CertX
DEENStartseite

Datenschutzerklärung

Stand: 14. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:

IP Strategy UG (haftungsbeschränkt), handelnd als „Siyaya Digital“ (Produkt: CertX), Niederrheinstraße 46f, 41472 Neuss, Deutschland. Vertreten durch den Geschäftsführer Ilya Piontek. E-Mail: legal@siyaya-digital.com.

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt; eine Bestellpflicht nach Art. 37 DSGVO bzw. § 38 BDSG besteht derzeit nicht. Bei Fragen zum Datenschutz wenden Sie sich bitte an die vorstehende Adresse.

2. Geltungsbereich und Rechtsgrundlagen

Diese Erklärung gilt für die Website certx.app und die CertX-Anwendung. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der DSGVO, dem BDSG und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

Rechtsgrundlagen sind je nach Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Nutzungsverhältnis), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, insbesondere Sicherheit und Betrieb).

3. Hosting und Infrastruktur (EU)

Die Anwendung wird in der Europäischen Union betrieben; die Datenhaltung erfolgt in der EU-Region Frankfurt am Main.

Vercel (Hosting/CDN)

Das Frontend und die Server-Funktionen werden über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA, bereitgestellt. Die Server-Funktionen sind auf die EU-Region (Frankfurt, „fra1“) festgelegt. Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; für etwaige Übermittlungen in die USA werden Standardvertragsklauseln (Art. 46 DSGVO) bzw. – soweit zertifiziert – das EU-US Data Privacy Framework herangezogen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Supabase (Datenbank, Speicher, Authentifizierung)

Datenbank, Datei-Speicher (hochgeladene Zeichnungen) und Authentifizierung werden über Supabase betrieben (Supabase Inc., USA), gehostet in der EU-Region Frankfurt (AWS eu-central-1). Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; für Drittlandbezüge gelten Standardvertragsklauseln (Art. 46 DSGVO). Die Mandantentrennung wird technisch durch Row-Level-Security (RLS) erzwungen.

4. Server-Logfiles

Beim Aufruf der Website werden technisch notwendige Zugriffsdaten verarbeitet, die Ihr Browser übermittelt:

  • gekürzte/aufgerufene URL und Referrer
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und Betriebssystem
  • IP-Adresse (zur Auslieferung und Abwehr von Angriffen)

Die Verarbeitung dient der Auslieferung, Stabilität und Sicherheit des Dienstes. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden nur so lange gespeichert, wie es für diese Zwecke erforderlich ist.

5. Cookies und Einwilligungsverwaltung

Wir setzen technisch notwendige Cookies (Sitzung/Anmeldung, Sprach- und Theme-Einstellung sowie die Speicherung Ihrer Cookie-Einwilligung). Das Speichern bzw. Auslesen dieser Informationen ist nach § 25 Abs. 2 TDDDG unbedingt erforderlich und einwilligungsfrei.

Nicht notwendige Cookies (z. B. Statistik, Marketing) setzen wir nur mit Ihrer Einwilligung nach § 25 Abs. 1 TDDDG in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO. Über das Cookie-Banner können Sie kategoriebezogen einwilligen oder ablehnen; Ihre Auswahl können Sie jederzeit über „Cookie-Einstellungen“ in der Fußzeile ändern oder widerrufen.

Aktuell sind keine Statistik- oder Marketing-Dienste aktiv; die entsprechenden Kategorien werden vorgehalten und erst nach Ihrer Einwilligung aktiviert.

6. Schriftarten

Die verwendeten Schriftarten werden lokal von unserem Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google Fonts oder anderen Drittanbietern statt; insbesondere wird Ihre IP-Adresse nicht an Dritte zur Schriftauslieferung übermittelt.

7. Nutzerkonto, Anmeldung und Zwei-Faktor-Authentisierung

Für die Nutzung von CertX wird ein Konto angelegt. Verarbeitet werden Name, E-Mail-Adresse, Rolle, Mandantenzugehörigkeit, Spracheinstellung sowie Anmelde- und Sicherheitsmetadaten (Zeitpunkt der ersten Anmeldung, Status des Passwortwechsels und der 2FA).

Aus Sicherheitsgründen müssen Sie das Initialpasswort bei der ersten Anmeldung ändern und innerhalb von 7 Tagen eine Zwei-Faktor-Authentisierung (TOTP) einrichten. Passwörter werden ausschließlich als kryptographischer Hash gespeichert; die TOTP-Geheimnisse werden bei unserem Authentifizierungs-Dienstleister (Supabase) verwaltet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (Kontosicherheit).

8. Verarbeitung hochgeladener Zeichnungen und KI-Extraktion

Kernfunktion von CertX ist das Auslesen technischer Zeichnungen. Die hochgeladenen Dateien und daraus extrahierten Merkmale werden mandantengebunden in der EU gespeichert (siehe Ziffer 3).

Zur Extraktion wird der Inhalt serverseitig an die Claude-API der Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA, übermittelt. Anthropic ist insoweit Auftragsverarbeiter (Art. 28 DSGVO); es besteht ein Auftragsverarbeitungsvertrag, und für die Übermittlung in die USA werden Standardvertragsklauseln (Art. 46 DSGVO) herangezogen. Nach den Geschäftsbedingungen für die API werden die übermittelten Inhalte nicht zum Training der Modelle verwendet und nur transient zu Betriebs- und Sicherheitszwecken vorgehalten.

Der API-Schlüssel ist ein reines Server-Geheimnis; die KI-Verarbeitung erfolgt ausschließlich innerhalb von CertX, mandantengebunden, und wird je Mandant protokolliert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Technische Zeichnungen können personenbezogene Daten enthalten (z. B. Bearbeiter-Kürzel); übermitteln Sie keine personenbezogenen Daten, die für die Prüfung nicht erforderlich sind.

9. Verbesserung der Erkennung (Korrekturen/Lernschleife)

Korrekturen, die Prüfer an der automatischen Erkennung vornehmen, können zur Verbesserung der zentralen Erkennungs-Engine verwendet werden. Vor einer mandantenübergreifenden Verwendung werden die Daten de-identifiziert: Kunden- und Zeichnungsnamen, Zeichnungsnummern und sonstige identifizierende Angaben werden entfernt; es verbleiben Geometrie- und Merkmalsdaten.

Das mandantenübergreifende Master-Dashboard zeigt ausschließlich Kennzahlen (Anzahlen, Genauigkeit in Prozent, Kategorien) – niemals Zeichnungsinhalte. Rechtsgrundlage für die Verbesserung ist Art. 6 Abs. 1 lit. f DSGVO; soweit personenbezogene Daten betroffen sind, stützen wir uns zusätzlich auf eine in den Nutzungsbedingungen erteilte Einwilligung. Sie können der Verarbeitung nach Art. 21 DSGVO widersprechen.

10. Keine ausschließlich automatisierte Entscheidung

Die KI-Extraktion ist ein Vorschlag, der von einem Menschen geprüft, korrigiert und freigegeben wird. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt.

11. Empfänger / Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies erforderlich ist. Eingesetzte Auftragsverarbeiter:

  • Vercel Inc. (USA) – Hosting/CDN, Server-Funktionen (EU-Region).
  • Supabase Inc. (USA) – Datenbank, Datei-Speicher, Authentifizierung (Hosting EU/Frankfurt).
  • Anthropic PBC (USA) – KI-Extraktion (Claude-API).

Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Weitergabe zu eigenen Werbezwecken Dritter findet nicht statt.

12. Datenübermittlung in Drittländer

Eine Verarbeitung kann in den USA stattfinden (siehe Ziffer 11). Soweit Daten außerhalb der EU/des EWR verarbeitet werden, gewährleisten wir ein angemessenes Datenschutzniveau durch Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) und – soweit der Empfänger zertifiziert ist – durch das EU-US Data Privacy Framework (Art. 45 DSGVO).

13. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke oder zur Erfüllung gesetzlicher Aufbewahrungspflichten erforderlich ist. Konto-, Zeichnungs- und Protokolldaten werden für die Dauer des Nutzungsverhältnisses gespeichert und nach dessen Beendigung gelöscht, soweit keine Aufbewahrungspflichten (z. B. handels-/steuerrechtlich) entgegenstehen. Anschließend werden die Daten gelöscht oder gesperrt.

14. Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine Nachricht an legal@siyaya-digital.com.

15. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Für uns zuständig ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf (https://www.ldi.nrw.de).

16. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO): Transportverschlüsselung (TLS/HTTPS), Mandantentrennung per Row-Level-Security, rollenbasierte Zugriffskontrolle, serverseitige Geheimnisverwaltung (kein KI-Schlüssel im Browser) sowie verpflichtende Zwei-Faktor-Authentisierung.

17. Aktualität und Änderungen

Stand dieser Datenschutzerklärung: 14. Juni 2026. Wir passen diese Erklärung an, wenn sich die Datenverarbeitung oder die Rechtslage ändert.