Datenschutzerklärung

DSGVO-Pseudonymisierer · dsgvopwa.at · Stand: Juni 2026

    Hinweis – Testphase: Der Dienst befindet sich derzeit in einer kostenlosen
    Testphase und wird nicht gewerblich betrieben. Die kostenpflichtigen Tarife
    (Plus/Pro) sind geplant, aber noch nicht aktiv — es findet derzeit
    keine Zahlungsabwicklung statt. Diese Datenschutzerklärung wird bei Aufnahme des
    gewerblichen Betriebs entsprechend angepasst.
  

1. Verantwortlicher

Werner Kral
Oberort 32
2014 Kleedorf
Österreich
E-Mail: wkral12@gmail.com
Website: https://www.dsgvopwa.at

2. Was diese Anwendung leistet

    Der DSGVO-Pseudonymisierer ist ein datenschutzfreundliches Browser-Werkzeug:
    Dokumente werden ausschließlich lokal im Browser verarbeitet —
    personenbezogene Daten (PII) verlassen das Gerät des Nutzers nie im Klartext.
    Erst der pseudonymisierte Text (mit Platzhalter-Tokens) wird optional an eine
    selbst gewählte KI-API weitergeleitet.
  

3. Verarbeitete personenbezogene Daten

3.1 Anonyme Nutzung (ohne Registrierung)

Für die Begrenzung kostenloser KI-Anfragen wird ein anonymer Anfragezähler betrieben. Dabei wird kein Klartext der IP-Adresse gespeichert. Der Browser berechnet lokal einen SHA-256-Hash aus der IP-Adresse und einem monatlich wechselnden Salt. Nur dieser Hash wird an den Server übermittelt und dient ausschließlich der Zählung. Durch den Monatswechsel des Salts ist kein monatsübergreifendes Nutzerprofil möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Missbrauchsschutz und Betrieb des Dienstes).
Speicherdauer: Automatischer Reset mit Monatswechsel.

3.2 Registrierung und Konto

Für die Erstellung eines Kontos wird ausschließlich die E-Mail-Adresse und ein Passwort (gehashed, niemals im Klartext gespeichert) verarbeitet. Nach der Anmeldung wird ein JWT-Token (JSON Web Token) im localStorage des Browsers gespeichert, um die Sitzung für bis zu 30 Tage aufrechtzuerhalten.

Datum	Zweck	Speicherort	Dauer
E-Mail-Adresse	Kontozugang, Authentifizierung	Server (netcup, Österreich)	Bis zur Kontoauflösung
Passwort-Hash	Authentifizierung	Server (netcup, Österreich)	Bis zur Kontoauflösung
JWT-Token	Sitzungsverwaltung	Browser `localStorage`	30 Tage (automatisch)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung: Bereitstellung des Nutzerkontos).

3.3 Dokumentinhalte und PII

Hochgeladene oder eingetippte Dokumente werden ausschließlich im Arbeitsspeicher (RAM) des Browsers verarbeitet. Die Erkennung und Pseudonymisierung personenbezogener Daten erfolgt vollständig lokal — es findet keinerlei Übertragung von Klartextinhalten an Server statt. Die Inhalte werden beim Schließen des Browser-Tabs automatisch gelöscht. Kein serverseitiges Logging von Dokumentinhalten.

3.4 KI-API-Anfragen (selbst konfiguriert)

Nutzerinnen und Nutzer können eine externe KI-API (z. B. Anthropic Claude, Azure OpenAI, lokales Ollama) selbst konfigurieren. An diese API wird ausschließlich der pseudonymisierte Text übermittelt — Klartexte verbleiben im Browser. Der API-Schlüssel wird ausschließlich im RAM des Browsers gehalten und weder auf dem Server gespeichert noch protokolliert.

Für die Datenverarbeitung durch den jeweiligen KI-Anbieter sind die Datenschutzbestimmungen des gewählten Anbieters maßgeblich. Bei Nutzung von Anthropic Claude (USA) findet ein Drittlandtransfer statt (siehe Abschnitt 6).

4. Hosting und technische Infrastruktur

Der Backend-Server (Anfragezähler, Nutzerverwaltung) wird auf einem virtuellen Server der netcup GmbH betrieben.

netcup GmbH
Daimlerstraße 25, 76185 Karlsruhe, Deutschland
Serverstandort: Österreich
Datenschutzerklärung netcup

Zwischen dem Verantwortlichen und netcup besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Die PWA (Progressive Web App, Frontend) wird als statische Website vom selben Server ausgeliefert. Dabei können serviceseitig technische Zugriffsprotokolle (Webserver-Logs) entstehen, die IP-Adressen temporär enthalten können. Diese werden nach spätestens 7 Tagen automatisch gelöscht und nicht für Profilbildung genutzt.

5. Cookies und lokale Speicherung

Diese Anwendung setzt keine Marketing-Cookies und kein Tracking ein. Es werden keine Daten für Werbezwecke verarbeitet. Dokumentinhalte werden nicht für Werbung ausgewertet.

Technik	Inhalt	Zweck	Löschung
`localStorage` (JWT)	Sitzungs-Token	Anmeldung aufrechterhalten	Nach 30 Tagen oder beim Abmelden
`localStorage` (Token-Mapping, opt-in)	Pseudonym-Zuordnung	Re-Pseudonymisierung über Browser-Neustart hinaus	Nach 7 Tagen (automatisch) oder manuell
Service Worker Cache	App-Assets (kein Inhalt)	Offline-Nutzung der Anwendung	Bei App-Update automatisch

Das Token-Mapping im Platzhalter-Modus (Standard) wird nur auf ausdrücklichen Nutzerwunsch (opt-in beim Download) in localStorage gespeichert. Im verschlüsselten Modus wird kein Mapping gespeichert.

6. Datenübermittlung in Drittländer

Wenn eine Nutzerin oder ein Nutzer die KI-API von Anthropic, Inc. (USA) konfiguriert, wird der pseudonymisierte Text an Server in den USA übermittelt. Die USA gelten datenschutzrechtlich als Drittland ohne gleichwertiges Datenschutzniveau. Die Übermittlung erfolgt auf Grundlage von Art. 49 Abs. 1 lit. b DSGVO (Vertragserfüllung auf ausdrücklichen Wunsch der betroffenen Person) sowie der von Anthropic angebotenen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Nutzerinnen und Nutzer, die kein Drittlandtransfer wünschen, können alternativ Azure OpenAI in einer EU-Region oder ein lokales Ollama-Modell (kein Datentransfer nach außen) konfigurieren.

Die Registrierungs- und Zählerdaten verbleiben auf dem österreichischen Serverstandort und werden nicht in Drittländer übermittelt.

7. Rechte der betroffenen Personen

Gemäß DSGVO stehen Ihnen folgende Rechte zu, die Sie durch formlose Kontaktaufnahme per E-Mail geltend machen können:

Auskunft (Art. 15 DSGVO): Welche Daten werden über Sie verarbeitet?
Berichtigung (Art. 16 DSGVO): Unrichtige Daten korrigieren lassen.
Löschung (Art. 17 DSGVO): Konto und alle gespeicherten Daten vollständig löschen.
Einschränkung der Verarbeitung (Art. 18 DSGVO): Verarbeitung auf bestimmte Zwecke begrenzen.
Datenportabilität (Art. 20 DSGVO): Ihre Daten in maschinenlesbarem Format erhalten.
Widerspruch (Art. 21 DSGVO): Der auf berechtigtem Interesse beruhenden Verarbeitung widersprechen.

Anfragen richten Sie bitte an: wkral12@gmail.com
Anfragen zur Kontolöschung werden innerhalb von 72 Stunden bearbeitet.

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, jederzeit eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzureichen (Art. 77 DSGVO):

Datenschutzbehörde (DSB)
Barichgasse 40–42
1030 Wien
Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

9. Technische und organisatorische Maßnahmen

Die Anwendung setzt folgende Schutzmaßnahmen gemäß Art. 32 DSGVO um:

Lokale PII-Verarbeitung im Browser (kein Serverkontakt mit Klartexten)
AES-256-GCM-Verschlüsselung für Tokens im verschlüsselten Modus
HTTPS/TLS für alle Serververbindungen (inkl. HSTS)
Content Security Policy (CSP) gegen Code-Injection
SHA-256-Hashing mit monatlichem Salt für die IP-basierte Zählung (kein Klartext-IP-Logging)
Keine Speicherung von API-Schlüsseln oder Dokumentinhalten auf dem Server
Passwort-Hashing nach aktuellem Stand der Technik
Service Worker blockiert Caching von KI-API-Antworten

10. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Juni 2026. Durch die Weiterentwicklung der Anwendung oder geänderte gesetzliche Vorgaben kann eine Anpassung notwendig werden. Die jeweils aktuelle Fassung ist stets unter https://www.dsgvopwa.at/datenschutz.html abrufbar.