Zur Startseite

Datenschutzerklärung

Stand: 29.04.2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Dr. Marco Stock
Landwehrstr. 85
80336 München, Deutschland
E-Mail: [email protected]

Ein Datenschutzbeauftragter ist nach § 38 BDSG nicht verpflichtend bestellt, da die Voraussetzungen (mind. 20 Personen, regelmäßige automatisierte Verarbeitung) nicht erfüllt sind. Datenschutzanfragen können dennoch jederzeit an die obige E-Mail-Adresse gerichtet werden.

2. Geltungsbereich

Diese Erklärung gilt für die Marketing-Website repoready.ai sowie für die authentifizierte Web-Anwendung („Service"), die wir Forschenden, Laboren, Forschungs­einrichtungen und Journals anbieten.

  • Auf der Marketing-Site werden keine Cookies, kein Tracking, keine Analyse eingesetzt — siehe Ziff. 7.
  • In der Web-App setzen wir nur das technisch erforderliche Session-Cookie. Sentry läuft ausschließlich zum Fehler-Monitoring ohne Session-Replay. Details in Ziff. 7 und in der Cookie-Richtlinie.

3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

3.1 Aufruf der Marketing-Website

Beim Aufruf von repoready.ai werden vom Hosting-Anbieter Nodion GmbH (siehe Ziff. 5) automatisch Server-Logs verarbeitet:

  • IP-Adresse (gekürzt, soweit technisch möglich)
  • Datum und Uhrzeit des Aufrufs
  • angeforderte URL, HTTP-Statuscode
  • Referrer-URL, User-Agent (Browser/OS)

Zweck: Bereitstellung der Website, Stabilität, Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Funktionsfähigkeit).
Speicherdauer: in der Regel 14 Tage; verdachtsabhängig länger zur Aufklärung von Sicherheitsvorfällen.

3.2 Registrierung & Anmeldung

Zur Nutzung des Service ist ein Konto erforderlich. Authentifizierung erfolgt über unseren Identitätsdienstleister WorkOS, Inc. (siehe Ziff. 5.1). Wir verarbeiten:

  • Name, E-Mail-Adresse
  • verschlüsselte Authentifizierungs-Token
  • ggf. Organisations­zugehörigkeit (für Lab-/Institutskonten)

Zweck: Vertragserfüllung, Account-Verwaltung, Org-Einladungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Speicherdauer: bis zur Löschung des Kontos zzgl. handels-/steuerrechtlicher Aufbewahrungsfristen (§§ 147 AO, 257 HGB), soweit anwendbar.

3.3 Repository- und Manuskript-Daten

Wenn Sie GitHub-Repositorien oder Overleaf-Manuskripte verbinden, greifen wir mit Ihrer Autorisierung (OAuth) auf Metadaten und Inhalte der ausdrücklich freigegebenen Repos/Projekte zu. Diese Inhalte können in der Git-Historie auch personenbezogene Daten (z. B. Commit-Autor, E-Mail) enthalten — bitte berücksichtigen Sie dies.

Zweck: Durchführung der Reproduzierbarkeits- und Manuskript-Analyse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Solange ein Projekt aktiv genutzt wird, halten wir die zuletzt analysierte Version des Repos bzw. Manuskripts vor, um Reevaluationen ohne erneuten Download zu ermöglichen. Frühere Versionen werden spätestens nach 14 Tagen aus dem Cache entfernt. Analyseergebnisse / Reports werden bis zur Löschung Ihres Projekts gespeichert; mit Löschung des Projekts werden auch die zuletzt vorgehaltenen Repo-/Manuskript-Dateien entfernt.

3.4 Nutzung von LLM-Diensten

Für die KI-Analyse werden ausgewählte Repo-Auszüge und Manuskript-Inhalte an OpenRouter Inc. übermittelt, das die Anfragen an die jeweiligen Modellanbieter (z. B. OpenAI, Anthropic) weiterleitet. Optional können Sie einen eigenen OpenRouter-API-Key hinterlegen („BYOK"); in diesem Fall greifen die individuellen Einstellungen Ihres OpenRouter-Kontos (z. B. Zero-Data-Retention-Optionen).

Zweck: automatisierte Analyse + Vorschläge.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Hinweis Art. 22 DSGVO: die LLM-Bewertungen entfalten keine rechtliche Wirkung; die Annahme/Ablehnung der Vorschläge liegt vollständig bei Ihnen.

3.5 Service-Nutzung & Audit-Logs

Zur Sicherheit, Missbrauchsabwehr und Quotenverwaltung speichern wir Audit-Logs:

  • User-ID, IP-Adresse, User-Agent
  • Aktion (z. B. Webhook-Verifikation, Rate-Limit, Trial-Block)
  • Zeitpunkt, Severity

Zweck: Sicherheit, Betrugsabwehr, Erfüllung gesetzlicher Pflichten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO + lit. c DSGVO.
Speicherdauer: 90 Tage; bei laufenden Sicherheitsvorfällen länger.

3.6 Transaktions-E-Mails

Wir versenden Transaktionsmails (Anmelde-, Analyse-, Trial-Mails). Sie können jeden Mail-Typ in den Einstellungen jederzeit deaktivieren.

Zweck: Kommunikation, Service-Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktional).
Speicherdauer Mail-Logs: 6 Monate.

3.7 Fehler-Monitoring (Sentry)

Wir nutzen Sentry (Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA, mit EU-Vertragspartner Functional Software B.V., Amsterdam, Niederlande; EU-Datenstandort ingest.de.sentry.io, Frankfurt am Main) zur Diagnose technischer Fehler in der Web-App. Übermittelt werden Fehler-Stacktraces, Browser- und OS-Informationen sowie eine durch das SDK erzeugte Event-ID. Es findet keine Sitzungs-Aufzeichnung in der Produktiv-Umgebung statt; das SDK setzt weder Cookies noch nutzt es Local-/Session-Storage zu Tracking-Zwecken.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Fehlerbehebung). Sie können der Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen.

4. Empfänger Ihrer Daten

Wir geben Daten ausschließlich an folgende Auftragsverarbeiter (Art. 28 DSGVO) bzw. unabhängige Verantwortliche weiter, mit denen entsprechende Verträge bestehen:

EmpfängerZweckSitz / DatenstandortRechtsgrundlage Drittlandtransfer
WorkOS, Inc.Authentifizierung, Identity, Org-ManagementUSAEU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, eingebettet in die WorkOS-DPA
Functional Software, Inc. (d/b/a Sentry) / Functional Software B.V.Fehler-MonitoringUSA / Niederlande; Datenstandort Frankfurt (EU)EU-US Data Privacy Framework (DPF) + Standardvertragsklauseln (SCCs) als Fallback in der DPA
Nodion GmbHServer-Hosting, Datenbank, S3-Storage für Reports / Artefakte, E-Mail-VersandDeutschland (EU)EU — kein Drittlandtransfer
OpenRouter Inc. (+ LLM-Provider)LLM-Inferenz für KI-AnalyseUSAArt. 46 DSGVO (SCCs); bei BYOK gelten zusätzlich die individuellen Einstellungen Ihres OpenRouter-Kontos
GitHub, Inc. (Microsoft)Repository-Anbindung via OAuth/App, WebhooksUSAEU-US DPF / SCCs
Digital Science Research Solutions Limited (Overleaf)Manuskript-AnbindungUKUK-Adäquanzbeschluss der EU-Kommission

Eine Liste der konkreten Vertragsdokumente (DPAs / SCCs) erhalten Sie auf Anfrage an [email protected].

5. Drittlandtransfer

Soweit Daten an Empfänger außerhalb des EWR übermittelt werden, sichern wir das nach Art. 13 Abs. 1 lit. f DSGVO erforderliche Schutzniveau:

  • EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 DSGVO),
  • EU-US Data Privacy Framework, soweit der Empfänger zertifiziert ist,
  • UK-Angemessenheitsbeschluss der EU-Kommission.

Eine Kopie der getroffenen Garantien erhalten Sie auf Anfrage. Nach dem Schrems-II-Urteil (EuGH C-311/18) prüfen wir das Schutzniveau im Empfängerland fortlaufend (Transfer Impact Assessment).

6. Speicherdauer / Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es verlangen (§§ 147 AO, 257 HGB). Ihr Konto und die zugehörigen Inhalte können Sie jederzeit in den Einstellungen löschen. Spätestens 30 Tage nach Kontolöschung werden alle Inhalte aus aktiven Systemen entfernt; verbleibende Backups werden im üblichen Rotationszyklus überschrieben.

7. Cookies und ähnliche Technologien

Marketing-Site (repoready.ai): Wir setzen weder Cookies noch Local-/Session-Storage zu Tracking-Zwecken ein.

Web-App (Produktiv-Umgebung): Wir verwenden ausschließlich ein technisch erforderliches Session-Cookie (wos-session, HttpOnly, signiert) zur Authentifizierung — Rechtsgrundlage § 25 Abs. 2 Nr. 2 TDDDG; keine Einwilligung erforderlich. Es findet kein Tracking, keine Analyse und keine Sitzungs-Aufzeichnung statt.

Detaillierte Beschreibung der eingesetzten Cookies, Anbieter und Speicherdauern: siehe Cookie-Richtlinie.

8. Ihre Rechte

Sie haben das Recht:

  • auf Auskunft (Art. 15 DSGVO),
  • auf Berichtigung (Art. 16 DSGVO),
  • auf Löschung (Art. 17 DSGVO),
  • auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • auf Datenübertragbarkeit (Art. 20 DSGVO),
  • auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO),
  • auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO),
  • auf Beschwerde bei einer Aufsichtsbehörde, in der Regel das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).

Anfragen richten Sie bitte an [email protected].

9. Pflicht zur Bereitstellung

Die Bereitstellung der zur Vertragsdurchführung notwendigen Daten (E-Mail, Name) ist erforderlich, um den Service zu nutzen. Ohne diese Daten ist eine Anmeldung nicht möglich. Eine darüber hinausgehende Bereitstellung erfolgt freiwillig.

10. Automatisierte Entscheidungsfindung / Profiling

Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt. KI-gestützte Bewertungen Ihres Repositorys haben empfehlenden Charakter; Sie entscheiden frei, ob und welche Vorschläge Sie übernehmen.

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung ändert. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder im Service.