Datenschutzerklärung

Gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO)

1. Verantwortlicher

Gökhan Sagir
Erdbergstraße 121/9
1030 Wien, Österreich
E-Mail: datenschutz@scryp.at

2. Unsere Grundsätze beim Umgang mit Ihren Daten

scryp setzt auf clientseitige Verschlüsselung. Das bedeutet: Ihre Transkripte, Audio-Dateien und Dateinamen werden in Ihrem Browser verschlüsselt und auf unseren Servern ausschließlich in verschlüsselter Form gespeichert. Ohne Ihren persönlichen Schlüssel sind diese Daten für niemanden lesbar - auch nicht für uns.

Unsere verbindlichen Grundsätze:

Kein KI-Training mit Ihren Daten

Ihre Audiodateien und Transkripte werden niemals zum Training unserer oder fremder Sprachmodelle verwendet. Dies ist Bestandteil unserer Sicherheitsarchitektur, nicht nur eine Absichtserklärung: Ihre gespeicherten Inhalte liegen ausschließlich verschlüsselt vor.

Kein Mitarbeiter-Zugriff auf Ihre Inhalte

Gespeicherte Audiodateien und Transkripte sind für unsere Mitarbeiter und Dritte nicht zugänglich. Da wir Ihren persönlichen Entschlüsselungsschlüssel nicht besitzen, können wir keine lesbaren Kopien Ihrer gespeicherten Inhalte herausgeben - auch nicht auf behördliche Anordnung.

Verarbeitung ausschließlich in Deutschland und Österreich

Die Sprachverarbeitung - also die Transkription Ihrer Audio-Dateien - erfolgt ausschließlich in unserem eigenen Rechenzentrum in Wien. Ihre verschlüsselten Dateien werden bei der Hetzner Online GmbH in Nürnberg gespeichert (ISO 27001 zertifiziert). Ihre verschlüsselten Inhalte (Audio, Transkripte, Dateinamen) verlassen zu keinem Zeitpunkt Deutschland und Österreich.

Verschlüsselungsarchitektur im Detail

  • Jede Audio-Datei wird in Ihrem Browser mit einem zufällig erzeugten Dateischlüssel (FEK) und AES-256-GCM verschlüsselt, bevor sie unsere Server erreicht.
  • Transkripte werden unmittelbar nach der Erstellung mit Ihrem Dateischlüssel gesichert - auf unseren Datenträgern liegt zu keinem Zeitpunkt ein Transkript im Klartext vor.
  • Ihr Verschlüsselungsschlüssel, der MEK (Master Encryption Key), wird zufällig erzeugt und mit einem aus Ihrem Passwort abgeleiteten Schlüssel geschützt. Der MEK verlässt nie Ihren Browser.
  • Original-Audiodateien werden nach der Verarbeitung automatisch gelöscht. Auf dem Server verbleibt ausschließlich eine verschlüsselte Playback-Version (MP3).

Was für uns sichtbar bleibt (Metadaten): E-Mail-Adresse, Dateigröße, Dateityp, Audiodauer, Erstellungszeitpunkt, Verarbeitungsstatus und Abo-Plan. Ihre eigentlichen Inhalte (Audio, Transkripte, Dateinamen) sind auf unseren Servern ausschließlich verschlüsselt gespeichert.

3. Welche Daten wir verarbeiten

3.1 Registrierung & Konto

Bei der Registrierung speichern wir:

  • E-Mail-Adresse (für Login und Kommunikation)
  • Passwort-Hash (Argon2id - das Klartext-Passwort wird nicht gespeichert)
  • Verschlüsselter Master Encryption Key (MEK), zugehöriger Initialisierungsvektor (IV) und KDF-Salt

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Bereitstellung dieser Daten ist für die Vertragsdurchführung erforderlich; ohne sie kann kein Konto erstellt werden.

3.2 Audio- & Video-Uploads

Hochgeladene Dateien werden in Ihrem Browser verschlüsselt, bevor sie unsere Server erreichen. Auf unseren Servern sind Ihre Dateien ausschließlich in verschlüsselter Form gespeichert und nur mit Ihrem persönlichen Schlüssel zugänglich. Nach Abschluss der Transkription wird die Original-Datei gelöscht und durch eine verschlüsselte Playback-Version (MP3) ersetzt.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

3.2a URL-basierte Uploads

Bei Nutzung der URL-Upload-Funktion wird die Audio- bzw. Videodatei direkt von der angegebenen Quelle auf unseren Verarbeitungsserver heruntergeladen. In diesem Fall erfolgt keine clientseitige Verschlüsselung des Audiomaterials. Das heruntergeladene Material wird ausschließlich im RAM verarbeitet und nach der Transkription umgehend gelöscht. Das resultierende Transkript und die Playback-Datei werden wie gewohnt clientseitig verschlüsselt gespeichert. Es werden keine Cookies, Tokens oder Zugangsdaten der Quell-Plattform gespeichert oder übermittelt.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

3.3 Transkripte

Transkripte werden unmittelbar nach der Erstellung mit Ihrem persönlichen Dateischlüssel gesichert und ausschließlich verschlüsselt auf unseren Datenträgern abgelegt. Die dort abgelegten Inhalte können von uns nicht eingesehen werden. Ihre Transkripte werden nicht zum Training von Sprachmodellen verwendet - weder von uns noch von Dritten. Dafür sorgt unsere Verschlüsselungsarchitektur: Der Schlüssel zu Ihren Inhalten existiert ausschließlich in Ihrem Browser. Die auf unseren Datenträgern abgelegten Transkripte sind ohne diesen Schlüssel für niemanden lesbar.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

3.4 E-Mail-Kommunikation

Für den Versand von E-Mails nutzen wir Mailjet (Sinch Germany GmbH, ISO 27001 zertifiziert, Serverstandort Frankreich). Verarbeitet wird ausschließlich Ihre E-Mail-Adresse sowie technische Metadaten zur Zustellung. Alle Daten verbleiben innerhalb der EU. Wir versenden folgende Arten von E-Mails:

  • Transaktionale E-Mails: Verifizierung, Passwort-Reset, geplante Wartungsfenster
  • Produktbezogene Benachrichtigungen: Service-Updates, Preisänderungen, neue Funktionen

Produktbezogene Benachrichtigungen können Sie jederzeit über den Abmeldelink in der jeweiligen E-Mail abbestellen. Transaktionale E-Mails sind für den Betrieb des Dienstes erforderlich und können nicht abbestellt werden. Rechnungen und Zahlungsbestätigungen werden direkt von Stripe versendet.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für transaktionale E-Mails; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 174 Abs. 4 TKG 2021) für produktbezogene Benachrichtigungen

3.5 Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe (Stripe Payments Europe, Ltd., Dublin, Irland). Wir speichern lediglich Ihre Stripe-Kundennummer, den gewählten Plan und den Abonnementstatus. Kreditkartennummern oder Bankdaten werden ausschließlich von Stripe verarbeitet und sind für uns nicht einsehbar. Stripe ist PCI-DSS-zertifiziert.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie gesetzliche Aufbewahrungspflicht (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 132 BAO)

3.6 Kundensupport

Für den Empfang und die Bearbeitung von Support-Anfragen nutzen wir Microsoft 365 (Microsoft Ireland Operations Ltd., Irland). Soweit hierbei Daten in die USA übertragen werden, erfolgt dies auf Basis des EU-US Data Privacy Frameworks (DPF). Verarbeitet werden Ihre E-Mail-Adresse und der Inhalt Ihrer Anfrage.

Rechtsgrundlage: Berechtigtes Interesse an der Beantwortung von Kundenanfragen (Art. 6 Abs. 1 lit. f DSGVO)

4. Teilen von Transkripten

scryp bietet die Möglichkeit, einzelne Transkripte über einen passwortgeschützten Link mit Dritten zu teilen. Dabei wird der Dateischlüssel (FEK) mit einem vom Teilen-Passwort abgeleiteten Schlüssel (PBKDF2) verschlüsselt und zusammen mit einem kryptografischen Salt auf unseren Servern gespeichert. Weder das Passwort noch der unverschlüsselte Dateischlüssel werden an unsere Server übermittelt. Empfänger entschlüsseln das Transkript ausschließlich in ihrem eigenen Browser.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

5. Lokale Speicherung im Browser (localStorage)

scryp verwendet keine Cookies. Stattdessen nutzen wir den localStorage Ihres Browsers ausschließlich für technisch notwendige Daten:

  • Authentifizierungs-Token (JWT) für Ihre aktive Sitzung
  • Verschlüsselungsschlüssel (MEK) für die clientseitige Entschlüsselung Ihrer Inhalte
  • Abo-Plan-Information für die Steuerung von Upload-Limits

Diese Daten sind technisch unbedingt erforderlich für die Nutzung des Dienstes. Es werden keine Tracking-, Analyse- oder Werbe-Technologien eingesetzt. Wir verwenden weder Google Analytics noch sonstige Analyse-Werkzeuge. Beim Logout oder bei der Kontolöschung werden alle localStorage-Daten gelöscht.

6. Hosting & Datenstandort

Unsere Infrastruktur wird ausschließlich in Deutschland und Österreich betrieben:

Webseite, API & Datenspeicherung - Nürnberg, Deutschland

Unsere Web-Anwendung, das Backend und die verschlüsselte Datenspeicherung (S3-Objektspeicher) werden in Rechenzentren der Hetzner Online GmbH in Nürnberg betrieben. Hetzner ist nach ISO 27001 zertifiziert. Alle dort gespeicherten Inhalte (Audio, Transkripte, Dateinamen) liegen ausschließlich in verschlüsselter Form vor.

Transkription & Sprachverarbeitung - Wien, Österreich

Die eigentliche Verarbeitung Ihrer Audio-Dateien - also die Transkription mittels KI-Spracherkennung und Sprechererkennung - erfolgt ausschließlich in unserem eigenen Rechenzentrum in Wien. Dort wird das verschlüsselte Audio temporär im Arbeitsspeicher (RAM) entschlüsselt, verarbeitet und sofort sicher gelöscht. Zu keinem Zeitpunkt werden unverschlüsselte Inhalte dauerhaft gespeichert.

7. Speicherdauer

Kontodaten (E-Mail, Passwort-Hash, verschlüsselter MEK)

Bis zur Löschung Ihres Kontos durch Sie; nach Kündigung ohne Kontolöschung bleibt das Konto noch bis zu 90 Tage zur Reaktivierung bestehen

Verschlüsselte Inhalte (Audio-Playback & Transkripte)

Bis zur Löschung durch Sie oder bis zu 90 Tage nach Ende eines Abonnements; Original-Audiodateien werden nach der Verarbeitung automatisch gelöscht

Rechnungsdaten (bei Stripe gespeichert)

7 Jahre (gesetzliche Aufbewahrungspflicht gemäß § 132 BAO); Stripe kann eigene Aufbewahrungsfristen haben

8. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

Auskunft (Art. 15 DSGVO)

Sie können eine Bestätigung verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten, und Auskunft über diese Daten erhalten.

Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, etwa wenn Sie deren Richtigkeit bestreiten.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f) beruht.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@scryp.at

Wir werden Ihren Antrag unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO).

Hinweis zur Verschlüsselungsarchitektur: Da Transkripte, Audio-Dateien und Dateinamen clientseitig verschlüsselt sind und wir keinen Zugang zum Klartext haben, können wir inhaltliche Auskünfte über diese Daten nicht erteilen. Sie können Ihre Inhalte jederzeit selbst im Browser entschlüsseln, exportieren (PDF, DOCX, TXT, SRT, VTT) und löschen. Wir können Ihnen selbstverständlich Auskunft über alle nicht-verschlüsselten personenbezogenen Daten erteilen (E-Mail-Adresse, Metadaten, Abonnementdaten).

9. Passwort-Reset & Datenverlust

Da Ihr Verschlüsselungsschlüssel (MEK) aus Ihrem Passwort abgeleitet wird, führt ein Passwort-Reset dazu, dass der bestehende MEK nicht mehr entschlüsselt werden kann. Alle verschlüsselten Daten (Transkripte, Audio-Dateien, Dateinamen) werden bei einem Passwort-Reset automatisch und unwiderruflich gelöscht. Ein neuer Master Encryption Key (MEK) wird erzeugt. Ihre Inhalte sind ausschließlich mit Ihrem persönlichen MEK entschlüsselbar - ohne ihn ist ein Zugriff auf bestehende Daten nicht möglich.

10. Kontolöschung

Bei Löschung Ihres Kontos werden alle personenbezogenen Daten sowie alle verschlüsselten Inhalte (Audio-Dateien, Transkripte, Dateinamen) unwiderruflich gelöscht. Ausgenommen sind Rechnungsdaten, die wir aufgrund gesetzlicher Aufbewahrungspflichten (§ 132 BAO: 7 Jahre) aufbewahren müssen, sowie bei Stripe gespeicherte Zahlungsdaten, die der Datenschutzerklärung von Stripe unterliegen.

Wenn Sie lediglich Ihr Abonnement kündigen, Ihr Konto aber nicht löschen, bleiben Ihr Dashboard und bestehende Inhalte noch bis zu 90 Tage verfügbar, damit Sie Ihr Abonnement reaktivieren oder Ihre Daten selbst exportieren können. Danach werden die gespeicherten Produktdaten automatisch gelöscht.

11. Technische und organisatorische Maßnahmen

Wir setzen umfassende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum Schutz Ihrer personenbezogenen Daten ein.

Verschlüsselung

  • Verschlüsselung auf Ihrem Gerät: Alle Inhalte werden in Ihrem Browser mit AES-256-GCM verschlüsselt, bevor sie unsere Server erreichen. Der Schlüsselaustausch erfolgt über RSA-4096 mit OAEP-Padding.
  • Passwortableitung: Ihr Verschlüsselungsschlüssel wird mit PBKDF2-SHA256 und 600.000 Iterationen aus Ihrem Passwort abgeleitet.
  • Passwort-Hashing: Argon2id (memory-hard, resistent gegen Brute-Force und GPU-Angriffe)
  • Transportverschlüsselung: TLS 1.2/1.3 für alle Verbindungen zwischen Ihrem Browser, unserer API und dem Speicher
  • Serverschlüssel verschlüsselt: Der private RSA-Schlüssel des Servers ist selbst mit AES-256-GCM verschlüsselt und wird nie im Klartext gespeichert

Zugriffskontrolle

  • Schlüsselbasierter Serverzugang: Kein Passwort-Login auf Servern - ausschließlich SSH-Key-Authentifizierung
  • Least-Privilege-Prinzip: Minimale Zugriffsrechte auf allen Ebenen (Datenbank, Cache, Anwendung)
  • Nicht-privilegierte Container: Alle Anwendungen laufen als nicht-root Benutzer ohne Möglichkeit zur Rechteausweitung
  • Getrennte Netzwerkzonen: Datenbank, Cache und Anwendung laufen in isolierten Netzwerkbereichen mit restriktiven Netzwerkrichtlinien
  • Privates Netzwerk: Die Kommunikation zwischen Servern erfolgt ausschließlich über ein privates, nicht öffentlich erreichbares Netzwerk
  • Login-Schutz: Automatische Sperrung nach wiederholten fehlgeschlagenen Anmeldeversuchen
  • E-Mail-Verifizierung: Pflichtbestätigung der E-Mail-Adresse bei Registrierung

HTTP-Sicherheit

  • Content Security Policy (CSP): Schutz vor Cross-Site-Scripting und Code-Injection
  • HSTS mit Preload: Erzwungene verschlüsselte Verbindungen für alle Zugriffe
  • Clickjacking-Schutz: Einbettung unserer Seiten in fremde Websites ist unterbunden
  • Keine Technologie-Offenlegung: Server-Versionsinformationen werden nicht preisgegeben

Verfügbarkeit und Belastbarkeit

  • Hochverfügbare Infrastruktur: Redundanter 3-Node-Cluster mit automatischem Failover für Datenbank und Cache
  • Synchrone Datenbankreplikation: Drei Datenbankinstanzen mit synchroner Replikation - kein Datenverlust bei Ausfall einer Instanz
  • DDoS-Schutz: Automatische Erkennung und Abwehr von Angriffen auf Infrastrukturebene
  • Ausfallsichere Deployments: Aktualisierungen erfolgen unterbrechungsfrei (Zero-Downtime) mit automatischer Rollback-Möglichkeit
  • Selbstheilung: Ausgefallene Komponenten werden automatisch erkannt und neu gestartet

Backup und Wiederherstellung

  • Tägliche Datenbanksicherung: Automatische Backups auf verschlüsseltem externem Speicher
  • Point-in-Time Recovery: Wiederherstellung der Datenbank auf jeden beliebigen Zeitpunkt möglich
  • Dokumentiertes Disaster Recovery: Vollständiges Wiederherstellungsverfahren für den Totalausfall dokumentiert und getestet
  • Regelmäßige Resilience-Tests: Dokumentierte Ausfallszenarien (Datenbank-Failover, Knotenausfall, Cache-Ausfall, Mehrfachausfall)

Datensparsamkeit

  • Keine Speicherung von IP-Adressen oder Zugriffsdaten
  • Kein Tracking, keine Analytics, keine Cookies
  • Automatische Löschung von Originaldateien nach Verarbeitung
  • Automatische Löschung von Verschlüsselungsschlüsseln nach Verarbeitung (Secure Erase)
  • Zeitlich begrenzte Upload-URLs (automatischer Verfall)

Hosting-Infrastruktur

  • Standort: Ausschließlich Rechenzentren der Hetzner Online GmbH in Nürnberg, Deutschland
  • ISO 27001 zertifiziert: Hetzner ist nach ISO/IEC 27001:2022 zertifiziert (SOCOTEC Certification)
  • BSI C5 Testat Typ 2: Unabhängig geprüftes Sicherheitsniveau für Cloud-Dienste nach BSI-Kriterienkatalog
  • KRITIS-Betreiber: Hetzner ist vom BSI als Betreiber kritischer Infrastrukturen eingestuft
  • TOM-Prüfung: Technisch-organisatorische Maßnahmen werden regelmäßig durch den TÜV Rheinland geprüft
  • Physische Sicherheit: 24/7-Videoüberwachung, Zutrittskontrollsysteme, Hochsicherheitszaun, redundante Stromversorgung, Brandfrühesterkennung

Trotz aller Vorkehrungen kann keine Datenübertragung über das Internet als vollständig sicher garantiert werden. Wir überprüfen und verbessern unsere Sicherheitsmaßnahmen fortlaufend.

12. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Die für Österreich zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 52 152-0
www.dsb.gv.at

Wir bitten Sie, uns zunächst unter datenschutz@scryp.at zu kontaktieren, damit wir Ihr Anliegen klären können.

13. Auftragsverarbeiter

Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten:

Web-Hosting & Speicher- Hetzner Online GmbH

Webseite, API, verschlüsselte Datenspeicherung (K3s-Cluster, S3-Objektspeicher) · Deutschland (EU)

Datenschutzerklärung des Anbieters
Transkription & Sprachverarbeitung- Eigenes Rechenzentrum (Wien)

GPU-gestützte Transkription, Audio-Verarbeitung · Wien, Österreich (EU)

Transaktionale E-Mails- Mailjet (Sinch Germany GmbH)

E-Mail-Verifizierung, Passwort-Reset, Systembenachrichtigungen · Frankreich (EU)

Datenschutzerklärung des Anbieters
Zahlungsabwicklung- Stripe Payments Europe, Ltd.

Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung · Irland (EU)*

Datenschutzerklärung des Anbieters
Kundensupport (E-Mail)- Microsoft Ireland Operations Ltd.

Empfang und Bearbeitung von Support-Anfragen via Microsoft 365 · Irland (EU)*

Datenschutzerklärung des Anbieters

* Vertragspartei ist jeweils die europäische Niederlassung (Irland). Soweit im Rahmen der Leistungserbringung Daten in die USA übermittelt werden, erfolgt dies auf Basis des EU-US Data Privacy Frameworks (DPF) und EU-Standardvertragsklauseln (SCCs).

Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderungen unserer Dienste oder der Rechtslage. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir Sie per E-Mail an die in Ihrem Konto hinterlegte Adresse informieren.

Stand: 16. März 2026