Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

SH Engineering

Inhaber: Hünkar Sönmez

Wittelsbacherstraße 36

90584 Allersberg

Deutschland

E-Mail: info@sh-eng.de

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Hosting & technische Bereitstellung

Die Web-Anwendung CE-Copilot (Frontend, serverseitiges Rendering und Server-Logfiles) wird über die Plattform von Railway Corp. (San Francisco, Kalifornien, USA) bereitgestellt; die Auslieferung erfolgt bevorzugt über Rechenzentren innerhalb der EU.

Beim Aufruf unserer Website werden dabei automatisch Informationen in sogenannten Server-Logfiles erfasst, die Ihr Browser automatisch übermittelt. Dies sind:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Übertragene Datenmenge
  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL

Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an der technisch fehlerfreien, sicheren Darstellung und Optimierung unseres Angebots. Mit Railway besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; etwaige Datenübermittlungen in die USA sind durch das EU-US Data Privacy Framework bzw. Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.

Datenbank, Authentifizierung und Datei-Speicher (Storage) betreiben wir über Supabase (Supabase Inc.). Die hierfür genutzten Server befinden sich innerhalb der EU bzw. des EWR. Mit Supabase besteht ebenfalls ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

4. Erhebung personenbezogener Daten

a) Kontodaten

Bei der Registrierung für CE-Copilot erheben wir folgende personenbezogene Daten:

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Unternehmen (optional)
  • Passwort (verschlüsselt gespeichert)

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ohne diese Daten können wir den Vertrag über die Nutzung von CE-Copilot nicht erfüllen.

b) Registrierung und Anmeldung mit Google

Alternativ zur Registrierung mit E-Mail-Adresse und Passwort können Sie sich mit Ihrem Google-Konto registrieren und anmelden („Sign in with Google“). Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA). Wir erhalten dabei von Google die folgenden Daten: Name, E-Mail-Adresse, Google-Konto-ID sowie gegebenenfalls Ihr Profilbild. Ein Passwort wird bei diesem Anmeldeweg nicht bei uns gespeichert.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Nutzung von Google zur Anmeldung ist freiwillig; die Registrierung mit E-Mail-Adresse und Passwort steht als Alternative zur Verfügung. Soweit Daten durch Google LLC in den USA verarbeitet werden, ist Google LLC unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen finden Sie in der Datenschutzerklärung von Google: policies.google.com/privacy.

c) Nutzungsdaten

Bei der Nutzung von CE-Copilot erfassen wir automatisch Nutzungsdaten, um die Funktionalität und Qualität unseres Dienstes sicherzustellen:

  • Erstellte Projekte und Dokumente innerhalb der Anwendung
  • Zeitpunkt und Dauer der Nutzung
  • Genutzte Funktionen und Features
  • Technische Fehlermeldungen

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Dienstes).

5. Cookies, Einwilligung & Reichweitenmessung

a) Technisch notwendige Cookies

CE-Copilot verwendet technisch notwendige Cookies, die für den Betrieb der Anwendung erforderlich sind — insbesondere Session-Cookies (z. B. sb-…-auth-token) zur Aufrechterhaltung Ihrer Anmeldung. Diese werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TDDDG gesetzt (unbedingt erforderlich) und benötigen keine Einwilligung.

b) Einwilligung für optionale Cookies

Optionale, nicht zwingend erforderliche Technologien — insbesondere die unten beschriebene Reichweitenmessung — setzen wir ausschließlich mit Ihrer vorherigen Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Beim ersten Besuch fragen wir diese über ein Einwilligungsbanner ab. Solange Sie nicht zustimmen, werden keine Analyse-Cookies gesetzt und kein Analyse-Dienst geladen. Ihre Entscheidung können Sie jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen“ im Seitenfuß ändern oder widerrufen.

Im Banner können Sie zwischen drei Stufen wählen:

  • Akzeptieren — Reichweitenmessung einschließlich anonymisierter Sitzungsaufzeichnung (Session-Replay, s. u.).
  • Nur Reichweitenmessung — anonyme Nutzungsstatistik ohne Sitzungsaufzeichnung; es findet kein Session-Replay statt.
  • Ablehnen — ausschließlich technisch notwendige Cookies, kein Analyse-Dienst.

c) Reichweitenmessung mit PostHog

Mit Ihrer Einwilligung nutzen wir PostHog zur Analyse der Nutzung unseres Angebots (z. B. aufgerufene Seiten, genutzte Funktionen), um CE-Copilot zu verbessern. Nur wenn Sie zusätzlich der vollen Stufe („Akzeptieren“) zustimmen, zeichnen wir darüber hinaus Sitzungen auf (Session-Replay), um Bedienprobleme zu erkennen. Bei der Stufe „Nur Reichweitenmessung“ findet keine Sitzungsaufzeichnung statt. Anbieter ist PostHog, Inc.; die Daten werden in der EU-Cloud von PostHog auf Servern innerhalb der EU gespeichert und verarbeitet. PostHog setzt hierzu Cookies bzw. vergleichbare Technologien ein.

Wir haben PostHog datenschutzfreundlich konfiguriert: Bei der Sitzungsaufzeichnung werden sämtliche Eingaben und Texte automatisch maskiert, sodass keine eingegebenen Inhalte (z. B. Namen, E-Mail-Adressen, Dokumentinhalte) übertragen werden – aufgezeichnet werden ausschließlich Seitenaufbau und Interaktionsmuster. Zudem: keine Personenprofile für anonyme Besucher und Beachtung der „Do Not Track“-Einstellung Ihres Browsers.

Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Mit PostHog besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich in der EU-Cloud von PostHog; eine Übermittlung in ein Drittland (insbesondere die USA) findet nicht statt.

6. KI-Verarbeitung (Claude AI)

CE-Copilot nutzt den KI-Dienst Claude von Anthropic (Anthropic, PBC, San Francisco, USA) zur Analyse und Erstellung von CE-relevanten Dokumenten, Risikobeurteilungen und weiteren Inhalten.

Bei der Nutzung von KI-gestützten Funktionen in CE-Copilot werden die von Ihnen eingegebenen Daten (z. B. Maschinenbeschreibungen, Gefahrenanalysen, technische Parameter) an die Server von Anthropic übermittelt und dort verarbeitet. Anthropic verarbeitet die Daten ausschließlich zur Erbringung des Dienstes (Generierung der KI-Antwort).

Wichtiger Hinweis: Ihre Daten werden von Anthropic nicht zum Training der KI-Modelle verwendet.

Wir haben mit Anthropic eine Auftragsverarbeitungsvereinbarung (Data Processing Agreement) abgeschlossen, die den Anforderungen des Art. 28 DSGVO entspricht. Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die KI-Verarbeitung Kernbestandteil der CE-Copilot-Dienstleistung ist.

7. Rechte der Betroffenen

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung oder aus Gründen des öffentlichen Interesses erforderlich ist.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Recht auf Widerspruch (Art. 21 DSGVO): Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@sh-eng.de

8. Datenweitergabe an Dritte

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt. Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, wenn:

  • Sie Ihre nach Art. 6 Abs. 1 lit. a DSGVO ausdrückliche Einwilligung erteilt haben,
  • die Weitergabe nach Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
  • eine gesetzliche Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO besteht, oder
  • dies für die Vertragsabwicklung gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich ist.

Aktuell nutzen wir folgende Dienstleister als Auftragsverarbeiter:

  • Supabase Inc. — Hosting, Datenbank, Authentifizierung
  • Anthropic, PBC — KI-Verarbeitung (Claude AI)
  • IONOS SE — E-Mail-Versand via SMTP (transaktionale E-Mails, Kontaktanfragen); deutscher Anbieter
  • Railway Corp. (USA) — Hosting & Auslieferung der Web-Anwendung
  • Stripe Payments Europe, Ltd. (Dublin, Irland) bzw. Stripe, Inc. (USA) — Zahlungsabwicklung
  • PostHog, Inc. (EU-Cloud, Server in der EU) — Reichweitenmessung/Webanalyse, nur mit Ihrer Einwilligung

Soweit Auftragsverarbeiter personenbezogene Daten außerhalb der EU bzw. des EWR (insbesondere in den USA) verarbeiten, ist ein angemessenes Datenschutzniveau durch das EU-US Data Privacy Framework und/oder den Abschluss von EU-Standardvertragsklauseln (Art. 46 DSGVO) sichergestellt. Mit allen genannten Dienstleistern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

9. SSL-/TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

10. Aufbewahrungsfristen

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Nach Beendigung des Vertragsverhältnisses werden Ihre Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Für einzelne Datenkategorien gelten dabei insbesondere folgende Fristen bzw. Kriterien:

  • Server-Logfiles: Speicherung nur für den zur Gewährleistung von Sicherheit und Betriebsstabilität erforderlichen Zeitraum; Löschung bzw. Anonymisierung erfolgt regelmäßig, spätestens nach 30 Tagen.
  • Reichweitenmessung (PostHog): Die Analyse-Daten werden nach Ablauf des im Analyse-Dienst eingestellten Aufbewahrungszeitraums automatisch gelöscht.
  • Kontaktanfragen: Löschung, sobald die Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Konto- und Vertragsdaten: Löschung nach Beendigung des Vertragsverhältnisses, vorbehaltlich der nachfolgenden gesetzlichen Aufbewahrungspflichten.

Gesetzliche Aufbewahrungspflichten bestehen insbesondere nach:

  • Handelsgesetzbuch (HGB): 6 Jahre Aufbewahrungspflicht für Handelsbriefe (§ 257 Abs. 4 HGB)
  • Abgabenordnung (AO): 10 Jahre Aufbewahrungspflicht für Buchungsbelege, Rechnungen und steuerlich relevante Unterlagen (§ 147 Abs. 3 AO)

Nach Ablauf der gesetzlichen Aufbewahrungsfristen werden Ihre Daten unverzüglich gelöscht.

11. Kontaktaufnahme & E-Mail-Versand

Wenn Sie uns über das Kontaktformular oder per E-Mail kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten (Name, E-Mail-Adresse, ggf. Unternehmen und Telefonnummer sowie den Inhalt Ihrer Nachricht), um Ihre Anfrage zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Diese Daten werden gelöscht, sobald sie zur Erreichung des Zwecks nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für den Versand von transaktionalen E-Mails (z. B. Registrierungsbestätigung, Passwort-Zurücksetzung) und Kontaktanfragen nutzen wir den SMTP-Dienst von IONOS SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland).

Transaktionale E-Mails sind für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Der E-Mail-Versand bei Kontaktanfragen erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) bzw. zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).

Beim Versand von E-Mails werden Ihre E-Mail-Adresse und ggf. Ihr Name über die IONOS-SMTP-Server verarbeitet. Die Server befinden sich in Deutschland.

12. Zahlungsabwicklung

Sofern kostenpflichtige Leistungen in Anspruch genommen werden, erfolgt die Zahlungsabwicklung über Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland; für bestimmte Verarbeitungen Stripe, Inc., USA). Im Rahmen der Zahlungsabwicklung werden die dafür erforderlichen Daten (z. B. Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsinformationen) an Stripe übermittelt.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ihre vollständigen Zahlungsdaten (z. B. Kreditkartennummern) werden ausschließlich durch Stripe verarbeitet und sind uns nicht zugänglich. Etwaige Datenübermittlungen in die USA sind durch das EU-US Data Privacy Framework abgesichert.

13. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: Juli 2026