Skip to main content

Datenschutzerklärung

Zuletzt aktualisiert: 24. Februar 2026

1. Einleitung

Veluvanto s.r.o. („wir“, „uns“ oder „unser“) setzt sich für den Schutz Ihrer Privatsphäre ein. Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erheben, verwenden, weitergeben und schützen, wenn Sie die Dienste von Veluvanto nutzen, in Übereinstimmung mit der Datenschutz-Grundverordnung (GDPR, Verordnung (EU) 2016/679) und dem tschechischen Gesetz Nr. 110/2019 Slg. über die Verarbeitung personenbezogener Daten.

2. Verantwortlicher

Der Verantwortliche für Ihre personenbezogenen Daten ist:

Veluvanto s.r.o.
Eingetragener Sitz: Korunní 2569/108, Vinohrady, 101 00 Praha 10
IČO: 249 15 122
E-Mail: privacy@veluvanto.com

Datenschutzbeauftragter (DPO): Wir haben festgestellt, dass die Benennung eines Datenschutzbeauftragten gemäß Artikel 37 GDPR angesichts der Art und des Umfangs unserer Verarbeitungstätigkeiten nicht zwingend erforderlich ist (wir verarbeiten keine besonderen Kategorien von Daten in großem Umfang, sind keine Behörde und führen keine groß angelegte systematische Überwachung durch). Für alle Datenschutzangelegenheiten kontaktieren Sie uns unter privacy@veluvanto.com.

3. Von uns erhobene personenbezogene Daten

Wir erheben die folgenden Kategorien personenbezogener Daten:

3.1 Kontodaten

  • E-Mail-Adresse, Name und Profilbild (von Ihrem Google-Konto, wenn Sie sich über Google OAuth anmelden, oder von Ihrem Microsoft-Konto, wenn Sie sich über Microsoft OAuth anmelden)
  • Kontoeinstellungen und Präferenzen

3.2 Dokumentendaten

  • Dateien, die Sie in den Dienst hochladen (Dokumente, Rechnungen, Verträge usw.)
  • Aus Dokumenten extrahierte Metadaten (Daten, Entitäten, Beträge, Tags)
  • AI-generierte Zusammenfassungen, Übersetzungen und Kategorisierungen Ihrer Dokumente

3.3 Nutzungsdaten

  • Genutzte Funktionen, durchgeführte Aktionen und Interaktionen mit dem Dienst
  • Verbrauchte AI-Credits und Abonnementstatus

3.4 Technische Daten

  • IP-Adresse, Browsertyp und -version, Gerätetyp und Betriebssystem
  • Sitzungskennungen und Zugriffsprotokolle
  • Zeitstempel von Aktionen für Sicherheits- und Audit-Zwecke

3.5 Zahlungsdaten

  • Rechnungsadresse und Transaktionsdaten (Zahlungskartendaten werden direkt von Paddle.com Market Limited, unserem Merchant of Record, verarbeitet und nicht von uns gespeichert)

Pflicht zur Bereitstellung von Daten (Art. 13(2)(e) GDPR): Die Angabe Ihrer E-Mail-Adresse und Kontodaten ist eine vertragliche Voraussetzung — ohne diese können Sie kein Konto erstellen oder den Dienst nutzen. Die Angabe von Zahlungsdaten ist erforderlich, um auf kostenpflichtige Pläne zuzugreifen. Die Bereitstellung von Dokumenteninhalten ist freiwillig; Sie entscheiden, was Sie hochladen. Sie sind gesetzlich nicht verpflichtet, die oben genannten Daten bereitzustellen, aber die Nichtbereitstellung erforderlicher Daten bedeutet, dass wir Ihnen den Dienst nicht anbieten können.

4. Rechtsgrundlagen für die Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf den folgenden Rechtsgrundlagen gemäß Artikel 6 GDPR:

Zweck Rechtsgrundlage GDPR-Artikel
Bereitstellung und Betrieb des Dienstes Vertragserfüllung Art. 6(1)(b)
Benutzerauthentifizierung (Google OAuth) Vertragserfüllung Art. 6(1)(b)
Benutzerauthentifizierung (Microsoft OAuth) Vertragserfüllung Art. 6(1)(b)
Zahlungsabwicklung und Rechnungsstellung Vertragserfüllung Art. 6(1)(b)
Versand dienstbezogener Mitteilungen Vertragserfüllung Art. 6(1)(b)
Sicherheit, Betrugsprävention, Zugriffsprotokollierung Berechtigte Interessen Art. 6(1)(f)
Serviceverbesserung und Analysen Berechtigte Interessen Art. 6(1)(f)
Gesetzliche Verpflichtungen (Steuerunterlagen usw.) Rechtliche Verpflichtung Art. 6(1)(c)
Marketing-Kommunikation (falls aktiviert) Einwilligung Art. 6(1)(a)

5. AI-Verarbeitung Ihrer Dokumente

Ihre Dokumente werden mithilfe von AI-Technologie verarbeitet, um Funktionen wie automatische Kategorisierung, Volltextsuche, Metadatenextraktion, Zusammenfassung, Übersetzung und den AI-Chat-Assistenten bereitzustellen.

Ihre Dokumente werden niemals zum Training von AI-Modellen verwendet. Die AI-Verarbeitung erfolgt ausschließlich zur Erbringung des Dienstes für Sie. Unser AI-Anbieter (Google LLC über Vertex AI) fungiert als unser Auftragsverarbeiter im Rahmen eines Google Cloud Data Processing Addendum und ist vertraglich verpflichtet, Ihre Daten nicht zum Trainieren oder Verbessern seiner AI-Modelle zu verwenden.

EU-Datenresidenz für AI-Verarbeitung: Die AI-Inferenz für Dokumentenanalyse, semantische Suche, Übersetzung, Zusammenfassung und AI-Chat erfolgt über Google Cloud Vertex AI, konfiguriert für die Nutzung von EU-Rechenzentrumsregionen (europe-west). Dokumenteninhalte, die zur AI-Verarbeitung gesendet werden, verlassen den Europäischen Wirtschaftsraum nicht.

Die AI-Verarbeitung stellt eine automatisierte Verarbeitung personenbezogener Daten dar. Für Verbraucher, die Veluvanto für den persönlichen Gebrauch nutzen, fungiert Veluvanto s.r.o. als Verantwortlicher für Ihre Dokumente. Für Geschäftskunden, die Dokumente hochladen, die personenbezogene Daten Dritter enthalten (z. B. Mitarbeiterdaten, Kundenrechnungen), fungiert Veluvanto s.r.o. als Auftragsverarbeiter im Auftrag des Verantwortlichen. Weitere Einzelheiten zu B2B-Verarbeitungsvereinbarungen finden Sie in unserem Auftragsverarbeitungsvertrag (DPA).

Weitere Informationen über unsere AI-Systeme finden Sie in unserem AI-Transparenzhinweis.

6. Datenspeicherung und Sicherheit

Wir nehmen die Sicherheit Ihrer Daten ernst:

  • Alle Dokumente und Daten werden auf Backblaze B2 Object Storage in EU-Rechenzentren (Amsterdam, Niederlande) gespeichert; Backblaze verfügt über eine SOC 2 Type II Zertifizierung
  • Anwendungsserver laufen auf der Infrastruktur der Hetzner Online GmbH in EU-Rechenzentren (Deutschland/Finnland); Hetzner verfügt über eine ISO/IEC 27001:2022 Zertifizierung (gültig 2025–2028)
  • Daten werden bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256) verschlüsselt
  • Wir implementieren strenge Zugriffskontrollen und Audit-Protokollierung
  • Regelmäßige Sicherheitsbewertungen und Updates
  • Der Zugriff auf personenbezogene Daten ist auf autorisiertes Personal beschränkt, das diesen Zugriff zur Aufgabenerfüllung benötigt

Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33 und 34 GDPR)

a) Meldung an die Aufsichtsbehörde (Art. 33 GDPR)
Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir die zuständige Aufsichtsbehörde unverzüglich und nach Möglichkeit spätestens 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

b) Benachrichtigung der betroffenen Personen (Art. 34 GDPR)
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigen wir die betroffenen Personen unverzüglich. Die Benachrichtigung erfolgt in klarer und einfacher Sprache und enthält mindestens Informationen über die Art der Verletzung, ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Abmilderung ihrer Auswirkungen. Wenn die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde, stellen wir durch eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme eine ebenso wirksame Kommunikation sicher.

7. Datenweitergabe und Unterauftragsverarbeiter

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre Informationen nur in den folgenden Fällen weiter:

7.1 Unterauftragsverarbeiter

Wir nutzen die folgenden Drittanbieter, die Ihre personenbezogenen Daten verarbeiten können:

  • Google LLC — Identity Provider (Google OAuth Login); Datentransfers in die USA sind durch Standardvertragsklauseln (SCCs) abgedeckt
  • Microsoft Corporation — Identity Provider (Microsoft OAuth Login); Datenverarbeitung gemäß dem Data Protection Addendum von Microsoft
  • Paddle.com Market Limited — Zahlungsabwicklung und Rechnungsstellung (Merchant of Record); Datentransfers in das Vereinigte Königreich sind durch den Angemessenheitsbeschluss für das UK abgedeckt
  • Google LLC (Vertex AI) — AI-Modell-Inferenz (Gemini-Modelle) für Dokumentenverarbeitung, semantische Suche, AI-Chat, Übersetzung und Zusammenfassung; Verarbeitung so konfiguriert, dass sie innerhalb der EU-Google-Cloud-Regionen (europe-west) verbleibt; unterliegt dem Google Cloud Data Processing Addendum; API-Daten werden standardmäßig nicht für das Modelltraining verwendet
  • Backblaze, Inc. (B2 Cloud Storage) — Primärer Object Storage für Dokumente und Backups; Daten werden ausschließlich in der EU (Amsterdam, Niederlande) gespeichert; SOC 2 Type II zertifiziert; Backblaze Datenschutzerklärung
  • IDrive, Inc. (e2 Cloud Storage) — Disaster Recovery Object Storage für Dokumente und Backups; Daten werden ausschließlich in der EU (Frankfurt, Deutschland) gespeichert; SOC 2 zertifiziert; keine Mindestspeicherdauer
  • Hetzner Online GmbH — Cloud-Infrastruktur und Anwendungsserver; Daten werden ausschließlich in der EU (Deutschland/Finnland) gespeichert; ISO/IEC 27001:2022 zertifiziert
  • Cloudflare, Inc. — Content Delivery Network (CDN) und Sicherheitsdienste (DDoS-Schutz, Performance-Optimierung); verarbeitet HTTP-Anfrage-Metadaten (IP-Adresse, User-Agent, Zeitstempel); Datentransfers in die USA sind durch Standardvertragsklauseln (SCCs) abgedeckt

7.2 Gesetzliche Anforderungen

Wir können Ihre Daten offenlegen, wenn wir gesetzlich, durch einen Gerichtsbeschluss oder eine Regierungsbehörde dazu verpflichtet sind oder wenn wir glauben, dass die Offenlegung notwendig ist, um unsere Rechte oder die Sicherheit anderer zu schützen.

7.3 Geschäftsübertragungen

Im Falle einer Fusion, einer Übernahme oder eines Verkaufs von Vermögenswerten können Ihre personenbezogenen Daten übertragen werden. Wir werden Sie benachrichtigen, bevor Ihre personenbezogenen Daten übertragen werden und einer anderen Datenschutzerklärung unterliegen.

8. Internationale Datentransfers

Wir speichern und verarbeiten Ihre Daten primär innerhalb der Europäischen Union. Die folgende Tabelle beschreibt die Datenresidenz für jeden Unterauftragsverarbeiter:

  • Backblaze, Inc. (B2 Cloud Storage — Primärspeicher): Alle Dokumente, Benutzerdaten und Backups werden auf Backblaze B2 in der EU (Amsterdam, Niederlande) gespeichert. Kein internationaler Transfer.
  • IDrive, Inc. (e2 Cloud Storage — Disaster Recovery Speicher): Sicherungskopien von Dokumenten und Daten werden auf IDrive e2 in der EU (Frankfurt, Deutschland) gespeichert. IDrive, Inc. ist ein US-Unternehmen; Datentransfers sind durch Standardvertragsklauseln (SCCs) abgedeckt.
  • Hetzner Online GmbH (Infrastruktur): Anwendungsserver und Recheninfrastruktur werden ausschließlich in Deutschland/Finnland gehostet. Kein internationaler Transfer.
  • Google LLC (Vertex AI — AI-Verarbeitung): Dokumenteninhalte werden über Google Cloud Vertex AI verarbeitet, konfiguriert für EU-Regionen (europe-west). Für die AI-Inferenz findet kein Transfer außerhalb des EWR statt.
  • Google LLC (OAuth-Authentifizierung): Ihre E-Mail und Ihr Google-Profil werden während der Anmeldung mit Google geteilt. Der Transfer in die USA ist durch Standardvertragsklauseln (SCCs, Durchführungsbeschluss (EU) 2021/914 der Kommission) abgedeckt.
  • Paddle.com Market Limited (Zahlungen): Rechnungsadresse und Transaktionsdaten werden zur Zahlungsabwicklung mit Paddle geteilt. Der Transfer in das Vereinigte Königreich ist durch den Angemessenheitsbeschluss für das UK abgedeckt.
  • Cloudflare, Inc. (CDN / Sicherheit): HTTP-Anfrage-Metadaten (IP-Adresse, User-Agent, Zeitstempel) werden von Cloudflare verarbeitet. Der Transfer in die USA ist durch SCCs abgedeckt.

Sie können eine Kopie der relevanten Transfergarantien anfordern, indem Sie uns kontaktieren unter privacy@veluvanto.com.

9. Ihre Rechte gemäß GDPR

Gemäß GDPR (Kapitel III) haben Sie die folgenden Rechte:

  • Recht auf Auskunft (Art. 15): Anforderung einer Kopie Ihrer bei uns gespeicherten personenbezogenen Daten
  • Recht auf Berichtigung (Art. 16): Anforderung der Korrektur unrichtiger oder unvollständiger Daten
  • Recht auf Löschung / Recht auf Vergessenwerden (Art. 17): Anforderung der Löschung Ihrer Daten
  • Recht auf Datenübertragbarkeit (Art. 20): Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON oder ZIP-Archiv mit Ihren Dokumenten und Metadaten). Kontaktieren Sie uns, um einen Export anzufordern.
  • Widerspruchsrecht gegen die Verarbeitung aufgrund berechtigter Interessen (Art. 21(1)): Widerspruch gegen die Verarbeitung auf der Grundlage unserer berechtigten Interessen (z. B. Sicherheit, Analysen). Wir werden die Verarbeitung einstellen, es sei denn, wir weisen zwingende schutzwürdige Gründe nach.
  • Widerspruchsrecht gegen Direktmarketing (Art. 21(2)): Sie haben ein absolutes Recht , der Verarbeitung Ihrer personenbezogenen Daten für Zwecke der Direktwerbung jederzeit und ohne Ausnahmen zu widersprechen. Wir werden dies nach dem Widerspruch sofort einstellen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18): Anforderung der Einschränkung der Verarbeitung unter bestimmten Umständen
  • Recht auf Widerruf der Einwilligung (Art. 7(3)): Widerruf der Einwilligung jederzeit, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden (Art. 22): Siehe Abschnitt 10 unten

Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter privacy@veluvanto.com. Wir werden innerhalb eines Monats antworten. Wir müssen möglicherweise Ihre Identität überprüfen, bevor wir Ihre Anfrage erfüllen.

Ihr Widerspruchsrecht gegen die Verarbeitung aufgrund berechtigter Interessen (Art. 21(4) GDPR): Soweit wir Ihre Daten auf Grundlage unserer berechtigten Interessen verarbeiten (Art. 6(1)(f) GDPR — einschließlich Sicherheit, Betrugsprävention und Service-Analysen), haben Sie das Recht, jederzeit zu widersprechen. Im Falle eines Widerspruchs werden wir diese Verarbeitung einstellen, es sei denn, wir weisen zwingende schutzwürdige Gründe nach, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Um dieses Recht auszuüben, kontaktieren Sie privacy@veluvanto.com.

Recht auf Beschwerde: Sie haben das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. In der Tschechischen Republik ist dies:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Website: www.uoou.cz
E-Mail: posta@uoou.cz

10. Automatisierte Verarbeitung und Profiling

Veluvanto nutzt automatisierte KI-Verarbeitung, um Metadaten (Daten, Entitäten, Kategorien, Beträge) zu identifizieren und zu extrahieren. Diese automatisierte Verarbeitung:

  • Wird ausschließlich durchgeführt, um Ihnen den Dienst bereitzustellen
  • Erzeugt keine rechtlichen Wirkungen und beeinträchtigt Sie nicht in ähnlicher Weise erheblich
  • Stellt kein Profiling für Marketing- oder Entscheidungsfindungszwecke dar

Sie können ungenaue KI-generierte Metadaten jederzeit in der Dokumentendetailansicht korrigieren. Weitere Informationen über unsere KI-Systeme und deren Grenzen finden Sie in unserem KI-Transparenzhinweis.

11. Aufbewahrung von Daten

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie Ihr Konto aktiv ist oder wie es für die Erbringung der Dienstleistungen erforderlich ist. Spezifische Aufbewahrungsfristen:

  • Kontodaten und Dokumente: Aufbewahrung bis zur Kontolöschung. Nach der Kontolöschung werden die Daten innerhalb von 30 Tagen dauerhaft gelöscht.
  • Abrechnungsunterlagen: Aufbewahrung für 10 Jahre, wie vom tschechischen Buchhaltungsgesetz (Gesetz Nr. 563/1991 Slg.) vorgeschrieben.
  • Sicherheits- und Zugriffsprotokolle: Aufbewahrung für 12 Monate.
  • Nutzungsdaten (genutzte Funktionen, verbrauchte KI-Credits, Interaktionen): Aufbewahrung für 24 Monate, danach Aggregation oder Löschung.
  • KI-generierte Metadaten (Zusammenfassungen, Tags, extrahierte Entitäten): Aufbewahrung für die Lebensdauer des zugehörigen Dokuments. Löschung zusammen mit dem Dokument.
  • Marketing-Einwilligung: Bis zum Widerruf der Einwilligung.
  • Konten, die wegen Speicherüberschreitung gekündigt wurden: Konten, die aufgrund dauerhafter Speicherüberschreitung (wie in Abschnitt 19 der Nutzungsbedingungen beschrieben) gekündigt wurden – alle personenbezogenen Daten und Dokumente werden gemäß DSGVO Artikel 17 innerhalb von 30 Tagen nach der Kündigung dauerhaft gelöscht.

In den Papierkorb verschobene Dokumente werden 30 Tage lang aufbewahrt, bevor sie dauerhaft gelöscht werden.

12. Cookies

Wir verwenden Cookies und ähnliche Technologien. Wir nutzen nur unbedingt erforderliche Cookies, die für den Betrieb des Dienstes notwendig sind (Sitzungsverwaltung und Authentifizierung). Wir verwenden keine Tracking-Cookies oder Werbe-Cookies von Drittanbietern. Detaillierte Informationen finden Sie in unserer Cookie-Richtlinie.

13. Schutz der Privatsphäre von Kindern

Unser Dienst richtet sich nicht an Kinder unter 18 Jahren. Wir erheben nicht wissentlich personenbezogene Daten von Kindern. Wenn Sie glauben, dass wir versehentlich Daten von einem Kind erhoben haben, kontaktieren Sie uns bitte, und wir werden diese umgehend löschen.

14. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren. Wir werden Sie über alle wesentlichen Änderungen per E-Mail und durch Veröffentlichung der neuen Richtlinie auf dieser Seite mit einem aktualisierten Datum der „letzten Aktualisierung“ informieren, mindestens 30 Tage bevor die Änderungen in Kraft treten. Bei wesentlichen Änderungen an der Art und Weise, wie wir Ihre Daten verarbeiten, werden wir, sofern erforderlich, eine erneute Einwilligung einholen.

15. Kontaktieren Sie uns

Bei Fragen zu dieser Datenschutzrichtlinie, zur Ausübung Ihrer Rechte oder bei Datenschutzbedenken:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-Mail: privacy@veluvanto.com