Datenschutzerklärung

§ 1 Verantwortlicher für die Datenverarbeitung

Engelmann Data Energyneering

Dr. tech. Rafael Engelmann

Florianigasse 17/19

1080 Wien, Österreich

E-Mail: office@werking.tools

§ 2 Überblick über die Datenverarbeitung

WerkING Report ist eine Plattform zur KI-gestützten Erstellung technischer Berichte für Ingenieure, Sachverständige und Fachplaner. Bei der Nutzung werden verschiedene personenbezogene Daten verarbeitet.

Diese Datenschutzerklärung informiert Sie über:

  • Welche Daten wir erheben und verarbeiten
  • Zu welchen Zwecken wir Ihre Daten verwenden
  • Ihre Rechte bezüglich Ihrer Daten
  • Wie wir Ihre Daten schützen

§ 3 Rechtsgrundlagen der Datenverarbeitung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (z.B. Bereitstellung der Plattform-Funktionen, Erstellung von Berichten).

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Verarbeitung zur Wahrung berechtigter Interessen (z.B. IT-Sicherheit, Verbesserung der Plattform, Betrugsprävention).

Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Verarbeitung zur Erfüllung rechtlicher Verpflichtungen (z.B. steuerrechtliche Aufbewahrungspflichten, berufsrechtliche Dokumentationspflichten).

§ 4 Erhobene und verarbeitete Daten

4.1 Benutzerkontodaten

  • E-Mail-Adresse (zur Anmeldung und Kommunikation)
  • Name (zur Personalisierung und Dokumentation)
  • Unternehmenszugehörigkeit (Tenant-Zuordnung)
  • Benutzerrolle (Administrator, Benutzer)

4.2 Projektdaten

  • Hochgeladene Dokumente und Pläne (Projektunterlagen)
  • Projektbeschreibungen und technische Parameter
  • Erstellte Berichte
  • Metadaten zu Projekten (Erstellungsdatum, Bearbeiter)

4.3 Technische Daten

  • IP-Adressen (aus Sicherheitsgründen)
  • Browser- und Geräteinformationen
  • Zugriffszeitpunkte und -dauer
  • Sitzungs-Cookies (funktional notwendig)

4.4 Pseudonymisierung mit Presidio NLP

Zum Schutz sensibler Daten bietet WerkING Report optional eine fortschrittliche Pseudonymisierung an:

  • Presidio NLP: Microsoft's Open-Source-Framework zur automatischen Erkennung personenbezogener Daten (Namen, Adressen, Telefonnummern, E-Mails, IBANs)
  • KI-gestützte Korrektur: Intelligente Nachbearbeitung durch Claude AI zur Vermeidung von Fehl-Erkennungen und Wahrung des fachlichen Kontexts
  • Client-seitige Verschlüsselung: Die Zuordnung zwischen Platzhaltern und Originaldaten wird mit Ihrem Passwort verschlüsselt (PBKDF2 + AES-256-GCM)
  • Lokale Speicherung: Originaldaten bleiben ausschließlich auf Ihrem Gerät und werden niemals an Server übertragen

Die Pseudonymisierung erfolgt gemäß Art. 4 Nr. 5 DSGVO. Sie können die Funktion in den Datenschutz-Einstellungen beim Upload aktivieren. Eine interaktive Demo finden Sie hier.

§ 5 Verarbeitung durch KI-Systeme

Hinweis gemäß EU AI Act

Diese Plattform verwendet Künstliche Intelligenz (KI) zur Unterstützung bei der Berichterstellung. Folgende Informationen zur KI-Verarbeitung:

Art der KI-Verarbeitung:

Generative KI-Modelle zur Texterstellung und -analyse. Die KI unterstützt bei der Strukturierung und Formulierung technischer Berichte basierend auf den vom Nutzer bereitgestellten Projektdaten.

Verwendete Dienste:

Die KI-Verarbeitung erfolgt über Anthropic (Claude) als Anbieter. Alle Anfragen werden über eine eigene KI-Infrastruktur (AI Bridge) auf EU-Servern (Hetzner, Deutschland) geroutet. Zur Verarbeitung werden ausschließlich die vom Nutzer eingegebenen Projektdaten (Texte, Strukturinformationen, Dokumentinhalte) an den KI-Dienst übermittelt — keine personenbezogenen Daten wie Name oder E-Mail-Adresse. In den Workspace-Einstellungen können Nutzer zwischen verschiedenen Datenschutzstufen wählen, darunter Optionen mit vollständiger Datenverarbeitung in der EU. Mit allen eingesetzten KI-Anbietern bestehen Auftragsverarbeitungsverträge (AVV/DPA).

Kein Training mit Ihren Daten:

Ihre Projektdaten werden NICHT zum Training von KI-Modellen verwendet. Die Verarbeitung erfolgt ausschließlich zur Erstellung der von Ihnen beauftragten Berichte.

Menschliche Kontrolle:

Alle KI-generierten Inhalte werden durch den verantwortlichen Fachexperten geprüft und freigegeben. Die KI ist ein Unterstützungswerkzeug, keine autonome Entscheidungsinstanz.

§ 6 Informationsquellen (Nutzereigene Dokumente)

Hinweis zu hochgeladenen Dokumenten

Nutzer können eigene PDF-Dokumente als Informationsquellen hochladen, die dann als Wissensgrundlage für die KI-gestützte Berichterstellung dienen.

Urheberrechtliche Verantwortung:

Mit dem Upload erklärt der Nutzer, dass er über sämtliche erforderlichen Nutzungsrechte für die hochgeladenen Dokumente verfügt und dass die digitale Verarbeitung durch KI-Systeme durch die jeweilige Lizenz gestattet ist. Die Verantwortung für die Einhaltung urheberrechtlicher Bestimmungen liegt ausschließlich beim Nutzer.

Mandantentrennung:

Hochgeladene Dokumente sind strikt auf den jeweiligen Nutzer-Account beschränkt. Es erfolgt keine Weitergabe an andere Nutzer oder Dritte. Jeder Tenant (Mandant) verfügt über einen isolierten Speicherbereich.

Verarbeitung durch Mathpix:

Zur Extraktion von Text aus PDF-Dokumenten wird der Dienst Mathpix verwendet (Server-Standort: EU/Frankfurt). Die Dokumente werden nur temporär zur Konvertierung übermittelt und nach erfolgreicher Verarbeitung nicht bei Mathpix gespeichert. Mit Mathpix besteht ein Auftragsverarbeitungsvertrag (AVV/DPA) gemäß Art. 28 DSGVO.

Löschung:

Nutzer können hochgeladene Informationsquellen jederzeit selbst löschen. Bei Löschung werden sowohl das Original-PDF als auch die extrahierten Inhalte vollständig aus dem System entfernt.

§ 7 Speicherdauer

Benutzerkontodaten

Werden für die Dauer der Vertragsbeziehung gespeichert und nach Beendigung gemäß gesetzlichen Aufbewahrungsfristen (max. 7 Jahre) gelöscht.

Projektdaten und Berichte

Werden für die Dauer des Projekts und darüber hinaus gemäß berufsrechtlichen Aufbewahrungspflichten (bis zu 10 Jahre, je nach Berufsordnung des Nutzers) gespeichert.

WerkING Check (Qualitätsanalysen)

Hochgeladene PDFs und Check-Ergebnisse werden automatisch nach 30 Tagen gelöscht. Der Nutzer kann seine Checks jederzeit vorzeitig löschen.

Technische Daten

Log-Daten werden aus Sicherheitsgründen für max. 90 Tage gespeichert und danach automatisch gelöscht.

§ 8 Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten erfolgt nur in folgenden Fällen:

KI-Dienstleister

Zur KI-gestützten Berichterstellung werden Projektdaten über unsere eigene KI-Infrastruktur (AI Bridge, EU-Server) an Anthropic (Claude) als primären KI-Anbieter übermittelt. Bei US-Anbietern gelten die EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework. Mit allen eingesetzten Anbietern bestehen Auftragsverarbeitungsverträge (AVV/DPA).

Hosting-Dienstleister

Die Plattform wird über Vercel (USA, EU-US DPF zertifiziert) betrieben. Datenspeicherung erfolgt in der EU (Frankfurt am Main). Die KI-Infrastruktur (AI Bridge) läuft auf Hetzner-Servern in der EU. Alle Hosting-Anbieter verarbeiten Daten ausschließlich im Auftrag und nach Weisung.

Zahlungsdienstleister

Für die Abwicklung von Zahlungen nutzen wir Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande). Bei einem Kauf werden die für die Zahlungsabwicklung erforderlichen Daten (Name, E-Mail, Rechnungsadresse, Zahlungsinformationen) an Mollie übermittelt. Mollie verarbeitet diese Daten als eigenständiger Verantwortlicher gemäß der eigenen Datenschutzerklärung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mollie ist ein in der EU ansässiger Zahlungsdienstleister und unterliegt der europäischen Datenschutzgesetzgebung.

Gesetzliche Verpflichtungen

Bei gesetzlicher Verpflichtung oder behördlicher Anordnung kann eine Datenweitergabe an zuständige Behörden erforderlich sein.

§ 9 Cookies und Tracking

Minimaler Cookie-Einsatz

Diese Plattform verwendet ausschließlich technisch notwendige Cookies für:

  • Sitzungsverwaltung (Session-Cookie zur Authentifizierung)
  • Sicherheitsfunktionen (CSRF-Schutz)
  • Benutzereinstellungen (Sprachauswahl, Theme)

Es werden KEINE Marketing-Cookies, Tracking-Cookies oder Cookies von Drittanbietern verwendet.

§ 10 Ihre Rechte (Betroffenenrechte)

Nach der DSGVO haben Sie folgende Rechte:

Auskunftsrecht (Art. 15)

Recht auf Auskunft über Ihre gespeicherten Daten

Berichtigungsrecht (Art. 16)

Recht auf Berichtigung unrichtiger Daten

Löschungsrecht (Art. 17)

Recht auf Löschung Ihrer Daten ("Recht auf Vergessenwerden")

Einschränkungsrecht (Art. 18)

Recht auf Einschränkung der Verarbeitung

Datenübertragbarkeit (Art. 20)

Recht auf Erhalt Ihrer Daten in maschinenlesbarem Format

Widerspruchsrecht (Art. 21)

Recht auf Widerspruch gegen die Verarbeitung

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: office@werking.tools

§ 11 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde in Österreich ist:

Österreichische Datenschutzbehörde

Barichgasse 40-42

1030 Wien

E-Mail: dsb@dsb.gv.at

Web: www.dsb.gv.at

§ 12 Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten
  • Regelmäßige Sicherheitsupdates und Überprüfungen
  • Zugriffskontrolle und Benutzerauthentifizierung
  • Regelmäßige Datensicherungen
  • AES-256-GCM Verschlüsselung aller gespeicherten Projektdaten (Encryption at Rest)
  • Datenspeicherung in EU-Rechenzentren (Frankfurt am Main)

§ 13 Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei Bedarf angepasst werden, um Änderungen unserer Datenverarbeitungspraktiken oder rechtlicher Anforderungen zu berücksichtigen. Die aktuelle Version ist stets auf dieser Seite abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.