Datenschutzerklärung
Information gemäß Art. 13, 14 DSGVO und § 25 TDDDG. Diese Erklärung beschreibt, welche personenbezogenen Daten Lektoria verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage.
Verantwortliche Stelle
Ufuk Dumrul (Einzelunternehmen, Marke Lektoria), Königstraße 82, 53332 Bornheim. Kontakt: info@lektoria.eu.
Verarbeitete Datenkategorien
E-Mail-Adresse zur Quittungs- und Lieferzustellung. Hochgeladene Dateien inkl. enthaltener personenbezogener Daten (Eigennamen, Adressen, Matrikelnummern). Zahlungsdaten ausschließlich bei Stripe (Karteninhalt erreicht Lektoria nicht).
Zwecke der Verarbeitung
Erbringung des Lektorats inklusive Dokument-Aufbereitung (OCR), Konsens-Review, Synthese, PDF-Export sowie Versand des Ergebnisses per E-Mail. Abwicklung der Zahlung über Stripe. Erfüllung gesetzlicher Aufbewahrungspflichten.
Rechtsgrundlagen
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Upload, Review und Lieferung. Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, insbesondere Buchhaltung) für Rechnungsdaten. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Server-Logs in zeitlich begrenzter Form.
Speicherdauer
Hochgeladene Dateien werden 14 Tage nach Lieferung automatisch durch einen Cron-Job gelöscht; eine manuelle Löschung ist jederzeit über info@lektoria.eu möglich. Rechnungsrelevante Daten werden gemäß § 147 AO bis zu 10 Jahre aufbewahrt.
Auftragsverarbeiter
Hetzner Online GmbH (Falkenstein, DE) für Backend, Storage und die lokale Rechtschreibprüfung (LanguageTool); Auftragsverarbeiter nach Art. 28 DSGVO. Mistral AI (Frankreich, EU) für die Dokument-Aufbereitung (OCR / Document AI); europäisches Unternehmen, Auftragsverarbeiter nach Art. 28 DSGVO — Trainingsausschluss, Zero Data Retention und Verarbeitungsdetails sind vertraglich abschließend zu bestätigen. Microsoft (Azure OpenAI, Deployment „Data Zone Standard (EUR)“, Region Sweden Central) für den Form-Review mit GPT 5.4 sowie Amazon Web Services (AWS Bedrock, primär Region Stockholm, Failover Irland) für Substanz-Review und Synthese mit Opus 4.8; jeweils Auftragsverarbeiter nach dem jeweiligen Data Processing Addendum (Art. 28 DSGVO). Eingaben werden bei Azure und Bedrock nicht zum Training der Modelle verwendet; AWS Bedrock speichert Modellanfragen und -antworten nicht dauerhaft, Microsoft kann sie bis zu 30 Tage zur Missbrauchserkennung innerhalb der EU speichern. IONOS SE (Montabaur, DE) für transaktionale E-Mails; Auftragsverarbeiter nach Art. 28 DSGVO. Stripe Payments Europe Ltd. (Dublin, IE) für die Zahlungsabwicklung; Stripe verarbeitet Zahlungs- und Betrugspräventionsdaten teilweise als eigenständig Verantwortlicher. Die Anbieter setzen ihrerseits Unterauftragsverarbeiter ein; die jeweils aktuellen Listen sind über die verlinkten Auftragsverarbeitungsverträge einsehbar.
Datenübermittlung in Drittländer
Zu unterscheiden sind der Verarbeitungsort einerseits und ein möglicher Zugriff oder eine Übermittlung in ein Drittland andererseits — eine EU-Datenresidenz bedeutet nicht, dass ein Drittland-Zugriff in jedem Fall ausgeschlossen ist. Hetzner, IONOS und Mistral sind europäische Anbieter mit Verarbeitung in der EU. Microsoft (Azure OpenAI) verarbeitet im Deployment „Data Zone Standard (EUR)“ innerhalb der Microsoft EU Data Boundary; diese umfasst die EU-Mitgliedstaaten sowie die EFTA-Staaten (u. a. Norwegen, Schweiz), ruhende Daten verbleiben in der Region Sweden Central. AWS Bedrock verarbeitet primär in Stockholm (eu-north-1), Failover Irland (eu-west-1) — beide in der EU. Microsoft und AWS sind US-bezogene Unternehmensgruppen; soweit Daten in ein Drittland übermittelt werden oder ein Drittland-Zugriff stattfindet, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln von 2021 und ergänzend der Zertifizierung unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023). Drittlandübermittlungen werden nicht pauschal auf eine Einwilligung gestützt.
Restrisiko behördlicher Zugriffe (US-Stellen)
Beim Einsatz von Microsoft Azure und AWS Bedrock besteht trotz Verarbeitung in EU-Regionen ein Restrisiko, dass US-Behörden auf personenbezogene Daten zugreifen oder deren Herausgabe verlangen, da beide Anbieter US-bezogene Konzerne sind und US-Rechtsakte wie der CLOUD Act oder FISA 702 unter bestimmten Voraussetzungen Zugriffs- oder Herausgabepflichten begründen können. Eine Speicherung oder Verarbeitung in der EU beseitigt dieses Risiko nicht vollständig; vertragliche Garantien (Standardvertragsklauseln, Benachrichtigungs- und Anfechtungspflichten, Herausgabe nur des erforderlichen Minimums) reduzieren es, schließen es aber nicht aus. Eine durchgehende Vorab-Verschlüsselung der Inhalte ist bei KI-Modellaufrufen nicht möglich, weil das Modell die Dokumentinhalte im Klartext verarbeiten muss. Zur Risikoreduzierung nutzen wir ausschließlich europäische Regionen bzw. EU-Data-Zone-Deployments, keine globalen Modell-Deployments, eine auf 14 Tage begrenzte Speicherung sowie Auftragsverarbeitungsverträge und Standardvertragsklauseln. Ein vollständiger Ausschluss eines Zugriffs durch US-Behörden wird nicht zugesagt. Es wird empfohlen, nicht erforderliche personenbezogene Daten — insbesondere Daten Dritter und besondere Kategorien nach Art. 9 DSGVO — vor dem Upload zu entfernen.
Rechte der betroffenen Person
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf einer Einwilligung (Art. 7 Abs. 3). Anfragen an datenschutz@lektoria.eu.
Beschwerderecht
Das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde besteht jederzeit, insbesondere bei der für Nordrhein-Westfalen zuständigen Behörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), 40213 Düsseldorf.
Datensicherheit
Transportverschlüsselung per TLS (wo unterstützt TLS 1.3, mindestens TLS 1.2) für alle Verbindungen. Verschlüsselung ruhender Daten im Storage gemäß Hetzner-Konfiguration. Zugriff auf Produktivsysteme nur per SSH-Key, separates Admin-Konto, automatische Patches, Backups in EU-Region. Cloudflare/Tracking-Skripte werden nicht eingebunden.
Schriftarten
Alle verwendeten Schriftarten (Cal Sans, Inter, Lexend — jeweils SIL Open Font License) werden lokal vom Server von Lektoria ausgeliefert und beim Seitenaufbau nicht von Google Fonts oder einem anderen Drittanbieter-CDN nachgeladen. Es wird daher keine IP-Adresse an einen Schrift-Anbieter übermittelt.