Sicherheit & Daten
Zuletzt aktualisiert: 13. Juli 2026
Die Zusammenfassung
Transept ist ein Übersetzungs-Workspace, der für sichere Übersetzungen entwickelt wurde. Wenn Sie Text übermitteln, senden wir ihn zur Übersetzung an einen KI-Anbieter, speichern das Ergebnis in unserer Datenbank und lassen Sie es bearbeiten. Diese Seite erklärt alles, was damit zusammenhängt – wo die Daten liegen, wer sie sehen kann und was wir versprechen, nicht damit zu tun. Wenn Sie Plattformen für sichere maschinelle Übersetzung und Übersetzungs-Projektmanagement evaluieren, ist dies die leicht verständliche Version; den vollständigen Rechtstext finden Sie in der Datenschutzerklärung.
- Wir nutzen Ihre Inhalte nicht zum Trainieren von KI-Modellen – weder unsere noch die unserer Anbieter.
- Ihre Daten bleiben in der EU – Anwendung und Datenbank werden in Deutschland gehostet (Hetzner).
- Verschlüsselt bei Übertragung und Speicherung – TLS 1.2+ bei jeder Verbindung, AES-256 auf dem Datenträger.
- Ihre Inhalte gehören Ihnen – wir haben nur eine eng gefasste Verarbeitungslizenz, keinen Eigentumsanspruch. Wenn Sie Ihr Konto löschen, werden auch Ihre Daten gelöscht.
- AV-Vertrag auf Anfrage verfügbar – für Geschäftskunden unterzeichnen wir einen Auftragsverarbeitungsvertrag, der die Pflichten nach Artikel 28 DSGVO abdeckt.
Was wir mit Ihren Inhalten tun
Wenn Sie Text zur Übersetzung übermitteln, passieren drei Dinge:
- Ihr Text wird als Teil Ihres Dokuments in unserer Datenbank gespeichert.
- Für jede Übersetzungsanfrage wird der relevante Block über eine verschlüsselte Verbindung an einen KI-Anbieter gesendet. Der Anbieter sendet die Übersetzung zurück, die wir als neue Block-Version speichern.
- Ihr Text bleibt in Ihrem Dokument, bis Sie ihn löschen (oder Ihr Konto löschen). Er wird niemals zum Trainieren eines KI-Modells verwendet.
Was wir nicht tun:
- Wir verkaufen Ihre Daten nicht.
- Wir verwenden Ihre Inhalte nicht zum Trainieren von Modellen – weder unsere noch die von anderen.
- Wir geben Ihre Inhalte nicht an Werbetreibende oder externe Marketingplattformen weiter.
- Wir scannen nicht Ihren verbundenen Google Drive- oder Notion-Workspace. Wir sehen nur Dateien, die Sie explizit für den Import auswählen.
- Wir betreiben keine eigenen Foundation-Modelle und führen kein Fine-Tuning mit Kundendaten durch.
Wo Ihre Daten gespeichert werden
Die Anwendungsserver und die Datenbank von Transept laufen bei der Hetzner Online GmbH, einem europäischen Hosting-Anbieter mit Rechenzentren in Deutschland. Ihr Konto, Ihre Dokumente, Ihre Übersetzungen, Ihre Glossare und Styleguides – all das liegt auf EU-Infrastruktur.
Wenn Sie übersetzen, wird der relevante Text-Block für die Dauer dieser Anfrage an einen KI-Anbieter gesendet. Die meisten KI-Anbieter (Anthropic, OpenAI, Google) verarbeiten Anfragen in den USA unter vertraglichen Datenschutzverpflichtungen und, wo anwendbar, dem EU-US Data Privacy Framework oder Standardvertragsklauseln (SCCs). Sobald die Übersetzung zurückgegeben wurde, verbleibt keine Kopie Ihrer Inhalte beim Anbieter, abgesehen von deren kurzfristiger operativer Protokollierung – Details finden Sie in der Datenschutzerklärung des jeweiligen Anbieters.
Verschlüsselung
- Bei der Übertragung – TLS 1.2 oder höher bei jeder Verbindung zwischen Ihrem Browser, unseren Servern und KI-Anbietern. Nur HTTPS; HTTP wird umgeleitet.
- Bei der Speicherung – Datenbank und Festplattenspeicher sind mit AES-256 verschlüsselt.
- Backups – verschlüsselt gespeichert, 30 Tage aufbewahrt, dann überschrieben.
- Authentifizierung – passwortlose Anmeldung über kurzlebige E-Mail-Einmalcodes oder Google OAuth. Wir speichern keine Passwörter. Sitzungs-Tokens werden im lokalen Speicher Ihres Browsers abgelegt.
Wer auf Ihre Daten zugreifen kann
Der Produktionszugriff ist auf eine kleine Anzahl namentlich benannter Operatoren (derzeit die beiden Mitgründer) beschränkt, die über SSH-Schlüssel mit Audit-Protokollierung authentifiziert werden. Im Routinebetrieb wird nicht auf Kundeninhalte zugegriffen.
Um ein Übersetzungsproblem oder eine andere Support-Anfrage zu untersuchen, bitten wir um Erlaubnis und das spezifische Dokument, bevor wir es öffnen. Der Zugriff auf Benutzerkonten über das Admin-Panel wird protokolliert und ist überprüfbar; sensible Aktionen (Rollenänderungen, Impersonation, Wörter-Anpassungen) erzeugen dauerhafte Audit-Log-Einträge.
KI-Anbieter und Training
Übersetzungsanfragen werden an einen der folgenden Anbieter gesendet, abhängig von dem Modell, das Sie wählen:
- Anthropic – Modelle der Claude-Familie, über die Anthropic-API. Die kommerzielle API von Anthropic trainiert nicht mit Kundeneingaben oder -ausgaben.
- OpenAI – Modelle der GPT-Familie, über die OpenAI-API. Daten der OpenAI-API werden standardmäßig nicht zum Trainieren von Modellen für API-Kunden verwendet.
- Google – Modelle der Gemini-Familie, über Vertex AI / Gemini-API. Kundendaten, die über diese APIs übermittelt werden, werden nicht zum Trainieren der Foundation-Modelle von Google verwendet.
- Groq – Llama-Familie und andere Modelle, die für schnelle Inferenz auf Groq gehostet werden. Die API von Groq trainiert nicht mit Kundendaten.
- OpenRouter – Gateway zu weiteren Modellen. Die Bedingungen der zugrundeliegenden Anbieter variieren je nach Modell. Für Workloads, bei denen das Opt-out für das Training wichtig ist, sollten Sie Ihre Übersetzungen an einen bekannten Anbieter binden (Anthropic, OpenAI oder Google).
Keiner dieser Anbieter trainiert mit Ihren Inhalten unter den von uns genutzten API-Tarifen. Transept selbst betreibt keine Foundation-Modelle, führt kein Fine-Tuning mit Kundendaten durch und speichert keine Prompts oder Ausgaben für Trainingszwecke.
Unterauftragsverarbeiter
Die vollständige Liste der Drittanbieter, die Ihre Daten in unserem Auftrag verarbeiten können – Namen, Region, Rolle und Datum der letzten AV-Vertragsprüfung – finden Sie unter /subprocessors. Zusammenfassung:
- KI-Übersetzung – Anthropic (US), OpenAI (US), Google / Vertex AI (US, EU-Regionen verfügbar), Groq (US), OpenRouter (US). Siehe oben.
- Hetzner Online GmbH (Deutschland, EU) – Anwendungs- und Datenbank-Hosting.
- Stripe, Inc. (US / Irland) – Abonnement-Abrechnung und Einmalkäufe. Wir sehen oder speichern niemals vollständige Kartennummern; Stripe verarbeitet alle Kartendaten gemäß PCI DSS Level 1.
- PostHog (EU-gehostet) – optionale Produktanalysen, die nur mit Ihrer ausdrücklichen Analyse-Zustimmung geladen werden (Opt-in für jeden Besucher).
- Customer.io (EU-Workspace) – Transaktions-E-Mails (Anmeldecodes, Kontobenachrichtigungen, Rechnungsbelege) und – nur mit Ihrer ausdrücklichen Marketing-Zustimmung – E-Mails zu Produkt-Updates.
- Google Tag Manager + Google Ads (US) – Analytics und Messung von Anzeigen-Conversions, wird nur mit Ihrer ausdrücklichen Zustimmung geladen und über Consent Mode v2 gesteuert.
- Meta Platforms (US) – Pixel + Conversions API zur Messung von Anzeigen-Conversions, wird nur mit Ihrer ausdrücklichen Marketing-Zustimmung geladen.
Wesentliche Änderungen an dieser Liste (neuer Unterauftragsverarbeiter, Wechsel der Region) werden auf dieser Seite und unter /subprocessors gekennzeichnet, bevor sie für neue Verarbeitungen wirksam werden.
Compliance und Zertifizierungen
Transept ist ein junges Unternehmen. Wir befolgen die wesentlichen Verpflichtungen der unten genannten Rahmenwerke, verfügen jedoch noch nicht über Zertifizierungen von Drittanbietern. Wir sind transparent darüber, was wir haben und was nicht.
- DSGVO (EU) und UK GDPR – ja. Wir handeln als Verantwortlicher für Konto- und Nutzungsdaten und als Auftragsverarbeiter für von Ihnen übermittelte Inhalte. Wir bieten die vollständigen Betroffenenrechte, EU-Datenresidenz für gespeicherte Inhalte, Benachrichtigung bei Datenschutzverletzungen innerhalb von 72 Stunden und einen DPA (Auftragsverarbeitungsvertrag) auf Anfrage.
- CCPA / CPRA (Kalifornien) und andere Datenschutzgesetze von US-Bundesstaaten – ja. Wir respektieren das Recht auf Auskunft, das Recht auf Löschung, das Recht auf Berichtigung und das Recht auf Widerspruch gegen den Verkauf oder die Weitergabe für alle US-Einwohner (wir verkaufen keine personenbezogenen Daten).
- SOC 2 – noch nicht. Wir befolgen SOC 2-konforme Praktiken für Zugriffskontrolle, Verschlüsselung, Change-Management und Incident-Response, haben uns jedoch keinem Typ-1- oder Typ-2-Audit unterzogen.
- ISO 27001 – nicht zertifiziert.
- HIPAA – Transept ist keine HIPAA-konforme Plattform. Übermitteln Sie keine geschützten Gesundheitsdaten.
- PCI DSS – Zahlungsdaten werden von Stripe (PCI DSS Level 1) verarbeitet. Wir sehen oder speichern niemals vollständige Kartendaten.
Auftragsverarbeitungsvertrag (DPA)
Für Geschäftskunden stellen wir auf Anfrage einen Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) zur Verfügung. Dieser deckt unsere Pflichten als Auftragsverarbeiter gemäß Artikel 28 DSGVO ab – einschließlich der Offenlegung von Unterauftragsverarbeitern, Sicherheitsmaßnahmen, Anfragen von Betroffenen und der Benachrichtigung bei Datenschutzverletzungen.
Senden Sie eine E-Mail an [email protected] mit Ihrer Konto-E-Mail-Adresse und Ihren Unternehmensdaten, um einen DPA anzufordern.
Incident-Response
Wenn uns eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, werden wir:
- Betroffene Nutzer ohne unangemessene Verzögerung benachrichtigen, und innerhalb von 72 Stunden, sofern die Schwere dies gemäß Art. 33 DSGVO rechtfertigt.
- Die zuständige Aufsichtsbehörde benachrichtigen, sofern erforderlich.
- Teilen, was wir über die Art der Verletzung, die betroffenen Daten, die wahrscheinlichen Folgen und die Schritte wissen, die wir zur Eindämmung und Behebung unternehmen.
Bei Vorfällen, die den Dienst beeinträchtigen, aber keine Datenschutzverletzungen sind (Ausfälle, Leistungseinbußen), werden Updates über In-App-Banner und per E-Mail an aktive Nutzer veröffentlicht.
Verantwortungsvolle Offenlegung
Wenn Sie eine Schwachstelle in Transept finden, senden Sie bitte eine E-Mail mit Details an [email protected]. Wir bitten Sie:
- Uns ein angemessenes Zeitfenster zur Untersuchung und Behebung vor der öffentlichen Offenlegung einzuräumen.
- Datenschutzverletzungen, Datenzerstörung oder Dienstunterbrechungen während des Testens zu vermeiden.
- Nur mit Ihrem eigenen Konto oder Konten zu testen, für die Sie eine Zugriffsberechtigung haben.
Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm, aber wir werden glaubwürdige Meldungen anerkennen und – falls Sie dies wünschen – den Melder öffentlich erwähnen, sobald ein Fix veröffentlicht wurde.
Weitere Informationen
Den vollständigen Rechtstext finden Sie in unserer Datenschutzerklärung und unseren Nutzungsbedingungen. Für alles, was hier nicht behandelt wird, senden Sie eine E-Mail an [email protected].