende Informationen ausschließlich lokal in Ihrem Browser, ohne Übertragung auf unsere Server:

Schlüssel	Inhalt	Ort	Löschung
velth-theme	dark / light	localStorage	Manuell
velth_vertical	Branchen-ID (z.B. "safebau")	localStorage	Manuell / Sitzungsende
velth_country_selected	Länderkürzel, Flag	localStorage	Manuell
velth_disclaimer_accepted	Zeitstempel	localStorage	Manuell
velth_vault_hint	Anzahl Vault-Dokumente	sessionStorage	Tab-Schließen
velth_vault_prompted	Boolean	sessionStorage	Tab-Schließen
velth-auth-token	JWT (nur bei Login)	localStorage	Abmelden / Ablauf

Kein Dokumentinhalt, kein Firmenname, keine E-Mail-Adresse wird im Browser-Speicher abgelegt. Die Vault-Datei (.vlth) liegt auf Ihrem Gerät und enthält verschlüsselte Daten — sie wird nur auf Ihren ausdrücklichen Wunsch geladen.

10. Drittanbieter & Auftragsverarbeiter

Anthropic, Inc. — KI-Verarbeitung

Zur Analyse Ihrer Dokumente und Bilder verwenden wir die API von Anthropic, Inc. (548 Market St, PMB 90375, San Francisco, CA 94104, USA).

Übermittelt wird: Textinhalt des Dokuments oder Bild (Base64) für die Analyse
Anthropic betreibt eine Zero Data Retention Policy für API-Anfragen — Inhalte werden nicht dauerhaft gespeichert und nicht für Modelltraining verwendet
Datenübermittlung in die USA auf Basis von SCCs (Art. 46 Abs. 2 lit. c DSGVO)
Details: anthropic.com/privacy

Supabase, Inc. — Datenbankhosting

Datenbankdienste werden bereitgestellt von Supabase, Inc. (970 Toa Payoh North, #07-04, Singapore 318992). Wir nutzen die EU-Region (Frankfurt, AWS eu-central-1).

Gespeichert werden ausschließlich die in Abschnitt 3 beschriebenen anonymisierten Metadaten. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor.

Vercel, Inc. — Frontend-Hosting

Das Frontend (velth-Webanwendung) wird gehostet von Vercel, Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Edge-Requests können über Vercel-Server in der EU geroutet werden.
vercel.com/legal/privacy-policy

Render.com — API-Hosting

Der API-Server läuft auf Render Services, Inc. (525 Brannan St Suite 300, San Francisco, CA 94107, USA) in der Region EU-Frankfurt. Datenübermittlung in die USA auf Basis von SCCs.

Stripe, Inc. — Zahlungsabwicklung (optional)

Für kostenpflichtige Dienste wird Stripe verwendet. Dabei wird ausschließlich Ihre E-Mail-Adresse übermittelt (Art. 6 Abs. 1 lit. b DSGVO). Zahlungsdaten (Kartennummer etc.) verarbeitet Stripe direkt — velth sieht diese nie. stripe.com/de/privacy

11. Hosting & Server-Log-Dateien

Server-Logs enthalten technische Informationen (HTTP-Statuscode, Zeitstempel, Vertikale, Antwortzeit). IP-Adressen werden in Logs nicht im Klartext erfasst — nur ein gehashter Token für Rate-Limiting. Logs werden nach 7 Tagen automatisch gelöscht. Dokumentinhalte, Nutzereingaben und Firmennamen erscheinen in keinen Logs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb der Infrastruktur).

12. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunft (Art. 15)

Welche Daten über Sie gespeichert sind

Berichtigung (Art. 16)

Korrektur unrichtiger Daten

Löschung (Art. 17)

Vollständige Löschung Ihres Kontos und aller Metadaten

Einschränkung (Art. 18)

Einschränkung der Verarbeitung

Datenübertragbarkeit (Art. 20)

Export Ihrer Daten im JSON-Format

Widerspruch (Art. 21)

Widerspruch gegen die Verarbeitung

Widerruf (Art. 7 Abs. 3)

Widerruf erteilter Einwilligungen

Beschwerde (Art. 77)

Bei der zuständigen Aufsichtsbehörde

Zuständige Aufsichtsbehörde (soweit Alihan Sencan in Deutschland registriert): Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, oder die für Ihren Wohnsitz zuständige Datenschutzbehörde.

Da velth für anonyme Nutzer keine personenbezogenen Daten speichert, beschränkt sich der Auskunftsanspruch auf ggf. bei uns gespeicherte Kontodaten (nur bei registrierten Nutzern).

13. Kontakt & Datenschutzbeauftragter

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zur Löschung Ihrer Daten wenden Sie sich bitte an:

Alihan Sencan — Datenschutz

Connollystraße 3, 80809 München

E-Mail: alihan.sencan@tum.de

Letzte Aktualisierung: März 2026. Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Datenverarbeitung aktualisiert. Die jeweils aktuelle Version ist auf dieser Seite verfügbar.

🤖 KI-generierte Inhalte (Art. 50 EU AI Act)

Alle von velth generierten Gefährdungsbeurteilungen werden mit Hilfe künstlicher Intelligenz erstellt. Diese Inhalte sind entsprechend gekennzeichnet. Gemäß Art. 50 EU AI Act (Transparenzpflicht) weisen wir darauf hin, dass KI-generierte GBUs vor der Verwendung von einer qualifizierten Fachkraft (Sicherheitsfachkraft, Betriebsarzt) geprüft werden müssen.velth übernimmt keine Haftung für die Vollständigkeit oder Richtigkeit KI-generierter Inhalte.