Datenschutzerklärung
velth verarbeitet so wenige personenbezogene Daten wie möglich. Dokumente, Bilder und Eingaben werden zur Erstellung von Arbeitsschutz-Dokumenten verarbeitet. Inhalte werden nur so lange gespeichert oder verarbeitet, wie es für die jeweilige Funktion erforderlich ist. Wo möglich, arbeitet velth mit anonymisierten Metadaten, temporärer Verarbeitung, verschlüsseltem Speicher und kurzen Löschfristen.
velth ist ein digitales Arbeitsschutz- und Dokumentationssystem. Die Inhalte werden KI-gestützt erstellt und müssen vor Verwendung durch die verantwortliche Person geprüft und freigegeben werden. velth bietet keine Rechtsberatung.
KI-Hinweis und Haftungsausschluss
velth erstellt KI-generierte Entwürfe. KI-Systeme können Fehler machen, Inhalte unvollständig bewerten oder relevante Gefährdungen übersehen. Ergebnisse sind keine Rechtsberatung und ersetzen keine fachkundige Prüfung durch eine verantwortliche Person, Fachkraft für Arbeitssicherheit, Betriebsarzt oder sonstige qualifizierte Stelle. Vor Verwendung, Unterweisung, Dokumentation oder Weitergabe müssen alle Inhalte fachlich geprüft, angepasst, freigegeben und unterschrieben werden. velth übernimmt keine Haftung für die Verwendung ungeprüfter oder unverändert übernommener KI-Ausgaben.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung für diese Website und den velth-Dienst ist:
2. Grundsatz: Datenminimierung
Das bedeutet:
- Es werden nur Daten verarbeitet, die für die jeweilige Funktion erforderlich sind.
- Dokumentinhalte werden nicht dauerhaft als Klartext gespeichert, sofern dies für die Funktion nicht ausdrücklich erforderlich ist.
- Wo möglich, werden nur anonymisierte oder pseudonymisierte Metadaten gespeichert.
- Temporäre Dateien werden nach der Verarbeitung gelöscht.
- Der Vault ist als verschlüsselter Firmenspeicher konzipiert.
- KI-Verarbeitung erfolgt nur zur Bereitstellung der angeforderten Funktion.
3. Was gespeichert wird und was nicht
Anonyme Nutzung ohne Login
Bei der Nutzung ohne Konto speichert velth grundsätzlich keine personenbezogenen Nutzerprofile.
Für Betrieb, Qualitätssicherung, Rate-Limiting und Produktverbesserung können technische und anonymisierte Nutzungsdaten verarbeitet werden, insbesondere:
- Branchenkennung, z.B. „safebau“ oder „safehaccp“
- Land oder Rechtsraum, z.B. DE, AT, CH
- Dateiformat, z.B. PDF, DOCX, XLSX, JPG
- Dateigröße
- Anzahl erkannter Gefährdungen
- erkannte Gefährdungsklassen oder Katalog-Codes
- Risikostufen als Zahlenwerte
- Zeitstempel in technischer Genauigkeit
- technische Statusinformationen, z.B. Fehlercodes oder Antwortzeiten
Nicht gespeichert werden bei anonymer Nutzung:
- Originaldokumente
- Dateinamen
- vollständige Dokumenttexte
- Firmenname
- Projektname
- Kundendaten
- Klartext-IP-Adressen in der velth-Datenbank
- personenbezogene Nutzerprofile
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse an sicherem Betrieb, Missbrauchsschutz, Fehleranalyse und Verbesserung des Dienstes.
Registrierte Nutzer mit Konto
Bei registrierten Nutzern verarbeitet velth zusätzlich Daten, die für Konto, Credit-Verwaltung, Verlauf und Abrechnung erforderlich sind. Dazu können gehören:
| Feld | Inhalt | Zweck |
|---|---|---|
| user_id | Pseudonyme Nutzer-ID | Konto- und Credit-Zuordnung |
| E-Mail-Adresse | Login und Kommunikation | Konto, Authentifizierung, Rechnungen |
| vertical_id | Branche / Produktbereich | Dokumentenerstellung und Verlauf |
| country | DE / AT / CH | Rechtsraum und Dokumentlogik |
| file_type | Dateiformat | Verarbeitung und Rate-Limiting |
| file_size | Dateigröße | Missbrauchsschutz und technische Verarbeitung |
| total_hazards | Anzahl erkannter Gefährdungen | Qualitätssicherung |
| risk_level | Risikowert | Analyseverlauf und Qualitätssicherung |
| hazard_ids | Katalog-Codes | Validierung und Ergebnisstruktur |
| created_at | Zeitstempel | Verlauf und Nachvollziehbarkeit |
Nicht dauerhaft als Klartext gespeichert werden, sofern nicht ausdrücklich für eine Funktion erforderlich:
- Originaldateien
- vollständige Dokumentinhalte
- Dateinamen
- Projekt- oder Firmennamen
- Textstellen aus Originaldokumenten
- personenbezogene Inhalte aus hochgeladenen Dokumenten
IP-Adressen und Rate-Limiting
Zur Abwehr von Missbrauch, Überlastung und automatisierten Angriffen kann velth IP-Adressen technisch verarbeiten.
Soweit möglich, werden IP-Adressen nicht im Klartext gespeichert, sondern für Rate-Limiting und Sicherheitszwecke gehasht oder gekürzt verarbeitet. Kurzfristige technische Verarbeitung durch Hosting- und Infrastruktur-Anbieter kann erforderlich sein.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
4. Dokument-Uploads & KI-Verarbeitung
Wenn Sie Dokumente hochladen, werden diese zur Analyse und Erstellung strukturierter Arbeitsschutz-Dokumente verarbeitet.
Technischer Ablauf
- Das Dokument wird temporär entgegengenommen.
- Der relevante Text wird extrahiert oder analysiert.
- Der Inhalt kann an einen KI-Dienstleister übermittelt werden, um Gefährdungen, Maßnahmen, Hinweise und Dokumententwürfe zu erstellen.
- Temporäre Dateien werden nach Abschluss der Verarbeitung gelöscht.
- In der velth-Datenbank werden, soweit möglich, nur strukturierte Ergebnisdaten und Metadaten gespeichert.
Gespeichert werden können insbesondere
- erkannte Gefährdungsklassen
- Risikostufen
- Maßnahmentypen
- Dokumenttyp
- Branche
- Land / Rechtsraum
- technische Metadaten
Nicht dauerhaft gespeichert werden, sofern nicht ausdrücklich für eine Funktion erforderlich
- Originaldokumente
- vollständige Dokumenttexte
- Dateinamen
- Firmen- oder Kundennamen
- personenbezogene Inhalte aus dem Dokument
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung des angeforderten Dienstes erforderlich ist.
5. Bild-Uploads & Vision-KI
Sie können Bilder oder Fotos hochladen, z.B. JPG, PNG oder WEBP.
Bilder können durch eine Vision-KI analysiert werden, um sichtbare Arbeitsbedingungen, Gefährdungen, Beschilderungen, Maschinen, Arbeitsplätze oder sonstige sicherheitsrelevante Informationen zu erkennen.
Technischer Ablauf
- Das Bild wird temporär verarbeitet.
- Das Bild oder daraus abgeleitete Analyseinformationen können an einen KI-Dienstleister übermittelt werden.
- Die KI erstellt eine Beschreibung oder strukturierte Analyse.
- Daraus können Arbeitsschutz-Hinweise oder Dokumententwürfe erstellt werden.
- Das Originalbild wird nach der Verarbeitung nicht dauerhaft bei velth gespeichert, sofern dies nicht ausdrücklich für eine Funktion erforderlich ist.
Bitte laden Sie keine Bilder hoch, auf denen Personen erkennbar sind, sofern hierfür keine ausreichende Berechtigung oder Einwilligung vorliegt. Laden Sie außerdem keine Bilder hoch, die besondere Kategorien personenbezogener Daten enthalten, sofern dies nicht erforderlich und rechtlich zulässig ist.
6. Vault: verschlüsselter Firmenspeicher
Soweit technisch umgesetzt, werden Vault-Inhalte clientseitig oder vor serverseitiger Speicherung verschlüsselt. velth erhält keinen Klartext-Zugriff auf die gespeicherten Inhalte, sofern die Entschlüsselung ausschließlich auf Nutzerseite erfolgt.
Im Vault können gespeichert werden
- Firmenprofil
- Tätigkeiten
- Arbeitsplätze
- Abläufe
- Regeln
- interne Hinweise
- Vorlagen
- sonstige vom Nutzer hinterlegte Informationen
Wichtig
Die Passphrase sollte sicher verwahrt werden. Wenn velth keinen Zugriff auf die Passphrase hat, kann velth verlorene Vault-Inhalte nicht wiederherstellen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO, sofern die Vault-Nutzung freiwillig erfolgt, sowie Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung der Vault-Funktion erforderlich ist.
6a. Dokument-Analyse im Vault / Mein Bereich
Wenn Sie im Bereich „Mein Bereich“ Dokumente, Regeln, Abläufe oder sonstige Dateien hochladen, können diese verarbeitet werden, um Kontext für Arbeitsschutz-Dokumente bereitzustellen.
Betroffen sein können insbesondere
- DOCX
- XLSX
- Bilder
- Verfahrensanweisungen
- Betriebsanweisungen
- interne Regeln
- Arbeitsabläufe
- sonstige betriebliche Dokumente
Technischer Ablauf
- Das Dokument wird temporär entgegengenommen.
- Text oder relevante Informationen werden extrahiert.
- Der Inhalt kann zur KI-Analyse übermittelt werden.
- Es können Hashes, Metadaten oder Ergebnisstrukturen gespeichert werden, um doppelte Verarbeitung zu vermeiden oder den Verlauf bereitzustellen.
- Originaldateien werden nicht dauerhaft gespeichert, sofern dies für die Funktion nicht ausdrücklich erforderlich ist.
Bitte laden Sie keine Dokumente hoch, die besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten, sofern dies nicht erforderlich und rechtlich zulässig ist.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
7. WhatsApp-Integration
velth kann Links oder Analyseergebnisse über WhatsApp teilbar machen.
Dabei gilt:
- velth speichert keine Telefonnummern von Absendern oder Empfängern, sofern die Teilen-Funktion lediglich über eine wa.me-URL oder einen externen WhatsApp-Link geöffnet wird.
- Der geteilte Link kann eine Workspace-ID und ein zeitlich begrenztes Zugriffstoken enthalten.
- Empfänger benötigen nicht zwingend ein velth-Konto.
- Wer den Link besitzt, kann während der Gültigkeit auf den Inhalt zugreifen.
- Nach Ablauf der Gültigkeit wird der Zugriff deaktiviert oder der Workspace gelöscht, je nach Funktion.
Die Verarbeitung durch WhatsApp oder Meta Platforms Ireland Ltd. beim Öffnen von WhatsApp oder wa.me-Links richtet sich nach den Datenschutzbedingungen von Meta / WhatsApp. velth hat darauf keinen Einfluss.
8. Workspaces und 48-Stunden-Links
Wenn Sie Analyseergebnisse als Workspace teilen, können die dafür erforderlichen Inhalte temporär gespeichert werden.
Dabei gilt:
- Workspaces werden grundsätzlich zeitlich begrenzt bereitgestellt.
- Standardmäßig beträgt die Gültigkeit geteilter Links maximal 48 Stunden, sofern in der Funktion nicht anders angegeben.
- Nach Ablauf werden Workspace-Inhalte gelöscht oder der Zugriff deaktiviert.
- Zugang erfolgt über ein signiertes Token.
- Ohne gültiges Token besteht kein Zugriff.
- Bestätigungen wie „Gelesen & verstanden“ können als Zeitstempel gespeichert werden.
- Soweit möglich, erfolgt dies ohne Speicherung von Namen oder Klartext-IP- Adressen.
Workspace-Inhalte können enthalten
- erkannte Gefährdungsklassen
- Risikostufen
- Maßnahmen
- Dokumententwürfe
- strukturierte Ergebnisdaten
Nicht gespeichert werden sollen
- Originaldateien
- vollständige Originaltexte
- unnötige personenbezogene Daten
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
9. Browser-Speicher
velth kann Informationen lokal im Browser speichern, insbesondere in localStorage oder sessionStorage. Beispiele:
| Schlüssel | Inhalt | Speicherort | Löschung |
|---|---|---|---|
| velth-theme | hell / dunkel | localStorage | manuell oder Browserdaten löschen |
| velth_vertical | Branchen-ID | localStorage | manuell oder Sitzungsende |
| velth_country_selected | Land / Rechtsraum | localStorage | manuell |
| velth_disclaimer_accepted | Zeitstempel | localStorage | manuell |
| velth_vault_hint | Vault-Hinweis | sessionStorage | beim Schließen des Tabs |
| velth_vault_prompted | Vault-Hinweisstatus | sessionStorage | beim Schließen des Tabs |
| velth-auth-token | Login-Token | localStorage oder vergleichbarer Speicher | Abmeldung / Ablauf |
Im Browser-Speicher können technische Einstellungen, Sitzungsdaten und Login-Informationen gespeichert werden.
Dokumentinhalte, Firmennamen oder personenbezogene Inhalte sollen dort nicht gespeichert werden, sofern dies für die Funktion nicht ausdrücklich erforderlich ist.
10. Drittanbieter und Auftragsverarbeiter
Zur Bereitstellung des Dienstes kann velth Dienstleister einsetzen.
Anthropic, Inc. KI-Verarbeitung
Zur Analyse von Texten, Dokumenten oder Bildern kann velth die API von Anthropic, Inc. verwenden.
Übermittelt werden können:
- Texte aus Dokumenten
- Bilddaten oder Bildbeschreibungen
- strukturierte Eingaben
- Nutzeranweisungen
- Kontextinformationen zur Arbeitsschutz-Dokumentation
Zweck:
- KI-gestützte Analyse
- Erstellung von Dokumententwürfen
- Strukturierung von Gefährdungen, Maßnahmen und Hinweisen
Anthropic stellt Informationen zu API-Datenverarbeitung und möglichen Zero-Data-Retention-Regelungen bereit. Ob Zero Data Retention gilt, hängt von der konkret genutzten API-Konfiguration und Vereinbarung ab.
Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln gemäß Art. 46 DSGVO, sofern erforderlich.
Weitere Informationen: anthropic.com/privacy
Supabase, Inc. Datenbank und Authentifizierung
velth kann Supabase für Datenbankdienste, Authentifizierung oder technische Speicherung nutzen.
Gespeichert werden können insbesondere:
- Konto- und Login-Daten
- pseudonyme Nutzer-IDs
- Metadaten
- Analyseverläufe
- technische Ergebnisdaten
Soweit möglich, werden EU-Regionen genutzt. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO sollte bestehen.
Vercel, Inc. Frontend-Hosting
Das Frontend der velth-Webanwendung kann über Vercel bereitgestellt werden.
Dabei können technische Zugriffsdaten verarbeitet werden, z.B.:
- Zeitstempel
- HTTP-Statuscode
- Browserinformationen
- technische Request-Daten
- IP-Adresse im Rahmen der technischen Auslieferung
Render Services, Inc. API-Hosting
Der API-Server kann über Render betrieben werden.
Dabei können technische Daten verarbeitet werden, die für Betrieb, Sicherheit, Fehleranalyse und Verfügbarkeit erforderlich sind.
Stripe, Inc. Zahlungsabwicklung
Für kostenpflichtige Dienste kann Stripe eingesetzt werden.
Dabei verarbeitet Stripe Zahlungsdaten eigenständig oder als Dienstleister. velth erhält keinen Zugriff auf vollständige Kreditkarteninformationen.
Verarbeitet werden können:
- E-Mail-Adresse
- Rechnungsdaten
- Zahlungsstatus
- Kundennummer
- steuerlich erforderliche Angaben
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
11. Hosting und Server-Log-Dateien
Beim Betrieb der Website und Anwendung werden technische Server-Log-Dateien verarbeitet. Diese können enthalten:
- Zeitstempel
- HTTP-Methode
- aufgerufene URL oder API-Route
- HTTP-Statuscode
- Antwortzeit
- technische Fehlercodes
- gekürzte, gehashte oder temporär verarbeitete IP-Adresse
- Browser- und Gerätedaten
Server-Logs dienen:
- Sicherheit
- Fehleranalyse
- Missbrauchsschutz
- Stabilität
- Rate-Limiting
- Betrieb der Infrastruktur
Dokumentinhalte, vollständige Nutzereingaben, Firmeninhalte oder hochgeladene Dateien sollen nicht in Logs erscheinen.
Log-Daten werden grundsätzlich nur so lange gespeichert, wie es für Sicherheit und Betrieb erforderlich ist, und danach gelöscht oder anonymisiert.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
12. KI-generierte Inhalte und Transparenz
velth verwendet künstliche Intelligenz zur Erstellung von Arbeitsschutz-Dokumententwürfen, Analysen, Gefährdungsübersichten, Maßnahmenvorschlägen und strukturierten Hinweisen.
KI-generierte Inhalte werden als solche kenntlich gemacht oder im Produktkontext erkennbar bereitgestellt.
Wichtig
- velth bietet keine Rechtsberatung.
- KI-generierte Inhalte können unvollständig, veraltet oder fehlerhaft sein.
- Die Ergebnisse müssen vor Verwendung durch eine verantwortliche oder qualifizierte Person geprüft, ergänzt und freigegeben werden.
- Unternehmen bleiben für Prüfung, Freigabe, Umsetzung und Aktualität ihrer Arbeitsschutzmaßnahmen verantwortlich.
- velth übernimmt keine Gewähr dafür, dass KI-generierte Inhalte für jeden Einzelfall vollständig oder rechtlich ausreichend sind.
Diese Hinweise dienen auch der Transparenz im Sinne der Vorgaben für KI-Systeme, insbesondere soweit Nutzer mit KI-Systemen interagieren oder KI-generierte Inhalte erhalten.
13. Ihre Rechte
Sie haben nach der DSGVO insbesondere folgende Rechte:
Auskunft (Art. 15 DSGVO)
Sie können Auskunft darüber verlangen, welche personenbezogenen Daten über Sie verarbeitet werden.
Berichtigung (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger personenbezogener Daten verlangen.
Löschung (Art. 17 DSGVO)
Sie können die Löschung personenbezogener Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Einschränkung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO)
Sie können verlangen, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung widersprechen, soweit diese auf berechtigten Interessen beruht.
Widerruf (Art. 7 Abs. 3 DSGVO)
Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen.
Beschwerde (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
Zuständige Aufsichtsbehörde kann insbesondere sein:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland
Alternativ können Sie sich an die für Ihren Wohnsitz oder Aufenthaltsort zuständige Datenschutzaufsichtsbehörde wenden.
Da velth bei anonymer Nutzung möglichst keine direkt personenbezogenen Daten speichert, kann eine Auskunft oder Löschung in manchen Fällen nur eingeschränkt möglich sein, wenn keine Zuordnung zu einer Person möglich ist.
14. Kontakt
Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zur Löschung Ihrer Daten wenden Sie sich bitte an:
Ein Datenschutzbeauftragter ist nicht bestellt, da hierfür nach aktueller Einschätzung keine gesetzliche Pflicht besteht. Sollte sich dies ändern, wird diese Datenschutzerklärung entsprechend aktualisiert.
Letzte Aktualisierung: April 2026. Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Datenverarbeitung aktualisiert. Die jeweils aktuelle Version ist auf dieser Seite verfügbar.