Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger datenschutzrechtlicher Bestimmungen ist:

Lasse Jonas Thies
Schulterblatt 115
20357 Hamburg
Deutschland
E-Mail: privacy@laytime-cal.com

Hinweis [GESELLSCHAFT-FALLBACK]: Stand: Privatperson. Bei einer späteren Gründung einer Gesellschaft (GmbH/UG/ Einzelunternehmen) wird dieser Block ersetzt durch Firmenname, ladungsfähige Anschrift, Vertretungsberechtigte sowie ggf. Handelsregister-/USt-Daten.

Wir verarbeiten personenbezogene Daten ausschließlich, soweit dies zur Bereitstellung der App-Funktionen technisch erforderlich ist und sich aus einer Rechtsgrundlage nach Art. 6 DSGVO ergibt. Konkret:

• Konto + Authentifizierung (E-Mail-Adresse, optional OAuth- Provider-ID) — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Eigene Laytime-Berechnungen (Charter-Party-Daten, Hafen-/ Schiffsnamen, SOF-Events, hochgeladene PDFs, OCR-Ergebnisse) — Art. 6 Abs. 1 lit. b DSGVO.
• Audit-Log für Share-Links (gehashte IP, gehashter User-Agent, Aufrufzeitpunkt, max. 90 Tage) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Missbrauchserkennung bei öffentlich geteilten Links).
• Server-Logfiles beim Hosting-Dienstleister (Vercel) — Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Betriebsstabilität).
• Bot-Schutz bei der Registrierung (Cloudflare Turnstile) — Art. 6 Abs. 1 lit. f DSGVO (Schutz vor automatisierten Konten).

Die App setzt ausschließlich technisch notwendige Cookies und Local-Storage-Einträge:

• sb-<projectref>-auth-token — Supabase-Session-Cookie für die Anmeldung. Wird beim Logout gelöscht.
• laytime-cookie-notice-ack-v1 (Local-Storage) — Bestätigung, dass dieser Cookie-Hinweis gesehen wurde. Wird nicht an den Server übertragen.

Da wir keine Analyse-, Marketing- oder Drittanbieter-Cookies einsetzen, ist nach § 25 Abs. 2 TTDSG keine Einwilligung erforderlich. Sobald die App in einer späteren Ausbaustufe Analytics oder Marketing-Cookies setzt, wird ein Consent-Banner mit Opt-In-Wahl ergänzt.

a) Konto-Erstellung und Login

Bei der Registrierung verarbeiten wir die von Ihnen angegebene E-Mail-Adresse und, je nach gewähltem Verfahren, ein Passwort-Hash oder eine OAuth-Provider-ID (Google). Die Daten werden über unseren Auftragsverarbeiter Supabase in Frankfurt (eu-central-1) gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) Speicherung Ihrer Berechnungen

Charter-Party-Daten, Hafen- und Schiffsnamen, NOR-Zeitpunkte und SOF-Events werden in Ihrem Konto gespeichert. Diese Daten sind nur für Sie sichtbar; ein Zugriff durch andere Nutzer ist nur möglich, wenn Sie aktiv einen Share-Link erstellen.

c) Hochladen von Dokumenten (PDFs)

Sie können NOR- und SOF-Dokumente als PDF hochladen. Die Dateien werden im Supabase-Storage-Bucket documents unter dem Pfad {user_id}/{calculation_id}/{document_id}.pdf abgelegt und sind ausschließlich für Sie und unsere Serverkomponenten zugänglich (Row-Level-Security + signierte URLs mit kurzer Gültigkeit). Bei Löschung Ihres Kontos werden alle Dokumente unter {user_id}/ rekursiv entfernt.

d) OCR-Verarbeitung

Beim Hochladen werden die PDFs in zwei Schritten maschinell ausgewertet:

1. AWS Textract (Amazon Web Services EMEA SARL, Region eu-central-1, Frankfurt) extrahiert Layout, Tabellen und Bounding-Boxen. Die Verarbeitung erfolgt synchron; das PDF wird von AWS nach der Antwort nicht persistent gespeichert (Standardverhalten der synchronen Textract-API ohne S3-Input).
2. Anthropic Claude Vision (Anthropic, PBC, USA) extrahiert aus dem PDF semantische Felder (Vessel, Port, NOR-Zeit, SOF-Events). Die Übertragung in die USA erfolgt auf Grundlage der EU-Standardvertrags­klauseln (Art. 46 Abs. 2 lit. c DSGVO). Anthropic verwendet API-Inhalte nach eigenen Commercial Terms nicht für Trainingszwecke.

Die OCR-Ergebnisse werden zusammen mit Ihrem Dokument-Datensatz in der Supabase-Datenbank gespeichert und sind Teil der DSGVO-Löschung.

e) Teilen von Berechnungen (Share-Links)

Wenn Sie eine Berechnung über einen Share-Link öffentlich zugänglich machen, wird jede Abrufanfrage in einem Audit-Log protokolliert. Wir speichern dabei keine Klartext-IP und keinen Klartext-User-Agent — beide werden mit einem serverseitig gehaltenen Pepper als HMAC-SHA256 gehasht und sind in dieser Form nicht ohne den Pepper auf einen Einzelnen zurückführbar. Die Hashes werden nach 90 Tagen automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Erkennen von Missbrauch öffentlich geteilter Links).

Beim Aufruf unserer Seiten erhebt unser Hosting-Dienstleister Vercel Inc., San Francisco, USA, kurzzeitig technische Daten (anonymisierte IP, Zeitstempel, Request-Pfad, Status-Code, User-Agent), wie sie für die Auslieferung jeder Web-Anwendung systembedingt nötig sind. Diese Logs werden nach max. 30 Tagen automatisch gelöscht. Eine Verknüpfung dieser Daten mit Ihrem Konto findet nicht statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit). Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertrags­klauseln.

Wir setzen folgende Auftragsverarbeiter nach Art. 28 DSGVO ein:

SCC = EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. DPF = EU-US Data Privacy Framework. Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge.

• Kontodaten und Berechnungen: bis zur aktiven Löschung durch Sie (siehe § 9). Bei einer von Ihnen ausgelösten Kontolöschung gilt eine 30-tägige Karenzphase (Soft-Delete), innerhalb derer Sie die Löschung rückgängig machen können; nach Ablauf wird unwiderruflich gelöscht.
• Share-Audit-Log: 90 Tage ab Aufruf, danach automatische Hard-Deletion via geplantem Cron-Job.
• Server-Logfiles: max. 30 Tage.
• Rate-Limit-Zähler: nur kurzlebige Counter (Minuten bis Stunden), keine personenbezogenen Klartextdaten.

• Verschlüsselte Übertragung per TLS 1.2+ über die gesamte Strecke.
• Row-Level-Security in der Datenbank: Nutzer-Datensätze sind serverseitig nur für den Eigentümer und privilegierte Service-Rollen lesbar.
• Storage-Pfade sind so geschnitten, dass kein Nutzer die Dokumente eines anderen Nutzers raten oder erreichen kann.
• IP-/User-Agent-Werte im Share-Audit werden mit serverseitigem Pepper als HMAC-SHA256 gehasht.

Sie haben jederzeit folgende Rechte uns gegenüber:

• Auskunft (Art. 15 DSGVO) — vollständiger JSON-Export Ihrer Daten über /settings/account (Button „Download my data") oder formlos per E-Mail an privacy@laytime-cal.com.
• Berichtigung (Art. 16) — direkt in der App, oder per E-Mail.
• Löschung (Art. 17) — direkt in der App über /settings/account (Button „Delete account"); 30-tägige Karenzphase, danach Hard-Delete.
• Einschränkung der Verarbeitung (Art. 18) — per E-Mail.
• Datenübertragbarkeit (Art. 20) — über den JSON-Export wie oben.
• Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen (insb. Share-Audit, Server-Logs, Bot-Schutz) — per E-Mail.
• Beschwerde bei einer Aufsichtsbehörde (Art. 77) — z. B. bei der für Ihren Wohnsitz zuständigen Landesdatenschutzbehörde.

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet nicht statt. Die OCR-Verarbeitung dient der Datenerfassung; die Laytime-Berechnung erfolgt regelbasiert und ist von Ihnen jederzeit überprüf- und korrigierbar.

Pflichtangaben nach § 5 TMG finden Sie im Impressum.

Wir behalten uns vor, diese Erklärung anzupassen, wenn sich Funktionen der App, Sub-Prozessoren oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Version ist unter /privacy abrufbar; Änderungen werden im „Stand"-Datum am Seitenkopf vermerkt.

The legally binding version of this notice is the German text above. The following English summary is provided as a service for international beta users.

• Controller: Lasse Jonas Thies (private individual), Schulterblatt 115, 20357 Hamburg, Germany. Contact: privacy@laytime-cal.com.
• Strictly-essential cookies only. No analytics, no tracking, no third-party marketing tags. Auth session cookie + a local-storage flag confirming you saw the cookie notice.
• Data location: Calculations, accounts, and uploaded documents are stored with Supabase in Frankfurt (eu-central-1). OCR layout is performed by AWS Textract in Frankfurt; semantic field extraction is performed by Anthropic Claude in the USA under EU Standard Contractual Clauses.
• Share-link audit log: view-time, salted HMAC-SHA256 of IP and user-agent. Cleartext is never stored. Retention 90 days.
• Account deletion: 30-day soft-delete grace period via /settings/account. Cancel anytime in that window; after 30 days everything is hard-deleted.
• Right of access & portability: click „Download my data" on the account page to get a full JSON dump.
• Right to complain: with your local EU data protection authority (GDPR Art. 77).